Land auswählenSicherheitshinweis Woche 42, 2006
 |
Juli
3. Juli: Windows Genuine Advantage - doch kein Vorteil
Microsofts kämpft mit seinem Windows Genuine Advantage (WGA)-Programm gegen Softwarepiraterie. Malware-Autoren kreierten einen Bot, der sich über den Instant Messenger als WGA ausbreitet. WGA wird dafür eingesetzt, Software- und Hardwareinformationen des Computers an Microsoft zu übermitteln, auf dem das Windows-Betriebssystem installiert ist. Dieser Bot gibt sich als neuer Systemtreiber „WGAVN“ (Windows Genuine Advantage Validation Notification) aus. Der Bot wird danach bei jedem Start des Windows-Betriebssystems ausgeführt. Versucht der Benutzer, den Bot zu entfernen, erhält er eine Meldung, dass das Löschen des Programms zu einer Systeminstabilität führt. Diese Aussage ist jedoch falsch. Bei der Installation deaktiviert der Bot unter anderem die Windows-Firewall und gibt den Hackern so die volle Kontrolle über das System.
6. Juli: IDA Pro als Überträger
Ein Proof-of-Concept-Virus namens „Gattman“ befindet sich im Umlauf, der auf das häufig verwendete Disassemblierungstool Interactive Disassembler Pro (IDA Pro) von Data Rescue abzielt. Dabei verwendet der Virus die Skriptsprache von IDA Pro. Sobald der Virus geladen wurde, sucht er IDC-Dateien, um auf deren Grundlage weitere infizierte EXE-Dateien zu generieren. Diese Skripts werden häufig zwischen Forschern ausgetauscht, um interessante Aspekte von neuer Malware aufzuzeigen. Die Ausbreitung dieses Virus wird sich daher wahrscheinlich auf Forschungskreise beschränken, daher die Kategorisierung als Proof-of-Concept-Virus.
7. Juli: Pharming-Trojaner
Ein neuer Trojaner, DNSChanger, wurde entdeckt, der in der Lage ist, die IP-Nummer zu „modifizieren“. Dabei wird allerdings nicht die IP-Nummer des verwendeten Systems geändert, sondern es werden Verbindungen zu bestimmten Websites unterbrochen und auf gefälschte Websites umgeleitet, die den eigentlichen Websites täuschend ähnlich sind. Diese Methode wird immer häufiger für das Phishing verwendet. Der ahnungslose Benutzer ist überzeugt, die richtige Website aufgerufen zu haben, denn die eingegebene URL ist korrekt. Daher macht es ja nichts, das Login und das Kennwort nochmals zu bestätigen...
11. Juli: Fünf neue kritische Sicherheitslücken
In seinem Sicherheitsbulletin für Juli 2006 berichtet Microsoft über insgesamt fünf neue kritische Sicherheitslücken in seinen Betriebssystemen und Anwendungen sowie zwei Sicherheitslücken mit hohem Schweregrad. „Kritisch“ ist bei Microsoft die oberste Stufe in der Klassifikation von Sicherheitslücken.
Eine kurze Zusammenfassung der Sicherheitslücken finden Sie im Sicherheitsbulletin für Juli 2006 von Microsoft. Auf der Webseite finden Sie außerdem Links zu weiteren Informationen in den Microsoft-Sicherheitsbulletins MS06-035-MS06-039 (kritisch) und MS06-033-MS06-034 (hoch).
11. Juli: Das Ende von Windows 98 und Windows M
Obwohl bereits für Januar 2004 geplant, lief an diesem Tag offiziell die Unterstützung von Windows 98 und Windows Me aus. Dies bedeutet, dass von Microsoft keine Sicherheitsupdates mehr für diese Betriebssysteme zur Verfügung gestellt werden. Ohne diese regelmäßigen Aktualisierungen sind diese Systeme anfällig für Angriffe über Sicherheitslücken, für die keine Patches mehr verfügbar sind. Diese Art des Angriffs wird heute im Internet immer häufiger verwendet.
13. Juli: Schöne neue IM-Welt: Instant Messaging-Systeme von Microsoft und Yahoo jetzt kompatibel
Microsoft und Yahoo kündigten an, dass die beiden IM-Systeme (Instant Messaging) Windows Live Messenger (früher MSN) und Yahoo Messenger zukünftig kompatibel sein sollen. Dies bedeutet, dass mehr Benutzer trotz unterschiedlicher IM-Netze miteinander kommunizieren können. Allerdings steigt damit sofort auch das Übertragungsspektrum von Malware, die sich über IM ausbreitet. Eine Beta-Software für diese Interoperabilität ist bereits verfügbar. Microsoft sieht für die Zukunft noch mehr Kooperationspotenzial.
17. Juli: HP kündigt Mini-Funkchip an
2 bis 4 mm - mehr braucht es nicht, um 256 Kbit und 4 Mbit Speicher sowie eine Antenne unterzubringen. Integrierte Lesegeräte können Daten mit einer Geschwindigkeit von etwa 10 Mbit/s senden und empfangen. Nach Auskunft von HP könnte dieser Chip auf praktisch allen Oberflächen angebracht oder in beliebige Objekte integriert werden. Im Gegensatz zu RFID, welches nur eine begrenzte Speicherkapazität aufweist, kann diese HP-Technologie für Datentransparenz in handlichen und mobilen Geräten eingesetzt werden. In einigen Bereichen wäre dies sehr praktisch: Alle medizinischen Daten eines Patienten könnten auf seiner Krankenversicherungskarte gespeichert werden und so möglicherweise sein Leben retten, falls der Patient bei einem Notfall in ein Krankenhaus eingeliefert wird. Die Technologie kann jedoch auch dazu verwendet werden, den Aufenthaltsort von Personen zu überwachen, wenn ein solches Gerät im Pass oder Führerschein integriert ist.
19. Juli: Microsoft übernimmt Winternals
Im vergangenen Jahr stellte Mark Russinovich, Mitbegründer von Winternals, fest, dass Sony millionenfach CDs mit Rootkit-Software vertrieben hatte. Winternals betreibt die bekannte SysInternals-Website, auf der verschiedene kostenlose Anwendungen und technische Informationen verfügbar sind. Microsoft gab heute die Übernahme von Winternals bekannt. Mark Russinovich veröffentlicht auf der SysInternals-Website ein Blog und wird dieses auch in nächster Zeit fortsetzen.
25. Juli: MSN Messenger-Chat von Microsoft zensiert
Microsoft führt in Echtzeit eine automatische Zensur der MSN Messenger-Kommunikation auf den MSN-Servern durch. Nach Angaben der Redmonder dient diese Maßnahme dem Schutz vor Malware, Exploits und Würmern, die sich über MSN Messenger ausbreiten. Enthält ein Dateiname oder eine URL bestimmte Begriffe, wird die Nachricht automatisch blockiert.
Dies bringt jedoch auch einige Probleme mit sich. Möchte man beispielsweise einem Freund mitteilen, dass die aktuelle Version eines Dienstprogramms unter der Adresse http://www.utilities.com/download.php heruntergeladen werden kann, wird die Nachricht leider blockiert, da die URL den Begriff „download.php“ enthält. Wird jedoch „download.php“ durch „%64ownloa%64.php“ ersetzt, ist das Senden der URL kein Problem (%64 == „d“). Es ist gängige Praxis, URLs zu verschleiern oder umgeleitete URLs zu verwenden, um so schädlichen Code herunterzuladen. Sobald der Begriff „download.php“ im Text der Nachricht erscheint, wird diese blockiert.
August
3. August: Präsentation des VoIP-Hacking auf Black Hat
Sicherheitsexperten von SecureLogix und Tipping Point von 3Com erläuterten und demonstrierten verschiedene Hacks und Sicherheitslücken von VoIP. Da VoIP aufgrund der niedrigen Kosten und problemlosen Handhabung immer beliebter wird, werden auch die Angriffe auf VoIP-Netzwerke in Zukunft zunehmen. Im Rahmen dieser Präsentation wurden 13 Tools veröffentlicht, die die Schwächen von VoIP aufzeigen. Sämtliche Tools zielen auf Systeme ab, die das Sessions Initiation Protocol (SIP) verwenden. Fast alle Systeme führender Anbieter, beispielsweise Cisco oder Nortel, setzen anstelle proprietärer Protokolle verstärkt SIP ein. Dadurch erhöht sich das Risiko eines Angriffs.
8. August: Neun neue kritische Sicherheitslücken
In seinem Sicherheitsbulletin für August 2006 berichtet Microsoft über insgesamt neun neue kritische Sicherheitslücken in seinen Betriebssystemen und Anwendungen sowie drei Sicherheitslücken mit hohem Schweregrad. „Kritisch“ ist bei Microsoft die oberste Stufe in der Klassifikation von Sicherheitslücken.
Eine kurze Zusammenfassung der Sicherheitslücken finden Sie im Sicherheitsbulletin für August 2006 von Microsoft. Auf der Webseite finden Sie außerdem Links zu weiteren Informationen in den Microsoft-Sicherheitsbulletins MS06-040-MS06-044, MS06-046-MS06-048 und MS06-051 (kritisch) sowie MS06-045, MS06-049 und MS06-050 (hoch). Die womöglich schwerwiegendste Sicherheitslücke wird in MS06-040 beschrieben. Dabei kommt es ohne Eingreifen des Nutzers zu einem Angriff über das Internet.
11. August: Laptop-Diebstahl: 133.000 Einwohner von Florida betroffen
Und schon wieder ist es passiert: Persönliche Daten von 133.000 Einwohner aus dem US-Bundesstaat Florida waren unverschlüsselt auf einem gestohlenen Laptop gespeichert. Diese Art von Identitätsdiebstahl trat in den USA bereits wiederholt auf. Die Betroffenen - und damit die Öffentlichkeit - wurden „schon“ nach zwei Wochen per Post von den Behörden über dieses Vorkommnis informiert. Professionelle Identitätsdiebe hätten die Daten sofort für ihre Zwecke einsetzen und so innerhalb von zwei Wochen beträchtlichen finanziellen Schaden anrichten können. Die Behörde setzte eine Belohnung von 10.000 USD für die Rückgabe des Computers aus. Dies hilft den Betroffenen, deren Daten auf dem Laptop gespeichert sind, allerdings herzlich wenig: Die Daten können schließlich problemlos kopiert werden. Das bedeutet, dass weitere Sicherheitsschritte erforderlich sind.
15. August: Microsoft-Patch verursacht möglicherweise Probleme mit Internet Explorer
Nach der Installation des Microsoft-Sicherheitsupdates von August traten bei einigen Benutzern Probleme mit Internet Explorer auf. Bei dem Übeltäter handelt es sich um das kritische Update MS06-042. Dieses Update führt zum Abstürzen von Internet Explorer, sobald bestimmte Websites aufgerufen werden. Da dies sehr problematisch ist, kündigte Microsoft für den 22. August ein zusätzliches Update an.
22. August: Und?... Kein Patch!
Das Erstellen von Patches ist kein Kinderspiel - das musste Microsoft nun feststellen. Nur wenige Stunden vor der Veröffentlichung des zweiten MS06-42-Updates wurde klar, dass der neue Patch - neben der Behebung des Problems des ursprünglichen Patches - eine neue schwere Sicherheitslücke in einigen Windows-Systemen verursacht. Damit könnten Hacker die volle Kontrolle über das System übernehmen, wenn auf diesem Internet Explorer 6 mit Service Pack 1 und dem neuen MS06-042-Update ausgeführt wird.
29. August: Der große Bruder ist überall!
Der frühere CEO und Gründer von Comverse, Kobi Alexander, wurde in Sri Lankas Hauptstadt Negombo aufgespürt, nachdem er einen einminütigen Anruf über Skype getätigt hatte. Kobi Alexander war aus den USA geflohen, nachdem ihm vorgeworfen wurde, er habe auf Kosten der Comverse-Aktionäre mehrere Millionen durch die Manipulation von Optionszuteilungsdaten unterschlagen.
Die Annahme, VoIP-Anrufe seien sicher und nicht verfolgbar, erwies sich im Fall von Kobi Alexander definitiv als falsch. Selbst die Nutzung von Anonymisierern und anderen Ausweichmanövern zur Verschleierung des Aufenthaltsortes war zwecklos. Durch den Anruf über den Skype-Dienst wurden einige Geheimdienste auf seinen Aufenthalt in Sri Lanka aufmerksam, wo er kurze Zeit später von einem Privatdetektiv aufgespürt wurde.
Dieser Vorfall verdeutlicht, dass jede unserer Aktivitäten im Internet nicht im entferntesten anonym ist.
September
4. September: 419-Scam und die US-Marine
Stets auf der Suche nach neuen Geschichten nutzen 419-Scammer neuerdings die Militäraktion der USA im Irak als Aufhänger. Der Adressat gibt vor, ein US-Marineoffizier zu sein und bei einer Razzia, bei der mehrere irakische Kriminelle getötet wurden, eine große Menge Bargeld gefunden zu haben. Nun möchte er dieses Geld außer Landes schaffen und benötigt dabei Ihre Hilfe. Vorsicht!
7. September: Botnets und Wiki
Sicherheitslücken in Wiki werden verstärkt durch Hacker zum Aufbau eines Botnets - eines Netzwerks kompromittierter Computers -missbraucht. Das Problem liegt bei den Pmwiki- und Tikiwiki-Anwendungen.
Das Exploit für Pmwiki kann nur dann genutzt werden, wenn das Attribut „Register globals“ aktiviert ist. Das Tikiwiki-Exploit kann dagegen jederzeit eingesetzt werden.
Durch eine Verbindung zu unterschiedlichen IRC-Kanälen werden von den Exploits eine Reihe von schädlicher Software und Angriffstools (u. a. Perl-Flood-Skripts) auf die betroffenen Rechner geladen. Pmwiki und Tikiwiki haben bereits entsprechende Updates und Patches veröffentlicht.
12. September: Absolut sichere Festplatte
Wenn man Jasim Saleh Al-Azzawi Glauben schenken mag, wird unsere gesamte Branche bald überflüssig. Er hat eine Festplatte mit Zusatzfunktionen „erfunden“, die alte, aktuelle und zukünftige Computerviren unschädlich machen. Diese neuartige Festplatte verfügt über zusätzliche Switches, mit denen die Schreib- und Leseköpfe auf den Trägerarmen aus- und eingeschaltet werden können. Seine Grundidee ist, den gesamten Festplattenin- und -output an einen sicheren Speicherort umzuleiten, so dass vertrauliche Daten geschützt werden. Wird die Verbindung zum Internet getrennt, so wird der sichere Speicherort ausgeschaltet und ist nicht mehr erreichbar. Daher stellen Viren, die während der Verbindung zum Internet auf den Computer gelangt sind, kein Problem mehr dar.
Sehr schnell lassen sich verschiedene Implementierungsfehler in dieser „Erfindung“ aufdecken. Es wäre sehr kompliziert, wenn nicht unmöglich, diese Fehler zu beheben, da man dazu eine nicht praktikable Situation schaffen müsste, vergleichbar mit dem Nichteinschalten Ihres Computers. Sehr sicher, aber keineswegs erstrebenswert!
20. September: VML-Exploit für Internet Explorer
Sunbelt entdeckte ein neues Zero-Day-Exploit für Internet Explorer, durch das der VML-(Vector Markup Language-)Rendering-Code von Internet Explorer angreifbar wird. Mozilla Firefox und Opera sind davon nicht betroffen.
Dieses Exploit nutzt eine Schwachstelle der Internet Explorer-VML für einen Pufferüberlauf und die Einführung von Shellcode. Dieses Schadprogramm wird offenbar bereits in großem Stil bei Pornografie-Websites verwendet. Microsoft hat gut auf diese Problematik reagiert und einen außerplanmäßigen Patch veröffentlicht, woraus sich auch schließen lässt, dass diese Schwachstelle äußerst kritisch war.
26. September: Weiterer Zero-Day-Exploit: Diesmal ist Microsoft Office betroffen
Zero-Day-Sicherheitslücken sind heutzutage offenbar der Renner. Heute wurde ein weiterer Exploit entdeckt, der Microsoft PowerPoint betrifft. Die Kollegen von McAfee stießen dabei auf einen interessanten Sachverhalt:
“Offenbar wurde das Antivirenprodukt von Microsoft bereits drei Tage vor Bekanntwerden des Exploits entsprechend erweitert. Die einzige öffentliche Information zu diesem Sicherheitsproblem findet sich in den Malicious Software Encyclopedia-Einträgen (in denen ein falsches Datum des Bekanntwerdens, nämlich der 26. September, aufgeführt ist, während die Virendefinitionsdateien bereits vom 23. September datieren): Exploit:Win32/Controlppt.W und Exploit:Win32/Controlppt.X."
 |
Medium risk
Low risk