Exploits für ANI-Lücke im Internet Explorer
Für die am vergangenen Dienstag veröffentlichte Sicherheitslücke bei der Darstellung animierter Cursor (.ANI) im Internet Explorer kursiert bereits der erste Code zum Ausnutzen des Lecks.
Für die am vergangenen Dienstag bekannt gewordene Sicherheitslücke bei der Darstellung animierter Cursor (.ANI) im Internet Explorer kursiert bereits der erste Exploit. Außer Windows XP mit Service Pack 2 sind alle Windows-Versionen betroffen -- in SP2 ist der Fehler nicht enthalten. Das von Berend-Jan Wever, der schon den IFRAME-Exploit entwickelt hat, programmierte Angriffstool schleust schon beim Besuch einer präparierten Web-Seite Shellcode auf den Rechner und öffnet auf Port 28876 eine Backdoor. Sofern keine (Personal-)Firewall den Zugriff auf diesen Port unterbindet, kann der Angreifer das System fortan über das Netz steuern.
Da der Exploit Javascript benutzt, schafft das Abschalten von ActiveScripting erste Abhilfe. Allerdings ist Javascript nur Mittel zum Zweck, demnächst könnten weitere Exploits auftauchen, die ohne Skripte funktionieren. Anwender sollten also schleunigst das Sicherheits-Update installieren. Nach bisherigen Erkenntnissen sind noch keine Web-Seiten im Internet aufgetaucht, die Anwendern über diese Lücke Schädlinge unterjubeln.
Auch Systeme, auf denen die Backup-Lösung Backup Exec 8.x und 9.x von Veritas läuft, sind derzeit stärker bedroht. Nach Angaben des Internet Storm Centers nehmen die Scans auf den TCP-Port 6101 im Internet zu, seit ein Exploit für eine von iDFENSE gefundene Sicherheitslücke die Runde macht. Der Patch zum Schließen der Lücke ist seit Mitte Dezember verfügbar. Administratoren sollten überprüfen, ob ihr System aktualisiert ist und die Firewall Zugriffe aus dem Internet blockiert.
Siehe dazu auch: (dab)
- Veritas 'Sploits, MS05-002 PoCs von ISC
