Windows-Rechner werden meist über RPC angegriffen

Microsoft hat in einem Technet-Blogeintrag Angriffe ausgewertet, die auf einen ungeschützten Windows-Rechner verübt wurden. Dazu stellte der Softwarehersteller einen Rechner im European Operations Center in Dublin ins Netz.

Die meisten Angriffe kamen aus Rumänien, gefolgt von China, USA, Deutschland, Frankreich und Russland. Die Auswertung der Art der Angriffe zeigt, dass 42,9 Prozent aller Angriffe auf den EPMAP-Port 135 erfolgten. Darüber können Angreifer Informationen erhalten, welche RPC-Dienste auf einem Windows-Rechner laufen, und so gezielte Angriffe gegen einzelne RPC-Dienste starten. Den zweiten Platz belegten Angriffe auf das Active Directory über den TCP-Port 445 mit 19,7 Prozent. Angreifer erhoffen in diesem Fall, durch schwache Passwörter Administratorrechte zu erhalten.

Die größte Bandbreite verbrauchten Angriffe auf den FTP-Dienst. Die Angreifer probierten teilweise bis zu 10.000 Passwörter aus, bevor sie aufgaben. Diese Art der Angriffe kann im Extremfall zu einer DoS-Attacke werden. FTP sollte man daher im Internet nur mit einer Teergrube anbieten.

Auffällig waren auch manche Passwörter, die die Angreifer verwendeten. Dazu gehört beispielsweise „q1w2e3r4“, dass sich an der Reihenfolge der Tasten von links nach orientiert. Solche Passwörter werden von automatischen Passwort-Prüfprogrammen oft als sicher eingestuft, da sich Buchstaben und Zahlen abwechseln.

Microsoft weist explizit darauf hin, dass Angriffe, die die Sicherheitslücke MS08-067 ausnutzen, überhaupt nicht zu sehen waren. Diese Lücke hatte Microsoft letzte Woche dazu veranlasst, ein außerplanmäßiges Update herauszugeben, was nur äußerst selten vorkommt.