COBOL für .NET

So schnell kann es also gehen. In der letzten Ausgabe merkten wir an dieser Stelle an, dass jeder ungepatchte IIS eine grobe Fahrlässigkeit des verantwortlichen Administrators darstellt. Bis in den frühen Morgen des 18. September gab es nicht wenige, die derartige Warnungen als übertriebene Ängstlichkeit abtaten. Dann kam Nimda. Es handelt sich um einen Wurm von bisher unbekannter Komplexität und Aggressivität, der Administratoren in der Tat Kopf stehen lassen kann. Der Name des Untiers ist von ‘Admin’ abgeleitet

Nimda nutzt - anders als bisherige Würmer - gleich mehrere, verschiedenartige Wege, um sich zu verbreiten, und ist deshalb hocheffizient. Bevor die einzelnen Wurmlöcher im Folgenden kurz beschrieben werden, sei angemerkt, dass Microsoft keine Schuld an diesem Ausbruch trifft: Alle von Nimda ausgenutzen Sicherheitslücken waren schon seit geraumer Zeit bekannt und gefixt. Hätten die Administratoren diese Patches rechtzeitig und flächendeckend eingespielt, hätte Nimda keine Chance gehabt.

Nimda verbreitet sich auf vier verschiedene Arten: Als E-Mail-Wurm, der sich über eine Sicherheitslücke im Internet Explorer verbreitet (Q290108, März 2001); als Webwurm, der zwei ältere Lücken im IIS ausnutzt (Q276489 und Q277873, Ende 2000) und außerdem die Hintertür verwendet, die Code Red II öffnet, wenn er nicht richtig entfernt wurde; über Webseiten auf infizierten Server, die von nicht gepatchten Clients angezeigt werden (ebenfalls Q290108); und, ganz klassisch, über freigegebene Netzlaufwerke, die mit einer unzureichenden Berechtigungsstruktur versehen sind. Bei Letzterem handelt es sich nicht um ein Sicherheitsloch sondern vielmehr um eine leichtsinnige Konfiguration.

Aufgrund dieser flexiblen Verbreitungsstrategie richtet Nimda deutlich größeren Schaden an als die beiden Code-Red-Würmer oder Ähnliches. iX sind global tätige Konzerne bekannt (bei denen es sich wohl nicht um Ausnahmen handeln dürfte), die ihre Netzverbindung zur Außenwelt für mehrere Tage ganz oder teilweise abgeschaltet haben; der Schaden geht jeweils in die Millionen.

Alle Administratoren, die nunmehr von der Notwendigkeit eines Schutzes vor derartigem Gewürm überzeugt sind, sollten Folgendes tun: Der IE 5.0x muss gepatcht werden, beim IE 5.5 reicht die Installation des aktuellen Servicepacks 2, der IE 6.0 stellt keinen Handlungsbedarf dar. Die Sicherheitslöcher im IIS sollte der Verantwortliche ebenfalls abdichten, am einfachsten mit dem Hotfix-Bündel, das Microsoft im August mit Security Bulleting MS01-044 veröffentlicht hat. Alternativ dazu kann man das IIS Lockdown Tool verwenden, das in der letzten Ausgabe an dieser Stelle besprochen wurde. Schließlich muss man noch alle Spuren einer Code-Red-II-Infektion entfernen; zum Beispiel mit dem CodeRedCleanup-Tool, das auf den Security-Seiten von Microsoft (s. u.) erhältlich ist.

Vorsicht sollten aber all diejenigen walten lassen, die das IIS Lockdown Tool auf Exchange-2000-Servern einsetzen wollen: Exchange benötigt Funktionen, die das Lockdown Tool abschaltet. Hier ist es allemal besser, die aktuellen Patches einzuspielen, auch wenn es etwas mehr Mühe machen sollte. Ein verbessertes Lockdown Tool, das diesen Umstand berücksichtigt, wird für Ende dieses Jahres erwartet.

Mehrere Hersteller von Antivirensoftware bieten Nimda-Scanner an; exemplarisch seien TrendMicro und eEye Digital Security genannt.

Wer jetzt auf den Geschmack gekommen ist und seinen IIS noch stärker absichern möchte, sollte sich das URLScan-Tool ansehen, das Microsoft Mitte September veröffentlicht hat. Es handelt sich um einen ISAPI-Filter, der potenziell gefährliche Netzwerkverbindungen direkt auf dem IIS blockiert. Der Filter wird über eine ini-Datei konfiguriert, abgelehnte Verbindungen protokolliert ein Logfile. Während man einige der angebotenen Schutzmechanismen vielleicht doch besser einer Firewall oder dem ISA-Server überlässt, gibt es durchaus sinnvolle Filter- und Ersetzungsregeln, die nur auf dem IIS Gültigkeit haben (Q307608).

Der Network Security Hotfix Checker von Microsoft analysiert über die Registry und über eine Prüfsumme der Programme den momentanen Patch-Stand auf einem oder mehreren Rechner. Das Tool setzt allerdings englischsprachige Systeme voraus, sodass bei deutschen Systemen die Checksummen immer falsch sind, Aussagen aufgrund der Registry-Einträge sind aber brauchbar und hilfreich. Maximized Software bietet eine kostenlose Ergänzung zum Hotfix Checker an, die aus der Ausgabe des Redmonder Tools eine HTML-Seite inklusive Links zu den fehlenden Patches erzeugt. Dieser Hotfix Reporter ist auf www.maximized.com/freeware/hotfixreporter erhältlich, der Hotfix Checker selbst bei Microsoft (Q303215).

Näheres zu den Sicherheitsproblemen gibt es online. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb erhältlich. (wm)