Microsoft hat klar gestellt, das die Patches zum Security Bulletin MS09-008 wie vorgesehen vor Angriffen schützen. Es gibt neues zum RPC-Wurm, eine Analyse eines Angriffs auf einen Webserver, Informationen zum Fake-Yahoo-Counter und SQL-Injection-Angriffen sowie einige Meldungen zu Spam, Phishing und ähnlichen Angriffen.

MS09-008 funktioniert

Microsoft ist Berichten nachgegangen, denen zu Folge die Patches zum Security Bulletin MS09-008 in einem Fall wirkungslos sind, und stellt klar, das die Patches wie vorgesehen vor Angriffen schützen. Details zu den Schwachstellen und Patches gibt es in einem Eintrag im Security Research & Defense Blog.

Neues zum RPC-Wurm

Auch in diesen Security-Hinweisen gibt es neues zum RPC-Wurm Conficker/Downadup zu berichten: Im Blog von Symantec wird der Frage nachgegangen, was Conficker/Downadup denn eigentlich ist. Die Antwort darauf ist nicht ganz einfach, den Conficker/Downadup ist ziemlich einzigartig. Symantec hat eine Übersicht mit allen bisher zu Conficker/Downadup veröffentlichten Blogbeiträgen veröffentlicht: The Downadup Codex (PDF). Enthalten ist auch ein neuer Beitrag über die Verbreitung des Wurm über die AutoPlay-Funktion.

Analyse eines Angriffs auf einen Webserver

Im Handler's Diary des ISC wird ein Angriff auf einen Webserver analysiert, bei dem gleich 3 Schutzmaßnahmen versagt haben:

1. Die Webanwendung enthielt eine Schwachstelle, die das Heraufladen einer .NET-Shell erlaubte - damit konnte der Angreifer Code mit den Rechten des IIS ausführen
2. Windows enthält eine Schwachstelle, die lokale Privilegieneskalation erlaubt - der Angreifer konnte nach dem Eindringen einen Exploit nachladen und damit SYSTEM-Rechte erlangen
3. Der vorhandene Virenscanner kannte den Exploit nicht und war dadurch in diesem Fall hilf- und nutzlos

Fake-Yahoo-Counter im Doppelpack

Roger Thompson berichtet im Blog von AVG über eine gleich (mindestens) zwei mal mit Fake-Yahoo-Countern infizierte Website. Entweder, da hat der Cybergangster beim Kompromittieren nicht aufgepasst und seinen vorherigen erfolgreichen Angriff nicht erkannt, oder er fährt nach der Devise "Doppelt hält besser" - wird die eine Manipulation entdeckt und behoben, bleibt die zweite ja vielleicht unentdeckt.

SQL-Injection-Angriffe immer noch aktuell

Symantec weist darauf hin, das SQL-Injection-Angriffe zur Kompromittierung von Webservern immer noch aktuell sind. Der entsprechende Schädling versucht u.a., schwache Passwörter zu knacken, also: Sichere Passwörter verwenden! Einmal über den SQL-Server eingedrungen, versucht der Schädling dann die vollständige Kontrolle über das System zu erlangen.

Phishing mit Schadenersatz als Köder

Im Blog von Symantec wird über einige Phishing-Mails berichtet, bei denen die Empfänger unter dem Vorwand, sie hätten aus irgend einem Grund evtl. Anspruch auf Schadenersatz zur Angabe persönlicher Daten verleitet werden sollen. Vielleicht sollte mal jemand die Spammer auf Schadenersatz verklagen...

Grüner Phishing-Spam

Auch über eine weitere Phishing-Welle wird im Blog von Symantec berichtet: Die Spammer versprechen Anleitungen, mit denen man für unter 200 US-Dollar eine Solar- oder Windkraftanlage selbst bauen kann. Alles, was die Spammer dazu (und für noch viel mehr) brauchen, sind die persönlichen Daten und natürlich die Kreditkarteninformationen ihrer Opfer, pardon "Kunden".

Nigeria im Social Network

Im Blog von Sophos wird über klassische Nigeria-Scam-Nachrichten berichtet, die über Einladungen zum Social Network Ning.com verteilt werden. Ob in den unerwünschten Mails nun Einladungen zu irgend einem Netzwerk oder zusätzlich noch Scam ist, ist doch eigentlich egal, Spam ist Spam, weg damit.

Phishing mit TinyURL, mal wieder oder immer noch

Auch Trend Micro berichtet jetzt über eine Phishing-Welle, bei der das Ziel von Links über einen URL-Verkürzer, dank seiner Popularität mal wieder TinyURL, verschleiert wird. Außer dem im Handler's Diary des ISC veröffentlichten Tipp, die URL von http://tinyurl.com/irgendwas zu http://preview.tinyurl.com/irgendwas zu ändern, um die Preview-Funktion von TinyURL zu aktivieren, gibt es eine weitere Möglichkeit, das Ziel vor dem Aufruf des Links zu sehen: Trend Micro weist auf den URL-Expander unter http://longurl.org/tools hin.

Spam soll gefälschten Flash-Player verbreiten

F-Secure weist darauf hin, das zur Zeit wieder verschiedene Spam-Wellen laufen, die die Benutzer zur Installation eines neuen Flash-Players verleiten sollen. Da Adobe gerade am Updaten ist, könnte das bei nicht besonders aufmerksamen Benutzern sogar gelingen.

Facebook-Nutzer im Visier

Trend Micro berichtet über eine aktuelle Spam-Welle, die auf Facebook-Nutzer zielt. Ziel der Aktion: Die Benutzer sollen einen Videoplayer installieren, um ein Video betrachten zu können. Der Name des Players: Adobe_Player11.exe - irgendwo habe ich sowas doch heute schon mal gehört...

Gefährliche Schwachstellen vom 13.03.2009

• GNOME GLib:
  Pufferüberlauf-Schwachstelle in den Base64-Kodier- und Dekodier-Funktionen erlaubt Ausführung beliebigen Codes
• libsoup:
  Pufferüberlauf-Schwachstelle in den Base64-Kodier- und Dekodier-Funktionen erlaubt Ausführung beliebigen Codes
• GStreamer gst-plugins-base:
  Pufferüberlauf-Schwachstelle in den Base64-Kodier- und Dekodier-Funktionen erlaubt Ausführung beliebigen Codes
• Evolution Data Server:
  Pufferüberlauf-Schwachstelle in den Base64-Kodier- und Dekodier-Funktionen erlaubt Ausführung beliebigen Codes

Carsten Eilers