Freitag, April 18, 2014
Text Size
++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++
Alerts / Sicherheitswarnungen
Donnerstag, den 26. April 2012 um 08:40 Uhr

Schwachsellen in Telekom Speedport WLAN-Routern

BSI weist auf Schwachstelle in WLAN-Routern hin

Derzeit gibt es bei mehreren von der Deutschen Telekom AG vertriebenen WLAN-Routern nach Informationen des Unternehmens eine Schwachstelle. Diese ermöglicht den unerlaubten Zugriff auf das interne Netzwerk. Es handelt sich um die Modelle Speedport W 504V, Speedport W 723 Typ B und Speedport W 921V.
Ursache der Schwachstelle ist ein Fehler in der sogenannten WPS-PIN-Methode (Wi-Fi Protected Setup), über die sich Nutzer mit dem WLAN verbinden können.

Da in diesen Routern der identische WPS-PIN eingestellt ist, könnten Angreifer mithilfe dieser PIN ihr WLAN-fähiges Gerät wie Laptop oder Smartphone unbemerkt an ein internes Netzwerk anschließen. Dadurch kann er über den Internet-Zugang der Betroffenen im Internet surfen und auf die Dateien von Netzwerkfestplatten oder freigegebenen Ordnern zugreifen.

Ob Sie betroffen sind, können Sie anhand des Typenschildes auf der Rückseite des Routers überprüfen. Anwender der beiden WLAN-Router Speedport W 504V und Speedport W 723V Typ B sollten vorübergehend über die Konfigurations-Weboberfläche des Geräts die WPS-Funktionalität deaktivieren.

Bei dem Modell Speedport W 921V funktioniert diese Option dagegen nicht und auch das Ändern der PIN schließt die Lücke nicht. Deshalb sollten Sie ihr WLAN ausschalten und momentan nur noch kabelgebunden ins Internet gehen. Um durch zukünftige Firmware-Updates geschützt zu werden, sollten Sie sicherstellen, dass die Funktion automatischer Updates aktiviert ist. Dafür muss die WLAN-Funktion nicht aktiviert sein.
Veröffentlicht in Alerts / Sicherheitsanalysen
Dienstag, den 17. April 2012 um 10:35 Uhr

BSI Warnung: Schwachstelle in IrfanView-Plugin FlashPix

Risikostufe: 4 von 5

Betroffene Systeme
Das Vorhandensein der Schwachstelle ist für Version 4.3.2.0 des FlashPix-Plugins bestätigt. Andere Versionen sind möglicherweise ebenfalls betroffen.

Empfehlung
Das Bürger-CERT empfiehlt allen Anwendern des Bildbetrachters IrfanView, die die offiziellen IrfanView Plugins installiert haben, ein Update des FlashPix-Plugin auf Version 4.3.4 vorzunehmen. Dieses Plugin ist auf der Web Seite des Herstellers verlinkt und ist zum Zeitpunkt der Veröffentlichung dieser Meldung nicht Teil der offiziellen Plugin Version 4.3.3 und muss daher separat installiert werden.
Beschreibung

Das FlashPix-Plugin des Bildbetrachtungsprogramms IrfanView weist eine Sicherheitslücke beim Dekomprimieren von manipulierten FlashPix-Bilddateien auf. Die Ausnutzung der Schwachstelle ermöglicht es einem Angreifer beliebigen (Schad-)Code im Kontext des angemeldeten Benutzers auszuführen. Ein Exploit zur Ausnutzung der Schwachstelle wurde bereits im Internet veröffentlicht.

Quellen

Veröffentlicht in Alerts / Sicherheitsanalysen
Apple hat mit iOS 4.3.5 einen P_atch http://support.apple.com/kb/HT4824 für eine Schwachstelle veröffentlicht, die von der Recurity Labs GmbH im Rahmen einer für das BSI durchgeführten Sicherheitsanalyse von iOS und anderen Plattformen aufgedeckt wurde. Die Schwachstelle beruht auf der nicht korrekten Überprüfung der X.509-Zertifikatskette in iOS 4.3.4. Insbesondere durch die fehlende Überprüfung der "Basic Constraints" konnte ein gültiges Anwenderzertifikat als valides CA-Zertifikat genutzt werden. Dadurch wurde ein Man-in-the-Middle-Angriff auf SSL/ TLS ermöglicht.

Durch eine Korrektur des Prüfvorgangs wurde die Sicherheitslücke geschlossen.

Aktuell ist der Patch (iOS 4.3.5) verfügbar für die Versionen
  • iOS 3.0 bis 4.3.4 auf iPhone 3GS und iPhone 4 ( GSM)
  • iOS 3.1 bis 4.3.4 auf iPod touch (3. und 4. Generation)
  • iOS 3.2 bis 4.3.4 auf iPad und iPad 2

Das BSI empfiehlt, die oben genannten Geräte umgehend auf die Version iOS 4.3.5 zu aktualisieren.

Der beschriebene Patch ist ausschließlich über iTunes verfügbar. Für ein zeitnahes Update empfiehlt das BSI den Update-Vorgang in iTunes manuell einzuleiten.

Weitere Details zum Update finden Sie auf der Supportseite von Apple http://support.apple.com/kb/ht1414

Wie von Recurity Labs beschrieben, kann die Verwundbarkeit des Geräts auch getestet werden.

Solange der Aufruf der Webseite https://iSSL.recurity.com im Safari-Browser ohne Warnung möglich ist, ist die Schwachstelle noch nicht geschlossen.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Veröffentlicht in Alerts / Sicherheitsanalysen
Donnerstag, den 26. Mai 2011 um 10:14 Uhr

Imperva: Remote File Inclusion - Die unsichtbare Gefahr

Impervas Hacker Intelligence Initiative (HII) veröffentlicht in regelmäßigen Trend Reports Hintergründe aus dem Hacker-Untergrund. Als Teil des Application Defense Centers (ADC) untersucht die HII aktuelle Angriffsmethoden, neue Entwicklungen bei der Sicherheit von Web-Applikationen sowie die dahinter liegenden Geschäftsmodelle der Hacker. Der aktuelle Report beschäftigt sich mit einer Angriffsmethode, die viele verbreitete Sicherheitsmaßnahmen unterläuft: Remote File Inclusion (RFI).

Hacker-Angriffe wie SQL-Injection und Cross-Site Scripting ( XSS) genießen bei Sicherheitsverantwortlichen in Unternehmen mittlerweile eine traurige Berühmtheit. Durch ihren häufigen Einsatz sind Schutzmechanismen oder zumindest Warnsysteme gegen solche Angriffe mittlerweile sehr verbreitet, was sie zwar nicht entschärft, aber immerhin kontrollierbarer macht. Weniger bekannt ist eine andere Angriffstechnik, die genauso viel Schaden anrichten kann, dabei aber meist die klassischen Sicherheitsmaßnahmen unterläuft: Remote File Inclusion (RFI).

Bei diesem Angriff werden Schwachstellen in Web-Applikationen ausgenutzt, um Anwendungen beim Zugriff auf Dateien, die auf unterschiedlichen Servern gespeichert sind, umzuleiten. Die meisten Angriffe zielen dabei auf die Skriptsprache PHP. Da PHP die Eingaben bei solchen Zugriffen nicht ordentlich prüft, lassen sich die verwendeten Links auf andere Webseiten umleiten – die sich unter der Kontrolle des Hackers befinden.

RFI ist vor allem deshalb so tückisch, weil PHP bei zahlreichen Webseiten verwendet wird – unter anderem bei Facebook oder bei verbreiteten Customer Relationship Management (CRM)-Systemen, die in vielen Unternehmen genutzt werden. Hacker können solche Angriffe für den Diebstahl vertraulicher Daten, für die Manipulation der Informationen oder für die Übernahme des gesamten Servers verwenden.

RFI-Attacken machten zwischen Dezember 2010 und März 2011 nur einen geringen Teil des Datenverkehrs bei von Imperva beobachteten Angriffen aus. Allerdings traten diese Angriffe häufig sehr konzentriert und innerhalb eines kurzen Zeitraums auf – ein deutlicher Indikator für automatische Hacker-Tools, die für Kriminelle die technische Einstiegshürde erheblich senken. Gleichzeitig zielten die Angriffe meist auf eine größere Zahl von Webseiten ab und wurden teilweise über Wochen oder Monate mit dem gleichen Code wiederholt.

„RFI-Angriffe sind besonders gefährlich, weil sie nur wenig verbreitet sind, weshalb viele Unternehmen keine wirkungsvollen Verteidigungsmechanismen gegen sie haben“, so Dietmar Kenzle, Regional Sales Director DACH & Eastern Europe bei Imperva. „Die meisten von ihnen zielen auf die in Deutschland sehr verbreitete Skriptsprache PHP, was die Unternehmen hier überdurchschnittlich angreifbar macht.“

Schützen kann man sich gegen solche Angriffe, indem man Signaturen für bekannte Applikationsschwachstellen nutzt. „Zusätzlich empfiehlt sich eine Web Application Firewall, die über Informationen zu aktuellen RFI-Angriffen verfügt und idealerweise auch eine Blacklist nutzt, mit der sich die bösartigen Links identifizieren lassen. Auf diese Weise lassen sich auch neue Schwachstellen nicht ausnutzen.“

Der vollständige Report ist hier abrufbar.
Veröffentlicht in Alerts / Sicherheitsanalysen
Die F-Secure Labs berichten im eigenen Weblog von Attacken auf Internetnutzer, bei denen mit Hilfe der Thematik "Atomkatastrophe in Japan" und kompromittierten Excel-Dateien, die eine aktuelle Flash-Schwachstelle ausnutzen, die Rechner mit M-alware infiziert werden sollen.

Die Cyberkriminellen nutzen derzeit die massive Verunsicherung der Weltbevölkerung bezüglich der aktuellen Situation in Japan aus und versuchen Internetnutzer durch themenspezifische "Angebote" via Email zum Öffnen von gefährlichen, kompromittierten Dateien zu bewegen. In aktuellen Fällen wurde infizierte Excel Dateianhänge beobachtet, die bekannte Flash Schwachstellen ausnutzen.

Hier ein Screenshot einer dieser gefährlichen Emails (von Contagio bereit gestellt):

F_Secure_CVE_2011_0609_1

Die analysierten XLS-Beispiele hatten die folgenden Hash-Werte:
  • 4bb64c1da2f73da11f331a96d55d63e2
  • 4031049fe402e8ba587583c08a25221a
  • d8aefd8e3c96a56123cd5f07192b7369
  • 7ca4ab177f480503653702b33366111f
F-Secure Lösungen erkennen diese Bedrohung als " Exploit.CVE-2011-0609.A" und "Exploit:W32/XcelDrop.F".

Ein weiteres, von den F-Secure analysiertes Beispiel (mit dem MD5-Wert 20ee090487ce1a670c192f9ac18c9d18) ist ebenfalls eine Excel-Datei, die mit Hilfe eines eingebetteten Flash-Objektes versucht, die bekannte Flash-Schwachstelle CVE-2011-0609 auszunutzen.


Anmerkung zur CVE-2011-06909

Adobe Flash Player 10.2.153.1 Security Update
  • Berichts-ID: SA201106596
  • Quelle: F-Secure
  • >Entdeckungsdatum: 22. März 2011
  • Einstufung: Kritisch
  • Betroffene Lösungen:
    • Adobe Flash Player 10.2.152.33 und frühere Versionen für Windows, Macintosh, Linux und Solaris
    • Adobe Flash Player 10.2.154.18 und frühere Versionen für Chrome
    • Adobe Flash Player 10.1.106.16 und frühere Versionen für Android
    • Adobe AIR 2.5.1 und frühere Versionen für Windows, Macintosh und Linux
  • Angriffsmöglichkeit: Remote Code Ausführung
  • Zusammenfassung: Es wurde ein Sicherheitsupdate für den Adobe Flash Player bereitgestellt, dass eine Schwachstelle behebt, die zum Absturz der Applikation und möglicherweise zur Ausführung von Remote Code auf einem fehleranfälligen System führen kann.
  • Empfehlung: Es wird dringend empfohlen, dieses Sicherheitsupdate umgehend einzuspielen, da diese Schwachstelle durch kompromittierte Excel Dateien "in the wild" bereits ausgenutzt wird.
  • Lösung:
  • Original-Referenz: APSB11-05 - Sicherheitsupdate für den Adobe Flash Player bereitgestellt (http://www.adobe.com/support/security/bulletins/apsb11-05.html)
  • CVE Referenz: CVE-2011-0609

Wenn die kompromittierte Excel-Datei geöffnet wird, dann wird ein leeres Excel-Arbeitsblatt angezeigt und der Exploit-Code über ein Flash-Objekt ausgeführt. Das Flash-Objekt startet einen "Heap-Spray" mit dem folgenden Shellcode-Inhalt:

F-Secure CVE-2011-0609 Heap Spray Shellcode

Der erste Shellcode ist dabei nur für das Laden und die Übergabe an einen zweiten Shellcode verantwortlich, der ebenfalls in die Excel-Datei eingebettet wurde:

F-Secure CVE-2011-0609 erster Shellcode lädt zweiten Shellcode

Der zweite Shellcode entschlüsselt und führt eine ebenfalls in die Excel-Datei eingebettete EXE-Datei aus:

F-Secure-CVE-2011-0609 zweiter Shellcode entpackt EXE-Datei

F-Secure CVE-2011-0609 EXE Datei im Arbeitsspeicher

In der Zwischenzeit konstruiert und lädt das Flash-Objekt ein weiteres Flash-Objekt in die Runtime-Umgebung:

F-Secure CVE-2011-0609 zweites Flash Objekt lädt Code in Arbeitsspeicher

Das zweite Flash-Objekt enthält den Exploit für diese Malware und nutzt dann die CVE-2011-0609 Schwachstelle aus, um den Shellcode in Abarbeitungsbereich des Speichers (Heap) zu laden. Die Lösungen von F-Secure erkennen dieses gefährliche Flash-Objekt als "Exploit.CVE-2011-0609.A".

Anmerkung: Es macht den Eindruck, als würde der Haupt-Exploit in einer Art bereitgestellt werden, um einer Entdeckung zu entgehen. Da dieser Haupt-Exploit direkt in den Arbeitsspeicher geladen wird, so gibt es auch keine physikalisch vorhandene Datei, die von einem AntiVirus Scanner erkannt werden könnte. Durch die Einbettung in das Flash-Objekt, dass den Haupt-Exploit aus der Excel-Datei lädt, dürfte auf eine verbesserte Tarnung dieser Attacke abzielen.

Trotzdem können die gefährliche Excel-Datei und die eingebettet EXE-Datei von den F-Secure Lösungen als "Exploit.D-Encrypted.Gen" und "Trojan.Agent.ARKJ" sehr schnell und genau erkannt werden.

Internetnutzer sollten dennoch so schnell wie möglich ihren Flash-Player auf den aktuellsten Stand bringen. Adobe hat extra für diese Schachstelle einen Patch veröffentlicht (siehe entsprechende Verlinkungen in der obigen CVE-2011-0609 Detailerklärung).

Quelle: F-Secure Labs

Über F-Secure

Innovation, Zuverlässigkeit und Schnelligkeit – diese drei Qualitäten haben F-Secure seit der Gründung 1988 zu einem der führenden IT-Sicherheitsanbieter weltweit gemacht. Heute vertrauen sowohl Millionen Privatanwender als auch Unternehmen auf die mehrfach ausgezeichneten Lösungen von F-Secure. Der effektive Echtzeitschutz arbeitet zuverlässig und unbemerkt im Hintergrund und macht das vernetzte Leben von Computer- und Smartphone-Nutzern sicher und einfach.

Die Lösungen von F-Secure sind als Service-Abonnement über mehr als 200 Internet Service Provider und Mobilfunkbetreiber weltweit zu beziehen. Die umfangreichen Partnerschaften machen F-Secure zum Marktführer in diesem Bereich. Seit 1999 ist das Unternehmen an der Börse in Helsinki notiert (NASDAQ OMQ Helsinki Ltd.). Seitdem wächst F-Secure schneller als viele andere börsennotierte Mitbewerber. Weitere Informationen zu den Lösungen von F-Secure finden Sie auf der deutschen Webseite von F-Secure und natürlich hier auf Info-Point-Security.
Veröffentlicht in Alerts / Sicherheitsanalysen
Mittwoch, den 05. Januar 2011 um 10:00 Uhr

Microsoft bestätigt ungepatchte Windows-Sicherheitslücke

Microsoft hat ein neues Security Advisory zu einer öffentlich gemeldeten Sicherheitslücke bezüglich der Microsoft Windows Graphics Rendering Engine in Windows Vista, Server 2003 und Windows XP Betriebssystemen herausgebracht.

Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann beliebigen Code im Sicherheitskontext des angemeldeten Benutzers einspeisen. Ein Angreifer könnte dann Programme installieren, anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.
Für Benutzer, deren Konten mit weniger Benutzerrechten für das System konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Obwohl dieses Problem derzeit nicht die Kriterien für eine Out-of-Band-Security Bulletin von Microsoft entspricht, arbeitet man an der Entwicklung eines umfassenden Sicherheits-Updates.

Die betroffenen Systeme / BS:
  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 mit SP2 für Itanium-basierte Systeme
  • Windows Vista Service Pack 1 und Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2
  • Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2
  • Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2.
Nicht betroffene Systeme /BS:
  • Windows 7 für 32-Bit-Systeme
  • Windows 7 für x64-basierte Systeme
  • Windows Server 2008 R2 für x64-basierte Systeme
  • Windows Server 2008 R2 für Itanium-basierte Systeme.
Microsoft Security Advisory
Veröffentlicht in Alerts / Sicherheitsanalysen
Die F-Secure Labs berichten im eigenen Weblog von einer ungepatchten Microsoft Internet Explorer 6, 7 und 8 Schwachstelle (Security Advisory 2488013).

Es ist eine neue, ungepatchte Schwachstelle im Microsoft Internet Explorer 6, 7 und 8 Browser "in freier Wildbahn" bekannt geworden. Die Ausnutzung dieser Schwachstelle könnte die Ausführung von schadhaftem Code auf einem betroffenen Rechner ermöglichen. Zudem sind Berichte im Umlauf die besagen, dass für Metasploit bereits eine entsprechendes Modul verfügbar sei. Es gibt zusätzliche Informationen zu dieser Schwachstelle im SANS Diary und im Microsoft Security Response Center.

Wie immer empfiehlt es sich bis zum offiziellen Patch dieser Schwachstelle einen anderen Browser als den Internet Explorer einzusetzen. Wenn Sie also zufällig vom Christkind einen Rechner mit einem Windows Betriebssystem unterm Weihnachtsbaum gefunden haben, dann deaktivieren Sie lieber die Standard-Einstellung, den Internet Explorer als Standardbrowser zu nutzen:

F_Secure_WindowsFeaturesOnOffInternetExplorer8

Beispiel: Deaktivierung des Internet Explorer´s unter Windows 7

Wenn Sie den Internet Explorer nicht verwenden, dann kann auch die Schwachstelle nicht so einfach ausgenutzt werden.

Quelle: F-Secure Labs

Über F-Secure

Innovation, Zuverlässigkeit und Schnelligkeit – diese drei Qualitäten haben F-Secure seit der Gründung 1988 zu einem der führenden IT-Sicherheitsanbieter weltweit gemacht. Heute vertrauen sowohl Millionen Privatanwender als auch Unternehmen auf die mehrfach ausgezeichneten Lösungen von F-Secure. Der effektive Echtzeitschutz arbeitet zuverlässig und unbemerkt im Hintergrund und macht das vernetzte Leben von Computer- und Smartphone-Nutzern sicher und einfach.

Die Lösungen von F-Secure sind als Service-Abonnement über mehr als 200 Internet Service Provider und Mobilfunkbetreiber weltweit zu beziehen. Die umfangreichen Partnerschaften machen F-Secure zum Marktführer in diesem Bereich. Seit 1999 ist das Unternehmen an der Börse in Helsinki notiert (NASDAQ OMQ Helsinki Ltd.). Seitdem wächst F-Secure schneller als viele andere börsennotierte Mitbewerber.
Veröffentlicht in Hersteller News
Donnerstag, den 11. November 2010 um 02:34 Uhr

BSI: Neue Version der AusweisApp wird in Kürze bereitgestellt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 8. November 2010 die Software AusweisApp zur Nutzung der eID-Funktion des neuen Personalausweises bereitgestellt.  

Inzwischen wurde über eine Schwachstelle berichtet, über die Angreifer im Rahmen der Update-Funktion Schadsoftware auf Nutzerrechner einschleusen können. Das BSI hat gemeinsam mit dem Hersteller der Software, der OpenLimit SignCubes AG, das Problem analysiert und konnte die theoretische Möglichkeit einer Infektion mit Schadsoftware nachvollziehen. Bei dem Angriff wird die AusweisApp selbst weder angegriffen noch verfälscht. Auch beeinflusst dies nicht die Sicherheit des neuen Personalausweises. Das Szenario führt auch nicht dazu, dass personenbezogene Daten von einem Angreifer aus dem Ausweis ausgelesen werden können.

Die beteiligten Firmen OpenLimit SignCubes AG und Siemens IT Solutions and Services GmbH werden in Kürze eine neue Version der Software bereitstellen, die die Schwachstelle beseitigt.

Die aufgedeckte Schwachstelle wird über die für solche Fälle vorgesehenen Fehlerbeseitigungsverfahren behoben. Hierzu wurden, wie in der Softwareentwicklung üblich, Prozesse zur Qualitätssicherung und Fehlerbeseitung implementiert, um auf derartige Probleme kurzfristig reagieren zu können.

Erläuterung der Schwachstelle und Hinweise für die Nutzer

Die beschriebene Möglichkeit eines Angriffs bezieht sich nicht auf die Verwendung der AusweisApp selbst, sondern auf die automatische Update-Funktion der Software. Ein Angreifer kann dabei mithilfe eines sogenannten DNS- Spoofing-Angriffs auf dem Rechner des Nutzers die Zuordnung des Server-Namens „download.ausweisapp.bund.de“ zu einer IP-Adresse manipulieren. Gelingt dem Angreifer die beschriebene Manipulation, dann könnte er die Anfrage der AusweisApp nach einer Aktualisierung auf einen eigenen Webserver umleiten und den Rechner auf diese Weise mit Schadsoftware infizieren.

Die neue Version der AusweisApp wird in Kürze zum Download auf der Webseite http://www.ausweisapp.bund.de zur Verfügung stehen. Das BSI empfiehlt Nutzern, die die AusweisApp bereits heruntergeladen haben, nicht die Update-Funktion der Software zu verwenden, sondern die AusweisApp neu zu installieren. Nach dem Einspielen der neuen Version können die Nutzer die Auto-Update-Funktion der AusweisApp wie vorgesehen nutzen.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Veröffentlicht in Identity
Der IT-Security Experte Vikram Thakur berichtet im Symantec Security Response Weblog von einer neuen Zero-Day Schwachstelle im Microsoft Internet Explorer 6 / 7 / 8, die bereits aktiv für zielgerichtete Attacken verwendet wird.

In den letzten Wochen ist die Luft in der IT-Security Forscherwelt sehr rauh geworden. Die Anzahl an Exploits, die bisher unbekannte und ungepatchte Schwachstellen ausnutzen, ist explosionsartig angestiegen.

Einer dieser Fälle erreichte die Symantec Security Response Labs erst vor wenigen Tagen. Es wurden Informationen über mögliche Exploits übermittelt, die ältere Versionen des Internet Explorers als Ziel haben. Hacker hatten Emails lediglich an eine kleine Gruppe von Individuen innerhalb bestimmter, vorher gezielt ausgewählter Organisationen gesendet. Innerhalb dieser Email haben die Versender einen Link auf eine bestimmte Seite integriert, die auf einer seriösen Webseite gehosted wurde. Die Hacker hatten anscheinend Zugriff auf diesen Webserver und konnten unbemerkt von den eigentlichen Betreibern dieses Servers Inhalte auf diesen Webserver laden. Hier ein Screenshot der Email:

Symantec_Backdoor_Pirpi_1

Der enthaltene Link verwies auf eine Seite, die ein Skript enthielt, dass zunächst genau die Browser Version und das Betriebssystem eines Besuchers dieser Seite ermittelte. Da diese spezifische Exploit Seite anscheinend nur funktioniert, wenn der Besucher den Internet Explorer 6 oder 7 Browser benutzt, so leitet das Skript die Besucher nur auf die tatsächliche Exploit Seite weiter, wenn diese Bedingung auch wirklich zutreffen. Ist diese Bedingung (Internet Explorer 6 / 7) nicht erfüllt, dann bekommt der Besucher eine blanke Webseite angezeigt.

Symantec_Backdoor_Pirpi_2

Besucher, die den Internet Explorer 6 oder 7 nutzen und an die Exploit-Seite weitergeleitet werden, bekommen nicht mit, dass im Hintergrund OHNE WEITERE INTERAKTION eine Malware heruntergeladen und ausgeführt wird. Die Schwachstelle ermöglicht die Ausführung von nahezu jedem Remote Programm, ohne dass es der tatsächliche Endnutzer mitbekommt. Einmal erfolgreich infiziert verankert sich die Malware zusammen mit einem Dienst namens "NetWare Workstation" in den Startprozess des infizierten Rechners. Diese Malware öffnet eine Backdoor auf dem Computer und nimmt danach Kontakt mit den Remote Servern auf. Einer dieser Server befindet sich in Polen und es wird versucht, kleine Dateien mit der ".gif" Erweiterung herunterzuladen. Bei diesen kleinen Dateien handelt es sich in Wirklichkeit um verschlüsselte Anweisungen für den Trojaner, was dieser als Nächstes tun soll. Die Malware wurde in einer Art programmiert, die es ihr ermöglicht, diese kleinen, verschlüsselten Dateien von den folgenden Ordnern auf dem Remote Servern herunterzuladen:
  • images
  • pic
  • image
  • binary
  • news
  • index
  • picture
  • bbs
Den Symantec Security Response Labs ist es gelungen, eine Reihe dieser ".gif" Dateien, die die Kommandos enthalten, aus dem Netzwerkdatenverkehr abzufangen. Hier ein kurzes Ausschnitt des Codes der zeigt, was die Angreifer auf einem infizierten Rechner anstellen:

Symantec_Backdoor_Pirpi_3

Wenn man sich diese Kommandos genau ansieht, ist es eindeutig, dass diese Kommandos manuell über einen Remote Computer eingegeben wurden.

Die Dateien, die von den Angreifern zum Download angeboten werden, werden über eine andere gehackte Seite bereit gestellt. Auch diese Betreiber des betroffenen Webservers hatten keine Ahnung, dass dieser Server diese gefährlichen  Programme zum Download anbietet.

Als die Symantec Security Repsonse Labs die Eigentümer dieser Webserver kontaktierten, waren diese tatsächlich vollkommen ahnungslos, dass ihre Webserver die Exploit-Seite und die gefährlichen Dateien gehostet haben. Die Seite und sämtliche Ordner wurden unverzüglich von den Betreibern entfernt. Aus den Log-Dateien der betroffenen Server konnte rekonstruiert werden, dass die Malware-Autoren deutlich mehr als nur ein paar Organisationen angegriffen haben. Die Dateien auf dem Server wurden von Leuten aus den unterschiedlichsten Organisationen der verschiedensten Industriezweige aus der ganzen Welt abgerufen. Nur wenige davon haben auch auf die Payload Datei zugegriffen. Dies bedeutet, dass nur sehr wenige dieser "Besucher" einen Browser verwendeten, der NICHT für die Schwachstelle (für den Angriff) anfällig war.

Die Symantec Security Response Labs haben sofort Microsoft soweit wie zu diesem Zeitpunkt möglich über die Schwachstelle informiert. Microsoft hat die Erkenntnisse über die Schwachstelle selbst wiederum nach eingehender Untersuchung und zudem für den Microsoft Internet Explorer 6, 7 und 8 bestätigt. Microsoft plant in den nächsten Stunden ein entsprechendes Security Advisory über diese Erkenntnisse zu veröffentlichen. Wenn dieses Advisory veröffentlicht wird, ist es über diese Seite abrufbar. Symantec hat bereits in die eigenen Sicherheitslösungen eine entsprechende Erkennungsroutine mit dem Namen Downloader integriert. Die ursprünglichen Namen bei Symantec für diese Bedrohung kurz nach deren Entdeckung waren "Downloader" und "Trojan Horse". Diese Namen wurden mittlerweile auf "Backdoor.Pirpi" geändert.

Normalerweise enden solche Meldungen von IT-Sicherheits-Lösungsanbietern immer mit irgend etwas in Richtung "sicher surfen". Wenn Sie diesen Beitrag lesen: Hier ein Hinweis für die Leute, die erreichbare Server im Internet betreiben. SIE HABEN ALS BETREIBER DIESER SERVER AUCH EINE VERANTWORTUNG IM INTERNET. Vergewissern Sie sich, welche Inhalte über "ihre" Server im Internet bereitgestellt werden. Patchen Sie die eingesetzten Anwendungen, Datenbanken und Applikationen regelmäßig. Installieren Sie eine Firewall (am besten: eine Web-Application Firewall) mit entsprechender Konfiguration. Wechseln Sie ihre Zugangspasswörter regelmäßig und - das ist am wichtigsten - ERLAUBEN SIE IHREM WEBSERVER KEINE VERBINDUNGEN AUS DEM INTERNET ZU AKZEPTIEREN, WENN SIE NICHT WISSEN, WARUM DER SERVER DIES TUT.

Quelle: Symantec Security Response Weblog

Über Symantec:
Symantec unterstützt Privatkunden und Unternehmen bei der Sicherung und Verwaltung ihrer datengesteuerten Welt. Symantec Software und Services bieten umfassenden und effizienten Schutz vor mehr Risiken an mehr Punkten als je zuvor, und vermitteln so Vertrauen, unabhängig davon, wo Daten verwendet werden oder gespeichert sind. Weitere Informationen unter www.symantec.com
Veröffentlicht in Alerts / Sicherheitsanalysen
BitDefender warnt vor Angriff auf Mozilla-Browser.

Nachdem BitDefender erst kürzlich vor einem Zero-Day-Angriff auf Winamp gewarnt hat, bedroht nun ein neuer, akute Schwachstellen ausnutzender Exploit die User. Dieses Mal sind Nutzer bestimmter Versionen des Firefox-Browsers betroffen. Die Sicherheitslücken wurden entdeckt, nachdem Besucher bestimmter Webseiten ihren PC mit dem Schädling Backdoor.Belmoo.A infizierten. Sein Schadcode basiert auf JavaScript. Betroffen sind auch einige stark frequentierte, bekannte Internetseiten, wie beispielsweise die Nobelpreis-Homepage.

Der Exploit ist darauf programmiert, einen Teil des PC-Hauptspeichers zu kompromittieren, nachdem er erfolgreich über die verseuchte Website gestreut wurde. Sein JavaScript-Code enthält zwei bösartige Payloads für die Firefox-Versionen 3.6.8 bis 3.6.11. Deren Aufgabe ist es zu ermitteln, welches Betriebssystem der User verwendet und welche Firefox-Version installiert ist. Erkennt der Angreifer, dass es sich bei Letzterer um eine der anfälligen Browser-Editionen handelt, nutzt er die entsprechende Sicherheitslücke, um den Exploit zu installieren. Identifiziert der Payload jedoch eine andere Firefox-Version, wird der User lediglich auf eine "about:blank"-Seite umgeleitet.

Backdoor.Belmoo.A ermöglicht Remote-Attacke


War der Angriff erfolgreich, lädt der Schädling automatisch die Datei "svchost.txt" herunter - eine infizierte binäre Datei, die anschließend in svchost.exe umbenannt und auf dem infizierten Computer ausgeführt wird. Diese spezielle Art von Malware hat BitDefender als Backdoor.Belmoo.A identifiziert. Sie ermöglicht einem Angreifer, aus der Ferne die Kontrolle über das infizierte System zu übernehmen. Nutzer der BitDefender-Sicherheitslösungen sind vor den Angriffen der Firefox-Exploits geschützt, da das Programm den Schädling erkennt, sobald der User eine infizierte Seite besucht.

Über BitDefender GmbH
BitDefender ist Softwareentwickler einer der branchenweit schnellsten und effizientesten Produktlinien international zertifizierter Sicherheitssoftware. Seit der Gründung des Unternehmens im Jahr 2001 hat BitDefender permanent neue Standards im Bereich des proaktiven Schutzes vor Gefahren aus dem Internet gesetzt. Tagtäglich beschützt BitDefender viele Millionen Privat- und Geschäftskunden rund um den Globus und gibt ihnen das gute Gefühl, dass ihr digitales Leben sicher ist. BitDefender vertreibt seine Sicherheitslösungen in mehr als 100 Ländern über ein globales VAD- und Reseller-Netzwerk. www.bitdefender.de
Veröffentlicht in Alerts / Sicherheitsanalysen
Seite 1 von 14
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6