computerwoche.de

Web

Sicherheitsexperten befürchten Windows-DNS-Attacke

17.04.2007
Ungewöhnlich rege Aktivitäten, die auf den TCP Port 1025 auf Windows-Systemen abzielen, könnten Indiz für einen bevorstehenden Angriff auf ungepatchte Server sein, warnt Symantec.

Nach Angaben von Mimi Hoang, Mitglied von Symantecs Security Response Team, ist momentan ein deutlicher Anstieg an IP-Anfragen an Port 1025 zu verzeichnen. Diese liegen zurzeit etwa um den Faktor 50 über der Norm. "Ein derartiger Anstieg ergibt sich nicht zufällig", erklärt die Sicherheitsexpertin.

Von einem direkten Zusammenhang mit der aktuellen, von Microsoft bestätigten Schwachstelle im Windows DNS Server Service spricht Hoang nicht. Dennoch hält sie es für wahrscheinlich, dass die Aktivitäten damit zu tun haben, dass jeder Port über 1024 mit Microsofts RPC (Remote Procedure Call) assoziiert wird und 1025 der erste offene, von RPC verwendete Port sei.

Angreifer können den Bug in Microsofts Windows 2000 Server und Windows Server 2003 ausnutzen, indem sie manipulierte RPC-Pakete an den Server schicken. Microsoft empfiehlt derzeit, sämtlichen eingehenden Traffic an Port 1024 und höher zu blockieren.

Vor dem Hintergrund der aktuellen Schwachstelle könne der ungewöhnliche Traffic auf Versuche hindeuten, auf verfügbare Windows-RPC-Endpoints zuzugreifen, so Symantec. Möglicherweise sei dieser aber auch Indiz für zunehmende Exploit-Versuche via TCP 1025, was bislang allerdings noch nicht nachgewiesen werden könne. Symantec habe bislang noch keinen Zusammenhang zwischen der Port-Aktivität und tatsächlichen Exploits bestätigt, betont Hoang.

Indes nehmen die Exploits für den DNS-Server-Bug nach Angaben von Sicherheitsorganisationen weiter zu. Mit einem von der Firma Immunity veröffentlichten Exploit für ihr Penetrationstest-Framework Canvas beläuft sich deren Zahl auf mittlerweile fünf. Einer der kürzlich gemeldeten Exploits soll angeblich TCP und UDP Port 445 nutzen, deren vorübergehende Blockade Microsoft seit gestern empfiehlt.

Maarten Van Horenbeeck, Analyst beim Internet Storm Center (ISC) des SANS Institute, weist darauf hin, dass viele Systeme unter Windows Server 2003 gefährdet sind. Diese Server würden häufig als dedizierte "Hoster" von DNS- wie HTTP- und FTP-Diensten eingesetzt, seien aber im Normalfall nicht durch eine separate Firewall abgeschirmt, so der Experte. Auch im internen Netz gehostete, häufig mit DNS-Funktionen ausgestattete Active-Directory-Server erachtet Horenbeeck als gefährdet. Sie seien meist schlechter geschützt als DMZ-DNS-Systeme, darüber hinaus erforderten bestimmte Funktionen mitunter verfügbare RPC-Ports, schreibt der Experte in einer ISC-Mitteilung. "Wenn der Active-Directory-Server in Mitleidenschaft gezogen wird, ist das Spiel tatsächlich aus", warnt Horenbeeck. (kf)