136632

Windows-Schwachstelle doch Wurm-tauglich?

01.02.2008 | 15:07 Uhr |

Ein Video soll den Beweis liefern, dass eine von Microsoft im Januar gestopfte Sicherheitslücke sehr wohl ausgenutzt werden kann. Microsoft hat dies bislang angezweifelt. Verbesserter Exploit-Code existiert, ist jedoch weiterhin nicht öffentlich verfügbar.

Microsoft hat im Rahmen des ersten Patch Day am 8. Januar das Security Bulletin MS08-001 veröffentlicht, in dem zwei teils als "kritisch" eingestufte Sicherheitslücken in Windows behandelt werden. Für eine der beiden Schwachstellen ("IGMPv3-Lücke"), die schon unmittelbar Bekanntwerden als "Wurm-tauglich" gehandelt worden war, hat das Sicherheitsunternehmen Immunity eine Woche nach dem Patch Day einen Demo-Exploit an seine Kunden verteilt .

Inzwischen haben die Immunity-Kunden eine deutlich verbesserte Version des Exploits erhalten, die recht zuverlässig funktionieren soll. Öffentlich zugänglich ist der Code nach wie vor nicht, Immunity hat jedoch ein Flash-Video bereit gestellt, das die Funktionsfähigkeit des Beispiel-Codes zeigen soll.

Auch andere Sicherheitsunternehmen, etwa Symantec, haben die Warnungen an ihre Kunden wiederholt und das Potenzial eines Exploits unterstrichen. Wenn der Exploit funktioniert, kann ein Angreifer von außen etwas erreichen, das zumindest bei Windows Vista selbst Benutzern mit Administratorrechten kaum möglich ist. Er könnte ohne gültige Benutzeranmeldung beliebigen Code in den Windows-Kernel einschleusen und im Sicherheitskontext des Systems, also mit allen Privilegien ausführen. Auch verschiedene andere Forscher arbeiten an einer Ausnutzung der Anfälligkeit.

Microsoft hat das Security Bulletin MS08-001 bereits am 23. Januar überarbeitet, um klar zu machen, dass die Einstufung auch für den Windows Small Business Server 2003 "kritisch" lautet. Es vertritt jedoch weiterhin die Ansicht, die Ausnutzung der so genannten IGMPv3-Lücke sei schwierig und ein Erfolg unwahrscheinlich. Da es ein Update gibt, das die Schwachstelle beseitigt, haben Anwender und Systemadministratoren jedoch jede Möglichkeit ihre Rechner vor Angriffen dieser Art zu schützen.

0 Kommentare zu diesem Artikel
136632