24.10.2008, 10:02 Uhr

Schadcode für Windows-Bug aufgetaucht

Nur Stunden, nachdem Microsoft einen ausserordentlichen Windows-Flicken veröffentlicht hatte, ist Code aufgetauscht, der die Lücke für eine Attacke ausnützt.
7174.jpg
Nur kurze Zeit nach der Veröffentlichung eines ausserordentlichen Software-Flicken von Microsoft für das Betriebssystem Windows (Computerworld berichtete), haben Entwickler von Immunity Security die Schwachstelle bereits ausgenutzt und Schadcode hergestellt, mit dem Attacken auf ungepatchte Systeme geritten werden können. Anscheinend war das Ganze ein Kinderspiel. "Die Schwachstelle ist sehr einfach auszunutzen, weil es sich dabei um einen kontrollierbaren Stack-Overflow handelt", kommentiert Bas Alberts von Immunity. Der Schadcode ist zwar nicht öffentlich zugänglich, Hacker sind allerdings ebenfalls flinke Malwareschreiber.

Microsoft veröffentlicht weitere Details

Inzwischen hat Microsoft ein weiteres Security Bulletin mit den detaillierten Informationen zu der Schwachstelle veröffentlicht. Diese wurde dem Konzern privat gemeldet und betrifft den Server-Dienst diverser Windows-Versionen. Ein Angreifer kann über eine bösartige manipulierte RPC-Anfrage (Remote Procedure Call) beliebigen Code zur Ausführung bringen ("Remote Code Execution"), im Falle von Windows 2000, XP und Server 2003 sogar ohne Authentifizierung.
Microsoft zufolge wird die Sicherheitslücke bereits aktiv ausgenutzt, wenn auch bislang nur gezielt und in beschränktem Umfang. Nähere Details nennt der Konzern aus verständlichen Gründen nicht.
Das neue Bulletin mit der Nummer MS08-067 ersetzt für einige der betroffenen Systeme das ältere Bulletin MS06-040. Das legt die Vermutung nahe, dass es sich um eine eigentlich schon etwa zwei Jahre alte Sicherheitslücke handelt, die seinerzeit nur unvollständig gestopft wurde.
Die Schwachstelle lässt sich nach Angaben des Herstellers wohl auch für einen sich weiterverbreitenden ("wormable") Exploit nutzen. Microsoft empfiehlt (routinemässig) eine korrekt konfigurierte Firewall, um potenziell gefährdete Windows-Rechner in Firmennetzen gegen externe Angriffe abzuschotten.
Der FAQ-Sektion des Bulletins zufolge betrifft die Schwachstelle übrigens auch Pre-Beta-Versionen von Windows 7 (die vor allem Microsoft-intern laufen dürften). Hier ist sie allerdings - wie bei Vista und Server 2008 auch - "nur" als "wichtig" eingestuft, da sie nicht ohne Authentifizierung funktioniert.
Microsoft rät allen Kunden, den über Windows/Microsoft Update und WSUS verfügbaren Patch umgehend zu installieren.
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
«Groundhog Beta»
1. Platz für «Swissloop Tunneling» an «Not-a-Boring Competition 2024»
 
vor 6 Stunden
Innovation
490 Millionen Franken für die Schweizer Innovationsförderung
 
vor 3 Tagen
Digitalisierung in Schweizer Unternehmen
Der Nutzen steht im Vordergrund
 
vor 3 Tagen
Informatik
Frankreich will strategisch wichtige Teile von IT-Firma Atos übernehmen
 
vor 3 Tagen