Jump to content

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community,

 

nun betrifft es diesmal den DNS-Server von Microsoft, durch den Schadcode in das System eingeschleust werden kann. Laut Microsoft wird die Lücke bereits aktiv ausgenutzt.

 

Mehr dazu ->Microsoft Security Advisory (935964): Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.

 

 

Hallo,

 

ich habe einen 2000 Server als PDC laufen. Nachdem ich den Registryhack von Microsoft ausgeführt habe und den Server rebootet habe, kann sich kein Client mehr anmelden, weil kein AD mehr zu Verfügung steht.

 

Das Netz ist zwar noch über Netzwerke erreichbar mit eingabe von Namen und PAsswort, aber nicht mehr per domänenlogin.

 

Auf dem client kommt die Fehlermeldungen

 

"Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). " und der Folgefehler

 

"Die automatische Zertifikatregistrierung für "PAUL\Peter" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden."

 

Im Systemprotokoll steht noch:

 

"Ereignistyp: Warnung

Ereignisquelle: LSASRV

Ereigniskategorie: SPNEGO (Vermittlung)

Ereignis ID: 40960

Datum: 21.04.2007

Zeit: 20:48:50

Benutzer: Keine Angabe

Computer: PAUL01

Beschreibung:

Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server cifs/192.168.10.1 festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.

(0xc000005e)".

 

 

und

 

"Ereignistyp: Warnung

Ereignisquelle: LSASRV

Ereigniskategorie: SPNEGO (Vermittlung)

Ereignis ID: 40961

Datum: 21.04.2007

Zeit: 20:48:50

Benutzer: Keine Angabe

Computer: PETER01

Beschreibung:

Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/192.168.10.1 herstellen. Es war kein Authentifizierungsprotokoll verfügbar.

 

und

 

"Ereignistyp: Warnung

Ereignisquelle: LSASRV

Ereigniskategorie: SPNEGO (Vermittlung)

Ereignis ID: 40960

Datum: 21.04.2007

Zeit: 20:49:47

Benutzer: Keine Angabe

Computer: TT01

Beschreibung:

Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server ldap/192.168.10.1 festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.

(0xc000005e)".

 

 

Das sind wohl alles Fehler, die mit DNS zusammenhängen. Das hat zumindest meine Googlerecherche ergeben.

 

Diese Meldung kommt von NT Utilities:

 

 

(5) Active Directory:

Unable to connect to: [LDAP://192.168.10.1/DC=braham,DC=de].

Systemfehler: 8251 (-2147016645) (0x8007203B)

Systemnachricht:

Ein lokaler Fehler ist aufgetreten.

 

 

Auf dem Server scheint alles klar zu sein, keine Fehlermeldungen. Ich habe dann mal dcdiag laufen lassen und dort diesen Fehler gefunden:

 

Running enterprise tests on : braham.de

Starting test: Intersite

......................... braham.de passed test Intersite

Starting test: FsmoCheck

Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355

A Primary Domain Controller could not be located.

The server holding the PDC role is down.

......................... braham.de failed test FsmoCheck

 

 

Obwohl ich nur diesen Registrywert eingefügt habe, scheint der DC (ist der einzige DC) seine Rolle als PDC verloren zu haben.

 

Vielleicht ist es aber auch nur der abgeschaltete oder eingeschränkte RPC Dienst sein, denn der hat ja auch was mit DNS zu tun? vielleicht wird der PDC über RPC abgefragt, keine Ahnung.

 

Hat jemand von Euch eine Idee, was ich tun könnte?

 

lg, newbie..

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...