Angreifer nutzten Windows-Lücke aktiv aus

Exploits für DoS-Attacken gefährden Windows-Betriebssysteme. Davor warnen die Sicherheitsforscher vom Sans Institute. Die kritische Sicherheitslücke im HTTP-Stack von Windows hat Microsoft mit einem am April-Patchday bereitgestellten Update bereits geschlossen.

Wie Johannes Ullrich, Chief Technology Officer des Sans Institute, erklärt, haben Honeypot-Fallen bereits aktive Exploits entdeckt. Sie lassen sich auch über SSL ausführen und seien in der Lage Netzwerk-Sicherheitsvorkehrungen zu umgehen. Bislang ist nur die DoS-Version (Denial of Service) von Exploits bekannt. Angreifer würden noch keinen Remotecode ausführen. Allerdings warnt Microsoft davor. Darüber hinaus ermöglicht die Schwachstelle offenbar auch die Offenlegung von Informationen, was aber noch nicht eindeutig durch Proof-of-Concept-Exploits belegt werden konnte.

Die kritische Lücke ist dem Microsoft Security Bulletin MS15-034 zufolge eine Sicherheitsanfälligkeit in HTTP.sys, einer in Microsofts Internet Information Services (IIS) genutzte Komponente. Sendet ein Angreifer eine manipulierte HTTP-Anforderung an ein betroffenes Windows-System, erlaubt die Schwachstellen eine Remotecodeausführung. Die Lücke erhielt die Kennung CVE-2015-1635 der National Vulnerability Database (NVD).

Das dafür bereitgestellte Sicherheitsupdate beseitigt die Lücke, indem es ändert, wie der HTTP-Stapel von Windows Anforderungen verarbeitet. Betroffen und durch das Update zu sichern sind Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server 2012 R2.

Ein internetweiter Scan von Errata brachte noch keine klaren Ergebnisse, wie viele Webserver wirklich angreifbar sind. Netcraft hingegen schätzt, dass über 70 Millionen Websites anfällig sind, die auf rund 900.000 Servern gehostet werden.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.