Zwar ist der vorige Woche befürchtete Grossangriff auf Windows-Netze (ab NT 4.0 alle weiteren NT-Entwicklungen: 2000, XP und Server 2003) ausgeblieben, doch seit gestern haben Sicherheitsexperten das Auftauchen des "Blaster"- oder LovSan"-Wurm festgestellt. Dieser nutze gezielt die DCOM RPC Interface-Lücke ("Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface") in den Betriebssystemen aus Redmond, um insgesamt, sind genügend Systeme befallen, eine Denial-of Service-Attacke gegen Microsofts windowsupdate.com-Seite zu starten. Als Angriffszeit seien die Tage zwischen dem 16. August bis 31. Dezember definiert, so Sicherheitsexperten. Das Vorgehen des Wurmes erfolgt laut dem Online-Magazin Tecchannel so: "Auf infizierten Systemen startet der Wurm zunächst einen TFTP-Server, über den er andere Rechner auf Port 135 zu kontaktieren versucht. Trifft der Blaster einen ungepatchten Rechner, schleust er seinen Code über die DCOM-Lücke ein. Der Zielrechner führt ihn aus, und lädt vom Angreifer über TFTP die Datei "msblast.exe" ins Windows-Verzeichnis nach und führt sie aus. An diesem File sind infizierte Rechner leicht zu erkennen, daneben sind auf solchen Systemen auch die UDP-Ports 69 und zwanzig weitere Ports zwischen 2500 und 2522 geöffnet. Der Wurm wählt dazu einen zufälligen Bereich von zwanzig aufeinander folgenden Ports." Neben wenig patch-freudigen Administratoren müssen allem Privatanwender, gleich ob sie über ISDN- oder DSL-Modems mit dem Internet verbunden sind, mit dem Wurm rechnen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schlägt beispielsweise vor, neben der Entfernung der Datei "msblast.exe" zusätzlich folgende Ports über die Firewall zu sperren: 69 UDP; 135 TCP; 135 UDP; 139 TCP, 139 UDP; 445 TCP; 445 UDP und 4444 TCP. In der "msblast.exe" ist übrigens folgender Text zu finden: "billy gates why do you make this possible? Stop making money and fix your software!!" (wl)
13.08.2003
Zwar ist der vorige Woche befürchtete Grossangriff auf Windows-Netze (ab NT 4.0 alle weiteren NT-Entwicklungen: 2000, XP und Server 2003) ausgeblieben, doch seit gestern haben Sicherheitsexperten das Auftauchen des "Blaster"- oder LovSan"-Wurm festgestellt. Dieser nutze gezielt die DCOM RPC Interface-Lücke ("Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface") in den Betriebssystemen aus Redmond, um insgesamt, sind genügend Systeme befallen, eine Denial-of Service-Attacke gegen Microsofts windowsupdate.com-Seite zu starten. Als Angriffszeit seien die Tage zwischen dem 16. August bis 31. Dezember definiert, so Sicherheitsexperten. Das Vorgehen des Wurmes erfolgt laut dem Online-Magazin Tecchannel so: "Auf infizierten Systemen startet der Wurm zunächst einen TFTP-Server, über den er andere Rechner auf Port 135 zu kontaktieren versucht. Trifft der Blaster einen ungepatchten Rechner, schleust er seinen Code über die DCOM-Lücke ein. Der Zielrechner führt ihn aus, und lädt vom Angreifer über TFTP die Datei "msblast.exe" ins Windows-Verzeichnis nach und führt sie aus. An diesem File sind infizierte Rechner leicht zu erkennen, daneben sind auf solchen Systemen auch die UDP-Ports 69 und zwanzig weitere Ports zwischen 2500 und 2522 geöffnet. Der Wurm wählt dazu einen zufälligen Bereich von zwanzig aufeinander folgenden Ports." Neben wenig patch-freudigen Administratoren müssen allem Privatanwender, gleich ob sie über ISDN- oder DSL-Modems mit dem Internet verbunden sind, mit dem Wurm rechnen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schlägt beispielsweise vor, neben der Entfernung der Datei "msblast.exe" zusätzlich folgende Ports über die Firewall zu sperren: 69 UDP; 135 TCP; 135 UDP; 139 TCP, 139 UDP; 445 TCP; 445 UDP und 4444 TCP. In der "msblast.exe" ist übrigens folgender Text zu finden: "billy gates why do you make this possible? Stop making money and fix your software!!" (wl)