 [Nervt] Spam über MS-Nachrichtendienst |
gandalf 
der mit ohne
Dabei seit: 06.01.2002
Beiträge: 2.099
Herkunft: Mittelerde
 |
|
Oder in der Eingabeaufforderung:
net stop Nachrichtendienst
kommt aber dann beim Neustart wieder, ist dann also nicht permanent gestoppt.
Gruss
gandalf
__________________
Kein Mensch ist unnütz, er kann immer noch als schlechtes Vorbild dienen
|
|
29.10.2003 20:25 |
|
|
Rudolf
BlackBoarder
Dabei seit: 16.09.2003
Beiträge: 958
Themenstarter 
|
|
Ich suche nach einer Möglichkeit diesen Nachrichtendienst permanent zum schweigen zu bringen. Hoffe dass sich noch einer mit einer gescheiten Idee melden wird.
|
|
|
29.10.2003 21:09 |
|
|
Rudolf
BlackBoarder
Dabei seit: 16.09.2003
Beiträge: 958
Themenstarter
|
|
Ah, hab was gefunden.
Danke für eure Posts!
Das Problem ist nun gegessen!
|
|
|
29.10.2003 21:45 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
| Zitat: |
Original von exs
Ich suche nach einer Möglichkeit diesen Nachrichtendienst permanent zum schweigen zu bringen. Hoffe dass sich noch einer mit einer gescheiten Idee melden wird. |
so:
| Zitat: |
Original von CDW
start=>Einstellungen=>Systemsteuerung=>Verwaltung=>Dienste=>nachrichtendien
st
anklicken, auf deaktivieren stellen... ruhe haben 
|
__________________
|
|
|
29.10.2003 21:54 |
|
|
[CF]Bunny
![[CF]Bunny ist weiblich](images/female.gif "[CF]Bunny ist weiblich")
#!/usr/bin/girl
Dabei seit: 05.08.2003
Beiträge: 219
Herkunft: ::1
|
|
Mit der Anleitung von CDW behebt man aber nicht die Sicherheitslücke von Windows, der Port ich noch immer nach außen offen ...die Nachrichten werden nur nicht mehr angezeigt. Eine Firewall ist da definitiv der bessere Weg
__________________
2 + 2 = 6 ...for extremely large values of 2
Tag für Tag kommt die Welt dem schrecklichen Augenblick ein Stückchen näher, an dem der Flügelschlag eines Schmetterlings einen Orkan auslösen wird, den selbst Gott nicht stoppen kann!
|
|
|
30.10.2003 08:31 |
|
|
Champus
BlackBoarder
Dabei seit: 24.03.2002
Beiträge: 1.649
Herkunft: Karlsruhe
|
|
Bunny wenn der Dienst deaktiviert ist, sind auch die Ports closed, habe selber nachgeschaut und von einem anderen Rechner meinen Rechner nach offenen Ports gescannt, und der vom MS Nachrichtendienst war NICHT offen.
Also denk leiber erstmal nach bevor du mit deinem Hackerkram kommst ...
__________________
CorvusCorone -> Champus
|
|
|
30.10.2003 12:38 |
|
|
[CF]Bunny
#!/usr/bin/girl
Dabei seit: 05.08.2003
Beiträge: 219
Herkunft: ::1
|
|
@du mit dem komischen namen bei dems mir zu blöd ist den zu schreiben: Wenn man keine Ahnung hat sollte man lieber die Fr*ss* halten!
@all: Wer den Nachrichtendienst deaktiviert behebt damit NICHT die Sicherheitslücke! Es ist eine reine symptombekämpfung! Siehe hierzu das untenstehende Microsoft Sycurity Bulletin:
Microsoft Security Bulletin MS03-043
Pufferüberlauf im Nachrichtendienst kann Codeausführung ermöglichen (828035)
Erstveröffentlichung: 15. Oktober 2003 (letzte Aktualisierung am 22. Oktober 2003)
Gliederung dieses Bulletins
Zusammenfassung
Technische Details
Häufig gestellte Fragen (FAQs)
Problemumgehungen
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Windows.
Auswirkungen der Sicherheitsanfälligkeiten: Codeausführung
Bewertung des maximalen Schweregrads: Kritisch
Empfehlung: Benutzer sollten das Messenger Service umgehend deaktivieren und überprüfen, wie der Patch schnellstmöglich installiert werden kann.
Betroffene Software:
Microsoft Windows NT Workstation 4.0, Service Pack 6a
Microsoft Windows NT Server 4.0, Service Pack 6a
Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6
Microsoft Windows 2000, Service Pack 2
Microsoft Windows 2000, Service Pack 3, Service Pack 4
Microsoft Windows XP, Service Pack 1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP 64-bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-bit Edition
Nicht betroffen Software:
Microsoft Windows Me
Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.
Technische Details
Der Nachrichtendienst weist eine Sicherheitsanfälligkeit auf, die das Ausführen beliebigen Codes auf dem betroffenen System ermöglichen kann. Die Sicherheitsanfälligkeit ergibt sich, weil der Nachrichtendienst die Länge einer Nachricht nicht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Code mit der Berechtigung Lokales System auf dem betroffenen System ausführen oder ein Fehlschlagen des Nachrichtendienstes bewirken. Der Angreifer wäre anschließend in der Lage, beliebige Aktionen auf dem System auszuführen. Beispielsweise könnte er Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit vollständigen Privilegien einrichten.
Schadensbegrenzende Faktoren:
Nachrichten werden über NetBIOS oder RPC an den Nachrichtendienst übermittelt. Wenn Benutzer die NetBIOS-Ports (Ports 137-139) sowie UDP-Broadcastpakete durch eine Firewall blockiert haben, können andere Benutzer keine Nachrichten über diese Ports an sie senden. Die meisten Firewalls einschließlich der Internetverbindungsfirewall, die in Windows XP enthalten ist, blockieren NetBIOS standardmäßig.
Das Blockieren von UDP-Port 135 an der Firewall verhindert mögliche Angriffe.
Das Deaktivieren des Nachrichtendienstes verhindert ebenfalls mögliche Angriffe.
Auf Windows Server 2003-Systemen ist der Nachrichtendienst standardmäßig deaktiviert.
Bewertung des Schweregrads:
Windows NT 4.0 Server - Kritisch
Windows NT 4.0 Workstation - Kritisch
Windows NT Server 4.0 Terminal Server Edition - Kritisch
Windows 2000 - Kritisch
Windows XP - Kritisch
Windows Server 2003 - Mittel
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennungen der Sicherheitsanfälligkeit: CAN-2003-0717
Häufig gestellte Fragen (FAQs)
Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Code mit der Berechtigung Lokales System auf dem betroffenen System ausführen oder ein Fehlschlagen des Nachrichtendienstes bewirken. Der Angreifer wäre dann in der Lage, beliebige Aktionen auf dem System auszuführen. Beispielsweise könnte er Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit vollständigen Privilegien einrichten.
Was ist der Windows-Nachrichtendienst?
Der Nachrichtendienst ist ein Windows-Dienst, der net send-Nachrichten sowie Nachrichten übermittelt, die durch den Warndienst zwischen Clientcomputern und Servern ausgetauscht werden. Der Nachrichtendienst kann z. B. von Netzwerkadministratoren zum Senden administrativer Warnungen an Netzwerkbenutzer verwendet werden. Der Nachrichtendienst kann auch von Windows und anderen Softwareprogrammen verwendet werden. Windows kann ihn z. B. verwenden, um Sie zu informieren, dass ein Druckauftrag abgeschlossen wurde oder der Computer nicht mehr mit Strom versorgt wird und eine Umstellung auf die unterbrechungsfreie Stromversorgung erfolgt. Der Nachrichtendienst besitzt keine Beziehung zum Webbrowser, dem E-Mail-Programm, Windows Messenger oder MSN Messenger.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich aus einem ungeprüften Puffer im Nachrichtendienst.
Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, könnte die Berechtigung Lokales System auf dem betroffenen System erlangen oder ein Fehlschlagen des Dienstes bewirken.
Ist der Nachrichtendienst mit Windows Messenger oder MSN Messenger identisch?
Nein. Berücksichtigen Sie unbedingt, dass der Nachrichtendienst nicht mit Windows Messenger oder MSN Messenger identisch ist. Windows Messenger (http://messenger.microsoft.com) und MSN Messenger (http://messenger.msn.com) sind Instant Messaging-Dienste, die Benutzern Kommunikation sowie den Austausch von Bildern, Videos usw. ermöglichen. Im Gegensatz dazu ist der Nachrichtendienst (http://support.microsoft.com/default.aspx?scid=kb;de;168893) ein einfacher Nur-Text-Broadcastdienst, der hauptsächlich von Administratoren zum Senden von Warnungen an Benutzer verwendet wird, z. B. um sie vor anstehenden Ausfällen oder Serverwartungen usw. zu warnen.
Welcher Fehler liegt im Nachrichtendienst vor?
Die Sicherheitsanfälligkeit ergibt sich, weil der Nachrichtendienst die Länge einer Nachricht nicht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Code mit der Berechtigung Lokales System auf dem betroffenen System ausführen oder ein Fehlschlagen des Nachrichtendienstes bewirken. Der Angreifer wäre anschließend in der Lage, beliebige Aktionen auf dem System auszuführen. Beispielsweise könnte er Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit vollständigen Privilegien einrichten.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine besonders gestaltete Nachricht erstellt und diese dann an den Nachrichtendienst auf einem betroffenen System sendet.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass der Nachrichtendienst die Länge einer Nachricht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.
Problemumgehungen
Microsoft hat die folgenden Problemumgehungen geprüft. Diese Problemumgehungen schließen zwar die zugrunde liegende Sicherheitslücke nicht, tragen jedoch dazu bei, bekannte Angriffsmethoden abzuwehren. Problemumgehungen können in einigen Fällen eine Einschränkung der Funktionalität nach sich ziehen. Dies wird ggf. nachstehend angegeben.
Blockieren von UDP-Port 135 an der Perimeterfirewall.
Das Blockieren von UDP-Port 135 schützt Systeme hinter einer Firewall vor einem Angriff, der außerhalb der Firewall gestartet wird.
Verwenden einer persönlichen Firewall wie z. B. der Internetverbindungsfirewall (Internet Connection Firewall oder ICF - nur für Windows XP und Windows Server 2003 verfügbar).
Wenn Sie die Internetverbindungsfirewall in Windows XP oder Windows Server 2003 zum Schützen Ihrer Internetverbindung verwenden, wird eingehender RPC-Verkehr aus dem Internet standardmäßig blockiert.
So aktivieren Sie die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten:
Führen Sie den Netzwerkinstallations-Assistenten aus. Um auf diesen Assistenten zuzugreifen, zeigen Sie auf Systemsteuerung, doppelklicken Sie dann auf Netzwerk- und Internetverbindungen, und klicken Sie anschließend auf Heimnetzwerk bzw. kleines Büronetzwerk einrichten oder ändern.
Die Internetverbindungsfirewall wird aktiviert, wenn Sie im Assistenten eine Konfiguration auswählen, die angibt, dass Ihr Computer direkt mit dem Internet verbunden ist.
So konfigurieren Sie die Internetverbindungsfirewall manuell für eine Verbindung:
Doppelklicken Sie in der Systemsteuerung auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Netzwerkverbindungen.
Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie ICF aktivieren möchten, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Erweitert auf das Kontrollkästchen, um die Option Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird zu aktivieren.
Wenn Sie die Verwendung einiger Anwendungen und Dienste über die Firewall aktivieren möchten, müssen Sie diese aktivieren, indem Sie auf die Schaltfläche Einstellungen klicken und dann die Programme, Protokolle und Dienste auswählen, die für die ICF-Konfiguration aktiviert werden sollen.
Blockieren von Port 135 durch einen IPSec-Filter.
Sie können die Netzwerkkommunikation auf Windows 2000-, Windows XP- und Windows 2000 Server-Computern sichern, wenn Sie IPSec (Internet Protocol Security) verwenden. Ausführliche Informationen zu IPSec sowie zum Anwenden von Filtern finden Sie in den Microsoft Knowledge Base-Artikeln 313190 und 813878 (englischsprachig).
Deaktivieren des Nachrichtendienstes
Das Deaktivieren des Nachrichtendienstes verhindert mögliche Angriffe. Sie können den Nachrichtendienst deaktivieren, indem Sie folgendermaßen vorgehen:
Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung (oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung).
Doppelklicken Sie auf Verwaltung.
Doppelklicken Sie auf Dienste.
Doppelklicken Sie auf Nachrichtendienst.
Klicken Sie in der Liste Starttyp auf Deaktiviert.
Klicken Sie auf Beenden, und klicken Sie dann auf OK.
Auswirkung der Problemumgehung: Wenn der Nachrichtendienst deaktiviert ist, werden Nachrichten vom Warndienst (z. B. Benachrichtigungen von der Sicherungssoftware oder der unterbrechungsfreien Stromversorgung) nicht übertragen. Wenn der Nachrichtendienst deaktiviert ist, werden alle Dienste, die explizit vom Nachrichtendienst abhängen, nicht gestartet, und eine Fehlermeldung wird im Systemereignisprotokoll aufgezeichnet.
Den kompletten Bericht gibts hier
[EDIT]
Rechtschreibfehler entfernt
[/EDIT]
__________________
2 + 2 = 6 ...for extremely large values of 2
Tag für Tag kommt die Welt dem schrecklichen Augenblick ein Stückchen näher, an dem der Flügelschlag eines Schmetterlings einen Orkan auslösen wird, den selbst Gott nicht stoppen kann!
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von [CF]Bunny: 30.10.2003 13:44.
|
|
|
30.10.2003 12:56 |
|
|
Champus
BlackBoarder
Dabei seit: 24.03.2002
Beiträge: 1.649
Herkunft: Karlsruhe
|
|
Bunny ich bin nicht der mit dem komischen Namen, wenn du lesen gelernt hättest würdest du in meiner Signatur sehen können wer ich bin ...
Und wie meinst du das mit Fresse halten, ich habe es exakt geprüft, wird doch wohl nicht verboten sein dich mal zu korrigieren, ich will exs ja auchnur helfen, aber das verstehst du anscheinend nicht, naja, musste ja auchnicht, scheinst wohl noch ein bisschen zu primitiv dafür zu sein ...
Ps.: Scheinst wohl auch zu dumm fürs Internet zu sein, eine www Adresse wird nicht mit einem Punkt abgeschlossen, solltest du nicht wissen was ich meine dann gucke dir deinen Linl oben an. Wie heißt es so schön, erst überlegen, dann schreiben, darunter versteht man auch das man die Links die man postet vor dem Posten erstmal checkt.
__________________
CorvusCorone -> Champus
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Champus: 30.10.2003 13:32.
|
|
|
30.10.2003 13:30 |
|
|
Champus
BlackBoarder
Dabei seit: 24.03.2002
Beiträge: 1.649
Herkunft: Karlsruhe
|
|
So, den letzten link haste editiert, das weis ich ganz genau, also fang nicht an zu lügen.
Zudem scheinsnt du einfach nur zu dumm dafür zu sein dich mal richig mit dem Board zu befassen und dich an der Community teilzunehmen.
Zu 4.: Laber laber laber, check' erstmal nach ob es überhaupt stimmt was du sagst ...
__________________
CorvusCorone -> Champus
|
|
|
30.10.2003 13:47 |
|
|
auge02
auge02 (whiteman)
Dabei seit: 29.10.2003
Beiträge: 19
Herkunft: Deutschland
|
|
hy,
ist ja eine recht harte kritik. Auch wenn ich laber laber in so einem Board auch nicht leiden kann.
RE: die sicherheitslücke existiert,
Da hilft nur ein ordentliches Sicherheitskonzept und eine konzequente Anwendung dieses.
--> vorschalten einer frist base, mit hinreichender Sicherheitüberprüfung!
mfg
auge02
__________________
--------------------------------------
please reconnect by
auge02@gmx.de
and visit my page
http://www.auge02.de
--------------------------------------
|
|
|
30.10.2003 15:27 |
|
|
Rudolf
BlackBoarder
Dabei seit: 16.09.2003
Beiträge: 958
Themenstarter
|
|
@.r|mda³ und [CF]Bunny: danke euch beiden, dass ihr versucht dieses Thema so sorgfältig und gründlich aufzuarbeiten, aber bitte nicht dabei streiten. Ist doch kein Grund.
| Zitat: |
Das Blockieren von UDP-Port 135 an der Firewall verhindert mögliche Angriffe.
Das Deaktivieren des Nachrichtendienstes verhindert ebenfalls mögliche Angriffe. |
@[CF]Bunny: .r|mda³ hat Recht. Wenn MS-Nachrichtendienst deaktiviert ist, nimmt man so den Angreifer die Chance über diesen Dienst eine Codeausführung zu starten. Die Sicherheitslücke ist meiner Meinung für das System unerreichbar, aber sie ist noch immer im Programm vorhanden! Am besten ist es sich einfach den Patch von MS runterzuladen und auf sein System zu installieren.
|
|
|
30.10.2003 15:31 |
|
|
auge02
auge02 (whiteman)
Dabei seit: 29.10.2003
Beiträge: 19
Herkunft: Deutschland
|
|
| RE: [Nervt] Spam über MS-Nachrichtendienst |
|
An besten du installierst dir eine Firewall, bei der du nur die notwendigen Dienste durch lässt und den rest blockst. (TCP/UDP (21), 22, 53, 80 ,110, 113, 115, 443, 995, (2049), snmp, imap).
Ich denke das Problem löst du in dem du Port 135-138 sperrst.
mfg
auge02
__________________
--------------------------------------
please reconnect by
auge02@gmx.de
and visit my page
http://www.auge02.de
--------------------------------------
|
|
|
30.10.2003 15:37 |
|
|
[CF]Bunny
#!/usr/bin/girl
Dabei seit: 05.08.2003
Beiträge: 219
Herkunft: ::1
|
|
zum letzen mal: das abschalten des dienstes behebt nicht die sicherheitslücke!
__________________
2 + 2 = 6 ...for extremely large values of 2
Tag für Tag kommt die Welt dem schrecklichen Augenblick ein Stückchen näher, an dem der Flügelschlag eines Schmetterlings einen Orkan auslösen wird, den selbst Gott nicht stoppen kann!
|
|
|
30.10.2003 15:54 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
[CF]Bunny und .r|mda³ könntet Ihr bitte klären WIE man ihn schließt, statt Euch zu zoffen ? Das würd dem Themenstarter sicher mehr helfen! Danke
__________________
|
|
|
30.10.2003 16:50 |
|
|
|
