Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Erste Exploits nutzen Plug&Play-Lücke in Windows aus (https://www.dedies-board.de/wbb2/thread.php?threadid=741)
Geschrieben von dedie am 12.08.2005 um 15:14:
Erste Exploits nutzen Plug&Play-Lücke in Windows aus
Zwei kürzlich aufgetauchte Exploits zum Ausnutzen der Plug&Play-Sicherheitslücke in Windows (MS05-039) hat einige Hersteller zur Veröffentlichung gesonderter Warnungen veranlasst. So hat Microsoft zusätzlich zum Security Bulletin vom Dienstag nun noch ein
Security Advisory herausgegeben. Darin wird auf den Schadcode hingewiesen, mit dem sich über das Netzwerk die Kontrolle über einen ungepatchten Rechner gewinnen lässt.
Besonders Windows 2000 ist durch den Exploit bedroht, da dort für einen erfolgreichen Angriff keine vorherige Authentifizierung notwendig ist. Zwar ist die Lücke auch in Windows XP und Server 2003 enthalten, dort muss der Eindringling aber zusätzlich noch einen Anmeldenamen und ein Passwort erraten.
Die bislang kursierenden Exploits widmen sich daher auch nur Windows 2000. Allerdings relativiert sich die Bedrohung, da Windows 2000 eigentlich eher im Unternehmensbereich Einsatz findet. Die Netze sind dort in der Regel durch eine Firewall vom Internet abgeschottet, sodass ein Angreifer gar keinen Kontakt mit verwundbaren Rechnern aufbauen kann.
Allerdings ist ein Angriff von innen nicht auszuschließen. Bereits bei Sasser und Lovsan wähnten sich Firmenanwender fälschlicherweise auf der sicheren Seite, bis die Würmer durch Firmenlaptops einschleppt wurden. Derzeit sind allerdings noch keine Angriffe mit den neuen Exploits zu verzeichnen. Anwender sollten aber auf jeden Fall die Patches installieren.
Der Sicherheitsdienstleister eEye warnt ebenfalls vor den Exploits. Einer davon öffnet nach einem erfolgreichen Angriff eine Backdoor auf Port 8721. eEye stellt das kostenlose Tool Retina UMPNP Scanner zu Verfügung. Damit können Administratoren über das Netzwerk überprüfen, welche Rechner noch verwundbar sind. Allerdings erfordert der Download eine vorherige Registration.
Bislang unbestätigten Gerüchten zufolge existieren für die Lücken im Druckerspooler (MS05-40) und in Kerberos (MS05-42) bereits auch schon Exploits.
QUELLE
Geschrieben von Haui am 14.08.2005 um 20:59:
Ein erster Wurm ist aufgetaucht, der eine von Microsoft beschriebene Lücke des Betribssystem nutzt.
Bereits am Dienstag wurde die Lücke mit dem monatlichen Patch geschlossen (
Patch)
"W32.Zotob.A" versucht diese Schwäche von Windows auszunutzen, melden
Symantec,
McAfee,
F-Secure
Wird er gestartet, kopiert sich der Wurm als botzor.exe in den Systemordner.
Danach wird ein Schlüssel in der Registrierung erstellt
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WINDOWS SYSTEM" = "botzor.exe"
Für einen Angreifer öffnet der Schädling Port 8080.
Quelle:
http://www.virenticker.de/
Also, sofern noch nicht geschehen, bitte alle verfügbaren Updates einspielen.
Geschrieben von DerBilk am 14.08.2005 um 22:09:
Auszug aus der überschriebenen HOSTS:
| Zitat: |
| MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! |
|
Na, da werden die AV-Hersteller aber mächtig zittern...
Geschrieben von DerBilk am 14.08.2005 um 22:27:
und gleich der nächste Wurm
Symantec wird ihn
W32.Spybot.UBH taufen.
| Zitat: |
W32.Spybot.UHB is a worm that has distributed denial of service and backdoor capabilities. The worm spreads by exploiting Microsoft Windows Plug
and Play Buffer Overflow Vulnerability (BID 14513).
...
Impact
------
Payload:
Opens a back door and allows a remote attacker to have unauthorized
access to the compromised computer.
Payload:
May download and execute remote files.
Payload:
May start DoS attacks against Third-Parties
Collateral Damage:
Spreads by exploiting vulnerabilities, which may degrade the compromised
computer's performance.
Collateral Damage:
Network propagation which may degrade network performance.
...
Technical Description
---------------------
W32.Spybot.UHB is a worm that has distributed denial of service and back
door capabilities. The worm spreads by exploiting Microsoft Windows Plug
and Play Buffer Overflow Vulnerability (BID 14513).
When the worm is executed, it checks for the presence of a debugger and
terminates itself if one is found on the compromised computer.
The worm then creates the following file which is used to unpack the worm:
%System%\SVKP.sys
Next, the worm registers a service called SVKP to run the file
%System%\SVKP.sys, by creating the following registry entries:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
The worm then copies itself as the following file:
%System%\pnpsrv.exe
The worm creates the following registry entries so that it runs every
time Windows starts:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows
PNP Server" = "pnpsrv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\"
Windows PNP Server" = "pnpsrv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE\"Windows PNP Server" =
"pnpsrv.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Windows PNP
Server" = "pnpsrv.exe"
Next, the worm attempts to open a back door by connecting to an IRC
channel through TCP port 5232 on the l33t.freeshellz.org domain.
The worm will listen for commands that allow the remote attacker to
perform the following actions:
Download and execute files
List, stop, and start processes and threads
Launch ACK, SYN, UDP, and ICMP Denial of Service (DoS) attacks
Perform port redirection
Send files over IRC
Start a local FTP server
Scan the network for vulnerable hosts by means of port scanning
Flush the DNS and ARP caches
Open a command shell on the infected computer
Reboot the infected computer
Gather system information
The worm may scan for computers on TCP ports 139 and 445 and tries to
exploit the following vulnerability:
Microsoft Windows Plug and Play Buffer Overflow Vulnerability (BID 14513)
|
|
Also ran an das Update, wenn das immer noch nicht passiert ist!
Geschrieben von Haui am 14.08.2005 um 22:29:
Und relativ prompt erfolgt auch die Meldung bei
Heise.
| Zitat: |
...
Windows-XP-Systeme mit Service Pack 2 und Windows 2003 Server erfordern dazu laut Microsoft eine erfolgreiche Authentifizierung als Administrator, bei Windows XP mit Service Pack 1 genügt der Zugang zu einem eingeschränkten Benutzerkonto. Diese Systeme kann Zotob folglich nicht infizieren, ohne beispielsweise Zugangsdaten zu erraten.
... |
|
Geschrieben von MobyDuck am 17.08.2005 um 09:17:
| Zitat: |
| Der am Wochenende aufgetauchte Zotob-Wurm und Varianten wie Rbot.cbg, SDBot.bzh oder Zotob.d befiel Computer von CNN, Associated Press, ABC News und "New York Times" sowie des Baumaschinenherstellers Caterpillar. |
|
Mehr bei Spiegel
Geschrieben von Fruchtzwerg am 18.08.2005 um 19:45:
Wurm Zotob zieht weltweit seine Kreise
Nur wenige Tage nach der Veröffentlichung einer gravierenden Schwachstelle im Computer- Betriebssystem Windows haben Cyber-Vandalen diese Sicherheitslücke ausgenutzt. Die bislang unbekannten Programmierer setzten den Computerwurm "Zotob" in mehreren Varianten in Umlauf, der am Dienstag und Mittwoch die Datenverarbeitungssysteme und Netzwerke zahlreicher Unternehmen weltweit beeinträchtigte. In Deutschland wurden aber nur einzelne Vorfälle beobachtet. "Wir haben bei uns schon viel schlimmere Vorfälle gesehen", sagte der Karlsruher Sicherheitsexperte Christoph Fischer am Mittwoch der dpa.
"Zotob" installiert auf befallenen Rechnen eine virtuelle Hintertür, über die Angreifer den Computer fernsteuern können. Außerdem belastet ein infizierter PC ein Computernetzwerk enorm, da er auf allen möglichen Kanälen nach Angriffspunkten bei anderen Rechnern im Netzwerk sucht. "Das Interesse der Hacker liegt vor allem in der Rechnerleistung jedes einzelnen Computers", sagte Gerald Maronde, Sicherheitsexperte des Antivirus-Herstellers Symantec. Mit Hilfe der so genannten Bots würden Personal Computer zu einem leistungsfähigen Rechnernetzwerk verknüpft, das dann zum Beispiel zum Versand von Werbemails ("Spam") oder für Daten-Angriffe im Internet ("Denial-of-Service-Attacken") genutzt werden könne.
"Es sieht so aus, als tauchte jede Minute eine neue Variante (des Wurms) auf", sagte Joe Hartmann, Leiter des Antivirus- Forschungszentrums von Trend Micro dem IT-Portal Cnet. "Wir untersuchen noch die Berichte von den Infektionen, die aus aller Welt eintreffen."
In den USA waren am Dienstag (Ortszeit) wichtige Medienunternehmen wie die TV-Sender CNN und ABC, die Nachrichtenagentur AP sowie die "New York Times" und "Financial Times" von der "Zotob"-Attacke betroffen. CNN musste nach der Attacke etliche Computer in der Senderzentrale in Atlanta und in New York herunterfahren und seinen Sendeplan ändern. Auch die Computer-Systeme im Kapitol in Washington wurden teilweise lahm gelegt.
Microsoft hatte erst in der vergangenen Woche auf die Sicherheitslücke in seinem älteren Betriebssystem Windows 2000 hingewiesen und gleichzeitig einen Patch veröffentlicht, mit dem die Lücke geschlossen werden kann. Da bislang aber viele Rechner mit Windows 2000 von ihren Besitzern noch nicht entsprechend gewartet wurden, konnte sich der Wurm weit verbreiten. "Kunden, die auf ihre Systeme das Update eingespielt haben oder andere Systemversionen wie Windows XP benutzen, sind nicht betroffen", sagte Stephen Toulouse, Manager des Sicherheitsprogramms bei Microsoft.
Sicherheitsexperte Fischer verwies darauf, dass Windows 2000 eigentlich nicht mehr von Microsoft gewartet werde. "Das sollte man schon berücksichtigen." Dennoch habe Microsoft in diesem Fall einen "Patch" zur Verfügung gestellt. "Man muss die Patches aber auch einspielen."
Erster Wurm-Alarm seit Mai (PC-WELT Online, 17.08.2005)
Neue Würmer nutzen Plug&Play-Schwachstelle (PC-WELT Online, 16.08.2005)
Quelle:
PC-Welt
---
Anmerkung der Administration:
Threads zusammengefügt 
LG, dedie
Admin D-B
---
Geschrieben von dedie am 24.08.2005 um 19:46:
Windows XP SP1 für Angriffe von Plug&Play-Würmern anfällig
In bestimmten Fällen sind auch Windows-XP-SP1-Systeme für Angriffe der Plug&Play-Würmer Zotob und Konsorten anfällig. Darauf weist Microsoft in einem am gestrigen Dienstag veröffentlichten Advisory hin. Zuvor hatte der Softwarekonzern darauf beharrt, dass über die Plug&Play-Schwachstelle nur Windows 2000 über das Netzwerk mit Schadcode infiziert werden könne. Zwischenzeitlich gab es zwar Hinweise, dass auch Windows Server 2003 verwundbar ist, wenn dort Null Sessions aktiviert sind. Dies stellte sich aber recht schnell als falsch heraus.
Dem neuen Advisory zufolge funktioniert der Angriff aber auch, wenn auf einem XP-SP1-Rechner über die einfache Dateifreigabe Zugriffe auf Verzeichnisse eingerichtet sind. In der Standardeinstellungen wird dann nach Angabe von Microsoft automatisch das Gastkonto aktiviert. Damit ist ein gültiges Konto eingerichtet, mit dem der Zugriff auf Ressourcen über das Netzwerk möglich ist -- allerdings nur, wenn der Rechner nicht Mitglied einer Domäne ist.
In der Folge funktioniert auch der Exploit und die kursierenden Würmer können das System infizieren. Bislang sind aber noch keine Fälle bekannt geworden, in dem ein derart konfiguriertes Windows befallen wurde -- wohl auch, weil es unter Privatanwendern nur noch wenige XP-Rechner mit SP1 geben dürfte, so Microsoft. XP-Rechner in Unternehmen seien meist in der Domäne angemeldet. Der Softwarekonzern empfiehlt aber weiterhin dringend, die verfügbaren Patches einzuspielen.
Windows XP mit SP2 ist von dem Gastkonto-Problem nicht betroffen. Zwar gibt es auch dort die einfache Dateifreigabe, für einen erfolgreichen Angriff genügt aber das Gastkonto nicht. Microsoft hat mit SP2 zusätzliche Sicherheitsfunktionen eingeführt, sodass ein Account erforderlich ist, mit dem auch ein Login möglich wäre.
QUELLE