DNS-Exploit: Wurm nutzt 0-Day-Lücke
Neben mehreren veröffentlichten Beispiel-Exploits für die kürzlich bekannt gewordene Sicherheitslücke in Windows-Servern ist nun auch ein Wurm entdeckt worden, der diese Schwachstelle auszunutzen versucht.
In der letzten Woche wurde eine Sicherheitslücke im DNS-Dienst von Windows Server 2003 und Windows 2000 Server entdeckt, die bereits seit Anfang April ausgenutzt wird. Nun meldet das Internet Storm Center eine neue Version des Rinbot-Wurms, die sich ebenfalls auf diese Schwachstelle stürzt.
Beim Antivirus-Hersteller McAfee gibt es bereits eine Beschreibung des Schädlings, der von McAfee als "W32/Nirbot.worm!83E1220A" bezeichnet wird. Eine Variante dieses Bots wird unter dem Namen "W32/Nirbot.worm!RpcDns" geführt. Im Wesentlichen handelt es sich um einen über IRC steuerbaren Schädling, der eine Hintertür ins System öffnet, über die ein Angreifer Zugriff auf einen verseuchten Rechner erhält. Der PC wird zu einem so genannten "Zombie", also zu einem fremdgesteuerten Teil eines Botnets. Er kann zum Versand von Spam, zur Verbreitung von Adware oder auch für konzertierte Angriffe auf Web-Server missbraucht werden.
Mittlerweile sind insgesamt fünf Beispiele für Angriffs-Code veröffentlicht worden, der die DNS-RPC-Sicherheitslücke in Server-Versionen von Windows ausnutzt. Die Schwachstelle ist nicht über den Standard-Port 53 für den DNS-Dienst sondern nur über die DNS-RPC-Schnittstelle ausnutzbar, die meist an Ports oberhalb von 1024 gebunden ist. Ein Sicherheits-Update von Microsoft ist noch nicht erhältlich, soll jedoch in Arbeit sein. Microsoft hat seine Sicherheitsempfehlung 935964 seit der Erstveröffentlichung am 12. April bereits mehrfach überarbeitet.
