Samstag, 16. Juni 2007

Häcker erneuern Windows „MS06-040“ Angriffe

Diese frühere Verwundbarkeit kam 8. August, unter Freigabe Microsofts eine Dutzend Sicherheit der Nachrichten ans Licht. Diese enthaltenen MS06-040, die eine kritische Verwundbarkeit im Bedienerservice Windows ausbesserten. Zu der Zeit als, Sicherheit Analytiker warnten, daß die Wanze durch eine Netz-angreifende Endlosschraube ausgenutzt werden konnte, Ala MSBlast. Obgleich einige Großtaten erschienen, war ihre Auswirkung klein.

Am Donnerstag leiteten Symantec und die SANS die alarmierte Internet-Sturm-Mitte Benutzer ein, daß sie eine bedeutende Zunahme weltweit der Tätigkeit auf Tor 139, eins der zwei Tore ermittelt hatten, welchem eine Großtat gegen die Verwundbarkeit MS06-040 verwenden würde, Systeme in Angriff zu nehmen.

Die Internet-Sturm-Mitte (ISC) beschmutzte eine Hauptspitze beginnenden Tätigkeit des Tores 139 in der Sonntag, 27. Aug., während Sensor-Netz Symantecs große Zunahmen an Dienstag, an 29. Aug. und am Mittwoch, 30. Aug. notierte. Entsprechend Symantec wurden die Systeme, die Tor 139 in Angriff nehmen, auch in Angriffe auf Tor 445, die anderen wahrscheinlichen Wegangreifer miteinbezogen, die den Bedienerservice ausnutzen, würden verwenden.

„Es könnte einige Möglichkeiten für dieses geben,", sagte Lorna Hutcheson, ein Analytiker mit der ISC, in einer on-line-Anmerkung. Aber sie diskontierte frühere bots, die bald verteilt hatten, nachdem MS06-040 freigegeben wurde. „Beide wurden am 14. August erkannt, also sind sie herum für ein whileand, das dieser Upswing gerade überschuß die letzten Paare von Tagen begann," Hutcheson schrieben gewesen. Im Allgemeinen bedeutet ein Sprung in der Tätigkeit gegen eines oder mehrer von Toren Windows, daß Angreifer das Internet für verletzbare Systeme ablichten.

Analyse Symantecs war in den möglichen Ursachen des Pegging für den Uptick in der Tätigkeit des Tores 139 spezifischer.

„Eine neue Variante Spybot genannten W32.Spybot.AKNO ist entdecktes Fortpflanzen im wilden," Symantec gewesen, das in einer herausgegebenen Warnung früher Donnerstag zu den Benutzern seines DeepSight Drohung-Managementservices gesagt wird. Das BOT -- entwarf, ein System einzusickern, downloadet dann zusätzlichen böswilligen Code, um den Computer zu überfallen, also kann er als Spam Zombie oder für andere kriminelle Tätigkeiten benutzt werden -- enthält auch einen rootkit Bestandteil, addiertes Symantec. Ein rootkit ist Code, dem eine Endlosschraube oder ein BOT verbirgt, um es härter zu bilden für Anti-virus Software zu, das malware zu ermitteln und zu löschen.

„Dieses Spybot wählte dieses herauf eine Großtat MS06-040 überrascht nicht," aus, sagte David Cole, der Direktor der Mannschaft Sicherheit Symantecs Warte. „Spybot ist eins der überwiegendsten bots heraus dort. Was interessant ist, ist, daß es warf auch in rootkit Fähigkeiten."

Symantec sagte auch, daß es Reports einer Endlosschraube im wilden empfangen hatte, das die Verwundbarkeit MS06-040 verwendete, um PC laufendes Windows NT 4.0 in Angriff zu nehmen. Eine Ausgangsreport informierte vollständig Freigabe Sicherheit Adressenkartei war „extrem vage," sagte Symantec, das nicht imstande gewesen ist, den Forscher zu erreichen, der über die Endlosschraube berichtete, und also hat keinen zu überprüfen Beispielcode. Andere Forscher, die zur Voll-Freigabe schreiben, merkten, daß der böswillige Code auch erfolgreich Windows 2000systeme in Angriff nimmt.

Das neue Spybot und der Angriff gegen Windows- NTmaschinen scheinen, unterschiedlich zu sein, gesagtes Symantec. Es hat Honigtopfsysteme in den Hoffnungen des Sammelns einer Probe der neuen NT Endlosschraube entfaltet.

Windows- NTbenutzer sind zum Angriff besonders verletzbar, addierter Cole, da das gealterte Betriebssystem von der Liste Unterstützung Microsofts fallengelassen worden ist; das Redmond, Washington Entwickler stoppte, Sicherheit Verlegenheiten für NT am letzten Tag von 2004 herauszugeben.

„Hat gewesen eine Menge Tätigkeit die Verwundbarkeit MS06-040 ausnutzend," sagte Cole. „Randex, Stration, eine Anzahl von Drohungen. Einmal wird eine Großtat freigegeben, jeder kriecht, um es mit einzuschließen."

Durch Tally Symantecs setzen sechs bekannte bots die Großtat MS06-040 wirksam ein. Das war genug für den Cupertino, Calif. Sicherheit Firma, zum seiner ThreatCon Sicherheit Statusklassifizierung von „1" bis „2" am Donnerstag zu drücken.

„Es ist eine kumulative Sache,", sagte Cole und bestätigte, daß keine Großtat der Firma zu hohem sein Alarmniveau verursachte. „Die Zunahme der Infektionwinkel und der Tätigkeit auf Erscheinen des Tores 139 und 445 ist es ein Problem das allgemeine."

drängten Symantec und die ISC Benutzer, ihre Systeme mit der Verlegenheit auszubessern, die mit MS06-040 herausgegeben wurde. Wenn das Ausbessern nicht möglich ist -- oder man ist einfach nicht vorhanden, wie der Fall für Windows- NTbenutzer -- Benutzer sollten das geratene Paar filtern oder blockieren TCP Tore 139 und 445.

?The Ten Most Dangerous Mistakes YOU Probably Make With Women
Drug Detoxification