Am BSoD auf Windows-XP-Systemen nach der Installation der Patches zum Security Bulletin MS10-015 scheint Schadsoftware Schuld zu sein. Es gibt Informationen zur (Un)sicherheit von Smartphones, Social Networks und des 'Chip and PIN'/EMV-Verfahrens. Symantec hat die monatlichen Reports 'State of Spam' und 'State of Phishing' in einen Bericht zusammengefasst und die Ausgabe für den Februar 2010 (PDF) veröffentlicht. Mark Hofman befasst sich im Handler's Diary des ISC mit 'Rogue DHCP server fun', Peter Coogan von Symantec berichtet über einen Fake-Virenscanner mit echtem Online-Support, und Graham Cluley von Sophos warnt 'Beware of viral Valentines' und untermauert seine Warnung mit einem Video:

XP + TDL3 + MS10-015 = BSoD

Es gibt neue Informationen zum gemeldeten Blue Screen of Death nach der Installation der Patches zum Security Bulletin MS10-015 auf Rechnern mit Windows XP. Microsoft untersucht das Problem noch und vermutet einen Zusammenhang mit installierter Schadsoftware, schließt andere Ursachen aber nicht aus. Brian Krebs berichtet mit Verweis auf Untersuchungen von Patrick W. Barnes, dass es einem Zusammenhang mit einem installierten Rootkit gibt, das die Treiber-Datei atapi.sys austauscht. Um das System wieder zu Laufen zu bringen, muss diese Treiber-Datei gegen die Originalversion ausgetauscht werden. Während das laut Barnes in den meisten Fällen das Problem behebt, sind in manchen Fällen auch weitere von Schadsoftware manipulierte oder auch einfach nur schlecht programmierter Treiber die Auslöser des Problems. Auch Symantec hat das Rootkit, dort Backdoor.Tidserv genannt, als Übeltäter identifiziert, insbesondere die letzte Version TDL3 scheint für das Problem verantwortlich zu sein. Symantec weist darauf hin, dass das Rootkit je nach Systemkonfiguration auch andere Treiber-Dateien als atapi.sys manipuliert, genannt werden außerdem iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys. Außerdem weist auch Symantec darauf hin, dass durchaus auch weitere Programme mit direkten Kernelzugriffen Auslöser des BSoD sein können.

Es reicht nicht aus, auf betroffenen Systemen die befallene Treiber-Datei auszutauschen. Auch das Rootkit muss entfernt werden. Entweder, indem von einem sauberen System, z.B. einer CD, gebootet und das befallene System danach mit einem entsprechenden Tool gereinigt wird, oder indem ein neues System installiert wird und danach die Benutzerdaten nach einer Prüfung mit einem aktuellen Virenscanner aus dem Backup zurückgespielt werden. Außerdem sollte geprüft werden, wie das Rootkit eingeschleust wurde, um ggf. vorhandene Schwachstellen beheben zu können.

Smartphone-(Un)sicherheit

Irfan Asrar von Symantec weist darauf hin, dass die in der vorigen Woche veröffentlichte Spyware für Blackberrys nur ein Proof of Concept ist und in den Medien überbewertet bzw. falsch interpretiert wurde. U.a. macht er darauf aufmerksam, dass sich mit den von den Smartphone-Herstellern bereitgestellten APIs natürlich auch schädliche Programme schreiben lassen, die Hersteller aber dem z.B. durch das Signieren der Programme und/oder den Vertrieb über eine sichere Plattform begegnen. Da passt es doch, dass F-Secure darauf hinweist, dass die offizielle Anwendung für den 'GSMA Mobile World Congress 2010' in Barcelona bei der Installation darauf hinweist, man solle auf alle Fragen mit 'yes' antworten, da man der Anwendung vertrauen kann - die nicht signiert ist. F-Secure hat das Programm geprüft, und es handelt sich wirklich um den offiziellen 'Mobile Guide'. Jedenfalls im Fall der von F-Secure geprüften Anwendung - nur: Woran soll man die erkennen, außer an der Behauptung, sie sei es?

Social-Network-(Un)sicherheit

Chester Wisniewski von Sophos berichtet, dass Server von Grader.com kompromittiert wurden. Über Grader werden Twitter-API-Aufrufe an Twitter weitergeleitet, und die Angreifer haben darüber eigene Werbebotschaften eingeschleust, vermutlich im Rahmen bösartiger Suchmaschinenoptimierung. Für normale Benutzer besteht der einzige Schutz vor den Auswirkungen solcher Angriffe in gesundem Misstrauen, bevor auf Links geklickt wird. Wobei der Link diesmal durch eine eigene Domain auffiel (sonst wäre ja auch die SEO verpufft) - bei bösartigen Links, die über Linkverkürzer führen, hilft nur die Nutzung der Preview-Funktion, sofern vorhanden.

Twitter ist altbekannt, Buzz dagegen noch gar nicht mal richtig angekündigt und schon von Cyberkriminellen ausgenutzt: Numaan Huq von Sophos berichtet über einen Schädling, der sich als Google Buzz ausgibt: W32/Zuggie-A. Dabei handelt es sich um einen Wurm, der sich u.a. in Firefox einklinkt und heimlich auf alle Yahoo!- und Google-Werbeanzeigen "klickt". Und die Websense Security Labs berichten über die ersten Spammer, die Buzz als Verbreitungsweg nutzen.

Buzz selbst hat auch einige Haken, z.B. wurden mehr Daten veröffentlicht, als eigentlich nötig oder vom Benutzer beabsichtigt waren, was Google inzwischen teilweise korrigiert hat: Es gibt jetzt eingeschränkte Profile - die allerdings von denen, die Buzz bereits genutzt haben, manuell aktiviert werden müssen. Außerdem werden "Follower" nicht mehr automatisch und ungefragt hinzugefügt, Picasa-Alben und Google-Reader-Daten werden nicht mehr automatisch mit dem Buzz-Account verbunden und Buzz bekommt einen eigenen Einstellungsdialog unter den Gmail-Einstellungen.

'Chip and PIN'/EMV-Verfahren gebrochen

Bruce Schneier weist auf ein interessantes und beängstigendes Forschungsergebnis hin: Steven J. Murdoch, Saar Drimer, Ross Anderson und Mike Bond von der University of Cambridge haben einen Man-in-the-Middle-Angriff gegen das EMV-Verfahren (benannt nach Eurocard, Mastercard und Visa) für EC- und Kreditkarten entwickelt. EMV soll das Kopieren der Karten durch Skimming unterbinden, indem der Magnetstreifen durch einen Chip ersetzt wird, auf dem die relevanten Aktionen ausgeführt werden und mit dem das Terminal mittel kryptographisch geschützter Protokolle kommuniziert. Durch den Angriff ist es möglich, die Karten mit einer beliebigen PIN zu nutzen: Dem Terminal wird vorgetäuscht, die Karte hätte eine eingegebene PIN akzeptiert, während gegenüber der Karte vorgetäuscht wird, das Terminal hätte auf die Legitimation durch Unterschrift zurückgeschaltet. Ross Anderson berichtet in seinem Blog über die Ergebnisse und verweist auf das Paper (PDF), eine FAQ und eine Presseerklärung. Die BBC hat ein Video des Angriffs veröffentlicht.

Gefährliche Schwachstellen vom 12.02.2010

• OpenOffice:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes
• ezonescripts.com Game Room Script:
  Fehlende Authentifizierung für den Administrationsbereich, Heraufladen von PHP-Skripten möglich
• HP ProLiant Support Pack:
  Schwachstellen in den verwendeten MS Visual C++ Libraries der Windows-Version erlauben die Ausführung beliebigen Codes und das Ausspähen sensitiver Informationen
• RadAsm:
  Pufferüberlauf beim Verarbeiten präparierter .rap-Dateien erlaubt Ausführung beliebigen Codes
• Hyleos ChemView ActiveX Control:
  Zwei Pufferüberlauf-Schwachstellen erlauben Ausführung beliebigen Codes (vom 11.02.2010, aktualisiert)
• Open&Compact Ftp Server:
  Pufferüberlauf beim Verarbeiten eines überlangen Parameters für USER erlaubt DoS-Angriffe (vom 11.02.2010, aktualisiert)
• Microsoft Office:
  Sechs Schwachstellen erlauben die Ausführung beliebigen Codes (MS10-004) (vom 09.02.2010, aktualisiert)

Carsten Eilers