Sicherheitsloch im Sasser-Wurm
Auf dem Sicherheitsportal k-otik wurde ein Exploit veröffentlicht, mit dem sich auf Rechnern, die vom Wurm Sasser befallen sind, beliebiger Code ausführen lässt.
Auf dem Sicherheitsportal k-otik wurde ein Exploit veröffentlicht, mit dem sich auf Rechnern, die vom Wurm Sasser befallen sind, beliebiger Code ausführen lässt. Die Autoren des Exploits haben einen Buffer Overflow im Sasser-Wurm gefunden; durch Überschreiben des SEH-Pointers (Structured Exception Handler) erhält der Angreifer eine Administrator-Shell auf Sasser-infizierten Windows-PCs. Zwar verfügt der Sasser-Wurm über eine Hintertür, doch diese lässt sich nur für begrenzten Lese-Zugriff verwenden. Durch Ausnutzen des Buffer Overflows kann quasi jeder die komplette Kontrolle über die Rechner übernehmen.
Allerdings funktioniert das veröffentlichte Exploit offenbar nur für Windows 2000 mit Service Pack 4 und Windows XP mit Service Pack 1. Bei anderen Windows-Versionen führt das Exploit zum Absturz des Wurms -- prinzipiell dürfte aber jedes Sasser-infizierte System anfällig sein, da der Exploit-Code angepasst werden kann. Durch die Veröffentlichung des Exploits ist zudem befürchten, dass bald Folgewürmer auftauchen, die diese Lücke ausnutzen. Unabhängig vom Patch-Level steht also jedes System, das mit Sasser infiziert ist, sperrangelweit offen. Vorsorglich sollten alle Anwender ihren Rechner nach dem Einspielen der Microsoft-Patches mit einem aktuellen Virenscanner untersuchen.
Siehe dazu auch: (pab)
- Practical SEH-Exploitation von The Hackers Choice (pdf)
- Wurm Sasser dringt über Sicherheitslücke ein auf heise Security
- Sasser: Phatbot als blinder Passagier auf heise Security
- Vermutlicher Sasser-Autor auch Netsky-Urheber auf heise Security
