21.03.2012, 00:00 Uhr
Schadcode für Windows-RDP-Lücke aufgetaucht
Beim letzten Patch-Day hat Microsoft eine besonders schwere Sicherheitslücke beseitigt. Ein Fehler im RDP-Server macht Windows ohne Zutun des Nutzers über das Internet angreifbar. Den passenden Schadcode dazu gibt es bereits.
Nur wenige Tage, nachdem Informationen über eine Sicherheitslücke im Remotedesktopdienst veröffentlicht wurden, ist ein Demo-Programm (Proof-of-Concept-Exploit) im Internet aufgetaucht, mit dem sich Windows zum Absturz bringen lässt. Damit alleine ist es noch nicht möglich, weiteren Schadcode auf die betroffenen Computer transportieren. Aber der Quelltext liefert Angreifern genug Informationen, um einen Internet-Wurm zu erstellen. Der Demo-Code ist in der Scriptsprache Python geschriebenen. Eine Gefahr besteht aber nur für nicht aktualisierten Windows-Systeme und auch nur dann, wenn der Remotedesktop aktiviert ist.
Der Entdecker der Schwachstelle Luigi Auriemma behauptet auf Twitter, dass Microsoft den jetzt allgemein zugänglichen Exploit-Code selbst erstellt hat. Er begründet seinen Verdacht damit, dass der Exploit die anfälligen Systeme ausgerechnet mit genau dem RDP-Paket zum Absturz bringt, das er Microsoft im Mai 2011 über die Zero-Day-Initiative zukommen liess. Weitere Details liefert Luigi Auriemma auf seiner Website.
Noch ist nicht klar, wie der Exploit ins Netz gelangen konnte, da er nur den Herstellern von Antiviren-Software zugänglich gewesen sein soll, die an MicrosoftsActive Protections Program (MAPP) teilgenommen haben. Aber auch hier könnte es eine undichte Stelle gegeben haben. Es ist jetzt aber zu befürchten, dass aus dem Exploit sehr schnell ein Metasploit-Modul wird, der die Kompromittierung von befallenen PCs ermöglicht.
Wer Windows bisher nicht aktualisiert hat, sollte das aufgrund der akuten Bedrohung möglichst sofort nachholen. Benutzer, die das automatische Windows-Update nicht verwenden möchten, können die nötigen Dateien beispielsweise auch über den com! Update-Pack-Builder herunterladen. Der Update-Pack-Builder hat den Vorteil, dass Sie alle Updates archivieren und nach einer Windows-Neuinstallation nicht erneut herunterladen müssen. Das Programm ist auch für Benutzer sinnvoll, die mehrere PCs aktualisieren müssen und nicht über eine schnelle Internet-Verbindung verfügen. (ph/com!)
Nur wenige Tage, nachdem Informationen über eine Sicherheitslücke im Remotedesktopdienst veröffentlicht wurden, ist ein Demo-Programm (Proof-of-Concept-Exploit) im Internet aufgetaucht, mit dem sich Windows zum Absturz bringen lässt. Damit alleine ist es noch nicht möglich, weiteren Schadcode auf die betroffenen Computer transportieren. Aber der Quelltext liefert Angreifern genug Informationen, um einen Internet-Wurm zu erstellen. Der Demo-Code ist in der Scriptsprache Python geschriebenen. Eine Gefahr besteht aber nur für nicht aktualisierten Windows-Systeme und auch nur dann, wenn der Remotedesktop aktiviert ist.
Der Entdecker der Schwachstelle Luigi Auriemma behauptet auf Twitter, dass Microsoft den jetzt allgemein zugänglichen Exploit-Code selbst erstellt hat. Er begründet seinen Verdacht damit, dass der Exploit die anfälligen Systeme ausgerechnet mit genau dem RDP-Paket zum Absturz bringt, das er Microsoft im Mai 2011 über die Zero-Day-Initiative zukommen liess. Weitere Details liefert Luigi Auriemma auf seiner Website.
Noch ist nicht klar, wie der Exploit ins Netz gelangen konnte, da er nur den Herstellern von Antiviren-Software zugänglich gewesen sein soll, die an MicrosoftsActive Protections Program (MAPP) teilgenommen haben. Aber auch hier könnte es eine undichte Stelle gegeben haben. Es ist jetzt aber zu befürchten, dass aus dem Exploit sehr schnell ein Metasploit-Modul wird, der die Kompromittierung von befallenen PCs ermöglicht.
Wer Windows bisher nicht aktualisiert hat, sollte das aufgrund der akuten Bedrohung möglichst sofort nachholen. Benutzer, die das automatische Windows-Update nicht verwenden möchten, können die nötigen Dateien beispielsweise auch über den com! Update-Pack-Builder herunterladen. Der Update-Pack-Builder hat den Vorteil, dass Sie alle Updates archivieren und nach einer Windows-Neuinstallation nicht erneut herunterladen müssen. Das Programm ist auch für Benutzer sinnvoll, die mehrere PCs aktualisieren müssen und nicht über eine schnelle Internet-Verbindung verfügen. (ph/com!)
