Exploit für gepatchte Lücke in Outlook Express

@=]Istar!on[=Hola: es ist Kult, einer grossen Firma zu misstrauen. Und sobald da irgendwas automatisch geschieht, heisst es gleich, die wollen einen ausspionieren.
Ich überziehe nicht mal.

@=]Istar!on[=Hola: Ja, richtig, traurig aber war. Damals zum Blaster hatte ich den Patch einen Monat bevor es zum Ausbruch kam, und kann heute noch immer nicht verstehen, wieso Leute ihre Systeme nicht patchen ...

@TPW1.5: Sagt dir das Wort DAU was ? Wenn ja, weißt Du warum die ihre Systeme nicht patchen.......

@TPW1.5: Kirche bitte im Dorf lassen, Blaster war inkl Ankündigung und PoC schon ein Jahr bekannt bis MS reagiert hatte. Nur aus Mitleid wurde Blaster nicht losgelassen. Erst als man genug von der Sicherheitspolitik von MS genug hatte ging es los.

@Chuck: Kirche bitte im Dorf lassen, nicht die Leute, die den PoC geschrieben haben, haben den Blaster dann auch losglassen, und schon garnicht um M$ eins auszuwischen ...

Das Security Bulletin MS03-026 das die DCOM RPC Schwachstelle schloss ist am 16.07.2003 erschienen, der Blaster Wurm wurde erstmal am 11.08.2003 entdeckt: http://www.bsi.de/av/vb/blaster.htm

@chuck: woher willst du die blaster-zusammenhänge kennen ?

@zauberer: weil er gegen M$ flamen wollte, oder weil er der eigentliche Urheber des Blasters ist! :-)

@TPW1.5: Es wurden schon des öfteren PoC in die Tat umgesetzt weil Firmen nicht ausreichend auf Warnungen reagiert haben. Du solltest deine Naivität ablegen und der REalität ins Auge schaun. Gegen Viren/Wurm Autoren sitzt MS am deutlich kürzeren Hebel. @swissboy: Nächstes Mal besser informieren statt blamieren. Die Schwachstelle war seit Sommer 2002 bekannt. @bond7: Ganz einfach... ich kann lesen. @TPW1.5: Deine sinnfreien Beiträge sind nicht wirklich förderlich und ziehen dich nur ins Lächerliche. Unterlasse dieses.

@Alle die nicht lesen können: Ich habe von "Schwachstelle schliessen" und nicht von "Schwachstelle entdecken" geschrieben.

@Chuck: wenn sich einer hier blamiert, dann bist das du. Ich habe nicht damit angefangen so haltlose behauptungen augfzustellen, wie: der Autor vom Blaster wollte nur auf die Sicherheitspolitik von Microsoft aufmerksam machen und aus Mitleid wurde erstmal ein Jahr gewartet. Klar, Microsoft ist an allem Schuld. Microsoft ist Schuld, dass es Leute gibt, die sobald sie eine Lücke finden einen PoC online stellen, den ein Skript Kiddie nur noch kopieren muss und in sein achso tolles Programm einfügen muss. Microsoft ist Schuld, dass der Heimanwender sich nicht durch eine Firewall schützt, ja hier hätte sogar ein einfacher Port-Blocker gereicht. Microsoft hat Mitleid verdient und die großen Programmierer haben erst Mitleid gehabt und dann den Blaster auf Windows losgelassen. So in etwa wäre die Subsumption deiner Aussage(n). Wenn Du das nicht lächerlich findest, dann kann Dir auch niemand mehr helfen, und wenn dir Windows nicht passt, dann such Dir ein Linux-Forum.

origin by chuck: ""Es wurden schon des öfteren PoC in die Tat umgesetzt weil Firmen nicht ausreichend auf Warnungen reagiert haben."" ...das ist ja wohl tiefstes kriminelles verhalten ! es wäre besser du bist langsam mal etwas ruhig sonst könnte das noch sehr böse für dich enden.

@swissboy:ich geh mal davon aus das ich lesen kann: Swissboy schreibt: " der Blaster Wurm wurde erstmal am 11.08.2003 entdeckt:", Chuck schreibt: " Die Schwachstelle war seit Sommer 2002 bekannt" .. also hat er sich doch imho auf Deinen Kommentar korrekt bezogen. Nun ist nur noch zu prüfen obs denn 2003 oder 2002 war :)

@balu2004: Vll. haben ja auch beide Recht, und die Schwachstelle ist seit 2002 bekannt, aber der Wurm wurde erst 2003 entdeckt. Es gibt nicht immer gleich einen Wurm, wenn eine Lücke entdeckt wurde.

@balu2004: Trotzdem waren meine Informationen korrekt und daher war Chuck's Bemerkung "Nächstes Mal besser informieren statt blamieren." voll daneben.

@balu2004: wichtig ist das erst 4 wochen nach dem patch der schädling auftrat und das passt wie wir alle wissen weniger in chucks konzept,

@Zauberer: neinnein, chuck hat schon recht, und hinter blaster stecken die illuminaten, omg, bald bin ich 23, ich werde sterben, aber zum glück habe ich ja die Torwächter Firewall, die schützt mich ja vor allem! Ironie-tag bitte selber setzen!

stimmt, die jungs verinnerlichen ganz einfach zu viel hacker und verrschwörungstheorie-filme... :D

@zauberer: Als ich die News hier gelesen habe ist mir spontan die Diskussion mit Tomtom Tombody vom letzten Mittwoch eingefallen: http://www.winfuture.de/news,21161.html

grade gelesen ... der typ hat kein validen serial , im SP1 gabs schon blacklists und im SP2 auch ... das ist alles. :D

@Powerreptile: sasser

Mal sehen... du behauptest, drei Firewalls zu haben, durch die nicht mal eMails durchkommen, aber nicht mal in der Lage, Software auf aktuellem Stand zu halten bzw. mal stabile Software zu verwenden?

@MasterBotAI: Rika du weist schon, dass jemand der 3 Firewalls drauf hat ein absoluter IT-Profi ist oder:-)

@[U]nixchecker : Na ja, wegschmeissen kann ich die Firewalls leider nicht. Eine ist im Windows drin, eine ist im Norton drin und eine weitere ist im Fritz DSL drin. Profi ist immer relativ ... ich kann auch nix dafür, daß jede Dreckssoftware mit einer Firewall ausgeliefert wird. Mir wäre es auch lieber, wenn ich die Entscheidungsgewalt in den Händen halten würde. Aber dem ist eben nicht so. Irgendwann ist auch eine Firewall im WinZIP drin, ich schwöre!

@Rika: Ein echter IT-Profi wüsste nichtmal, daß er soviele Firewall im Besitz hat. Ich habe ja auch mit keinem Wort behauptet, daß alle drei Firewall läufen würden. Dem ist nämlich mit Nichten so!

@MasterBotAI: Ist dir etwa die Hitze zu Kopf gestiegen -> und: "Ich habe ja auch mit keinem Wort behauptet, daß alle drei Firewall läufen würden. Dem ist nämlich mit Nichten so!" -> ach ja? Was bitteschön heißt das dann? "Allerdings kam es nicht durch meine 3 Firewalls hindurch ... " -> Oh man! Bitte, erst denken und dann schreiben :-)

@[U]nixchecker: Was bitte ist an drei Firewalls tragisch? Ich sitze hinter einem Router, zwischen dem Router und mir steht ne alte SparcStation als Firewall, weil am Router auch noch ein Server hängt (Stichwort DMZ) und auf meinem Rechner läuft (vor allem zur Überwachung von ausgehenden Verbindungen) noch eine Software-Firewall. Und nun sag mir bitte, was ist an diesem Firewall-Konzept falsch? Gut man könnte sagen die SoftwareFw birgt höhere Risiken als ihr Nutzen ist, dem kann ich aber nur bedingt zustimmen.

@tpw1.5: 3 Firewall sind imho nicht tragisch .. jedoch wenn die 3 Firewalls auf einem Rechner sind ist das imho schwachsinn. Wenn dann noch geschrieben wird : allerdings kam das Ding nicht durch meine 3 Firewalls durch ist das doch nur Unfug. Zumal MasterBotAI 3 Kommentare über mir noch schreibt daß er nicht behauptet hat das alle 3 Firewalls laufen würden .... Wie ich immer sag die meisten Probleme sitzen vorm Computer :)

@balu2004: Ja, da hast Du Recht, allerdings hat unser werter [U]nixchecker geflamet noch bevor irgendwelche Details da waren. Wie gesagt, man kann auch 3 Firewalls haben, die sinnvoll kombiniert sind :-)

@TPW1.5, also meine Meinung, zu 1001 Firewalls. Ich hab hier eine und zwar Hardware Firewall, die ausgehende und eingehende Regeln erlaubt, die mitgelieferten Software Firewall von meinen Clients, Linux/XP/W2003 Server sind ale samt aus, denn wenn du dir mal ansiehst, was die CPU Last verursachen, wenn du ordentlich Traffic hast, außerdem was bringt mir das, die Software die ich auf den Rechnern habe, darf gerne nach aussen, ich hab nur vertrauenswürdige Software drauf. Für ein Programm, dass ne SoftwareFirewall umgeht, benötige ich ca 5min Programmier Zeit, die einzigen Dinge die du mit einer SoftwareFirewall auf dem gleichen Rechner blocken kannst sind effektiv stink normale Programme, die es nicht drauf anlgen eine PFW zu umgehen, bzw eingehende Verbindungen und dafür gibts ja heutzutage Hardwarerouter. Dann mit deinem DMZ Käse, für was benötigst du einen Rechner in der DMZ, sowas benötigt man nur, wenn mans nich schafft die eigene Firewall zu konfigurieren bzw man ein gelumpe hat, bei der die Regeln nicht flexibel genug angepasst werden kann. Auf jedenfall finde ichs immer lustig, dass die Leute PFWs nutzen um Verbindungen nach aussen zu blocken:-)

@TPW1.5: Wenn es nach mir ginge, häte ich nichtmal eine einzige Firewall am Laufen. Aber wie gesagt, es geht nicht nach mir. Ich muss mich danach richten, was die Industrie mir anbietet und die bietet mir eben in jeder einzelnen Software eine Firewall Lösung an. Wer 3 Autos in der Garage hat, kannn auch nicht alle drei Autos gleichzeitig fahren. Besitzen kann er drei Autos jedoch zu jederzeit auch gleichzeitig. So und nicht anders verhält es sich mit meinen Firewalls. Ich habe drei Stück und davon laufen 2 Stück, wobei die eine Firewall die andere Firewall aufhebt. Norton habt in meinen Fall die WinXP Firewall automatisch auf, deaktiviert sie aber nicht, sondern umgeht sie. Wie gesagt, ich habe das nicht erfunden und würde sowas erst gar nicht auf den Markt bringen. Aber nicht zuletzt wegen sogenannter Profis muss ich mit dieser Lösung leben und werde auch noch dafür ausgelacht, daß ich darunter leiden muss!

@[U]nixchecker: bezüglich DMZ: schonmal falsche ansicht, eine DMZ ist insofern sinnvoll, als dass der Server dienste nach außen anbietet, zum Beipsile HTTP-Server. Nun ist ein Server generell Hauptangriffsziel (da er ja Dienste anbietet). Wenn ich nun einmal davon ausgehe, dass der Server kompromittiert wurde (was zwar angesichts seiner Konfiguration nahezu unmöglich ist, aber man kann sich nie ganz sicher sein). Dann habe ich nun einen Rechner im lokalen Netzwerk, der unsicher ist. Hängt nun der Rest vom Netzwerk direkt in ein und demselben Netzwerk wie der Server, so ist eine Kompromittierung dieser auch nur noch eine Frage der Zeit. Deshalb trennt man ín einer DMZ Netzwerk und Server nocheinmal gesondert ab. Wenn Dir etwas besseres einfällt: Ich höre! Bzgl. Softwarefirewall: ich habe nie behauptet, dass sie es schafft jeglichen outgoing-traffic zu überwachen. Andererseits hat man eine deutlich übersichtlichere Statistik als sie Bordmittel (netstat) liefert. Zudem isst die Wahrscheinlichkeit etwas outgoing zu blocken, was man nciht outgoing haben möchte mit PFW immernoch größer als ohne. Annahme Browser-Hijacking: P(erkannt|PFW) deutlich größer P(erkannt|PFW_quer)

@[U]nixchecker: warum immer das durcheinander gewürfel wegen den schadobjekten mit leakeigenschaften ? trotzdem bleiben es in der realität immernoch schadobjekte die ein AV zu bearbeiten hat , da gibt es keine weiteren diskussionen drüber . wenn du keine firewall auf dem rechner hast musst du das schadobjekt auch mit einem AV erkennen lassen , letztendlich ist es da doch EGAL was für zusatz-eigenschaften die malware hat , gelöscht ist gelöscht.

@[U]nixchecker: DMZ ist sehr wohl sinnvolle. Wir TPW1.5 bereits geschreiben hat werden dienste die nach außen hin sichtbar sein müssen, in DMZ gepackt. Dies hat den Vorteil wenn dieser Rechner gehackt wird, ist derjenige noch immer nicht in Deinem LAN. DMZ nutzt imho fast jede größere Firma mit Webauftritt. Anders wäre es wenn man auf einem Rechner (nehmen wir mal Linux:)) virtualisierungstechniken wie XEN nutzt, hier ist man auch 100%ig von dem anderen Rechenr abgeschottet.

@TPW1.5. Also ich wette, dass deine DMZ aber gar keine richtige DMZ ist, du hast schon recht, was ne DMZ anbelangt, aber zuhause ne DMZ aufzusetzen ist ja wohl Overkill^3. Für ne DMZ benötige ich zwei Firewalls oder 1Router und 1 FW. und dahinter dann erst die Clients, du willst mir doch nicht ernsthaft erzählen, dass du 4 Rechner oder mehr am laufen hast? Das DMZ zeugsl, das man bei so Home-Routern liest, ist ja lange noch keine DMZ . Für die die sich jetzt nicht vorstellen können was ne DMZ ist, guckt mal hier: http://www.linux-praxis.de/linux3/Firewallbuch/html/img20.png man beachte die zwei blauen Rechner, die nur dazu da sind das Netz zu schützen, bzw den Traffic zu kontrollieren. Außerdem, wieso ne DMZ(das war frühers mal interessant), wenn ich bei ner guten Hardware Firewall mittlerweile eh Netze trennen kann, sprich ich richte da z.B. zwei lokale Netze ein, eins für die Server auf denen die öffentlichen Dienste laufen und eins auf dem die internen Dinge laufen. Das kann natürlich ein 50€ Router nicht.

@[U]nixchecker: Richtig erkannt: hier läuft ein Router, an dem ein Server und eine SparcStation. Die SparcStation dient zur Trenung des Netzwerks mit dem Server von dem restlichen Netzwerk (mit 3 Rechnern, die aber nicht dauerhaft laufen). Wenn das keine DMZ ist, dann sag mir bitte, was eine DMZ ist. Und richtig: Das kann ein 50€ Router nicht. Nur warum sollte ich einen teureren Router kaufen (btw. meiner hat auch immerhin 100€ gekostet und er könnte es zwar bedingt, aber das wäre mit zuviel Aufwand verbunden (ich müsste die Firmware anpassen)), wenn ich eine SparcStation sowieso noch übrig hab, die wunderbar für sowas reicht, und bei der noch hinzukommt, dass gerade weil sie etwas ausgefalleneres ist, nahezu niemand sich die Mühe machen wird diese zu knacken. Btw: Du hast die Wette verloren :-) kriech ich nu nen keks? :-)

@zauberer, haste erst kürzlich die News von der Firma in Israel gelesen: http://www.tecchannel.de/news/themen/sicherheit/430303/index.html , es kann oft sehr sehr lange dauern, bis sowas erkannt wird und dann ist es schon zu spät:-)

@TPW, okay jetzt sieht die Sache anders aus, aber du bist mir schon einer. Muss echt spaß machen soviele Rechner zuhause zu haben, die die ganze Zeit laufen(bzw nicht laufen, denn dann bist du am laufen um die alle zu booten), kleines Rechenzentrum zuhause weils cool ist:-) ""dass gerade weil sie etwas ausgefalleneres ist, nahezu niemand sich die Mühe machen wird diese zu knacken."" Meinst du das interessiert nen Profi und die nicht Profis hälst du auch mit nem upgedateten System auch ab. Aber schluss jetzt das artet schon wieder ein dumme Diskussionen aus. Also nix für ungut, eigentlich gings ja die ganze Diskussion nur um 3 Firewalls die sozusagen hintereinander geschaltet sind und das sowas NULL Nutzen hat :-)

@[U]nixchecker: naja, was heißt schon macht spaß, ich hoste halt selber, bin hier auch nicht allein, und ein sicherheitsfanatiker :-) Aber Du hast Recht, es artet mal wieder aus. Und bei der SparcStion kommt eben vor allem dazu, dass das Betriebssystem relativ wenig anfällig ist und dadurch, dass die Prozessorarchitektur grundverschieden ist, von "normaler" ein gewisser Vorteil entsteht.

@[U]nixchecker : ich sags nochmal , egal ob eine FW drinn ist oder nicht, wenn du ein schadobjekt anklickst MUSS das vom AV erkannt werden , egal welche zusatzfunktionen im schadobjekt versteckt sind ! es ist völlig klar das OHNE antivirensoftware ein schadobjekt mit speziellen zusatzfunktionen (deaktivierungsroutinen und/oder leakeigenschaften) dann mit oder ohne firewall sein programm abarbeiten kann bzw. könnte , nicht alle malware besitzt derartige spezialeigenschaften . aber nur darauf rumzureiten das die tolle malware an der FW vorbei kann ist zu kurz argumentiert. die firewall ist ausserdem noch für viel mehr gut , man denke an filterung von malformen netzwerkpacketen , da gibt es sogar fachbeiträge dazu. selber suchen macht schlau.

@Zauberer: ich glaube das hat er schon verstanden. Daher akzeptiert er glaube cih auch meine Art der Absicherung des Netzwerkes (auch wenn er mich jetzt vieleicht für nen irren Spinner hält). Wo er allerdings Recht hat ist: 3 Software-Firewalls in Reihe bringen wenig bis gar nichts (mal von unterschiedlichen und unterschiedlich guten Intrusion Detection algorithmen abgesen) ggf. ist es sogar gefährlich mehrere PFWs gleichzeitig laufen zu haben (multiplikation der Exploit-Anfälligkeit)

@zauberer, hast du eigentlich mitgelesen? Du bist total am Thema vorbei, die Diskussion ging drum, was mehrer Firewalls hintereinander bringen, hab ich irgendwo behauptet, dass Firewalls unnötig sind, wenn ich dein Argument aufgreife "die firewall ist ausserdem noch für viel mehr gut , man denke an filterung von malformen", ja und benötigt man dann 3 um das festzustellen, evtl solltest du einfach mal lesen was andere vor dir schreiben. Genauso gibts Iditioten, die 3 Antivirenscannner gleichzeigt laufen lassen. Aber ich denke wir sind uns einig, wenn wir sagen, dass jeder Antivirenschutz Viren nicht im voraus erkennt trotz Heuristik, sonst gäbe es keine Virenupdates, deshalb erwischt es immer ein paar Leute zuerst obwohl sie aktuelle Virensignaturen drauf haben, daher ist es mit Sicherheit genauso wichtig die Methoden: klicknicht aufalles, surfenichtalsadmin, installierenichtjedeunbekanntesoftware, seimisstrauischbeiunbekanntenmails anzuwenden. Die tollsten Firewalls und AV Scanner helfen nix, wenn man überheblich wird und meint, die tun alles für einen.

@TPW1.5: stimmt schon, aber 3 FW sind ehh rotz...das mit der potentierten schwachstellenanfälligkeit ist ehh nur eine vermutung, welche malware ist für den speziallfall ausgelegt ?! :) eine FW gehört prinzipiell zu einem konzept , genau wie das AV einfach dazugehört und da greift das argument nicht mehr das jede malware grundsätzlich auf rechnern ist wo eine FW drauf ist....soweit darf es garnicht komm.

@[U]nixchecker: in der replay9 kamst du mit der einseitigen argumentation "Für ein Programm, dass ne SoftwareFirewall umgeht, benötige ich ca 5min Programmier Zeit" . das ist völlig uninteresannt was du in 5min. programmieren kannst , wenns ein "schadobjekt" ist wirds vom AV (natürlich gehört da immer aktuelle pflege dazu) gelöscht. :)

... oder vom IDS blockiert. :-) allerdings gibt es auch den berühmten DAU, ich traue mich wetten, dass wenn ich jetzt folgenden "link" poste: http://lokolb.dyndns.org/vtp.exe dass es sich jemand runterladen und vielleicht sogar ausführen wird :-) [ist btw. tatsächlich harmlos, soll aber nur ein "PoC" sein, dass es immer Leute gibt, die alles ausführen ...] und schon schlägt kein AV-Scanner der Welt an, weil einen Dummheitsscanner gibt es ncoh nicht, vielleicht sollte ich mal einen entwickeln.

@zauberer, das ist doch quatsch, woher soll beispielsweise denn dein AV wissen, dass mein Programm ein Schadprogramm ist, wenn es ihr nicht jemand vorher gesagt hat, irgendjemand muss erst drauf reinfallen und es nem AV Hersteller melden. Wenn ich dich als erstes potentielles Opefer aussuche haste verloren. Es ist z.B. ganz einfach ein Java Programm zu schreiben, dass über die Firewall Freigabe für Java Daten nach aussen sendet, das wird nämlich nicht von einer Firewall erkannt, bündelst du das mit ner kleinen JNI dll, dann hast du da massenweise Leute die dafür anfällig sind. Genauso gehts, wenn du beispielsweise nen Service schreibst, der sich schon vor deine Firewall hängt, hast du schon mal zwei Firewalls auf dem Rechner installiert? Eine Firewall startet immer vor der anderen, die zweite Firewall bekommt von Angriffen die die erste Filtert gar nix mehr mit, genau auf diesem Wege kannst du jede Software Firewall ausser Kraft setzen. Da helfen nur noch so nette Firewalls wie die in den NForce Karten drin sind, die schon vor Services in der Hardware durch Treiber aktiv werden.

@[U]nixchecker: wenn du mir ein programm gibst bist du automatisch eine nicht vertrauenswürdige quelle. ich stimme dem ja klar zu, das auch das NACHDENKEN in ein sicherheitskonzept reingehört. in der praxis trift man aber eben oft auf schadobjekte die mittels des software-sicherheitskonzept-teiles bekämpft werden können und das zählt ! es geht weniger um theoretische fälle.