Thema: DHS: Microsofts Serverdienst-Patch umgehend einspielen

[SiLæncer]

Das Update zum Security-Bulletin MS06-040 vom vergangenen Microsoft-Patchday schließt eine kritische Sicherheitslücke im Serverdienst, über die sich ein Wurm vergleichbar mit Sasser verbreiten könnte. Ein Schädling, der über diese Schwachstelle in Rechner eindringt, kann mit SYSTEM-Rechten vollständige Kontrolle erhalten. Sicherheitsinstitutionen raten daher, den Patch umgehend einzuspielen.

Das US-amerikanische Department of Homeland Security (DHS) warnt davor, dass die Schwachstelle in dem Dienst, der RPC-Unterstützung und Festplatten- und Druckerfreigaben liefert, bereits aktiv ausgenutzt wird. Auch das Computer Emergency Readiness Team der USA (US-CERT) hat eine entsprechende Warnung herausgegeben.

Ein Wurm, der das Sicherheitsleck ausnutzt, könnte in Unternehmensnetzen großen Schaden anrichten. Die US-amerikanischen Sicherheitsbehörden raten insbesondere Unternehmen und Behörden dazu, das Ausrollen des Patches nicht weiter zu verzögern. Microsoft empfiehlt zudem, die Ports 139 und 445 an der Firewall zu blockieren. Der Sicherheitsdienstleister eEye stellt einen kostenlosen Scanner zur Verfügung, mit dem Administratoren überprüfen können, ob das Update erfolgreich auf den Rechnern im Netzwerk installiert wurde.

Quelle und Links : http://www.heise.de/security/news/meldung/76637

[SiLæncer]

Laut dpa warnt inzwischen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor den Schwachstellen und erklärt, dass diese bereits aktiv ausgenutzt würden. Folgerichtig empfiehlt das BSI ebenfalls, die Patches vom vergangenen Dienstag umgehend einzuspielen.

Quelle : www.heise.de

[SiLæncer]

Der Metasploit-Entwickler H. D. Moore hat jetzt auch ein Exploit-Modul für das Metasploit-Framework entwickelt, das die Schwachstelle im Serverdienst angreift. Darauf basierend ist es ein Leichtes, auch bösartige Exploits zu basteln.

Quelle : www.heise.de

[SiLæncer]

Nachdem mehrere Sicherheitsbehörden in der vergangenen Woche schon Warnungen veröffentlicht haben, hat nun auch Microsoft eine Sicherheitsmeldung herausgegeben, in der das Unternehmen vor veröffentlichten Schadcode für die Lücke im Serverdienst warnt. Die Sicherheitsexperten aus Redmond haben den Exploit-Code untersucht und kommen zu dem Schluss, dass dieser nur unter Windows 2000 und Windows XP mit Service Pack 1 funktioniert.

Weiterhin weiß Microsoft nur von kleineren, gezielten Attacken, die diese Schwachstelle ausgenutzt haben. Größer angelegte Angriffe habe man noch nicht entdeckt. Das Internet Storm Center hat jedoch inzwischen entdeckt, dass Windows 2000 Server aktiv angegriffen werden. Die Angreifer versuchen offenbar, ein Botnet aufzubauen.

In der Sicherheitsmeldung empfiehlt Microsoft nochmals, den verfügbaren Patch einzuspielen. Wo dies nicht möglich ist, sollten die Ports 139 und 445 entweder per Firewall oder mittels IPsec geschützt werden. Unter Windows 2000 sollten Administratoren gegebenenfalls den eingebauten TCP/IP-Filter entsprechend konfigurieren.

[Update]:

Auch F-Secure hat den sich über die Lücke verbreitenden Schädling entdeckt, er heißt Mocbot (Backdoor.Win32.IRCBot.st). Es handelt sich dabei um einen IRC-Bot. Nähere Details nennt das LURHQ.

Siehe dazu auch:

    * Exploit Code Published Affecting the Server Service, Sicherheitsmeldung von Microsoft


Quelle und Links : http://www.heise.de/security/news/meldung/76753

[SiLæncer]

Für die Lücke im Windows-Serverdienst, die Microsoft am August-Patchday geschlossen hat, sind schon zwei Varianten des Mocbot-IRCBot unterwegs. Diese nutzen die Lücke auf verwundbaren Windows-2000-Rechnern aus, um sie zu infizieren. Nachdem Microsoft am Wochenende vor frei verfügbarem Exploit-Code warnte, haben die Redmonder inzwischen ihre Sicherheitsmeldung aktualisiert – sie schätzen das Risiko jedoch als gering ein. Offenbar spricht Microsoft jedoch von einem anderen Virus, da laut Brian Krebs, dem Sicherheitsspezialisten der Washington Post, die Mocbots von der Microsoft-Antivirenlösung gar nicht erkannt werden.

Nach der Infektion eines Rechners bauen die Mocbot-Varianten eine Verbindung zu einem IRC-Server her und warten dort auf Anweisungen von dem Botnetzbetreiber. Der Servername ist bekannt: Mocbot verbindet auf TCP-Port 18067 zu bniu.househot.com sowie zu ypgw.wallloan.com, falls der erste Server nicht erreichbar ist. Es handelt sich dabei um dieselben IRC-Server, die die ursprünglichen Mocbot-Varianten verwendet haben.

Die beiden IRCBot-Varianten setzen sich als wgareg.exe beziehungsweise wgavm.exe im Windows-Systemverzeichnis fest. Diese Dateien sind anschließend als Wndows-Dienst Windows Genuine Advantage Registration Service respektive als Windows Genuine Advantage Validation Monitor registriert und starten mit Systemrechten beim Hochfahren des infizierten Rechners. Der Bot-Netzbetzreiber kann dann beliebige Befehle an infizierte Rechner absetzen; eingebaut in den Schädling sind unter anderem Routinen für SYN-Floods, DDoS-Attacken, das Öffnen einer Shell sowie Funktionen zum Suchen und Infizieren von verwundbaren Rechnern. Die infizierten Rechner sollen möglicherweise von Spammern missbraucht werden. Die Antivirenhersteller liefern inzwischen aktualisierte Signaturen aus, mit denen die Würmer erkannt werden.

Unterdessen tauchte noch weiterer Schadcode für die am Patchday geschlossenen Sicherheitslücken auf. Das Internet Storm Center weiß von einem Schädling zu berichten, der das Leck im Windows-Hilfe-System auszunutzen versucht. Windows-Hilfe-Dateien, die beispielsweise per E-Mail eintreffen, sollten Anwender ebenso wie andere ungefragt zugesandte Dateianhänge nicht öffnen. Für die Sicherheitslücken im Internet Explorer waren schon zum Patchday Exploits auf Webseiten aktiv. Die am vergangenen Dienstag bereitgestellten Patches sollten also baldmöglichst eingespielt werden, so sie noch nicht vom automatischen Update installiert wurden. Rechner, auf denen die möglichen Nebenwirkungen der Patches die Instalation verhindern, sollten anderweitig geschützt werden; so sollte auf diese nur noch von vertrauenswürdigen Rechnern aus zugegriffen werden können.

Siehe dazu auch:

    * IRCBot.st, Schädlingsbeschreibung von F-Secure
    * W32.Wargbot, Warnung von Symantec
    * IRC-Mocbot!MS06-040, Beschreibung von McAfee
    * Public release of exploits against the windows help system, Warnung vom Internet Storm Center

Quelle und Links : http://www.heise.de/security/news/meldung/76768