Erste Exploits nutzen Plug&Play-Lücke in Windows aus

Zwei kürzlich aufgetauchte Exploits für die Plug&Play-Sicherheitslücke in Windows hat einige Hersteller zur Veröffentlichung gesonderter Warnungen veranlasst.

In Pocket speichern vorlesen Druckansicht 247 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Zwei kürzlich aufgetauchte Exploits zum Ausnutzen der Plug&Play-Sicherheitslücke in Windows (MS05-039) hat einige Hersteller zur Veröffentlichung gesonderter Warnungen veranlasst. So hat Microsoft zusätzlich zum Security Bulletin vom Dienstag nun noch ein Security Advisory herausgegeben. Darin wird auf den Schadcode hingewiesen, mit dem sich über das Netzwerk die Kontrolle über einen ungepatchten Rechner gewinnen lässt.

Besonders Windows 2000 ist durch den Exploit bedroht, da dort für einen erfolgreichen Angriff keine vorherige Authentifizierung notwendig ist. Zwar ist die Lücke auch in Windows XP und Server 2003 enthalten, dort muss der Eindringling aber zusätzlich noch einen Anmeldenamen und ein Passwort erraten.

Die bislang kursierenden Exploits widmen sich daher auch nur Windows 2000. Allerdings relativiert sich die Bedrohung, da Windows 2000 eigentlich eher im Unternehmensbereich Einsatz findet. Die Netze sind dort in der Regel durch eine Firewall vom Internet abgeschottet, sodass ein Angreifer gar keinen Kontakt mit verwundbaren Rechnern aufbauen kann.

Allerdings ist ein Angriff von innen nicht auszuschließen. Bereits bei Sasser und Lovsan wähnten sich Firmenanwender fälschlicherweise auf der sicheren Seite, bis die Würmer durch Firmenlaptops einschleppt wurden. Derzeit sind allerdings noch keine Angriffe mit den neuen Exploits zu verzeichnen. Anwender sollten aber auf jeden Fall die Patches installieren.

Der Sicherheitsdienstleister eEye warnt ebenfalls vor den Exploits. Einer davon öffnet nach einem erfolgreichen Angriff eine Backdoor auf Port 8721. eEye stellt das kostenlose Tool Retina UMPNP Scanner zu Verfügung. Damit können Administratoren über das Netzwerk überprüfen, welche Rechner noch verwundbar sind. Allerdings erfordert der Download eine vorherige Registration.

Bislang unbestätigten Gerüchten zufolge existieren für die Lücken im Druckerspooler (MS05-40) und in Kerberos (MS05-42) bereits auch schon Exploits.

Siehe dazu auch: (dab)