Für die am Mittwoch in Windows bekannt gewordene RPC-Lücke gibt es nun einen öffentlichen Exploit. Noch am Mittwoch wies Microsoft in seinem Security Bulletin darauf hin, dass es zwar gezielte Attacken geben würde, aber der dafür benutzte Code noch nicht öffentlich sei. Allerdings böte die Lücke Potenzial für Würmer. Offenbar ist es nun auch in dieser Hinsicht soweit, denn der Wurm Gimmiv.A soll "in-the-Wild" gesichtet worden sein. Er dringt in verwundbare Rechner ein und sucht von dort aus weitere Systeme, greift sie an und infiziert sie. Immerhin gibt es schon Signaturen für einige Virenscanner und Intrusion Detection Systeme, um derartige Angriffe zu erkennen.
Die Sicherheitsspezialisten von Threatexperts haben eine nähere Analyse von Gimmiv in ihrem Blog veröffentlicht. Demnach sammelt der Wurm auf infizierten Rechnern Daten und sendet sie in verschlüsselter Form an einen Server. Was die Daten genau enthalten, ist bislang unklar.
Anwender sollten nun nicht mehr zögern, das Sicherheits-Update zum Schließen der Lücke zu installieren. Zwar schützt prinzipiell die etwa unter Windows XP SP2 integrierte und standardmäßig aktive Firewall vor Zugriffen des Wurms auf den RPC-Dienst. Allerdings schaltet Windows bei der Aktivierung der Datei- und Druckerfreigabe die notwendigen Ports für den Zugriff innerhalb von lokalen Netzen frei. Passiert beim Einrichten ein Fehler und werden die Datei- und Druckdienste versehentlich auch an eine Internetverbindung gebunden, kann der Dienst auch aus dem Internet erreichbar sein. Gewissheit verschafft ein kurzer Test auf dem c't Netzwerkcheck. Zeigt der vorkonfigurierte Windows-Test einen der Ports 135-139 oder 445 als offen an, besteht akute Gefahr.
Denn laut laut Microsoft schützt auf Windows XP und Server 2003 die Datenausführungsverhinderung (DEP) nicht vor derartigen Angriffen, da die Schwachstelle ausgerechnet in einem Code-Teil von Windows liegen soll, die nicht durch "/GS security"-Cookies geschützt sind. Mit der /GS-Option compilierte Funktionen legen beim Aufruf einen Cookie auf dem Stack ab, der beim Aufreten typischer Buffer Overflows überschrieben und somit ungültig wird. Windows hält dann das System an.
Anders sieht dies offenbar für Vista und Server 2008 aus. Dort soll die Address Space Layout Randomization das Ausnutzen der Lücke erschweren, indem Windows beim Laden eines Prozesses sowohl für den Code als auch für DLLs und Datenobjekte wie Stack und Heap nach Möglichkeit zufällige Adressen wählt. Funktionen im Exploit-Code wissen dann nicht mehr genau, wohin sie springen sollen.
Im übrigen stieß Microsoft nach eigenen Angaben erst vor rund zwei Wochen bei Untersuchungen von Angriffen auf Windows-XP-Systeme auf die Lücke. Diese soll im gleichen Code-Bereich liegen, wie ein bereits 2006 beseitigter Fehler (MS06-040) beim Parsen und Routen von RPC-Nachrichten. Damals nutzte der Wurm Vanebot/Mocbot die Lücke aus, ohne jedoch nennenswerte Verbreitung zu finden. Spekulationen zufolge soll es sich bei Gimmiv.A auch nur um eine Variante von Mocbot handeln.
Update:
Microsoft weist darauf hin, dass der Schädling auf den infizierten Systemen zwar Schadsoftware installiere, sich jedoch anscheinend nicht selbst verbreite. Deshalb sei die Verbreitung derzeit noch recht gering. Des weiteren ist Gimmiv damit aus technischer Sicht noch kein Wurm im eigentlichen Sinne, da die automatisierte Verbreitung übers Netz fehlt.
