Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

4 Seiten V  « < 2 3 4  
Closed TopicStart new topic
> msblast.exe -- neuer wurm
Gast_vampire_*
Beitrag 16.08.2003, 09:06
Beitrag #61






Gäste






ZITAT(docprantl @ 15. August 2003, 20:56)
Mit einer Gasmaske können auch Grippeviren abgewehrt werden, trotzdem bevorzuge ich nur die Schutzimpfung.

HTH&HAND
docprantl

das kannst du halten wie der auf'm dach...
Go to the top of the page
 
+Quote Post
Domino
Beitrag 16.08.2003, 10:30
Beitrag #62



Schauspiel-Gott
aka Kilauea
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 7.485
Mitglied seit: 20.04.2003
Wohnort: Göttingen
Mitglieds-Nr.: 46



Laut Microsoft sind Win 95/98/ME nicht betroffen.

Macht mal Windows Update, die haben jetzt einen extra Text eingefügt. rolleyes.gif


Domino


--------------------
Keep the spirit alive.....
Go to the top of the page
 
+Quote Post
Gast_SHAKAL_*
Beitrag 16.08.2003, 11:21
Beitrag #63






Gäste






Hi, von der RPC/DCOM Schwachstelle ist Win98/ME nicht betroffen, jedoch die Nachkömmlinge und auch andere Systeme!
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 16.08.2003, 11:23
Beitrag #64






Gäste






Dann solltest Du Deinen Text ändern. Dort steht:

ZITAT
Details: Der W32.Blaster hat sich mittels einer Sicherheitslücke im RPC Dienst frei verbreiten können über alle WindowsME/XP/2000/Server2003 Rechner, die nicht mit einem Patchwork versehen waren und kein Sicherheitspatch entsprechend installiert hatten.


Und was meinst Du mit "Nachkömmlingen" und anderen "Systemen"?

Microsoft hat dazu eine eindeutigere Meinung:

ZITAT
Your computer is not vulnerable to the Blaster Worm if either of these conditions apply to you:

If you have already downloaded and installed the security update that was addressed by Security Bulletin MS03-026. The MS03-026 update will not be listed on Windows Update in this case.

If you are using Microsoft Windows 95, Windows 98, Windows 98 Second Edition (SE), or Windows Millennium (Windows Me).
Go to the top of the page
 
+Quote Post
forge77
Beitrag 16.08.2003, 11:25
Beitrag #65



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 439
Mitglied seit: 10.06.2003
Mitglieds-Nr.: 102



ZITAT
Mit einer Gasmaske können auch Grippeviren abgewehrt werden, trotzdem bevorzuge ich nur die Schutzimpfung.

Ein gar nicht mal schlechter Vergleich, wenn auch vielleicht nicht so ganz in deinem Sinne... wink.gif

Wie sicherlich bekannt ist, kann eine Grippe-Impfung nur gegen bestimmte Viren-Mutationen helfen, aber längst nicht gegen alle, zumal immer wieder neue Arten auftauchen.

Ähnlich verhält es sich mit Exploits und Patches, vgl z.B.:
http://lists.insecure.org/lists/bugtraq/20...3/Jul/0103.html

Um sicherer zu gehen, muss also offenbar eine "radikalere" Lösung (Gasmaske) her. rolleyes.gif
Im Computer-Bereich wäre in diesem Fall die Deaktivierung des RPC-Dienstes sicherlich die beste Lösung, was leider aber auf vielen Systemen (z.B. im LAN) nicht problemlos funktioniert...
Folglich muss irgendeine Lösung her, die den Dienst 'unerreichbar' macht - und je nach Investitionsbereitschaft des Users bietet sich dafür nunmal prinzipiell eine PFW an... wink.gif

Aber dass eine PFW grundsätzlich ähnlich 'eingeschränkten Benutzerkomfort' wie eine Gasmaske bietet, würde ich nicht gerade behaupten (kommt aber vor, siehe die ZA-/Norton-Hilferufe in vielen Foren...) wink.gif


--------------------
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Go to the top of the page
 
+Quote Post
docprantl
Beitrag 16.08.2003, 11:50
Beitrag #66



Netzwerkrouter
Gruppensymbol

Gruppe: Freunde
Beiträge: 1.792
Mitglied seit: 22.04.2003
Mitglieds-Nr.: 52

Betriebssystem:
Windows



Leider läßt sich der RemoteProcedureCall nicht wirklich deaktivieren, da sehr viele Windowsfunktionen darauf zurückgreifen. DCOM hingegen läßt sich problemlos abschalten.

Die Schwachstelle im RPC ist angeblich seit Dezember bekannt, den Patch hingegen gab es erst seit Mitte Juli. Wer einen Paketfilter laufen hat oder noch besser einen DSL-/ISDN-Router verwendet, wäre in jedem Fall auf "der sicheren Seite" gewesen, im wahrsten Sinne des Wortes. wink.gif Zumal dieser auch als Workaround gegen andere Schwachstellen hilft.

Solange der (versierte) Anwender nicht leichtsinnig wird, ist auch gegen eine PFW nichts einzuwenden. rolleyes.gif

ciao
Go to the top of the page
 
+Quote Post
Domino
Beitrag 16.08.2003, 11:57
Beitrag #67



Schauspiel-Gott
aka Kilauea
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 7.485
Mitglied seit: 20.04.2003
Wohnort: Göttingen
Mitglieds-Nr.: 46



Mit dem Unterschied das ein Router nicht das Betriebssystem versaut. rolleyes.gif


Domino


--------------------
Keep the spirit alive.....
Go to the top of the page
 
+Quote Post
Gast_SHAKAL_*
Beitrag 16.08.2003, 12:18
Beitrag #68






Gäste






Ähm, bei mir steht:

Betroffen hiervon dann bereits weitere Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP.

;P
Go to the top of the page
 
+Quote Post
forge77
Beitrag 16.08.2003, 14:14
Beitrag #69



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 439
Mitglied seit: 10.06.2003
Mitglieds-Nr.: 102



ZITAT
Leider läßt sich der RemoteProcedureCall nicht wirklich deaktivieren, da sehr viele Windowsfunktionen darauf zurückgreifen. DCOM hingegen läßt sich problemlos abschalten.

Ja, stimmt natürlich, der komplette RPC-Dienst lässt sich nicht einfach beenden - das ist unter WinXP manuell (unter "Dienste") gar nicht möglich, und wenn man es doch irgendwie schafft (z.B. per RPC-Exploit... biggrin.gif ) kommt das neckische 'noch 60 sek.'-Fenster...
Mit DCOM (afaik der durch den aktuellen RPC-Exploit 'anfällige' Teil, und auch für den offenen Port 135 verantwortlich) hatte ich bisher so meine Probleme - hab es jetzt aber doch geschafft, DCOM zu beenden und damit Port 135 zu schließen, ohne dass bisher negative Nebenwirkungen aufgetreten sind... von daher nehme ich meine Bedenken gegen das Schließen von Port 135 vorläufig zurück... smile.gif

Anders sieht es dagegen mit Port 445 aus, den man u.U. wirklich nicht problemlos schließen kann. Laut M$ kann der Exploit auch über diesen Port laufen:
ZITAT(http://support.microsoft.com/?kbid=823980)
To exploit this vulnerability, the attacker must be able to send a specially crafted request to port 135, port 139, port 445, or any other specifically configured RPC port on the remote computer.

Ob das Problem durch die Deaktivierung von DCOM für _alle_ Ports beseitigt ist? rolleyes.gif


ZITAT
Die Schwachstelle im RPC ist angeblich seit Dezember bekannt, den Patch hingegen gab es erst seit Mitte Juli.

Schon schlimm genug... darüberhiaus beheben die Patches wie gesagt nicht mal alle Schwachstellen, vgl. z.B. o.g. Link sowie folgende Anmerkung von F-Secure:
ZITAT(http://www.europe.f-secure.com/v-descs/msblast.shtml)
Note: you might see a similar error message on Windows 2003 too. Also, this might happen on Windows XP and 2003 even if you've applied the right patches. However, the machine won't get infected in these cases - just rebooted.

Deshalb meine Skepsis gegenüber dem Verlassen auf Patches (Grippe-Impfungen)... wink.gif
Aber im Prinzip sind wir uns da ja einig. smile.gif


--------------------
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Go to the top of the page
 
+Quote Post

4 Seiten V  « < 2 3 4
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 07:15
Impressum