Großangriff auf Windows-Rechner befürchtet

6. August 2003, 11:28
10 Postings

Experten warnen vor neuem Wurm und Code Red-Zuständen - Anwender sollen umgehend das Sicherheitsupdate installieren

Laut einem Bericht von CNet könnte schon sehr bald ein neuer Großangriff auf Windows-Rechner bevorstehen. Eine Cracker-Gruppe hat kürzlich einen schädlichen Code veröffentlicht, der eine Sicherheitslücke im Microsoft Betriebssystem Windows ausnutzt. Die Sicherheitsexperten befürchten nun, dass ein neuer gefährlicher Windows-Wurm schon bald sein Unwesen treiben könnte.

Source Code des Schädlings veröffentlicht

Sicherheitsexperten, wie etwa eEye Digital Security, haben sich zur großangelegten Warnung der Anwender entschlossen, nachdem chinesische Hacker den Source Code des Exploits, daher der Software, die den Fehler in Windows ausnutzen kann, veröffentlicht hatten. Aus diese Exploit kann nun auch von weniger geübten Crackern ein gefährlicher Wurm "gebastelt" werden. Angreifer können dadurch - laut Angaben der Sicherheitsexperten - uneingeschränkten Zugriff auf den Windows-Rechner erlangen.

Anwender sollen Patch umgehend installieren

Der Softwarekonzern Microsoft hatte bereits vor einigen Tagen einen entsprechenden Patch in seinem Security Bulletin MS03-026 veröffentlicht. Sicherheitsexperten raten den Anwender dieses Sicherheitsupdate nun umgehend zu installieren. Sollte Unternehmen und Anwender nicht schnell genug reagieren, fürchten die Experten ähnliche Auswirkungen wie bei den bekannten Schädlingen Code Red und dem SQL Slammer-Wurm.

Alle Windows-Versionen ab Windows NT

Der Fehler, den das Exploit ausnutzt, betrifft die RPC-Implementierung in allen Windows-Versionen ab Windows NT. Auch das neue Windows Server 2003 ist betroffen. Durch einen Pufferüberlauf kann ein Angreifer beliebigen Code ausführen. In einem Microsoft Advisory findet sich eine nähere Erläuterung, wonach nicht nur der TCP-Port 135 betroffen ist, sondern auch über den UDP-Port 135 und die TCP-Ports 139 beziehungsweise 445 ein Angriff möglich ist. Auf diversen Mailinglisten finden sich Einträge wonach über den Dienst ncacn_http prinzipiell auch ein Exploit über dessen Port 593 möglich sei. Sollte auf einem Server zusätzlich auch noch COM Internet Services aktiviert (nicht per default) sein, könnte ein Angreifer den verwundbaren RPC-Dienst eventuell sogar über Port 80 erreichen. (red)

Share if you care.