Workaround für kritische Sicherheitslücke
Die Anzahl der betroffenen Nutzer stieg seit gestern Abend um ein Vielfaches und hat eine regelrechte Panik ausgelöst. Da heißt es Ruhe bewahren und sich einen Überblick verschaffen, denn es geistern auch Tipps durchs Netz, die nur scheinbar für Abhilfe sorgen.
Die Sicherheitslücke im Remoteprozeduraufruf (wir berichteten) ist seit gestern das Ziel einer wahren Angriffswelle geworden. Der Wurm W32.Blaster (auch bekannt als Lovesan, Poza oder msblast.exe) ist dabei nur eine Möglichkeit, wie diese Lücke ausgenutzt wird. Laut Symantec ist dessen eigentliches Ziel eine Denial-of-Service-Attacke auf windowsupdate.com zwischen dem 16. August und 31. Dezember, die dann den Update-Service von Microsoft außer Gefecht setzen soll.
Nicht nur für den Wurm sind die Infizierungsmöglichkeiten vielfältig, denn auch ohne ihn kann ein erzwungener Neustart auftreten. Neben IRC und ICQ wird auch vom Windows Media Player berichtet. Ursache bleibt aber immer die Sicherheitslücke in Windows.
Workaround:
Wenn eine Firewall installiert ist, sollte diese zunächst aktiviert werden. Besonders sollte man hier auf die Ports 135, 139 und 445 achten, diese sind verstärkt für W32.Blaster und andere Angriffe anfällig.
Am wichtigsten ist das Installieren des Patches von Microsoft:
Ist der Neustart eingeleitet worden, lässt sich dieser abbrechen, indem man „shutdown -a“ bei Start > Ausführen eingibt. Mit FixBlast von Symantec lässt sich der W32.Blaster Wurm beseitigen. Darüber hinaus sollte man Virenscanner und Windows selbstständig auf dem Laufenden halten, da mit Trittbrettfahrern zu rechnen ist.
Mancherorts wird auch empfohlen, beim Systemdienst Remoteprozeduraufruf unter Wiederherstellen die Aktion Computer neu starten ersatzlos zu deaktivieren. Dies verhindert zwar das Neustarten bei einem entsprechenden Angriff, löst jedoch nicht das Problem. Wie berichtet kann beliebiger Code auf dem betroffenen Rechner ausgeführt werden, ein Neustart ist dabei wohl eine der unkritischsten Folgen. Am Windows-Patch führt also kein Weg vorbei.