Exploits für Sicherheitslücken in Windows aufgetaucht [Update]

Für die am Dienstag in fast allen Windows-Versionen gemeldete Sicherheitslücke in der ASN.1-Bibliothek ist ein erster Exploit aufgetaucht. Bisher erhält man damit noch keine Shell zum Zugriff auf das System. Stattdessen kann man damit aber Server und Clients über das Netzwerk zum Neustart zwingen.

Erste Tests des Exploits in der heise-Security-Redaktion brachte auf ungepatchten deutschen W2K-Versionen mit Service Pack 4 das Local Security Authority Subsystem (lsass.exe) zum Absturz. In der Folge fuhr das NT-Autoritätssystem -- wie schon bei Angriffen des Wurms Lovsan/Blaster -- den Rechner runter. In einigen Fällen verbraucht lsass.exe fast hundert Prozent der Systemresourcen, womit der Rechner unbedienbar wird. Der Angriff erfolgt wahlweise über Port 139 oder 445, eventuell funktionieren auch andere NetBIOS-Ports wie 135, 137 und 138. Auf Full Disclosure gibt es Meldungen, dass auch Windows XP mit Service Pack 1 verwundbar sei. Ein ungepatches deutsches XP mit Service Pack 1 zeigte sich bei unseren Tests von dem Exploit aber unbeeindruckt.

Es ist sehr wahrscheinlich, dass der Code in den nächsten Tagen oder Wochen verfeinert wird, um ihn für verschiedene Zielplattformen einsatzfähig zu machen. Darüber hinaus ist auch bald mit ersten Versionen zu rechnen, mit denen der Zugriff über das Netzwerk auf angegriffene Systeme möglich ist. Im veröffentlichten Quellcode des Exploits sind zudem, anders als üblich bei solchen Programmen, keine aufwendigen Script-Kiddie-Sperren eingebaut, die das Kompilieren erschweren sollen. Sofern Anwender oder Administratoren ihre Systeme noch nicht aktualisiert haben, sollten sie dies jetzt schleunigst nachholen. Privat-Anwender sollten zusätzlich die Ports (UDP und TCP) 135, 137, 138, 139 und 445 auf ihren Systemen filtern beziehungsweise blockieren. Windows XP verfügt über einen eingebauten Filter, Windows-2000-Anwender benötigen entsprechende Zusatzsoftware, etwa Personal Firewalls.

Des Weiteren gibt es glaubhafte Meldungen, dass Exploits verfügbar sind, die auf Basis des veröffentlichten Windows-2000-Quellcodes programmiert wurden, mit denen sich beliebiger Code auf Windows-Systeme einschleusen und ausführen lässt. Durch die Analyse des Sourcecodes kann man erheblich schneller Sicherheitslücken identifizieren und passende Exploits programmieren.

Update
Auch in Windows 2000 lassen sich Ports unter /Netzwerkverbindungen/Einstellungen blockieren, allerdings gilt die Filterung dann für alle Netzwerkkarten und DFÜ-Interfaces. Ein Rechner ist dann nicht mehr im LAN erreichbar. Einzelne Ports für UDP und TCP können zwar wieder freigegeben werden, unerfahrende Anwender sollten sich hier allerdings unterstützen lassen, um nicht aus Versehen doch wieder alle Ports freizugeben. Auch die IPsec-Policies unter W2K lassen sich als Paketfiltern-Regeln einsetzen, zur richtigen Einstellung ist aber Netzwerkerfahrung erforderlich. Die in XP eingebaute Firewall ermöglicht die Konfiguration für jedes Interface einzeln und ist übersichtlicher zu konfigurieren. (dab)