Code für LSASS-Lücke in Windows kursiert

Das Internet Storm Center und der Antiviren-Spezialist Symantec haben automatisierten Code gesichtet, der bei den Systemen Windows 2000 und Windows NT auf eine Lücke in der Datei lsasrv.dll des Local Security Authority Subsystem Service (LSASS) zielt.

Am Vortag hatte Symantec gemeldet, dass ein automatisiertes Programm eine Lücke in der Windows Protected Communications Technology (PTC) ausnutzt. Eine genauere Analyse hat Symantec nun aber gezeigt, dass es sich bei dem Code weder um einen Wurm noch um einen Bot handelt und die PCT-Lücke nur indirekt im Spiel ist. Der von Symantec entdeckte und als "backdoor.mipsiv" bezeichnete Code sei vielmehr ein Trojaner, der von einigen Angreifern auf Systemen platziert worden sei. Dass Symantecs DeepSight-Threat-Network Scan-Aktivitäten rund um den im Web kursierenden Exploit für die SSL-Lücke festgestellt hat, habe zu der Missinterpretation geführt. Das Backdoor-Pprogramm könne nur auf bereits komprimittierten Systemen eingesetzt werden, hieß es. Allerdings sei dabei teilweise der RPC-Exploit als Türöffner genutzt worden.

Am Mittwoch berichtet nun das Internet Storm Center, eine Abteilung des SANS-Instituts, von Code, der anscheinend die LSASS-Lücke ausnützt. Allerdings werde der Code noch analysiert. Den Sicherheitsexperten zufolge handele es sich um das als "Pathbot" beziehungsweise "Agobot" bekannte Programm, das modifiziert worden sei. Besonders der enthaltene String "CScannerLSASS" erweckte das Interesse der Sicherheitsexperten. Ob dahinter ein Wurm steckt, sei nicht auszuschließen, zumal der seit wenigen Tagen im Web kursierende Exploit für die LSASS-Lücke Ähnlichkeiten mit dem Exploit aufweist, der die rasante Verbreitung des MSBlast-Wurms ermöglichte, so Johannes Ullrich, Leiter der Technischen Abteilung beim ISC. Symantec hat nach Angaben des ISC eine Beta seiner Virusdefinitionen veröffentlicht, die den Code als "W32.Gaobot.AFJ" entdeckt. Da der Source-Code angeblich kursiert, erwartet das ISC gefährliche Versionen des Programms.

Patches für die SSL- sowie die LSASS-Lücke hatte Microsoft am Patch-Day des Monats April veröffentlicht. Die zugehörigen tecCHANNEL-Security-Reports zu beiden Lücken finden Sie hier.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security-Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abbonieren. (bsc)

tecCHANNEL Buch-Shop

Literatur zum Thema Client Server

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads