zurück zum Artikel

Sicherheitsloch im Sasser-Wurm

Patrick Brauch

Auf dem Sicherheitsportal k-otik wurde ein Exploit veröffentlicht, mit dem sich auf Rechnern, die vom Wurm Sasser befallen sind, beliebiger Code ausführen lässt.

Auf dem Sicherheitsportal k-otik wurde ein Exploit veröffentlicht, mit dem sich auf Rechnern, die vom Wurm Sasser befallen sind, beliebiger Code ausführen lässt. Die Autoren des Exploits haben einen Buffer Overflow im Sasser-Wurm gefunden; durch Überschreiben des SEH-Pointers (Structured Exception Handler) erhält der Angreifer eine Administrator-Shell auf Sasser-infizierten Windows-PCs. Zwar verfügt der Sasser-Wurm über eine Hintertür, doch diese lässt sich nur für begrenzten Lese-Zugriff verwenden. Durch Ausnutzen des Buffer Overflows kann quasi jeder die komplette Kontrolle über die Rechner übernehmen.

Allerdings funktioniert das veröffentlichte Exploit offenbar nur für Windows 2000 mit Service Pack 4 und Windows XP mit Service Pack 1. Bei anderen Windows-Versionen führt das Exploit zum Absturz des Wurms -- prinzipiell dürfte aber jedes Sasser-infizierte System anfällig sein, da der Exploit-Code angepasst werden kann. Durch die Veröffentlichung des Exploits ist zudem befürchten, dass bald Folgewürmer auftauchen, die diese Lücke ausnutzen. Unabhängig vom Patch-Level steht also jedes System, das mit Sasser infiziert ist, sperrangelweit offen. Vorsorglich sollten alle Anwender ihren Rechner nach dem Einspielen der Microsoft-Patches mit einem aktuellen Virenscanner untersuchen.

Siehe dazu auch: (pab)

URL dieses Artikels:
https://www.heise.de/-98325

Links in diesem Artikel:
[1] http://www.thc.org/download.php?t=p&f=Practical-SEH-exploitation.pdf
[2] https://www.heise.de/news/Wurm-Sasser-dringt-ueber-Windows-Sicherheitsluecke-ein-97941.html
[3] https://www.heise.de/news/Sasser-Phatbot-als-blinder-Passagier-98117.html
[4] https://www.heise.de/news/Vermutlicher-Sasser-Autor-auch-Netsky-Urheber-98269.html

Copyright © 2004 Heise Medien