82958

Sasser-Wurm: System-Neustarts ala Blaster-Attacke

02.05.2004 | 14:16 Uhr |

Microsoft hatte letzten Montag davor gewarnt - jetzt ist es passiert: Seit dem Wochenende kursiert im Internet der Wurm "Sasser", der die LSASS-Lücke (Local Security Authority Subsystem Service) in Windows XP und Windows 2000 ausnutzt, um Systeme zu infizieren. die dann einen schweren Fehler meldet und einen Neustart durchführt. Die PC-WELT erklärt Ihnen, wie Sie den Neustart verhindern und wie Sie die Lücke schließen.

Microsoft hatte letzten Montag davor gewarnt ( wir berichteten ) - jetzt ist es passiert. Seit dem Wochenende kursiert im Internet der Wurm "Sasser", der die LSASS-Lücke (Local Security Authority Subsystem Service) in Windows XP und Windows 2000 ausnutzt, um durch einen Buffer Overrun das System zu infizieren. Bereits hunderte von Anwendern beklagen sich seit dem Wochenende darüber, dass Windows, wie damals bei der Blaster-Attacke, einen schweren Fehler meldet und einen Neustart durchführt.

Microsoft hatte für diese Lücke bereits vor einigen Wochen durch den Sicherheits-Patch MS04-11 geschlossen und vor wenigen Tagen alle Anwender erneut dazu aufgefordert, unbedingt diesen Patch zu installieren. LSASS ist, vereinfacht ausgedrückt, als lokaler Sicherheitsdienst in Windows dafür zuständig sicherzustellen, dass ein als User angemeldeter Nutzer nur das tun darf, was der Administrator erlaubt hat.

"Sasser" greift alle Systeme an, die noch nicht gepatcht sind und auf denen keine Firewall zum Einsatz kommt. Der Wurm sorgt für seine eigene Verbreitung, in dem er über zufällig generierte IP-Adressen und den TCP-Port 445 nach ungepatchten Systemen sucht.

Findet er ein solches System, dann wird dort der Buffer Overrun ausgelöst. Die Folge: Windows meldet einen schweren Fehler und - die Blaster-Attacke dürfte vielen noch aus dem vergangenen Jahr bekannt sein - startet das System nach einem Countdown neu.

Auf der nächsten Seite erfahren Sie, wie Sie sich genügend Zeit für die Installation des Patches verschaffen.

0 Kommentare zu diesem Artikel
82958