52438

Exploit-Code für kritische Windows-Schwachstelle

18.01.2008 | 15:04 Uhr |

Eine Woche, nachdem Microsoft Sicherheits-Updates bereit gestellt hat, haben Sicherheitsforscher Angriffs-Code verfügbar gemacht, der eine Sicherheitslücke in den Netzwerktreibern von Windows ausnutzt.

Im Rahmen des Patch Day hat Microsoft am 8. Januar das Security Bulletin MS08-001 veröffentlicht , das zwei Sicherheitslücken im TCP/IP-Treiber von Windows behandelt. Das Sicherheitsunternehmen Immunity hat nun Beispiel-Code zur Ausnutzung dieser Anfälligkeit an Kunden seiner Canvas-Suite zur Sicherheitsprüfung von Computern zur Verfügung gestellt. Dieser bringt Windows lediglich zum Absturz, das Einschleusen von Malware ist damit nicht möglich.

Andere Sicherheitsforscher befürchten allerdings, das es damit nur noch eine Frage der Zeit ist, bis auch praxistauglicher Angriffs-Code auftaucht. Einige sind der Meinung, bei erfolgreicher Ausnutzung der Anfälligkeit bei der Verarbeitung von IGMP-Paketen (Internet Group Management Protocol) sei auch ein Wurmangriff möglich.

Microsoft hingegen hat bereits in der letzten Woche erklärt, es dürfte sehr schwierig werden, zuverlässigen Code zu entwickeln, mit dem sich die Schwachstelle ausnutzen ließe. In einem neu geschaffenen Blog der Microsoft Sicherheitsforscher wird mit etlichen technischen Details dargelegt, warum Microsoft zu dieser Einschätzung gelangt ist.

Dave Aitel, Technischer Direktor von Immunity, vertritt hingegen die Auffassung, Microsoft überschätze die zu überwindenden Hürden. Die Aussicht einen Wurm programmieren zu können, der sich im lokalen Netzwerk rasant ausbreiten würde, wäre einigen Leuten jede Mühe wert. Man könne davon ausgehen, dass eine Reihe cleverer Programmierer an einer Lösung arbeiteten, so Aitel.

Ein Angreifer müsste zunächst eine ganze Menge speziell präparierter Datenpakete an einen Zielrechner senden, um diesen in einen Fehler zu treiben. Es hängt jedoch auch vom Zufall ab, ob alle nötigen Pakete durchkommen, bevor die Gegenstelle den Empfang wegen Zeitüberschreitung abbricht. Die Größe des Zeitfensters wird vom Empfänger bei jedem neuen Verbindungsaufbau zufällig festgelegt. Darin sehen die Fachleute von Microsoft das Hauptproblem für einen erfolgreichen Angriff. Deshalb haben sie auch keine Bedenken diese Details zu veröffentlichen.

Wer letztlich Recht behalten wird, bleibt abzuwarten. In der Zwischenzeit hat zumindest jeder Gelegenheit die nötigen Sicherheits-Updates zu installieren.

0 Kommentare zu diesem Artikel
52438