Von Oliver Buschek
Der Wurm kommt durch die Tür. Die heißt "Port 135" und ist ein Eingang in die Betriebssysteme Windows NT, 2000 und XP, der eigentlich abgeschlossen sein sollte. Doch durch einen Programmierfehler im System hat der Eindringling leichtes Spiel. Ein Angriff, bei dem selbst Virenscanner machtlos sind. Virenspezialist Michael Tants von der Firma Trend Micro:
Das Problem liegt darin, dass Virenscanner an dem Punkt, wo der Angriff startet, gar keine Schutzfunktion besitzen kann. Denn beim Einschleusen in das System wird ein Angriff auf den Port 135 gestartet, durch den erst die Wurm-Dateien in den Rechner gelangen. Erst danach kann ein Antivirusprogramm den Schädling melden.
Der Schaden auf den infizierten Rechnern ist gering, oder besser: könnte es sein. Denn auch der Wurm selbst hat einen Programmierfehler. Wenn er auf ein System stößt, das er bereits zuvor infiziert hat, dann erkennt er das nicht, sondern versucht, sich aufs neue zu installieren. Das System wird dabei immer wieder heruntergefahren. Dabei sollte der Angriff doch eigentlich Microsoft gelten.
Nach der Infektion versucht W32.Blaster, sich mit den Windowsupdate-Servern im Internet zu verbinden und diesen über eine so genannte Denial of Service mit Anfragen zu festgesetzten Zeitpunkten überlasten.
Dass ein Wurm, der die Schwachstelle im Port 135 ausnutzt, auftauchen würde, war seit Wochen absehbar. Entdeckt hatte den Fehler die Hackergruppe "Last Stage of Delirium", Microsoft gestand das Sicherheitsloch am 16. Juli ein und veröffentlichte zeitgleich einen Patch, ein kleines Programm, dass den Fehler behebt. Kurz danach tauchten die so genannten Exploits auf. Das sind Programme, mit denen Sicherheitsexperten demonstrieren, wie man eine Schwachstelle im System ausnutzen kann. Gedacht als Hilfe für die Entwickler, einen Fehler einzudämmen – aber eben auch eine Einladung an Menschen mit bösen Absichten, aus dem Wissen ein Virus oder einen Wurm zu konstruieren. Wer Lovesan nun am Ende zusammengebastelt hat – man weiß es nicht. Michael Tants von Trend Micro glaubt jedenfalls nicht an Scriptkiddies – also zerstörerische, meist junge Computerfreaks mit wenig Knowhow.
Weil die angegriffene Schwachstelle zu neu ist, gehe ich nicht davon aus, dass es sich bei den Wurmautoren quasi um Hobbyhacker handelt. Die Sicherheitslücke des provozierten Pufferüberlaufs im so genannten RPC-Dienst von Windows korrekt zu interpretieren und den Wurm dann ohne die Nutzung von Email- oder anderen Standardverbreitungswegen für Viren in die Rechner zu tragen, erfordert erhebliches Knowhow.
Know-How, das bei Microsoft wohl ebenfalls gefehlt hat. Schließlich ist die Sicherheitslücke schon im Jahre alten Windows NT zu finden – und bisher nicht bemerkt worden. Dennoch ist der Software-Riese überzeugt, fast alles richtig gemacht zu haben. Schließlich habe man ja den Patch bereitgestellt. Pressesprecher Thomas Baumgärtner:
Was uns offensichtlich nicht gut gelingt, ist, die Kundenkommunikation so weit voranzutreiben, dass wir allen Kunden auch die Gefährlichkeit dessen darstellen können, wenn die Aktualisierung mittels eines Patches unterbleibt. Es ist ein relativ bequemes System, denn wenn man sich einmal mit seinem Windows XP-System bei Windowsupate angemeldet hat, werden im Prinzip alle kritischen Aktualisierungen automatisch eingespielt. Viele Kunden allerdings scheuen das automatische Update wohl auch deshalb, weil das Herunterladen aus dem Netz gerade bei Modem-Verbindungen eben Zeit kostet – und damit eben auch Geld für die Verbindung ins Internet – und weil man nie so genau weiß, was Microsoft einem alles auf den Rechner spielt. Und die eigentliche Panne ist schließlich beim Hersteller passiert. Hätte der nicht mehr Zeit aufs Debuggen – also auf die Fehlersuche verwenden sollen?
Wir prüfen den Systemkode sehr eingehend und dabei kann ein hoher Prozentsatz etwa von Pufferüberläufen entdeckt werden, aber leider eben nicht alle.
Sicher ist also nur eins: der nächste Wurm kommt garantiert. Irgendeine Tür wird er schon noch finden.
Der Wurm kommt durch die Tür. Die heißt "Port 135" und ist ein Eingang in die Betriebssysteme Windows NT, 2000 und XP, der eigentlich abgeschlossen sein sollte. Doch durch einen Programmierfehler im System hat der Eindringling leichtes Spiel. Ein Angriff, bei dem selbst Virenscanner machtlos sind. Virenspezialist Michael Tants von der Firma Trend Micro:
Das Problem liegt darin, dass Virenscanner an dem Punkt, wo der Angriff startet, gar keine Schutzfunktion besitzen kann. Denn beim Einschleusen in das System wird ein Angriff auf den Port 135 gestartet, durch den erst die Wurm-Dateien in den Rechner gelangen. Erst danach kann ein Antivirusprogramm den Schädling melden.
Der Schaden auf den infizierten Rechnern ist gering, oder besser: könnte es sein. Denn auch der Wurm selbst hat einen Programmierfehler. Wenn er auf ein System stößt, das er bereits zuvor infiziert hat, dann erkennt er das nicht, sondern versucht, sich aufs neue zu installieren. Das System wird dabei immer wieder heruntergefahren. Dabei sollte der Angriff doch eigentlich Microsoft gelten.
Nach der Infektion versucht W32.Blaster, sich mit den Windowsupdate-Servern im Internet zu verbinden und diesen über eine so genannte Denial of Service mit Anfragen zu festgesetzten Zeitpunkten überlasten.
Dass ein Wurm, der die Schwachstelle im Port 135 ausnutzt, auftauchen würde, war seit Wochen absehbar. Entdeckt hatte den Fehler die Hackergruppe "Last Stage of Delirium", Microsoft gestand das Sicherheitsloch am 16. Juli ein und veröffentlichte zeitgleich einen Patch, ein kleines Programm, dass den Fehler behebt. Kurz danach tauchten die so genannten Exploits auf. Das sind Programme, mit denen Sicherheitsexperten demonstrieren, wie man eine Schwachstelle im System ausnutzen kann. Gedacht als Hilfe für die Entwickler, einen Fehler einzudämmen – aber eben auch eine Einladung an Menschen mit bösen Absichten, aus dem Wissen ein Virus oder einen Wurm zu konstruieren. Wer Lovesan nun am Ende zusammengebastelt hat – man weiß es nicht. Michael Tants von Trend Micro glaubt jedenfalls nicht an Scriptkiddies – also zerstörerische, meist junge Computerfreaks mit wenig Knowhow.
Weil die angegriffene Schwachstelle zu neu ist, gehe ich nicht davon aus, dass es sich bei den Wurmautoren quasi um Hobbyhacker handelt. Die Sicherheitslücke des provozierten Pufferüberlaufs im so genannten RPC-Dienst von Windows korrekt zu interpretieren und den Wurm dann ohne die Nutzung von Email- oder anderen Standardverbreitungswegen für Viren in die Rechner zu tragen, erfordert erhebliches Knowhow.
Know-How, das bei Microsoft wohl ebenfalls gefehlt hat. Schließlich ist die Sicherheitslücke schon im Jahre alten Windows NT zu finden – und bisher nicht bemerkt worden. Dennoch ist der Software-Riese überzeugt, fast alles richtig gemacht zu haben. Schließlich habe man ja den Patch bereitgestellt. Pressesprecher Thomas Baumgärtner:
Was uns offensichtlich nicht gut gelingt, ist, die Kundenkommunikation so weit voranzutreiben, dass wir allen Kunden auch die Gefährlichkeit dessen darstellen können, wenn die Aktualisierung mittels eines Patches unterbleibt. Es ist ein relativ bequemes System, denn wenn man sich einmal mit seinem Windows XP-System bei Windowsupate angemeldet hat, werden im Prinzip alle kritischen Aktualisierungen automatisch eingespielt. Viele Kunden allerdings scheuen das automatische Update wohl auch deshalb, weil das Herunterladen aus dem Netz gerade bei Modem-Verbindungen eben Zeit kostet – und damit eben auch Geld für die Verbindung ins Internet – und weil man nie so genau weiß, was Microsoft einem alles auf den Rechner spielt. Und die eigentliche Panne ist schließlich beim Hersteller passiert. Hätte der nicht mehr Zeit aufs Debuggen – also auf die Fehlersuche verwenden sollen?
Wir prüfen den Systemkode sehr eingehend und dabei kann ein hoher Prozentsatz etwa von Pufferüberläufen entdeckt werden, aber leider eben nicht alle.
Sicher ist also nur eins: der nächste Wurm kommt garantiert. Irgendeine Tür wird er schon noch finden.