Auf Milw0rm wurden einige neue Paper veröffentlicht, außerdem gibt es neue Statistiken, einen neuartigen Phishing-Angriff und einen Trojaner mit Rootkit-Funktionen. Und im Handler's Diary des ISC wurde ein weiterer Beitrag zum 'Cyber Security Awareness Month' veröffentlicht: Day 6 - Network-based Intrusion Detection Systems

Paper zu SQL-Injection und VoIP-Angriffen

Auf Milw0rm wurden einige neue Paper veröffentlicht: 'An Introduction to SQL Injection' (PDF), 'Assault on Oracle PL/SQL - Injection' (PDF) und 'Targeting VoIP' (PDF).

Statistiken...

Laut Symantec hat die Anzahl am E-Mails mit Schadsoftware dramatisch zugenommen. Weitere Informationen dazu liefern die Übersichtsseite The State of Spam und der 'October State of Spam Report' (PDF).
Von den Kaspersky Labs wurde passend dazu die Top 20 der Schadprogramme für September 2008 veröffentlicht.

Trojaner statt Phishing

Im Blog von F-Secure wurde die Beschreibung eines neuen Phishing-Angriffs mit dem alten Trick der "Lookalike-Domain" veröffentlicht. Auf der gefälschten Seite werden die Besucher aber nicht direkt abgephisht: Statt ihre Zugangsdaten auszuspähen wird versucht, ihnen einen als Zertifikatupdate getarnten Downloader unterzuschieben. Auf den ersten Blick eine relativ dumme Idee, aber wenn man mal genauer drüber nachdenkt, doch gar nicht so abwegig: Es wird immer wieder davor gewarnt, die Zugangsdaten irgendwo einzugeben. Hier sollen die Benutzer keine Daten eingeben, sondern ein ihre Daten schützendes Zertifikat herunterladen. Gut möglich, das darauf mehr Opfer hereinfallen als auf das Eingeben der Zugangsdaten.

Trojaner mit Rootkit-Funktionen

Symantec berichtet, das ein sich schon seit dem letzten Jahr in Umlauf befindlicher Trojaner inzwischen um Rootkit-Funktionen erweitert wurde. Eine Analyse der außerdem implementierten Verschlüsselungsfunktionen für die Konfigurationsdateien wurde für morgen angekündigt.

Gefährliche Schwachstellen vom 06.10.2008

• FOSS Gallery:
  Heraufladen beliebiger Dateien möglich
• Novell eDirectory:
  Mehrere Schwachstellen erlauben DoS-Angriffe und evtl. die Ausführung beliebigen Codes
• WebBiscuits-Programme:
  Einbinden beliebiger Dateien über Parameter 'path[docroot]' und 'component' im Skript panel/common/theme/default/header_setup.php
• mIRC:
  Pufferüberlauf beim Verarbeiten präparierter PRIVMSG-Nachrichten erlaubt Ausführung beliebigen Codes
• VMware VirtualCenter:
  Anzeige von Passwörtern als Klartext möglich, außerdem Updates für JRE erschienen
• VMware Player:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 01.09.2008, aktualisiert)
• VMware ACE:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 01.09.2008, aktualisiert)
• VMware Server:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 01.09.2008, aktualisiert)
• Windows:
  Zwei Schwachstellen in GDI erlauben die Ausführung beliebigen Codes durch präparierte EMF- oder WMF-Bilddateien (MS08-021) (vom 08.04.2008, aktualisiert)

Carsten Eilers