Informationen zum Sasser-Wurm (Mai 2004)

Samstag, 8.5.2004: Sasser-Autor verhaftet, Info: Heise, ARD-Tagesschau, Reuters, Spiegel

Am 13. April 2004 wurden von der Fa. Microsoft im Security Bulletin MS04-011 besonders kritische Sicherheitslücken in den NT-basierenden Windows-Betriebssystemen bekannt gegeben, die im Angriffsfall - in Analogie zum Blaster-Wurm vor etwa 9 Monaten - eine ferngesteuerte Ausführung von Code ermöglichen. Updates zur Behebung dieser Sicherheitslücken wurden über Links im Bulletin MS04-011 sowie über WindowsUpdate zeitgleich bereitgestellt. Über unseren hausinternen WindowsUpdate-Service wurden die Korrekturen ab 14. April 2004 verteilt.

Fast wie erwartet wurde eine der im Bulletin MS04-11 beschriebenen, besonders gefährlichen Sicherheitslücken (LSASS Vulnerability, CAN-2003-0533) in bösartiger Weise ausgenutzt: Seit dem 30. April/ 1. Mai 2004 ist der Sasser-Wurm in mehreren Varianten in Umlauf, welcher ungeschützte PCs mit dem Betriebssystem Windows 2000 und XP - in Analogie zum Blaster Wurm - ohne Zutun des Benutzers (d.h. ohne Öffnen eines Email-Attachements etc.) befällt und sich mit hoher Geschwindigkeit verbreitet. In PC-Betriebssysteme-Aktuell wurde vor Sasser seit Sonntag, den 2. Mai 2005 gewarnt.

Der Angriff erfolgt bei Sasser über die TCP/IP-Ports 139/445, es wird in einer der Windows-Systemdateien (LSASRV.DLL) ein Pufferüberlauf erzeugt und der bösartige Code, welcher den eigentlichen Wurm nachlädt, direkt im Speicher (auf dem Stack) ausgeführt. Gegen diese Art von Angriffen (vergleiche: Blaster-Wurm) sind alle gängigen Virenscanner machtlos sind, sie erkennen den Wurm erst, wenn es zu spät ist und er als Datei auf die Festplatte gespeichert wurde, d.h. bereit aktiv ist.

Hatte man gehofft, dass Benutzer von Windows-Systemen durch den Blaster-Wurm vor etwa 9 Monaten sensibilisiert sind und rechtzeitig vorbeugen, ihre PCs rechtzeitig vor derartigen Angriffen schützen, so zeigte die starke Verbreitung von Sasser und die dadurch verursachten Störungen auch in unserem Datennetz, dass dem leider nicht so ist: Die einschlägigen Sicherheitsempfehlungen für Windows werden immer noch nicht ernst genommen, sicherheitmäßig nicht aktuelle bzw. nicht ausreichend geschützt Windows-PCs an das Datennetz der Universität angeschlossen etc.

Wie konnte sich Sasser im Datennetz der Universität Regensburg verbreiten?

Da unser hausinternes Netzwerk (Wissenschaftsnetz etc.) von und zum Internet hin Schutzfilter aufweist, welche die von Sasser verwendeten "Angriffs-Ports" sperren, kann - wie beim Blaster-Wurm - mit nahezu 100-prozentiger Sicherheit davon ausgegangen werden, dass die Sasser-"Einspeisung" intern, d.h. über einen verseuchten PC, der an das interne Datennetz angeschlossen wurde, erfolgte.

Dazu genügt ein einziger ungeschützter PC mit Windows 2000 oder XP, der zwischenzeitlich an an einem anderen Netzwerk (nicht im Datennetz der Universität Regensburg) betrieben wurde, vom Sasser-Wurm infiziert wurde und anschließend an das Datennetz der Uni Regensburg per LAN- oder WLAN-Verbindung angeschlossen wurde. Die Wahrscheinlichkeit ist hoch, dass dies durch den Anschluss eines privaten Rechner geschehen ist und die in den Regeln zur Nutzung privater Rechner am Datennetz der Universität unter Punkt 8 genannte Bedingung: Der Betreiber ist verpflichtet, das Betriebssystem und die benutzten Programme auf seinem Rechner stets auf dem aktuellen Sicherheitsstand zu halten, damit bekannte Schwachstellen nicht von Angreifern ausgenutzt werden können und so der Rechner nicht zu einer Gefahr für andere Rechner im Datennetz wird missachtet wurde.

Wie beugt man Angriffen vom Type Sasser, Blaster etc. vor?

Ein Direkt-Angriff vom Typ Sasser etc. ist nur dann möglich, wenn entweder Sicherheitslücken des verwendeten Windows-Betriebssystems nicht korrigiert sind oder kein Firewall auf den Client-PCs verwendet wird, welcher die zum Angriff benötigten TCP/IP Ports sperrt. Um z.B. Sasser den Angriff zu ermöglichen, mussten/müssen beide Punkte erfüllt sein: Die genutzten Netzwerkverbindung war/ist über keinen Client-Firewall geschützt und das Sicherheitsupdates kb835732 war/ist nicht installiert.

In unseren Windows 2000/XP Standardinstallationen zum Betrieb von PCs innerhalb des Datennetzes der Uni Regensburg ist - wie bei privaten out-of-the-box Windows XP Installationen - standardmäßig bisher kein Client-Firewall für LAN/WLAN-Verbindungen installiert bzw. bei Windows XP aktiviert, weil eine Beeinträchtigung von Nutzdiensten nicht zu 100% ausgeschlossen werden kann. Der einzige Schutz dieser PCs besteht daher in der zuverlässigen Installation der aktuellen Windows-Updates, wofür wir seit über einem Jahr den hausinternen, automatischen Windows-Update-Service anbieten.

Nachdem die Einspeisung solcher Würmer/Vandalen im internen Datennetz der Universität Regensburg momentan technisch nicht verhindert werden kann (ohne die Nutz-Funktionalität des Netzwerks einzuschränken), bitten wir nochmals eindringlich, folgenden Vorbeuge-Maßnahmen unbedingt zu beachten.

Für "gut gepflegte", dauerhaft am Datennetz der Universität Regensburg angeschlossene, PCs sind die bisherigen Empfehlungen weiterhin gültig: Aktivieren Sie zuverlässige den hausintern angebotenen WindowsUpdate-Service (Start -> Ausführen RZWU) und - falls die nicht die automatische Betriebsart wählen - nehmen Sie alle ausgelieferten/angebotenen Updates zuverlässig an.
Für alle anderen PCs, Notebooks, private PCs in CIP-Pools, Wohnheimen, über WLAN angeschlossene PCs, sowie bei allen Geräten, bei denen der aktuelle WindowsUpdate-Stand nicht zuverlässig eingehalten werden kann, aktivieren Sie bitte unter Windows XP den standardmäßig verfügbaren Firewall für die LAN- oder WLAN-Verbindung zum Uni-Datennetz.
Wie sie unter Windows XP den Internet-Verbindungsfirewall aktivieren, ist in der online Hilfe (Start -> Hilfe und Support) genau beschrieben
Bei unseren dienstlichen Windows XP Standardinstallationen ist die Netzwerkkonfiguration aus Sicherheitsgründen auch für Administratoren über eine Policy gesperrt. RZ-Personal, InfoStand-Mitarbeiter und alle Workgroupmanager können den WinXP- Firewall ohne Änderung der Policies für alle Netzwerkverbindungen durch das Kommando ICFUTIL /ENABLE aktivieren. Das Tool ICFUTIL.EXE ist unter dem Pfad F:\SYSTEMSW\policies\WinXP verfügbar.

Beachten Sie bitte auch folgenden "Sonderfall": Ein dienstlicher PC ist mit WindowsUpdate versorgt, wird jedoch nicht regelmäßig eingeschaltet bzw. mit Windows betrieben. Das Sasser-Wurm erschien diesmal etwa 16 Tage, nachdem die Sicherheitslücke bekannt gegeben und ein Update bereitgestellt wurde. Wurde der PC innerhalb dieser 16 Tage nicht eingeschaltet (auch z.B. infolge Urlaub etc.), konnte Sasser den PC beim Einschalten nach dem 30. April 2004 infizieren, noch bevor das erforderliche Update automatisiert über das Netzwerk installiert werden konnte.
Ein Schutz ist in diesem Fall auf zwei Arten möglich: Aktivierung des in Windows XP enthaltenen Firewalls (unter Inkaufnahme reduzierter Netzwerkfunktionalität, unsere Standard-Netzdienste sind allerdings auch bei aktiviertem Firewall voll funktionsfähig) oder offline-Installation kritischer Updates (ohne Datennetzverbindung) nach längerem "Ausschalten" des PCs.

Download des Hotfix KB837532 (Schutz vor Sasser) für manuelle Installation

	Deutsch	US-Englisch
Windows XP	WindowsXP-KB835732-x86-DEU.EXE	WindowsXP-KB835732-x86-ENU.EXE
Windows 2000 (ab SP2)	Windows2000-KB835732-x86-DEU.EXE	Windows2000-KB835732-x86-ENU.EXE

Allgemeine Informationen zum Schutz von PCs (unter Windows 2000/XP) vor Viren/Würmern/Vandalen etc. finden sie auf unserer Seite Sicherheit unter Windows 2000/XP.

Details zu Sasser-Wurm, "Entwurmung" befallener PCs

Detaillierte Informationen zum Sasser-Wurm finden sie bei Microsoft unter What You Should Know About the Sasser Worm and Its Variants (dort ist auch ein Tool zur "Entwurmung" verfügbar), unter PSS Security Response Team Alert - Sasser Worm and Variants (mit Links zu den Antivirenprogrammherstellern), in deutscher Sprache unter Informationen zum Wurm Sasser und seinen Varianten, bei Heise unter Wurm Sasser dringt über Windows-Sicherheitslücke ein.
Aktuelle Berichte bei Heise: Informationen zum Schutz vor Sasser (3.5.2004), Informationen aus dem BSI (3.5.2004), Weitere Informationen zu Sasser-Würmern (4.5.2004), Sasser: Phatbot als blinder Passagier (5.5.2004).

Unser Sophos-Virenscanner kann die bisherigen Sasser-Varianten wohl erkennen (keine Gewähr für kommende "Abarten"!), den Wurm jedoch nicht entfernen.

Sie können Sasser z.B. mit dem bei Microsoft angebotenen Tool (KB841720) entfernen, dieses Tool und weitere Informationen sind auch auf allen weitere MS-Seiten zum Thema Sasser (z.B. Informationen zum Wurm Sasser und seinen Varianten) verfügbar.

Die manuelle "Bereinigung" ist für erfahrene Anwender (Workgroupmanager, Betreuer etc.) selbstverständlich ebenfalls möglich, hier eine Kurzanleitung:

Entfernen Sie den befallenen Computer vom Netz
Killen Sie in der Prozessliste (Taskmanager) den Wurm-Prozess.
Entfernen Sie den Wurm-Start in der Registry und löschen sie die Wurm-Datei(en)
Aktivieren Sie (evtl. temporär) den Firewall in Windows XP.
Stellen Sie, erst nachdem der Wurm entfernt und der Firewall aktiviert ist, die Netzwerkverbindung her.
Installieren Sie alle fehlenden Windows-Updates (WindowsUpdate).

Wichtig: Hat sich der Wurm im Systemwiederherstellungsbereich eingenistet (z.B. Meldung von Sophos), müssen sie zusätzlich die Systemwiederherstellung temporär deaktivieren (und hinterher wieder aktivieren). Das Verfahren hierzu ist der der Windows XP online-Hilfe beschrieben.

Wichtiger Nachtrag (7.5.2004): Inzwischen existieren Sasser-Nachahmungen und "blinde Passagiere", die weitaus gefährlicher als das "Original" sind: Richteten die anfänglichen Sasser-Varianten noch keine Schaden am Computer an (jedoch wurden Hintertüren für neue Würmer/Viren geöffnet!), so scheint es inzwischen neue Varianten bzw. andere Viren/Würmer (die durch von Sasser eröffnete Hintertüren eingeschleust werden) zu geben, welche Systemdienste stilllegen (kein WindowsUpdate mehr möglich), Virenscanner deaktivieren etc.
Ist Ihr Computer durch derartige Schädlinge in unklarer Weise verändert, ist eine System-Neuinstallation der sauberste und vor allem sicherste Weg, den Wurm/Virenbefall loszuwerden.

Wolfram Oestreicher, 6.5.2004, 7.5.2004