Microsoft
- Christian Segor
Wenn Nachrichten über die Gefahren des Internet in der sonst eigentlich gar nicht IT-lastigen Tagespresse direkt neben der Berichterstattung über die Verlobung des spanischen Thronfolgers auftauchen, ist das ein untrügliches Zeichen dafür, dass es wieder einem Skript-Kiddie gelungen ist, einen hinreichend effizienten E-Mail-Wurm zusammenzuklicken. Der fragliche Fiesling hört auf den Namen MiMail und ist nicht wirklich originell; aber es genügt ja oft, ein paar Details eines alten Virus zu ändern, um die meisten Virenscanner aufs Glatteis zu führen.
Die C-Variante des Wurms trat am 31. Oktober auf, und in den folgenden drei Tagen erschienen außerdem die D-, E-, F- und H-Versionen. Extrapoliert man diese Entwicklung, dann sind bis zum Erscheinen dieses Heftes die Buchstaben für die Versionsbezeichnungen ausgegangen und die Hersteller von Antivirensoftware mussten in der Zwischenzeit auf das kyrillische Alphabet zurückgreifen. Eine solch rasche Folge von Mutationen mag ein neues Phänomen sein, der Virus dagegen ist ein alter Hut. Auf eine billig mit .jpg getarnte .exe-Datei im Anhang einer E-Mail, die in holprigem Englisch Bilder barbusiger Badenixen verspricht und deren Autor dabei zu allem Überfluß noch eine ausgesprochen deutsche Abkürzung verwendet, sollte eigentlich niemand mehr hereinfallen.
Die rasche Verbreitung von MiMail zeigt jedoch, dass der durchschnittliche E-Mail-Benutzer sich nach wie vor nicht darüber im klaren ist, was beim unüberlegten Doppelklicken alles passieren kann. Ohne die unfreiwillige Unterstützung seiner Opfer wäre der Wurm nicht weit gekommen - auch wenn in der eingangs erwähnten Tagespresse von einem „Sicherheitsloch in Outlook Express“ die Rede war. Vielleicht sollte man sich dort dann doch ganz auf Felipes zukünftige Gattin konzentrieren.
ActiveX war ja noch nie so ganz unumstritten, und die ursprüngliche Idee, kleine ausführbare Code-Häppchen appetitlich zu verpacken und dann an allen möglichen Stellen wiederzuverwenden, ist inzwischen oft nachgebessert worden. Ein Teil dieser Verbesserungen ist Authenticode, ein Verfahren zum Signieren der Controls. Damit soll sichergestellt werden, dass Benutzer nur solche ActiveXe installieren, die aus vertrauenswürdigen Quellen stammen. Leider existiert in der Authenticode-Implementierung eine Sicherheitslücke, die es einem Angreifer ermöglicht, vom Benutzer unbemerkt beliebige Controls auf dem angegriffenen Rechner zu plazieren und zu starten. Dieser Code läuft zwar nur im Sicherheitskontext des Benutzers; da es im Zweifelsfall aber ausreicht, eine entsprechend präparierte Webseite zu öffnen, empfehlen wir dringend die Installation des entsprechenden Hotfixes (823182).
Ein weiteres Sicherheitsloch wurde in einem ActiveX-Control bekannt, das zum Lieferumfang von Windows 2000 gehört. Dort kann sich ein Angreifer einen Pufferüberlauf zu Nutze machen, um beliebigen Code auf dem betroffenen Rechner zu starten. Das unsichere Control ist Teil des „Troubleshooting and Help Systems“ von Windows 2000 und als solcher direkt aus einem Skript ansprechbar. Auch hier reicht es aus, einen Benutzer auf eine Webseite zu locken, um die Sicherheitslücke auszunutzen (826232).
Mit dem Kommando net send kann man bekanntlich Nachrichten in Form von Dialogboxen an entfernte Rechner schicken; vorausgesetzt, dort läuft der sogenannte Messenger Service. Dieser Dienst - der übrigens standardmäßig gestartet ist - weist einen unzureichend abgesicherten Speicherbereich auf, was ein Angreifer benutzen kann, um eigenen Code in das RAM des betroffenen Rechners zu schmuggeln und dort auszuführen. Unglücklicherweise läuft der Messenger Service im Sicherheitskontext des lokalen Systems, was dem Angreifer weitreichende Rechte gewährt. Eine Lösung ist natürlich, den Dienst einfach abzuschalten. Wer die Funktion aber ganz praktisch findet, sollte dringend den passenden Patch installieren (828035).
Die aktuelle Definition von SMTP sieht vor, bei Bedarf weitere Kommandos (als „Verben“ bezeichnet) zu definieren, um zusätzliche Funktion zu implementieren. Exchange 2000 benutzt ein solches „erweitertes Verb“, um Routing-Informationen zwischen Servern zu übertragen - und beinhaltet in diesem Zusammenhang eine nicht ganz ungefährliche Sicherheitslücke. Zum einen ist es für die Verwendung von „erweiterten Verben“ nicht notwendig, sich am Server zu authentizieren, zum anderen kann durch Ausnutzen eines Pufferüberlaufs beliebiger Code auf dem betroffenen Exchange-Server ausgeführt werden. Beides zusammen ergibt eine brisante Situation, ermöglicht das Sicherheitsloch doch theoretisch einen Wurm à la Slammer. Wer einen Exchange-2000-Server betreibt, sollte dringend den entsprechenden Patch installieren. Auch Exchange 5.5. ist betroffen, hier kann es allerdings nur zu einem DoS-Angriff kommen. Exchange 2003 weist das Leck nicht auf (829436).
Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)
