Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution

[Necron 71]

Hallo Community,

 

nun betrifft es diesmal den DNS-Server von Microsoft, durch den Schadcode in das System eingeschleust werden kann. Laut Microsoft wird die Lücke bereits aktiv ausgenutzt.

 

Mehr dazu ->Microsoft Security Advisory (935964): Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.

[Der Newbie 10]

Hallo Community,

 

nun betrifft es diesmal den DNS-Server von Microsoft, durch den Schadcode in das System eingeschleust werden kann. Laut Microsoft wird die Lücke bereits aktiv ausgenutzt.

 

Mehr dazu ->Microsoft Security Advisory (935964): Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.

 

 

Hallo,

 

ich habe einen 2000 Server als PDC laufen. Nachdem ich den Registryhack von Microsoft ausgeführt habe und den Server rebootet habe, kann sich kein Client mehr anmelden, weil kein AD mehr zu Verfügung steht.

 

Das Netz ist zwar noch über Netzwerke erreichbar mit eingabe von Namen und PAsswort, aber nicht mehr per domänenlogin.

 

Auf dem client kommt die Fehlermeldungen

 

"Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). " und der Folgefehler

 

"Die automatische Zertifikatregistrierung für "PAUL\Peter" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden."

 

Im Systemprotokoll steht noch:

 

"Ereignistyp: Warnung

Ereignisquelle: LSASRV

Ereigniskategorie: SPNEGO (Vermittlung)

Ereignis ID: 40960

Datum: 21.04.2007

Zeit: 20:48:50

Benutzer: Keine Angabe

Computer: PAUL01

Beschreibung:

Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server cifs/192.168.10.1 festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.

(0xc000005e)".

 

 

und

 

"Ereignistyp: Warnung

Ereignisquelle: LSASRV

Ereigniskategorie: SPNEGO (Vermittlung)

Ereignis ID: 40961

Datum: 21.04.2007

Zeit: 20:48:50

Benutzer: Keine Angabe

Computer: PETER01

Beschreibung:

Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/192.168.10.1 herstellen. Es war kein Authentifizierungsprotokoll verfügbar.

 

und

 

"Ereignistyp: Warnung

Ereignisquelle: LSASRV

Ereigniskategorie: SPNEGO (Vermittlung)

Ereignis ID: 40960

Datum: 21.04.2007

Zeit: 20:49:47

Benutzer: Keine Angabe

Computer: TT01

Beschreibung:

Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server ldap/192.168.10.1 festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.

(0xc000005e)".

 

 

Das sind wohl alles Fehler, die mit DNS zusammenhängen. Das hat zumindest meine Googlerecherche ergeben.

 

Diese Meldung kommt von NT Utilities:

 

 

(5) Active Directory:

Unable to connect to: [LDAP://192.168.10.1/DC=braham,DC=de].

Systemfehler: 8251 (-2147016645) (0x8007203B)

Systemnachricht:

Ein lokaler Fehler ist aufgetreten.

 

 

Auf dem Server scheint alles klar zu sein, keine Fehlermeldungen. Ich habe dann mal dcdiag laufen lassen und dort diesen Fehler gefunden:

 

Running enterprise tests on : braham.de

Starting test: Intersite

......................... braham.de passed test Intersite

Starting test: FsmoCheck

Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355

A Primary Domain Controller could not be located.

The server holding the PDC role is down.

......................... braham.de failed test FsmoCheck

 

 

Obwohl ich nur diesen Registrywert eingefügt habe, scheint der DC (ist der einzige DC) seine Rolle als PDC verloren zu haben.

 

Vielleicht ist es aber auch nur der abgeschaltete oder eingeschränkte RPC Dienst sein, denn der hat ja auch was mit DNS zu tun? vielleicht wird der PDC über RPC abgefragt, keine Ahnung.

 

Hat jemand von Euch eine Idee, was ich tun könnte?

 

lg, newbie..