Ein paar Kommandozeilen-Befehle genügen, um über ein verstecktes Administratorkonto auf Ihren PC zu gelangen. Hat sich der Spion erfolgreich eingeloggt, liest er mit gewöhnlichen Netzwerk-Administrationstools alle Benutzernamen aus.
Schlüpfen Sie nun selbst in die Rolle des Agenten. Starten Sie die Eingabe-Aufforderung und geben Sie dort eine Netzwerk- oder Internetadresse ein nach dem Muster
ping
http://www.rechnername.deDamit erhalten Sie die IP-Adresse Ihres Angriffsziels. Mit dem "Ping-Befehl" erfahren Sie nebenbei noch, ob der betreffende Rechner erreichbar ist. Wenn ja, können Sie versuchen, sich über ein verstecktes Admin-Konto Zugang zu verschaffen. Dazu geben Sie
net use \\IP-Adresse\ipc$ /user:administrator
ein, wobei Sie die vorhin ermittelte IP-Adresse einsetzen. Erhalten Sie die Meldung »Der Befehl wurde erfolgreich ausgeführt«, könnte das Ausspionieren klappen.
Als Tatwerkzeug eignen sich die PsTools von Sysinternals. Entpacken Sie den heruntergeladenen ZIP-Ordner und kopieren Sie daraus die Kommandozeilentools »psexec« und »psloggedon« in den Ordner »windows\system32«. Anschließend geben Sie in der Eingabeaufforderung das Kommando
psexec \\IP-Adresse -u administrator psloggedon \\IP-Adresse
ein. Ist der Rechner nicht ausreichend geschützt, haben Sie nun die Namen aller Benutzer, die auf diesem PC eingeloggt sind.
So schützen Sie sich
Was wir Ihnen hier gezeigt haben, nennt sich »Nullsession-Attacke«. Derartige Angriffe können über die Ports 137, 138, 139 und 445 ausgeführt werden. Erste Schutzmaßnahme: Installieren Sie als XP-Benutzer unbedingt das Service Pack 2. Die dort verbesserte Firewall verhindert Nullsession-Attacken zumindest dann, wenn jemand versucht, sich über das Internet bei Ihnen einzuloggen.
Bei Rechnern in lokalen Netzwerken sollten Sie die betroffenen Ports mit einer Firewall schließen. Benötigen Sie einen oder mehrere davon unbedingt, so starten Sie den Registrierungs-Editor und legen im Schlüssel »HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\lanmanserver\parameters« die beiden neuen DWord-Werte »AutoShareServer« und »AutoShareWks« an. Weisen Sie den Einträgen jeweils den Wert »0« zu und starten Sie den Rechner dann neu. Damit ist zumindest die administrative Freigabe deaktiviert, die wir bei unserer Attacke ausgenutzt haben.