|
infosammlung
von woanders (ausnahmsweise mal)
quote:
--------------------------------------------------------------------------------
Wie ein Lauffeuer verbreitet sich in diesen Stunden ein Problem wie kein Zweites: Ein Fehler in der Schnittstelle für den Remote-Prozedur-Aufruf (RPC) ermöglicht es Angreifern, beliebigen Code auf dem Rechner des Anwenders auszuführen.
Folgender Fall wurde bei unzähligen Nutzern beobachtet: Es erscheint ein Fenster mit einer Meldung wie „Ihr PC fährt sich in 60 Sekunden herunter“ und man wird freundlicherweise noch darauf hingewiesen, ungesicherte Arbeiten zu speichern. Der Neustart lässt sich, einmal ins Rollen gebracht, anscheinend nicht mehr aufhalten. Ein entsprechende Firewall kann einen solchen Angriff zwar verhindern, die Ursache besteht jedoch weiterhin.
Betroffen sind Windows XP, 2000, Server 2003 sowie NT 4.0. Microsoft hat für all diese Betriebssysteme bereits am 16.07.2003 einen Patch veröffentlicht. Im Knowledge Base Artikel 823980 wird das Problem genauer erläutert; Links zu den Patches sind ebenfalls vorhanden.
Patch für Windows XP
Patch für Windows 2000
computerbase.de
--------------------------------------------------------------------------------
quote:
--------------------------------------------------------------------------------
Gestern nacht gabe es eine große Attacke auf Windows-Rechner. Dabei nutzen die Angreifer ein seit dem 16. Juli 2003 bekanntes Sicherheitsloch in den Windows-Versionen XP, 2000 und NT4. Wichtigtes Merkmal ist eine Meldung, dass der Rechner durch NT-Autorität in 60 Sekunden heruntergefahren wird. Der Bug, ein so genannter Buffer Overrun, steckt im Dienst Remoteprozeduraufruf. Im schlimmsten Fall kann ein Angreifer aus dem Internet die komplette Festplatte löschen. Laden Sich unbedingt den passenden Microsoft-Patch herunter und installieren Sie ihn, auch wenn Sie bisher kein merkwürdiges Verhalten Ihres PCs feststellen konnten.
Update: Zum Ausnutzen der Schwachstelle schleusen Angreifen über manipulierte RPC-Pakete den Wurm MSBlast.exe ein. Der soll zwischen dem 16. August und dem 31. Dezember eine Attacke (ein so genannter Denial-of-Service-Angriff) gegen www.windowsupdate.com durchführen. Auf der Symantec-Homepage steht ein Reinigungs-Tool zum Download bereit.
gamestar.de
--------------------------------------------------------------------------------
quote:
--------------------------------------------------------------------------------
Die Hacker-Attacke auf das Internet, vor der US-Behörden seit Ende Juli warnen, hat offenbar begonnen: Das Virus "Blaster" alias "LovSan" verbreitet sich rasend und bereitet eine gigantische DoS-Attacke vor. Ziel des Angriffes: Microsoft.
Am 16. Juli sah sich Microsoft wieder einmal gezwungen, die Hosen herunter zu lassen: Eindringlich warnte das US-Unternehmen vor den klaffenden Sicherheitslücken in der eigenen Software. Sowas ist zwar peinlich, andererseits aber auch nicht ungewöhnlich. Wer Microsofts Newsletter abonniert hat, bekommt regelmäßig entsprechende Warn-Post - und in aller Regel passiert dann ja doch herzlich wenig.
Wie auch das aktuelle Beispiel - zumindest bisher - zeigte. Obwohl die gefürchtete Lücke im "Windows RPC Interface" seit einem Monat bekannt war und zudem das FBI lautstark Werbung dafür machte, war es bisher zu keinem ernsthaften Versuch gekommen, das offene Scheunentor für eine Attacke zu nutzen.
Bis gestern Nacht. Da begann ein Viren-Wurm um die Welt zu ziehen, an den man sich am Microsoft-Firmensitz in Seattle möglicherweise länger erinnern wird. "Blaster", von einigen IT-Sicherheitsfirmen auch "LovSan" oder "LovGate" genannt, zielt haarscharf auf die RPC-Sicherheitslücke und belässt es auch nicht bei der Viren-typischen Selbstvermehrung. "Der Wurm ist geradezu explodiert", sagte der Karlsruher Sicherheits- und Virenexperte Christoph Fischer.
Blaster will etwas, und zwar von Microsoft.
Microsoft hingegen will, dass die User das Sicherheitspatch gegen die RPC-Sicherheitslücke installieren, so lange das noch geht. Denn Blaster will das gern unterbinden: Das Virus schließt einige Ports der befallenen PCs, öffnet etliche andere und bereitet eine Denial-of-Service-Attacke vor, die sich gewaschen hätte, wenn sie gelingt. Vom 15. August bis zum 31. Dezember planen die Blaster-Autoren, Microsoft unter Dauerfeuer zu nehmen. Zielpunkt der Attacke: Die Update-Seiten, über die man unter anderem die Sicherheitsloch-Flicken beziehen kann, die die Attacke vielleicht noch verhindern könnten.
Botschaft im Code des Blaster-Wurmes:
"Billy Gates why do you make this possible? Stop making money and fix your software!"
Zehntausende von Rechnern, melden Sophos und Symantec, seien schon befallen. Die aktuellen Viren-Top-10 von Trend Micro zeigen LoveSan als weltweit meistverbreitetes Virus: In den USA gehen über 90 Prozent aller Virenbefälle auf seine Kappe - und das nach nur wenigen Stunden. Viele Computer-Nutzer werden einen Angriff nicht sofort bemerken, da sich der Wurm nicht über E-Mail verbreitet. Neben dem aktuellen Microsoft-Flicken brauche man deshalb auch dringend ein Update des Virenscanners. Einige der IT-Sicherheitsunternehmen haben bereits Tools bereit gestellt, mit denen sich Blaster/LoveSan entfernen lässt.
Die Blaster-Attacke: Auftakt einer Angriffswelle?
Die Hauptrisikogruppe - neben Microsoft selbst - hat IT-Sicherheitsexperte Fischer auch schon ausgemacht: "Besonders betroffen sind Privatleute und kleine Unternehmen, die etwa über Modem oder DSL- Leitung ans Internet angeschlossen sind." Zwar zerstöre Blaster zunächst keine Daten auf den befallenen Rechnern. Der Wurm könne aber zu unkontrollierbaren Abstürzen führen, warnt das Bundesamt für Sicherheit in der Informationstechnik BSI.
Wichtiger noch ist aber, dass Blaster ganz nebenbei einige Ports als Hintertürchen offen hält, was prinzipiell die völlige Fernsteuerung des Heimrechners ermöglichen würde. Genau darum geht es anscheinend auch: Die Ports verbleiben im "Listen"-Modus, warten also auf Befehle.
Nicht nur deshalb erwartet Alfred Huger, Virenexperte bei Symantec, dass die Blaster-Attacke erst der Beginn eines rauen Rittes auf der RPC-Sicherheitslücke darstellt. Blaster sei "sehr leicht zu entpacken und zu verändern". Irgendein Online-Vandale werde da schon sicherstellen, dass keine Langeweile aufkommt: "Ich glaube, es ist hoch wahrscheinlich, dass dieses Virus verändert und wieder in Umlauf gebracht wird. Wenn nicht heute, dann im Laufe der Woche".
Ansatzpunkte finden die Virenschreiber stets genug: Neben den offen Ports der bereits befallenen Rechner bieten sich weiterhin die bekannten Sicherheitslücken von Windows an, die von zu vielen Nutzern nicht rechtzeitig geflickt werden.
Doch selbst wenn, bedeutet das keinen völligen Schutz: Auch das aktuellste Microsoft-Sicherheitspatch schließt nicht alle bereits bekannten Sicherheitslücken. Neben dem durch den Flicken behebbaren Leck im RPC-Dienst klafft da nämlich noch ein Löchlein - am gleichen Orte, knapp neben dem Flicken: Das wird dann wohl beim nächsten Update gestopft. Bis dahin, rät Heise, sollte man ein Auge auf die UDP- und TCP-Ports 135 bis 139 sowie 445 und 593 halten: Dort findet man den Hintereingang für ungebetene Besucher.
+++/ spiegel.de
|
(das nur als kleines beispiel, es gab noch ein witzigeres, mir fällts aber gerade net ein)
