[HaBo]

Rushjo

Anzeige

Wie heise.de und auch TheRegister berichten, warnt Microsoft Administratoren von IIS Server vor einem noch unbekannten Bug, der in den letzten Tag zum massiven Cracken von Webservern ausgenutzt wurde. Dieser Bug, der auch in vollgepatchten IIS Server noch vorhanden ist, wurde dabei von Spammern ausgenutzt, um auf den Servern befindliche html-Dateien so zu verändern, das sie einen weiteren ungepatchten Bug in IE ausnutzen und dann einen Trojaner namens RAT nachinstallieren. Lediglich Systeme mit dem ServicePack 2 ReleaseCanditat seien nicht betoffen laut Microsoft, wobei das Einspielen des ServicePacks noch ausdrücklich nicht für "laufende Systeme" empfohlen wird. Dieser Bericht über die Welle der gecrackten Server und deren Missbrauch wurde auch vom US Cert Institut und vom Internet Storm Center (ISC), hier, bestätigt. Da es momentan keinerlei Patch gibt, empfiehlt Microsoft das Setzen der Sicherheitseinstellungen im IE auf "hoch", auch wenn dann so einige WebSite nicht mehr angezeigt werden können. Der installierte Trojaner RAT besitzt so einige kleine nette Feature wie Keylogger, Möglichkeit Code nachzuinstallieren und Ihn in einem Spam-Bot umzuwandeln. heise.de empfiehlt allen Nutzern das Verwenden von Opera und Mozilla als Browser, bis ein Patch von Microsoft bereit gestellt wird. Wobei mal angemerkt sei, das es auch bei Opera Sicherheitslücken gibt, die aktuell durch Trojaner ausgenutzt werden.

Interessante Kombination von Viren, Spam, Trojanern und Cracken von Servern....

MfG Rushjo

[1] Quelle "Cracken von IIS und IE Bug", heise.de (deutsch)
[2] Quelle "What you should know about download.ject", microsoft.com (english)
[3] Quelle "Watch out! Incoming ....", TheRegister.co.uk (english)
[4] Quelle "Crackdown of IIS Server", heise.de (deutsch)
[5] Quelle ".org dns problems, RFI - russian IIS Hacks", isc.sans.org (english)
[6] Quelle "IIS 5 Web Server Compromises", uscert.gov (english)

uzeknirb

wau das haut mich vom hocker, unglaublich, kann man da überhaupt noch von microsoft updates downloaden....???

den ist wohl nicht`s mehr hinzuzufügen

Gratulation

Zirias

Tja, war wohl nur eine Frage der Zeit, bis mal eine gefundene Lücke NICHT an MS gemeldet bzw veröffentlicht wird sondern massiv ausgenutzt. Das kann man nun nicht unbedingt MS zum Vorwurf machen, es sei denn mittelbar, vielleicht sind manche Leute zu frustriert von Microsofts "Nachbesserungsmoral". Eindeutig MS anzulasten sind natürlich bekannte Lücken im IE, wie hier wohl auch eine zum Einsatz kommt, falls ich richtig gelesen habe. Rushjo, da bin ich ja froh, dass über Mozilla und Co derzeit nichts bekannt ist, was von Malware ausgenutzt werden könnte. Der heise-Artikel von Jürgen Schmidt ist in der Hinsicht ja grober Unfug ...

Greets, Ziri

Rushjo

@Zirias

Meinst Du dieses Posting von "Full-Disclosure" MailingList? Also, ich kann das mit meinem Opera 7.21 unter Windows nachvollziehen. Es gibt aber auch ein Posting, hier, wo scheinbar es doch nicht für alle nachvollziehbar ist. Würde mich mal interessieren, ob es bei Dir auch geht?!

MfG Rushjo

P.S. heise.de hat nur über den Thread berichtet. (aber nur eine Randbemerkung!) :-)

Zirias

Ich hab doch gar nichts von Opera geschrieben? ?(

Rushjo

Wie Zone-H.org heute unter Berufung auf Microsoft und verschiedene AntiViren Software Hersteller berichtet, wurden die Angriffe am Freitag nach dem Abschalten eines russischen Servers gestoppt. Auch sollen es jetzt doch nur vereinzelte Angriffe gewesen sein. Dabei geht Microsoft mittlerweile davon aus, das es "manuelle" Angriffe waren und keine "automatisierten" Angriffe per Exploit oder Wurm. Für diese Theorie sprich auch die relativ geringe Verbreitung komprimitierter Server. Ausserdem stellt Microsoft die These auf, das diese Server gegen eine "vulnerablity" aus dem Monat April nicht gepatchet waren. Diese These wird auch von Senior Partners von AntiViren Software Firmen wie symaptec unterstützt, die erklärten, es sei für Admins immer eine leichte Ausrede, zu sagen, dort draussen gibt es böse Hacker, die meinen perfekt gewarteten Server besiegt haben als zugeben zu müssen, das sie selber "schei**e" gebaut haben. Laut Cyveillance, einem Berater für Online Risiko und Management Produkte, waren am Montag auch nur 647 WebSite weltweit betroffen. Auch wurden die Spuren der "Täter" zur russischen Hacker-Gruppe "HangUp Team" zurückverfolgt. Diese verkauft CreditCardNumber und dazugehörige Daten für umgerechnet ca. 3 Dollar pro. Und besitzt angeblich ein Archiv von ca. hunderten von Megabyte mit solchen Informationen. Aufgrund der schwierigen Strafverfolgung in Russland und der damit verbundenen relativ ungefährlichen Möglichkeit an Geld zu kommen, dürfte das "HangUp Team" noch sehr grossen Potential haben und noch öfter von sich hören lassen. Bis zur Fertigstellung eines Patches empfiehlt Microsoft allen User, die Sicherheitseinstelluingen im IE auf "high" zu setzen, auch wenn damit fast kein Surfen mehr möglich ist. Als Alternative wird von Sicherheitsexperten das Deaktivieren von ActiveX in der Registry empfohlen. Dies macht man durch das Setzen eines "kill byte".

Ich habe dies nun nicht getestet, fall es jemand testet, würde mich mal ein Feedback interessieren.

Das sind doch mal verhältnismäßig gute News für den IE und Microsoft.

MfG Rushjo

[1] Quelle "Microsoft Blames Hackers, Not Zero-Day Vulnerability, For Web Attack", zone-h.org (english)

[NACHTRAG]

Interessant ist es, dazu mal die Postings auf "Full Disclosure" Mailing zu verfolgen, dort wurde im Posting von "Drew Copley" von eEye, einer Security-Research-Firma, die sehr viel Geld von Microsoft bekommt, nochmals zu den offiziellen Verlautbarungen die Meinung vertreten, das es in Wirklichkeit ein alter Bug sei, der aber schon lange gefixt sei und nur die User den nötigen Patch nicht ein gespielt hätten. Danach wurde dann mal die Theorie aufgestellt, das "Drew Copley" als finanzell von Microsoft Abhängiger, sich scheinbar auch an diesem Verwirrspiel zur Vermeidung schlechter Publicity für Microsoft beteiligt. Parallel dazu wurde er als Hauptvorschlag für den "Team Bugtraq Security's Prick
of the year award" nominiert, der an den Poster, der am meisten Müll postet, die meiste Aufmerksamkeit beansprucht und die wenigstens Informationen liefert, vergeben wird. Die Bekanntgabe des Ergebnis erfolgt dann auf der Defcon 2004. In den folgenden Postings wurden noch ein paar Niedlichkeiten zwischen "Bugtraq" und "Drew Copley" ausgetauscht, wie

Manchmal sind so Mailing-Listen nicht nur interessant, sondern auch amüsant.

MfG Rushjo

[1] Posting 1 "Misinformation on Scob/MSject Corrected", full-disclosure (english)
[2] Posting 2 "Misinformation on Scob/MSject Corrected", full-disclosure (english)
[3] Posting 3 "Misinformatio on Scob/MSject Corrected - Whoops, i was wrong", full-disclosure (english)
[4] Posting 4 "Misinformation on Scob/MSject Corrected", full-disclosure (english)
[5] Posting 1 "The official Bugtraq Security "Drew Copley is a prick" poll", full-disclosure (english)
[6] Posting 2 "The official Bugtraq Security "Drew Copley is a prick" poll", full-disclosure (english)
[7] Posting 3 "The official Bugtraq Security "Drew Copley is a prick" poll", full-disclosure (english)
[8] Posting 4 "The official Bugtraq Security "Drew Copley is a prick" poll", full-disclosure (english)

[/NACHTRAG]