Januar 2006

1. januar: MS06-001, Windows Meta File (WMF)-sårbarhet

Året startet med at en ny sårbarhet ble oppdaget i Windows Graphics Rendering Engine (GRE). Dersom en angriper lager en spesiell Windows Meta File (.wmf), er det mulig å få kjørt programkode på et sårbart system og dermed få full kontroll over dette. Siden denne modulen, som brukes for å vise grafikk, finnes på alle versjoner av Windows, var alle datamaskiner med Windows operativsystem sårbare. Allerede samme dag som sårbarheten ble kjent, kom de første eksempler på ondsinnet programvare som utnyttet denne, altså et såkalt dag-null-angrep.

Norman la inn teknikk for å finne disse og tilsvarende utnyttelser av sårbarheten i sin Sandbox-teknologi. I løpet av flere dager kom det stadig nye typer ondsinnet programvare som forsøkte å utnytte sårbarheten, men alle ble stoppet av Norman Sandbox

5. januar: Sober-"angrepet"

Det Sober-angrepet som enkelte eksperter varslet ville komme 5. januar, kom ikke. Hovedårsaken til dette var først og fremst en svakhet i virusanalysen: sammenligningen med den siste Sober-varianten er "Sammenligningsdag > 5. januar", noe som innebærer tidligst 6. januar. Imidlertid skjedde det ikke noe den dagen heller, og ikke dagene etter. Den såkalte feiringen av at det var 87 år siden Nazi-partiet ble stiftet, gjør at dette ble en mer oppblåst begivenhet enn en reell trussel. Hva skulle være motivasjonen til forfatteren av det ondsinnede programmet for å feire stiftelsen av Nazi-partiet og deretter feire dette hver eneste dag etter 5. januar?

10. januar: MS06-002, Embedded Fonts-sårbarhet

Når man surfer på Internett, er det fort gjort å komme til websider man ikke hadde planlagt å besøke. Dette skjer for eksempel ved at man skriver feil i webadressen, og man kan dermed ende på et websted som er registrert av noen andre. I og med MS06-002 ble dette enda mer farlig, da man oppdaget en sårbarhet i den måten Windows håndterer visse web-fonter. Dersom man besøkte en webside som var laget på en spesiell måte, eller åpnet en epost som var laget på tilsvarende måte, kunne en angriper ta full kontroll over systemet.

10. januar: MS06-003, TNEF-sårbarhet

Brukere er sårbare dersom de åpner en melding som inneholder et spesiallaget Transport Neutral Encapsulation Format (TNEF) MIME-vedlegg, eller dersom en slik melding blir prosessert av Exchange serverens Information Store. Angriperen som sender en slik spesiell melding kan få full kontroll over sårbare system.

17. januar: W32/Small.KI var ikke liten

Det var forholdsvis lenge siden et destruktivt virus oppnådde høy grad av spredning, men dette skjedde med W32/Small.KI. Dette viruset var merkelig og viste seg dessuten å være vanskelig å navngi. Nesten hvert eneste antivirusselskap benyttet forskjellig navn - Nyxem, MyWife og KillAV er bare et lite antall eksempler. I tillegg til dets mange navn hadde det også en rekke ulike måter det kunne påføre skade på. Det er forventet at det vil det ødelegge informasjon i Word-dokumenter, Excel-regneark, Access-databaser, Powerpoint-presentasjoner, Adobes PDF-filer, ZIP- og RAR-arkivfiler den 3. i hver måned.

Februar 2006

3. februar W32/Small.KI - ingenting hendte

Til tross for at dette viruset er svært utbredt og skulle slå til og utøve skade den tredje hver måned (første gang 3. februar), kom det tilnærmet ingen rapporter om at informasjon var ødelagt pga. viruset. Det fantes et ekstern web-basert telleverk som summerte antall infeksjoner (eller mer presist: antall oppkoblinger mot en spesiell webside). Det faktum at telleverket hadde nådd over 15 millioner uten skade av betydning, tyder på at brukere hadde tatt sine forholdsregler ved å sørge for oppdaterte antivirusprogram.

14. februar: MS06-004: WMF-sårbarhet

En ny sårbarhet ble oppdaget i måten WMF-bilder ble håndtert. Også denne sårbarheten kunne innebære at angripere kunne ta kontroll over programmet. Dette kunne skje via spesielle bilder på websteder eller ved å åpne e-post som inneholder slike bilder.

14. februar: MS06-005, Windows Media Player-sårbarhet

Windows Media Player kan laste visse typer bilder. Normalt er dette omslagene til de plater som spilles. Dersom slike plateomslag er laget på en spesiell måte, er det mulig å få kjørt programkode på den lokale maskinen.

14. februar: MS06-006, Windows Media Player Plug-In-sårbarhet

Vi er imidlertid ikke ferdig med Windows Media Player, da enda en sårbarhet ble oppdaget; denne gangen i Plug-In-modulen for nettlesere som ikke er fra Microsoft. Dette skyldes den måte Windows Media Player Plug-In håndterer et <EMBED>- element. EMBED-elementer er “tagger" og den mest vanlige måte man tilgjengeliggjør lyd på websider. Et spesielt, ondsinnet <EMBED>-element på en webside kan føre til at ondsinnet programkode kan bli kjørt av nettlesere fra andre leverandører enn Microsoft, når en slik webside besøkes.

14. februar: MS06-007, Mulig Denial-of-Service ved sårbarhet i Ping

Spesielle Ping (IGMP)-pakker kan føre til at berørte systemer ikke lenger svarer, noe som innebærer Denial-of-service-angrep (tjenestenektangrep ). Dersom man ikke er tilstrekkelig beskyttet og oppdatert, kan hele nettverk berøres slik at de ikke lenger er i stand til å respondere på legitime forespørsler.

16. februar: Det første ondsinnede program for Mac OSX: OSX/Leap.A

I årtider har Windows-brukere blitt ertet av Macintosh OSX-brukere om at sistnevntes operativsystem er både sikrere og mer brukervennlig. Nå har vi imidlertid fått se et lite ondsinnet program som angriper OSX. Dette er først og fremst et bevis på en teknikk ("proof of concept"), da det ondsinnede programmet, som kalles OSX/Leap.A, kjøres på mottakers maskin, men uten at det sprer seg videre. Dette er det første ondsinnede program for OSX som er utviklet og et er sannsynlig at det vil komme flere og at et ondsinnet program for OSX som faktisk sprer seg, vil se dagens lys.

17. februar: Det andre ondsinnede program for Mac OSX: OSX/Ingtana.A

Og sannelig - det tok bare én dag før det neste ondsinnede program for OSX ble oppdaget, en orm kalt OSX/Ingtana.A. Denne er i stand til å spre seg over Bluetooth. Imidlertid bruker denne ormen bare en tidsbegrenset demonstrasjonsversjon av et Bluetooth-bibliotek, og derfor bør også denne betraktes som at det er laget for å ville vise at en spesiell teknikk kan benyttes. Dersom ormen hadde blitt laget med en ikke-begrenset versjon, kunne den ha vært farligere. Apple har klar oppdateringer som vil oppdatere systemet for å beskytte brukerne mot CVE ID: 2005-1333, Bluetooth File and Object Exchange Directory Traversal-sårbarheten, som denne ormen utnytter.

Mars 2006

6. mars: Proof of Concept-virus oppdaget for InfoPath

Dette er et nytt virus som viser at en spesiell teknikk kan benyttes for å infisere enda en applikasjon i Microsoft Office Suite. Applikasjonen som man har siktet seg inn på denne gangen, er InfoPath og det aktuelle viruset kalles W32/Icabdi.A. Siden dette demonstrasjonsviruset ikke utfører noen ondsinnede handlinger og er avhengig av eksterne applikasjoner, er det imidlertid liten grunn til at brukere bør bekymre seg for dette. MEN det er likevel mulig at det kommer en flom av nye virus som benytter seg av tilsvarende teknikk.

10. mars: Trojaner bruker barnepornografi for å gjemme seg selv

Norman identifiserte en ny trojaner denne dagen. Dette er ikke noe spesielt for et datasikkerhetsselskap, men denne trojaneren installerer og viser en film med barnepornografi. Trojaneren og videoen distribueres over Internett via flere forskjellige kanaler; fildelingsnettverk (bl.a. Kazaa) og sannsynligvis også over e-post. Trojaneren som er navngitt W32/Agent.ULL, advarer mot offensivt innhold i filmen, men benytter videoen som et agn for å få brukerne til å klikke på den.

Hensikten er ikke primært å vise filmen, men derimot å installere en rekke ondsinnede program som lastes ned automatisk mens filmen vises. Filmen er der for å distrahere brukeren mens den øvrige aktiviteten foregår. De ondsinnede programmene som lastes ned og installeres er en hel familie av skadelige reklame- og spionprogram, samt en annonsekampanje for pornografiske websteder.

En uke senere mottok Norman enda en trojaner som benyttet den samme filmen.

14. mars: MS06-012, Fjerneksekvering fra MS Office

Dersom en bruker er logget på med administrative rettigheter, kan en angriper få alle rettigheter til systemet og kan kjøre hvilken som helst programkode. Denne sårbarheten er definert som kritisk av Microsoft, da den finnes i alle versjoner av Office, inkludert de som er for Macintosh.

15. mars: Proof of Concept for et RFID-virus.

Forskere ved Universitetet i Amsterdam har lykkes i å infisere en RFID-brikke (Radio Frequency Identification Device) med et datavirus. Hittil har man ment at minnekapasiteten på RFID-brikker var for liten til at de kunne infiseres. Dette er nå motbevist.

RFID-brikker kan brukes på mange måter, som for eksempel støpt inn i pass, bagasjemerkelapper for fly og en mengde elektroniske småting. De kan også implanteres under huden til kjæledyr etc. Til tross for at det er mange forutsetninger som må være til stede før et virus er mulig (bl.a. utstyr for å skrive til RFID-brikker), kan publiseringen av dette forskningsarbeidet føre til at vi raskere får det første virus for slike brikker.

21. mars: Programvare for beskyttelse av digitale rettigheter (DRM) krever brutal maskinomstart

Et selskap som er kjent for å lage DRM-programvare for dataspillindustrien er StarForce. Man har oppdaget at selskapets implementering installerer en driver på det høyeste nivå i systemet (ring0). På dette nivået vil driveren alltid være lastet og kjøre uavhengig av om du spiller er dataspill som er beskyttet av StarForces DRM-programvare eller ei. En driver som kjører på dette nivået har fullstendig kontroll over systemet. I det øyeblikk denne DRM-programvaren oppdager mistenkelig aktivitet som tyder på at noen forsøker å kopiere den beskyttede programvaren, vil DRM-programmet sørge for at systemet omstartes. Det er rapportert at dette gjøres på den mest brutale måte, og ikke ved at systemet tas ned på vanlig, kontrollert vis. En normal omstart vil innebære at man får mulighet til å lagre data som ikke er lagret, mens en brutal omstart fører til at all informasjon som ikke er lagret går tapt.

22. mars: Orm går for Rootkit

Forfatteren(e) av Bagle-ormene har innført et nytt nivå for sine skapninger. Fra og med W32/Bagle.MD benyttes rookit-teknologi. Dette innebærer at ormen er vanskeligere å oppdage og mer problematisk å fjerne når den er lastet i minnet. Det å benytte rootkit-teknologi for ormer og virus kan være lønnsomt for forfatterne av ondsinnede program, da man blir infisert ved at ondsinnet programvare spres hele tiden.

23. mars: Ny sårbarhet i Internet Explorer (CVE2006-1359)

Den måten som Internet Explorer håndterer systemkallet “createTextRange()" på et avkrysningsobjekt kan være potensielt farlig. Websider som er laget på en spesiell måte kan få Internet Explorer til å krasje slik at vilkårlig programkode kan bli kjørt. Eksempler på slik kode som virker er funnet på minst 37 websteder. Microsoft har i skrivende stund ikke lansert en sikkerhetsoppdatering for denne sårbarheten. Andre nettlesere er ikke berørt av dette sikkerhetshullet. En måte som brukere av Internet Explorer kan komme rundt sårbarheten, er ved å slå av Aktiv skripting og Skripting av Java Applets. Hvordan dette gjøres for ulike versjoner av Internet Explorer kan du få informasjon om her http://support.microsoft.com/kb/q154036

Norman har inkludert generisk deteksjon av denne sårbarheten i sine produkter som JS/Exploit!CVE-2006-1359, og i det dette skrives, stoppes all den kode som lastes ned fra ondsinnede websteder som følge av dette sikkerhetshullet.