Neue Angriffe auf Windows-PCs
In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können.
- Daniel Bachfeld
In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können. Er nutzt dabei eine in der vergangenen Woche gemeldete Sicherheitslücke im RPCSS-Dienst aus, um Administrationzugriff auf das System zu erhalten. Anschließend legt das Tool ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen.
Anwender sollten so bald wie möglich die aktuellen Sicherheitsupdates von Microsoft einspielen, um sich zu schützen. Folgende Patches stellt Microsoft für deutschsprachige Windows-Systeme zur Verfügung:
- Windows NT Workstation
- Windows NT Server 4.0
- Windows NT Server 4.0, Terminal Server Edition
- Windows 2000
- Windows XP
- Windows XP 64 bit Edition
- Windows XP 64 bit Edition Version 2003
- Windows Server 2003
- Windows Server 2003 64 bit Edition
Des Weiteren schützen dieselben Maßnahmen wie bei Blaster/Lovsan. Eine (Personal-)Firewall kann Angriffe gegen den RPCSS-Dienst abwehren, indem sie Zugriffe auf die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593 sperrt. Sofern RPC über HTTP oder COM Internet Services aktiviert sind, kann der RPC/DCOM-Dienst auch über die Ports 80 und 443 angesprochen werden. Dazu muss man allerdings zusätzlich zum Internet Information Server den RPC-over-HTTP-Proxy installieren und aktivieren.
Windows XP verfügt bereits über eine eingebaute Firewall, die allerdings von mancher Internet-Einwahlsoftware, zum Beispiel T-Online und AOL, umgangen wird. Einige Treiber für ISDN-Karten legen ebenfalls eigene Verbindungen an, bei denen die Firewall deaktiviert ist. Der Hersteller AVM hat aber in seiner Software Fritz!Web eine eigene Firewall implementiert. Kerio Firewall und ZoneAlarm sind kostenlose Alternativen, die Verbindungversuche zum eigenen PC blockieren können. (dab)