PC SCHALTET SICH EINFACH AB - REMOTEPROZEDURAUFRUF (RPC) - MSBlaster & Co

RPC-Dienst immer noch offen -- Microsoft bessert nach

Microsoft hat am Mittwochabend neue Patches für den RPC/DCOM-Dienst herausgebracht, in dem sie erst kürzlich schwerwiegende Sicherheitslücken gestopft hatten. Der Blaster/Lovsan-Wurm machte sich diese Sicherheitslücken zu Nutze, um sich Mitte August massiv zu verbreiten.

Das jüngste Security Bulletin MS03-039 warnt, dass sich offenbar noch immer drei Sicherheitslücken im RPC/DCOM-Dienst befinden, zwei davon ermöglichen die Ausführung von beliebigen Befehlen. Betroffen sind wiederum Windows NT, 2000, XP und Server 2003. Die Patches im aktuellen Bulletin bezeichnet Microsoft als Ersatz für die in MS03-026 aufgeführten. Microsoft stuft die neuen Lücken als kritisch ein und empfiehlt Anwendern und Administratoren dringend, die Patches schnellstmöglich einzuspielen.

Bei den Informationen, um was es sich bei den Problemen genau handelt, halten sich die Redmonder jedoch sehr bedeckt. Aus ihren Ausführungen lässt sich nicht einmal entnehmen, ob es sich um neue Lücken handelt oder um die bereits bekannten, die womöglich fehlerhaft gestopft wurden. Mehr Informationen liefert die Firma eEye Digital Security, bei der sich Microsoft für Berichte über das Problem bedankt. Ein parallel veröffentlichtes eEye-Advisory spricht von einer neuen Schwachstelle, die zu einer "Heap Corruption" führen kann. Der Heap ist ein Speicherbereich, in dem Variablen und auch dynamisch allozierter Speicher liegen. Heap-Overflows sind schwieriger auszunutzen als die klassischen Buffer-Overflows auf dem Stack, insbesondere weil es keinen generischen Weg gibt, einmal eingeschleusten Code anzuspringen. eEye hat jedoch anscheinend einen Weg gefunden, die Schwachstelle auszunutzen, stellt aber keinen konkreten Exploit-Code bereit. Dafür haben die Sicherheitsexperten ihren Retina-Security-Scanner so modifiziert, dass er in Netzwerken anfällige Systeme identifizieren kann. Eine spezieller RPC-Scanner steht zum kostenlosen Download bereit. Auch Microsoft stellt einen Scanner bereit, der verwundbare Systeme identifiziert.

Ob der bereits vor einiger Zeit berichtete, weitere Fehler im RPC-Dienst von Windows 2000 durch den aktuellen Microsoft-Patch beseitigt wird, ist derzeit noch offen. [...]

Zum Vergrößern anklicken....

Neue Angriffe auf Windows-PCs

In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können. Er nutzt dabei eine in der vergangenen Woche gemeldete Sicherheitslücke im RPCSS-Dienst aus, um Administrationzugriff auf das System zu erhalten. Anschließend legt das Tool ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen.

Anwender sollten so bald wie möglich die aktuellen Sicherheitsupdates von Microsoft einspielen, um sich zu schützen. Folgende Patches stellt Microsoft für deutschsprachige Windows-Systeme zur Verfügung:

Windows NT Workstation
Windows NT Server 4.0
Windows NT Server 4.0, Terminal Server Edition
Windows 2000
Windows XP
Windows XP 64 bit Edition
Windows XP 64 bit Edition Version 2003
Windows Server 2003
Windows Server 2003 64 bit Edition

Des Weiteren schützen dieselben Maßnahmen wie bei Blaster/Lovsan. Eine (Personal-)Firewall kann Angriffe gegen den RPCSS-Dienst abwehren, indem sie Zugriffe auf die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593 sperrt. Sofern RPC über HTTP oder COM Internet Services aktiviert sind, kann der RPC/DCOM-Dienst auch über die Ports 80 und 443 angesprochen werden.

Windows XP verfügt bereits über eine eingebaute Firewall, die allerdings von mancher Internet-Einwahlsoftware, zum Beispiel T-Online und AOL, umgangen wird. Einige Treiber für ISDN-Karten legen ebenfalls eigene Verbindungen an, bei denen die Firewall deaktiviert ist. Kerio Firewall und ZoneAlarm sind kostenlose Alternativen, die damit umgehen können.

Zum Vergrößern anklicken....

E-Mail-Wurm Swen/Gibe verkleidet sich als Microsoft-Update

Kleider machen Leute sagt man, offenbar gilt dies auch für Viren und Würmer. Der bereits im März erstmals aufgetauchte Wurm W32.Gibe alias Swen verschickte sich in einer gefälschten Mail mit Microsoft als Absender, in der Anwender aufgefordert wurden, ein "Sicherheits-Update" zu installieren. Arglose Benutzer, die einen echten Service von Microsoft vermuteten, spielten sich statt des Patches den Wurm auf die Festplatte. Jetzt hat Swen die Kleidung gewechselt und versucht Anwender in einer sehr gut gemachten HTML-Mail davon zu überzeugen, den im Anhang beigefügten angeblichen kumulativen Patch zu starten. Aufgrund der aktuellen Sicherheitslücken im Windows-RCPSS-Dienst und den Hinweisen in den Medien, sich die aktuellen Sicherheits-Updates zu installieren, dürfte auch diesmal eine Vielzahl von Anwender auf Swen hereinfallen.







Der Wurm verschickt sich von infizierten PCs an Mail-Adressen, die er auf dem System des Opfers findet. Dabei manipuliert er sogar die Header in der HTML-Mail, um einen älteren Fehler im Internet Explorer 5.01 und 5.5 auszunutzen. Hier reicht schon das Anschauen der Mail, um sich zu infizieren. Des Weiteren kopiert er sich selbst über Netzwerkfreigaben, KaZaa-Netze und den Internet Relay Chat. Der Schädling versucht zudem Antivirensoftware und Personal Firewall auf betroffenen Systemen abzuschalten.

Nach Angaben des Virenspezialisten Joe Stewart von Lurhq.com zählt der Wurm sogar einen Webcounter hoch, wenn er ein System befällt (Webcounter auf http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006). Demnach wären zum Zeitpunkt dieser Meldung bereits über eine Million Systeme befallen.

Grundsätzlich sollte man niemals vermeintliche Updates ausführen, die als E-Mail ins Haus kommen. Patches sind auf den Microsoft-Seiten erhältlich und werden grundsätzlich nicht via E-Mail verschickt. Weitere Hinweise zum Auftreten von Viren und Würmern in der E-Mail sowie generell zum Schutz vor elektronischen Schädlingen finden sich auf den Antiviren-Seiten von heise Security. Die Hersteller von Antivirensoftware haben ihre Signaturen bereits aktualisiert.

Siehe dazu auch:


Virenwarnung von NAI
Virenwarnung von Symantec
(dab/c't)

Zum Vergrößern anklicken....