Archiv für den Tag: 24/03/2010

Browser sichern mit aktuellen Patches

1 Antwort

Originalartikel von Ria Rivera (Technical Communications bei Trend Micro)

Während die Browser-Hersteller auf der einen Seite um Marktanteile kämpfen, haben sie auf der anderen Seite Probleme, ihre Nutzer vor den zunehmenden Gefahren zu schützen. In einigen der populärsten Browser wurden kürzlich ernste Sicherheitslücken entdeckt. An erster Stelle stand hierbei der Internet Explorer (IE), in dem Microsoft allein im März zwei Schwachstellen schließen musste.

Auch der Firefox geriet in die Schlagzeilen mit einer eigenen Sicherheitslücke, die ernst genug war, um das BSI mit einer Warnung vor der Nutzung des Firefox auf den Plan zu rufen (Die Lücke wurde mittlerweile über ein vorgezogenes Update auf Firefox 3.6.2 von Mozilla geschlossen).

Andere Browser wie Opera und Safari hatten ebenfalls mit eigenen Fehlern zu kämpfen. Beide haben jedoch die Schwachstellen bereits gestopft. Der bekannte Sicherheitsexperte Charlie Miller warnte jedoch, er habe noch mehr Safari Zero-Day-Fehler zu veröffentlichen – schlechte Neuigkeiten, nicht nur für Apple sondern auch für Google Chrome, denn der Browser nutzt dieselbe WebKit Rendering Engine wie Safari.

Der Trend Micro Sicherheitsanalyst Rafiv Motwani erklärte: „Unabhängig von den erwähnten Lücken können wir nicht im entferntesten abschätzen, wie viele Schwachstellen derzeit ausgenützt werden. Man darf auch nicht vergessen, dass eine Vielzahl von Nutzern ihre Systeme nicht patcht.“ Er fügt hinzu, es gebe verschiedene Gründe dafür, warum Nutzer ihre Systeme nicht aktualisieren. Dazu gehöre das fehlende zentrale und automatische Update-System, ein herstellerunabhängiger Patch-Release-Zyklus und die Auffassung, dass eine traditionelle Antivirus-Software gegen alle Arten von Gefahren schützt. Schließlich mache die Verbreitung von Malware, die sich als Software-Patch ausgibt, die Dinge noch komplizierten, indem sie Zweifel und Verunsicherung bei den Nutzern aufkommen lässt.

Maßnahmen, wie die von der EU verordnete Browser-Abstimmung , die zu einer breiteren Browser-Auswahl führen soll, mag Nutzer dabei unterstützen, die Schwachpunkte in bestimmten Programmen zu erkennen. Doch Motwani betont, dass es praxisfern sei anzunehmen, dass Nutzer bei jeder neu entdeckten Schwachstellen den Browser wechseln. Unternehmensanwender müssten zusätzlich die Performance-Auswirkungen, Stabilität und Kompatibilität testen, bevor sei Patches ausrollen. Deshalb empfiehlt Motwani, statt Browser-Wechsel stets aktuelle Sicherheitsprodukte (siehe auch „Den ‚sichersten‘ Browser gibt es nicht“) einzusetzen und zu gewährleisten, dass die Definition immer auf dem neuesten Stand sind. Darüber hinaus sei es auch von entscheidender Bedeutung, Links, Dateien und herunter ladbare Daten von Social-Networking-Sites oder aus unbekannten Quellen mit Vorsicht zu behandeln. Weitere nützliche Maßnahmen sind die Deaktivierung von Scripting oder zumindest die Benutzung von Scripts zu regeln und auf vertrauenswürdige Sites zu beschränken.

Neue ZBOT-Variante wählt Kunden großer europäischer Banken als Angriffsziel

1 Antwort

Originalartikel von Loucif Kharouni (Threats Analyst bei Trend Micro)

Die Sicherheitsforscher von Trend Micro haben eine neue ZBOT-Variante entdeckt, die vor allem Banken aus vier europäischen Ländern als Ziel auserkoren hat. Diese Variante greift große populäre Bankinstitute mit vielen Kunden aus Italien, England, Deutschland und Frankreich an. Zu den Instituten gehören die UniCredit Group, Tochter der Bank of Rome, die britische Abbey National, die Fiducia Group, der führende IT-Service Provider für verschieden Banken  in Deutschland, Hongkongs HSBC sowie Crédit Mutuel, die größte Einzelhandelsbank Frankreichs.

„Zurzeit haben wir Daten, die zeigen, dass diese Banken tatsächlich das Ziel der Verbrecher sind. Wir nennen einige der Banken ausdrücklich, um die Menschen auf die Gefahr aufmerksam zu machen“, erklärt Ivan Macalintal, Advanced Threat Researcher bei Trend Micro.

ZBOT ist eine Crimeware, die mithilfe eines Toolkits erstellt wird, das auch die Anpassung der aus der Ferne kontrollierten Malware übernimmt. Infizierte Maschinen werden zum Bestandteil des kriminellen ZeuS-Botnets gemacht. ZBOT-Varianten sind darauf spezialisiert, Online-Banking-Informationen zu stehlen und diese an die C&C-Server (Command & Control) zurück zu schicken. Zwar ist ZeuS traditionell bekannt für die kriminellen Aktivitäten, doch der jüngste Schachzug zeigt eine neue Qualität der kriminellen Online-Geschäfte, wobei verschiedene Organisationen miteinander kooperieren können, um den Online-Diebstahl und Betrug durchzuführen. Weitere Details zur Malware bietet das Whitepaper “Zeus: A Persistent Criminal Enterprise“.

Die von der ZBOT-Variante genutzten Domänen, werden beide auf demselben Server gehostet, der in Serbien unter einem registrierten Namen betrieben wird. Die verwendete IP-Adresse und der registrierte Namen sind wohlbekannt, da sie Teil der FAKEAV-Hosting Domänen sind und an früheren kanadische Spam-Kampagnen für Medikamente beteiligt waren.

Trend Micro schützt seine Kunden über das Smart Protection Network vor diesen Angriffen. Die Content-Sicherheitsinfrastruktur blockiert mittels des Web Reputation Service den Zugriff der Benutzer auf alle bösartigen URLs und entdeckt damit in Verbindung stehende Malware mittels des File Reputation Service. Diejenigen, die keine Trend Micro-Software im Einsatz haben, können sich über das kostenlose Tool HouseCall schützen. Dies erkennt und beseitigt alle Arten von Viren, Trojanern, Würmern und nicht erwünschten Browser-Plugins vom System des Nutzers. Auch das ebenfalls kostenlose Tool RUBotted lässt sich einsetzen, um herauszufinden, ob das eigene System bereits Teil eines Botnetzes ist.