Exploit für Windows-Schwachstellen schon unterwegs

Nur eine Woche nach den jüngsten Warnungen vor weiteren Sicherheitsproblemen in Microsofts ‘Distributed Component Object Model’ (DCOM) haben die Spezialisten von Counterpane und I-Defense das erste Exploit entdeckt. Von einem chinesischen Server aus werde der Code verbreitet, heißt es bei I-Defense, mit dem ein Wurm oder eine andere Form von Malware hergestellt werden kann.
Microsoft bestätigte inzwischen, dass man sich den Code genauer unter die Lupe nehme und forderte die Anwender gleichzeitig auf, den neusten Patch aus dem Sicherheitsbulletin Nummer 39 zu installieren. Außerdem sollten zunächst die Ports 135, 139 und 445 geschlossen werden.

Die DCO-Schwachstelle ist derjenigen sehr ähnlich, die von Blaster und Welchia ausgenutzt wurde. Erneute Malware würde höchstwahrscheinlich ebenfalls eine korrupte Remote-Procedure-Call-Meldung (RPC) an das Zielsystem schicken, um damit einen Buffer Overflow zu provozieren. Damit lässt sich das System in die Gewalt des Angreifers bringen.

Counterpane zufolge ist in dem Code bereits die Möglichkeit vorgesehen, ein Interface auf dem Ziel-Rechner zu installieren, das der Angreifer nutzen kann. Eine normale Firewall kann mit dem Angriff eines neuen Blaster-ähnlichen Wurms in der Regel fertig werden. Besondere Vorsicht sei allerdings geboten, warnt Counterpane-CTO Bruce Schneier, wenn Mitarbeiter Laptops mit ins Unternehmen bringen, auf denen sich nicht aktivierte Malware festgesetzt hat, die dann hinter der Firewall aktiv werden kann.