Microsoft warnt vor Schadcode für Serverdienst-Lücke [Update]
In einer Sicherheitsmeldung warnt Microsoft vor veröffentlichtem Schadcode für die Sicherheitslücke im Serverdienst, die das Unternehmen am vergangenen Patchday geschlossen hat.
Nachdem mehrere Sicherheitsbehörden in der vergangenen Woche schon Warnungen veröffentlicht [1] haben, hat nun auch Microsoft eine Sicherheitsmeldung herausgegeben, in der das Unternehmen vor veröffentlichten Schadcode für die Lücke im Serverdienst warnt. Die Sicherheitsexperten aus Redmond haben den Exploit-Code untersucht und kommen zu dem Schluss, dass dieser nur unter Windows 2000 und Windows XP mit Service Pack 1 funktioniert.
Weiterhin weiß Microsoft nur von kleineren, gezielten Attacken, die diese Schwachstelle ausgenutzt haben. Größer angelegte Angriffe habe man noch nicht entdeckt. Das Internet Storm Center hat jedoch inzwischen entdeckt [2], dass Windows 2000 Server aktiv angegriffen werden. Die Angreifer versuchen offenbar, ein Botnet aufzubauen.
In der Sicherheitsmeldung empfiehlt Microsoft nochmals, den verfügbaren Patch [3] einzuspielen. Wo dies nicht möglich ist, sollten die Ports 139 und 445 entweder per Firewall oder mittels IPsec geschützt werden. Unter Windows 2000 sollten Administratoren gegebenenfalls den eingebauten TCP/IP-Filter entsprechend konfigurieren [4].
[Update]:
Auch F-Secure hat den sich über die Lücke verbreitenden Schädling entdeckt [5], er heißt Mocbot (Backdoor.Win32.IRCBot.st). Es handelt sich dabei um einen IRC-Bot. Nähere Details nennt das LURHQ [6].
Siehe dazu auch: (dmk [7])
- Exploit Code Published Affecting the Server Service [8], Sicherheitsmeldung von Microsoft
URL dieses Artikels:
https://www.heise.de/-151602
Links in diesem Artikel:
[1] https://www.heise.de/news/DHS-Microsofts-Serverdienst-Patch-umgehend-einspielen-2-Update-150695.html
[2] http://isc.sans.org/diary.php?storyid=1592
[3] http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx
[4] http://support.microsoft.com/?scid=kb%3Ben-us%3B309798&x=15&y=10
[5] http://www.f-secure.com/weblog/archives/archive-082006.html#00000946
[6] http://www.lurhq.com/mocbot-ms06040.html
[7] mailto:dmk@heise.de
[8] http://www.microsoft.com/technet/security/advisory/922437.mspx
Copyright © 2006 Heise Medien