Samstag, 11. Februar 2012

News

Montag, 6. April 2009 | News

Security-Hinweise zu einem neuen RPC-Wurm und mehr

(Link zum Artikel: http://www.entwickler.de///048190)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

Es gibt einen neuen Exploit für die RPC-Schwachstelle und Neuigkeiten zum RPC-Wurm Conficker/Downadup: 2 neue FAQs und Untersuchungen der P2P-Funktion. Sophos fragt, wie vertrauenswürdig Facebook-Anwendungen sind, es gibt Neues zum GhostNet und Informationen zur HTML-Rendering-Engine des Internet Explorers. Und Roger Thompson von AVG berichtet über den immer noch aktiven Wurm SqlSlammer, der vor sechs Jahren das erste Mal auftrat und eine seit sechseinhalb Jahren geschlossene Schwachstelle ausnutzt.

Neuer Exploit für die RPC-Schwachstelle entdeckt

Auch wenn der RPC-Wurm Conficker/Downadup sich ruhig verhielt, gibt es Neuigkeiten über die von ihm ausgenutzte Schwachstelle aus dem Security Bulletin MS08-067: Microsofts Malware Protection Center hat einen neuen Exploit für die Schwachstelle entdeckt. Ein Wurm, der bisher eine andere Schwachstelle im RPC-Service ausnutzte (MS06-040), verwendet jetzt auch die von Conficker/Downadup genutzte Schwachstelle zur Verbreitung. Bei Microsoft heisst dieser Schädling Neeris, genauer Worm:Win32/Neeris.gen!C. Da er viele Gemeinsamkeiten mit Conficker/Downadup hat, gelten die gleichen Schutz- und Gegenmaßnahmen wie dort: Die Patches zum Bulletin MS08-067 installieren und AutoPlay ausschalten verhindern einen Einfall des Wurms.

RPC-Wurm: 1.-April-Nachlese

Nachdem F-Secure vor dem 1. April eine FAQ zu Conficker/Downadup veröffentlicht hat, fand man es nur recht und billig, auch eine FAQ nach dem 1. April zu veröffentlichen. Inhalt u.a.: Warum ist am 1. April nichts passiert, ist die Gefahr jetzt vorbei etc.. Eine weitere 'Conficker/Downadup nach dem 1. April-FAQ' gibt es von Trend Micro.

Weitere Untersuchungen zum RPC-Wurm

Trend Micro hat die Peer-to-Peer-Funktion von Conficker/Downadup untersucht. Teile des Codes zum Erzeugen der verwendeten Ports lassen sich bis in das Jahr 1997 zurückverfolgen, damals wurde der Code zum Erzeugen zufälliger Ausgangswerte für die Erzeugung von Krypto-Schlüsseln verwendet. In einem weiteren Blogeintrag von Trend Micro gibt es einen Einblick in den von der Peer-to-Peer-Funktion erzeugten Netzwerkverkehr. Einen Bericht von einen Mitglied der Conficker Working Group gibt es im Handler's Diary des ISC.

Wie vertrauenswürdig sind Facebook-Anwendungen?

Im Blog von Sophos wurde die Frage aufgeworfen, wie vertrauenswürdig denn die verschiedenen Facebook-Anwendungen sind, die Facebook zwar zum Download anbietet, für die aber keinerlei Verantwortung übernommen wird. Könnten Cyberkriminelle darüber Schadsoftware verteilen, und wenn ja: Was können sie mit den dabei gesammelten Informationen anstellen?

Gleich und gleich gesellt sich gern...

Die Websense Security Labs haben die Links zwischen Websites untersucht und festgestellt, das bösartige Websites bevorzugt zu anderen bösartigen Websites verlinken. Weitere Ergebnisse: Besonders oft führt die Suche nach Sex-Sites zu bösartigen Websites, die Schadsoftware verteilen, Phishing-Angriffe durchführen etc., und auch bei der Suche nach Freeware gibt es viele schwarze Schafe unter den Suchergebnissen.

Geistershow

Symantec hat die beim chinesischen Spionagenetzwerk GhostNet verwendeten Tools unter Laborbedingungen getestet und einen Film davon erstellt. Interessant!

IE HTML-Rendering-Engine näher betrachtet

Zwei Beiträge in Microsofts Security Research & Defense Blog beschäftigen sich mit der HTML-Rendering-Engine des Internet Explorers, MSHTML (auch Trident genannt), und ihrer Sicherheit: The MSHTML Host Security FAQ Part I und Part II. Inhalt: Wie wird die Rendering-Engine sicher eingesetzt bzw. wie kann man von ihren Schutzfunktionen profitieren.

Gefährliche Schwachstellen vom 03.04.2009

Carsten Eilers

Kommentare

+ Neuen Kommentar verfassen

Folgende Links könnten Sie auch interessieren