:: NORMAN :: Antivirus | Firewall

Startseite

News

Produkte und Dienstleistungen

Viren und Sicherheit

Support

Download

Partner

Kaufen

Land auswählen

Produkt auswählen

Viren und Sicherheit » Sicherheitsinformationen » 2007 » Übersicht über die Sicherheitsereignisse 2006 (IV)

Übersicht über die Sicherheitsereignisse 2006 (IV)

Zu meinen Norman Favoriten hinzufügen

Sicherheitshinweis, Woche 2, 2007

Bug

Oktober 2006

1. Oktober: Zweite Drittanbieter-Lösung zu Windows-Bug

Eine Gruppe von Sicherheitsexperten, die sich Zeroday Emergency Response Team (ZERT) nennen, haben einen Patch veröffentlicht, der die Sicherheitslücke in Windows schließt, da das Update-Patch von Microsoft immer noch nicht verfügbar ist. Vor zwei Wochen war es ebenfalls das ZERT-Team, das eine Lösung für den VML-Bug in Windows veröffentlicht hat. In diesem Fall handelte es sich um das Internet Explorer-Exploit, das die WebViewFolderIcon-Komponente missbräuchlich nutzte. Es wird sich zeigen, ob der Trend anhält und ZERT auch in Zukunft Patches schneller auf den Markt bringt als Microsoft.

2. Oktober: Sicherheitslücke bei Mac OSX

Es wurde eine weitere Sicherheitslücke bei Mac OSX gefunden, über die Angreifer uneingeschränkten Zugriff auf das System erlangen können. Obwohl Apple bereits letzte Woche einen Patch zu dieser Sicherheitslücke veröffentlicht hat, gibt es noch immer Systeme, die diesen Patch noch nicht oder zu spät verwendet haben. Das Exploit, das diese Sicherheitslücke ausnutzt, ist relativ harmlos und führt nur das Hilfsprogramm „/usr/bin/id“ aus. Dieses Hilfsprogramm zeigt dem Benutzer an, dass er über alle Berechtigungen verfügt.

6. Oktober: Missbrauch der Google Code-Suche

Google hat eine neue Suchmaschine veröffentlicht, mit der nach Quellcode gesucht werden kann. Dabei handelt es sich zweifelsfrei um ein sehr praktisches Tool, mit dem Sie gezielt nach speziellem Quellcode suchen können; es kann aber auch von Hackern in großem Stil missbräuchlich eingesetzt werden.
Wenn irgendwo im Netz der Quellcode von Sicherheits-Tools veröffentlich ist, ist es mit diesem Tool ganz einfach, Hardcode-Passwörter zu ermitteln, die Tools auf Sicherheitslücken hin zu untersuchen usw. Jedoch sind die problematischen Begleiterscheinungen dieses Tool nicht so gravierend, wie ursprünglich angenommen: Denn sollte tatsächlich der Quellcode von Sicherheitssoftware irgendwo online verfügbar sein und fest programmierte Passwörter bzw. größere Sicherheitslücken enthalten, wäre es nur eine Frage der Zeit, bis diese auch mit herkömmlichen Mitteln gefunden werden würden.

9. Oktober: US-Handelsministerium wird von chinesischen Systemen attackiert

Die Websysteme des US-Handelsministeriums werden hauptsächlich von Systemen in China angegriffen. Als Folge mussten die Systeme der Behörde, die Exportlizenzen vergibt, für mehr als einen Monat vom Internet getrennt werden, da die Angriffe sich offensichtlich darauf konzentrierten, vertrauliche Daten aus den Systemen zu erlangen.

17. Oktober: Windows-Würmer auf Apple iPods

Apple hat in einer Warnung mitgeteilt, dass einige iPods der jüngsten Charge mit einem Wurm für die eingebaute Windows-Plattform ausgeliefert wurden (eine Variante des W32/Delf). Der Wurm selbst stellt keine Gefahr für den iPod oder das Mac OS-Betriebssystem dar, mit dem der iPod verbunden ist; wird der iPod jedoch mit einem Windows-basierten Rechner verbunden, kann der Wurm vom iPod aus ausgeführt bzw. auf den Rechner kopiert werden. Die Anzahl der iPods, die diesen Wurm enthalten, ist gering, und Apple hat seine Sicherheitsprotokolle verschärft, um einen solchen Vorfall in Zukunft zu verhindern. Bei dem Verursacher dieses Übels handelt es sich um einen einzigen infizierten Windows-Rechner in einer der Fertigungsanlagen.

18. Oktober: Erste Sicherheitslücke bei Internet Explorer 7 nur wenige Stunden nach Versionsstart entdeckt

Nur Stunden nach dem offiziellen Start der lange erwarteten Version 7 des Internet Explorer wurde die erste Schwachstelle entdeckt, über die möglicherweise vertrauliche Daten ermittelt werden können. Grund für die Sicherheitslücke ist die Art und Weise, wie URLs vom „mhtml“ URL Redirection Information-Handler gehandhabt werden. Wie so oft kann durch einfaches Deaktivieren des Active Scripting die Sicherheitslücke geschlossen werden.

November 2006

1. November Windows CE 6 wird mit Kernel-Quellen ausgeliefert

Heute hat Microsoft die Version 6 von „Windows Embedded CE“ gestartet. Die neue Version wurde natürlich hinsichtlich der Sicherheit verbessert und bietet mehr Funktionen. Die wichtigste Neuerung ist jedoch, dass sie den Quellcode des Kernels enthält. Vor 10 Jahren wurde Windows CE als eingebettetes Echtzeit-Betriebssystem gestartet. Inzwischen ist Windows CE auch zum Kernstück von Windows Mobile geworden, das von immer mehr Smartphones, Multimedia-Geräten, PDAs usw. genutzt wird. Da die Rechner, auf denen Windows CE ausgeführt wird, immer leistungsstärker werden, wurden die Multitasking-Möglichkeiten von CE weiter verbessert: Jetzt können 32.000 Prozesse gleichzeitig ausgeführt werden, und ein virtueller Speicher von 2 GB wird unterstützt.

3. November: Lehrer behauptet, Kinderpornobilder wurden durch Computervirus eingeschleust

Ein ehemaliger Mathematiklehrer aus Georgia, USA, behauptet, dass ein Computervirus eine Website verändert und Kinderpornobilder darauf gestellt hat, und versucht so, einer Verurteilung zu entgehen.
Seit dem 10. März ist es bewiesen, dass die Autoren von Adware und Spyware keinerlei Skrupel haben, ihre Malware-Tools auf Benutzerrechnern zu installieren. Sie gehen sogar so weit und benutzen einen Kinderpornofilm als Ablenkmanöver, während die Malware-Programme heruntergeladen und installiert werden. Dieses Ablenkmanöver funktioniert bislang aber nur dann, wenn die Benutzer das Programm tatsächlich auch ausführten, um den Film anzuschauen. Eine Überprüfung des Rechners des beschuldigten Lehrers durch die High Technology Investigative Unit (Untersuchungseinheit für Hochtechnologie) der Justizbehörde ergab, dass zwei Viren gefunden wurden, die jedoch beide nicht in der Lage waren, Bilder von Kinderpornografie herunterzuladen. Der Beschuldigte wurde zu einer Gefängnisstrafe von 17 1/2 Jahren verurteilt.

13. November: GMail wird von Microsoft als Virus erkannt

GMail, der E-Mail-Service von Google, ist sehr beliebt, und es hätte verheerende Folgen, wenn es sich dabei tatsächlich um einen Virus handelte. Wenn ein Benutzer OneCare von Windows installiert hat und sich auf der GMail-Website einloggen möchte, blockiert OneCare den Zugriff auf die Website, da OneCare die Website als mit dem Virus „BAT/BWG.A“ infiziert einstuft. In diesem Fall handelt es sich ganz offensichtlich um eine Falschdiagnose durch OneCare, und natürlich ist Microsoft wieder an der Reihe, um dies zu lösen. Microsoft reagierte und veröffentlichte neue Definitionsdateien mit einer geänderten Signatur, um den eigentlichen Virus zu finden und nicht schon bei der Website selbst Alarm zu schlagen.

16. November: Zwei chilenische Hacker wieder frei

Zwei Chilenen, die unter Verdacht stehen, Tausende von Regierungswebseiten gehackt zu haben, wurden zwar wieder auf freien Fuß gesetzt, weitere Ermittlungen sind aber noch im Gange. Das Gericht hat verfügt, dass sich die zwei Verdächtigten während der laufenden Ermittlungen von Computern fernhalten müssen. Die zwei Beschuldigten sind angeblich Mitglieder des „Byond Team“, das für das Hacken von weltweit 8.000 Websites verantwortlich ist. Die Polizei hat 90 Tage, um ihre Ermittlungen abzuschließen. Während dieser Zeit dürfen die beiden Beschuldigten das Land nicht verlassen.

23. November: Microsoft schlägt gegen Phisher zurück

Microsoft hat 129 Gerichtsverfahren gegen Phisher in Europa, dem Mittleren Osten und Asien eingeleitet. Microsoft hat schon früher Gerichtsverfahren angestrengt und war damit erfolgreich gewesen, wie im Fall eines türkischen Phishers, der zu 2 1/2 Jahren Gefängnis verurteilt wurde. Der Betrug mit IDs wird leider immer häufiger, weswegen Microsoft die „Redmond’s Global Phishing Enforcement Initiative“ gestartet hat, um diese Art des Betrugs zu bekämpfen.

27. November: Sicherheitslücke bei Firefox

Ein Bug im Passwort-Manager des Firefox-Browsers macht es Hackern leicht, Benutzerdaten zu stehlen. Der Passwort-Manager kann dazu überlistet werden, Login-Daten an die Website des Angreifers zu übermitteln. Damit dies funktioniert, muss der Angreifer ein HTML-Formular auf einer Website erstellen, was auf Blogging- und Dating-Sites üblich und zulässig ist.

28. November: Symantec Antivirus als Überträger

Einer neuer Bot verbreitet sich über eine Sicherheitslücke in der Antivirus-Software von Symantec und nutzt fünf Sicherheitslücken bei Microsoft. Alle Sicherheitslücken wurden vor langer Zeit gepatcht, aber dennoch hat es einige Benutzer „erwischt“. Der Bot ist eine Variante des W32/Spybot und untersucht Port 2967 darauf hin, ob auf dem System sicherheitsanfällige (nicht gepatchte/nicht aktualisierte) Antivirussoftware von Symantec installiert ist, und überträgt sich in so einem Fall selbst.

Dezember 2006

5. Dezember: Day-Zero-Angriff über Sicherheitslücke in Microsoft Word

Microsoft hat in einer Warnung gemeldet, dass eine nicht gepatchte Sicherheitslücke in Word für einen Day-Zero-Angriff missbraucht wird. Durch das Öffnen eines speziellen Word-Dokuments wird von außen Code ausgeführt, durch den der Angreifer völlige Kontrolle über das System erhält.

Der wenig hilfreiche Rat von Microsoft, um sich vor diesem Angriff zu schützen, lautet, „Word-Dateien weder zu öffnen noch zu speichern“, selbst wenn sie aus sicheren Quelle stammen. „Als beste Schutzmaßnahme sollten Benutzer immer äußerste Vorsicht walten lassen, bevor sie unverlangte Anhänge öffnen, egal, ob diese von bekannten oder unbekannten Quellen stammen“, sagte Microsoft. Wie sollten Sie also mit Firmendokumenten verfahren, die zwar von einem Kollegen stammen, den Sie aber nicht kennen?

11. Dezember: Erneuter Day-Zero-Angriff über Sicherheitslücke in Microsoft Word

Selbst eine Woche nach Entdeckung dieses Angriffs gibt es noch keinen Patch dazu. Ein weiterer Trojaner nutzt dieser Sicherheitslücke aus. Microsoft hat mitgeteilt, dass die Patches am Patch-Dienstag (12. Dezember) noch keine Behebung dieser Sicherheitslücke enthalten werden. Das heißt, die Sicherheitslücke bleibt mindestens bis Januar offen und Autoren von Malware können problemlos weitere Trojanische Pferde erstellen, um diese Sicherheitslücke einen weiteren Monat lang auszunutzen.

20. Dezember: Logische Bombe gelegt

Auf das Risiko hin, seinen Arbeitsplatz zu verlieren, hat ein Computeradministrator eine logische Bombe in das Computersystem seines Arbeitgebers bei Medco Health Solutions Inc. gelegt. Die logische Bombe würde beim „Detonieren“ vertrauliche Patienteninformationen löschen. Laut den lokalen Behörden hat der Computeradministrator die logische Bombe selbst erstellt und auf die Medco-Server gelegt, um nahezu alle Daten auf den Servern zu löschen, indem bestehender Computercode geändert und neuer Code hinzugefügt wird. Angeblich wurde die Bombe so eingestellt, dass sie am Geburtstag ihres Autors, dem 23. April, detoniert.

27. Dezember: AACS für HD DVD geknackt

Der Hacker namens Muslix64 brauchte nur 8 Tage, um den „nicht entschlüsselbaren“ AACS-Schutz zu knacken. Der Grund für seinen Hackangriff: Er konnte einen HD-Film nicht auf seinem Windows-Rechner anschauen, da seine Video-Karte nicht HDCP-kompatibel war.

Das Advanced Access Content System (AACS) ist ein Standard für die Verbreitung digitaler Inhalte und deren digitale Rechteverwaltung, mit dem die Abspielfähigkeit und das Kopieren von optischen Medien und DVDs der nächsten Generation eingeschränkt werden kann. AACS setzt auf Kryptographie, um die Nutzung digitaler Medien zu kontrollieren. AACS-geschützter Inhalt ist unter einem oder mehreren Titelschlüsseln verschlüsselt, wofür Advanced Encryption Standard (AES) genutzt wird.
Titelschlüssel (Title Keys) bestehen aus einer Kombination eines Medienkennworts (Media Key) und weiterer Elemente, einschließlich einer Volume-ID des Mediums (z. B. einer technischen Seriennummer eingebettet auf einer DVD) und eines kryptograhpischen Hash der Regeln für die Titelverwendung.

Der entscheidende Unterschied zwischen AACS und früheren Inhaltsverwaltungssystemen liegt darin, wie titelspezifische Entschlüsselungsschlüssel verteilt werden.. Unter CSS werden alle Abspielgeräte eines bestimmten Modells mit dem gleichen, gemeinsam verwendeten Entschlüsselungsschlüssel ausgestattet. Inhalt wird unter dem Titel-spezifischen Schlüssel verschlüsselt, der selbst wiederum unter dem jeweiligen Modellschlüssel verschlüsselt wird.

Security Information

Frühere Ausgaben

VIRUSWARNUNGEN

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Neueste Virensignaturen

>>	2008-12-02

Sicherheitsinfo

>>	Internet gaming - new opportunities for the (shady) visionary
>>	Der Kampf gegen Malware an zwei Fronten

Sicherheitshinweise

>>	Ein kritisches Update für Microsoft-Systeme im November 2008
>>	Nicht geplantes Update für Microsoft-Betriebssysteme

Norman zählt weltweit zu den führenden Herstellern von Daten- und Netzwerksicherheits-Lösungen. Mit Produkten zum Schutz vor Viren, Spyware, Adware, Phishing und Spam spielt das Unternehmen eine entscheidende Rolle in der Datenindustrie.