NEWS AUS DEM IT-SECURITY BEREICH

Sicherheitsleck im SMB-Protokoll von Windows

Fehler im SMB-Protokoll erlaubt einen Fernangriff


In zahlreichen Windows- und Windows-Server-Ausführungen steckt eine Sicherheitslücke, die es Angreifern erlaubt, Daten zu zerstören, das System zum Absturz zu bringen oder im schlimmsten Fall beliebigen Programmcode auszuführen. Das Sicherheitsloch steckt im SMB-Protokoll, so dass ein Angreifer nur ein speziell formatiertes Kommando senden muss.

Das SMB-Protokoll verwendet Windows-Systeme, damit Clients darüber auf Laufwerke, Drucker oder beliebige Schnittstellen im Netzwerk zugreifen können. Dabei kommt es bei der Gültigkeitsprüfung der SMB-Anfrage zu einem Fehler, was zu einem Buffer Overrun führt. Darüber kann ein Angreifer ein System zum Absturz bringen, Daten zerstören oder auch Programmcode ausführen.

Microsoft bietet entsprechende Patches für Windows 2000, XP 32 Bit sowie 64 Bit, Windows NT 4.0 Server, NT 4.0 Terminal Server Edition und den 2000 Server über ein Security Bulletin an. Der Patch ist bereits im Service Pack 4 für Windows 2000 enthalten.

GolemLink

___


Symantec bringt neues pcAnywhere mit wenig Neuem


Datei-Übertragungen finden jetzt im Hintergrund statt


Symantec bietet ab sofort die Version 11 der Fernsteuer-Software pcAnywhere an. Große Neuerungen lässt die aktuelle Version aber vermissen, so dass sich nur kleine Detail-Verbesserungen finden lassen.

Mit pcAnywhere 11 lassen sich Registry-Einträge bearbeiten sowie ein Neustart des Rechners, das Sperren oder Herunterfahren des Systems ausführen. Ferner kann das NT-Ereignis-Protokoll eingesehen werden, ohne dass auf dem Host-PC eine passende Anwendung läuft.

Als weitere Verbesserung an der Software laufen Datei-Übertragungen im Hintergrund ab und IT-Administratoren können Sicherheitsrichtlinien (Policies) durchsetzen sowie Zugangsbeschränkungen verwirklichen, was das Windows-eigene Richtlinien-Management noch wirkungsvoller machen soll. Mit pcAnywhere können System-Administratoren von einem anderen Rechner aus auf Firmen-Server zugreifen, um einzelne Rechner in einem Netzwerk zu steuern.

Symantec bietet pcAnywhere 11 für die Windows-Plattform ab sofort zum Preis von 257,78 Euro für eine Einzelplatzlizenz an


GolemLink

Aktuelle Sicherheitslücken


Pufferüberlauf in Windows 2000/XP



Betriebsystem: Microsoft Windows 2000 (mit SP4) / XP (mit SP1)
Typ: Pufferüberlauf


Problem: Die rundll32.exe in beiden Betriebssystemen kann bestimmte Argumente nicht Verarbeiten.
Effekt: Wird als Routinenname für ein Modul ein besonders manipuliertes Argument übergeben, läuft der Puffer über.
Lokal: ja
Remote: nein


Exploit: rundll32.exe advpack32.dll,<'A'x499>
Lösung: Derzeit sind uns keine Patches/Updates bekannt.


Veröffentlicht: 10.07.2003
Aktualisiert: 10.07.2003
Quelle: Bugtraq

Trickbetrüger klaut PayPal-Daten

Mit einem Trick versucht anscheinend zurzeit ein Betrüger Informationen von PayPal-Kunden zu ergattern. Die Opfer erhalten eine Mail mit dem Betreff "Dear PayPal Customer" und einer gefälschten PayPal-Absender-Adresse. In der Mail heisst es (auf Englisch) PayPal würde nicht aktive Kundeneinträge nach drei Monaten sperren. Deshalb wird der Angeschriebene aufgefordert, in das HTML-Formular der E-Mail seine persönlichen Daten inklusive E-Mail-Adresse, Passwort und Kreditkartennummer einzutragen und sich damit bei PayPal anzumelden. Insgesamt ist sowohl Sprache als auch Aufmachung der E-Mail geeignet arglose PayPal-Kunden dazu zu verleiten, ihre Daten in dieses Formular einzutragen und abzuschicken.


HeiseLink


______



0190-Gesetz tritt bald in Kraft


Der Bundesrat hat am heutigen Freitag das Gesetz gegen den Missbrauch von 0190er- und 0900-Nummern endgültig verabschiedet. Die Länderkammer stimmte damit dem Vorschlag des Vermittlungsausschusses zu, der auf die Interessen der Bundesländer stärker Rücksicht nahm. Da der Bundestag den Kompromiss bereits angenommen hat, kann das Gesetz mit seiner Veröffentlichung im Bundesgesetzblatt vermutlich Ende August in Kraft treten.

Kernstück des neuen Gesetzes ist eine Ergänzung des Paragrafen 43 im Telekommunikationsgesetz (TKG) um drei neue Absätze. Absatz 43a regelt den Auskunftsanspruch der Verbraucher zu 0190-Nummern. Die RegTP soll künftig auf Anfrage innerhalb von 10 Tagen Auskunft darüber erteilen, wer über die entsprechende Nummer Dienstleistungen anbietet.

Dazu soll die Behörde selbst die Anfrage an den entsprechenden Nummernbetreiber weiterleiten und von diesem nach Eingang des Ersuchen innerhalb von fünf Werktagen eine Antwort erhalten. Dem vom Missbrauch betroffenen Verbraucher hilft dies freilich wenig; er dürfte erfahrungsgemäß in den meisten Fällen lediglich erfahren, dass der Diensteanbieter seinen Sitz fern des deutschen Rechtszugriffs irgendwo im Ausland hat.

Die Tarifierung pro Mehrwertdienst-Verbindung begrenzt das Gesetz auf 30 Euro im Blocktarif und pro Minute auf maximal 2 Euro. Auch gibt es eine automatische Zwangstrennung der Verbindung nach einer Stunde. Die Abrechnung des Dienstes darf höchstens im 60-Sekunden-Takt erfolgen.

Absatz 43c TKG befugt die RegTP dazu, Sanktionen bei Missbrauch von 0190/0900-Nummern zu verhängen. Wird eine Nummer rechtswidrig genutzt, soll die Behörde "die Abschaltung der Rufnummer anordnen". Außerdem kann sie den Rechnungssteller, also den Netzbetreiber, auffordern, in einem solchen Fall keine Rechnungslegung vorzunehmen. Verstößt ein Nummernbetreiber gegen die neuen Regeln, darf die RegTP Geldbußen bis zu 100.000 Euro verhängen.

Die zu Beginn geplante Dialer-Registrierungsdatenbank bei der RegTP ist im Gesetzgebungsprozess wieder gestrichen worden. Dafür regelt jetzt ein neuer Absatz, dass die RegTP eine exklusive Rufnummerngasse für Einwahlprogramme schaffen muss. So möchte man sicherstellen, dass der Verbraucher mit einer selektiven Rufnummernsperre ausschließlich Dialer blockieren kann. (hob/c't)


HeiseLink


_______


Cisco warnt vor Fehler im CatOS


MÜNCHEN (COMPUTERWOCHE) - Cisco Systems warnt vor einem Bug im "CatOS"-Betriebssystem seiner "Catalyst"-Switches. Dieser könne unter Umständen dazu führen, dass TCP-basierende Verwaltungsdienste (Telnet, HTTP, SSL etc.) bis zu einem Reboot einfrieren, erklärte der Netzausrüster. Ein Angreifer könnte dies missbrauchen, um Management-Schnittstellen lahm zu legen, nicht aber um das Switching selbst zu beeinflussen, hieß es in der "Bugtraq"-Mailing-List. SNMP (Simple Network Management Protocol) sei nicht betroffen und ermögliche weiterhin den Zugang zu einem angegriffenen Gerät.
Konkret betroffen sind die Catalyst-Modellreihen 4000, 5000 und 6000, allerdings nur wenn auf dem Chassis CatOS und nicht das leistungsfähigere IOS läuft. Gepatchte CatOS-Versionen sind bereits erhältlich. (tc)


ComputerWocheLink


_________



Zwei verschiedene Sicherheitslücken in Windows-Versionen



Ein Sicherheitsloch erlaubt einem Angreifer die Ausführung von Programmcode


In zwei Security Bulletins berichtet Microsoft über weitere Sicherheitslücken innerhalb von Windows. Während das eine Sicherheitsleck bei der Anzeige einer Webseite oder HTML-Mail auftritt und somit den Internet Explorer betrifft, benötigt man zum Ausnutzen des anderen Sicherheitslochs einen lokalen Zugang zum betreffenden Rechner. Microsoft selbst stuft beide Sicherheitslecks als gefährlich ein.

Alle Windows-Versionen enthalten Routinen zur Konvertierung von Dateien. Innerhalb dieser Routinen für eine HTML-Konvertierung steckt ein Programmfehler, so dass ein Angreifer über eine entsprechend formatierte Webseite oder HTML-Mail in die Lage versetzt wird, Programmcode mit den Rechten des angemeldeten Nutzers ausführen zu können. Der Angriff via E-Mail betrifft alle Mail-Clients, die für die Anzeige von HTML-Nachrichten auf die Rendering Engine des Internet Explorer zurückgreifen. Das Sicherheitsleck steckt in den Windows-Versionen 98, 98SE, Millennium, 2000, XP, NT 4.0 Server sowie in der Server Terminal Edition und Windows Server 2003.

Das zweite Sicherheitsloch tritt nur beim Einsatz von Windows 2000 auf. Und zwar befindet sich ein Sicherheitsleck in den im Betriebssystem integrierten Eingabehilfen. Diese interpretieren Windows-Messages falsch, was ein Angreifer dazu missbrauchen kann, über speziell formatierten Programmcode beliebige Aktionen auf dem System auszuführen und so die Kontrolle über den PC zu erlangen. Dazu muss der Angreifer jedoch lokalen Zugriff zum betreffenden PC besitzen und sich entsprechend angemeldet haben.

Für beide Sicherheitslücken bietet Microsoft entsprechende Patches an. Gegen den Programmfehler bei der HTML-Konvertierung stehen passende Patches für Windows 98, 98SE, Millennium, 2000, XP, NT 4.0 Server, NT 4.0 Server Terminal Edition und Server 2003 über das entsprechende Security Bulletin zum Download bereit. Auch für das andere Sicherheitsleck in Windows 2000 bietet der Hersteller einen passenden Patch an, der auch im Service Pack 4 für Windows 2000 enthalten ist.

GolemLink

BKA legt Bericht zum Account-Missbrauch vor

Das Kriminalistische Institut des Bundeskriminalamts (BKA) hat das Delikt "Account-Missbrauch im Internet" näher beleuchtet. Zuvor war im Januar 2000 beim Polizeipräsidium Münster eine Ermittlungskommission gebildet worden, die bundesweit ein Sammelverfahren gegen rund 3600 Tatverdächtige wegen Account-Missbrauchs im Internet bearbeiten sollte. Die Tatverdächtigen seien beispielsweise über so genannte FakeZ-Websites an Account-Daten gelangt. Eine kleinere Gruppe habe Trojaner zum Ausspähen benutzt. Diese Daten seien vor allem dafür genutzt worden, um auf Kosten anderer im Internet zu surfen.

Nun hat das BKA einen Erfahrungsbericht (PDF) über die "logistischen und kriminalistischen Herausforderungen dieses Ermittlungsverfahrens" vorgelegt. Zusammen mit der Universität Münster war dafür ein Fragebogen entwickelt worden, der an beteiligte Staatsanwaltschaften, Gerichte oder auch Eltern von Tatverdächtigen geschickt wurde. Ausgewertet wurden 599 Fragebogen.

Ziel war es, Tätertypologien in diesem kriminologisch noch weitgehend unerforschten Deliktsbereich zu erarbeiten. Die Ergebnisse sollen in Präventionsprojekten und in der IT-Ausbildung umgesetzt werden. Es konnten drei Tätertypen identifiziert werden: Die "typischen Täter" sind männlichen Geschlechts, zwischen 16 und 21 Jahre alt und leben bei den Eltern. Sie haben mittlere bis hohe Computerkenntnisse und betrieben den Account-Missbrauch, um sich zu bereichern oder nur auszuprobieren, ob es geht. Die 373 Mitglieder dieser Gruppe haben durchschnittlich 388 Euro Schaden verursacht.

Die "untypischen Täter", 119 an der Zahl, sind männlich, aber älter als die typischen Täter und lassen sich durch die "Vielfalt der Möglichkeiten zur Lebensgestaltung" nicht so eindeutig kategorisieren wie die erste Gruppe. Mit der dritten Gruppe, den 35 weiblichen Tatverdächtigen, verhält es sich ähnlich wie mit den "untypischen". Allerdings waren sie im Durchschnitt 34,7 Jahre alt, während die Männer 22,3 Jahre alt waren. Geringer eingestuft als bei den Männern wurden ihre EDV-Kenntnisse, die Schnelligkeit ihrer Rechner und die Neuwertigkeit der Peripheriegeräte. (anw/c't)


HeiseLink


_______


Vorsicht: Windows-Dienste, Teil III


iDEFENSE hat in einem White Paper (Win32 Message Vulnerabilities Redux) untersucht, was es mit der ursprünglich von Chris Paget entdeckten Sicherheitslücke in Windows-Diensten auf sich hat. Paget hat seinerzeit herausgefunden, dass ein Programm darüber mehr Rechte erlangen kann, als einem Benutzer womöglich zustehen. Das Papier informiert darüber, dass die Lücke noch immer existiert, und zeigt Wege auf, sie zu schließen. Das Papier ist eine sehr sachliche Auseinandersetzung mit einem Thema, das einst viel Aufmerksamkeit erregt hat.

iDEFENSE nennt nun nicht nur weitere Nachrichten außer dem einst genannten "WM_TIMER", die ein Ausnutzen der Designschwäche erlauben, sondern auch Programme, die sich für solche Art von Angriffen anfällig zeigen. Mit Kerio Personal Firewall 2.1.4, Sygate Personal Firewall Pro 5.0 und McAfee VirusScan 7.0 sind neben VNC 3.3.6 darunter pikanterweise immerhin drei Sicherheitstools. Das Risiko für den ohnehin als Administrator an sein Windows angemeldeten Privatanwender ist dennoch gering. Hier findet eine bereits eingeschleuste, potenzielle Schadsoftware schließlich schon alle Rechte vor


HeiseLink

Aktuelle Sicherheitslücken

Denial of Service in TurboFTP



Software: Turbosoft TurboFTP 3.58 Build 304
Typ: Fehlerhafte Ausnahmebehandlung


Problem: Der FTP Client Prüft die Länge vom Server gesendeter Antworten nicht ausreichend. Diese Daten werden in internen Speicherplatz kopiert.
Effekt: Überlange Daten können die Grenzen des internen Speichers verletzen und so einen DoS hervorrufen. Eventuell kann auch Code ausgeführt werden.
Lokal: nein
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Derzeit sind uns keine Patches/Updates bekannt.


Veröffentlicht: 14.07.2003
Aktualisiert: 14.07.2003
Quelle: Bugtraq

Apple stopft Sicherheitsloch im OS-X-Bildschirmschoner

MÜNCHEN (COMPUTERWOCHE) - Über die Softwareaktualisierung von Mac OS X steht seit heute das "Security Update 2003-07-14" (~1,7 MB) zur Verfügung. Dieses behebt das Problem, dass bei eingeschalteter Passwortabfrage des Bildschirmschoners von Mac OS X 10.2.6 offenbar aufgrund eines ungesicherten Puffers durch Eingabe überlanger Passwörter und den daraus resultierenden Absturz des Screensavers der unerwünschte Zugriff auf den Schreibtisch des gerade aktiven Benutzers möglich wurde. Der Bugfix lässt sich hier auch separat herunterladen. (tc)


ComputerWocheLink

_______


2. Chaos Communication Camp steigt im August 2003 bei Berlin


CCC veranstaltet zweites Zeltlager für Hacker in Altlandsberg


Von Donnerstag, den 7. August, bis Montag, den 10. August 2003, findet auf dem Paulshof in Altlandsberg - rund 30 km östlich von Berlin - zum zweiten Mal das Chaos Communication Camp statt. Wie schon vor vier Jahren stellt der Chaos Computer Club die notwendige Infrastruktur wie Internet und Strom, aber auch "Gehirnfutter" in Form von Vorträgen für das Hacker-Zeltlager bereit. Selbst ein Badesee steht zur Verfügung.




Auf dem Plan des Konferenzprogramms stehen unter anderen Themen wie TCG (vormals TCPA), Digital-Rights-Management-Systeme und ihre Auswirkungen auf Open-Source-Software sowie aktuelle Sicherheits- und Überwachungstechniken. Allerdings befindet sich das Konferenzprogramm derzeit noch in der Planung, so dass noch Möglichkeiten bestehen, sich aktiv in die Gestaltung der Konferenz einzubringen. Der Annahmeschluss für Vorträge bzw. Beiträge ist der 25. Juli 2003.

Das Chaos Communication Camp wird über eine Funkstrecke mit 65 MBit/s an das Internet angebunden sein und es stehen 28 Wavelan Points zur Verfügung. Zudem werden rund 23 Kilometer Stromverkabelung bis wenige Meter vor jedes Zelt verlegt und es stehen fünf Essensstände, zwei Vortragszelte und ein 1.500 qm großes Hackcenter zur Verfügung. Darüber hinaus soll das Camp - soweit das ein Campinggelände sein kann - auch für Rollstuhlfahrer geeignet sein. Ein entsprechend behindertengerechtes WC ist vorhanden.

Nachdem das 1. Chaos Communication Camp im Sommer 1999 für die Veranstalter nicht kostendeckend war, hat man in diesem Jahr die Preise leicht angehoben. Die Tageskarte (gültig von 10:00 bis 2:00 Uhr) kostet 20,- Euro, eine 4-Tage-Dauerkarte inklusive Camping gibt es für 100,- Euro. Deutlich teurer - wie für CCC-Veranstaltungen üblich - sind mit bis zu 1.000,- Euro die Business-Tickets.

GolemLink

_______


Internet-Attacken: Mittwoch ist der gefährlichste Tag


Hacker arbeiten immer gezielter


Die Zahl sicherheitsrelevanter Ereignisse ist im ersten Halbjahr 2003 leicht zurückgegangen. Sie sank von 160,5 Millionen im ersten auf 136,5 Millionen im zweiten Quartal. Dafür hat der Anteil bestätigter Attacken und gefährlicher Vorfälle im gleichen Zeitraum um 13,7 Prozent zugenommen. Das ist das Ergebnis des vierteljährlichen Sicherheitsberichts für das Internet, den das Unternehmen Internet Security Systems (ISS) in Atlanta/ USA veröffentlicht hat.

Insgesamt 727 neue Schwachstellen hat das Forschungsteam der X-Force von April bis Juni 2003 registriert. 209 davon wurden mit dem Risiko-Level "High" eingestuft, 377 mit "Medium" und 141 mit "Low". Verglichen mit dem ersten Quartal, als 606 zusätzliche Lecks in Soft- und Hardware entdeckt wurden, entspricht das einem Anstieg um 20 Prozent. Den Sicherheitslöchern stehen 654 aufgespürte Würmer und hybride Gefahren gegenüber. Damit nähern sich Schwachstellen und Angriffsmethoden zahlenmäßig mehr und mehr an. Im gesamten Jahr 2002 standen 494 Gefahren noch 2.374 Lecks entgegen. Diese Entwicklung deute laut X-Force-Chef Chris Rouland darauf hin, dass Hacker immer gezielter bestehende und seit langem bekannte Schwachstellen angriffen.

Bei den Angriffszielen zeichnet sich ebenfalls ein eindeutiger Trend ab. Obwohl die FTP- und HTTP-Ports noch immer unter den zehn am meisten attackierten Ports sind, haben die Angriffe auf diese beiden Schnittstellen in den letzten 18 Monaten um durchschnittlich 46 und 96 Prozent abgenommen. Am häufigsten attackiert wurden Port 80 (45,54 Prozent), 137 (20,22 Prozent) und Port 1434 (13,68 Prozent).

Gefährlichster Tag für die IT-Sicherheit war im zweiten Quartal der Mittwoch. Durchschnittlich 1.809.222 Security-Events hat die X-Force für die Wochenmitte registriert. Dazu gehören auch Attacken, die dem so genannten Hacktivismus zuzurechnen sind. Das US-Ministerium für Homeland Security hat seine Gefahrenstufe für politisch motiviertes Hacking und Cyberterrorismus zweimal auf "Orange" (große Gefahr) erhöht. Einmal war dies der Fall vom 17. März bis 16. April während des Irak-Krieges und ein zweites Mal zwischen 20. und 31. Mai als Reaktion auf terroristische Angriffe in Saudi-Arabien und Marokko.

GolemLink

_____


Typischer Hacker ist unter 21


Nur knapp sechs Prozent der Täter sind Frauen

Wiesbaden (pte, 15. Jul 2003 08:25) - Der typische Internet-Hacker ist männlich, zwischen 16 und 21 Jahren alt und lebt noch bei seinen Eltern. Zu diesem Ergebnis kommt das deutsche Kriminalistische Institut des Bundeskriminalamts (BKA) http://www.bka.de in einer Studie über "Account-Missbrauch im Internet". Das BKA hat gemeinsam mit der Universität Münster einen Fragebogen entwickelt, der an beteiligte Staatsanwaltschaften, Gerichte und Eltern von Tatverdächtigen verschickt wurde. 599 Fragebögen wurden ausgewertet. Drei Typen von Hackern konnten ausgemacht werden. http://www.bka.de/informationen/account_missbrauch.pdf

Der Studie zufolge gibt es einen "typischen" Hacker, 65,8 Prozent (373 Mitglieder) der Täter zählen zu dieser Gruppe. Er ist männlichen Geschlechts, zwischen 16 und 21 Jahren alt und lebt bei seinen Eltern. Er hat eine mittlere oder gehobene Schulbildung und mittlere bis hohe Computerkenntnisse, die er sich autodidaktisch erworben hat. Gründe für den Account-Missbrauch sind in dieser Gruppe in erster Linie wirtschaftlicher Natur oder um auszuprobieren, was geht. Der durchschnittliche Schaden, den diese Gruppe anrichtet, beträgt 388 Euro.

Die zweitgrößte Gruppe der "untypischen Täter" (119 Mitglieder) ist auch männlich, aber älter als die typischen Täter und lässt sich wegen vielfältiger Möglichkeiten zur Lebensgestaltung nicht eindeutig kategorisieren. Die untypischen Täter haben mehr Geld und mehr PC-Erfahrung als die erste Gruppe. Der Schaden, den sie angerichtet haben, ist mit durchschnittlich 429 Euro nur geringfügig größer als der der typischen Täter. Die dritte und kleinste Gruppe besteht aus Frauen (5,8 Prozent, 35 Mitglieder). Im Schnitt sind sie 34,7 Jahre alt und haben geringere EDV-Kenntnisse und langsamere Rechner als die männlichen Täter. Ihr Hauptmotiv besteht meistens auch im Ausprobieren oder in wirtschaftlichen Erwägungen. Nur fünf Prozent von ihnen wussten, dass sie eine strafbare Handlung begehen.

Im Mittel waren die Täter 23 Jahre alt, insgesamt 72,2 Prozent von ihnen lebten während der Tatbegehung bei ihren Eltern. Das Hauptmotiv bei allen drei Gruppen sind wirtschaftliche Gründe (51,3 Prozent), zweithäufigstes Motiv ist das Ausprobieren (33,1 Prozent). (Ende)


PresseTextLink

Microsoft kümmert sich um die Heimatsicherheit der USA

Am morgigen Donnerstagabend präsentiert Microsoft seine Zahlen für das vergangene Quartal. Kurz davor kann das Unternehmen einen neuen großen Auftraggeber präsentieren: das US-amerikanische Ministerium für Heimatschutz. Rund 140.000 Arbeitsplätze und dazu die Server sollen mit Software aus Redmond ausgestattet werden. Die Vereinbarung betrifft die kommenden fünf Jahre mit der Option auf Verlängerung um ein Jahr. Dafür legt der Staat 90 Millionen US-Dollar auf den Tisch, bei Verlängerung 110 Millionen US-Dollar. Als Dienstleister für das Ministerium bekam Dell den Zuschlag, heißt es in US-amerikanischen Medien.

Das Department of Homeland Security war in Folge der Ereignisse des 11. September in die Wege geleitet und schnell gegründet worden. Die letzte Hürde nahm das entsprechende Gesetz bereits am 20. November 2001. Schnell war auch klar, dass Microsoft in der neuen Behörde kräftig mitmischen will. (anw/c't)


HeiseLink

__

Internet-Überwacher des Pentagon sollen gestoppt werden [Update]


Darüber ist die Bush-Regierung gar nicht erfreut: Der US-amerikanische Senat wird voraussichtlich dem ehrgeizigen, aber auch häufig kritisierten Datensammlungsprogramm Terrorist Information Awareness (TIA) sämtliche finanziellen Mittel für den Haushalt 2004 streichen. Auch dürfte das Projekt des Pentagon, das das wichtigste Projekt und die eigentliche Basis des Information Awareness Office (IAO) darstellte, demnach nicht aus anderen Töpfen gespeist werden. Der entsprechende Etat des Verteidigungsministeriums, mit dem der TIA die Finanzierung entzogen wird, hat das Repräsentantenhaus bereits am 8. Juli passiert.

Aus dem Weißen Haus heißt es nun laut Washington Times, damit werde einem der wichtigsten Projekte zur Bekämpfung des Terrorismus der Boden entzogen. Die Regierung ruft den Senat auf, das Verbot jeglicher Forschung und Entwicklung aufzuheben.

Sogleich nach Bekanntwerden der Pläne des Pentagon im November 2002, durch eine riesige Datensammlung von Internet-Vorgängen Terroristen auf die Spur zu kommen, kam Kritik an dem Programm auf. Die Pläne für das Information Awareness Office wurden im Januar 2003 erheblich eingeschränkt, zumindest US-Bürger sollten nicht intensiv ausspioniert werden. Das Projekt wurde danach von Total Information Awareness umbenannt. (anw/c't)


HeiseLink

____


Spam: EU will Opt-in-Lösung weltweit durchsetzen


MÜNCHEN (COMPUTERWOCHE) - Geht es nach dem Willen der EU, bekommt ab Herbst dieses Jahres nur noch Porno-Mails, wer sie auch tatsächlich angefordert hat. Denn eine bereits im Juli 2002 erlassene Richtlinie gegen Spam soll bis Ende Oktober von Mitgliedsstaaten umgesetzt werden. Danach ist das Marketing per E-Mail nur noch mit vorheriger Einwilligung der Teilnehmer zulässig. Die so genannte "Opt-in"-Regelung gilt auch für SMS-Mitteilungen (Short Messaging Service) und andere elektronische Nachrichten, die via Mobilfunk oder Festnetz verschickt werden.

Der für Informationstechnologien zuständige Kommissar Erkki Liikanen will in Brüssel mit internationalen Experten beraten, wie sich eine bessere Aufklärung der Anwender und eine weltweit engere Zusammenarbeit im Kampf gegen Spam realisieren lässt. Nach Einschätzung der Europäischen Kommission werden bis Ende des Sommers mehr als die Hälfte aller verschickten E-Mails unerwünschte Massenaussendungen sein. In den Staaten der EU angesiedelte Unternehmen erlitten dadurch im vergangenen Jahr Produktivitätseinbußen im Wert von 2,5 Milliarden Euro, sagte Liikanen.

Geplant ist außerdem, auf einer Konferenz im Rahmen der OECD (Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung) Anfang 2004 mögliche weltweite Regelungen gegen Spam zu diskutieren. Laut Liikanen werde der Großteil des Mail-Mülls aus asiatischen und amerikanischen Ländern versendet. Deswegen sei es nötig, dass auch dort Opt-in-Lösungen vorgeschrieben werden. Unter anderem von den USA geplante Opt-out-Ansätze genügten nicht, da in diesem Fall Anwender jedem einzelnen Versender ausdrücklich untersagen müssten, Mails an ihre Postfächer zu senden. (lex)


ComputerWocheLink

____


Computer Associates stellt "Security Command Center" vor


MÜNCHEN (COMPUTERWOCHE) - Computer Associates (CA) hat auf der Hausmesse CA World in Las Vegas das "eTrust Security Command Center" angekündigt. Die Software ermöglicht es, die im Rahmen der eTrust-Reihe bereitgestellten Produkte "Identity-Management", "Access Manager" und "Threat Management" gemeinsam mit Sicherheitsanwendungen von Drittherstellern zu betreiben, sagte Russ Artzt, Executive Vice President und Mitgründer von CA. Virenmeldungen und Sicherheitswarnungen stellt das Web-basierende Tool über eine Portal-Schnittstelle und Web-Services zur Verfügung. Der Status der in die Unternehmens-IT eingebundenen Security-Anwendungen soll sich nach Geräten, lokalisierten Websites oder Ereignissen aufschlüsseln und grafisch darstellen lassen.

Wird das Produkt mit dem "eTrust Vulnerability Manager" integriert, können laut CA Informationen Administratoren zum Beispiel abfragen, welche IP-Adressen im eigenen Netz von Angriffen betroffen sind und wie sich Sicherheitslecks beseitigen lassen. Beim Vulnerability Manager handelt es sich um eine Security-Management-Appliance, die laut Hersteller ans Netz angeschlossene Komponenten in Echtzeit analysiert und mit einer Datenbank abgleicht, die Informationen über rund 6000 Sicherheitslücken vorhält.

Das Security Command Center unterstützt Produkte unter anderem von C Cure, Cisco, Foundstone, IBM, McAfee, Microsoft, Netscreen, Nortel, Snort, Symantec und Trend Micro. Der Preis liegt bei 25.000 Dollar pro Server und 60 Dollar pro Monat und Agent. Der Vulnerability Manager ist in Versionen für Unix, Linux und Windows erhältlich und kostet 25.000 Dollar pro Appliance und zwei Dollar pro Knoten und Monat. (lex)

ComputerWocheLink


_____


Gates-Video lockt User auf gefährliche Website


Nieder-Olm (pte, 15. Jul 2003 15:05) - Der Entwickler von Anti-Viren-Software Sophos http://www.sophos.de warnt Internet-Surfer vor einer Website, die Nutzern eine virenähnliche Software aufdrängt. Demnach ist eine E-Mail im Umlauf, die lustige Video-Clips verspricht, wenn man eine bestimmte Website besucht. Anwender, die dem Link in der E-Mail folgen, werden aufgefordert, eine Applikation namens "Internet Optimizer" (IO) zu installieren. Das Programm stammt von einer Website, die von Avenue Media NV http://www.avenuemedia.com auf der karibischen Insel Curacao betrieben wird. Einer der "beworbenen" Video-Clips ist etwa jene Szene, in der belgische Anarchisten Microsoft-Gründer Bill Gates mit einer Torte bewerfen.

Wenn ein Benutzer den Bestimmungen der Lizenzvereinbarungen für Endverbraucher (End-User License Agreement - EULA) des IO zustimmt, erlaubt er Avenue Media offiziell, die Video-Clip-Einladung an alle Kontakte im Outlook-Adressbuch und im Instant Messaging System des PCs zu schicken. Viele Vertragsbenutzer lesen die Vertragsbestimmungen nicht aufmerksam genug durch und erteilen ihre Zustimmung, ohne zu wissen, dass Nachrichten an alle ihre Kontaktpersonen versandt werden. Indem Anwender den EULA-Bedingungen zustimmen, erlauben sie Avenue Media außerdem, aus der Ferne auf ihren PC zuzugreifen. Der Vertrag berechtigt Avenue Media, neue Computer-Features hinzuzufügen und Software-Pakete zu installieren oder zu entfernen.

Bei dieser E-Mail handelt es sich zwar nicht um einen Virus oder Wurm, die virale Marketing-Kampagne kann jedoch einen Großteil der E-Mail-Bandbreite eines Unternehmens beanspruchen und wie ein Mass-Mailing-Wurm lahmlegen, erklärt Sophos. "Die Macher nutzen die Gewohnheit aus, das Kleingedruckte und Beamten-Latein nur flüchtig oder gar nicht zu lesen", so Gernot Hacker, Senior Technical Consultant bei Sophos.
(Ende)


PresseTextLink

Fehler in Windows gefährdet Internet-PCs

Das Sicherheitsbulletin MS-03-026 dreht sich um einen Fehler in der RPC-Schnittstelle von Windows NT, 2000, XP und 2003 Server. Es handelt sich dabei um ein Buffer-Overflow-Problem im DCOM-Interface, das auf die Remote Procedure Calls (RPC) aufsetzt. Distributed COM (DCOM) dient zur Kommunikation von Software-Komponenten über das Netzwerk, ähnlich wie COM die Zusammenarbeit von Komponenten auf einem Rechner erlaubt. Ein speziell manipuliertes Paket an den für RPC verwendeten TCP-Port 135 kann Teile des Stacks überschreiben und damit beliebigen Code von außen auf einen Rechner einschleusen und ausführen lassen.

Besonders kritisch ist die Schwachstelle, weil Port 135 standardmäßig immer offen ist und schwer zu schließen ist. Stellt man den RPC-Dienst ab, funktionieren unter Umständen andere wichtige Systemdienste nicht mehr. Besonders bedroht sind Windows-Nutzer, deren PC direkt -- also ohne Router oder Firewall -- mit dem Internet verbunden ist. Denn standardmäßig ist der TCP-Port 135 auch an das DFÜ-Interface gebunden. Wird Zugriff von außen auf diesen Port nicht über die XP-eigene Internet-Verbindungs-Firewall oder eine Personal Firewall abgeblockt, sollte der Patch schnellstens eingespielt werden. Dass Port 135 aus dem Internet erreichbar ist, merkt man im Übrigen oft schon daran, dass sich Pop-Up-Fenster mit dubiosen Inhalten auf dem Desktop öffnen. Im Bulletin weist Microsoft auch auf die Möglichkeit hin, den DCOM-Service abzuschalten, warnt aber davor, dass dies die Kommunikation mit Objekten auf diesem System verhindert. Welche Folgen dies im Einzelfall konkret hat, ist bisher nicht klar. (dab/c't)

Heise-Security New

Fehler in Cisco-Routern ermöglicht DoS-Angriff

Cisco, Marktführer bei Internet-Routern und Highend-Netzgeräten für Firmen, berichtet in einem Security-Advisory von einer möglichen Denial-of-Service Attacke gegen Router und Switches, die Ciscos Betriebssystem IOS verwenden und IPv4-Verkehr weiterleiten. Nach US-Berichten sind Internet-Provider bereits eifrig dabei, ihre auf Cisco-Geräten basierende Infrastruktur zu aktualisieren. Das CERT/CC hat ebenfalls reagiert und eine Warnung herausgegeben. Betroffen ist IOS 11.x bis 12.2, Version 12.3 enthält die Schwachstelle nicht.

Dem Advisory zufolge reicht eine bestimmte Folge von Paketen, die direkt an den Router gerichtet sind, um die Input-Queue der entsprechenden Schnittstelle als "voll" zu deklarieren. Anschließend nimmt der Router keine Pakete mehr an, die direkt an ihn gerichtet sind, etwa ARP-Pakete oder Pakete diverser Routing-Protokolle. Das Routing arbeitet aber zunächst weiter -- erst wenn die ARP-Tabellen auf den Ethernet-Schnittstellen der anderen Netzwerkteilnehmer gelöscht werden, funktioniert auch das nicht mehr. Ein Patch wird von Cisco bereits zur Verfügung gestellt. Als Workaround, wenn der Patch nicht sofort eingespielt werden kann, empfiehlt Cisco, mit den Access Control Lists (ACL) Filter aufzusetzen, um den Router vor unerlaubten direkten Verbindungen zu schützen. (dab/c't)


HeiseLink

_______


Schweres Leck bei Microsoft


Patch soll sofort eingespielt werden

Redmond (pte, 17. Jul 2003 13:05) - Microsoft hat vor einer als "kritisch" eingestuften Sicherheitslücke gewarnt, durch die ein Windows-System einem Angreifer praktisch ausgeliefert sein könnte. Durch einen so genannten Buffer-Overflow-Angriff könnten dann Programme auf dem attackierten Computer aufgerufen werden. Der Softwareriese empfiehlt die rasche Einspielung des bereitgestellten Patches.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

In einem Sicherheits-Bulletin bezieht sich Microsoft auf die DCOM-Schnittstelle, die Datenverkehr am TCP/IP-Port 135 abhört. Durch einen Fehler im DCOM könnte der RPC-Service, ein Protokoll, das von Software verwendet wird, um Dienste von anderen Programmen in einer Netzwerkumgebung anzufordern, abstürzen. Für den Absturz ist lediglich eine nicht korrekt formatierte Nachricht notwendig, die am Port 135 eintrifft.

Durch gezielte Versendung solch falsch formatierter Nachrichten könnte der RPC-Service gezielt zum Absturz gebracht werden und der attackierte Rechner praktisch "übernommen" werden. Von der Sicherheitslücke sind die Windows-Versionen NT 4.0, NT 4.0 TSE, 2000, XP und Windows Server 2003 betroffen. (Ende)


PresseTextLink


_______


Erneut zwei Sicherheitslücken in Windows-Versionen


Sicherheitslecks erlauben die Ausführung von Programmcode


In zwei Security Bulletins berichtet Microsoft über weitere kritische Sicherheitslecks im Windows-Betriebssystem, wofür ab sofort passende Patches bereitstehen. Während eine Sicherheitslücke nur Windows XP mit installiertem Service Pack 1 betrifft, ist das andere Sicherheitsloch in mehreren Windows-Fassungen enthalten. Beide Lecks erlauben es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen.

Eine Sicherheitslücke befindet sich im Remote-Procedure-Call-Protokoll, das zum Bestandteil der Windows-Versionen NT 4.0, 2000, XP sowie der Server-Fassungen NT 4.0 Terminal Services Edition und Server 2003 gehört. Über dieses Protokoll kann ein Programm andere Applikationen auf einem angeschlossenen PC ausführen, wobei die Sicherheitslücke ein DCOM-Interface betrifft, das auf dem TCP/IP-Port 135 nach Aktivitäten lauscht. Schickt ein Angreifer an diesen Port eine entsprechend formatierte Message, kann er beliebige Programme auf dem betreffenden System starten.

Microsoft betont, dass der Port 135 meist durch eine Firewall geschützt ist, so dass das Sicherheitsleck nur über eine Intranet-Verbindung ausgenutzt werden kann. Wo eine solche Firewall fehlt, ist eine Attacke auch über das Internet möglich. Ein Angreifer kann dann beliebigen Programmcode mit den Rechten des angemeldeten Nutzers ausführen und so Kontrolle über das System erlangen.

Im Desktop von Windows XP mit Service Pack 1 steckt das zweite Sicherheitsleck, das einen ungeprüften Puffer aufweist, wenn Attribut-Informationen von einem bestimmten Verzeichnis ausgelesen werden. Systeme mit Windows XP ohne Service Pack 1 weisen dieses Sicherheitsloch nicht auf. Ein Angreifer kann sich das Leck zu Nutze machen und eine spezielle Desktop.ini-Datei über ein Netzwerk-Laufwerk zur Verfügung stellen. Sobald der unbedarfte Anwender ein derart präpariertes Verzeichnis öffnet, kann der Angreifer beliebigen Programmcode auf dem System mit den Rechten des angemeldeten Nutzers ausführen oder den Windows-Desktop zum Absturz bringen.

Für das Sicherheitsloch in Windows XP mit Service Pack 1 stellt Microsoft einen entsprechenden Patch zum Download bereit. Ferner bietet Microsoft Patches gegen das Sicherheitsleck in Windows NT 4.0, 2000, XP, NT 4.0 Terminal Services Edition und Server 2003 für die verschiedenen Plattformen zum Download an.

GolemLink

Aktuelle Sicherheitslücken

Denial of Service in MDaemon



Software: Alt-N MDaemon 3.5.6, 5.0.7, 6.0.0, 6.0.5 - 6.0.7, 6.5.0, 6.7.5,
Typ: Denial of Service


Problem: Benutzer können durch das Senden von 'SELECT' oder 'EXAMINE' Kommandos, an die eine Zeichenkette von mehr als 250 Zeichen angehängt wurde, den Daemon veranlassen die Verbindung zu beenden.
Effekt: Der Daemon nimmt bis zum Restart des Services keine neuen Verbindungen mehr an.
Lokal: nein
Remote: ja


Exploit: SELECT AAAAAAA....
Lösung: Es wird empfohlen auf Version 6.8.0 upzudaten.


Veröffentlicht: 17.07.2003
Aktualisiert: 17.07.2003
Quelle: Bugtraq

Exploit zu Cisco-DoS-Angriff im Umlauf


Das DFN-CERT warnt, dass zu dem bereits gestern gemeldeten Fehler bei Cisco-Geräten ein funktionsfähiger Exploit veröffentlicht wurde. Router und Switches, die Ciscos Betriebssystem IOS verwenden und IPv4-Verkehr weiterleiten, sind durch den Bug anfällig für einen Denial-of-Service-Angriff.

Nach der Veröffentlichung des Exploits besteht die Gefahr, dass es in den nächsten Tagen zu massiven Problemen kommt, da große Teile der Internet-Infrastruktur von Cisco-Systemen abhängt und auch viele Firmen ihre Netze mit Cisco-Routern angebunden haben. Wer ein Cisco-Gerät administriert, sollte dringendst das Security-Advisory lesen und eine der dort vorgeschlagenen Maßnahmen ergreifen -- also entweder den Patch einspielen oder passende ACL-Filter setzen. (ju/c't)


HeiseLink

___


Neuer Virus in Gestalt eines Kokosnuss-Spiels


Coconut-Wurm rächt sich an Sophos-Manager Cluley

Sophos
London (pte, 17. Jul 2003 17:05) - Der Entwickler von Anti-Viren-Software Sophos http://www.sophos.de warnt vor dem neuen Wurm W32/Coconut-A, der Computeranwender dazu auffordert, das Spiel "Coconut Shy" zu spielen. Dabei müssen Kokosnüsse auf die Köpfe des mutmaßlichen belgischen Hackers Frans Devaere und des Senior Technology Consultant von Sophos, Graham Cluley, geworfen werden, um Punkte zu machen. Die Anzahl der zerstörten Dateien hängt vom Spielergebnis ab: Je mehr Punkte der Spieler sammelt, desto weniger Dateien versucht der Wurm zu infizieren.

Der Wurm wurde von einer als "Gigabyte" bekannten Virenautorin geschrieben. Gigabyte richtete verstärkt ihre Aufmerksamkeit auf Cluley, seitdem er behauptete, dass die Mehrheit der Virenautoren männlich sei. Bereits 2001 widmete sie Cluley den Virus W32/Parrot-A. "Gigabyte ist offenbar davon besessen, der Welt und im Besonderen mir zu beweisen, dass nicht nur das männliche Geschlecht Viren schreiben kann", sagt Cluley.

Der Coconut-Wurm verbreitet sich als E-Mail mit der ausführbaren Datei coconut.exe im Anhang. Sobald Nutzer die Datei doppelt anklicken, verschickt sich der Wurm an alle Kontakte im Adressbuch des PCs und legt mit dem Spiel los. Einen Trefferpunkt gibt es für den Kopf des Hackers, zwei für Cluleys. Die Infektion durch den Wurm hängt davon ab, wie geübt der Anwender seine drei Würfe setzt: Bei null Treffern verliert er ganze sechs Dateien, bei einem Treffer fünf Dateien und so weiter. Nur wenn er dreimal Cluleys Kopf trifft, kann er alle sechs Dateien treffen.
(Ende)

PresseTextLink

Aktuelle Sicherheitslücken

Code Ausführbar in Microsoft Windows



Betriebsystem: Microsoft Windows NT, 2000, XP, 2003 Server
Software:
Typ: Fehlerhafte Ausnahmenehandlung


Problem: Das DCOM (Distributed Component Object Model) Modul des Windows RPC (Remote Procedure Call), das auf Port 135 horcht, kann fehlerhafte Anfragen nicht behandeln.
Effekt: Ein Angreifer kann durch entsprechend manipulierte Pakete Code auf der Zielmaschine ausführen.
Lokal: nein
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Microsoft Patch


Veröffentlicht: 17.07.2003
Aktualisiert: 17.07.2003
Quelle: Microsoft Security Bulletin MS03-026

_____


Code ausfürbar in Windows XP



Betriebsystem: Microsoft Windows XP
Typ: Pufferüberlauf


Problem: Fehlerhafte Attribute in einer Desktop.ini kann die Windows shell (Desktop) eines Anwenders, der Gesharte Verzeichnisse durchsucht um Absturz bringen.
Effekt: Beliebiger Code vom Angreifer kann auf dem Zielrechner ausgeführt werden.
Lokal: nein
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Microsoft Patch


Veröffentlicht: 17.07.2003
Aktualisiert: 17.07.2003
Quelle: Microsoft Security Bulletin MS03-027

_____


Code ausführbar in Microsoft ISA Server 2000



Betriebsystem: Microsoft ISA Server 2000
Typ: Cross Site Scripting


Problem: Der ISA beinhaltet Fehlerseiten, die es einem Angreifer erlauben Scripts in der Fehlerseite einzuarbeiten.
Effekt: Das Script kann auf der Clientseite mit den Rechten der Seite auf dem ISA ausgeführt werden.
Lokal: nein
Remote: ja


Exploit: Exploits sind von der Art der Site auf dem ISA abhängig
Lösung: Microsoft Patch


Veröffentlicht: 17.07.2003
Aktualisiert: 17.07.2003
Quelle: Microsoft Security Bulletin MS03-028

Sicherheitsloch in RAVs Online-Virenscanner

Der Sicherheitsexperte Tri Huynh von Sentry Union berichtet auf der Mailing-Liste Full-Disclosure von einem möglichen Buffer Overflow im ActiveX-Control des Online-Virenscanner des Antivirenspezialisten RAV.

Durch die Übergabe eines zu langen Arguments an die Funktion browseForFolder() kann der Stack überschrieben werden. Da diese Funktion aus der shell32.dll, also einer Windows-Bibliothek, importiert wird, könnte der Fehler auch dort seine Ursache haben. Ob mit dem Pufferüberlauf beliebiger Code auf dem Stack platziert und ausgeführt werden kann, ist nicht bestätigt. Der Hersteller ist über den Fehler informiert, hat aber noch nicht reagiert. Der Entdecker des Sicherheitslochs empfiehlt, das ActiveX-Control ravonline.dll im Ordner Downloaded Program Files unter dem Windows-Stammverzeichnis zu löschen.

Nach fehlerhaften ActiveX-Controls der Online-Virenscanner von TrendMicro und Symantec ist dies bereits der dritte, von solchen Bugs betroffene Antiviren-Anbieter.


HeiseLink


_______



Firmen spionieren Mitarbeiter aus

Firmen spionieren Mitarbeiter aus
Verstärkte Kontrolle wegen Tauschbörsen und Software-Lizenzen | Aktivitäten im internen Netzwerk und Internet werden ohne Wissen der Angestellten überwacht | Auch E-Mails und Instant Messages werden mitgelesen | Monitoring-Tools boomen
Montag, 21.07.03
13:31 MET
Immer mehr Unternehmen erhalten Abmahnungen der Unterhaltungsindustrie, in denen verlangt wird, das Firmennetzwerk nach urheberrechtlich geschützte Werken zu durchsuchen und eine Nutzung von Tauschbörsen unmöglich zu machen.

Weiters muss der Unternehmer darauf achten, dass auf jedem einzelnen Mitarbeiter-Rechner nur lizenzierte Softwareprodukte zum Einsatz kommen.

Als erste Konsequenz setzen viele Firmen nun auf die verstärkte Kontrolle des internen Netzwerks und beobachten zudem die Online-Aktivitäten ihrer Mitarbeiter ganz genau.

............ Rest siehe Link!


FuturezoneLink

_______


Künast: Spam-Gewinne einkassieren


Die Bundesregierung will härter gegen lästige Werbe-Emails vorgehen. Bereits im Herbst werde der Bundestag eine Gesetzesverschärfung beschließen, wonach Email-Werbung künftig nur noch nach vorheriger Zustimmung des Empfängers verschickt werde dürfe, sagte Bundesverbraucherministerin Renate Künast (Grüne) der "Berliner Zeitung". Gewinne, die unter Verstoß gegen diese Bestimmung erzielt würden, könnten dann eingezogen werden.

Künast sprach sich zugleich für internationale Vereinbarungen gegen so genannte Spam-Mails aus und rief die Internet-Provider auf, unerwünschte Mails grundsätzlich aus der elektronischen Post ihrer Kunden herauszufiltern.

Den Internetnutzern riet die Ministerin, schon bei der Auswahl ihres Anbieters nicht nur auf den Preis zu achten: Die Verbraucher sollten jene Provider "belohnen", die "ihre Kunden vor der Werbelawine schützen". Langfristig würden sich nur Anbieter mit einem solchen Service auf dem Markt halten können, betonte Künast.


OnlineKostenLink

FBI warnt vor Identitätsdiebstahl im Internet

Die US-amerikanische Bundesbehörde FBI warnt zusammen mit dem Provider Earthlink vor betrügerischen Websites im Internet. Das Internet Fraud Complaint Center (IFCC) der Behörde habe eine rapide Zunahme von unerwünscht zugesandten E-Mails registriert, durch die Netznutzer auf vorgetäuschte Kundendienst-Seiten bekannter Unternehmen gelenkt werden sollen. Dort werde ihnen eine vertrauenswürdige und sichere Verbindung suggeriert, damit sie vertrauliche Daten wie zum Beispiel ihre Kreditkartennummer preisgeben.

Das FBI hat "Cyber Squads" und "Cyber Crime Task Forces" eingesetzt, um den Betrügern auf die Spur zu kommen, die sich unter anderem in Großbritannien, Rumänien und Russland befinden können. Firmen wie eBay und PayPal sind in die Ermittlungen involviert.

Identitätsdiebstahl scheint ein wachsendes Problem zu sein, geht man nach einer Untersuchung der Marktforscher von Gartner. Von 2445 befragten Haushalten in den USA sollen laut Medienberichten 3,4 Prozent angegeben haben, bereits einmal Opfer geworden zu sein. Vor einem Jahr waren es noch 1,9 Prozent. Hochgerechnet seien in den vergangenen zwölf Monaten 7 Millionen US-Bürger Opfer von Identitätsdiebstahl geworden. Mehr als die Hälfte der Täter seien nicht anonym, sondern stammen aus dem näheren Umkreis der Geschädigten. (anw/c't)


HeiseLink

___


Glück gehabt beim Cisco-Bug

Diesmal ist es noch glimpflich abgegangen . Aber was wäre passiert, wenn "die Bösen" den letzte Woche veröffentlichten Fehler in Cisco IOS zuerst entdeckt hätten? Durch ihre Dominanz im Markt der Router und Switches werden Cisco-Geräte zum "Single Point of Failure": Im schlimmsten Fall lassen sich mit einem einzigen Fehler große Teile des Internet lahm legen

_____


Gruel-Wurm beschimpft Microsoft


W32/Gruel-D tarnt sich als Sicherheits-Patch

Nieder-Olm (pte, 21. Jul 2003 16:41) - Ein neu aufgetauchter Gruel-Wurm (W32/Gruel-D), der sich als ein wichtiges Sicherheits-Patch von Microsoft http://www.microsoft.com tarnt, versucht das Windows Betriebssystem von zwei Richtungen aus anzugreifen. Dieser Versuch sei sehr ernst zu nehmen, warnt der Entwickler von Anti-Viren-Software, Sophos http://www.sophos.de . Die jüngste Variante aus der Familie des Gruel-Wurms greift nicht nur die Windows-Installation an, sondern verbreitet auch Beleidigungen gegen das Microsoft-Betriebssystem.

Der Massmailing-Wurm taucht mit der E-Mail-Betreffzeile "Microsoft Windows Critical Update" auf und behauptet, ein Patch für von Microsoft selbst angekündigte schwerwiegende Sicherheitslücken in der Betriebssystem-Software zu enthalten. Sobald die angehängte Datei geöffnet wird, erscheint ein vermeintlicher Nachrichten-Text, der das Windows-Betriebssystem in ausschweifenden Tiraden beschimpft: "Windows sucks...Windows has always sucked...It's a scam. Capitalism sucks! Communism sucks!" und ähnliches. Sobald der schädliche Code aktiviert wird, sendet er sich automatisch an alle E-Mail-Kontakte des Anwenders und legt viele Windows-Funktionen, wie Task-Manager, Ausloggen, Herunterfahren und Computer-Sperren lahm. Darüber hinaus löscht er viele Dateien im Windows-Systemordner.

"Gemessen am Umfang seines leeren Geredes scheint der Virenautor entweder sämtliche Verschwörungstheorien ernst zu nehmen oder mehr als überempfindlich zu sein", vermutet Gernot Hacker, Senior Technical Consultant bei Sophos. "Gruel ist der jüngste Fall einer ganzen Serie von Viren, die vorgeben, von Microsoft zu stammen, um sorglose Computeranwender zum Auslösen ihres Codes zu überreden. Dieses Mal geht das Schadprogramm jedoch einen Schritt weiter, indem das Windows Betriebssystem als eine betrügerische Masche bezeichnet wird, um Computer-Besitzer auszubeuten", so Hacker weiter.

Gernot Hacker weist darauf hin, dass es grundsätzlich richtig sei, schwerwiegende Sicherheitslücken mit Patches zu schließen. "Doch die Patches sollen direkt von einer Hersteller-Website heruntergeladen werden und nicht von einer unerbetenen E-Mail", warnt Hacker.
(Ende)


PresseTextLink

Knacken von Windows-Passwörtern in Sekunden

Die Schweizer Sicherheitsexperten von LASEC haben ein Verfahren implementiert, mit dem die Passwörter von Windows in einem Bruchteil der bisher benötigten Zeit geknackt werden können. Windows speichert und überträgt seine Passwörter nicht im Klartext, sondern als so genannte Hashes. Durch bestimmte kryptographische Funktionen wird dabei das Originalpasswort verschlüsselt. Zur Authentifizierung im Windows-Netzwerk gibt es mehrere Verfahren: LanManager, NTLMv1 und NTLMv2. Bis einschließlich NTLMv1 wurde der verwendete Hash-Wert ohne Zufallskomponente erzeugt: Dasselbe Passwort resultiert immer im selben Hash.

Hier setzt auch das Verfahren an, das erstmals 1980 beschrieben wurde, und nun durch neue Methoden (ausgeführt in Making a Faster Cryptanalytic Time-Memory Trade-Off von Philippe Oechslin) stark beschleunigt wurde. Dazu werden alle jemals möglichen Hashes vorberechnet und in sehr große Tabellen eingetragen. Der Advanced Instant NT Password Cracker muss nun nicht mehr mittels Brute-Force alle Hashes selbst erzeugen und mit dem Hash des Passwortes vergleichen, sondern nimmt die Tabelle zu Hilfe. Die Demo des Crackers benutzt eine rund 1 GByte große Tabelle und findet Passwörter im Durchschnitt in fünf Sekunden.

Führt man eine Zufallskomponente ein, wie bei NTLMv2, so funktioniert das Verfahren allerdings nicht mehr und man muss wieder Brute-Force-Methoden verwenden. NTLMv2 sollte also standardmäßig zur Authentifizierung ausgewählt werden. In einigen Kombinationen von Client und Domain-Controller, zum Beispiel Windows 9x und Windows NT4, geht dies aber leider nicht. Wird also etwa Samba Domain-Controller eingesetzt, können sich die Clients auch nur über das unsichere NTLMv1 anmelden. Erst die Samba-Version 3.0 unterstützt NTLMv2. Version 3.0 Beta 3 ist zwar bereits verfügbar, bis zum Einsatz in einer Produktivumgebung sollte aber bis zum endgültigen Release gewartet werden. (dab/c't)


HeiseLink

____


Renate Künast will Spam den Garaus machen


MÜNCHEN (COMPUTERWOCHE) - Die Verbraucherschutzministerin Renate Künast (Bündnis90/Grüne) will im Herbst ein Anti-Spam-Gesetz auf den Weg bringen. Klingt gut, entspricht allerdings weitgehend lediglich einer EU-Richtlinie, die alle EU-Mitglieder ohnehin bis zum Herbst in ihren nationalen Gesetzgebungen erfüllen müssen. Außerdem reicht der Arm der europäischen Gesetzgebung eben nicht über die Grenzen des alten Kontinents hinaus. Betreibern von Servern etwa in den Vereinigten Staaten oder in anderen ausländischen Ländern ist mit der europäischen und gar der nationalen Legislative nicht beizukommen. Auf EU-Ebene ist das Gesetz, das nun auch in den europäischen Staaten vollzogen werden muss, bereits seit September 2001 beschlossene Sache. Ab Oktober 2003 ist die Gesetzgebung zum Datenschutz in der Telekommunikation rechtsverbindlich einzuführen, seit Dezember vergangenen Jahres hätte sie umgesetzt werden müssen.
Die neue Rechtsprechung wird es im Vergleich zur bisherigen erleichtern, auch bei Bagatellschäden strafrechtlich zu würdigendes Verhalten gemäss der Gesetzeslage zu verfolgen und zu bestrafen. Die umzusetzende EU-Richtlinie wird in das Gesetz gegen unlauteren Wettbewerb eingearbeitet. Gewinne, die unter Verstoß gegen die Richtlinien erzielt werden, könnten, so Künast gegenüber der "Berliner Zeitung", von dem Spam absendenden Unternehmen eingezogen werden. Allerdings scheint die rot-grüne Regierung nicht bereit zu sein, Verstöße wie Spam-Sendungen als strafrechtlichen Tatbestand zu werten. Sie will es bei der zivilrechtlichen Verfolgung belassen. Außerdem soll der Klageweg nur Mitbewerbern von Spam-Versendern und Interessenverbänden offen stehen. Privatpersonen, die das Internet nutzen und gegebenenfalls mit unerwünschtem elektronischen Müll überschüttet werden, soll nach den Vorstellungen der Regierung die Eingabe von Rechtsmitteln verschlossen bleiben. Hier hat die Opposition eine ganz andere Einstellung: Sie fordert bei Verstößen gegen die EU-Richtlinie unter anderem auch harte Haftstrafen.

Die Gesetzgebungen auf nationaler und europäischer Ebene haben allerdings einen kleinen Fehler: Sie entfalten ihre Wirkung nur, wenn die Server, von denen aus die inkriminierten Botschaften abgesandt werden, im rechtlichen Einzugsbereich der Rechtsprechung stehen. Spam-Versender aus den USA ficht also beispielsweise nicht an, welche Judikative in Europa Geltung besitzt. (jm)


ComputerWocheLink

_______


FBI warnt vor betrügerischen Websites


Identitätsdiebstahl im Internet gerät zu einem wachsenden Problem

Washington D.C. (pte, 22. Jul 2003 16:19) - Das FBI http://www.fbi.gov warnt zusammen mit dem Internet-Service-Provider Earthlink http://www.earthlink.net , der Federal Trade Commission und der National Consumer's League vor betrügerischen Websites im Internet, die zu einem immer größerem Problem werden. Das Internet Fraud Complaint Center des FBI (IFCC) http://www1.ifccfbi.gov/index.asp hat eine rapide Zunahme an Beschwerden über unerwünschte E-Mails registriert, die Nutzer auf vorgetäuschte Kundendienst-Seiten bekannter Unternehmen lenken. Dort werden persönliche Daten oder finanzielle Informationen abgefragt, die es den Tätern erlauben, die Identität zu stehlen oder Kreditkartenbetrug und ähnliche kriminelle Handlungen vorzunehmen.

Eine der Betrügereien im Web ist dem FBI zufolge das so genannte "E-Mail-Spoofing". Hierbei erscheint in der Betreffszeile der E-Mail ein vermeintlich glaubwürdiger Absender. Dies soll den Nutzer dazu bringen, die E-Mail zu öffnen und den darin gestellten Ansuchen zu antworten. Eine andere Form ist das "IP-Spoofing", das es dem Kriminellen ermöglicht, die IP-Adresse zu erfragen, indem er vorgibt, dass die Nachricht von einem vertrauensvollen Sender kommt. Bei der "Link-Alteration" wird die Return-Adresse einer Web-Page geändert. So schickt ein Konsument - ohne es zu merken - seine Daten an die Site des Hackers anstatt zur legitimen Site.

Um den Betrügern auf die Spur zu kommen, hat das FBI "Cyber Squads" und "Cyber Crime Task Forces" eingesetzt. Außerdem arbeitet die Behörde mit Internet-Händlern wie eBay, PayPal und Escrow.com zusammen, um spezifische Merkmale betrügerischer Websites zu identifizieren. Das FBI rät zu besonderer Vorsicht bei E-Mails, die nach privaten Informationen fragen. Unbekannte Websites existieren möglicherweise nicht, hier soll die bisher benutzte URL verwendet werden. Die falschen Sites haben oft extrem lange Namen in ihrer Adresse, auch das sollte hellhörig machen.
(Ende)


PresseTextLink

Aktuelle Sicherheitslücken

Code Ausführbar in RAV Andivirus



Software: RAV AntiVirus Online Scan
Typ: Pufferüberlauf


Problem: Durch grosse Datenmengen, die an eine bestimmte Funktion übergeben werden kann ein interner Puffer überlaufen.
Effekt: Benutzer mit der RAV Software in ihrem Browser, die eine Seite aufsuchen, die einen entsprechenden Aufruf startet riskieren das Ausführen von Code mit den entsprechenden Benutzerrechten.
Lokal: nein
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Workaround: Löschen der ravonline.dll


Veröffentlicht: 22.07.2003
Aktualisiert: 22.07.2003
Quelle: Bugtraq

Patches für Microsoft SQL Server und Windows NT 4

Ein Fehler in einer Filemanagement-Funktion ermöglicht eine Denial-of-Service-Attacke gegen Applikationen auf Windows NT 4.0 Server und der Terminal Server Edition. Der Windows-Server selbst wird durch diesen Fehler nicht zum Absturz gebracht. Ruft aber eine Anwendung die Filemanagement-Funktion mit falschen Parametern auf, so wird fälschlicherweise eigentlich belegter Speicher neu reserviert. In der Folge stürzt die aufrufende Applikation ab. Ein Angreifer könnte diesen Umstand ausnutzen, indem er in die entsprechende Applikation eigene Parameter einschleust. Abhilfe bringt der Patch im Bulletin MS03-029. In der Default-Installation von Windows NT ist keine Applikation enthalten, die den Fehler hervorrufen kann; welche Anwendungen zusätzlich installiert werden müssen, um den Fehler zu provozieren, lässt das Bulletin leider offen.

Für SQL Server 7, SQL Server 2000 und die Data Engine (MSDE 1.0) beziehungsweise Desktop Engine (MSDE 2000) hat Microsoft einen kumulativen Patch zusammengestellt, der unter MS03-031 abrufbar ist. Zusätzlich zu den in dem Paket enthaltenen Korrekturen für früher entdeckte Bugs werden damit drei neue Schwachstellen beseitigt. Zwei davon betreffen Named Pipes, bei denen ein Angreifer eine Client/Server-Verbindung entführen beziehungsweise eine erfolgreiche Denial-of-Service-Attacke durchführen kann. Pipes dienen zur Kommunikation zwischen Prozessen. Dazu werden in reservierten Speicherbereichen Nachrichten oder Daten abgelegt, auf die ein anderer Prozess zugreifen kann. Named Pipes erweitern diese Funktion um die Möglichkeit der Kommunikation von Prozessen auf verschiedenen Systemen. Ein weiterer Fehler ermöglicht es einem lokal arbeitenden Benutzer, den Stack zu überschreiben und Code im Kontext des SQL Server auszuführen. (dab/c't)


HeiseLink

________


Schwerwiegendes Sicherheitsleck in Oracles E-Business Suite


Oracle warnt in einem Advisory vor einer kritischen Sicherheitslücke in der E-Business Suite 11i und allen Versionen von Oracle Applications für Unix und Windows-Plattformen. Ein Patch ist unter der Nummer 2919943 auf den Seiten von Oracle verfügbar.

Der Fehler findet sich in dem CGI-Skript FNDWRR, das dazu dient, Reports und Log-Dateien darzustellen. Durch einen ungeprüften Puffer kann der Stack überschrieben werden. Durch eine manipulierte URL beim Aufruf des Skripts kann Code in den Stack injiziert und ausgeführt werden. Prinzipiell benötigt ein Angreifer dazu nur einen Webbrowser. (dab/c't)


HeiseLink

______


Sicherheitslücke bei DirectX


Microsoft warnt vor Hackerangriffen

Redmond (pte, 24. Jul 2003 13:05) - Der US-Konzern Microsoft http://www.microsoft.com hat im aktuellen Sicherheitsbericht MS03-030 auf eine Sicherheitslücke in der DirectX-Komponente DirectShow hingewiesen. Über eine präparierte MIDI-Datei kann ein Hacker Programmcodes des PC-Nutzers mit seinen eigenen überschreiben. Somit kann der Angreifer mit den, von ihm eingespeisten, Programmcodes mit den Rechten des PC-Users das System steuern oder DirectX zum Absturz bringen. Microsoft stuft diese Sicherheitslücke als sehr kritisch ein und bietet Patches für die DirectX-Versionen 5.2 bis 9.0a sowie für Windows NT 4.0 auf der Microsoft Homepage zum freien Download an. Des weiteren hat Microsoft die neue DirectX 9b Version, in dem diese Sicherheitslücke bereits ausgebessert wurde, veröffentlicht.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-030.asp

DirectShow wird bei der Anwendung des Internet Explorers, des Windows Media Players und anderen Windowsprogrammen häufig aufgerufen. Per DirectShow können auf der Client-Seite Audio- und Videodaten bearbeitet werden. Bei den Routinen für die Überprüfung der MIDI-Dateienwiedergabe hat Microsoft zwei Buffer Overruns entdeckt. Durch diese Buffer Overruns können Hacker ihre Programmcodes in das fremde System einspeisen und somit kontrollieren. Möglichkeiten sich dieser präparierten MIDI-Dateien zu entziehen erweisen sich als sehr schwierig, da der Angreifer diese Dateien an eine E-Mail anhängen kann. Ein Besuch einer Homepage, die der Hacker mit einer präparierten MIDI-Datei versehen hat, bedeutet eine automatische Übertragung dieser Datei auf den Computer. (Ende)


PresseTextLink

Novells Webserver-Software verwundbar

Das CERT/CC meldet ein Sicherheitsloch im Netware Enterprise Webserver von Novell. Ein Buffer Overflow im /perl/HTTP-Handler ermöglicht es einem Angreifer, den Stack zu überschreiben und den Server zum Absturz zu bringen. Da der Instruction Pointer überschrieben werden kann, ist potenziell auch das Ausführen von Code möglich. Ursache ist eine fehlende Abfrage der Puffergrenzen bei der Übergabe einer Zeichenkette an den Perl-Interpreter. Dazu wird das Modul CGI2PERL.NLM verwendet, das den Buffer Overflow provoziert.

Von dem Fehler betroffen sind die Version 3.6 des Webservers unter Novell Netware 5.1 und Version 6.00d unter Netware 6.0, -- das Advisory beschreibt hier nur "certain NetWare 6.0 Systems". Ein Patch steht auf Novells Webseiten zur Verfügung. Novell hat dazu ein eigenes Advisory veröffentlicht. Der Abruf der Seite gelingt jedoch nur sporadisch, der Server meldet manchmal, dass die Seite nicht gefunden werden konnte.

Wer den Patch nicht einspielen kann oder möchte, sollte Zugriff auf den /perl/-Handler unterbinden. Hinweise dazu finden sich in Novells Perl Dokumentation. (dab/c't)

HeiseLink

____

Auftrags-Spam oder Joe-Job?


Eine ganz besondere Spam-Welle sorgt momentan für Aufsehen in der Netz-Gemeinde: In einem angeblichen Mail-Forward preist ein Herr Wegener eine Konferenz des Frankfurter Unternehmens youmex an. Verschickt wurden die Spam-Mails wie üblich über offene Proxy-Server in verschiedenen Ländern. Es ist also kaum möglich, den tatsächlichen Absender der E-Mails zu ermitteln.

Allerdings hängt den eigentlichen Spam-Mails eine Korrespondenz an, die es in sich hat: In dem Mail-Wechsel bestellt ein Absender mit der Adresse [email protected] den Spam-Job bei einem Bulkmail-Versender mit dem Namen Bill. Für 120 US-Dollar sollten 650.000 Spam-Mails abgefeuert werden, so der aus dem Mail-Wechsel ersichtliche Auftrag. "If this job goes well, I will come with more...", stellt der deutsche Auftraggeber mit dem Namen "Kai" in Aussicht.

Bei diesem Kai handelt es sich laut Mail-Wechsel um Kai Ulrich Hartmann, einen Aufsichtsrat der youmex AG. Tatsächlich trat ein Kai Ulrich Hartmann mit der E-Mail-Adresse [email protected] im Usenet auf, wie aus einigen älteren Postings ersichtlich wird. Ob er tatsächlich Inhaber des GMX-Kontos ist, lässt sich damit freilich nicht nachweisen. Ein Account beim Bezahlsystem PayPal, der im Mail-Wechsel ebenfalls erwähnt wird, ist wirklich auf die Adresse [email protected] registriert. Führt hier also eine Panne beim Spammen dazu, dass der Auftraggeber geoutet wird?

Auf Nachfrage wies Aufsichtsrat Hartmann umgehend weit von sich, etwas mit der Spam-Aktion zu tun zu haben: "Da hat sich offensichtlich jemand einen schlechten Scherz erlaubt! Ist klar, oder?! Leicht zu sehen, dass das ein Diskreditierungs-Fake ist. Danke auch dafür...", antwortete er per E-Mail brüsk.

Nahe läge es, dass youmex umgehend Anzeige erstattet, um den angeblichen Schädiger aufzuspüren und eventuell zivilrechtlich belangen zu können. Auch auf mehrfache Nachfrage von heise online, ob youmex denn gedenke, dieses Vorgehen zu wählen, wollte man uns keine Auskunft dazu geben. Man werde "noch mal intern besprechen, ob es Sinn macht, Anzeige zu erstatten", teilte uns Hartmann am gestrigen Donnerstagabend mit. Jedenfalls sei "es nicht das erste Mal, dass Paypal-Accounts oder eBay-Accounts geknackt wurden." Was das mit dem vorliegenden Fall zu tun haben könnte, verriet er uns allerdings auch auf eine neuerliche Rückfrage hin nicht.

Ebenso verschlossen gab sich Andreas Wegerich, Vorstand der youmex AG, auf die Frage, ob Hartmann denn nun der Auftraggeber der Spam-Aktion sei: "Dazu gebe ich keinen Kommentar ab. Alles, was wir dazu gesagt haben, wird uns sowieso nicht geglaubt." Die Spam-Mail selbst sei ein "Schenkelklopfer". Ganz so schwer scheint Wegerich die ganze Sache allerdings nicht zu nehmen: "Egal, ob gut oder schlecht über uns geschrieben wird -- die Seite bekommt auf jeden Fall Klicks." (hob/c't)

HeiseLink

Aktuelle Sicherheitslücken

Code ausführbar in DirectX



Software: Microsift DirectX 5.2 bis 9.0a
Typ: Pufferüberlauf


Problem: In der DirectShow Komponente in DirectX existieren zwei ungenügend überprüfte Puffer. Die Puffer gehören zu einer Funktion die Parameter in MIDI-Files checkt.
Effekt: Ein Angreifer kann durch ein entsprechend manipuliertes MIDI-File Code mit den Rechten des Benutzers, der das MIDI-File anhört, ausfühern.
Lokal: nein
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Microsoft Patch


Veröffentlicht: 25.07.2003
Aktualisiert: 25.07.2003
Quelle: MS Security Bulletin 03-30

Aktuelle Sicherheitslücken

Meldung vom 26.07.2003 18:16

Exploit für Windows-RPC-Bug im Umlauf
Nur wenige Tage nach Erscheinen des Microsoft-Bulletins MS03-026 zu einem Fehler in Microsofts RPC-Implementierung wurden bereits erste Exploits veröffentlicht. Durch einen Pufferüberlauf kann beliebiger Code ausgeführt werden; einer der Exploits öffnet beispielsweise eine TCP-Verbindung zurück zum Rechner des Angreifers, über die dieser beliebige Kommandozeilenbefehle eingeben kann.

Der Fehler betrifft alle Windows-Versionen ab Windows NT -- einschließlich des neuen Windows Server 2003. Außerdem hat sich herausgestellt, dass er entgegen Microsofts ursprünglicher Analyse nicht nur über den TCP-Port 135 ausgenutzt werden kann; dies ist auch über den UDP-Port 135 und die TCP-Ports 139 beziehungsweise 445 möglich. Microsoft hat sein englisches Advisory bereits entsprechend ergänzt. Dort weist Microsoft auch darauf hin, dass zusätzliche Dienste, die RPC nutzen, auch auf anderen Ports aktiv sein können -- verrät aber nicht, welche das sein könnten. Auf Mailinglisten ist zu lesen, dass über den Dienst ncacn_http prinzipiell auch ein Exploit über dessen Port 593 möglich sei. Sind auf einem Server zusätzlich auch noch COM Internet Services aktiviert (nicht per default), könne ein Angreifer den verwundbaren RPC-Dienst eventuell sogar über Port 80 erreichen.

Spätestens jetzt ist es höchste Zeit, den von Microsoft bereitgestellten Patch einzuspielen. Denn Experten fragen sich eigentlich nur noch, wann der erste Wurm den RPC-Bug zur Verbreitung nutzen wird. SecurityFocus-Kolumnist Tim Mullen hat sogar schon einen Namen parat: In Anspielung auf die Entdecker des Bugs, die Hackergruppe Last Stage of Delirium (LSD), schlägt er "Mescaline" vor. (ju/c't)


Quelle :