KW29: CSOC-Event der Woche – CVE-2008-4250

Durchschnittliche CSOC-Gesamtevents pro Tag:     114.785
Detektionshäufigkeit CVE-2008-4250 / MS-08-067:      76

Eventbeschreibung CVE-2008-4250 / Kritikalität = hoch (10 / 10)

Im Laufe der vergangenen Woche haben wir innerhalb der Netzwerke unserer HUB-Mitglieder zwölfmal die Ausführung eines älteren Remote-Code-Execution-Exploits registriert. Dieser Exploit nutzt eine Schwachstelle im SMB-Protokoll aus und kann per Knopfdruck zu vollständiger Systemübernahme führen. Betroffen sind insbesondere die älteren Windowsbetriebssysteme XP, 2000 und Server 2003. Die Schwachstelle wurde im Jahr 2008 insbesondere durch den Wurm „Conficker“ bekannt und zeigt auf, wie wichtig ein konsistentes Patch-Management sowie der Einsatz moderner Betriebssysteme ist. Das passende Schadcode-Modul ist in Metasploit (Hacker-Tool) bekannt als „ms08_067_netapi“.

Technische Beschreibung: (CVE-2008-4250)

This module exploits a parsing flaw in the path canonicalization code of NetAPI32.dll through the Server Service. This module is capable of bypassing NX on some operating systems and service packs. The correct target must be used to prevent the Server Service (along with a dozen others in the same process) from crashing.