18.04.2011 15:54

MS11-020: Kommt da der nächste Wurm?

Vor mehr als zwei Jahren hatte Microsoft beim Advisory MS08-067 geschrieben, dass "crafting of a wormable exploit" möglich sei. Und recht haben sie gehabt, wie Conficker dann eindrucksvoll bewiesen hat.

Der Patch-Tuesday im April 2011 enthält auch so ein Zuckerl, nämlich MS11-020:

This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker created a specially crafted SMB packet and sent the packet to an affected system. Firewall best practices and standard default firewall configurations can help protect networks from attacks originating outside the enterprise perimeter that would attempt to exploit these vulnerabilities.

Das Internet Storm Center hat dazu folgendes geschrieben:

The Remote Code Exploit is possible without authentication, so this presents a serious risk to internal networks. Think Downadup/Conficker, or think lateral movement if that will help motivate patching.

Die SMB Ports sollten zwar auf jeder Firewall gefiltert werden, aber als Verbreitungsweg innerhalb einer Organisation klingt das ziemlich böse. Daher auch von uns die Empfehlung:

Bitte mit dem Patchen nicht länger warten, als unbedingt zum Testen nötig.

Autor: Otmar Lendl