Exploit für Outlook Express öffnet Hintertür

Für die an Microsofts bislang letztem Patch-Day veröffentlichte Sicherheitslücke in Outlook Express 5.5 und 6.0 ist nun ein erster Exploit aufgetaucht. Dies ist der zweite Exploit für eine Windows-Lücke innerhalb weniger Tage, der die volle Kontrolle eines Systems über das Netzwerk ermöglicht.

Der Code nutzt einen Buffer Overflow bei der Verarbeitung des NNTP-Protokolls während der Verbindung mit einem Newsserver aus, um Code einzuschleusen und auszuführen. Auf infizierten Systemen ist anschließend eine Hintertür auf TCP-Port 4444 geöffnet, sofern keine Firewall den Zugriff blockiert. Um sich zu infizieren, muss ein Opfer eine Verbindung zu einem präparierten Newsserver aufbauen. Allerdings genügt dazu unter Umständen schon ein unvorsichtiger Klick auf einen Link in einer Mail oder einer Webseite. Unter Windows 2000 und XP ist Outlook Express nämlich standardmäßig mit dem Newsprotokoll (news://news.server) verknüpft. Die normale Mail-Funktion ist von dem Problem nicht betroffen.

Nach Angaben von iDefense, Entdecker der Sicherheitslücke, hat der öffentliche Exploit noch ein paar Macken und funktioniert nicht zuverlässig. Zudem hat er als Zielplattform zur Zeit nur Windows 2000 mit Service Pack 4 einprogrammiert -- dies könnte sich schnell ändern. Bislang soll noch kein Benutzer einem Angriff zum Opfer gefallen sein. Um sich vor Angriffen zu schützen, sollten Anwender den von Microsoft veröffentlichten Patch installieren. Unter Windows XP und Server 2003 hat dies in der Regel bereits das automatische Update erledigt.

Siehe dazu auch: (dab)

• Microsoft Outlook Express NNTP Response Parsing Buffer Overflow Vulnerability, Fehleranalyse von iDefense
• Patch-Day bei Microsoft: Zehn Updates stopfen zwölf Lücken, Artikel auf heise Security