31876

Erste Erfolge der Microsoft Web-Patrouille

10.08.2005 | 14:43 Uhr |

Mit einem automatischen System entdeckte Microsoft die Ausnutzung einer ungepatchten Sicherheitslücke.

Microsoft hat erstmals einen Erfolgsbericht seines Projekts "Honeymonkeys" veröffentlicht. Rechner, die mit unterschiedlichen Update-Ständen von Windows XP ausgestattet sind, durchsuchen täglich das Web nach neuen Gefahren ( wir berichteten ). Microsoft berichtet nun, dass die Sicherheitslücke in der javaprxy.dll (MS05-037) bereits Anfang Juli ausgenutzt und dies durch die "Honeymonkeys" entdeckt wurde.

Im ersten Monat des im Mai gestarteten Projekts fanden die automatisch das Web absuchenden Rechner über 750 Web-Seiten auf knapp 300 verschiedenen Websites, die bekannte Sicherheitslücken in Windows, einschliesslich Internet Explorer, auszunutzen versuchten. Mit dem so genannten "Strider Flight Data Recorder" werden die Änderungen festgestellt, die durch den schädlichen Code an der Registry und am Dateisystem vorgenommen werden. Das Kontrollsystem beendet dann die virtuelle Maschine, in der die anfällige Windows-Version läuft und startet sie neu. Eine andere virtuelle Maschine mit neuerem Update-Stand besucht dann die zuvor gefundene Seite. Mit einer solchen Kette wird überprüft, wie gefährlich der Exploit ist.

Anfang Juli entdeckten Microsofts Honeymonkeys dann erstmals Seiten, die eine Sicherheitslücke auszunutzen versuchten, für die zu diesem Zeitpunkt noch kein Patch verfügbar war. Dabei handelt es sich um einen Fehler in der Datei javaprxy.dll, über den ein Trojanisches Pferd eingeschleust werden kann ( wir berichteten ). In den folgenden zwei Wochen beobachtete Microsoft, dass bis zu 40 der regelmäßig überwachten Web-Seiten diesen Exploit übernahmen. Dahinter steckten nur drei Websites als Quelle, wie sich herausstellte.

Aus diesen Ergebnissen leitet Microsoft die Erkenntnis ab, dass die Betreiber der Exploit-Websites ihre Seiten sehr schnell aktualisieren, das heißt sie bauen so schnell wie möglich neue Exploits ein. So nutzen sie auch so genannte "0-Day-Exploits", nutzen also neu entdeckte Schwachstellen, gegen die es noch keine Updates gibt. Den Zwischenbericht über das Honeymonkey-Projekt hat Microsoft als zwölfseitige PDF-Datei in englischer Sprache veröffentlicht .

0 Kommentare zu diesem Artikel
31876