Nachdem Microsoft im April zahlreiche Sicherheitslücken gestopft hat, war es abzusehen das ein Wurm auftauchen wird, der genau diese Lücken ausnutzt. In diesem Fall wird die Sicherheitslücke im Local Security Authority Subsystem Service (LSASS) vom Wurm "Sasser" ausgenutzt.
Einmal ausgeführt, generiert der Wurm zufällige IP-Adressen und nimmt mit diesen Kontakt auf. Findet er hinter dieser IP einen Rechner ohne aktuelle Sicherheitspatches, nutzt er einen Exploit um sich einzuschleusen und läd anschließend über Port 5554 den eigentlichen Code nach. Danach beginnt das Spiel wieder von vorn.
Betroffen sind die Betriebssysteme Windows 2000 und XP. Wie damals beim Blaster-Wurm kann es auch bei Sasser vorkommen, dass der LSA-Dienst abstürzt und deshalb ein Dialog eingeblendet wird, der darüber informiert, dass Windows in 60 Sekunden heruntergefahren wird.
Um sich zu schützen reicht es in diesem Fall aus, den Patch aus dem Security Bulletin MS04-011 zu installieren.
|