zurück zum Artikel

Ein Angriff funktioniert auch dann, wenn auf einem XP-SP1-Rechner über die einfache Dateifreigabe Zugriffe auf Verzeichnisse eingerichtet sind.

In bestimmten Fällen sind auch Windows-XP-SP1-Systeme für Angriffe der Plug&Play-Würmer [1] Zotob und Konsorten anfällig. Darauf weist Microsoft in einem am gestrigen Dienstag veröffentlichten Advisory [2] hin. Zuvor hatte der Softwarekonzern darauf beharrt, dass über die Plug&Play-Schwachstelle nur Windows 2000 über das Netzwerk mit Schadcode infiziert werden könne. Zwischenzeitlich gab es zwar Hinweise, dass auch Windows Server 2003 verwundbar ist [3], wenn dort Null Sessions aktiviert sind. Dies stellte sich aber recht schnell als falsch heraus.

Dem neuen Advisory zufolge funktioniert der Angriff aber auch, wenn auf einem XP-SP1-Rechner über die einfache Dateifreigabe Zugriffe auf Verzeichnisse eingerichtet sind. In der Standardeinstellungen wird dann nach Angabe von Microsoft automatisch das Gastkonto aktiviert. Damit ist ein gültiges Konto eingerichtet, mit dem der Zugriff auf Ressourcen über das Netzwerk möglich ist -- allerdings nur, wenn der Rechner nicht Mitglied einer Domäne ist.

In der Folge funktioniert auch der Exploit [4] und die kursierenden Würmer können das System infizieren. Bislang sind aber noch keine Fälle bekannt geworden, in dem ein derart konfiguriertes Windows befallen wurde -- wohl auch, weil es unter Privatanwendern nur noch wenige XP-Rechner mit SP1 geben dürfte, so Microsoft. XP-Rechner in Unternehmen seien meist in der Domäne angemeldet. Der Softwarekonzern empfiehlt aber weiterhin dringend, die verfügbaren Patches einzuspielen.

Windows XP mit SP2 ist von dem Gastkonto-Problem nicht betroffen. Zwar gibt es auch dort die einfache Dateifreigabe, für einen erfolgreichen Angriff genügt aber das Gastkonto nicht. Microsoft hat mit SP2 zusätzliche Sicherheitsfunktionen eingeführt, sodass ein Account erforderlich ist, mit dem auch ein Login möglich wäre.

Siehe dazu auch: (dab [5])

• Clarification of Simple File Sharing and ForceGuest [6], Security Advisory von Microsoft
• Simple Sharing and ForceGuest [7], Artikel von Microsoft

URL dieses Artikels:
https://www.heise.de/-125204

Links in diesem Artikel:
[1] https://www.heise.de/news/Kampf-der-Plug-Play-Wuermer-Update-123568.html
[2] http://www.microsoft.com/technet/security/advisory/906574.mspx
[3] https://www.heise.de/news/Plug-Play-Wurm-Zotob-nicht-nur-auf-Windows-2000-beschraenkt-Update-123089.html
[4] https://www.heise.de/news/Erste-Exploits-nutzen-Plug-Play-Luecke-in-Windows-aus-122519.html
[5] mailto:dab@ct.de
[6] http://www.microsoft.com/technet/security/advisory/906574.mspx
[7] http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prde_ffs_ypuh.asp

Copyright © 2005 Heise Medien