Microsoft-Flickschuster bekommen RPC-Löcher nicht gestopft

Mit seinem 39. Sicherheitsbulletin in diesem Jahr warnt der amerikanische Softwarehersteller Microsoft erneut vor gravierenden Sicherheitslücken in der Mehrzahl seiner Betriebssysteme. Es handelt sich – wieder – um drei Schwachstellen in Verbindung mit dem bekannten ‘Remote Procedure Call’, die der Hersteller als ‘kritisch’ einstuft, der höchsten Stufe auf der Redmonder Warn-Skala. Ein Patch ist bei Microsoft verfügbar, der auch die Mitte Juli veröffentlichten Schwachstellen abdeckt.
Damit ist klar, dass Microsoft die Probleme, die der Blaster-Wurm vor vier Wochen und in der Folge auch dessen Abkömmlinge ausnutzte, weiterhin nicht im Griff hat. Über zwei verschiedene Möglichkeiten soll es dem Bulletin zufolge möglich sein, einen Buffer Overflow herbeizuführen und so die Kontrolle über den Rechner zu übernehmen. Auch mit einem Angriff nach dem Strickmuster einer Denial-of-Service-Attacke direkt auf den RPC-Dienst des Betriebssystems können alle Sicherheitsvorkehrungen auf dem befallenen System überrumpelt werden.

Konkret geht es um Fehler im DCOM-Interface, der Schnittstelle ‘Distributed Component Object Model’ zum ‘Remote Procedure Call’-Dienst (RPC). Dieser Dienst verarbeitet Mitteilungen innerhalb des Systems und verwendet dafür das RPC-Protokoll.

Betroffen ist die gesamte Palette von Windows NT 4.0 über Windows 2000 und XP in 32- oder 64-Bit-Ausführung bis hin zu Server 2003. Allein Windows ME-Anwender sollen sich keinerlei Sorgen machen müssen, heißt es bei Microsoft – das OS dürfte aber fast ausschließlich bei Privatanwendern im Einsatz sein.

Während Jeff Jones, Microsofts Senior Director der Abteilung ‘Trustworthy Computing Security’, bisher keinen Exploit für die Sicherheitslücken gesehen haben will, berichtet Symantecs Entwicklungschef Alfred Huger bereits von Exploits, die innerhalb der Security-Gemeinde ausgetauscht würden, um die Struktur der Schwachstellen besser verstehen zu lernen. Es sei nur eine Sache von Wochen, bis sich Hacker die neuen Informationen über die Verwundbarkeit von Microsoft-Rechnern zunutze machen würden, meint Robin Matlock, Vice President bei Network Associates. “Der Zeitraum zwischen Bekanntgabe von Gefahren und deren Ausnutzung wird immer kleiner”, warnt Matlock. Huger spricht dagegen von wenigen Tagen, innerhalb derer zumindest mit einem ersten Angriffsversuch der Hackergemeinde zu rechnen sei.

Die Anbieter von Sicherheitslösungen wie auch Microsoft selbst hoffen jetzt auf die noch frischen Erinnerungen an die Blaster- und Sobig.F-Probleme im vergangenen Monat. Sollte eine deutlich größere Zahl von privaten und professionellen Anwendern den Patch von Microsoft auch tatsächlich schnell installieren, könnte ein Angriff auf die Schwachstellen vielleicht doch weitgehend abgefangen werden. In den vergangenen beiden Monaten musste Microsoft seine Anwender mit mehr als 20 dringenden Updates oder Patches behelligen. Eine gewisse Patch-Müdigkeit lässt sich dann wohl nicht vermeiden.

Nach der Festnahme eines 18 Jahre alten US-Amerikaners in Minnesota hat jetzt auch die Polizei in Rumänien einen Mann im Zusammenhang mit dem Blaster-Wurm festgenommen. Dem 24-Jährigen wird vorgeworfen, er habe eine Variante von ‘Blaster’ alias ‘Lovsan’ in Umlauf gebracht. Ihm drohen nun bis zu 15 Jahre Haft.