Digitales Ungeziefer gibt es quasi überall, aktuell z.B. auf einer Adobe-Website, in Formularelementen, russischen Social Networks und angeblichen Zertifikaten der DAB Bank. Jeremiah Grossman hat sich in einem Interview zur neuen Bedrohung des Clickjacking geäußert. Automatisch generierte CAPTCHAs können unterwartete Nebenwirkungen haben. Außerdem gibt es ein paar Lesetips: Paper über eine Schwachstelle in Xen, bösartige Hardware, SQL-Injection in PL/SQL-Programmen und die Paper und Präsentationen der Virus Bulletin Conference 2008. Auch neue Software gibt es: Ein gutartiges Rootkit und ein Tool zur Suche nach IAX/2-fähigen Hosts. Und natürlich wurde im Handler's Diary des ISC ein weiterer Beitrag zum 'Cyber Security Awareness Month' veröffentlicht: Day 16 - Containing a Malware Outbreak.

Schädlinge aller Art

Adobe verteilt indirekt Schadsoftware

Laut Sophos-Blog verteilt ein bei Adobe verlinktes und zu Adobe gehörendes Unternehmen über seine Website den Schädling Mal/Badsrc-C. Das betroffene Unternehmen wurde von Adobe übernommen, aber beim Überarbeiten der Website war man wohl mehr am Einfügen des Adobe-Logos als dem eigentlichen Inhalt der Datenbank interessiert. Wie viele Rechner von Adobe und den beteiligten Werbeagenturen etc. sich dabei wohl den Schädling eingefangen haben?

JavaScript-Schadcode in Formularelementen

Im Blog der Websense Security Labs wird über in Formularelementen versteckten JavaScript-Schadcode berichtet.

Mobiler Schädling über Social Network verteilt

Im Analytiker-Tagebuch der Kasperky Labs wird über einen Trojaner für Mobiltelefone berichtet, der über ein russisches Social Network verteilt wird und nach der Infektion eines Telefons eine SMS an 5 Premium-Nummer sendet, von denen jede ca. 10 Dollar kostet. Einfallstor ist die Gier der Menschen: Angeblich kann man durch das Programm 500 Rubel verdienen.

Trojaner statt Zertifikat

Die bereits am 7. Oktober erwähnten Versuche, über angebliche Zertifikatsupdates Trojaner zu verbreiten, haben jetzt auch Deutschland erreicht, wie im Blog von Trend Micro zu lesen ist. Die Mails stammen angeblich von der DAB-Bank, und alle Exemplare, die ich bisher bekommen habe, zeichnen sich durch einen sehr kreativen Gebrauch der deutschen Sprache aus, z.B. so:

Subject: DABbank AG - Verwenden Sie die Informationen des Kunden

Sehr geehrte Kunde DAB Bank!
Wir verbreiten Kennwort nie. Tauschen Sie Ihren Kennwort jede ein Paar Monate. Seien Sie sicher, dass Ihr Computer von den Programmen des Anti-Virus, der Sicherheit und des Schutzes von anti-spyware erneuert wird. Laden Sie unsere letzte Software, um zu helfen, Ihren Eingang ins Internet

zu schutzen Hier>>
Mit den herzlichen Gruessen,
Essie Sharp.
2008 Mannschaft der Unterstutzung der DAB Bank.

Da sieht aus, als hätte der Text einen Marathon durch den Babelfish hinter sich. Die wievielte Sprachversion des Ursprungstextes das wohl ist?

Web-Security

Jeremiah Grossman zu Clickjacking

Auf CGISecurity wurde ein Interview mit Jeremiah Grossman zum von ihn mitentdeckten Clickjacking veröffentlicht. Auf der Web Security Mailing List läuft eine Diskussion über mögliche Gegenmaßnahmen.

Vorsicht vor automatisch generierten CAPTCHAs

Im Sophos-Blog kann man sehen, was passiert, wenn CAPTCHAs automatisch erzeugt werden. Hat sich da wohl überhaupt schon mal jemand Gedanken drüber gemacht? Man würfelt Buchstaben und Zahlen durcheinander, verfremdet die, fertig. Das dabei natürlich auch Wörter heraus kommen können, nach allen Regeln der Wahrscheinlichkeit sogar müssen, hat bisher wohl kaum jemand berücksichtigt. Es wäre vielleicht eine ganz gute Idee, vor der Ausgabe einen Wortfilter über das Ergebnis laufen zu lassen, bevor man aus Versehen einen Benutzer beleidigt, der dann vor einem amerikanischen Gericht auf Schadenersatz klagt...

Lesetips

Neues Paper zu Xen-Schwachstelle

Rafal Wojtczuk von Invisible Things Lab hat ein Paper über eine Schwachstelle in Xen veröffentlicht: "Adventures with a certain Xen vulnerability (in the PVFB backend)" (PDF), für das folgende Kurzbeschreibung veröffentlicht wurde:

The Evil Hacker escapes from DomU and gets into Dom0. Using clever ret-into-libc technique he succeeds with his attack on x86 architecture, despite the NX and ASLR deployed in Dom0 OS (Fedora Core 8). The Evil Hacker is also not discouraged by the fact that the target OS has SELinux protection enabled - he demonstrates how the particular SELinux policy for Xen, used by default on FC8, can be bypassed. Ultimately he gets full root access in Dom0. Rafal also discusses variation of the exploitation on x86_64 architecture - he partially succeeds, but his x64 exploit doesn't work in certain circumstances.

Zwei Literaturtips von Bruce Schneier

Bruce Schneier weist in seinem Blog auf zwei interessante Paper hin: In "Designing and implementing malicious hardware," von Samuel T. King, Joseph Tucek, Anthony Cozzie, Chris Grier, Weihang Jiang und Yuanyuan Zhou (PDF) geht es um bösartige Hardware (Schneier).
Im Oracle-Whitepaper "How to Write Injection-Proof SQL" (PDF) geht es um das Schreiben von vor SQL-Injection sicherer PL/SQL-Programme (Schneier).

Paper der Virus Bulletin Conference veröffentlicht

Die auf der Virus Bulletin Conference 2008 vorgestellten Paper und Präsentationen wurden jetzt veröffentlicht.

Neue Software

Ein gutartiges Rootkit?

Erinnert sich noch jemand an die verschiedenen Kopierschutz-Varianten für Audio-CDs, die ein Rootkit mitbrachten? Diese Versuche, ein "gutartiges" Rootkit zu erzeugen, waren bekanntlich wenig erfolgreich. Verdasys startet nun einen neuen Versuch: Deren neues Angebot mit dem Namen SiteTrust bringt eine Art Rootkit mit, das sich parallel zu anderen Schutzprogrammen wie z.B. Virenscannern installieren lässt. Wird eine Verbindung zu einer über SiteTrust geschützte Website aufgebaut, wird das Rootkit aktiv und kapselt diese Verbindung vor möglicherweise installierten Trojanern etc. ab.

Tool zur Suche nach IAX/2-fähigen Hosts veröffentlicht

iaxscan ist ein in Python geschriebenes Tool zur Suche nach IAX/2-fähigen Hosts und der Auflistung vorhandener Benutzer.

Gefährliche Schwachstellen vom 16.10.2008

• Adobe Flash:
  Pufferüberlauf beim Verarbeiten von .swf-Dateien mit überlangen Kontrollparametern darin erlaubt Ausführung beliebigen Codes
• Adobe Flash Player:
  Mehrere Schwachstellen erlauben das Einschleusen beliebigen Codes und das Ausspähen sensitiver Informationen
• Microsoft Internet Explorer:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes oder das Ausspähen sensitiver Informationen (MS08-058) (vom 14.10.2008, aktualisiert)
• PhotoStockPlus Uploader Tool ActiveX Control:
  Mehrere Pufferüberlauf-Schwachstellen im ActiveX-Control PSPUploader.ocx erlauben die Ausführung beliebigen Codes (vom 20.05.2008, aktualisiert)
• Microgaming Download Helper ActiveX Control:
  Nicht näher beschriebene Pufferüberlauf-Schwachstelle erlaubt Ausführung beliebigen Codes (vom 24.04.2007, aktualisiert)

Carsten Eilers