Nachdem Ende vergangenen Jahres ein funktionierender Root-Exploit für die WINS-Sicherheitslücke unter Windows veröffentlicht wurde, nehmen laut Internet Storm Center die Scans auf TCP-Port 42 im Internet merklich zu. Die Lücke im Windows-Namendienst war Ende November aufgrund der Veröffentlichung durch den Dienstleister Immunitysec bekannt geworden. Kurz darauf stiegen die Aktivitäten im Netz erstmalig an. Microsoft stellte zum Patch-Day im Dezember Sicherheits-Updates zum Schließen der Lücke in Windows NT, 2000 und Server 2003 bereit.
In der Hoffnung, noch ungepatchte Server zu finden, suchen offenbar Cracker nun nach offenen WINS-Ports. In der Regel sollte eine Firewall aber Verbindungen zu WINS-Servern aus dem Internet bereits blockieren. Da aber auch Angriffe aus dem LAN die Server bedrohen können, sollten Administratoren sicherstellen, dass das Update auch wirklich installiert ist.
Zu dem auf K-otik veröffentlichten Exploit, der eine Shell auf Windows-2000-Systemen öffnet, gibt es bereits ein Variante. Diese soll durch das Versenden des Shell-Codes in sehr kleinen Paketen versuchen, Intrusion Detection Systeme auszutricksen.
Greets@all
WorkinG @JackI:pfct: