Nach Beobachtungen von Sicherheitsfirmen breitet sich der Zero-Day-Exploit für den Internet Explorer rapide im Netz aus. Er richtet sich gegen eine besonders gefährliche Lücke in allen Versionen des des Microsoft-Browsers, für die es bislang keinen Patch gibt: Allein durch Öffnen einer Internetseite kann der Windows-PC mit Schadsoftware infiziert werden. Anders als bei den meisten anderen Angriffen ist also kein weiterer unvorsichtiger Klick des Surfers erforderlich.

Immer mehr harmlose Server werden derzeit durch SQL-Injection so manipuliert, dass sie den Zero-Day-Exploit an anfragende Rechner ausliefern. Daher kann man sich unter Umständen auch auf Webseiten vertrauenswürdiger Anbieter infizieren.

Antiviren-Software schützt nur begrenzt vor Web-Seiten, die einen solchen Exploit nutzen, um Rechner mit Schadsoftware zu infizieren. Zum Einen überwachen längst nicht alle Virenwächter den Internet-Verkehr; viele beschränken sich darauf, Dateien zu durchsuchen. Aber wenn eine Web-Seite im Browser-Cache landet, ist es meist schon zu spät und der böse Code läuft bereits. Zum Anderen haben noch längst nicht alle Hersteller passende Signaturen erstellt. Einen echten Exploit, der heise Security am Dienstag erreichte, erkannten am heutigen Samstag unter anderem CA, Kaspersky, Trend Micro, NOD32, Panda und F-Secure noch nicht.

Microsoft gibt eine ausführliche Liste von Workarounds, wie der Internet Explorer zu konfigurieren ist, um den Exploit ins Leere laufen zu lassen. Dazu gehört unter anderem der wenig praxistaugliche Tipp, Scripting zu deaktivieren, ohne das es auf eine Reihe von Webseiten zu Problemen bei der Darstellung und Bedienung kommen kann.

Solange Microsoft noch keinen Patch bereitstellt, sollte man zu einem alternativen Browser greifen, der die verwundbaren Microsoft-Bibliotheken nicht benutzt. Populäre Beispiele sind Firefox, Opera oder Safari.

Quelle: heise.de

Nach Aussage von Google sind die kürzlich gemeldeten Manipulationen von Google-Mail-Konten nicht auf eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) zurückführen. Vielmehr habe es sich nach einer Analyse zusammen mit den Betroffenen herausgestellt, dass simple Phishing-Angriffe auf die Inhaber der Mail-Konten die Ursache waren. Mit den abgephishten Daten hätten die Betrüger dann Zugriff auf das Mail-Konto gehabt und bestimmte Filter definieren können, um Mails automatisch an sich umzuleiten.

Damit war es in der Folge möglich, an die von Domain-Verwaltern per Mail verschickten Instruktionen zum Zurücksetzen des Passwortes zu gelangen und anschließend die Domain zu transferieren oder freizugeben. Opfer dieses Angriffs war nach eigenen Angaben Anfang November der Betreiber des bei GoDaddy.com registrierten Newsdienstes MakeUseOf.com.

Google widerspricht zudem Vermutungen, dass eine 2007 bekannt gewordene CSRF-Schwachstelle immer noch funktioniert. Allerdings tritt Google nicht explizit der im Blog GeekCondition veröffentlichten Anleitung entgegen, wie Unbefugte einen Filter im Mail-Konto anderer Anwender definieren können.

Schutz vor Pishing-Angriffen auf Google-Mail-Nutzer bietet nach Meinung von Google, wenn der Anwender den Maildienst grundsätzlich nur über SSL-gesicherte HTTP-Verbindungen aufruft und die Gültigkeit des Zertifikats prüft beziehungsweise Fehlermeldungen nicht einfach ignoriert. Auch die ICANN hat bereits Mitte des Jahres mit einem Leitfaden auf mögliche Phishing-Attacken hingewiesen, bei denen Administratoren auf nachgemachten Registrar-Seiten landen und dort Name und Passwort verraten. Leider hatte die ICANN die eigenen Empfehlungen wohl nicht beherzigt, sodass bereits einen Monat später die Domain der ICANN (und der IANA) von türkischen Hackern entführt wurde.

Quelle: heise.de

Ein neuer Schädling macht per Mail Runde und versucht wieder einmal, seine Empfänger in Angst und Schrecken zu versetzen, damit diese unbedacht auf den Anhang klicken. Die Mails geben vor, von einem Inkasso-Büro zu stammen, das mehrere Tausend Euro vom Konto abgebucht hat.

Sehr geehrte Damen und Herren!

Die Anzahlung Nr.885434211759 ist erfolgt Es wurden 5327.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

xxxxxx GmbH & Co. KG
xxxxx Str. 21

Glücklicherweise ist es mit dem Klick auf den Anhang allein nicht getan, um den eigenen Rechner zu infizieren. Zuvor muss das Opfer das mit einem Zipper gepackte Archiv auspacken und auf die Datei abrechnung.lnk klicken. Die hat es dann aber in sich: Sie ruft die Command-Shell (cmd.exe) mit der ebenfalls entpackten Datei scann.a als Argument auf, in welcher der eigentliche Schädling steckt.

Damit nutzen die Malware-Autoren einen Trick, vor dem heise Security bereits vor vier Jahren in einer Analyse der Sicherheitsfunktionen von Windows XP SP2 gewarnt hatte. Über die Shell lassen sich Dateien mit beliebigen Dateierweiterungen ausführen. Dieser Umweg über cmd.exe führt auch dazu, dass die ZoneID komplett ignoriert wird. Anhand der ZoneID erkennt Windows eine aus dem Internet heruntergeladene Datei auch später noch und kann vor dem Ausführen eine Warnung anzeigen.

Da die eigentliche Schaddatei die unverdächtige Endung .a trägt, dürfte so mancher Scanner die Datei ignorieren und somit den Schädling übersehen. Wenn er denn hinschaut, könnte ihn allerdings der ungewöhnliche Packer argwöhnisch machen. Aktuell (Stand 15:30) erkennt keiner der bekannten Antiviren-Hersteller den Schädling namentlich. Nach ersten Analysen von heise Security nimmt der Schädling Kontakt mit einem Server in China auf, um weitere Dateien nachzuladen.

Wie immer gilt: Nicht in Panik versetzen lassen und nicht unbedacht Archive öffnen und darin enthaltene Dateien anklicken, denn genau auf diese Reaktion setzen die Virenautoren. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Antivirenseiten von heise Security.

Quelle: heise.de

Eine Sicherheitslücke in Google Mail soll es Angreifern ermöglichen, eigene Filter im Postfach eines Opfer zu definieren und so etwa bestimmte empfangene Mails auf die Adresse des Angreifers umzulenken. Aktuell gibt es mehrere Berichte über erfolgreiche Attacken, bei denen die Lücke missbraucht wurde, um die Kontrolle über die Verwaltung der Domains von Opfern zu erhalten.

Im Wesentlichen soll die Lücke auf einer Cross-Site-Request-Forgery-Schwachstelle (CSRF) beruhen, bei der eine präparierte Webseite den Filter in Google Mail setzt. Dazu muss das Opfer allerdings ein Browserfenster mit Google Mail geöffnet und sich dort authentifiziert haben sowie in einem zweiten Browserfenster die manipulierte Webseite aufrufen.

Ist der Filter gesetzt, muss der Angreifer auf den Seiten des Domain-Verwalters die Funktion zum Rücksetzen des Passwortes für das Management der Domain aufrufen und bekommt anschließend per Mail die eigentlich für das Opfer vorgesehenen Instruktionen zum Erhalt eines neuen Passworts. Damit ist er in der Lage, das Konto und somit die Kontrolle über die Domain zu übernehmen und diese zu transferieren oder freizugeben.

Eine sehr ähnliche Lücke gab es Mitte 2007 bei Google Mail, die Berichten zufolge ebenfalls zum Umleiten von Mail per Filter benutzt wurde. Allerdings ging man bislang davon aus, dass Google die Lücke seinerzeit beseitigt hatte. Offenbar ist dem nicht so, denn Google verwendet Analysen zufolge immer noch eine sitzungsbezogene statt einer request-bezogenen Authentifizierung. Letztere böte nämlich Schutz vor CRSR-Angriffen, da ein Angreifer dabei eine bestimmte ID für einen gültigen HTTP-Request erraten muss.

Immerhin können Anwender sich mit dem Plug-in NoScript selbst vor CSRF-Angriffen schützen. Dies versucht verdächtige Anfragen zu erkennen und zu blockieren. Daneben kann NoScript auch vor Cross-Site-Scripting-Attacken schützen. In den Genuss dieses Schutzes kommen derzeit jedoch nur Anwender eines Mozilla-basierten Browsers wie Firefox.

• Gmail Security Flaw Proof of Concept, Beschreibung von Brandon.
• Gmail Exploit May Aid Domain Hijacking Gmail Security Flaw Proof of Concept, Beschreibung von Lidija Davis

Quelle: heise.de

Die vor wenigen Tagen bekannt gewordene Sicherheitslücke im Adobe Reader 8 wird inzwischen gezielt ausgenutzt, berichten die Sicherheitsexperten des ISC (Internet Storm Center). Die Angreifer verursachen einen Pufferüberlauf mit Hilfe der JavaScript-Funktion util.printf. Das PDF mit dem Schadcode sei von keinem der über 30 Virenscanner auf VirusTotal erkannt worden — eine simple Obfuskation des Schadcodes habe genügt, um die Engines aufs Glatteis zu führen.

Adobe hat die Sicherheitslücke in Reader 8 mit Version 8.1.3 inzwischen geschlossen. Nutzer von neueren Windows- (ab Windows 2000) und Mac-Betriebssystemen (ab 10.4.11) haben ohnehin Adobe Reader 9 zur Verfügung, der von der Lücke offenbar nicht betroffen ist. Der Umstieg auf Konkurrenzsoftware verspricht auch nicht mehr Sicherheit: Vor einem halben Jahr wies Foxit Reader nahezu die gleiche Sicherheitslücke auf.

Quelle: heise.de