Microsoft-Sicherheitsempfehlung (899588)

Sicherheitsanfälligkeit in Plug-and-Play kann Remotecodeausführung und Erhöhung von Berechtigungen ermöglichen.

Veröffentlicht: 11. Aug 2005 | Aktualisiert: 17. Aug 2005

Microsoft warnt vor dem Wurm „Worm:Win32/Zotob.A“ und seinen Varianten, die sich derzeit im Internet verbreiten. Der Wurm attackiert Computer, auf denen das Betriebssystem Windows 2000 installiert ist. Hierfür nutzt er eine Sicherheitsfälligkeit aus, die im Microsoft Security Bulletin MS05-039 vom 9. August 2005 beschrieben ist. Zotob und seine Varianten installieren auf attackierten Systemen so genannte Malware (böswillige Software) und suchen dann nach anderen infizierbaren Computern.

Wenn Sie das mit dem Security Bulletin MS05-039 veröffentlichte Sicherheitsupdate installiert haben, sind Sie vor einem Angriff durch Zotob und seine Varianten geschützt. Zotob attackiert ausschließlich Windows 2000-Systeme, d.h. für jede andere unterstützte Windows-Version besteht keine Gefahr. Laut Untersuchungen im Rahmen des Software Security Incident Response Process von Microsoft sind derzeit nur sehr wenige Kunden von Zotob betroffen. Unsere Sicherheitsexperten stehen in direktem Kontakt mit diesen Kunden, um das Problem gemeinsam zu lösen. Es gibt derzeit keine Indizien für eine massenhafte Verbreitung von Zotob über das Internet. Falls Sie von Zotob betroffen sind, wenden Sie sich an Ihre örtliche Polizeidienststelle.

Informationen dazu, wie Sie feststellen können, ob Ihr System mit diesem Wurm infiziert ist, finden Sie auf der Webseite Das sollten Sie über Zotob wissen oder in den unter "Übersicht" genannten Einträgen in der Malicious Software Encyclopedia von Microsoft. Hier stehen Ihnen auch Erläuterung zur Wiederherstellung infizierter Systeme zur Verfügung. Zudem hat Microsoft eine aktualisierte Version des Tools zum Entfernen böswilliger Software zur Verfügung veröffentlicht, die Sie beim Schutz vor Zotob unterstützt.

Andere Versionen von Windows wie Windows XP Service Pack 2 oder Windows Server 2003 sind nicht von Worm:Win32/Zotob.A, seinen Varianten oder ähnlichen Würmern, die die im Microsoft Security Bulletin MS05-039 beschriebene Sicherheitsanfälligkeit auszunutzen versuchen, betroffen. Sie können sich vor jedem Angriff, der auf diese Sicherheitsanfälligkeit abzielt, schützen, indem Sie das im Microsoft Security Bulletin MS05-039 bereitgestellte Sicherheitsupdate installieren.

Microsoft ist enttäuscht, dass gewisse Sicherheitsforscher die branchenübliche Praxis verletzt haben, indem sie so kurz vor der Updateveröffentlichung Daten bezüglich einer Sicherheitsanfälligkeit zurückgehalten und Angreifercode veröffentlicht haben, der eine potenzielle Gefahr für Computerbenutzer darstellt. Wir fordern Sicherheitsforscher weiterhin dazu auf, Informationen bezüglich Sicherheitsanfälligkeiten verantwortungsbewusst offen zu legen und Benutzern Zeit für die Bereitstellung von Updates zu gewähren. Andernfalls könnten sie Kriminelle dabei unterstützen, softwarebezogene Sicherheitsanfälligkeiten auszunutzen.

Schadensbegrenzende Faktoren:

•	In erster Linie sind Windows 2000-Systeme von dieser Sicherheitsanfälligkeit betroffen. Benutzer von Windows 2000, die das Sicherheitsupdate MS05-039 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Falls ein Administrator anonyme Verbindungen deaktiviert hat, indem er die Standardeinstellung für den Registrierungsschlüssel RestrictAnonymous auf den Wert 2 geändert hat, können Windows 2000-Systeme ebenfalls nicht remote durch anonyme Benutzer angegriffen werden. Beachten Sie allerdings, dass durch diese Änderung des genannten Registrierungsschlüssels unter Umständen Kompatibilitätsprobleme bei einigen Anwendungen auftreten können. Wir empfehlen deshalb, diese Änderung höchstens dann in einer Produktionsumgebung vorzunehmen, wenn Sie zuvor ausführliche Tests unternommen haben. Weitere Informationen zu RestrictAnonymous finden Sie auf der Website Microsoft Hilfe und Support.
•	Windows XP Service Pack 2 und Windows Server 2003 sind zwar nicht die aktuellen Ziele dieses Angreifercodes; dennoch ist zu beachten, dass ein Angreifer gültige Anmeldeinformationen benötigt und sich lokal anmelden muss, um diese Sicherheitsanfälligkeit auszunutzen. Unter Windows XP Service Pack 2 und Windows Server 2003 kann die Sicherheitsanfälligkeit nicht per Remotezugriff von anonymen Benutzern oder Benutzern mit standardmäßigen Benutzerkonten ausgenutzt werden. Benutzer mit Administratorrechten können jedoch per Remotezugriff auf die betroffene Komponente zugreifen. Selbst wenn ein Administrator die Standardeinstellung des Regisitrierungsschlüssels RestrictAnonymous geändert und dadurch anonyme Verbindungen aktiviert hat, sind Windows XP Service Pack 2 und Windows Server 2003 nicht für einen Remoteangriff anfällig – jedenfalls nicht, wenn dieser Angriff von anonymen Benutzern ausgeht bzw. von Benutzern, die lediglich Standardrechte besitzen. Benutzern mit Administratorrechten steht die betroffene Komponente jedoch zur Verfügung.
•	Windows XP Service Pack 1 ist zwar nicht das aktuelle Ziel dieses Angreifercodes; dennoch ist zu beachten, dass ein Angreifer gültige Anmeldeinformationen benötigt, um diese Sicherheitsanfälligkeit ausnutzen zu können. Die Sicherheitsanfälligkeit kann nicht per Remotezugriff von anonymen Benutzern ausgenutzt werden. Benutzer mit standardmäßigen Benutzerkonten unter Windows XP Service Pack 1 können jedoch per Remotezugriff auf die betroffene Komponente zugreifen. Der vorhandene Angreifercode ist nicht dafür ausgelegt, die erforderliche Authentifizierung bereitzustellen, um dieses Problem bei diesen Betriebssystemen auszunutzen. Selbst wenn ein Administrator die Standardeinstellung des Regisitrierungsschlüssels RestrictAnonymous geändert und dadurch anonyme Verbindungen aktiviert hat, ist Windows XP Service Pack 1 nicht für einen Remoteangriff durch anonyme Benutzer anfällig.
•	Windows 98, Windows 98 SE und Windows Millennium Edition sind von diesem Problem nicht betroffen.

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Benachrichtigung über aktive Angriffe auf Benutzer und die Verfügbarkeit eines Sicherheitsupdates zum Schutz vor dieser potenziellen Sicherheitsbedrohung.

Status der Empfehlung: Die Empfehlung wurde veröffentlicht. Da dieses Problem bereits im Security Bulletin MS05-039 behandelt wird, ist kein zusätzliches Update erforderlich.

Empfehlung: Wir empfehlen Benutzern, das Sicherheitsupdate MS05-039 zu installieren, um sich vor dieser Sicherheitsanfälligkeit zu schützen.

Referenzen	Identifizierung
Referenzen zur Sicherheitsanfälligkeit
CVE-Referenz	CAN-2005-1983
Sicherheitsbulletin	MS05-039
Weitere Informationen zu Zotob
Zotob-Webseite von Microsoft	Das sollten Sie über Zotob wissen
Microsoft Malicious Software Encyclopedia	Worm:Win32/Zotob.A, Worm:Win32/Zotob.B, Worm:Win32/Zotob.C, Worm:Win32/Zotob.D, Worm:Win32/Zotob.E, Worm:Win32/Esbot.A, Worm:Win32/Rbot.MA, Worm:Win32/Rbot.MB, Worm:Win32/Rbot.MC, Bobax.O
Symantec	W32.Zotob.A, W32.Zotob.B, W32.Zotob.D, W32.Zotob.E, W32.Zotob.G
F-Secure	Zotob.A, Zotob.B, Zotob.C, Bozori.A, Bozori.B, Bozori.C
McAfee	W32/Zotob.worm, W32/Zotob.worm.b, W32/Zotob.worm.c, W32/Bozori.worm.b, W32/IRCbot.worm!MS05-039, W32/Sdbot.worm!MS05-039, W32/Sdbot.worm!51326

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 für Itanium-basierte Systeme
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)

Top of section

Häufig gestellte Fragen (FAQ)

Was genau umfasst diese Empfehlung?
Microsoft warnt vor dem Wurm „Worm:Win32/Zotob.A“ und seinen Varianten, die sich derzeit im Internet verbreiten. Der Wurm attackiert Computer, auf denen das Betriebssystem Windows 2000 installiert ist. Hierfür nutzt er eine Sicherheitsfälligkeit aus, die im Microsoft Security Bulletin MS05-039 vom 9. August 2005 beschrieben ist. Zotob und seine Varianten installieren auf attackierten Systemen so genannte Malware (böswillige Software) und suchen dann nach anderen infizierbaren Computern.

Ist dies eine Sicherheitsanfälligkeit, für die ein zusätzliches Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Benutzer von Windows 2000, die das Sicherheitsupdate MS05-039 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Wodurch wird diese Bedrohung verursacht?
Einen ungeprüften Puffer im Plug-and-Play-Dienst. Weitere Einzelheiten zu dieser Sicherheitsanfälligkeit finden Sie im Security Bulletin MS05-039.

Was kann ein Angreifer über diese Funktion erreichen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerberechtigungen erstellen.

Top of section

Empfohlene Maßnahmen

•	Überprüfen Sie Ihren Computer auf eine Zotob-Infektion und entfernen Sie den Wurm. Sie können das Tool zum Entfernen böswilliger Software verwenden, um auf Ihrem Computer nach Zotob oder seinen Varianten zu suchen und diese zu entfernen.
•	Installieren Sie das Sicherheitsupdate MS05-039, um sich vor dieser Sicherheitsanfälligkeit zu schützen. In erster Linie sind Windows 2000-Systeme von dieser Sicherheitsanfälligkeit betroffen. Benutzer, die das Sicherheitsupdate MS05-039 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
•	Kunden, die befürchten, angegriffen worden zu sein, können sich an das örtliche FBI-Büro wenden oder ihre Beschwerde auf der Website Internet Fraud Complaint Center melden. Kunden außerhalb den USA können sich an die nationale Strafverfolgungsbehörde ihres Landes wenden.
•	Kunden in den USA und Kanada, die denken, Sie könnten von dieser potenziellen Sicherheitsanfälligkeit betroffen sein, erhalten bei Microsoft Product Support Services unter 1-866-PCSAFETY technischen Support. Supportanfragen zu Sicherheitsupdates und Viren sind kostenlos. Kunden außerhalb Nordamerikas erhalten über die auf der Website Hilfe und Support – Sicherheit zu Hause beschriebenen Wege Support. Alle Kunden sollten die von Microsoft veröffentlichten aktuellen Sicherheitsupdates installieren, um sicherzustellen, dass ihre Systeme vor Sicherheitsanfälligkeiten geschützt sind. Kunden, die die automatischen Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates erhalten Sie auf der Website Microsoft TechNet Sicherheit.
•	Schützen Sie Ihren PC Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website „Schützen Sie Ihren PC“.
•	Windows auf aktuellen Stand halten Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computer zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatischen Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Top of section

Ressourcen:

•	Sie können uns über das Formular auf folgender Website Ihr Feedback zukommen lassen.
•	Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf internationale Supportfragen kontaktieren können, finden Sie auf der International Support-Website.
•	Die Website Microsoft TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Verzichtserklärung:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	11. August 2005: Empfehlung veröffentlicht
•	14. August 2005: Empfehlung aktualisiert, um Benutzer darauf hinzuweisen, dass Microsoft derzeit intensiv einen schädlichen Wurm untersucht, der als „Worm:Win32/Zotob.A“ identifiziert wurde. Anleitungen zum Schutz vor dem Wurm zur Verfügung gestellt.
•	15. August 2005: Empfehlung aktualisiert, um zusätzliche Varianten von Worm:Win32/Zotob.A zu dokumentieren. Informationen zur Bearbeitung des Registrierungsschlüssels RestrictAnonymous eingefügt.
•	16. August 2005: Empfehlung aktualisiert, um weitere neue Varianten von Worm:Win32/Zotob.A zu dokumentieren. Informationen zum Fortgang der derzeit laufenden Untersuchungen eingefügt.
•	17. August 2005: Empfehlung aktualisiert, um weitere Informationen zu Varianten von Worm:Win32/Zotob.A zur Verfügung zu stellen. Zudem wird auf eine aktualisierte Version des Tools zum Entfernen böswilliger Software hingewiesen, die Sie beim Schutz vor Zotob unterstützt.

Zum Seitenanfang