Der RPC-Wurm 'Downadup' legt den Turbogang ein, Sophos berichtet über Schadsoftware, die andere Schadsoftware löscht, und die Websense Security Labs haben einen Wurm mit Netzwerksniffer entdeckt. Symantec geht der Frage nach, wie Phisher an die abgephishten Daten kommen, und Amit Klein von Trusteer hat eine Schwachstelle in den JavaScript-Engines aller aktuellen Browser entdeckt, die Phishing erleichtert. Bruce Schneier berichtet über einen USB-Stick mit verschlüsselten Daten drin und einem Zettel mit dem zugehörigen Passwort drauf, und außerdem gibt es einige neue Paper.

RPC-Wurm im Turbogang

Laut einem Blogeintrag von F-Secure hat der RPC-Wurm 'Downadup' innerhalb eines Tages mehr als eine Million neue Opfer gefunden, insgesamt sind es jetzt über 3,5 Millionen. Das sieht gar nicht gut aus - was die Wurmschreiber mit all diesen Rechnern wohl vorhaben? Daher hier noch einmal ein Hinweis auf das schon in den Security-Hinweisen von gestern erwähnte 'Malicous Software Removal Tool' von Microsoft, das den Wurm erkennen und entfernen kann.

Schädlinge löschen die Konkurrenz?

Im Blog von Sophos wird über Schadsoftware berichtet, die die Debug-Funktion der Windows-Registry verwendet, um andere Schadsoftware bei deren Aufruf sofort zu löschen, so dass sie nicht mehr ausgeführt werden kann. Was wie eine gute Nachricht klingt (sollen die Cyberkriminellen sich doch ruhig gegenseitig das Leben schwer machen) hat leider eine unangenehme Nebenwirkung: Mit dem gleichen Trick kann auch jede beliebige Schutzsoftware gelöscht und unbrauchbar gemacht werden.

Wurm mit Netzwerksniffer

Die Websense Security Labs haben einen neuen Wurm entdeckt, der u.a. einen Netzwerksniffer enthält, mit dem er im Netzwerkverkehr nach SMTP-Schlüsselwörtern wie 'RCPT TO:' und 'MAIL FROM:' sucht. Werden die Schlüsselwörter gefunden, werden die Daten geparst und daraus E-Mail-Adresse, Benutzername und Passwort ermittelt. Die gesammelten Daten werden an einen Server in der Ukraine gesendet, dessen Adresse fest verdrahtet ist. Im Gegensatz zu den aktuellen RPC-Würmern reicht es also, diesen einen Server aus dem Verkehr zu ziehen, um zumindest das Abfließen der gesammelten Daten zu verhindern.

Wie kommen Phisher an die Daten?

Im Blog von Symantec wird der Frage nachgegangen, wie Phisher an die abgephishten Daten kommen: How Phishes Reach the Basket. Während die auf der Phishing-Seite eingegebenen Zugangsdaten früher über CGI-Skripte der "Form-to-Email"-Funktionen an den Phisher gemailt wurden, werden sie nun entweder über die Mailfunktion von PHP verschickt oder als Textdatei auf dem Server gespeichert.

JavaScript-Schwachstelle nützt Phishern

Laut einem Bericht von Amit Klein von Trusteer (PDF) kann eine Schwachstelle in den JavaScript-Engines aller aktuellen Browser von Phishern ausgenutzt werden, um von einer Webseite aus festzustellen, auf welchen anderen Websites ein Benutzer aktuell eingeloggt ist. Dadurch werden von Trusteer als 'In-Session-Pishing-Angriff' bezeichnete Angriffe möglich: Nachdem die bösartige Webseite festgestellt hat, das der Benutzer gerade ein Fenster z.B. für Online-Banking geöffnet hat und um welche Bank es sich handelt, kann ein passend gefälschtes Fenster geöffnet und der Benutzer darin zur Eingabe seiner Zugangsdaten verleitet werden.

Als Schutzmaßnahme sollten laut Trusteer während des Online-Bankings keine anderen Websites angesurft werden. Erst nach dem Abmelden und dem Schließen des Browserfensters sollten andere Seiten aufgerufen werden. Eigentlich selbstverständlich, oder? Leider nicht immer, z.B. beim Bezahlen einer Rechnung, z.B. für einen eBay-Kauf, ist es durchaus nicht ungewöhnlich, sowohl das Fenster mit der Rechnung als auch das Fenster für das Online-Banking gleichzeitig geöffnet zu haben. Hoffentlich enthält die Seite mit der Rechnung keine Cross-Site-Scripting-Schwachstelle...

Einfacher ist es natürlich, während des Online-Bankings JavaScript und andere aktive Inhalte auszuschalten. Sollte die Website der Bank dann nicht mehr funktionieren, sollte man sich vielleicht mal ein paar passende Gedanken machen.

"USB-Stick verschlüsselt, Passwort steht drauf"

Bruce Schneier berichtet in seinem Blog über eine neue Variante von "Passwort auf Zettel unter der Tastatur" und "Passwort auf Post-It am Monitorrand": Zwar wurden die Daten auf einem verloren gegangenen USB-Stick verschlüsselt, dann aber der zugehörige Schlüssel auf einem Zettel auf dem USB-Stick notiert. Wer so was schafft? Natürlich eine Behörde in Großbritannien. Einem Gefängnis ist ein USB-Stick mit den Patientendaten der Häftlinge abhanden gekommen.

Neue Paper

Auf Milw0rm wurden einige neue Paper veröffentlicht: 'Affix' beschreibt ARP-Spoofing (PDF), Michal Bucko gibt einen kurzen Überblick über die Schwachstellenforschung ('Short review of modern vulnerability research') (PDF) und von Ramon de Carvalho Valle von RISE Security wurden 'Linux on Power/Cell BE Architecture Buffer Overflow Vulnerabilities' (PDF) beschrieben.

Gefährliche Schwachstellen vom 14.01.2009

• BEA WebLogic Server:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes
• Oracle-Produkte:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes und das Ausspähen sensitiver Informationen
• EDraw Office Viewer Component:
  Unsichere Methode HttpDownloadFile() erlaubt das Herunterladen beliebiger Dateien
• OtsTurntables:
  Pufferüberlauf beim Verarbeiten präparierter .ofl-Dateien erlaubt Ausführung beliebigen Codes
• Excel Viewer OCX:
  Unsichere Methode Save() erlaubt Überschreiben beliebiger Dateien, unsichere Methode HttpDownloadFile() das Einschleusen beliebiger Dateien (vom 13.01.2009, aktualisiert)

Carsten Eilers