Remoteprozeduraufruf (RPC) verursacht Fehler und das System fährt nach 60 Sekunden herunter: Unterschied zwischen den Versionen

aus WB Wiki; freien Wissensdatenbank rund ums Thema Computer
Wechseln zu: Navigation, Suche
K
K
 
Zeile 1: Zeile 1:
'''Windows (alle Versionen)'''
+
'''[[Windows]] (alle Versionen)'''
 
{{FAQ/Sidebar}}
 
{{FAQ/Sidebar}}
 
|-
 
|-
Zeile 8: Zeile 8:
 
| {{Gruppe|Security/Sicherheit}}
 
| {{Gruppe|Security/Sicherheit}}
 
|-
 
|-
| {{Windows3|NT|2000|XP}}
+
| {{Windows6|NT|2000|2000 Server|XP|2003 Server|allgemein}}
 
|-
 
|-
 
| {{Zeitaufwand3}}
 
| {{Zeitaufwand3}}
Zeile 14: Zeile 14:
 
| {{Anforderung3}}
 
| {{Anforderung3}}
 
{{FAQ/Sidebarende}}
 
{{FAQ/Sidebarende}}
Es handelt sich um einen ICQ oder IRC Exploit, der sich über den Port 135 Zugriff auf das System verschafft.
+
 
 +
 
 +
Es handelt sich um einen [[ICQ]] oder [[IRC]] [[Exploit]], der sich über den [[Port]] 135 Zugriff auf das System verschafft.
  
 
Mit den folgenden Patches sollte das Problem gelöst werden:
 
Mit den folgenden Patches sollte das Problem gelöst werden:
 +
 +
[http://download.microsoft.com/download/a/b/9/ab93b6b0-a6cf-489e-8617-30c504e2186f/DEUQ823980i.EXE Windows NT 4 Server]
 +
 +
[http://download.microsoft.com/download/7/d/5/7d5325d5-303e-4640-81e8-6d0815804ae7/DEUQ823980i.EXE Windows NT 4 Terminal Server]
  
 
[http://download.microsoft.com/download/9/2/1/921a4733-e72c-4309-89db-408b65f64b0c/Windows2000-KB823980-x86-DEU.exe Windows 2000]
 
[http://download.microsoft.com/download/9/2/1/921a4733-e72c-4309-89db-408b65f64b0c/Windows2000-KB823980-x86-DEU.exe Windows 2000]
  
 
[http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe Windows XP]
 
[http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe Windows XP]
 +
 +
[http://download.microsoft.com/download/2/c/4/2c4101fe-b675-4266-9fd1-b7558710e3b4/WindowsServer2003-KB823980-x86-DEU.exe Windows 2003 Server (32 Bit)]
 +
 +
[http://download.microsoft.com/download/3/0/5/3055cb12-dbb5-401f-931b-b86907ff2f63/WindowsServer2003-KB823980-ia64-DEU.exe Windows 2003 Server 64 Bit bzw. Windows XP 64 Bit (Version 2003)]
 +
 +
[http://download.microsoft.com/download/1/a/4/1a4178c9-4f7d-4b00-a587-5a2c8b6836a4/WindowsXP-KB823980-ia64-DEU.exe Windows XP 64 Bit (Version 2001)]
 +
 +
  
 
Microsoft Scanning Tool
 
Microsoft Scanning Tool
Zeile 27: Zeile 41:
 
Weitere Informationen:
 
Weitere Informationen:
  
Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.  
+
Der seit Tagen erwartete Wurm, der einen Fehler im [[RPC]]/[[DCOM]]-[[Dienst]] unter [[Windows 2000]] und [[Windows XP|XP]] ausnutzt, ist im [[Internet]] unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.  
  
Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis {{winpath|WinDir\System32}} nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.  
+
Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die [[Datei]] msblast.exe in das Verzeichnis {{winpath|%WinDir%\System32}} nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.  
  
Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:
+
Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende [[Registry]] Einträge erzeugt:
  
  
{{regpath|HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run}}\\{{regkey|windows auto update}}\\{{regvalue|msblast.exe}}  
+
{{regpath|HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run}}\{{regkey|windows auto update}}\{{regvalue|msblast.exe}}  
  
{{regpath|HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run}}\\{{regkey|windows auto update}}\\{{regvalue| msblast.exe I just want to say LOVE YOU SAN!! bill}}
+
{{regpath|HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run}}\{{regkey|windows auto update}}\{{regvalue| msblast.exe I just want to say LOVE YOU SAN!! bill}}
  
  
Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüber hinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht, Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar; Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.
+
Erkennbar ist ein Befall auch am offenen [[UDP]]-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüber hinaus öffnet ein infiziertes System 20 [[TCP]]-Ports im Bereich 2500 bis 2522 und versucht, Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar; Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.
  
 
Symantec hat bereits ein Removal-Tool [http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html] bereitgestellt, um den Wurm von befallenen System zu entfernen.  
 
Symantec hat bereits ein Removal-Tool [http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html] bereitgestellt, um den Wurm von befallenen System zu entfernen.  
  
 
Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.
 
Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.

Aktuelle Version vom 28. September 2007, 08:05 Uhr

Windows (alle Versionen)

Eine Umsetzung der FAQ-Artikel erfolgt auf eigene Gefahr. Der Autor weist in seinem Artikel auf den jeweiligen Schwierigkeitsgrad und Zeitaufwand hin. Es wird ausdrücklich empfohlen, vor der Durchführung von Systemänderungen an Windows einen aktuellen Wiederherstellungspunkt anzulegen.
Siehe auch Wiki FAQ und Impressum.

Details
Bereich: Software
Kategorie: Dateisystem
Gruppe: Security/Sicherheit
Betriebssystem: Windows NT
Windows 2000
Windows 2000 Server
Windows XP
Windows 2003 Server
Windows allgemein
Zeitaufwand: Moderat
Anforderung: Mäßig

Zurück zur Übersicht


Es handelt sich um einen ICQ oder IRC Exploit, der sich über den Port 135 Zugriff auf das System verschafft.

Mit den folgenden Patches sollte das Problem gelöst werden:

Windows NT 4 Server

Windows NT 4 Terminal Server

Windows 2000

Windows XP

Windows 2003 Server (32 Bit)

Windows 2003 Server 64 Bit bzw. Windows XP 64 Bit (Version 2003)

Windows XP 64 Bit (Version 2001)


Microsoft Scanning Tool


Weitere Informationen:

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update\msblast.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update\ msblast.exe I just want to say LOVE YOU SAN!! bill


Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüber hinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht, Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar; Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool [1] bereitgestellt, um den Wurm von befallenen System zu entfernen.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.