Ein neuer Wurm nutzt die am Donnerstag gepachte Schwachstelle im RPC-Service von Windows aus.

Der Wurm ist los

Microsoft stufte die Schwachstelle zwar als 'wormable', d.h. für einen Wurm geeignet, ein, berichtete im Security Bulletin MS08-067 aber nur von gezielten Angriffen. Noch am Donnerstag wurde im Exploit-Archiv von Milw0rm ein Exploit veröffentlicht, und inzwischen ist auch der zu erwartende Wurm aufgetaucht: Gimmiv.A öffnet eine Hintertür und sammelt außerdem Informationen über verschiedene Antivirenprogramme, Systeminformationen und verschiedene Zugangsdaten, um sie dann mit AES verschlüsselt an einen Server zu schicken. Beschreibungen gibt es z.B. von F-Secure, Trend Micro und Symantec, außerdem eine Analyse von Treatexperts. McAfee nennt den Wurm Spy-Agent.da.

"Netzwerkfähiger Trojaner"

Von Treatexperts wird Gimmiv.A zwar als Wurm bezeichnet, technisch sei es aber eine Art "Netzwerkfähiger Trojaner":

What needs to be clarified here, is that the exploit MS08-067 used by Gimmiv.A allows remote code execution, which makes it potentially "wormable". Considering that the vector of attack is RPC DCOM and the code is similar to typical RPC DCOM network-aware worms, which is used against other hosts in the network, Gimmiv.A is determined in this post as a worm. However, it could technically be classified as a network-aware trojan that employs functionality of a typical RPC DCOM network-aware worm to attack other hosts in the network.

Da der angegriffene RPC-Service meist nicht aus dem Internet zugänglich ist, ist das eine sehr pfiffige Lösung: Nachden der Schädling als Trojaner einen Rechner befallen hat kann er selbständig nach weiteren Opfern im lokalen Netz suchen. Da die Datei- und Druckerfreigabe dort häufiger aktiviert sein wird, dürfte er schnell fündig finden.

Neuer Wurm mit alter Komponente

Symantec hat in einem Blog-Eintrag darauf hingewiesen, das der Wurm außerdem eine alte, in MS06-040 beschriebene Schwachstelle ausnutzt und daher schon von den dafür zuständigen IPS- und Virensignaturen aus dem Jahr 2006 erkannt wird.

FAQ

Juha-Matti Laurio hat im SecuriTeam Blog eine FAQ-Liste veröffentlicht, in der die häufigsten Fragen zur Schwachstelle samt Antworten darauf gesammelt sind.

Patchen dringend erforderlich

Nachdem nun ein Wurm los ist, ist es höchste Zeit für das Einspielen der Patches. Zwar schützt neuere Systeme die Windows-eigene Firewall, sofern sie nicht abgeschaltet wurde oder die Datei- und Druckerfreigabe aktiviert wurde, trotzdem sollte man die Gefahr nicht auf die leichte Schulter nehmen. Schon ein kleiner Konfigurationsfehler kann die Gefahr deutlich erhöhen, z.B. wenn die Firewall aus Versehen deaktiviert oder die Datei- und Druckerfreigabe an eine Internetverbindung gebunden wird.

Carsten Eilers

Weiterführende Links:
Security aktuell: Schwachstelle im RPC-Service erlaubt Ausführung beliebigen Codes (MS08-067)