Microsoft warnt vor Zero-Day-Attacke

Im Hilfe- und Supportcenter von Windows XP und Server 2003 steckt eine Sicherheitslücke, die für so genannte Drive-by-Infektionen ausgenutzt werden kann. Sie wurde von dem Sicherheitsforscher Tavis Ormandy bereits am 10. Juni veröffentlicht. Ein paar Tage später gab es die ersten gezielten Angriffe auf die Schwachstelle. Inzwischen sind die Angriffe grossflächiger geworden.

Im Blog des Microsoft Malware Protection Center berichtet Holly Stewart über Microsofts Beobachtungen zur Ausnutzung der HCP-Lücke. Bis zum 15. Juni hat Microsofts Netzüberwachung lediglich Sicherheitsforscher gesehen, die harmlose Tests durchgeführt haben. Dann sind die ersten, gezielten und im Umfang recht begrenzten Angriffe aufgetaucht. Doch seit der letzten Woche sind diese Angriffe nicht mehr auf bestimmte Regionen oder Ziele begrenzt.

Mehr als 10'000 Rechner sind seitdem mindestens einmal angegriffen worden. Die meisten Attacken treffen Computer in den USA, Russland, Portugal, Deutschland und Brasilien. Gemessen an der Bevölkerungszahl ist Portugal am stärksten betroffen, gefolgt von Russland. In beiden Ländern beträgt dieser Index ein Mehrfaches des weltweiten Durchschnitts.

Die Angriffe sind inzwischen weitgehend automatisiert, erfolgen mit zufällig generierten HTML- und PHP-Seiten, die den Exploit-Code ausliefern. Die ersten Attacken haben noch überwiegend den Schädling Obitel eingeschleust, einen Downloader für weitere Malware. Inzwischen variieren die Angriffe stark und liefern eine ganze Palette von Schädlingen aus.

Schutz bieten neben einer aktuellen Antivirus-Software, die in Microsofts Sicherheitsmeldung 2219475 aufgeführten Massnahmen. Dazu gehört eine Fix-it-Lösung, die die Verknüpfung des Hilfe- und Supportcenter (helpctr.exe) mit HCP-URLs (hcp://) trennt.

Ob Microsoft beim kommenden Patch Day am 13. Juli ein passendes Sicherheits-Update ausliefern wird, steht noch nicht offiziell fest.