Plug&Play-Wurm Zotob nicht nur auf Windows 2000 beschränkt [Update]
Der Plug&Play-Wurm Zotob kann in bestimmten Fällen auch Windows Server 2003 befallen, wenn diese als SQL-Server oder Domänen-Controller arbeiten.
Das Internet Storm Center weist darauf hin, dass der Plug&Play-Wurm Zotob nicht nur Windows 2000 über das Netzwerk befallen kann, sondern in bestimmten Fällen auch Windows Server 2003. So nutzt Zotob zum Infizieren von Windows 2000 so genannte Null Sessions, mit denen sich ohne echte Authentifizerung beispielsweise Nutzerkonten, Shares, Gruppen und andere Informationen abfragen lassen.
In Standardinstallationen von Windows XP SP2 und Windows Server 2003 sind diese Null Sessions deaktiviert. Unter Umständen ist es jedoch laut ISC erforderlich, diese wieder zu aktivieren, beispielsweise wenn ein System als SQL- oder Exchange-Server oder als Domänen-Controller arbeiten soll. Dann kann Zotob auch in diese System eindringen.
Ob Null Sessions auf dem System zugelassen sind, können Administratoren in der Registry HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymoussam und HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous überprüfen. Sofern diese Werte auf 1 gesetzt sind, sind keine anonymen Zugriffe möglich.
Alternativ lassen sich die Einstellungen auch in den lokalen Sicherheitsrichtlinien (/Programme/Verwaltung/) unter den Punkten /Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen kontrollieren. Anonyme Aufzählung von SAM-Konten nicht erlauben sowie Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben sollten auf "Aktiviert" stehen.
Je nach Fall genügt es auch, nur einen Wert zu aktivieren. Hier sind aber weitere Tests erforderlich, um einen Kompromiss zwischen Sicherheit und Funktion zu finden. Allerdings lässt sich das Problem auch durch die Installation des Patches auf einen Schlag beseitigen.
Update
Microsoft hat sein Advisory zu der Plug&Play-Lücke und dem Wurm Zotob aktualisiert. Demnach können Windows Server 2003 und Windows XP SP2 selbst dann nicht infiziert werden, wenn die genannten Werte in der Registry auf 0 beziehungsweise auf "Deaktiviert" gesetzt sind. Andersrum lässt sich aber Windows 2000 nächtraglich sichern. Laut Microsoft müsse dazu der Schlüssel RestrictAnonymous auf 2 gesetzt werden, damit keine anonymen Verbindungen mehr möglich sind. Allerdings sei dies ohne ausführliche Tests nicht in Produktionsumgebungen zu empfehlen, da erhebliche Kompatibilitätsprobleme zu erwarten seien.
Siehe dazu auch: (dab)
- Zotob affecting some XP SP2/2003?, Handlers-Diary-Eintrag vom ISC
- Sicherheitsempfehlung von Microsoft
