Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Natürlich wissen Administratoren in Unternehmen, dass man seine Rechner aus Sicherheitsgründen auf dem neuesten Stand halten soll, und dass das noch wichtiger ist, als eine Antimalware-Lösung zu implementieren. Generell besteht jedoch eine gewisse Sorge darüber, dass durch Einspielen eines Updates ein wichtiger Server nicht mehr funktionieren könnte.

Tatsächlich gibt es nachvollziehbare Berichte, dass Server nach Einspielen eines Updates nicht mehr zu 100 Prozent funktionieren. Nachvollziehbar bedeutet, dass man durch Rückgängigmachen des Updates die volle Funktionalität wieder herstellt. Ein erneutes Einspielen des Updates lässt den oder die Fehler wieder auftreten.

Obwohl solche Berichte nicht aus der Luft gegriffen sind, kommt ein fehlerhaftes Verhalten eines Servers weitaus seltener vor als allgemein angenommen. Meist sind die Probleme hausgemacht, beispielsweise durch Ändern von Scripts oder „Tunen“ von Parametern. Das letzte Update verantwortlich zu machen, ist eine einfache, aber oft unzutreffende Erklärung.

Trotzdem steht jeder vor der Wahl, die Updates regelmäßig mitzumachen und dadurch ein Risiko einzugehen, dass nach dem Update eine Fehlfunktion auftritt, beispielsweise wegen möglicher Seiteneffekte, oder die Updates lieber auszulassen und zu riskieren, dass eine Sicherheitslücke ausgenutzt wird.

Ist ein Server auf irgendeine Weise über das Internet erreichbar, so bleibt keine Alternative zum schnellen und regelmäßigen Einspielen der Sicherheitsupdates. Die Wahrscheinlichkeit eines aktiven Angriffs steigt mit jedem Sicherheitspatch, den man nicht mitmacht, stark an. Der Grund liegt darin, dass ein Security-Update Malware-Autoren als Anleitung dient. Aus den Unterschieden zwischen der Original-Datei und dem Update lässt sich genau erkennen, wo die Sicherheitslücke liegt. Der Patch selbst führt immer direkt zur Stecknadel im Heuhaufen. Malware-Autoren müssen jetzt nur noch einen Weg finden, möglichst viele andere Computer mit dieser Stecknadel zu „pieken“.

Speziell für den Fall Conficker könnte man argumentieren, dass beispielsweise ein Web-Server im Internet nicht betroffen sei, weil man nur TCP-Port 80 ins Internet durchroute. Da Conficker sich originär über RPC verbreite, reiche es aus, die TCP-Ports 135, 139 und 445 nicht ins Internet zu routen.

Vor solchen Szenarien muss eindringlich gewarnt werden. Beispielsweise gibt es seit Windows Server 2003 die Möglichkeit, RPC durch http und https zu tunneln, primär, um Microsoft Exchange 2003 im Internet ohne VPN erreichen zu können. Conficker B und C versuchen zwar nicht, sich durch RPC-Tunneling auf einem Rechner zu verbreiten, jedoch kann jederzeit eine Variante D erscheinen, die von dieser Möglichkeit Gebrauch macht.

Themenseiten: Hacker, Microsoft, Security-Analysen, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Kommentar hinzufügen
  • Am 21. Februar 2009 um 11:32 von G. Junker

    "never touch a running system" ist seit midestens 10 Jahren tot.
    Bitte verbreitet nich auch noch diesen Unsinn von "never touch a running system". Dies galt in den Zeiten der Großrechner oder PC, als diese nicht vernetzt waren.

    Wir sehen heute, wie schnell Lücken ausgenutzt werden (oft schon am gleichen Tag). Wer nach dem Motto "never touch a running system" arbeitet, handelt grob fahrlässig.

    Für alle Softwarehersteller, welche Probleme mit Ihrer Software nach einem Update haben, haben ihre Hausaufgaben nicht gemacht.

    Kann ich ein Update wegen einer Software nicht einspielen, so ist der Softwarehersteller für Folgeschäden haftbar. Für mich ein Grund, die Software zu wechseln oder den Hersteller zu Änderungen zu zwingen, was leider nur langwierig und gerichtlich geht.

    Also liebe Redaktion, verbreitet nicht mehr so einen Unfug.

    "never touch a running system" ist seit midestens 10 Jahren tot.

    • Am 28. Februar 2009 um 18:57 von ossobussi

      AW: "never touch a running system" ist seit midestens 10 Jahren tot.
      Wer das glaubt hat anscheinend die Entwicklung 10 Jahre verschlafen !
      Hallo waky waky ! Sputnik an Erde : Bitte sich in der real existierenden Welt melden !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *