RPC-Schwachstelle

Exploit für jüngsten Microsoft-Bug veröffentlicht

27.10.2008
Von Katharina Friedmann 
Für die in der vergangenen Woche im Eilverfahren gepatchte Lücke im Windows-Server-Dienst kursiert bereits ein Wurm, der die kritische Schwachstelle ausnutzt.

Am Freitag identifizierten Sicherheitsexperten einen Wurm namens "Gimmiv", der die Schwachstelle im Server-Dienst der Windows-Versionen 2000, XP und Server 2003 ausnutzt. Microsoft hatte den Patch in der vergangenen Woche - rund vierzehn Tage vor der nächsten regulären Security-Update-Runde - herausgegeben, da sich über den Bug mittels manipulierter RPC-Anfrage (Remote Procedure Call) beliebiger Code teilweise sogar ohne Authentifizierung zur Ausführung bringen lässt. Zudem meldete der Softwarekonzern bereits erste gezielte Angriffe über die Sicherheitslücke. Zwar soll die mit Windows ausgelieferte Firewall-Software grundsätzlich verhindern, dass sich Schädlinge ausbreiten. Sicherheitsexperten befürchten jedoch, dass das Leck genutzt werden könnte, um Rechner in lokalen Netzen zu infizieren, die üblicherweise nicht durch Firewalls geschützt werden.

Und genau darauf ist Gimmiv offenbar ausgelegt. Nach Angaben von Ben Greenbaum, Senior Research Manager bei Symantec, wird Gimmiv via Social Engineering auf ein Zielsystem geschleust, um dann im selben Netz befindliche Windows-Rechner zu scannen und über besagte RPC-Schwachstelle im Server-Dienst auszunutzen. Der Schädling soll dann weiteren Schadcode nachladen, der Daten abgreift.

Zwar haben sowohl Symantec als auch McAfee erst wenige Angriffe auf Basis des Exploits beobachtet. Immerhin sei die Anzahl an Netz-Scans nach verwundbaren Systemen aber seit Donnerstagabend um 25 Prozent gestiegen, so Symantec. Dies sei ein mögliches Indiz für weitere unmittelbar bevorstehende Attacken. Zudem könnte die Veröffentlichung weiterer Tools, mit denen sich der Bug ausnutzen lässt, die Zahl der Attacken in die Höhe treiben. Besagter Exploit-Code wurde am Freitag auf der Milw0rm.com -Site gepostet - nach Ansicht der Experten dürften Hacker den Schadcode in den kommenden Tagen in leicht zu handhabende Angriffswerkzeuge einarbeiten. Greenbaum befürchtet, dass dieser bald zum Aufbau von Botnetzen aus derart infizierten Systemen verwendet wird. Kommt es erst einmal zu dem Punkt, an dem Angreifer nicht viel über den Exploit wissen müssen, dürften Würmer mit hohem Schadpotenzial geschrieben werden, meint indes McAfee-Forscher Craig Schmugar.