Neuer Hackerangriff auf Windows-Computer

Hacker haben im Internet eine neue Software verbreitet, die eine Sicherheitslücke des Betriebssystems Windows ausnutzt. Experten des amerikanischen Ministeriums für innere Sicherheit (Homeland Security) warnten vor Gefahren für die Internet-Nutzung. ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

Welche Sicherheitslücke wird denn ausgenutzt? Die gleiche RPC Lücke wie beim Blaster-Wurm?

[re:1] am ++--

Antwort auf den Kommentar von swgreed: Nein, eine neue, aber schon seit über 2 Wochen bekannte Sicherhietslücke im RPC. Eigentlich hatte ich ja gehofft, dass Blaster2 am 11.9. released wird, aber naja... warten wir halt noch a bissi. Denkst du etwa, dass diesmal jeder Patchen wird? Ich erinnere nur mal an CodeRed 1&2, Nimda, SQL.Slammer... egal, wieviel Eindruck ein Wurm macht, wieviel Schaden er anrichtet und wie einfach die Installation eines Patches ist - ein System muss chronisch ungeschützt sein, dass will unser großer, allmächtiger Gott "Dummheit" so!

[re:2] am ++--

Antwort auf den Kommentar von Rika: Also diese hier? http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp

[re:3] am ++--

Antwort auf den Kommentar von rika seit 2 wochen? ich hab irgendwas mit 10.09.2003 in erinnerung! oder war das datum, wo der neue patch released wurde?

noch mehr infos:
http://www.heise.de/security/news/meldung/40355

[o2] am ++--

Vielen Dank für die Vorwarnung! Ich werde sofort ein Rundschreiben an alle meine Kontakte und Mitarbeiter schicken um ein ähnliches Disaster wie beim BlasterWorm zu verhindern. Ich hatte damals 24h-Schicht weil dauernd wer anders ankam und das weghaben wollte. Ich werde sogar heute noch ab und zu gebeten diesen 'Fehler' zu beheben. Nochmal brauch ich das wirklich nicht. *rolleyes*

[re:1] am ++--

Da kann ich dir wohl und ganz zustimmen !

[o3] am ++--

oh, du armer. Haste denn Leutz, die für dich arbeiten?

[re:1] am ++--

lol, schön wär's ja... Aber du kennst doch den Spruch "Wenn Du willst, dass was richtig gemacht wird, dann mach es selbst". Is nämlich gar net so blöd der Spruch.
Warum schreibt der meinen Kommentar eigentlich gleich 3mal?!?

[o4] am ++--

es gibt aber auch den Spruch:
wer viel arbeitet macht viele Fehler! Aber ich weiß ja, du nicht!

[re:1] am ++--

Antwort auf den Kommentar von piffel : der sollte eher heißen : Wer viel Arbeit macht, der "kann" auch viele Fehler machen...

:)

[o5] am ++--

Um welchen Patch handelt es sich denn genau und hat evtl. jemand einen Link zu diesem Patch?
Mache nämlich gerade auch ein Rundmail an alle Verwandten und Bekannten. Mir gings nämlich ähnlich wie Wishmaster! Habe wirklich keine Lust jeden Abend bei irgendwelchen Computer-Banausen zu Hause am PC zu sitzen!

[o6] am ++--

weiste was ich mach. ich schalt mein telefon und handy ab und email les ich einfach nicht... dann können die alle sehn wie se den mist selber ausbaden.

[o7] am ++--

wobei mir gerade was lustiges einfällt... wir ham morgen informatik und unser schulsystem is so schlecht eingerichtet... *pfeif*...

[o8] am ++--

[re:1] am ++--

Antwort auf den Kommentar von Michiboa: Sag mal, woher bezieht man denn sonst normalerweise Patches? http://www.microsoft.com/downloads -> Language: German -> Product: Windows XP (oder auch NT4,2K,2K3) -> Sortieren nach: Datum. Diese Seite packst du dir's ins Bookmark und schaust sie dir mal wöchentlich an.

[re:2] am ++--

Antwort auf den Kommentar von Michiboa: Am besten über http://www.windowsupdate.com bzw. über den ab Win2000SP3+ oder WinXPSP1+ eingebauten AutoUpdate-Service. Dort zumindest KB824146 ankreuzen, aber am besten alle wichtigen Updates instellieren. Und das möglichst mindestens 1x pro Woche.
Wenn du jetzt nur diesen einen Patch willst, den kriegste hier: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp

[o9] am ++--

2kEnSp4+MS03-026
TopSeh=0x7c54144c in kernel32.dll v5.0.2195.6688
JmpAddr=0x77a1b496 in OLEAUT32.dll v2.40.4522.0
2kEnSp3+SomeHotFixs+MS03-026
TopSeh=0x77eda1f0 in kernel32.dll v5.0.2195.6079
JmpAddr=0x77a1afa9 in OLEAUT32.dll v2.40.4518.0

MS03-039 RPC DCOM long filename heap buffer overflow exp v1

Naja, is aber verdammt unwahrscheinlich dass exploit läuft weil die .dll wirklich übereinstimmten muss ^^

[re:1] am ++--

Antwort auf den Kommentar von Kr1x: Kannst du nicht lesen? Es sind alle Versionen in allen Windows NT-Versionen betroffen. Der Patch ersetzt nur die Dateien mit genau diesen versionen, die dann davor sicher sind.

[10] am ++--

habe ich grade gefunden :) dachte erst es währe wieder ein link zur norten software. aber es ist das Patche habe es auch gleich geladen

http://oncomputer.t-online.de/c/09/43/84/943848.html

[11] am ++--

hacker sind schon selden doff

[12] am ++--

... habe irgendwo (weiss es nicht mehr genau) gelesen, dass wenn rpc über http oder com internet-service aktiviert sind der rpc-dienst auch über port 80 & 443 angesprochen werden kann.

habe mein system eingerichtet, dass über port 443 rdp läuft (wg. gesperrten ports in der firma). auf port 80 lauscht mein webserver. kann mir jemand was dazu sagen, ob mein system trotz eingespielter patches sicher sein wird?

vielen dank

[13] am ++--

sorry aber jetzt muss ich hier auch ma meinen kommentar abgeben:
diese hochgepushten "news" die schon wochen alt sind nerven irgendwie. es ist schon über 2 wochen bekannt dass der patch nur einen von 3 bugs im RPC-service beseitigt. ein fix von m$ steht auch schon ca 2 wochen lang zur verfügung und ist auch schon im "autoupdate von windows" drin. also, wen stöhrts? wer nicht updatet ist selbst schuld. übrigens besteht auch schon seit ca 2 wochen ein geeigneter exploit (nen programm dass die 2 sicherheitslücken ausnutzt). mit diesem proggi bzw script kann wirklich jeder x-beliebige kiddi entweder mit DoS das sys crashen was aber ziemlich "nutzlos" wäre. der andere exploit verschaft dem "angreifer" durch nen buffer overflow (ähnlich wie bei dem letzten wurm nur etwas komplizierter) im RPC-server wodurch er root-rechte bekommt und somit alles was man sich nur vorstellen kann auf dem pc machen kann. und nochwas: durch diese ganzen gepushten news hier meinen die ganzen laien dass mircrosoft auf einmal soooooo viele bugs hat und wieso sie denn nichts dagegen tun? ihnen ist nichtmal ansatzweise bewusst wie sehr andere software auch verbuggt ist und dass bugs in windows durch die der angreifer root rights kriegt keine seltenheit sind!
so das war jetzt für alle die sich net so gut auskennen!
ciao
crasher

[re:1] am ++--

Jap, ganz genau. Wer regelmäßig Patches runterläd, den schockt diese Meldung hier nicht wirklich. Einfach jeden Abend auf WinFuture schauen - über die neusten Patches berichten wir immer :)

[re:2] am ++--

Antwort auf den Kommentar von crasher2002: Nur dass es halt so ist, dass sie soooo viele Bugs haben. Der IE ist da besonders schlimm. Insecure by Design, würde ich mal sagen. Und warum wir diese News so pushen? Erinnerst du dich an die zeit vor Blaster? Wir haben gewarnt, wir haben gewarnt, wir haben gewarnt. Es hat zwar nicht viel genützt, aber war immer besser als untätig zu sein.

[14] am ++--

Kann man eigentlich den RPC service deaktivieren? Dann ist man doch alle Probleme los, oder.

Handelt es sich eigentlich am den Dienst RPC Locator? Oder ist es ein anderer?

[re:1] am ++--

Antwort auf den Kommentar von *TLC*: RPC kann man nicht deaktivieren, es sei denn du willst, dass Programme auch lokal keine Methoden mehr aufrufen können und aufhören, zu funktionieren... Genau wie das Betriebssystem selbst. Was du aber tun kannst, ist, DCOM zu deaktivieren und damit zu verhindern, dass der RPC-Service auf Anfragen aus dem Netz lauscht. Diverse Anleitunen finden sich im INet, z.B. hier: http://www.microsoft.com/wwindows2000/de/server/help/dcomcfg_dcom_disable_dcom.htm

[15] am ++--

*TLC*: RPC wird für sehr viele Aktionen auch lokal verwendet. Z.B. der Taskmanager (und alle anderen Programme, die auf die Prozesse enumieren wollen) bezieht seine Informationen über die laufenden Prozesse aus diesem, ich glaub sogar der lokale Dateizugriff wird für die Berechtigungen teilweise über den abgewickelt (leg ich aber nicht meine Hand für ins Feuer). Daher ist der RPC ein für Windows NT und höher unabdingbarer Dienst, der daher nicht abzuschalten ist. (Und wenn dus trotzdem mit irgendwelchen Registryhacks oder Tools versuchst, wird dir dein System wahrscheinlich nicht mehr hochfahren oder zumindest für keine vernünfigen Aktionen mehr zu verwenden sein...

[re:1] am ++--

Antwort auf den Kommentar von Lofote: RPC ist anundfürsich 'ne feine Sache, weil man dann nicht zwischen lokalen und remote verfügbaren Programmmethoden unterscheiden braucht. Aber warum bitte schön ist, selbst wenn ich keine Multitieranwendungen verwende und auch nicht will, dass Programm remote gesteuert werden, standardmäßig der RPC-Port weit offen und nimmt Anfragen entgegen? Das ist ja der eigentliche Schwachsinn.

[16] am ++--

Nachtrag: Daher ist die einzig vernünftige Methode, bei einem Einzelrechner (oder einem Rechner in einem Heimnetz, der direkt am Internet via Modem, ISDN oder DSL hängt) über IPSec oder eine lokale Firewall den RPC-Port zu sperren.

[re:1] am ++--

Antwort auf den Kommentar von Lofote: Genau das ist doch die verkehrte Herangehensweise. Da ist, als wenn du ein Haus aus TNT bauhst und dann ein Gesetz aufstellst, das Streichhölzer verbietet. Nun warte mal ab, bis jemand etwas namens "Feuerzeug" erfindet... Die einzig vernünftige Methode ist es, DCOM zu deaktivieren!