WCM Forum - Einzelnen Beitrag anzeigen - Kann mir jemand folgenden firewall logfile eintrag erklären

Bastet · 31.05.2002, 09:47

Windows XP und Universal Plug and Play

Die vor einiger Zeit durch eEye-Digital-Security veröffentlichte Sicherheitslücke hat noch weitere Auswirkungen, die bei Benutzern von Firewallsystemen einige Verwirrung auslösen könnte.

Bei der Sicherheitslücke ist es durch die standardmäßig installierte "Universal Plug and Play" Unterstützung möglich, über einen Pufferüberlauf beliebigen Code im Zielsystem auszuführen und so die Kontrolle über den Rechner zu bekommen. Eine weitere Sicherheitslücke kann dazu genutzt werden, einen Denial of Service Angriff zu starten, auch wenn auf dem Zielrechner kein Windows XP installiert ist. Es reicht aus, wenn auf dem angegriffenen Computer die XP Software für das Internet Connection Sharing (ICS) läuft.

Für diese Sicherheitslücken stellt Microsoft zwischenzeitlich einen Patch bereit unter: UPNP-Patch

Benutzer von Firewalls können mitunter durch seltsame Verbindungsanzeigen arg irritiert werden. So sendet die Datei svchost.exe (ein Sammelprozess für verschiedene Prozesse) UDP (User Datagramm Protokoll) Pakete über Port 1900 an die Broadcast-Adresse 239.255.255.250. Der dahinterliegende Sinn sind so genannte SSDP (simple service discovery protokoll) Pakete. Die bereits unter Windows ME eingeführte Unterstützung für Universal Plug and Play sendet auf Basis eines eingeschränkten XML-Parsers Informationen von PNP fähigen Geräten in das Netzwerk, um sie anderen SSDP fähigen Rechnern bekannt zu machen. Leider ist der SSDP-Dienst aber zu dumm um festzustellen, ob ein Rechner überhaupt in einem LAN betrieben wird und sendet so auch von Einzelplatzrechnern diese Informationen los.

Das Mittel der Wahl ist die dauerhafte Deaktivierung des SSDP-Dienstes. Gehen Sie dabei wie folgt vor:

Öffnen Sie die Verwaltung über "Start/Einstellungen/Systemsteuerung/Verwaltung"
Wählen Sie "Dienste" aus.
Deaktivieren Sie SSDP Suchdienst(ssdpsrv.exe) in den Komponentendiensten der Verwaltung.

Anschließend sollten die mysteriösen Verbindungsaufnahmen beendet sein.

Einen weiterführenden Artikel über das UPNP-Problem finden Sie auch bei Rotalarm.de unter: UPN-Lücke

31.05.2002, 09:47	#10
Bastet Elite Registriert seit: 07.09.2000 Beiträge: 1.036	Windows XP und Universal Plug and Play Die vor einiger Zeit durch eEye-Digital-Security veröffentlichte Sicherheitslücke hat noch weitere Auswirkungen, die bei Benutzern von Firewallsystemen einige Verwirrung auslösen könnte. Bei der Sicherheitslücke ist es durch die standardmäßig installierte "Universal Plug and Play" Unterstützung möglich, über einen Pufferüberlauf beliebigen Code im Zielsystem auszuführen und so die Kontrolle über den Rechner zu bekommen. Eine weitere Sicherheitslücke kann dazu genutzt werden, einen Denial of Service Angriff zu starten, auch wenn auf dem Zielrechner kein Windows XP installiert ist. Es reicht aus, wenn auf dem angegriffenen Computer die XP Software für das Internet Connection Sharing (ICS) läuft. Für diese Sicherheitslücken stellt Microsoft zwischenzeitlich einen Patch bereit unter: UPNP-Patch Benutzer von Firewalls können mitunter durch seltsame Verbindungsanzeigen arg irritiert werden. So sendet die Datei svchost.exe (ein Sammelprozess für verschiedene Prozesse) UDP (User Datagramm Protokoll) Pakete über Port 1900 an die Broadcast-Adresse 239.255.255.250. Der dahinterliegende Sinn sind so genannte SSDP (simple service discovery protokoll) Pakete. Die bereits unter Windows ME eingeführte Unterstützung für Universal Plug and Play sendet auf Basis eines eingeschränkten XML-Parsers Informationen von PNP fähigen Geräten in das Netzwerk, um sie anderen SSDP fähigen Rechnern bekannt zu machen. Leider ist der SSDP-Dienst aber zu dumm um festzustellen, ob ein Rechner überhaupt in einem LAN betrieben wird und sendet so auch von Einzelplatzrechnern diese Informationen los. Das Mittel der Wahl ist die dauerhafte Deaktivierung des SSDP-Dienstes. Gehen Sie dabei wie folgt vor: Öffnen Sie die Verwaltung über "Start/Einstellungen/Systemsteuerung/Verwaltung" Wählen Sie "Dienste" aus. Deaktivieren Sie SSDP Suchdienst(ssdpsrv.exe) in den Komponentendiensten der Verwaltung. Anschließend sollten die mysteriösen Verbindungsaufnahmen beendet sein. Einen weiterführenden Artikel über das UPNP-Problem finden Sie auch bei Rotalarm.de unter: UPN-Lücke ____________________________________ Bye Bastet