unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Erste Exploits nutzen Plug&Play-Lücke in Windows aus » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Erste Exploits nutzen Plug&Play-Lücke in Windows aus
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 20.611.891
Nächster Level: 22.308.442
1.696.551 Erfahrungspunkt(e) für den nächsten Levelanstieg

Update Erste Exploits nutzen Plug&Play-Lücke in Windows aus Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zwei kürzlich aufgetauchte Exploits zum Ausnutzen der Plug&Play-Sicherheitslücke in Windows (MS05-039) hat einige Hersteller zur Veröffentlichung gesonderter Warnungen veranlasst. So hat Microsoft zusätzlich zum Security Bulletin vom Dienstag nun noch ein Security Advisory herausgegeben. Darin wird auf den Schadcode hingewiesen, mit dem sich über das Netzwerk die Kontrolle über einen ungepatchten Rechner gewinnen lässt.

Besonders Windows 2000 ist durch den Exploit bedroht, da dort für einen erfolgreichen Angriff keine vorherige Authentifizierung notwendig ist. Zwar ist die Lücke auch in Windows XP und Server 2003 enthalten, dort muss der Eindringling aber zusätzlich noch einen Anmeldenamen und ein Passwort erraten.

Die bislang kursierenden Exploits widmen sich daher auch nur Windows 2000. Allerdings relativiert sich die Bedrohung, da Windows 2000 eigentlich eher im Unternehmensbereich Einsatz findet. Die Netze sind dort in der Regel durch eine Firewall vom Internet abgeschottet, sodass ein Angreifer gar keinen Kontakt mit verwundbaren Rechnern aufbauen kann.

Allerdings ist ein Angriff von innen nicht auszuschließen. Bereits bei Sasser und Lovsan wähnten sich Firmenanwender fälschlicherweise auf der sicheren Seite, bis die Würmer durch Firmenlaptops einschleppt wurden. Derzeit sind allerdings noch keine Angriffe mit den neuen Exploits zu verzeichnen. Anwender sollten aber auf jeden Fall die Patches installieren.

Der Sicherheitsdienstleister eEye warnt ebenfalls vor den Exploits. Einer davon öffnet nach einem erfolgreichen Angriff eine Backdoor auf Port 8721. eEye stellt das kostenlose Tool Retina UMPNP Scanner zu Verfügung. Damit können Administratoren über das Netzwerk überprüfen, welche Rechner noch verwundbar sind. Allerdings erfordert der Download eine vorherige Registration.

Bislang unbestätigten Gerüchten zufolge existieren für die Lücken im Druckerspooler (MS05-40) und in Kerberos (MS05-42) bereits auch schon Exploits.

QUELLE


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
12.08.2005 15:14 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

Haui Haui ist männlich
Haudegen


images/avatars/avatar-123.jpg

Dabei seit: 29.04.2005
Beiträge: 522

Level: 44 [?]
Erfahrungspunkte: 3.615.664
Nächster Level: 4.297.834
682.170 Erfahrungspunkt(e) für den nächsten Levelanstieg

Update Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Ein erster Wurm ist aufgetaucht, der eine von Microsoft beschriebene Lücke des Betribssystem nutzt.
Bereits am Dienstag wurde die Lücke mit dem monatlichen Patch geschlossen (Patch)
"W32.Zotob.A" versucht diese Schwäche von Windows auszunutzen, melden Symantec, McAfee, F-Secure
Wird er gestartet, kopiert sich der Wurm als botzor.exe in den Systemordner.
Danach wird ein Schlüssel in der Registrierung erstellt
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WINDOWS SYSTEM" = "botzor.exe"
Für einen Angreifer öffnet der Schädling Port 8080.

Quelle: http://www.virenticker.de/


Also, sofern noch nicht geschehen, bitte alle verfügbaren Updates einspielen.


__________________
Have you tried turning it off and on again?

/join #dedies-board.de

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Haui: 14.08.2005 20:59.
14.08.2005 20:59 Haui ist offline E-Mail an Haui senden Homepage von Haui Beiträge von Haui suchen Nehmen Sie Haui in Ihre Freundesliste auf Jabber Screennamen von Haui: haui45@jabber.ccc.de

DerBilk DerBilk ist männlich
Lebende Legende


images/avatars/avatar-46.jpg

Dabei seit: 15.07.2005
Beiträge: 114

Level: 35 [?]
Erfahrungspunkte: 780.834
Nächster Level: 824.290
43.456 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Auszug aus der überschriebenen HOSTS:
Zitat:
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

Na, da werden die AV-Hersteller aber mächtig zittern... Petzauge


__________________
Gruß,
DerBilk

Nur weil ich paranoid bin, heisst das nicht, dass sie nicht hinter mir her sind... (Matthias Deutschmann)
14.08.2005 22:09 DerBilk ist offline Homepage von DerBilk Beiträge von DerBilk suchen Nehmen Sie DerBilk in Ihre Freundesliste auf

DerBilk DerBilk ist männlich
Lebende Legende


images/avatars/avatar-46.jpg

Dabei seit: 15.07.2005
Beiträge: 114

Level: 35 [?]
Erfahrungspunkte: 780.834
Nächster Level: 824.290
43.456 Erfahrungspunkt(e) für den nächsten Levelanstieg

Update und gleich der nächste Wurm Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Symantec wird ihn W32.Spybot.UBH taufen.

Zitat:
W32.Spybot.UHB is a worm that has distributed denial of service and backdoor capabilities. The worm spreads by exploiting Microsoft Windows Plug
and Play Buffer Overflow Vulnerability (BID 14513).

...

Impact
------
Payload:
Opens a back door and allows a remote attacker to have unauthorized
access to the compromised computer.
Payload:
May download and execute remote files.
Payload:
May start DoS attacks against Third-Parties
Collateral Damage:
Spreads by exploiting vulnerabilities, which may degrade the compromised
computer's performance.
Collateral Damage:
Network propagation which may degrade network performance.

...

Technical Description
---------------------
W32.Spybot.UHB is a worm that has distributed denial of service and back
door capabilities. The worm spreads by exploiting Microsoft Windows Plug
and Play Buffer Overflow Vulnerability (BID 14513).

When the worm is executed, it checks for the presence of a debugger and
terminates itself if one is found on the compromised computer.

The worm then creates the following file which is used to unpack the worm:
%System%\SVKP.sys

Next, the worm registers a service called SVKP to run the file
%System%\SVKP.sys, by creating the following registry entries:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP

The worm then copies itself as the following file:
%System%\pnpsrv.exe

The worm creates the following registry entries so that it runs every
time Windows starts:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows
PNP Server" = "pnpsrv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\"
Windows PNP Server" = "pnpsrv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE\"Windows PNP Server" =
"pnpsrv.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Windows PNP
Server" = "pnpsrv.exe"

Next, the worm attempts to open a back door by connecting to an IRC
channel through TCP port 5232 on the l33t.freeshellz.org domain.

The worm will listen for commands that allow the remote attacker to
perform the following actions:
Download and execute files
List, stop, and start processes and threads
Launch ACK, SYN, UDP, and ICMP Denial of Service (DoS) attacks
Perform port redirection
Send files over IRC
Start a local FTP server
Scan the network for vulnerable hosts by means of port scanning
Flush the DNS and ARP caches
Open a command shell on the infected computer
Reboot the infected computer
Gather system information

The worm may scan for computers on TCP ports 139 and 445 and tries to
exploit the following vulnerability:
Microsoft Windows Plug and Play Buffer Overflow Vulnerability (BID 14513)


Also ran an das Update, wenn das immer noch nicht passiert ist!


__________________
Gruß,
DerBilk

Nur weil ich paranoid bin, heisst das nicht, dass sie nicht hinter mir her sind... (Matthias Deutschmann)
14.08.2005 22:27 DerBilk ist offline Homepage von DerBilk Beiträge von DerBilk suchen Nehmen Sie DerBilk in Ihre Freundesliste auf

Haui Haui ist männlich
Haudegen


images/avatars/avatar-123.jpg

Dabei seit: 29.04.2005
Beiträge: 522

Level: 44 [?]
Erfahrungspunkte: 3.615.664
Nächster Level: 4.297.834
682.170 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Und relativ prompt erfolgt auch die Meldung bei Heise.

Zitat:
...
Windows-XP-Systeme mit Service Pack 2 und Windows 2003 Server erfordern dazu laut Microsoft eine erfolgreiche Authentifizierung als Administrator, bei Windows XP mit Service Pack 1 genügt der Zugang zu einem eingeschränkten Benutzerkonto. Diese Systeme kann Zotob folglich nicht infizieren, ohne beispielsweise Zugangsdaten zu erraten.
...


__________________
Have you tried turning it off and on again?

/join #dedies-board.de

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Haui: 14.08.2005 22:29.
14.08.2005 22:29 Haui ist offline E-Mail an Haui senden Homepage von Haui Beiträge von Haui suchen Nehmen Sie Haui in Ihre Freundesliste auf Jabber Screennamen von Haui: haui45@jabber.ccc.de

MobyDuck
Lebende Foren Legende


images/avatars/avatar-215.jpg

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 50 [?]
Erfahrungspunkte: 11.763.578
Nächster Level: 11.777.899
14.321 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Der am Wochenende aufgetauchte Zotob-Wurm und Varianten wie Rbot.cbg, SDBot.bzh oder Zotob.d befiel Computer von CNN, Associated Press, ABC News und "New York Times" sowie des Baumaschinenherstellers Caterpillar.


Mehr bei Spiegel
17.08.2005 09:17 MobyDuck ist offline Beiträge von MobyDuck suchen Nehmen Sie MobyDuck in Ihre Freundesliste auf

Fruchtzwerg
Regular


images/avatars/avatar-79.jpg

Dabei seit: 03.06.2005
Beiträge: 125

Level: 36 [?]
Erfahrungspunkte: 861.466
Nächster Level: 1.000.000
138.534 Erfahrungspunkt(e) für den nächsten Levelanstieg

Achtung Wurm Zotob zieht weltweit seine Kreise Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Nur wenige Tage nach der Veröffentlichung einer gravierenden Schwachstelle im Computer- Betriebssystem Windows haben Cyber-Vandalen diese Sicherheitslücke ausgenutzt. Die bislang unbekannten Programmierer setzten den Computerwurm "Zotob" in mehreren Varianten in Umlauf, der am Dienstag und Mittwoch die Datenverarbeitungssysteme und Netzwerke zahlreicher Unternehmen weltweit beeinträchtigte. In Deutschland wurden aber nur einzelne Vorfälle beobachtet. "Wir haben bei uns schon viel schlimmere Vorfälle gesehen", sagte der Karlsruher Sicherheitsexperte Christoph Fischer am Mittwoch der dpa.

"Zotob" installiert auf befallenen Rechnen eine virtuelle Hintertür, über die Angreifer den Computer fernsteuern können. Außerdem belastet ein infizierter PC ein Computernetzwerk enorm, da er auf allen möglichen Kanälen nach Angriffspunkten bei anderen Rechnern im Netzwerk sucht. "Das Interesse der Hacker liegt vor allem in der Rechnerleistung jedes einzelnen Computers", sagte Gerald Maronde, Sicherheitsexperte des Antivirus-Herstellers Symantec. Mit Hilfe der so genannten Bots würden Personal Computer zu einem leistungsfähigen Rechnernetzwerk verknüpft, das dann zum Beispiel zum Versand von Werbemails ("Spam") oder für Daten-Angriffe im Internet ("Denial-of-Service-Attacken") genutzt werden könne.

"Es sieht so aus, als tauchte jede Minute eine neue Variante (des Wurms) auf", sagte Joe Hartmann, Leiter des Antivirus- Forschungszentrums von Trend Micro dem IT-Portal Cnet. "Wir untersuchen noch die Berichte von den Infektionen, die aus aller Welt eintreffen."

In den USA waren am Dienstag (Ortszeit) wichtige Medienunternehmen wie die TV-Sender CNN und ABC, die Nachrichtenagentur AP sowie die "New York Times" und "Financial Times" von der "Zotob"-Attacke betroffen. CNN musste nach der Attacke etliche Computer in der Senderzentrale in Atlanta und in New York herunterfahren und seinen Sendeplan ändern. Auch die Computer-Systeme im Kapitol in Washington wurden teilweise lahm gelegt.

Microsoft hatte erst in der vergangenen Woche auf die Sicherheitslücke in seinem älteren Betriebssystem Windows 2000 hingewiesen und gleichzeitig einen Patch veröffentlicht, mit dem die Lücke geschlossen werden kann. Da bislang aber viele Rechner mit Windows 2000 von ihren Besitzern noch nicht entsprechend gewartet wurden, konnte sich der Wurm weit verbreiten. "Kunden, die auf ihre Systeme das Update eingespielt haben oder andere Systemversionen wie Windows XP benutzen, sind nicht betroffen", sagte Stephen Toulouse, Manager des Sicherheitsprogramms bei Microsoft.

Sicherheitsexperte Fischer verwies darauf, dass Windows 2000 eigentlich nicht mehr von Microsoft gewartet werde. "Das sollte man schon berücksichtigen." Dennoch habe Microsoft in diesem Fall einen "Patch" zur Verfügung gestellt. "Man muss die Patches aber auch einspielen."



Erster Wurm-Alarm seit Mai (PC-WELT Online, 17.08.2005)



Neue Würmer nutzen Plug&Play-Schwachstelle (PC-WELT Online, 16.08.2005)



Quelle: PC-Welt
---
Anmerkung der Administration:

Threads zusammengefügt Augen rollen
LG, dedie
Admin D-B
---


__________________
18.08.2005 19:45 Fruchtzwerg ist offline E-Mail an Fruchtzwerg senden Beiträge von Fruchtzwerg suchen Nehmen Sie Fruchtzwerg in Ihre Freundesliste auf

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 20.611.891
Nächster Level: 22.308.442
1.696.551 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von dedie
Windows XP SP1 für Angriffe von Plug&Play-Würmern anfällig Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
In bestimmten Fällen sind auch Windows-XP-SP1-Systeme für Angriffe der Plug&Play-Würmer Zotob und Konsorten anfällig. Darauf weist Microsoft in einem am gestrigen Dienstag veröffentlichten Advisory hin. Zuvor hatte der Softwarekonzern darauf beharrt, dass über die Plug&Play-Schwachstelle nur Windows 2000 über das Netzwerk mit Schadcode infiziert werden könne. Zwischenzeitlich gab es zwar Hinweise, dass auch Windows Server 2003 verwundbar ist, wenn dort Null Sessions aktiviert sind. Dies stellte sich aber recht schnell als falsch heraus.

Dem neuen Advisory zufolge funktioniert der Angriff aber auch, wenn auf einem XP-SP1-Rechner über die einfache Dateifreigabe Zugriffe auf Verzeichnisse eingerichtet sind. In der Standardeinstellungen wird dann nach Angabe von Microsoft automatisch das Gastkonto aktiviert. Damit ist ein gültiges Konto eingerichtet, mit dem der Zugriff auf Ressourcen über das Netzwerk möglich ist -- allerdings nur, wenn der Rechner nicht Mitglied einer Domäne ist.

In der Folge funktioniert auch der Exploit und die kursierenden Würmer können das System infizieren. Bislang sind aber noch keine Fälle bekannt geworden, in dem ein derart konfiguriertes Windows befallen wurde -- wohl auch, weil es unter Privatanwendern nur noch wenige XP-Rechner mit SP1 geben dürfte, so Microsoft. XP-Rechner in Unternehmen seien meist in der Domäne angemeldet. Der Softwarekonzern empfiehlt aber weiterhin dringend, die verfügbaren Patches einzuspielen.

Windows XP mit SP2 ist von dem Gastkonto-Problem nicht betroffen. Zwar gibt es auch dort die einfache Dateifreigabe, für einen erfolgreichen Angriff genügt aber das Gastkonto nicht. Microsoft hat mit SP2 zusätzliche Sicherheitsfunktionen eingeführt, sodass ein Account erforderlich ist, mit dem auch ein Login möglich wäre.


QUELLE


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
24.08.2005 19:46 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Erste Exploits nutzen Plug&Play-Lücke in Windows aus

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2024 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;

Nach oben