-
|
bookmarken
- |
- |
- empfehlen
- |
- kommentieren
News
Security-Hinweise zum MS10-015-BSoD-Problem und mehr
Microsoft hat bestätigt, dass ein Rootkit für den BSoD nach der Installation von MS10-015 auf Windows XP verantwortlich ist. Der Trojaner Bredolab wird für gezielte Angriffe verwendet, das Wall Street Journal berichtet über eine "Broad New Hacking Attack", und ein Mashup verrät Einbrechern lohnende Ziele. Paul Ducklin von Sophos beschreibt die 'Anatomy of a scam', Mathew Maniyara von Symantec warnt vor 'Apple iPhone Warranty Scam', und Mark Cox, Director of Security Response von Red Hat, hat die Top 11 der 2009 von Red Hat behobenen schwerwiegenden Schwachstellen mit einem CVSS-Base-Score von 7.0 und höher aufgelistet und mit den zuvor veröffentlichten Top 25 der gefährlichsten Programmierfehler verglichen. Und Bruce Schneier verweist auf einen Bericht samt Video über das Öffnen von Schlössern mit Hilfe einer Metallfolie.
Bestätigt: Rootkit Schuld am BSoD
Microsoft hat bestätigt, dass ein Rootkit, von Microsoft 'Alureon' genannt, für den BSoD nach der Installation der Updates zum Security Bulletin MS10-015 auf Rechnern mit Windows XP verantwortlich ist. Das Update selbst arbeitet einwandfrei. Nachdem der Schadcode gelöscht oder das System neu installiert wurde, kann das Update problemlos installiert werden.
Ursache des BSoD ist eine Änderung im Windows-Code, durch den sich eine vom bereits installierten Schadcode aufgerufene Funktion nicht mehr an der verwendeten Adresse befindet. Ein Eintrag im Threat Research & Response Blog von Microsofts Malware Protection Center erklärt die Hintergründe. Demnach haben die Cyberkriminellen inzwischen den Code für die Manipulation des Treibers angepasst, so dass die aktuelle Version des Schädlings keine fest kodierten Einsprungadressen mehr verwendet. Laut Untersuchungen von Symantec waren diese Anpassungen aber nicht besonders erfolgreich, auch die aktuelle Version führt in vielen Fällen noch zu einem BSoD. Sollten die Cyberkriminellen das Problem nicht in den Griff bekommen, dürfte dass das Ende dieses Schädlings sein.
Gezielte Angriffe mit normalem Trojaner
Paul Wood von Symantec berichtet über gezielte Angriffe mit dem Trojaner Bredolab, der bisher für ungezielte Angriffe verwendet wurde. Statt als massenhafter Spam wurde der Schädling diesmal in wenigen, gezielten Mails verschickt. Auch der nachgeladene Schadcode weicht vom üblichen Muster ab, es handelt sich um einen Datensammler, während sonst i.A. Fake-Virenscanner nachgeladen werden.
Wall Street Journal: "Broad New Hacking Attack"
Das Wall Street Journal berichtet mit Verweis auf einen Bericht von NetWitness über einen großangelegten Cyber-Angriff auf fast 2.500 Unternehmen und Behörden, darunter Merck, Paramount Pictures und Juniper Networks mit einer Variante des Trojaners Zeus. Damit das ganze etwas her macht, hat NetWitness das Botnet 'Kneber' genannt, aber “Kneber” = Zeus, wie Kevin Haley von Symantec es treffend auf den Punkt bringt - das ist nur ein Zeus-Botnet unter vielen. Fazit: NetWitness hat einen neuen Namen geprägt und landet damit in den Medien - und die Cyberkriminellen reagieren sofort mit bösartiger Suchmaschinenoptimierung auf diese gute Gelegenheit zur Verbreitung von Fake-Virenscannern: Bei Symantecs Analyse führte das Suchergebnis mit dem höchsten Pagerank zu einem Fake-Virenscanner.
Mashup für Einbrecher
Graham Cluley von Sophos weist auf eine neue Website hin, die Informationen aus Foursquare und Twitter zusammenfasst und verrät, wo Häuser und Wohnungen leer stehen: Please Rob Me. Aber keine Angst: Das Angebot richtet sich nicht an Einbrecher, sondern soll die Folgen eines all zu großzügigen Umgangs mit Daten verdeutlichen.
Gefährliche Schwachstellen vom 18.02.2010
- IBM Lotus Notes:
Nicht näher beschriebene Pufferüberlauf-Schwachstelle erlaubt Ausführung beliebigen Codes - Mozilla Firefox:
Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes und Cross-Site-Scripting-Angriffe - Mozilla Firefox:
Nicht näher beschriebene Schwachstelle erlaubt Ausführung beliebigen Codes - Mozilla SeaMonkey:
Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes und Cross-Site-Scripting-Angriffe - Mozilla Thunderbird:
Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes - Novell Kerberos KDC:
Integerunterlauf-Schwachstellen beim Entschlüsseln von AES und RC4 erlauben Ausführung beliebigen Codes - Novell Modular Authentication Service (NMAS):
Integerunterlauf-Schwachstellen beim Entschlüsseln von AES und RC4 erlauben Ausführung beliebigen Codes - Symantec-Produkte:
Pufferüberlauf-Schwachstelle im Symantec Client Proxy ActiveX-Ccontrol CLIproxy.dll erlaubt Ausführung beliebigen Codes - Adobe Download Manager:
Zwangsweise Installation einer ggf. angreifbaren Version des Adobe Reader oder Flash Player sowie beliebiger anderer Programme möglich - Apple iTunes:
Pufferüberlauf beim Verarbeiten präparierter .pls-Dateien erlaubt Ausführung beliebigen Codes (vom 23.09.2009, aktualisiert) - Google Desktop Gadget ActiveX Control:
Nicht näher beschriebene Schwachstelle gefunden (vom 10.02.2010, aktualisiert)
Carsten Eilers
Folgende Links könnten Sie auch interessieren
- KW 40/08 - Standpunkt Sicherheit
[http://entwickler.de/zonen/portale/psecom,id,99,news,45325,.html] - Security-Hinweise zu neuen Papern, Statistiken und Schädlingen
[http://entwickler.de/zonen/portale/psecom,id,99,news,45423,.html] - Security-Hinweise zu neuen Papern, Statistiken und Schädlingen
[http://entwickler.de/zonen/portale/psecom,id,99,news,45423,.html] - Security-Hinweise zu CAPTCHA- und Passwortknackern und mehr
[http://entwickler.de/zonen/portale/psecom,id,99,news,45490,.html] - Security-Hinweise zu neuen Schädlingen, Texten und mehr
[http://entwickler.de/zonen/portale/psecom,id,99,news,45571,.html]
