Blaster läuft ins Leere

Die Denial-of-Service-Attacke des Blaster-Wurms auf die Update-Website von Microsoft ist am Wochenende ausgefallen. Denn zum einen konnte sich der Schädling nur von rund 50.000 der weltweit befallenen 423.000 Rechnern aus mit ‘windowsupdate.com’ beschäftigen. Zum anderen hatte Microsoft diese Redirect-Adresse schlichtweg vom Netz genommen. Die Updates liegen schon seit jeher unter der Sub-Domain ‘windowsupdate.microsoft.com’.
Microsoft hatte aber außerdem zusätzliche Ressourcen eingekauft: Die Update-Site wurde vom Web-Dienstleister und Load-Balancer Akamai gespiegelt. Offensiv war auch Microsofts Öffentlichkeitsarbeit. Mit Zeitungsanzeigen versuchte der Konzern, seine Kunden über Blaster und den RPC-Patch zu informieren. Aufgrund der breiten Aufmerksamkeit für den Wurm merken Marketingspezialisten inzwischen aber auch an, dass die negativen Microsoft-Meldungen das Image des Softwarekonzerns in Mitleidenschaft ziehen.

Schon bei seiner Verbreitung hatte Blaster einige Konstruktionsfehler gezeigt, weil beispielsweise heruntergefahrene Systeme nicht nach zusätzlichen Zielen suchen können. Sicherheitsspezialisten wie etwa Symantec warnen wie auch Microsoft selbst davor, Windows-Systeme ungepatcht zu lassen. Eine überarbeitete Version von Blaster könne jederzeit auftauchen. Vincent Weafer, bei Symantec verantwortlich für ‘Security Response’, rechnet nach Angaben eines Sprechers damit, dass mutierte Versionen des Wurm über die kommenden zwei Jahre hinweg auftauchen werden.

Aufgelöst hat sich weitgehend das Rätsel um die unterschiedlichen Angaben zur Zahl der infizierten Rechner. Während Symantec von 423.000 befallenen Systemen ausgeht, hatte der Softwarehersteller und Internet-Dienstleister Verisign die Zahl von 1,4 Millionen genannt. Eine “vorübergehende Anomalie” der eigenen ‘Atlas’-Software habe zu dieser Annahme geführt, musste Verisign einräumen. Das ‘Advanced Transaction Lookup and Signaling System’ hatte eine um 33 bis 50 Prozent höhere Menge von DNS-Abfragen festgestellt – 3,7 Milliarden mehr als an einem durchschnittlichen Tag. Besonders unerfreulich ist die Panne für Verisign, weil Atlas in künftigen Verzeichnisdiensten wie ‘Enum’ eingesetzt werden soll.

Eine Frage bleibt weiterhin ungeklärt: Wer oder was soll SAN sein, demgegenüber der Blaster-Autor innerhalb des Codes seine Liebe erklärte? – Wohl doch kein ‘Storage Area Network’? Nachdem sich die Berichterstatter weltweit auf die drolligere Bezeichnung ‘Lovsan’ statt ‘Blaster’ geeinigt haben, wäre der Urheber zumindest diese Erklärung schuldig.

Silicon-Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago