Experten warnen vor Wurmattacke in den nächsten Tagen

Experten fordern nachdrücklich zur Installation des Patches der von Microsoft im
Bulletin MS06-040 bekanntgegebenen Sicherheitslücke auf. Zum kritischen Bug sei
bereits Exploitcode im Umlauf, eine heftige Wurmattacke innerhalb weniger Tage wird
befürchtet. Bereits das Department of Homeland Security warnte in einem
ungewöhnlichen Zug vor den möglichen Folgen ungepatchter Rechner für die
IT-Infrastruktur.

Den drastischen Warnungen schließen sich nun Sicherheitsexperten an. Mindestens
ein Exploit für die kritische Lücke sei bereits entwickelt. "Die Lücke kann durch
anonyme User gegen WinXP SP"-Rechner dazu genutzt werden, beliebigen Code
auszuführen, was den Bug zum hervorragenden Wurmkandidaten macht", so
Symantec.

Deutlich äußerte sich bereits das Depatrtment of Homeland Security der USA, die
ebenfalls drastische Schäden befürchten, falls Systeme ungepatcht bleiben:

"Diese Sicherheistlücke könnte Rechner der Regierung, der Industrie und kritische
Infrastruktur betreffen wie auch private Nutzer."

Mike Murray vom Securityhersteller nCircle: "Es ist nur eine Frage der Zeit und des
Glücks, bis das hier in die Größenordnung von MS-Blaster vordringt. Jedes
Windowssystem ist betroffen. Das ist einer dieser Worst Case- "Zieh das
Ethernetkabel"-Ereignisse."


Microsoft hat Patches für alle gängigen Windowsvarianten bereitgestellt. eEye hat ein
kostenloses Scantool zum Download gestellt, mit dem Netzwerke nach entsprechend
anfälligen Rechnern durchsucht werden können.

Patch : http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx
Quelle : Gulli

-----------

Den Scanner und das Exploit poste ich lieber nicht ;)
 
Ich hab den patch mal drübergehauen (das erste mal dass ich irgendwas von ms.com geladen habe xD) und ich kann sagen, der patch funktioniert...


... und damit meine ich den patchvorgang an sich ;)
 
Ich hab auch kein Windows... ich habe trotzdem bereits ungewöhlich viele Anfrage auf port 445 bekommen... naja, ich hab TARPIT an, also hängen die da erstmal fest ;)
 
Original von Xalon

beliebigen Code
auszuführen

mit den rechten mit denen man grad unterwegs ist? Oder gar als Superuser?
gehen die davon aus, das alle mit nem Adminaccount unterwegs sind?

EDIT:

Tarpit?
Lol, deshalb kann ich auf bestimmten Rechnern keine Portscans machen...
Man lernt nie aus
 
Solange es kein Connect-scan ist, müsste es gehen.
Wobei natürlich alles andere nicht ein unbeding korrektes Ergebnis liefert.

Ein Syn-Scan zB würde behaupten, dass alle Ports offen sind...
 
Bin ich nicht hinter nem Router völlig sicher vor dieser Lücke?
Oder warum war man das beim Blaster Wurm nicht?
Ich dachte es würde dann noch probiert werden den Router zu expoiten und das is ja latte!?
 
@blobbo:

Wenn du surfst, an welchen Rechner werden dann die Pakete ausgeliefert? Genau, an deinen Rechner mit dem du surfst...
Der Router leitet alles weiter, und somit auch das Paket mit dem Wurm... ;)
 
mh aber ich dachte er leitet es nur weiter wenn auch eine Anfrage von mir stattgefunden hat!?
Sonst müsste der Router das Packet ja an jeden am Router hängenden PC schicken!?
Oder wie ^^
 
Schön wenn man hinter einem IPCop sitzt. Da bekommt man davon gar nichts mit *fg* Was wäre wohl wen ich die betroffenen Ports aufmache? Ob es mein Linux/Unix Netzwerk interessiert? *schulterzuck*
 
Schön wenn man hinter einem IPCop sitzt. Da bekommt man davon gar nichts mit *fg* Was wäre wohl wen ich die betroffenen Ports aufmache? Ob es mein Linux/Unix Netzwerk interessiert? *schulterzuck*

IPCop wuerde ihn evtl nicht reinlassen. Aber dafuer laesst er alles raus, was, wenn sie erstmal infizieert sind, durchaus tragischer sein koennte.
 
(Und was ist hinter einem Router?)

Aber noch was. Ich hab seit ich den Patch installiert habe beim Systemstart immer eine 100% auslastung bei einem svchost.
Was kann ich da jetzt machen?
 
Die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows wird zum Aufbau neuer Botnets ausgenutzt.

Was sich bereits kurz nach Veröffentlichung des Microsoft Security Bulletins MS06-040 andeutete , hat sich inzwischen bestätigt. Die ersten Schädlinge sind gesichtet worden, die diese Schwachstelle ausnutzen, wie das Internet Storm Center ( ISC ) am Sonntag berichtet hat.

Es handelt sich um modifizierte Versionen bekannter IRC-Bots aus der "MocBot"-Familie. Sie setzen bereits seit 2005 dieselben IP-Adressen und Kontroll-Server in China ein. Der Unterschied zwischen den neuen und alten Versionen besteht darin, dass der bislang verwendete Exploit MS05-039 durch den neueren MS06-040 ersetzt wurde. Die Verbreitung erfolgt auf unterschiedlichen Wegen, etwa über Instant Messenger oder getarnt als Bild (zum Beispiel als JPG-Datei).

Einmal eingeschleust, verwandeln sie den PC in einen Teil eines Botnets. Er dient dann als Spam-Schleuder oder für konzertierte Angriffe auf Web-Server. Ist ein Rechner mit einem solchen Bot verseucht, können die Bots auf Befehl ihrer Master beliebige weitere Malware installieren. Es bleibt nur eine komplette Neuinstallation, wenn Sie einigermaßen sicher sein wollen, dass Ihr PC wieder Ihnen allein gehört.

Die Schädlinge installieren sich, je nach Variante, mit den Dateinamen "wgareg.exe" oder "wgavm.exe" im System-Verzeichnis von Windows. Sie legen einen neuen Dienst an, der sich "Windows Genuine Advantage Registration Service" oder auch "Windows Genuine Advantage Validation Monitor" nennt. Dann scannen sie das lokale Netzwerk nach weiteren anfälligen Computern, um sie anzugreifen. Sie verursachen dabei auf dem Zielrechner einen Pufferüberlauf, wodurch übermittelte Anweisungen zum Laden und Ausführen des Schädlings aktiv werden.

Wie das Microsoft Sicherheits-Team in seinem Blog mitteilt, sind bisher nur Rechner mit Windows 2000 betroffen, auf denen das Sicherheits-Update MS06-040 nicht installiert ist. Die beiden entdeckten Bot-Varianten werden bei Microsoft "Win32/Graweg.A" und "Win32/Graweg.B" genannt. Die bereits am Freitag veröffentlichte Sicherheitsempfehlung 922437 ist am Sonntag überarbeitet worden, um neu gewonnenen Erkenntnissen Rechnung zu tragen.

Darin empfiehlt Microsoft die umgehende Installation der neuesten Sicherheits-Updates sowie die Sperrung der Ports 139 und 445 in den Firewalls. Die neu entdeckten Schädlinge sind bislang nicht sehr weit verbreitet, das kann sich jedoch in den nächsten Tagen schnell ändern. Es muss außerdem mit weiteren Schädlingen gerechnet werden, die diese Sicherheitslücke ausnutzen werden. (Quelle: PC-Welt)
 
Sorry das ich jetzt nochmal frage aber das geht mir nicht mehr aus dem Kopf.
Wenn ich hinter einem Router sitze kann mir doch eigentlich gar nichts passieren.
Aber warum war dann Sasser oder Blast oder so so gefährlich?

Danke schommal!
 
Afaik kann Dir hinter einer Firewall auch nichts passieren sofern die Ports nicht offen sind. Zu dem Sasser Wurm kann ich nichts sagen, da ich zu dieser Zeit noch nicht hinter einer Firewall saß.

Ich spekuliere jetzt mal. Soweit ich weiß hat Sasser eine Lücke im RPC Dienst genutzt der in Windows standardmäßig aktiviert war / ist. Sofern dieser von alleine nach außen hin eine Verbindung aufbaut ist das System theoretisch angreifbar. Daran mag es gelegen haben das eventuell auch Systeme hinter einer Firewall betroffen waren? Ich weiß nicht ob dem so war.

Irgendwer wird schon mehr wissen.
 
Zurück
Oben