Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Natürlich wissen Administratoren in Unternehmen, dass man seine Rechner aus Sicherheitsgründen auf dem neuesten Stand halten soll, und dass das noch wichtiger ist, als eine Antimalware-Lösung zu implementieren. Generell besteht jedoch eine gewisse Sorge darüber, dass durch Einspielen eines Updates ein wichtiger Server nicht mehr funktionieren könnte.

Tatsächlich gibt es nachvollziehbare Berichte, dass Server nach Einspielen eines Updates nicht mehr zu 100 Prozent funktionieren. Nachvollziehbar bedeutet, dass man durch Rückgängigmachen des Updates die volle Funktionalität wieder herstellt. Ein erneutes Einspielen des Updates lässt den oder die Fehler wieder auftreten.

Obwohl solche Berichte nicht aus der Luft gegriffen sind, kommt ein fehlerhaftes Verhalten eines Servers weitaus seltener vor als allgemein angenommen. Meist sind die Probleme hausgemacht, beispielsweise durch Ändern von Scripts oder „Tunen“ von Parametern. Das letzte Update verantwortlich zu machen, ist eine einfache, aber oft unzutreffende Erklärung.

Trotzdem steht jeder vor der Wahl, die Updates regelmäßig mitzumachen und dadurch ein Risiko einzugehen, dass nach dem Update eine Fehlfunktion auftritt, beispielsweise wegen möglicher Seiteneffekte, oder die Updates lieber auszulassen und zu riskieren, dass eine Sicherheitslücke ausgenutzt wird.

Ist ein Server auf irgendeine Weise über das Internet erreichbar, so bleibt keine Alternative zum schnellen und regelmäßigen Einspielen der Sicherheitsupdates. Die Wahrscheinlichkeit eines aktiven Angriffs steigt mit jedem Sicherheitspatch, den man nicht mitmacht, stark an. Der Grund liegt darin, dass ein Security-Update Malware-Autoren als Anleitung dient. Aus den Unterschieden zwischen der Original-Datei und dem Update lässt sich genau erkennen, wo die Sicherheitslücke liegt. Der Patch selbst führt immer direkt zur Stecknadel im Heuhaufen. Malware-Autoren müssen jetzt nur noch einen Weg finden, möglichst viele andere Computer mit dieser Stecknadel zu „pieken“.

Speziell für den Fall Conficker könnte man argumentieren, dass beispielsweise ein Web-Server im Internet nicht betroffen sei, weil man nur TCP-Port 80 ins Internet durchroute. Da Conficker sich originär über RPC verbreite, reiche es aus, die TCP-Ports 135, 139 und 445 nicht ins Internet zu routen.

Vor solchen Szenarien muss eindringlich gewarnt werden. Beispielsweise gibt es seit Windows Server 2003 die Möglichkeit, RPC durch http und https zu tunneln, primär, um Microsoft Exchange 2003 im Internet ohne VPN erreichen zu können. Conficker B und C versuchen zwar nicht, sich durch RPC-Tunneling auf einem Rechner zu verbreiten, jedoch kann jederzeit eine Variante D erscheinen, die von dieser Möglichkeit Gebrauch macht.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

4 Tagen ago

Baseus Bowie 30 Max: Erste Bluetooth-Kopfhörer mit Head-Tracking-Spatial-Audio

Neue Over-Headset-Kopfhörer von Baseus bieten Raumklang-Audio und unterdrücken Störgeräusche um rund 96 Prozent.

4 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

4 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

5 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

5 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

5 Tagen ago