April 2006

4. April: Microsoft hält eine Wiederherstellung nach einem Malware-Angriff für unmöglich

„Im Falle von Rootkits und anderen ausgefeilten Spyware-Programmen besteht die einzige Möglichkeit darin, das System völlig neu einzurichten. Manchmal bleibt einfach keine andere Möglichkeit, als den ganzen Computer platt zu machen“, erklärt Mike Danseglio, Program Manager der Security Solutions Group bei Microsoft auf der InfoSec World Conference. Das Beste, das Unternehmen in dieser Hinsicht tun können, ist in automatisierte Prozesse zu investieren, um das von Malware betroffene System wiederherstellen zu können.

5. April: Öffentliche Beta-Software ermöglicht das Ausführen von Windows XP auf Intel-basierten Macs

Apple hat eine Beta-Version mit dem Namen „Boot Camp“ veröffentlicht, die das Installieren von Windows XP auf Intel-basierten Macintosh-Computern ermöglicht. Nach der Installation und einem Neustart hat der Benutzer die Auswahl zwischen Mac OSX und Windows XP. Boot Camp ist Teil von „Leopard“. Dies ist Apples Codename für die nächste Version von Mac OSX, welche im August dieses Jahres vorgestellt wird.

5. April: Cisco veröffentlicht Informationen zu Sicherheitslücken

Bei verschiedenen Cisco-Geräten wurden Sicherheitslücken festgestellt. So wurde beispielsweise beim Cisco 11500 Content Services Switch eine Schwachstelle bei der Verarbeitung von HTTP-Anforderungen entdeckt. Sind diese Switches für die HTTP-Komprimierung konfiguriert, besteht bei der Verarbeitung von speziell konzipierten HTTP-Anforderungen eine erhöhte Anfälligkeit für Denial of Service-Angriffe.

Bei den Cisco Optical Networking Systems (ONS) wurden gleich mehrere Sicherheitslücken festgestellt. Diese betreffen die Multi-Service Provisioning Platforms (MSPP) für ONS 15310, ONS 15327 und ONS 15600 sowie die Multi-Service Transport Platforms (MSTP) für ONS15454. Optical Nodes, die über Common Control Cards verfügen, welche mit einem Datenkommunikationsnetz verbunden sind, sind beim Einsatz für IP4 betroffen. Wird diese Schwachstelle ausgenutzt, ist ein Denial of Service-Angriff auf die Common Control Cards möglich.

Eine Sicherheitslücke beim Cisco Transport Controller Applet Launcher sorgt dafür, dass Angreifer beliebigen Code auf der Workstation ausführen können.

Cisco stellte Patches zur Behebung der Sicherheitsprobleme bei diesen Geräten zur Verfügung.

6. April: Oracle publiziert versehentlich Informationen über eigene Sicherheitslücken

Oracle hat auf der firmeneigenen MetaLink-Website versehentlich Details über eine ungepatchte Sicherheitslücke veröffentlicht. Dabei wurde auch der Exploit-Code aufgeführt. Die Schwachstelle betrifft alle Versionen von Oracle Database, von Version 9.2.2.0 bis 10.2.0.3. Nachdem Oracle bewusst wurde, dass diese Informationen frei zugänglich waren, wurden sie von der Website entfernt. Bei der Sicherheitslücke geht es um die Handhabung einiger speziell zugeschnittener Views in Oracle Database, die von Benutzern ohne entsprechende Berechtigung erstellt wurden. Diese Benutzer konnten sich SELECT-Berechtigungen verschaffen und somit in den jeweiligen Datenbanken Daten ändern, löschen oder hinzufügen.

Interessanterweise kritisiert normalerweise Oracle andere Unternehmen für die Veröffentlichung von Sicherheitslücken. Nun war einmal Oracle an der Reihe, wenn auch unfreiwillig...

7. April: Proof of Concept: Linux-/Win32-Virus

Bisher scheint 2006 das Jahr des Proof of Concept zu sein. Hier bereits der nächste: Es handelt sich um einen Dateivirus, der sowohl Windows- (PE-Format) als auch Linux-Dateien (ELF-Format) befällt. Der Virus verfügt über zwei verschiedene Routinen, um Dateien beider Plattformen befallen zu können. Für Windows-Dateien wird die Kernel32.dll-Funktion verwendet, für Linux-Dateien der Int 80-Systemaufruf. Außer der Infizierung der Dateien wurde jedoch noch keine weitere bösartige Aktivität des Virus festgestellt.

10. April: SecureBlue: Verschlüsselungstechnologie von BigBlue

IBM hat eine herstellerunabhängige, hardwarebasierte Verschlüsselungslösung zum Schutz von Verbraucher- und medizinischen Geräten, Verteidigungssystemen und digitalen Medien entwickelt. Die Technologie mit dem Namen „SecureBlue“ kann für verschiedenste Geräte verwendet werden, die vertrauliche oder private Informationen beinhalten, beispielsweise Mobiltelefone, PDAs, PCs oder Laptops.

11. April: MS06-013: Remote Execution über Internet Explorer

In der CreateTextRange-API wurde eine Sicherheitslücke festgestellt, die über speziell konzipierte Websites oder E-Mails eine Codeausführung von einem Remote-Standort ermöglicht. Der tatsächliche Schaden hielt sich in Grenzen, da Microsoft eng mit Partnern wie Norman zusammenarbeitete, um Websites vom Netz zu nehmen, die den bösartigen Code verbreiteten.

17. April: Weitere zwei Dutzend Sicherheitslücken bei Firefox

Der Browser Firefox von Mozilla wird stets als sicherer als Internet Explorer von Microsoft angesehen. In diesem Jahr gab es dafür jedoch bereits mehr Sicherheits-Updates als im gesamten letzten Jahr für Internet Explorer. Heute hat Mozilla Foundation ganze 21 Patches für Schwachstellen im Firefox-Webbrowser veröffentlicht. Diese Sicherheitslücken können u. a. für Phishing-Angriffe oder zur Manipulation von Sicherheitsbeschränkungen und sensiblen Daten ausgenutzt werden.

18. April: Norman unter DDoS-Attacke

Um 16.30 Uhr wurde das bekannte Sandbox Information Center von Norman (http://sandbox.norman.com) Ziel einer DDoS-Attacke. Der Web-/SQL-Server war durch den Angriff eines Botnet sehr stark ausgelastet. Dank der Unterstützung unseres ISP konnte die DDoS-Attacke beim Internet-Backbone in Norwegen abgeblockt werden. Die Arbeit konnte bei Norman also wie gewohnt weiterlaufen. Das Botnet konnte unschädlich gemacht werden.

Seit Norman das Sandbox Information Center ins Leben gerufen hat, versuchen Hacker, die Sandbox-Technologie zu überlisten. Dies führt zu interessanten Referenzen in mancher Malware, in der auf die angeblichen sexuellen Vorlieben von „Norman“ angespielt wird. Es muss wohl nicht ernsthaft darauf eingegegangen werden, dass „Normans sexuelle Vorlieben“ strengster Geheimhaltung unterliegen und daher alle Bemerkungen reine Spekulation sind.

19. April: Weitere drei Dutzend Sicherheitslücken bei Oracle

2006 scheint das Jahr der Patches zu sein, denn ihre Zahl und die Häufigkeit nimmt stetig zu. Obwohl die Patches für verschiedene Oracle-Produkte (u. a. die Datenbank- und Server-Anwendungssoftware) veröffentlicht wurden, stellt diese Anzahl aufgrund der starken Verbreitung der Oracle-Anwendungen in großen Unternehmen ein ernstes Problem dar. Neben den Sicherheits-Patches hat Oracle außerdem Änderungen an seinem Tool vorgenommen, welches nach Standard-Logins und unsicheren Kennwörtern sucht. Unsichere, d.h. zu einfache Kennwörter können leicht erraten oder bei Brute-Force-Attacken verwendet werden. Hacker können sich so problemlos Zugang für das System verschaffen.

Mai 2006

1. Mai: Gefälschtes Popup-Fenster bei American Express

Die renommierte Kreditkartengesellschaft American Express wurde nun ebenfalls Opfer eines Phishing-Angriffs. Dabei wurden über ein Popup-Fenster persönliche Daten der Benutzer abgefragt, beispielsweise Name, Geburtsdatum oder Mädchenname der Mutter. Wichtig dabei ist die Tatsache, dass dieses Popup-Fenster selbst dann erscheinen kann, wenn der Nutzer die unternehmenseigene Website von American Express aufruft. Dieses Popup-Fenster wird höchstwahrscheinlich von Spyware erzeugt, die sich auf den Computern der betroffenen Nutzer eingenistet hat. Jeden Monat werden mehrere hundert neue Trojaner im Bereich Banken und Finanzen entdeckt.

2. Mai: DDoS auf Blog-Site

Millionen von Blogs waren nicht mehr erreichbar, als ein DDoS (Distributed Denial of Service) Six Apart, einen der größten Blog-Services der USA, lahm legte. Solche DDoS-Attacken richten sich immer mehr gegen beliebte Websites.

9. Mai: SpyCar - Das neue Test-Tool

Die EICAR-Testdatei wurde konzipiert, um feststellen zu können, ob eine Antiviren-Anwendung tatsächlich funktioniert und somit Viren aufspüren und die entsprechenden Schutzmaßnahmen ergreifen würde. Um einem gängigen Missverständnis entgegenzuwirken: Das Erkennen der EICAR-Testdatei ist KEINE Garantie dafür, dass ein Antiviren-Programm jeden Virus feststellt. Einige Hersteller von Antiviren-Programmen haben ihre Produkte bewusst so konzipiert dass die EICAR-Testdatei nicht erkannt wird. Dafür gibt es verschiedene unternehmensinterne Gründe. Sämtliche Norman-Produkte, die über die Norman Scanner Engine verfügen, erkennen die EICAR-Testdatei.

Eine weitere Initiative, um die Benutzer beim Testen ihrer Antispyware-Software zu unterstützen, ist das SpyCar Project. Nach eigenen Angaben handelt es sich dabei um eine Tool-Palette, mit der man das Verhalten von Spyware vortäuschen kann, allerdings ohne die negativen Folgen. SpyCar wurde von Intelguardians geschaffen, um Benutzern die Möglichkeit zu geben, das verhaltensbezogene Abwehrsystem von Antispyware-Programmen zu testen. Die dabei von SpyCar durchgeführten Aktionen sind jedoch sehr allgemein und wenig spywarespezifisch. So ist zum Beispiel das Ändern der Startseite in Internet Explorer nichts außergewöhnliches. Viele Benutzer tun dies absichtlich und automatisch, indem sie auf den entsprechenden Link auf ihrer Lieblings-Website klicken. Dasselbe gilt für das Ändern der Standard-Suchseite. Diese Aktionen sind nicht notwendigerweise ein Zeichen von Spyware oder Adware.

Ein Nachteil von SpyCar ist die ausschließliche Fokussierung auf Internet Explorer. Andere gängige Browser wie Firefox oder Opera werden nicht berücksichtigt. Die EICAR-Testdatei kann unabhängig von der verwendeten Antiviren-Plattform eingesetzt werden. Der Bedarf an einer Testdatei für Antispyware ist in letzter Zeit deutlich gestiegen. EICAR wird die Beschreibung der Testdatei von Antiviren-Testdatei zu Antimalware-Testdatei ändern. Definition und Inhalte der 68-Byte-Datei bleiben jedoch unverändert. Änderungen daran würden weltweit zu Problemen in der Antiviren-Branche führen.

11. Mai: Mac OSX sicher: 43 Sicherheitslücken gestopft

Auch das so oft als wesentlich sicherer angepriesene Betriebssystem Mac OSX ist nicht ohne Sicherheitsschwachstellen. Die Macintosh-Computer gewinnen seit Boot Camp immer mehr an Popularität. Die neuen Macintosh-Rechner basieren auf einer Intel-CPU. Boot Camp ermöglicht ein Starten von sowohl Mac OSX als auch Windows. Da das System so eine größere Zielgruppe anspricht, zeigen Benutzer nun mehr Interesse an Mac OSX, wodurch Schwachstellen in einem Maße aufgezeigt werden, das bis vor kurzem bei Macintosh-Systemen völlig unbekannt war. Es wurden bereits 31 Sicherheitslücken für OSX behoben, für Safari waren es bisher 12. Safari ist der Internet-Browser für Mac OSX.

12. Mai: ContextPlus RootKit nicht mehr aktiv

ContextPlus hat seine Tätigkeit eingestellt. Zu den bekanntesten Programmen des Unternehmens zählen PeopleOnPage und Apropos Nach der Installation überwachen diese Anwendungen die Internetnutzung und senden die daraus gewonnenen Informationen an die ContextPlus-Server. In Abhängigkeit von der jeweiligen Internetnutzung werden den Benutzern Popup-Fenster angezeigt, deren Inhalte sich an den Interessen der Benutzer orientieren Es ist für Benutzer natürlich sehr irritierend, wenn ständig Popup-Fenster angezeigt werden. Bei der Installation wird im Kernel-Modus RootKit-Technologie angewendet, um zu verhindern, dass das Programm von Antispyware-Programmen erkannt wird. Bekanntermaßen gestaltet sich die Erkennung von mit dieser Technologie getarnten Programmen äußerst schwierig.

25. Mai: Die neue „Geschäftsidee“

Egal welche Veranstaltung ansteht - es wird immer Menschen geben, die versuchen, einen finanziellen Nutzen daraus zu schlagen. Diesmal sind die Fans bei der anstehenden FIFA Weltmeisterschaft in Deutschland die Leidtragenden. Ein neuer Wurm mit dem Namen W32/Banwarum versendet E-Mails, in denen auf Deutsch u. a. selbst druckbare Tickets für die Spiele angeboten werden. Tatsächlich wird ein kennwortgeschützter Dateianhang - der wiederum eine Kopie des Wurms enthält - versendet. Das Kennwort ist in der E-Mail aufgeführt. Es dürfte klar sein, dass der Dateianhang selbstverständlich keine Tickets enthält. Davon abgesehen Tickets ließen sich die Tickets natürlich auch nicht so einfach auf dem heimischen Drucker ausdrucken.

Juni 2006

6. Juni: Rätselhafte Zahlen

Seit dem 6. Juni erhalten zahlreiche Unternehmen merkwürdige E-Mails, bei denen die Adressen von Absender und Empfänger übereinstimmen. Im Betreff und der Nachricht selbst finden sich nur verschiedene Zahlen mit 3 bis 7 Ziffern. Es sind keine Anhänge oder eingebettete Skripts enthalten. Ein Blick auf den Header zeigt, dass die Absenderadresse manipuliert wurde. Einige Malware-Komponenten versenden solche „Test-E-Mails“. Über den Sinn dieser E-Mails wurde viel spekuliert: Möglicherweise soll auf diese Weise eine Master-Liste mit E-Mail-Adressen von ungültigen Einträgen bereinigt werden, oder es werden so neue Adressen geprüft. Andere Meinungen gehen davon aus, dass es sich dabei um Spam- oder Phishing-Mails handelt. Es stellte sich schließlich heraus, dass die Nachrichten durch eine neue Bagle-Variante verschickt wurden.

12. Juni: US-Energieministerium: Personendaten von Hackern gestohlen

Persönliche Daten wie Namen und Sozialversicherungsnummern wurden illegal aus einer Datei im Netzwerk der US-Energiebehörde kopiert. Die gestohlenen Daten - hauptsächlich von freiberuflichen Mitarbeitern - können auf vielfältige Weise missbraucht werden. Die Daten befanden sich im ungesicherten Bereich des Netzwerks und nicht in dem Teil, in dem Daten zu den Nuklearsystemen gespeichert sind. Letzterer ist sehr viel besser geschützt. Obwohl der Diebstahl bereits vor Monaten erfolgte, wurde der Vorfall erst auf einer öffentlichen Anhörung bekannt. Bis zur Anhörung wurde auch keiner der betroffenen Mitarbeiter über den Diebstahl seiner persönlichen Daten in Kenntnis gesetzt.

13. Juni: MS06-021: Neue Löcher in Internet Explorer

Mit diesem Sicherheitsupdate wurden nicht weniger als acht kritische Sicherheitslücken und Sicherheitsschwachstellen mit hoher Wichtigkeit behoben. Werden eine oder mehrere dieser Lücken von einem Angreifer genutzt, kann dieser die völlige Kontrolle über das betroffene System übernehmen. Er kann beliebig Programme installieren oder wichtige Daten manipulieren. Außerdem kann der Hacker auf diese Weise problemlos ein eigenes Konto mit umfassenden Zugriffsrechten einrichten.

13. Juni: MS06-027: Sicherheitslücke in Microsoft Word

Eine unter dem Namen CVE2006-2492 veröffentlichte Schwachstelle in Microsoft Word ermöglicht Hackern den Zugriff auf den Computer. Mithilfe eines speziellen Word-Dokuments kann ein Angreifer Shellcode ausführen lassen, der ihm die völlige Kontrolle über das System gewährt. Es kursieren bereits verschiedene Proofs of Concept, glücklicherweise bisher ohne schädlichen Inhalt.

21. Juni: WiFi als Sicherheitsrisiko

Forschern in den USA ist es gelungen, durch Manipulation am Gerätetreiber der WiFi-Karte die Kontrolle über ein Laptop zu übernehmen. Mithilfe des Open-Source-Tools „Lots of Radio Connectivity“ (LORCORN) wurden enorme Datenmengen per Funk an verschiedene WLAN-Karten geschickt. Mit dieser Technik, die auch als „Fuzzing“ bezeichnet wird, konnten die Forscher zahlreiche Fehler in den WiFi-Gerätetreibern ausfindig machen. Einer davon war so gravierend, dass ein Angreifer ihn ausnutzen könnte, um die komplette Kontrolle über den Computer zu übernehmen. Wie die Attacke im Detail funktioniert, wollen die Forscher am 2. August auf der Sicherheitskonferenz „Black Hat“ in Las Vegas demonstrieren.

30. Juni: Macintosh wieder unter Beschuss

Nur einen Tag, nachdem Apple Aktualisierungen für seine Betriebssysteme (beispielsweise OSX) veröffentlicht hat, wurde neuer Code in Umlauf gebracht, der eine der Sicherheitslücken ausnutzt. Obwohl die Sicherheitslücken in den neu veröffentlichten Systemkomponenten durch die Aktualisierungen behoben werden, dauert es erfahrungsgemäß einige Zeit, bis alle Benutzer die Patches installiert haben. Es scheint, als würde die Mac-Plattform genau so unsicher werden, wie man es der Windows-Plattform stets vorgehalten hat. Dies ist eine Folge der zunehmenden Verbreitung von Macintosh-Computern, insbesondere seit die neuen PowerBooks nun mit einer Intel-CPU ausgestattet sind und auch Windows XP ausführen können.

30. Juni: Einführung von WinFS weiter verschoben

Die Einführung des innovativen neuen Dateisystems WinFS von Microsoft, die ursprünglich mit der Veröffentlichung von Windows Vista geplant war, wird erneut verschoben. Ursprünglich sollte diese Technik - ein datenbankgesteuertes Dateisystem - eines der Hauptelemente von Windows Vista sein; im Laufe der Zeit wurden dadurch jedoch ständig neue Verzögerungen verursacht. Microsoft gab nun bekannt, dass Vista ohne WinFS veröffentlicht wird. Das Dateisystem werde auch nicht als Plug-in für Windows Vista oder Windows XP zur Verfügung gestellt.

Die Gründe für diese neuerliche Absage sind unklar. Wenn keine technischen Gründe vorliegen, sind möglicherweise juristische Unklarheiten verantwortlich. Von verschiedenen Seiten wurden bereits kartellrechtliche Einwände gegen das WinFS-System erhoben, da es sich um eine datenbankgesteuerte Technologie handelt.

Frühere Ausgaben

Die Übersicht über die Sicherheitsereignisse im ersten Quartal 2006 finden Sie hier.