Mozilla hat die Firefox-Erweiterung 'Microsoft .NET Framework Assistant' auf der Blocklist aufgenommen. Googles Chrome Frame umgeht Schutzprogramme, es gibt wieder bösartige Suchmaschinenoptimierungen und Neues zum Cyber Security Awareness Month in den USA. Ein Tool ermöglicht das Austricksen von Festplattenverschlüsselungen, und ElcomSofts 'Distributed Password Recovery' verwendet jetzt auch Wörterbuch-Angriffe. Außerdem gibt es eine Reihe weiterer Hinweise auf interessante Texte.

Firefox blockiert Microsoft-Erweiterung

Die Firefox-Erweiterung 'Microsoft .NET Framework Assistant' sorgte im Sommer für Aufregung, weil Microsoft sie heimlich im Rahmen eines Updates installierte (siehe Security-Hinweise vom 2. Juni). Am vergangenen Patchday hat Microsoft mit dem Security Bulletin MS09-054 mehrere Schwachstellen im Internet Explorer behoben, von denen eine auch den 'Framework Assistant' betrifft. Die Schwachstelle wird zwar durch die Patches zum Security Bulletin behoben, Microsoft und Mozilla haben aber trotzdem entschieden, die Erweiterung zusätzlich auf die Blocklist blockierter Zusatzmodule zu setzen.

Chrome Frame umgeht Schutzprogramme

Chester Wisniewski von Sophos weist darauf hin, das die Installation von Googles Chrome Frame dazu führt, dass Erweiterungen des Internet Explorers umgangen werden - u.a. auch solche, die vor schädlichen Inhalten warnen bzw. diese ausfiltern sollen. Wisniewski führt damit nach den bereits von Microsoft und der Mozilla Foundation angeführten Argumenten ein weiteres Argument gegen die Nutzung von Chrome Frame ins Feld.

Bösartige Suchmaschinenoptimierung

Dass Cyberkriminelle ihre Seiten zum Verbreiten von Fake-Virenscannern und/oder für Drive-by-Infektionen über Suchmaschinenoptimierung für aktuelle Suchbegriffe pushen, ist seit längerem bekannt. Aktuell ist z.B. der vermutete Flug eines sechsjährigen Jungen mit einem entwischten Helium-Ballon und dessen Hintergründe ein Thema. Aber auch alte Geschichten sind für die Cyberkriminellen interessant, wie z.B. Verschwörungstheorien rund um die Anschläge vom 11. September 2001.

Cyber Security Awareness Month

Im Rahmen des Cyber Security Awareness Month wurden im Handler's Diary des ISC weitere Einträge veröffentlicht: Am 16. Tag ging es um Port 1521 - Oracle TNS Listener, der eine Reihe von Schwachstellen enthält,am 17. Tag um Port 22/SSH und die Frage, wie man SSH-Zugänge schützt, und am 18. Tag um 'Telnet an oldie but a goodie' (und dabei weniger um dessen Sicherheit als seine Geschichte).

Graham Cluley hat in seinem Blog darauf hingewiesen, dass US-Präsident Obama persönlich seine Mitbürger zum Schutz ihrer Computer aufgefordert hat. Was zumindest im Internet kaum jemanden interessierte: Das Video im YouTube-Kanal des Weißen Hauses wurde bis zum 16. Oktober erst weniger als 750 mal betrachtet. Da wäre wohl mal ein bisschen virales Marketing angebracht.

Tool zum Austricksen von Festplattenverschlüsselungen veröffentlicht

Joanna Rutkowska hat ein Tool veröffentlicht, mit dem sich Festplattenverschlüsselungen wie die von Truecrypt oder PGP Whole Disk Encryption austricksen lassen. Der Angriff besteht darin, dass das Passwort für die Verschlüsselung belauscht wird, und ist schon länger bekannt. Joanna Rutkowska hat das ganze nun in einem komfortablen Tool implementiert:

Ein bootfähiger USB-Stick wird mit dem geschützten Rechner verbunden und davon gebootet. Dabei wird ein Keylogger installiert, der bei der späteren Nutzung des Rechners durch dessen Benutzer das Passwort des Verschlüsselungsprogramms protokolliert und auf dem Rechner speichert oder über das Netzwerk verschickt. Das bereitgestellte USB-Stick-Image ist an TrueCrypt angepasst, das Passwort wird auf der Festplatte des Rechners gespeichert und bei einem erneuten Booten mit dem USB-Stick heruntergeladen. Um sich vor solchen Angriffen zu schützen, müsste der gesamte Bootprozess von Anfang an z.B. über ein Trusted Platform Modul daraufhin überwacht werden, dass nur vertrauenswürdige Komponenten zum Einsatz kommen. Einen gewissen Schutz vor dem Tool bietet das Setzen des BIOS-Passworts verbunden mit der Einstellung, nur von der internen Festplatte zu booten. Ein Angreifer mit Zugriff auf den Rechner kann die Festplatte aber immer noch ausbauen und den Keylogger an einem anderen Rechner auf der Platte installieren.

ElcomSoft nutzt Wörterbuch-Angriffe

Das Tool 'Distributed Password Recovery' von ElcomSoft, das bisher die Passwörter von Dokumenten wie PDFs und eBooks nur über Brute-Force-Angriffe zu knacken versuchte, verwendet in seiner neuesten Version auch Wörterbuch-Angriffe (Pressemitteilung als PDF). Zuvor hatte man mit einer Umfrage herausgefunden, dass die meisten Mitarbeiter in Unternehmen dieselben Passwörter verwenden, um verschiedene Dokumente und Dateien zu verschlüsseln (Pressemitteilung als PDF). Hat irgend jemand etwas anderes erwartet?

Gemischtes

Paul Ducklin von Sophos bloggt über 'Computer security in schools', Rami Jebara, ebenfalls von Sophos, über 'The Data Protection Challenge - Wake up and realize that there is no spoon!', und Dmitry Bestuzhev vom Kaspersky Lab berichtet über Brasilien – Land der Bank-Trojaner. Microsoft hat einen Überblick über die in der ersten Woche nach Freigabe der Microsoft Security Essentials gesammelten Daten veröffentlicht, und Nicolas Falliere von Symantec setzt die Beschreibung des Trojaners Clampi fort: In 'Inside Trojan.Clampi: Stealing Your Information' geht es um die Module des Trojaners, die den infizierten Rechner nach interessanten Informationen durchsuchen. Graham Cluley von Sophos bloggt über 'Microsoft recovers lost Sidekick data' - die Daten der Sidekick-Kunden von T-Mobile USA sind nun doch nicht verloren, sondern konnten gerettet werden. Symantec hat den CIO Digest, Ausgabe Oktober 2009, mit verschiedenen nicht nur für CIOs interessanten Informationen veröffentlicht. Bruce Schneier hat ein Essay über 'The Commercial Speech Arms Race' veröffentlicht: Jedes automatisierte Sicherheitssystem wird von Kriminellen missbraucht. Schützt man es vor dem Missbrauch mit einem automatisierten Sicherheitssystem, wird das missbraucht. Schützt man das Sicherheitssystem für das Sicherheitssystem mit einem automatisierten Sicherheitssystem... usw. usf. Und Matasano Security hat die Lösung der in der vorigen Woche veröffentlichten C++ Challenge veröffentlicht.

Gefährliche Schwachstellen vom 16.10.2009

• KDE:
  Mehrere Schwachstellen in KPDF erlauben die Ausführung beliebigen Codes
• Adobe Reader:
  Kritische Schwachstelle erlaubt Ausführung beliebigen Codes (vom 09.10.2009, aktualisiert)
  Kritisch, weil: Schwachstelle wird für gezielte Angriffe auf Windows-Systeme ausgenutzt
• Adobe Acrobat:
  Kritische Schwachstelle erlaubt Ausführung beliebigen Codes (vom 09.10.2009, aktualisiert)
  Kritisch, weil: Schwachstelle wird für gezielte Angriffe auf Windows-Systeme ausgenutzt
• Xpdf:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes (vom 15.10.2009, aktualisiert)

Carsten Eilers