Exploit der IIS-Lücke stammt von Server der US-Army

TruSecure will aus gut unterrichteten Militärkreisen von der Attacke erfahren haben. Der Army-Server sei zwar öffentlich zugänglich, aber nicht Teil der Webseiten-Infrastruktur der US-Army, berichtete TruSecure. Der Server, so TruSecure, sei mehr oder minder nutzlos.

Dennoch beschreiben die Sicherheitsspezialisten die Attacke als eine der seltenen "Zero day"-Angriffe, weil die Lücke zu diesem Zeitpunkt noch nicht veröffentlicht gewesen sei. Am 11. März will TruSecure Microsoft informiert haben. Redmond warnte dann bei der Veröffentlichung des Patches dementsprechend auch vor bereits existierenden Exploits, ohne die betroffenen Kunden zu nennen. Auch seitens der US-Army wurde Microsoft nach Angaben von TruSecure informiert. Nachdem den Administratoren der betroffene Server durch vermehrte Netzwerkaktivitäten aufgefallen war, setzten sie die Maschine neu auf, allerdings nur um festzustellen, dass die Attacke erneut einsetzte, trotz allen zu diesem Zeitpunkt verfügbaren Patches, berichtet TruSecure. Welche Daten übermittelt wurden, ist nach Angaben von TruSecure nicht bekannt. Obwohl der Server selbst wohl keine wichtigen Daten beherbergte, könnten aber schon die IP-Adressen anderer Server und die darauf verfügbaren Dienste wertvolle Informationen für Angreifer sein.

Der gezielte und nach Angaben von TruSecure "hoch entwickelte" Angriff auf den Server unter Ausnutzung einer neuen Lücke lässt die Sicherheitsexperten Übles ahnen. Die Sicherheitsexperten sagen binnen Wochenfrist einen neuen Wurm voraus, der die Lücke ausnutzen könnte. Administratoren sollten ihre Server patchen oder den betroffenen WebDav-Dienst abschalten, lautet die dringende Empfehlung. Einzelheiten zur Lücke entnehmen Sie einer früheren Meldung. (uba)