Warnungen vor Angriffen auf Windows-PC [Update]
Das in Windows NT, 2000, XP und 2003 Server gefundene Sicherheitsloch im RPC-Dienst veranlaßt die US-Regierung eine Warnung herauszugeben.
Das in Windows NT, 2000, XP und 2003 Server gefundene Sicherheitsloch im RPC-Dienst hat die US-Regierung veranlasst, eine Warnung herauszugeben. Das Department of Homeland Security weist darauf hin, dass mehrere Exploits im Internet kursieren und in den nächsten Tagen mit großangelegten Angriffen zu rechnen sei. Auch das CERT/CC hat bereits Hinweise auf verstärkte Aktivitäten gemeldet. Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnik sagte hingegen gegenüber der Süddeutschen Zeitung: "Derzeit gibt es allerdings noch keine Anzeichen für Angriffe".
Bisherige Exploits funktionierten nur für ausgewählte Ziel-Plattformen, wie zum Beispiel die englische Version von Windows 2000 mit Service Pack 3. Für andere Plattformen waren die notwendigen Offsets unbekannt, um den durch einen Buffer Overflow auf den Stack geschriebenen Code anzuspringen. Auf der Mailing-Liste Full-Disclosure wurde nun ein Exploit veröffentlicht, der die Offsets für viele Plattformen enthält, darunter auch deutsche Versionen von Windows 2000 und XP mit verschiedenen Service Packs.
Die Exploits ermöglichen einem Angreifer die volle Kontrolle über das System. Microsoft hat zwar einen Patch zur Beseitigung des Sicherheitslochs zur Verfügung gestellt, jedoch scheint dieser noch nicht überall eingespielt worden zu sein. Ein spezielles Tool der Sicherheitsexperten von eEye kann feststellen, ob die eigenen Systeme verwundbar sind, bevor es andere tun.
Daneben gibt es aber einen weiteren Exploit für den RPC-Dienst, der Denial-of-Service-Attacken gegen Windows-2000-Systeme möglich macht. Hierzu hat Microsoft noch keinen Patch zur Verfügung gestellt. Als Workaround sollte Port 135 gefiltert oder gesperrt werden. Das Abschalten von RCP-Diensten kann nicht empfohlen werden, da auch lokale Dienste darauf angewiesen sind.
Mittlerweile wird mit einem neuen Internet-Wurm gerechnet, der die Schwachstellen ausnutzt. Die derzeit stattfindende Defcon 11, die größte Sicherheitskonferenz weltweit, könnte der Ausgangspunkt dafür sein.
Siehe dazu auch: (dab)
