Der "DCOMbobulator" kontrolliert und sichert den gefährlichen Windows-Dienst "DCOM"
von Steve Gibson, Gibson Research Corporation.
Übersetzung: H.Berkner, website-go.

Stand: 22.09,2010 Entwickelt von Steve Gibson

Microsofts DCOM-Sicherheitspatch lässt
DCOM aktiviert, offen und empfänglich für die
nächste Virenattacke.

Der 29 kByte kleine "DCOMbobulator" erlaubt es jedem Windows-Benutzer,
schnell die DCOM-Verwundbarkeit des Systems zu testen und anschließend
einfach das unnötige DCOM-Sicherkeitsrisiko auszuschalten.

Hinweis: DCOMbobulator ist ein Kunstwort. Ein "Bob" ist ein Kurzhaarschnitt - " to bobulate" kann man also in etwa mit stutzen übersetzen, und eben das tut der gibsonsche DCOMbobulator mit dem Windows-DCOM.

 

klicken Sie auf ein Bild, um den DCOMbobulator herunterzuladen.

Hinweis: Der DCOMbobulator liegt nur in der englishen Originalversion vor. Alle wesentlichen Informationen finden Sie auf dieser Seite. Die Bedienung des DCOMbobulators ist allerdings denkbar einfach, der im Programm enthaltenen Text erläutert lediglich die auch hier beschriebenen Zusammenhänge. Sollte der Download durch einen Linksklick nicht automatisch starten, versuchen Sie es mit einem Klick auf die rechte Maustaste und klicken dann auf "Ziel speichern unter".

 

Die seltsame Geschichte von DCOM

Vor vielen Jahren begann Microsoft damit, seine Windows-Anwendungen und Windows selbst zu modularisieren. Erreicht wurde dies durch das Aufbrechen in funktionale Teile mit definierten "versionssicheren" Schnittstellen. Der Gedanke dahinter war es, Teilen von Windows und Anwendungen eine Zusammenarbeit zu ermöglichen.

Zuerst wurde das Kind auf den Namen "OLE" (Objekt Linking and Embedding) getauft. Allerdings verlief die Geburt von OLE alles Andere als glatt und es entwickelte bald den Ruf einer schlechten Idee. Unerschrocken benannte es Windows in "COM" um, was für "Component Objekt Model" steht. Microsft trug sich mit der Hoffnung, dass niemand merken würde, dass es sich hierbei immernoch um das gleiche OLE handelte. Und tatsächlich erging es COM etwas besser als OLE aber Microsoft setzte noch einen obendrauf, gab ihm den sexy Namen "ActiveX" und baute es fast überall ein, sodass es die meisten Entwickler bald aufgaben, es nicht zu nutzen.

 

Was hat das alles mit Ihnen zu tun?

Überhaupt nichts... und das ist es ja gerade. Parallel zum holperigen Weg von OLE über COM zu ActiveX begannen Mitbewerber von Microsoft an "COBRA" zu arbeiten, einem objektorientierten System, welches die Interaktion von verschiedenen, physikalisch getrennten Anwendungen ermöglichen sollte (der Fachbegriff hierfür lautet "distributed" = verteilt). Microsofts Objekt-System bot diese Option nicht, aber wie wir wissen: wenn irgendwer was neues hat, dann hat Microsoft das auch. Also schaute Microsoft sich kurz um, hängte ein "D" (für distibuted) vor das "COM", um so "DCOM" - das "Distributed Component Objekt Model" zu erschaffen. Dann stopften sie es ab WIN98 in jede Windows-Version, obwohl es niemand brauchte, wollte oder benutze. Auf diese Weise konnte Microsoft behaupten, sie hätten bereits ein "distributed component system" in alle Betriebssysteme integriert.

 

Was nun tut DCOM für Sie?

Hmm, mal sehen... es lockt Internet-Würmer an und erlaubt es bösartigen Hackern, Ihr System zu kompromittieren. Darüber hinaus hat es keinem anderen Nutzen, außer, dass sich Microsoft es sich auf die "Wir-haben-es-auch-Fahne" schreiben kann. Vielleicht gibt es tatsächlich den einen oder anderen Entwickler, der es in eine Software integrieren konnte, aber das ist sicher die Ausnahme. Wie auch immer, man findet es in Windows - das COBRA der Mitbewerber hingegen nicht.

 

Der DCOMbobulator ermöglicht das Testen der aktuellen
DCOM-Patches und das endgültige Abschalten von DCOM.

 

Was macht der DCOMbobulator?

DCOM hat für annähernd niemanden einen praktischen Nutzen und, wie die gesamte Welt nach den jüngsten Lovsan-Attacken weiß, schafft es ein großes und unnötiges Sicherheits-Risiko. Darum ist es verrückt, DCOM aktiviert zu lassen. Der DCOM-Patch von Microsoft schließt zwar die jüngst bekannt gewordenen Lücke, da es aber nicht die erste war, wird es auch sicher nicht die letzte gewesen sein.

Steve Gibson hat den DCOMbobulator für zwei Aufgaben vorgesehen:

1. die Effektivität des DCOM-Patches von Microsoft verifiziern.

Das DCOM-Problem ist als dermaßen ernst einzustufen, dass alle Windows-Benutzer sich von der Funktionalität des aktuellen Ptches überzeugen sollten. Uns haben zahlreiche Meldungen erreicht, die besagen, dass Windows-Systeme trotz des Patches verwundbar blieben. Es scheint, dass aus irgendeinem Grund der Patch von Microsoft nicht immer funktioniert.

Jeder Benutzer von Windows sollte den DCOMbobulator nutzen, um schnell die Funktionalität des Microsoft-Patches zu überprüfen. Obwohl DCOM komplett deaktiviert werden sollte, ist es wichtig zu checken, ob die bekannte DCOM-Verwundbarkeit beseitigt wurde. Windows-Systeme brauchen eben die maximal erreichbare Unterstützung in Sicherheitsbelangen.

Weitere Informationen zum DCOM-Patch von Microsoft finden Sie unter:

http://support.microsoft.com/kb/823980/de


2. DCOM gänzlich abschalten.

Da kein normaler Windows-Benutzer jemals DCOM gebraucht hat sollte es augenblicklich deaktiviert werden. Das funktioniert ganz einfach durch das einmalige Klicken auf den Knopf "Disable DCOM" und das anschließende Neustarten von Windows.

Hinweis: Nutzer von netzwerkbasierter Spezial-Software sollten überprüfen, ob besondere Anwendungen DCOM verwenden. Sollte DCOM nach dem Deaktiviern benötigt werden, kann es durch das Klicken auf den "Enable DCOM" reaktiviert werden.

Hinweis: Man kann DCOM auch manuell deaktivieren, indem man in der Befehlszeile "dcomcfg" eintippt. Weiter gehts über "Komponenetendienste/ Computer" und Rechtsklick auf "Arbeitsplatz", "Eigenschaften/ Standardeigenschaften" und anschließendes Deaktivieren des DCOM-Eintrages (Häkchen entfernen). Der DCOMbobulator macht nichts anderes.


Vorstellung des DCOMbobulators

Der DCOMbobulator erlaubt es allen Windows-Benutzern,
schnell die Funktionalität von Microsofts DCOM-Sicherheits-Patch
zu überprüfen und darüber hinaus DCOM gänzlich abzuschalten,
um so einen großen Sicherheitsgewinn zu erzielen.

klicken Sie auf das Bild, um den DCOMbobulator herunterzuladen.

 

 

"DCOMbobulaten" Sie Ihr Windows-System

Laden Sie das 29 kByte-kleine Programm "DCOMbob.exe" herunter und führen Sie es aus. Sie werden anschließend die "DCOMbobulator?"-Informationsseite, die "Am I Vulnerable?"-Seite und die "COMbobulate Me!"-Seite sehen können. (Siehe obige Grafik.)

Der DCOMbobulator unterstützt zudem drei Befehlszeilen-Optionen, welche sinnvoll für den Einsatz von Logon-Scripts oder Batch-Befehlen sein können:

DCOMbob disable

DCOMbob enable 

DCOMbob verify 

Beim Ausführen der Befehlszeilen-Option wird die grafische Anzeige und der Sound vom DCOMbobulator unterdrückt. Die Befehle "disable" und "enable" lösen die entsprechenden Operationen nach einem Systemneustart aus.

Der Befehl "verify" instruiert den DCOMbobulator, zu überprüfen, ob das getestete System unverwundbar ist. Ist dies der Fall, verläuft die Ausführung des Befehls unauffällig und lautlos. Andernfalls erscheint jedoch folgende Warnung:



Den TCP-Port 135 schließen

Drei Systeme innerhalb WindowsNT/2000/XP/2003 teilen sich den TCP-Port 135: DCOM, Task-Planer und MS DTC (Distributed Transaction Manager). Da jeder dieser Dienste den Port 135 offen hält, müssen sie alle beendet werden, um den Port 135 zu schließen. Der DCOMbobulator deaktiviert und trennt DCOM von Port 135, übernimmt aber keine Verantwortung für die beiden anderen Dienste.

Unter Windows 95/98/Me wird das Deaktivieren von DCOM Port 135 schließen, da an diesen keine anderen Dienste gekoppelt sind und diese Betriebssysteme nicht über den MS DTC verfügen.

Jede Personal Firewall oder NAT-Router wird die offenen Ports eines System von externen Angriffen abzuschirmen suchen, es ist also weniger kritisch Port 135 offen zu halten, wenn solcherlei Sicherheitsvorkehrungen getroffen wurden. Trotzdem ist eine mehrschichtige Absicherung ratsam, in der auf Basis verschiedener Layer (Schichten nach dem OSI-Modell) entsprechende Sicherheitsvorkehrungen getroffen werden. Wenn Sie der Meinung sind, dass Sie ohne den Task-Planer und ohne MS DTC leben können, dann ist es sinnvoll, Port 135 ganz zu schließen.

MS DTC - Wie auch für DCOM, gilt für MS TDC, dass kaum ein Windows-Benutzer diesen Service benötigt. Sollte er gestartet sein, lässt er sich, ohne Nachteile in Kauf nehmen zu müssen, beenden, was man vom Task-Planer leider nicht sagen kann:

Task-Planer ("geplante Tasks") - WindowsXP-Benutzer, die das Startup-Performance-Tool für beschleunigten Systemstart nutzen möchten, müssen den Dienst aktiviert lassen. Viele sind auch durch periodische Antiviren- und andere Updateverfahren vom Task-Planer abhängig. Aus diesen Gründen könnte es für Sie weniger sinnvoll sein, den Task-Planer auszuschalten. Wie dem auch sei, es ist für die Benutzer aller anderen betroffenen Windows-Betriebsysteme wichtig, über diese Informationen zu verfügen, um Port 135 endgültig schließen zu können.

 

Ein Wort zu eEye Digital Security

Diese Seite wäre nicht vollständig ohne den Hinweis auf die hervorragende Hacker-Arbeit der Leute von eEye Digital Security. Ihre Arbeit ist direkt für das Aufdecken vieler kritischer Sicherheitsmängel in Windows-Systemen. Sie arbeiten ständig und erfolgreich daran, Windows deutlich sicherer für uns alle zu machen... und das ist keine leichte Arbeit. (Sie ist sicherlich größer als Microsoft.)

Es lohnt sich, deren excellente Scanner und Services zum Testen der Verwundbarkeit von Beriebssystemen auszupropieren. Besser kanns nicht werden.

Bravo eEye!

So, das ist alles.

Sie werden finden, dass es einfach, schnell und sicher ist, den DCOMbobulator zu verwenden. Da alle Windowsversionen seit WIN95 (und sogar einige WIN95-Systeme) DCOM aktiviert haben, sollten Sie Ihren Freunden davon berichten und sie ermutigen, den DCOMbobulator zu installieren, damit sie die Sicherheit ihres Computer erhöhen und zukünftigen Ärger mit DCOM vermeiden können.