Lücke im Internet Explorer ermöglicht vollen Systemzugriff

[2-frozen]

Es geht um diese Heise.de Meldung.

Leider ist die Meldung nicht ganz vollständig. Windows NT (auch wenn offiziell tot) mit SP6a und IE 6.0.2600.000 ist ebenfalls betroffen. War erschrocken über das Ausmaß dieses Bugs. Das System wird kriechend langsam und die cmd.exe zieht sich erstmal die Performance. Anschliessend geht der Port auf über den man via telnet connecten kann und siehe da, es erscheint der Prompt. Selbst mit normalen Userrechten kann man so etliche Dateien des Users ohne Probleme löschen und es vermutlich nicht einmal nachvollziehen. Angriffe von aussen sollte es dank Firewall usw. ja nicht geben, aber was ist mit den Angriffen von Innen?.

Hat jemand Ideen, wie man sich provisorisch dagegen behelfen kann?

- Intern Programme wie telnet deaktivieren, bzw. nur Administartoren erlauben

- entsprechende Filter auf dem Proxy?

Da das Ding ja theoretisch eine Backdoor öffnet, müsste man doch eigentlich mal unsere Freunde die Antiviren-Hersteller bitten das Ding abzufangen, oder nicht?

Gruß, 2-frozen

[hades]

IdR werden Filter auf einem Proxy nicht helfen, da interne Zugriffe meist nicht ueber diesen laufen.

Das Verbieten via NTFS-Rechte des Clients telnet.exe bringt auch nicht viel, da z.B. Putty keine Installationsroutine hat und neben SSH auch telnet kann.

Einzig lokal wirkende Paketfilter helfen gegen das Oeffnen des Backdoors. Allerdings ist das bei groesseren Netzen ein nicht zu unterschaetzender Aufwand, da neben NetBIOS (Port 137-139) und NTP (Port 123) je nach Konfiguration durchaus auch einige andere eingehende Verbindungen (z.B. Druckerports, RPC/DCOM (Port 135), Webserver (meist Port 80), DNS-Server (Port 53), DHCP-Server (Port 67/68), Datenbank-Server) erlaubt sein muessen.