Microsoft

Wirklich überraschend kam der Wurm ja nicht. In den zwei Wochen vor Ausbruch von Blaster (auch unter dem Namen Lovsun geführt) häuften sich Warnungen vor einem neuen Schädling und Hinweise auf dessen Gedeihen in den einschlägigen Newsgroups und Foren. Als Blaster zum ersten Mal am Abend des 11. August in freier Wildbahn gesichtet wurde, war es fast wie ein erlösendes Sommergewitter nach der Spannung der vorangegangenen Tage. Allerdings kam es in Folge dieses Platzregens zu einigen schwer wiegenden und teuren Überschwemmungen, sodass es vielleicht besser gewesen wäre, im Vorfeld etwas mehr Hochwasservorsorge zu betreiben.

Eine solche Vorsorge in Form eines Hotfixes zum Verschließen der von Blaster genutzten Sicherheitslücke existiert immerhin seit Mitte Juli, womit die verantwortlichen Administratoren einen knappen Monat Zeit hatten, um ihre Systeme abzusichern. Das ist natürlich deutlich kürzer als bei früheren Wurm-Attacken gleichen Ausmaßes; den Patch, der SQL-Slammer hätte verhindern können, gab es bereits ein halbes Jahr vor dem Ausbruch. Dennoch führt kein Weg daran vorbei, dass die Systemadministratoren dieser Welt schon recht fahrlässig handeln, wenn sie bekannte Sicherheitslücken ohne Not nicht verschließen - insbesondere wenn es sich, wie im vorliegenden Fall, um ein Sicherheitsloch in einer derartig kritischen Komponente wie dem RPC-Subsystem handelt.

Blaster nutzt dieses Sicherheitsloch, um Windows-2000- und XP-Systeme zu befallen, sich einzunisten und von dort weiterzuverbreiten. Hierfür verwendet der Wurm einen einfachen und recht effizienten Mechanismus, der zum Teil auf zufällig ausgewählten IP-Adressen im selben Netzwerksegment der befallenen Maschine, zum Teil auf vollkommen frei gewählten Adressen basiert. Das führt zum einen zu einer Netzüberlastung, zum anderen verbreitet sich der Wurm auf diese Art und Weise schnell und über Netzwerkgrenzen hinweg. Da Blaster sich nicht darum kümmert, ob die angegriffene Maschine verwundbar ist oder nicht, zieht er auch andere Betriebssysteme in Mitleidenschaft. So führt der Wurm ganz nebenbei - und wahrscheinlich unbeabsichtigt - einen DoS-Angriff auf OSF-DCE-Implementierungen aus.

Hat sich der Wurm auf einem Wirtsrechner häuslich eingerichtet, versucht er, sich von dort weiterzuverbreiten und installiert zusätzlich eine Backdoor. Ab dem 16. August war eigentlich ein DDoS-Angriff aller Blaster-Instanzen auf windowsupdate.com geplant, der aber glücklicherweise fehlgeschlagen ist. Microsoft hatte seinen Update-Dienst entsprechend abgesichert, und außerdem ist diese Schadroutine so schlampig programmiert, dass sie nicht den beabsichtigten Erfolg hatte. Überhaupt ist Blaster kein Paradebeispiel an sauberer Programmierung. Der Programmierer setzt beispielsweise die Existenz bestimmter Verzeichnisnamen voraus, sodass der Wurm auf einigen lokalisierten Versionen von Windows einfach nicht läuft.

Während SQL-Slammer sein Unwesen hauptsächlich in Firmennetzen trieb, sind diesmal auch Heimanwender massiv betroffen, deren Rechner über Modem oder DSL mit dem Internet verbunden sind. Das liegt daran, dass Blaster den RPC-Dienst angreift, der auf jedem Windows-Rechner vorhanden ist. Zu allem Überfluss führt ein Versagen von RPC in der Standardkonfiguration zu einem Neustart des betroffenen Rechners. Dadurch saßen zahlreiche Nutzer vor ständig neu bootenden Rechnern und konnten noch nicht einmal den Patch von der Microsoft-Webseite herunterladen.

Wer sich vor Blaster schützen will, sollte die TCP-Ports 135 und 4444 sowie den UDP-Port 69 schließen, aktuelle Antivirensoftware installieren und natürlich den Sicherheitspatch einspielen. Administratoren, die ein wenig Nervenkitzel lieben, können auch darauf warten, dass ihre Rechner von einem zweiten Wurm namens Welchia infiziert werden. Welchia nutzt dieselbe Sicherheitslücke, um einen Rechner zu befallen, sucht dann nach einer eventuell vorhandenen Blaster-Infektion, entfernt diese, lädt den Hotfix herunter, installiert ihn schließlich und hinterlässt somit einen abgesicherten Rechner. Wie nett (823980).

Eine Sicherheitslücke in den Microsoft Data Access Components (MDAC) erlaubt es einem Angreifer, beliebigen Code auf dem betroffenen Rechner auszuführen. Dazu muss der Bösewicht allerdings vorgeben, ein SQL-Server zu sein, und sich zusätzlich im selben Broadcast-Segment wie sein Opfer befinden. Unter diesen Umstände ist es möglich, jeder Anwendung, die MDAC verwendet, fremden Code unterzuschieben, den diese im eigenen Sicherheitskontext ausführt; schlimmstenfalls als „lokales System“. Wer trotz der recht speziellen Voraussetzungen auf Nummer sicher gehen will, sollte den passenden Hotfix installieren (823718).

Unbedingt einspielen hingegen sollten alle IE-Benutzer den neuen „cumulative patch“, der zwei neue Sicherheitslücken verschließt, die einem Angreifer ebenfalls das Ausführen beliebigen Codes ermöglichen. Zusätzlich sind wie immer alle bisherigen Hotfixes enthalten (822925).

Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)