Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Natürlich wissen Administratoren in Unternehmen, dass man seine Rechner aus Sicherheitsgründen auf dem neuesten Stand halten soll, und dass das noch wichtiger ist, als eine Antimalware-Lösung zu implementieren. Generell besteht jedoch eine gewisse Sorge darüber, dass durch Einspielen eines Updates ein wichtiger Server nicht mehr funktionieren könnte.

Tatsächlich gibt es nachvollziehbare Berichte, dass Server nach Einspielen eines Updates nicht mehr zu 100 Prozent funktionieren. Nachvollziehbar bedeutet, dass man durch Rückgängigmachen des Updates die volle Funktionalität wieder herstellt. Ein erneutes Einspielen des Updates lässt den oder die Fehler wieder auftreten.

Obwohl solche Berichte nicht aus der Luft gegriffen sind, kommt ein fehlerhaftes Verhalten eines Servers weitaus seltener vor als allgemein angenommen. Meist sind die Probleme hausgemacht, beispielsweise durch Ändern von Scripts oder „Tunen“ von Parametern. Das letzte Update verantwortlich zu machen, ist eine einfache, aber oft unzutreffende Erklärung.

Trotzdem steht jeder vor der Wahl, die Updates regelmäßig mitzumachen und dadurch ein Risiko einzugehen, dass nach dem Update eine Fehlfunktion auftritt, beispielsweise wegen möglicher Seiteneffekte, oder die Updates lieber auszulassen und zu riskieren, dass eine Sicherheitslücke ausgenutzt wird.

Ist ein Server auf irgendeine Weise über das Internet erreichbar, so bleibt keine Alternative zum schnellen und regelmäßigen Einspielen der Sicherheitsupdates. Die Wahrscheinlichkeit eines aktiven Angriffs steigt mit jedem Sicherheitspatch, den man nicht mitmacht, stark an. Der Grund liegt darin, dass ein Security-Update Malware-Autoren als Anleitung dient. Aus den Unterschieden zwischen der Original-Datei und dem Update lässt sich genau erkennen, wo die Sicherheitslücke liegt. Der Patch selbst führt immer direkt zur Stecknadel im Heuhaufen. Malware-Autoren müssen jetzt nur noch einen Weg finden, möglichst viele andere Computer mit dieser Stecknadel zu „pieken“.

Speziell für den Fall Conficker könnte man argumentieren, dass beispielsweise ein Web-Server im Internet nicht betroffen sei, weil man nur TCP-Port 80 ins Internet durchroute. Da Conficker sich originär über RPC verbreite, reiche es aus, die TCP-Ports 135, 139 und 445 nicht ins Internet zu routen.

Vor solchen Szenarien muss eindringlich gewarnt werden. Beispielsweise gibt es seit Windows Server 2003 die Möglichkeit, RPC durch http und https zu tunneln, primär, um Microsoft Exchange 2003 im Internet ohne VPN erreichen zu können. Conficker B und C versuchen zwar nicht, sich durch RPC-Tunneling auf einem Rechner zu verbreiten, jedoch kann jederzeit eine Variante D erscheinen, die von dieser Möglichkeit Gebrauch macht.