Sasser-Wurm: System-Neustarts ala Blaster-Attacke

Microsoft hatte letzten Montag davor gewarnt (wir berichteten) - jetzt ist es passiert. Seit dem Wochenende kursiert im Internet der Wurm "Sasser", der die LSASS-Lücke (Local Security Authority Subsystem Service) in Windows XP und Windows 2000 ausnutzt, um durch einen Buffer Overrun das System zu infizieren. Bereits hunderte von Anwendern beklagen sich seit dem Wochenende darüber, dass Windows, wie damals bei der Blaster-Attacke, einen schweren Fehler meldet und einen Neustart durchführt.

Microsoft hatte für diese Lücke bereits vor einigen Wochen durch den Sicherheits-Patch MS04-11 geschlossen und vor wenigen Tagen alle Anwender erneut dazu aufgefordert, unbedingt diesen Patch zu installieren. LSASS ist, vereinfacht ausgedrückt, als lokaler Sicherheitsdienst in Windows dafür zuständig sicherzustellen, dass ein als User angemeldeter Nutzer nur das tun darf, was der Administrator erlaubt hat.

"Sasser" greift alle Systeme an, die noch nicht gepatcht sind und auf denen keine Firewall zum Einsatz kommt. Der Wurm sorgt für seine eigene Verbreitung, in dem er über zufällig generierte IP-Adressen und den TCP-Port 445 nach ungepatchten Systemen sucht.

Findet er ein solches System, dann wird dort der Buffer Overrun ausgelöst. Die Folge: Windows meldet einen schweren Fehler und - die Blaster-Attacke dürfte vielen noch aus dem vergangenen Jahr bekannt sein - startet das System nach einem Countdown neu.

Auf der nächsten Seite erfahren Sie, wie Sie sich genügend Zeit für die Installation des Patches verschaffen.