Der Fehler steckt im "Locator Service" ("RPC Locator") des Domain Controllers. Er übersetzt Netzwerknamen von Ressourcen, zum Beispiel Drucker oder Server, in ihre tatsächliche Netzadresse. Da dieser Dienst bestimmte, per Remote Procedure Call (RPC) übergebene Parameterinformationen nicht korrekt abarbeitet, kann es zu einem Speicherüberlauf kommen. Nutzt ein Hacker dies aus, legt er den Locator Service lahm und wird unter Umständen befähigt, eigenen Code auf dem beeinträchtigten Rechner auszuführen. Gefährdet sind folgende Betriebssysteme: Windows NT 4.0 sowie NT 4.0 Terminal Server Edition, Windows 2000 und XP.

Eine richtig konfigurierte Firewall sollte Funktionsaufrufe von außen eigentlich abblocken. (fn)