Seit einem Jahr bekannt

Ungepatchte Lücke in Windows Server wird ausgenutzt

Seit über einem Jahr eine Sicherheitslücke in Windows Server bekannt. Für sich allein war sie harmlos, nun wird sie aber in einem Kombinationsangriff ausgenutzt.

Sicherheitslücken in Windows, die nicht unmittelbar zum Einschleusen schädlichen Codes ausgenutzt werden können, werden bei Microsoft offenbar gerne erstmal auf Halde gelegt, ohne dass ein Sicherheits-Update bereit gestellt wird. So berichtet das Internet Storm Center über einen erfolgreichen Angriff auf einen Web-Server, der mit Microsofts IIS betrieben wird. Als eine Komponente der Angriffsstrategie dient ein Exploit für eine Sicherheitslücke, die bereits vor einem Jahr an Microsoft worden ist.

Der Sicherheitsforscher Cesar Cerrudo hat im März 2008 eine Sicherheitslücke in Windows entdeckt, die eine lokale Ausweitung der Benutzerrechte ermöglicht. Anders ausgedrückt kann sich ein angemeldeter Benutzer mit geringeren Rechten die Zugriffsrechte des Systemkontos verschaffen. Microsoft hat dazu auch eine Sicherheitsempfehlung veröffentlicht. Als dem nichts weiter folgte, hat Cerrudo im Oktober 2008 einen Demo-Exploit namens "Churrasco2" für diese Schwachstelle veröffentlicht.

Wie Bojan Zdrnja vom Internet Storm Center bei der Analyse eines Angriffs auf einen Web-Server heraus gefunden hat, wird diese als "Token Kidnapping" bekannte Schwachstelle inzwischen erfolgreich ausgenutzt. Der Angreifer nutzt zunächst eine Sicherheitslücke in einer Web-Anwendung aus, um eine so genannte Webshell namens ASPXSpy einzuschleusen.

Damit verfügt er jedoch noch nicht über die vollen Zugriffsrechte auf den Windows-Server. Die verschafft er sich anschließend mit Hilfe von Churrasco2. Der Rest des Angriffs ist Standard - mit Systemrechten ausgestattet, installiert der Angreifer ein Trojanisches Pferd und einen Key-Logger.

Da Microsoft bislang noch kein Security Bulletin nebst Sicherheits-Update bereit gestellt hat, müssen sich Windows-Administratoren mit den Empfehlungen aus Microsofts Sicherheitsmitteilung 951306 begnügen. Diese beziehen sich allerdings nur auf den Web-Serverdienst IIS. Wie Bojan Zdrnja weiter fest gestellt hat, sollten Sie sich auch nicht darauf verlassen, dass ein installierter Virenscanner vor dem Angriff schützt. (PC-Welt/mja)