Wurm-Code für Windows-Lücke

Diskutiere Wurm-Code für Windows-Lücke im IT-News Forum im Bereich IT-News; Für eine am Patch Day durch ein Sicherheits-Update versorgte Schwachstelle im Arbeitsstationsdienst von Windows ist Exploit-Code veröffentlicht...
#1
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10


Für eine am Patch Day durch ein Sicherheits-Update versorgte Schwachstelle im Arbeitsstationsdienst von Windows ist Exploit-Code veröffentlicht worden, der die Ausnutzung der unbehandelten Sicherheitslücke durch einen Wurm ermöglichen soll.

Am 14. November hat Microsoft im Rahmen des Patch Day unter anderem das Security Bulletin MS06-070 veröffentlicht, das eine Sicherheitslücke im Arbeitsstationsdienst von Windows 2000 und XP behandelt. Dieser Dienst wird unter anderen zur Freigabe von Verzeichnissen oder Druckern im Netzwerk benötigt.

Auf diese Schwachstelle bei noch nicht aktualisierten Windows-2000-Rechnern zielt Exploit-Code, den der Programmierer erfolgreich gegen eine chinesische Version von Windows 2000 Server getestet haben will. Der Angreifer muss jedoch einen im jeweiligen Netzwerk gültigen Domain-Namen kennen, um ans Ziel zu gelangen, wie der Programmierer selbst einschränkt.

Bereits kurz nach Veröffentlichung der Security Bulletins durch Microsoft warnten Sicherheitsfachleute, dass die Anfälligkeit im Arbeitsstationsdienst das Potenzial für einen erfolgreichen Wurmangriff habe. Allerdings sind breit angelegte Wurmangriffe im Stil von "Blaster" oder "Sasser" heute kaum noch üblich, da sich Virenschreiber überwiegend kommerziellen Interessen widmen.

Ein Wurmangriff auf breiter Front erweckt lediglich die Aufmerksamkeit der Öffentlichkeit und der Antivirus-Hersteller. Mit kleineren, gezielten Angriffen auf vergleichsweise wenige Rechner kann hingegen Programm-Code eingeschleust werden, der vertrauliche Daten ausspioniert. Diese lassen sich dann an interessierte Kreise verkaufen.

Obwohl bislang noch kein Wurm oder ein anderer Schädling dieser Art in freier Wildbahn gesichtet worden ist, sollten Anwender und Administratoren das Sicherheits-Update so bald wie möglich installieren. Eine alternative Schutzmaßnahme gegen derartige Angriffe ist die Sperrung der Ports 139 und 445 an der Firewall.

Quelle:IDG Magazine Verlag GmbH/PC-WELT Online
 
#2
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Allerdings sind breit angelegte Wurmangriffe im Stil von "Blaster" oder "Sasser" heute kaum noch üblich, da sich Virenschreiber überwiegend kommerziellen Interessen widmen.
Die sollen mal nicht zu laut schreien.Irgendwann wiederholt sich das.
 
#5
S

seppjo

Gast
:) Ich sags doch schon immer. Macht diese lauschenden Windows Ports dicht. :) 3ter Ansatz dieser Art.
Es gibt wirklich keinen Grund warum diese Ports offen sein sollten. Nur M$ weiß warum das so ist.
 
Zuletzt bearbeitet:
#6
D

dlonra

Dabei seit
19.10.2005
Beiträge
1.149
Hi,
eine Frage, wenn ich jetzt den Winboard-Portscanner ganz oben benutze und er nicht meckert sind dann die Ports dicht.
Ich habe den Portscanner mal getestet.
http://portscan.winboard.org/
Grüsse

hier das Ergebnis
Port 139/tcp (netbios-ssn) Port geschlossen
Port 445/tcp (microsoft-ds) Port geschlossen

kann man sich darauf verlassen?

Muss wohl in der FritzBox Firewal geschlossen sein.
(FritzBox als Router betrieben und nicht als Modem)

edit/ nur Portscanner-Link eingefügt
 
Zuletzt bearbeitet:
#7
S

seppjo

Gast
@dlorna,

das passt. Der Scanner zeigt das richtig an. Wenn du einen Router dazwischen hast dürfte der sich schon darum kümmern, daß diese Ports dicht sind. Trotzdem mach ich die gerne noch mit einer Software Firewall zu. Damit mir auch in einem Netzwerk nichts passieren kann. Da hängt ja dann kein Router dazwischen. Standardmäßig sind folgende Windows Ports im "listen" Modus. Was mir garnicht gefällt.
135-139 & 445

Kuck mal hier ne offizielle Portliste. Da sind die seltsamen M$ Ports nicht definiert.
http://www.security-gui.de/portlist.php
 
#8
D

dlonra

Dabei seit
19.10.2005
Beiträge
1.149
Hi @seppjo

Interesante Liste, da muss ich mir auch gleich einen Port reservieren. :D
Wenn ich Einzelportscann mache ist keiner von 135-139 erreichbar.
Ich denk mal das die Ports geschlossen sind.
Was bedeutet den 'listen'?
Kann Windows die etwa nach belieben einschalten?
Ich glaub nicht das Windows den Router überlisten kann oder sonst ein anderes Programm.


Grüsse
 
#10
S

seppjo

Gast
@dlorna,
"listen" bedeutet Sie schicken zwar keine Daten raus, sind aber durchaus in der Lage Daten anzunehmen. Bedeutet Sie reagieren auf Dateninput. Deswegen haben es ja auch die Hacker, Virenprogrammierer... geschafft über diese Ports reinzukommen. Da brauchst du nicht mal was anklicken. Einfach mit am Netz dranhängen und du bist über diese Ports ein potentielles Opfer.
[Sobald ein Router dran ist, geht das nicht mehr so einfach. In einem Netzwerk tuts.]

@Fireblade,
hab ich was falsches geschrieben? Port 135-139, 445. Also bei mir sind die dicht und das System macht keine Mucken.
 
#11
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
@Fireblade,
hab ich was falsches geschrieben? Port 135-139, 445. Also bei mir sind die dicht und das System macht keine Mucken.
ne ne ist schon okay :blush
 
Thema:

Wurm-Code für Windows-Lücke

Wurm-Code für Windows-Lücke - Ähnliche Themen

  • Seitenladefehler Hotmail-Konto seit heute. Bei Hotmail/Outlook allgemein der Wurm drin?

    Seitenladefehler Hotmail-Konto seit heute. Bei Hotmail/Outlook allgemein der Wurm drin?: Hallo, seit heute, 11.02.2017, späten Nachmittag, kann ich mein Outlook/Hotmail-Konto nicht mehr abrufen. Ein Einloggen ist nicht mehr möglich...
  • Verschlüsselungs-Wurm Dorifel greift an

    Verschlüsselungs-Wurm Dorifel greift an: Verschlüsselungs-Wurm Dorifel greift an
  • Malware-Hybride: Virus trifft Wurm

    Malware-Hybride: Virus trifft Wurm: Wird ein Wurm oder ein Trojanisches Pferd mit einem Virus infiziert, kann das unvorhersehbare Folgen haben. Diese Mutationen passieren meist nicht...
  • Provisorisches Pflaster gegen Duqu-Wurm

    Provisorisches Pflaster gegen Duqu-Wurm: Quelle und ganzer Bericht auf Heise.de MS Artikel zum Thema (Englisch): Microsoft Security Advisory: Vulnerability in TrueType font parsing could...
  • Wurm verbreitet sich über Remote-Desktop-Funktion von Windows

    Wurm verbreitet sich über Remote-Desktop-Funktion von Windows: Quelle und ganzer Bericht auf Heise.de
  • Ähnliche Themen

    Oben