|
Sasser-Wurm: Kleine Ursache, große Wirkung Veröffentlicht am: 04.05.2004 17:17:18 Eine kleine Sicherheitslücke, von Microsoft dokumentiert und auch gleich mit einem Patch versehen, sorgt nicht nur für Unmut bei den PC-Anwendern, sondern auch für Chaos und Hektik in den IT-Abteilungen. Der Sasser-Wurm zeigt wieder deutlich auf, wie gut oder schlecht Unternehmen auf Attacken aus dem Internet vorbereitet sind. Wie schon sein berühmter Vorgänger Blaster ist auch Sasser wieder ein Internetwurm, der sich ohne Aktivität des Anwenders verbreitet. Allein eine ungesicherte Verbindung zum Internet reicht aus um alle Rechner, die noch nicht den seit 13. April bereitstehenden Patch zur Sicherheitslücke LSASS (Local Security Authority Subsystem Service) in Windows XP, 2000, 2003 Server eingespielt haben. „In Europa zeigt Sasser derzeit die höchste Verbreitung“, erklärt Michael Hoos, Sicherheitsexperte von Symantec. „Wir beobachten schon seit einiger Zeit, dass Schwachstellen immer schneller ausgenutzt werden. Das Aufspielen von Sicherheitsupdates wird daher immer wichtiger, um Computersysteme frei von Schadprogrammen zu halten.“ Obwohl man Sasser mit einer normalen Firewall den Garaus machen kann, verschaffte sich der Wurm über infizierte Laptops dennoch Zugang zu verschiedensten Firmennetzwerken und zeigt damit ganz deutlich, was wir vom WCM im Rahmen unseres Sicherheitsschwerpunktes bereits mehrere Maile betont haben. Sicherheit endet nicht hinter der Firewall, sondern beginnt dort erst. Eine gute Perimetersicherheit ersetzt nicht das Einspielen von Patches bzw. mehrstufige Firewallkonzepte. Gewütet hat Sasser laut Medienberichten am Flughafen Wien-Schwechat (eine Anzeigetafel fiel vorübergehend aus) und im Verwaltungsnetzwerk der ÖBB. Bei der deutschen Bank hat zwar Sasser nicht zugeschlagen, aber aufgrund einer Panikreaktion wurden die Firewalls zu restriktiv konfiguriert, wodurch man am Automaten kein Geld mehr abheben konnte. Im Sog von Sasser kommen nun auch andere Schädlinge wieder zum Zug. So versucht der E-Mail-Wurm Netsky.AC, die Sorge vor Wurmangriffen auszunutzen und tarnt sich unter anderem als Removal-Tool für Sasser.B, während die vierte Version von Sasser – Sasser.D – mittels Massen von Pings (ICMP Echo-Requests) nach anderen System sucht und zu großen Netzwerklasten und damit instabilen Routern führt. Obwohl Microsoft zeitgerecht vor derartigen Würmern gewarnt hatte, haben anscheinend viele Administratoren diese Warnung nicht ernts genug genommen. Um nun den Schaden zu mindern, hat Microsoft zwei Scripts für den Microsoft Internet Security and Acceleration (ISA) Server veröffentlicht. Diese können in Netzwerken, in denen ISA Server 2000 oder ISA Server 2004 im Einsatz ist, genutzt werden und blockieren gezielt jeden Traffic, der mit dem Sasser-Wurm im Zusammenhang steht. Die Scripts sowie weitere Informationen zu ihrer Verwendung sind unter http://isatools.org/ verfügbar. Weiters stellen die meisten Anbieter von Sicherheitstoosl mittlerweile auch Sasser-Entferner zur Verfügung und auch Microsoft bietet ein enstprechendes Tool an, das aber als Vorbedingung den installierten Patch 835732 (MS04-011) erwartet. Microsoft: W32.Sasser.worm und Varianten Sasser.A and Sasser.B Worm Removal Tool (KB841720) WCM: Sasser-Wurm legt Unternehmen lahm Martin Leyrer |