27.11.2008 11:13
Windows-Wurm nimmt an Fahrt auf
Microsoft beobachtet derzeit die zunehmende Verbreitung eines neuen Windows-Wurms, der die seit mehreren Wochen bekannte Lücke in den RPC-Funktionen des Server-Dienstes ausnutzt, um in Systeme einzudringen. Insbesondere in Firmennetzen soll die derzeit beobachtete Variante Conficker.A an Fahrt zunehmen. Die meisten Meldungen liegen nach Angaben des Microsoft Malware Protection Centers aus den USA vor. Aber auch Kunden aus Europa, Asien und Südamerika seien betroffen. Zudem lägen Microsoft Berichte von mehreren hundert Heimanwendern vor.
Conficker öffnet auf infizierten Systemen einen Port, auf dem ein Webserver-ähnlicher Dienst laufen soll. Von dort kann ein System eine Kopie des Wurms nachladen, nachdem es initial infiziert wurde. Interessanterweise spielt der Wurm auf infizierten System den Patch zum Schließen der Sicherheitslücke ein, was aber weniger aus Freundlichkeit geschieht, sondern eher zum Ziel hat, andere RPC-Würmer draußen zu halten. Zusätzlich fragt Conficker diverse Webseiten ab, um die nach außen erscheinende IP-Adresse sowie die aktuelle Zeit zu ermitteln. Anhand der Zeit generiert der Wurm laut Symantec eine Liste von Domains, mit denen er Kontakt aufnimmt, um weiteren Code nachzuladen.
Schutz vor Conficker bietet weiterhin die Installation des Sicherheits-Updates von Microsoft sowie eine aktive Firewall, wobei die seit Windows XP integrierte und seit SP2 standardmäßig aktive Firewall in der Regel vollkommen ausreicht. Anwender sollten sicherheitshalber aber die Einstellungen überprüfen und sicherstellen, dass nicht ungewollt Ausnahmen definiert sind, die doch den Zugriff auf Dienste erlauben, die für die RPC-Lücke anfällig sind – etwa die Datei- und Druckfreigabe.
Siehe dazu auch:
- More MS08-067 Exploits, Bericht des Microsoft Malware Protection Centers
(dab)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
