Exploits für aktuelle Windows-Lücken [Update]
Offenbar existieren bereits Exploits für zwei der Sicherheitslücken des letzten Patchdays. Für andere wurden weitere Details veröffentlicht.
Für die am Patchday gestopften Sicherheitslücken der Collaboration Objects (MS05-048) und in MSDTC und COM+ (MS05-051) existieren offenbar bereits Exploits, mit denen Angreifer übers Netz die vollständige Kontrolle über betroffene Systeme erlangen könnten. So hat Gary Oleary-Steele, Entdecker des Fehlers in den Collaboration Objects, in einem eigenen Advisory auf der Sicherheits-Mailingliste Bugtraq bekannt gegeben, dass er den Exploit-Code Teilnehmern seines Sicherheitsseminars zugänglich mache. Das Internet Storm Center berichtet, dass die Firma Immunity Exploits zu der MSDTC/COM+-Lücke an ihre Kunden weitergebe.
Der Immunity-Exploit zielt speziell auf Windows 2000, anfällig sind jedoch auch Windows XP und Server 2003 einschließlich der 64-Bit-Varianten. Auf dem betroffenen Port 3372 beobachtet das ISC auch bereits deutliche Zunahme der Aktivitäten, was auf eine gezielte Suche nach potenziellen Opfern hinweist.
Zudem hat der Sicherheitsberater eEye zwei detaillierte Advisories zu den Sicherheitslücken in MSDTC und COM+ (MS05-051) und DirectShow (MS05-050) veröffentlicht. So ist damit zu rechnen, dass in den kommenden Tagen weitere Exploits entwickelt und auch veröffentlicht werden. Wer es also noch nicht getan hat, sollte nun umgehend die von Microsoft veröffentlichten Updates einspielen.
Update:
Die angekündigten Exploits kommen wie vermutet: Das französische FrSIRT listet bereits Proof-of-Concept-Code für den Fehler der Collaboration Objekts (MS05-48), einen Denial-of-Service-Angriff auf den Netzwerkverbindungsmanager (MS05-45) und einen Pseudo-FTP-Server, der dem Windows-FTP-Client einen Dateinamen mit Verzeichnispfad unterschiebt (MS05-44).
Siehe dazu auch: (cr)
- MS05-048 - Sicherheitsanfälligkeit in Microsoft Collaboration Data Objects kann Codeausführung von Remotestandorten aus ermöglichen (907245), Security Bulletin von Microsoft
- MS05-050 - Sicherheitsanfälligkeit in DirectShow kann Remotecodeausführung ermöglichen (904706, Security Bulletin von Microsoft
- MS05-051 - Sicherheitsanfälligkeiten in MSDTC und COM+ können Remotecodeausführung ermöglichen (902400), Security Bulletin von Microsoft
- Microsoft Distributed Transaction Coordinator Memory Modification Vulnerability, Advisory von eEye
- Microsoft DirectShow Remote Code Vulnerability, Advisory von eEye
