Zwei Einträge im Handler's Diary des ISC beschreiben die Suche nach von der WebDAV-Schwachstelle betroffenen Servern. Es gibt Informationen über die Schädlinge Gumblar und Pushdo, gefälschte BKA-Mails sowie Drive-by-Infektionen auf Gadgetadvisor.com. Trend Micro berichtet über einen neuen Ansatz zur Verbreitung von Fake-Flash-Playern, und im Blog von Sophos werden einige gute Gründe genannt, warum man die Default-Einstellungen von Programmen prüfen und ggf. anpassen sollte, außerdem gibt es Hinweise auf ein neues Paper und ein neues Tool.

IIS mit WebDAV finden

Ein Eintrag im Handler's Diary des ISC weist auf einen Knowledge-Base-Artikel von Microsoft hin, in dem beschrieben wird, wie man die von der kürzlich veröffentlichten Schwachstelle in WebDAV betroffenen Systeme erkennen kann. Ein weiterer Eintrag im Handler's Diary beschreibt, wie die betroffenen Systeme mit Hilfe von nmap auch aus der Ferne erkannt werden können.

Rund um Gumblar

'Gumblar' ist Bestandteil des Domainnamens eines Servers, zu dem die Opfer von Drive-by-Infektionen weitergeleitet wurden, um dort dann mit Schadsoftware infiziert zu werden. Der dabei eingesetzte Schädling wurde ebenfalls auf diesen Namen getauft. Im Blog von AVG wird die verwendete Technik zum Tarnen des JavaScript-Codes für die Weiterleitung beschrieben. Eine Analyse des gesamten Schädlings gibt es von Andre Martin ('Inside the Massive Gumblar Attack'), der auch die dabei verwendeten Exploits untersucht hat ('Exploits Employed by Gumblar'). Eine Analyse, die auch auf die Entwicklung des Schädlings eingeht, gibt es von den Websense Security Labs: 'Gumblar - An Analysis and History'. Trend Micro meldet, das im Domainnamen 'Gumblar' durch 'Martuz' ersetzt wurde, sonst ändert sich an der Bedrohung aber nichts.

Pushdo - Das Finale

Trend Micro hat den 5. und letzten Teil der Serie rund um den Schädling Pushdo veröffentlicht: 'Pushdo/Cutwail – Traditional AV is Useless (Part 5 of 5)' beschreibt, warum der Schädling vor der Entdeckung durch herkömmliche Virenscanner ziemlich sicher ist. Außerdem gibt es einen Verweis auf ein Whitepaper über den Schädling: 'A Study of Pushdo / Cutwail' (PDF).

Gefälschte BKA-Mails unterwegs

Das Bundeskriminalamt warnt vor gefälschten BKA-Mails, die zur Zeit verschickt werden, um den Empfänger zur Zahlung eines angeblichen Bußgelds wegen des angeblichen Downloads von Filmen, Software und MP3-Musikdateien. Das BKA verschickt keine Anzeigen per E-Mail und warnt davor, den Betrag zu überweisen. Wer das bereits getan hat, soll zur Polizei gehen.

Drive-by-Infektionen auf Gadgetadvisor.com

F-Secure berichtet, das die Website Gadgetadvisor.com mit einem iFrame für Drive-by-Infektionen präpariert wurde. Über eine Schwachstelle im Adobe Reader bzw. Acrobat soll ein Trojan-Downloader eingeschleust werden. F-Secure hat den dafür verwendeten JavaScript-Code analysiert.

'P0wning The Programmable Web'

Mitarbeiter der Websense Security Labs haben auf der Konferenz AusCert 2009 einen Vortrag über 'P0wning The Programmable Web' gehalten, dessen Zusammenfassung im Blog der Websense Security Labs veröffentlicht wurde.

Matasano Port Forwarding Interceptor

Matasano Security hat den Port Forwarding Interceptor (PFI) vorgestellt, ein Python-Skript, mit dem sich TCP-Verbindungen beobachten lassen.

Gefährliche Schwachstellen vom 22.05.2009

• Novell GroupWise:
  Mehrere Schwachstellen erlauben u.a. das Umgehen der Authentifizierung und die Ausführung beliebigen Codes
• Pidgin:
  Mehrere Schwachstellen erlauben DoS-Angriffe und evtl. die Ausführung beliebigen Codes
• NC GBook:
  Einschleusen beliebigen PHP-Codes über die 'Autor'-, 'E-Mail'- und 'Homepage'-Felder beim Verfassen eines Eintrags
• NC LinkList:
  Einschleusen beliebigen PHP-Codes über das 'Ihr Name'-Feld beim Bewerten eines Links
• Apple QuickTime:
  Pufferüberlauf beim Parsen präparierter PICT-Dateien erlaubt Ausführung beliebigen Codes
• CiscoWorks Common Services:
  Directory-Traversal-Schwachstelle im TFTP-Server erlaubt Herunterladen und Manipulieren beliebiger Dateien
• Mac OS X:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 13.05.2009, aktualisiert)
• Mac OS X:
  Mehrere Schwachstellen in Java erlauben u.a. Ausführung beliebigen Codes und z.B. Drive-by-Infektionen (vom 20.05.2009, aktualisiert)
• Microsoft Internet Information Server:
  Schwachstelle beim Verarbeiten von WebDAV-Requests erlaubt Umgehen der Authentifizierung für Passwortgeschützte Verzeichnisse und den Up- und Download beliebiger Dateien (vom 18.05.2009, aktualisiert)

Carsten Eilers