Im Artikel Wurm dringt in Windows-Systeme über RPC-Lücke ein habe ich ja schon am 25. Oktober berichtet. Diese Lücke schein beseitigt und nun hat Micrsoft bekannt gegeben, dass heute am 17. Dezember noch ein Extra-Patch für den Internet Explorer nachgelegt werden soll. Er behebt das folge Problem: Zero-Day-Exploit für Internet Explorer breitet sich aus

Ist das nicht ein tolles Weihnachtsgeschenk von unserem Weltmarktführer, der sich für seine sicheren Betriebssystem bezahlen lässt. Da die Jungs aus Redmond in der Regel wegen der Zeitzonen 9 Stunden später aufstehen als wir, ist vor dem Abend wohl nicht damit zu rechnen.

Auch bei dem Sicherheitsloch im Internet Explorer handelt es sich um ein kritisches Problem, das aktiv ausgenutzt wird. Die Lücke wurde vor genau einer Woche, parallel zum Dezember-Patchday bekannt. Bis dahin beschränkten sich die Attacken damit hauptsächlich auf den chinesischen Raum. Mittlerweile werden offenbar immer mehr Webserver gezielt durch SQL Injection kompromittiert, um über den Exploit die Rechner ihrer Besucher zu infizieren. Somit sah sich Microsoft wohl gezwungen, schnellst möglich zu handeln.

Ob auch für die beiden anderen akuten Sicherheitsprobleme noch dieses Jahr Patches erscheinen, lässt sich der Ankündigung ebenfalls nicht entnehmen. Eine Lücke in Wordpad wird nach Microsofts eigenen Angaben ebenfalls bereits ausgenutzt und Microsofts SQL-Server weist offenbar ebenfalls ein noch ungepatchtes Problem auf.

Quelle: heise.de

Nach Beobachtungen von Sicherheitsfirmen breitet sich der Zero-Day-Exploit für den Internet Explorer rapide im Netz aus. Er richtet sich gegen eine besonders gefährliche Lücke in allen Versionen des des Microsoft-Browsers, für die es bislang keinen Patch gibt: Allein durch Öffnen einer Internetseite kann der Windows-PC mit Schadsoftware infiziert werden. Anders als bei den meisten anderen Angriffen ist also kein weiterer unvorsichtiger Klick des Surfers erforderlich.

Immer mehr harmlose Server werden derzeit durch SQL-Injection so manipuliert, dass sie den Zero-Day-Exploit an anfragende Rechner ausliefern. Daher kann man sich unter Umständen auch auf Webseiten vertrauenswürdiger Anbieter infizieren.

Antiviren-Software schützt nur begrenzt vor Web-Seiten, die einen solchen Exploit nutzen, um Rechner mit Schadsoftware zu infizieren. Zum Einen überwachen längst nicht alle Virenwächter den Internet-Verkehr; viele beschränken sich darauf, Dateien zu durchsuchen. Aber wenn eine Web-Seite im Browser-Cache landet, ist es meist schon zu spät und der böse Code läuft bereits. Zum Anderen haben noch längst nicht alle Hersteller passende Signaturen erstellt. Einen echten Exploit, der heise Security am Dienstag erreichte, erkannten am heutigen Samstag unter anderem CA, Kaspersky, Trend Micro, NOD32, Panda und F-Secure noch nicht.

Microsoft gibt eine ausführliche Liste von Workarounds, wie der Internet Explorer zu konfigurieren ist, um den Exploit ins Leere laufen zu lassen. Dazu gehört unter anderem der wenig praxistaugliche Tipp, Scripting zu deaktivieren, ohne das es auf eine Reihe von Webseiten zu Problemen bei der Darstellung und Bedienung kommen kann.

Solange Microsoft noch keinen Patch bereitstellt, sollte man zu einem alternativen Browser greifen, der die verwundbaren Microsoft-Bibliotheken nicht benutzt. Populäre Beispiele sind Firefox, Opera oder Safari.

Quelle: heise.de

Microsoft beobachtet derzeit die zunehmende Verbreitung eines neuen Windows-Wurms, der die seit mehreren Wochen bekannte Lücke in den RPC-Funktionen des Server-Dienstes ausnutzt, um in Systeme einzudringen. Insbesondere in Firmennetzen soll die derzeit beobachtete Variante Conficker.A an Fahrt zunehmen. Die meisten Meldungen liegen nach Angaben des Microsoft Malware Protection Centers aus den USA vor. Aber auch Kunden aus Europa, Asien und Südamerika seien betroffen. Zudem lägen Microsoft Berichte von mehreren hundert Heimanwendern vor.

Conficker öffnet auf infizierten Systemen einen Port, auf dem ein Webserver-ähnlicher Dienst laufen soll. Von dort kann ein System eine Kopie des Wurms nachladen, nachdem es initial infiziert wurde. Interessanterweise spielt der Wurm auf infizierten System den Patch zum Schließen der Sicherheitslücke ein, was aber weniger aus Freundlichkeit geschieht, sondern eher zum Ziel hat, andere RPC-Würmer draußen zu halten. Zusätzlich fragt Conficker diverse Webseiten ab, um die nach außen erscheinende IP-Adresse sowie die aktuelle Zeit zu ermitteln. Anhand der Zeit generiert der Wurm laut Symantec eine Liste von Domains, mit denen er Kontakt aufnimmt, um weiteren Code nachzuladen.

Schutz vor Conficker bietet weiterhin die Installation des Sicherheits-Updates von Microsoft sowie eine aktive Firewall, wobei die seit Windows XP integrierte und seit SP2 standardmäßig aktive Firewall in der Regel vollkommen ausreicht. Anwender sollten sicherheitshalber aber die Einstellungen überprüfen und sicherstellen, dass nicht ungewollt Ausnahmen definiert sind, die doch den Zugriff auf Dienste erlauben, die für die RPC-Lücke anfällig sind – etwa die Datei- und Druckfreigabe.

Quelle: heise.de

H. D. Moore hat Version 3.2 seines Exploit-Frameworks Metasploit vorgelegt. Eine der wichtigsten Änderungen ist wahrscheinlich der Wechsel der Lizenz von GPL und Perl Artistic License auf die BSD-Lizenz. Damit darf ein Programm verändert und verbreitet werden, ohne dass der Weiterentwickler verpflichtet ist, den Quellcode der veränderten Software zu veröffentlichen. Somit ist BSD-lizenzierte Software insbesondere für kommerzielle Hersteller interessant. Allerdings sieht die BSD-Lizenz vor, dass der Copyright-Vermerk des ursprünglichen Programms enthalten bleibt.

H.D. Moore macht sich keine Illusionen darüber, dass die neue Lizenz zum kommerziellen “Missbrauch” von Metasploit führen wird. In seinem Blog äußert er jedoch die Hoffnung, dass das Projekt stark genug sei, um sich künftig mit anderen Herstellern messen zu können. Der Schlüssel zum Erfolg sei schließlich der schnelle Austausch von Informationen und Code innerhalb der Community. Moore rechnet mit speziellen Produkten für spezifische Anwendungen, etwa Sicherheitstools für SCADA-Systeme in der industriellen Leittechnik.

Neben der Lizenzänderung gab es zahlreiche technische Verbesserungen und Erweiterungen etwa beim Module-Format, dem Ruby-Assember METASM, den WinDBG-Erweiterungen sowie den PcapRub-, Scruby- und Packetfu-Bibliotheken. Das Framework steht für 2000/XP/2003/Vista als Installer bereit, für Linux, BSD und Mac OS X gibt es ein gepacktes Archiv.

• Metasploit 3.2 BSD Licensing, Blogeintrag vom H. D. Moore

Quelle: heise.de

Für die am Mittwoch in Windows bekannt gewordene RPC-Lücke gibt es nun einen öffentlichen Exploit. Noch am Mittwoch wies Microsoft in seinem Security Bulletin darauf hin, dass es zwar gezielte Attacken geben würde, aber der dafür benutzte Code noch nicht öffentlich sei. Allerdings böte die Lücke Potenzial für Würmer. Offenbar ist es nun auch in dieser Hinsicht soweit, denn der Wurm Gimmiv.A soll “in-the-Wild” gesichtet worden sein. Er dringt in verwundbare Rechner ein und sucht von dort aus weitere Systeme, greift sie an und infiziert sie. Immerhin gibt es schon Signaturen für einige Virenscanner und Intrusion Detection Systeme, um derartige Angriffe zu erkennen.

Die Sicherheitsspezialisten von Threatexperts haben eine nähere Analyse von Gimmiv in ihrem Blog veröffentlicht. Demnach sammelt der Wurm auf infizierten Rechnern Daten und sendet sie in verschlüsselter Form an einen Server. Was die Daten genau enthalten, ist bislang unklar.

Anwender sollten nun nicht mehr zögern, das Sicherheits-Update zum Schließen der Lücke zu installieren. Zwar schützt prinzipiell die etwa unter Windows XP SP2 integrierte und standardmäßig aktive Firewall vor Zugriffen des Wurms auf den RPC-Dienst. Allerdings schaltet Windows bei der Aktivierung der Datei- und Druckerfreigabe die notwendigen Ports für den Zugriff innerhalb von lokalen Netzen frei. Passiert beim Einrichten ein Fehler und werden die Datei- und Druckdienste versehentlich auch an eine Internetverbindung gebunden, kann der Dienst auch aus dem Internet erreichbar sein. Gewissheit verschafft ein kurzer Test auf dem c’t Netzwerkcheck. Zeigt der vorkonfigurierte Windows-Test einen der Ports 135-139 oder 445 als offen an, besteht akute Gefahr.

Denn laut laut Microsoft schützt auf Windows XP und Server 2003 die Datenausführungsverhinderung (DEP) nicht vor derartigen Angriffen, da die Schwachstelle ausgerechnet in einem Code-Teil von Windows liegen soll, die nicht durch “/GS security”-Cookies geschützt sind. Mit der /GS-Option compilierte Funktionen legen beim Aufruf einen Cookie auf dem Stack ab, der beim Aufreten typischer Buffer Overflows überschrieben und somit ungültig wird. Windows hält dann das System an.

Anders sieht dies offenbar für Vista und Server 2008 aus. Dort soll die Address Space Layout Randomization das Ausnutzen der Lücke erschweren, indem Windows beim Laden eines Prozesses sowohl für den Code als auch für DLLs und Datenobjekte wie Stack und Heap nach Möglichkeit zufällige Adressen wählt. Funktionen im Exploit-Code wissen dann nicht mehr genau, wohin sie springen sollen.

Im übrigen stieß Microsoft nach eigenen Angaben erst vor rund zwei Wochen bei Untersuchungen von Angriffen auf Windows-XP-Systeme auf die Lücke. Diese soll im gleichen Code-Bereich liegen, wie ein bereits 2006 beseitigter Fehler (MS06-040) beim Parsen und Routen von RPC-Nachrichten. Damals nutzte der Wurm Vanebot/Mocbot die Lücke aus, ohne jedoch nennenswerte Verbreitung zu finden. Spekulationen zufolge soll es sich bei Gimmiv.A auch nur um eine Variante von Mocbot handeln.

Quelle: Heise: Wurm dringt in Windows-Systeme über RPC-Lücke ein