Flugzeuge können nicht starten. Die Bundeswehr muss Rechner abschalten. Schuld ist der Wurm Conficker, der Schäden anrichtet wie kaum ein anderer. ZDNet erläutert, warum er sich so rasant verbreiten kann und wie man die Gefahr abwendet.
Lange hat sich keine Malware mehr auf so vielen Windows-Servern in Unternehmen verbreitet wie der Conficker-Wurm, der von einigen Antiviren-Herstellern auch Downadup genannt wird. Besonders gefährlich sind die Varianten B und C, die ihr Unwesen seit dem 1. Januar 2009 treiben. Der Wurm Conficker.B begann am 30. Dezember 2008 damit, sich zu verbreiten. Die nur geringfügig modifizierte Variante Conficker.C folgte einen Tag später. Viele Hersteller, beispielsweise Microsoft und Symantec, sehen Conficker.C nicht als eigenständige Variante und bezeichnen beide Varianten als Conficker.B.
Eigentlich hätte es gar nicht dazu kommen dürfen, dass sich dieser Wurm verbreitet. Bereits am 23. Oktober 2008 hatte Microsoft das Security-Bulletin MS08-067[1] veröffentlicht und ein außerordentliches Update angekündigt. Ein Update außerhalb der normalen Patchdays bringt Microsoft nur äußerst selten. Allerdings ist das ein sicheres Zeichen dafür, dass es sich um eine sehr ernste Lücke handelt, die man nicht ignorieren sollte.
Nach etwa einem Monat tauchte der weniger gefährliche Wurm Conficker.A auf, erst später die gefährlichen Varianten B und C. Um sich vor der gefährlichen Variante zu schützen, hätte es ausgereicht, sein System innerhalb von zwei Monaten auf den neuesten Stand zu bringen. Privatleute aktualisieren ihr System relativ häufig. Sie waren von dem Conficker-Wurm kaum betroffen.
Anders sieht es in Unternehmen aus. Ab dem 1. Januar 2009 kam es zu einer zeitweisen Überlastung der europäischen Hotline von Microsoft. Microsofts EMEA-Sicherheitschef Roger Halbheer fühlte sich in seinem Skiurlaub gestört und verfasste den Blogeintrag Russian Roulette with your Network[2], in dem er sich unter anderem darüber beschwerte, dass Kunden keine Updates einspielten. Inzwischen hat Microsoft sogar eine Belohnung von 250.000 Dollar (etwa 195.000 Euro) für Hinweise auf den Conficker-Autor ausgesetzt.
Auf Systemen, die den Patch MS08-067 nicht installiert haben, kann sich der Wurm über RPC[3] einnisten. Ist er einmal auf einen Rechner gelangt, so stört er den Betrieb mächtig. Zunächst patcht er einige DNS-APIs. Dies tut er, um zu verhindern, dass man sich aktualisierte Antiviren-Signaturen herunterlädt. Wenn ein DNS-Name Strings wie Microsoft, Kaspersky, Symantec, Sophos oder Avira enthält, dann wird diese DNS-Query nicht mehr ausgeführt. Hat man sich Conficker auf einem DNS-Server für das Intranet eingefangen, so können auch Client-Computer keine Verbindung zu www.microsoft.com aufbauen, da der String microsoft enthalten ist.
Noch ärgerlicher ist, dass Conficker versucht, sich unter einer gültigen Benutzerkennung anzumelden, um sich so auf andere Rechner auszubreiten. Dazu probiert er eine ganze Reihe von Passwörtern wie password, abc123, qwerty, Admin und changeme aus. Die Passwörter kombiniert er mit der Benutzerliste der gesamten Domain. Ist Conficker mit einem Admin-Account erfolgreich, bedeutet das, dass er sich in der Regel unmittelbar im gesamten Intranet verbreitet.
Obwohl die Liste der Passwörter[4] lang ist, bleibt die Wahrscheinlichkeit gering, dass die beschriebene Methode zum Erfolg führt. Da Microsofts Active Directory jedoch per Default so konfiguriert ist, dass es jedes Benutzerkonto nach zehn Fehlversuchen bei der Passworteingabe für 30 Minuten sperrt, hat man den Effekt, dass sich Benutzer eines Netzwerkes nicht mehr anmelden können.
Solche Effekte stören den geregelten Betriebs eines Netzwerks. Oft ist die Business Continuity nicht gewährleistet. Nicht nur im zivilen Bereich gibt es Ausfälle. So konnten französische Kampfflugzeuge nicht starten[5], weil es wegen eines Conficker-Befalls nicht möglich war, die Flugpläne herunterzuladen. Auch bei der Bundeswehr wurden hunderte von Rechnern infiziert[6].
Die beiden Vorfälle, die die Landesverteidigung betreffen, ereigneten sich nicht etwa kurz nach dem Jahreswechsel, sondern Anfang Februar, als letztendlich jeder, der sich mit Computersicherheit beschäftigt, etwas über den Conficker-Wurm gelesen oder gehört haben musste. Das wirft die Frage auf, wieso so viele Behörden und Unternehmen einen Patch, der im Oktober erschienen ist, nicht längst eingespielt haben - spätestens seitdem bekannt ist, dass ein Schädling umgeht, der die Sicherheitslücke MS08-067 ausnutzt.Natürlich wissen Administratoren in Unternehmen, dass man seine Rechner aus Sicherheitsgründen auf dem neuesten Stand halten soll, und dass das noch wichtiger ist, als eine Antimalware-Lösung zu implementieren. Generell besteht jedoch eine gewisse Sorge darüber, dass durch Einspielen eines Updates ein wichtiger Server nicht mehr funktionieren könnte.
Tatsächlich gibt es nachvollziehbare Berichte, dass Server nach Einspielen eines Updates nicht mehr zu 100 Prozent funktionieren. Nachvollziehbar bedeutet, dass man durch Rückgängigmachen des Updates die volle Funktionalität wieder herstellt. Ein erneutes Einspielen des Updates lässt den oder die Fehler wieder auftreten.
Obwohl solche Berichte nicht aus der Luft gegriffen sind, kommt ein fehlerhaftes Verhalten eines Servers weitaus seltener vor als allgemein angenommen. Meist sind die Probleme hausgemacht, beispielsweise durch Ändern von Scripts oder "Tunen" von Parametern. Das letzte Update verantwortlich zu machen, ist eine einfache, aber oft unzutreffende Erklärung.
Trotzdem steht jeder vor der Wahl, die Updates regelmäßig mitzumachen und dadurch ein Risiko einzugehen, dass nach dem Update eine Fehlfunktion auftritt, beispielsweise wegen möglicher Seiteneffekte, oder die Updates lieber auszulassen und zu riskieren, dass eine Sicherheitslücke ausgenutzt wird.
Ist ein Server auf irgendeine Weise über das Internet erreichbar, so bleibt keine Alternative zum schnellen und regelmäßigen Einspielen der Sicherheitsupdates. Die Wahrscheinlichkeit eines aktiven Angriffs steigt mit jedem Sicherheitspatch, den man nicht mitmacht, stark an. Der Grund liegt darin, dass ein Security-Update Malware-Autoren als Anleitung dient. Aus den Unterschieden zwischen der Original-Datei und dem Update lässt sich genau erkennen, wo die Sicherheitslücke liegt. Der Patch selbst führt immer direkt zur Stecknadel im Heuhaufen. Malware-Autoren müssen jetzt nur noch einen Weg finden, möglichst viele andere Computer mit dieser Stecknadel zu "pieken".
Speziell für den Fall Conficker könnte man argumentieren, dass beispielsweise ein Web-Server im Internet nicht betroffen sei, weil man nur TCP-Port 80 ins Internet durchroute. Da Conficker sich originär über RPC verbreite, reiche es aus, die TCP-Ports 135, 139 und 445 nicht ins Internet zu routen.
Vor solchen Szenarien muss eindringlich gewarnt werden. Beispielsweise gibt es seit Windows Server 2003 die Möglichkeit, RPC durch http und https zu tunneln, primär, um Microsoft Exchange 2003 im Internet ohne VPN erreichen zu können. Conficker B und C versuchen zwar nicht, sich durch RPC-Tunneling auf einem Rechner zu verbreiten, jedoch kann jederzeit eine Variante D erscheinen, die von dieser Möglichkeit Gebrauch macht.
Nicht viel anders sieht es bei einem reinem Intranet-Server aus. Ein aktiver Angriff aus dem Internet, etwa durch den Conficker-Wurm, ist nicht möglich. Vor passiven Angriffen bleibt man jedoch nicht geschützt, beispielsweise durch das Aufrufen einer Webseite mit einem Bild, das für das Ausnutzen einer Sicherheitslücke präpariert wurde. Außerdem können Intranet-Server leicht durch ihre Clients angegriffen werden, wenn ein Client über einen USB-Stick mit Malware verseucht wurde. Das Risiko, erfolgreich angegriffen zu werden, ist auch bei einem Intranet-Server größer als das Risiko, dass der Server nach einem Update streikt.
Um das Risiko eines Serverausfalls nach einem Update zu minimieren, sollte man nur Fixes einspielen, die tatsächlich Security-Patches sind. Das ist längst nicht bei allen Updates der Fall. Generell sind alle Updates, die Microsoft als "critical" oder "important" eingestuft hat, Fixes für potenzielle Sicherheitslücken. Trotzdem gibt es Ausnahmen: Service Packs werden beispielsweise nach einer gewissen Zeit mindestens als "important" eingestuft. Das Einspielen eines kompletten Service Packs birgt jedoch immer das Risiko, dass Serveranwendungen anschließend nicht mehr korrekt arbeiten. Das gilt insbesondere für Anwendungen von Drittanbietern.
Auf Servern sollte man generell auf alle Updates verzichten, die als "optional" gekennzeichnet sind. Auf einen funktionierenden Server gehören nach dem Prinzip "never touch a running system" weder Microsoft Silverlight[7] noch Updates für Internet Explorer[8] oder Windows Media Player[9].
Insbesondere die HTML-Engine des Browsers ist, anders als die EU es gerne hätte[10] und tiefer, als es für die Sicherheit gut ist, mit dem OS verwoben. Viele Serveranwendungen nutzen die HTML-Engine unsichtbar, etwa in ihren MMC[11]-Verwaltungstools. Tauscht man die HTML-Engine aus, kann es zu gravierendem Fehlverhalten von Serveranwendungen kommen.
Problematisch sind Updates, die als "recommended" gekennzeichnet sind. Dahinter verbergen sich oft Updates für Help-File-Texte oder Änderungen von Sommerzeitregeln für einige Länder. Man sollte im Einzelfall überlegen, ob man das Update für sinnvoll hält oder nicht. Ändern sich beispielsweise die Sommerzeitregeln der Fidschi-Inseln, und man betreibt dort keine Server, so kann man das Update getrost auslassen, auch wenn durch das Einspielen kein Fehlverhalten zu erwarten ist.
Zusammenfassend lässt sich zum Thema Updates sagen, dass man alle sicherheitsrelevanten Updates einspielen sollte. Das bedeutet jedoch keineswegs, dass auf Servern alle Updates ungefiltert eingespielt werden dürfen. An einer manuelle Selektion geht kein Weg vorbei. Service Packs und andere über reines Bugfixing hinausgehende Updates haben auf Servern nichts zu suchen.Generell ist es schwierig, Server mit Windows NT 4.0 zu schützen. NT 4.0 findet sich bei Unternehmen noch recht häufig als Domain-Controller. So stellt Roger Halbheer in seinem Blog[2] ernüchternd fest, dass ein Großteil der Anrufer bei der Microsoft-Hotline Server mit Windows NT betreibt, obwohl das OS bereits seit Ende 2004 in keiner Weise mehr supportet wird, und somit auch das Update MS08-067 nicht mehr für NT 4.0 angeboten wird.
NT 4.0 findet man heute in wesentlich mehr Unternehmen, als allgemein angenommen wird. Dazu gehören vor allem Großunternehmen. Das erklärt sich daraus, dass Microsoft mit Windows 2000 die Active Directory Services eingeführt hat, die von der Benutzerverwaltung her inkompatibel zum bisherigen Domainsystem sind, das noch aus der OS/2-LAN-Manager[12]-Zeit stammt.
Größere Unternehmen haben seinerzeit viel Geld darin investiert, mit dem NT-Domänensystem eine Gesamtlösung für die Mitarbeiterverwaltung zu schaffen. In der Regel wird ein Mitarbeiter mit einem selbstentwickelten oder in Auftrag gegebenen Tool angelegt. Das Tool sorgt dafür, dass der Mitarbeiter in die verschiedenen, meist unabhängig gesteuerten EDV-Systeme, etwa die NT-Domäne, die Gehaltsbuchhaltung und das Zeiterfassungssystem, eingetragen wird.
Mit einer Umstellung auf Windows 2000 wäre neben einer Datenmigration auch eine teilweise Neuentwicklung hauseigener Verwaltungstools erforderlich gewesen. Da aber die ursprünglichen Investitionskosten über einen wesentlich längeren Zeitraum als fünf bis zehn Jahre abgeschrieben werden müssen, findet man zumindest auf Domain-Controllern häufig noch NT 4.0, zumal sich die Versionen ab Windows 2000 bis heute ohne Probleme in eine NT-4.0-Domäne integrieren lassen.
Die Hardwareprobleme von NT 4.0, wie fehlende USB-Unterstützung und Schwierigkeiten bei der Beschaffung von Gigabit-Netzwerkkarten mit NT-4.0-Treibern, lösen Unternehmen häufig durch Virtualisierung. Auch Sicherheitsprobleme, die daraus resultieren, dass NT 4.0 kein signiertes SMB-Protokoll[13] beherrscht, nehmen Unternehmen in Kauf, da eine Migration zu Windows 200x mit hohen Kosten verbunden ist.
Generell lässt sich nur feststellen, dass ein Betrieb von NT-4.0-Servern auf die eine oder andere Art mit Kosten und Risiken verbunden ist. Gegen Malware wie Conficker gibt es keinen Schutz mehr von Microsoft. So steigt das Risiko, sich eine Malware einzufangen, faktisch von Tag zu Tag an. Einen effektiven Schutz kann man nur durch selbstprogrammierte Firewall-Regeln erreichen, die im Fall von Conficker alle RPC-Pakete an die GUID 4b324fc8-1670-01d3-1278-5a47bf6ee188 blocken. Solche Firewall-Regeln auf Layer-7-Ebene sind nur schwer zu realisieren. Sie erfordern zudem großes technisches Know-How und viel Zeit.
Bei allem Verständnis für die Gründe, die Unternehmen dazu bewegen, weiterhin NT 4.0 einzusetzen, muss man heute feststellen, dass für einen Umstieg zu Windows 200x zwar hohe Kosten anfallen können, jedoch keine Alternative zum baldigen Umstieg existiert. Ein Betrieb von NT 4.0 verbietet sich schon deshalb, weil mittlerweile genügend Schadsoftware existiert, die jedermann ohne besonderes Wissen nutzen kann, um sich auf einem NT-4.0-Server selbst zum Administrator zu machen. Patches gegen diese Lücken gibt es nicht mehr.Der Conficker-Wurm mit seinen Auswirkungen zeigt, dass die Gefahr von empfindlichen Betriebsstörungen jederzeit real ist. Zwar führt Conficker keine zerstörerischen Aktionen aus, beispielsweise das Löschen von Daten, und sendet nach dem aktuellen Stand der Dinge auch keine Daten "nach Hause", bringt jedoch den geordneten Betrieb eines Computernetzwerkes durcheinander.
So können sich Benutzer oft nicht mehr anmelden. Falls doch, erreichen sie viele Domains im Internet nicht mehr. Konkret hat das dazu geführt, dass französische Kampfflugzeuge am Boden bleiben mussten, und die Bundeswehr sah sich gezwungen, einige Dienststellen vom Netz zu nehmen. Ferner darf man davon ausgehen, dass in vielen betroffenen Unternehmen die Business Continuity nicht sichergestellt war.
Ein geschätzte Verbreitung des Conficker-Wurm in den Varianten B und C auf über 12 Millionen Rechnern hätte nicht sein müssen, wenn man den Patch MS08-067 vor Ende Dezember 2008 eingespielt hätte. Man muss jedoch die Gründe von Behörden und Unternehmen verstehen, warum sie gerade auf Servern darauf verzichten, regelmäßig Updates einzuspielen. Die Erfahrung zeigt, dass das Einspielen eines Updates Seiteneffekte haben kann. Ein Server kann nach einem Update Probleme bis hin zum Gesamtausfall aller Dienste verursachen.
Hier ist Microsoft durchaus gefordert. Sicherheitsupdates dürfen nur die Beseitigung des Sicherheitsproblems beinhalten. Wenn in der gefixten Datei bereits neue Features aus einem späteren Development Branch enthalten sind, dann ist die Gefahr von Seiteneffekten groß. Dass Microsoft komplette Service Packs von Betriebssystemen in die gleiche Kategorie einordnet wie Security-Fixes, muss grundsätzlich kritisiert werden. Hier muss Microsoft klar trennen und diese Trennung ebenso glaubhaft vermitteln. Sonst werden Unternehmen weiterhin auf Server-Updates verzichten.
Äußerst gefährdet für Angriffe aller Art sind Betreiber von NT 4.0 oder früheren Versionen von Windows NT. Entgegen landläufiger Meinung, gibt es noch viele Großunternehmen, die bisher kein Migrationsprojekt von NT-Domänen hin zu den Active Directory Services gewagt haben. Hier besteht keine ernsthafte Alternative zur baldigen Durchführung der Migration, auch wenn sie mit nicht unerheblichen Kosten verbunden ist.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = webentwicklung_
[8] = http:/
[9] = http:/
[10] = news/
[11] = http:/
[12] = http:/
[13] = http:/