Archiv für den Monat: April 2011

70 Millionen Kunden von Sony-Sicherheitslücke betroffen

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson (Director of Security Research & Communication, Trend Micro)

Aktuelle Neuigkeiten von Sony bestätigen die schlimmsten Befürchtungen vieler Kunden: Zwischen dem 17. und 19 April verschaffte sich eine „unbefugte“ Person Zugriff auf die persönlichen Daten der über 70 Millionen Sony-Kunden. Gestohlen wurden folgende Daten:
 
Name
Anschrift
E-Mail-Adresse
Geburtsdatum
Anmeldename und Kennwort für PlayStation Network/QRiocity und die Online-ID.

 
Darüber hinaus wurden möglicherweise folgende Daten entwendet:
Rechnungsanschrift
Kaufhistorie
Antworten auf die Kennwortsicherheitsfrage von PlayStation Network/QRiocity
sämtliche oben genannten Daten für Unterkonten (z. B. die Konten der Kinder von Sony-Kunden).

 
Zwar liegen zurzeit keine Beweise dafür vor, dass auch auf Kreditkartendaten zugegriffen wurde, jedoch kann Sony diese Möglichkeit nicht ausschließen und informiert seine Kunden entsprechend.
 
Was bedeutet das für Sie? Nun, wenn Sie zu den Benutzern zählen, die auf allen Websites das gleiche Kennwort verwenden, ist jetzt der Zeitpunkt gekommen, mit dieser Gewohnheit zu brechen und Ihr Kennwort zu ändern. Die Cyber-Kriminellen haben jetzt Ihre E-Mail-Adresse und Ihr Einheitskennwort, dazu noch möglicherweise die Antworten auf Ihre Sicherheitsfragen, die auch gerne mehrfach verwendet werden.
 
Sie sollten nie das gleiche Kennwort auf mehreren Websites verwenden, sondern für jede Website ein eigenes Kennwort auswählen. Es nicht so aufwändig oder schwierig, wie Sie vielleicht denken. Behelfen Sie sich folgendermaßen: Erstellen Sie ein komplexes Kennwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, wie beispielsweise $%&!. Denken Sie sich nun eine Methode aus, wie Sie dieses Kennwort für die einzelnen Websites anpassen können. Sie können zum Beispiel den ersten und letzten Buchstaben des Website-Namens jeweils an den Anfang und das Ende des Kennworts setzen – das macht es einerseits unverwechselbar, lässt sich aber andererseits gut merken.
 
Eine weitere, sehr gängige Möglichkeit zum Hacken eines Kontos ist das Ausspionieren der Sicherheitsfrage bzw. Frage zum Zurücksetzen des Kennworts. Wenn Sie also aufgefordert werden, Antworten auf Sicherheitsfragen anzugeben, überlegen Sie, ob Ihre Antworten wirklich sicher sind. „Sicher“ bedeutet, dass nur Sie die Antwort auf diese Fragen kennen. Wenn Sie eigene Fragen erstellen können, dann sollten Sie diese Möglichkeit nutzen. Bei Standardfragen wie „Name der Grundschule“ oder „Name des ersten Haustiers“ sollten Sie daran denken, dass die Antwort nicht der Wahrheit entsprechen muss, sondern einfach nur gut merkbar sein sollte.
 
Angesichts der Warnung von Sony sollten Sie auch Ihre Bankkonten im Auge behalten und regelmäßig auf unbefugte Aktivitäten überprüfen.
 

Sony, Anonymous und das PSN

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson (Director of Security Research & Communication, Trend Micro)

Auch am fünften Tag der Serviceunterbrechung von PSN, dem Gaming-Netzwerk der Sony Playstation, hüllt sich das Mutterunternehmen zu den Gründen des Ausfalls in Schweigen.
 
In seinem neuesten Blog-Beitrag vom 25. April ließ Patrick Seybold, Senior Director für Unternehmenskommunikation und Soziale Medien bei Sony, lediglich verlauten: „Ich weiß, dass Sie auf weitere Informationen darüber warten, wann das Play Station Network und QRiocity wieder verfügbar sind. Leider kann ich dazu im Moment keine entsprechenden Schätzungen abgeben.
 
Im Mittelpunkt der zahlreichen Spekulationen über das Wie und Warum des „Eindringlings“ steht Anonymous. Am 3. April hatte das „lose Online-Kollektiv“ (wie ich diesen Begriff verabscheue) OpSony gegründet, und zwar als Reaktion auf das gerichtliche Vorgehen von Sony gegen die beiden Hacker GeoHot und Graf_Chokolo. Diese hatten Tools veröffentlicht, mit denen man sich in die beliebte Spielekonsole hacken und dann Funktionen hinzufügen oder entfernen konnte. Laut Anonymous hält Sony die von den beiden Hackern veröffentlichten Informationen zurück. Der Grund? „Unternehmerische Gier und der Wunsch, die Benutzer völlig unter Kontrolle zu halten“. Neben den rechtlichen Schritten, die Sony gegen die beiden Hacker eingeleitet hat, verlangt das Unternehmen angeblich von Sozialen Medien, wie beispielsweise YouTube, ihm die IP-Adressen sämtlicher Nutzer zu melden, die die Posts von GeoHost abrufen. Außerdem berichtet Anonymous, dass die Offenlegung der IP-Adressen sämtlicher geohot.com-Besucher rechtlich genehmigt wurde.
 
Am 6. April wurde in den aktuellen Kommentaren auf der OpSony-Seite ein erstes Netzwerkdiagramm von Sonys Internet-Präsenz veröffentlicht, zusammen mit einem Aufruf nach weiteren Informationen. Noch am selben Tag beschwerten sich erste PSN-Benutzer im selben Thread über Probleme beim Zugriff auf Online-Spiele.
Laut aktuellen Berichten im Internet ist nach wie vor unklar, wer hinter dem Angriff auf Sony steckt, doch in einem undatierten Beitrag scheint Anonymous – zumindest indirekt – die Verantwortung für den Vorfall zu übernehmen.

Sony hat noch nicht bekannt gegeben, welche Angriffsmethode verwendet wurde. Das PSN ist zurzeit offline, um „die Netzwerkinfrastruktur zu verstärken“.
 
Wie auch immer Sie zum Verstoß gegen Endbenutzer-Lizenzverträge und Urheberrechte stehen: Unbestreitbar haben die Aktivitäten, die der Grund für diese lange Ausfallzeit sind, zu extremem Unmut gegenüber Anonymous geführt. Ein Kommentator schreibt sogar:

Der Tag, an dem das Anonymous-Kollektiv so weit sank wie die Leute, gegen die es sich auflehnt.

Unübersehbar hier die Ironie, Millionen von Menschen im Namen der Informationsfreiheit den Zugriff auf Services und Informationen zu verweigern.
 
Gekrönt wird das Ganze noch durch die Tatsache, dass der Beitrag am Tag des Geistigen Eigentums veröffentlicht wurde.

Facebook Veranstaltungen, Gutschriften und Kennwörter im Visier der Angreifer

Hinterlassen Sie eine Antwort

Originalartikel von Paul Pajares (Fraud Analyst)

Facebook hat sein Service-Angebot ausgeweitet und stellt so eine Plattform bereit, auf der die Benutzer weit mehr als nur miteinander kommunizieren können. Schon oft wurde vermutet, dass Facebook E-Mails als Kommunikationsmittel ersetzen könnte, da die Website den Benutzern weitaus bequemere Möglichkeiten zum Versenden von Nachrichten bietet als herkömmliche E-Mail-Programme.

Diese Möglichkeit haben sich allerdings auch Cyber-Kriminelle zunutze gemacht: In einem aktuellen Spam-Angriff wurden Benutzer dazu angehalten, eine Anwendung mit dem Namen Facebook Messenger herunterzuladen, die den Zugriff auf Nachrichten, die an ihre Facebook-Konten gesendet wurden, angeblich vereinfachen sollte.

Der Angriff beginnt mit Spam-Nachrichten, die wie eine Facebook-Benachrichtigung aussehen. In dieser E-Mail wird der Benutzer über eine Nachricht informiert, die an sein Facebook-Konto gesendet wurde. Der Benutzer soll auf einen Link in der E-Mail klicken, um die entsprechende Nachricht zu öffnen. Kommt der Benutzer dieser Aufforderung nach, wird eine Download-Seite angezeigt, von der der so genannte Facebook Messenger heruntergeladen wird.

Die heruntergeladene Datei FacebookMessengerSetup.exe ist bösartig und wurde als BKDR_QUEJOB.EVL identifiziert. Sie öffnet den TCP-Port 1098 und wartet auf Befehle von einem bösartigen Angreifer, um beispielsweise die Datei BKDR_QUEJOB.EVL zu aktualisieren, weitere bösartige Dateien herunterzuladen und auszuführen oder bestimmte Prozesse zu starten. Außerdem fragt die Datei Informationen vom System ab, wie installierte Antiviren-Produkte und die Betriebssystemversion. Diese Daten werden in einem bestimmten SMTP gesammelt.

Weitere gezielte Angriffe auf Facebook-Benutzer

Anscheinend haben es die Cyber-Kriminellen zurzeit auf Facebook-Benutzer abgesehen, denn der beschriebene Angriff ist nicht der einzige, den wir in den letzten Tagen beobachtet haben.

Bei einem anderen Spam-Rundlauf wurde den Empfängern mitgeteilt, dass ihr Facebook-Kennwort nicht sicher ist und sie ein angehängtes Dokument öffnen sollen, das ein neues Kennwort und Informationen zum weiteren Schutz des Kontos enthält. Ironischerweise handelte es sich bei besagtem angehängten Dokument um die Malware TROJ_DOFOIL.VI.

Ähnliche Angriffe zielen auf die Funktion Facebook-Veranstaltungen ab. Dieses Mal stand allerdings eine andere beliebte Facebook-Funktion im Mittelpunkt: die Gutschriften (Credits).

Die Benutzer wurden über eine angebliche Störung im Facebook-System informiert, die mithilfe einiger Anweisungen einfach behoben werden könnte. Ähnlich wie bei der Technik, die im Facebook Stalker Tracker-Angriff eingesetzt wurde, sollten die Benutzer einen Code kopieren und in ihren Webbrowser einfügen. Beim Ausführen des Skripts wird eine Veranstaltung erstellt und eine entsprechende Einladung an die Kontakte der betroffenen Benutzer versendet. Die „Veranstaltung“ enthält Spam-Informationen, wie zum Beispiel Links zum Arzneimittelversand "Canadian Pharmacy".

Das Skript, das für die Spam-Veranstaltung verwendet wird, wurde als JS_OBFUS.PB identifiziert.

Benutzer von Trend Micro Produkten sind dank dem Trend Micro™ Smart Protection Network™ bereits bestens vor den beschriebenen Bedrohungen geschützt. Facebook-Benutzer sollten sich darüber im Klaren sein, dass derartige Angriffsarten im Internet weit verbreitet sind. Sie sollten äußerst vorsichtig sein, wenn sie auf Links klicken. Weitere Informationen finden Sie in unserem umfassenden Bericht Spam, Scams and Other Social Media Threats.

Zusätzliche Texte und Analysen von Dhan Praga und Harry Reynoso

Weitere Zero-Day-Exploit in Adobe Flash gefunden

Hinterlassen Sie eine Antwort

Originalartikel von Roland Dela Paz (Threat Response Engineer)

Vor Kurzem wurde ein Exploit für eine weitere Zero-Day-Schwachstelle in Adobe Flash Player gefunden – nur wenige Wochen nachdem Adobe bereits ein Patch für eine ähnliche, schwerwiegende Schwachstelle veröffentlicht hat, die aktiv für Angriffe genutzt wurde.

Laut Security Advisory von Adobe wird die als APSA11-02 identifizierte Schwachstelle zurzeit als eine in einem Microsoft Word-Dokument eingebettete .SWF-Datei für Angriffe genutzt. Aus den Berichten geht hervor, dass der besagte Exploit auch über E-Mails verteilt wurde. Momentan versuchen wir, mehr Informationen über die Art der E-Mail-Nachrichten zu erhalten, die den Exploit verbreiten.

Wir konnten bereits ein Beispiel des Microsoft Word-Dokuments analysieren, in dem der Exploit eingebettet war.
Das Dokument verfügt über den Dateinamen Disentangling_Industrial_Policy_and_Competition_Policy.doc und wird jetzt als TROJ_MDROP.WMP entdeckt. Es enthält eine .SWF-Datei mit dem Angriffscode. Die Datei wird jetzt als TROJ_FAKEAV.DAP entdeckt. Nach erfolgreicher Ausführung des Angriffs legt TROJ_MDROP.WMP eine weitere bösartige Datei ab, die als BKDR_SHARK.WMP entdeckt wird.

Von dieser Schwachstelle ist unter anderem folgende Software betroffen:

  • Adobe Flash Player 10.2.153.1 und frühere Versionen für Windows, Macintosh, Linux und Solaris OSs
  • Adobe Flash Player 10.2.154.25 und frühere Versionen für Chrome-Anwender
  • Adobe Flash Player 10.2.154.25 und frühere Versionen für Android-Anwender
  • Die Komponente Authplay.dll, die im Lieferumfang von Adobe Reader und Acrobat X (10.0.2) sowie früheren 10.x- und 9.x-Versionen für Windows und Macintosh Betriebssysteme enthalten ist

Die Veröffentlichung eines Patches für diese Schwachstelle durch Adobe steht noch aus.

Dieser Exploit dringt auf ähnliche Weise in Anwendersysteme’ ein wie APSA11-01. Beide Schwachstellen verbreiten sich als .SWF-Dateien, die in Microsoft Office-Dokumente eingebettet sind (die vorherige Schwachstelle ist in Microsoft Excel Tabellenkalkulationen eingebettet). Derartige Bedrohungen können großen Schaden anrichten, wenn sie raffiniert – wie bei gezielten Angriffen – verwendet werden. Zur Erinnerung: APSA11-01 wurde laut Berichten in verschiedenen Angriffen verwendet, einschließlich Angriffen in Verbindung mit dem Erdbeben in Japan und der RSA-Sicherheitsverletzung.

Solange es kein Patch für diese Schwachstelle gibt, ist die Wahrscheinlichkeit sehr hoch, dass sie für Malware-Angriffe genutzt wird. Wir raten Anwendern dringend zu besonderer Vorsicht im Umgang mit E-Mail-Nachrichten von unbekannten Absendern (insbesondere E-Mails mit Anhängen).

Update vom 13. April 2011, 22:10 Uhr PST

Adobe hat bereits den Zeitplan für die Veröffentlichung von Sicherheitsupdates zu dieser Schwachstelle bekannt gegeben. Laut aktuellem Bulletin werden die Patches wie folgt veröffentlicht:

  • Update von Adobe Flash Player 10.2.x und früheren Versionen für Windows, Macintosh, Linux und Solaris am 15. April 2011
  • Update von Adobe Acrobat X (10.0.2) und früheren 10.x- und 9.x-Versionen für Windows und Macintosh, Adobe Reader X (10.0.1) for Macintosh und Adobe Reader 9.4.3 und früheren 9.x-Versionen für Windows und Macintosh am oder vor dem 25. April 2011
  • Das Update von Adobe Reader X for Windows erfolgt im Rahmen des nächsten Sicherheitsupdates, das laut Zeitplan am 14. Juni 2011 veröffentlicht wird

Update vom 15. April 2011, 05:00 Uhr PST

Wir haben Spam-Beispiele zu diesem Zero-Day-Angriff gefunden. Anwender erhalten diese E-Mail-Nachrichten mit einem angehängten Word-Dokument mit dem Dateinamen APRIL 2011.doc:

Facebook-Nutzer erhalten Einladung zu Spam-Event

4 Antworten

Originalartikel von Paul Pajares (Fraud Analyst)

Schon seit einiger Zeit berichten wir über Bedrohungen, die auf Facebook-Nutzer abzielen. Die meisten dieser Angriffe führen dazu, dass die Anwender unwissentlich Spam-Links in ihren Netzwerken verbreiten. Wir haben verschiedene Social-Engineering-Techniken im Einsatz gesehen, wie z. B. Stalker-Tracker-Tools, Promi-News und sogar Material zur aktuellen Tragödie in Japan.

In der Regel bestehen diese Bedrohungen aus Links zusammen mit einem entsprechenden Einladungstext, der auf der Pinnwand des betroffenen Anwenders veröffentlicht wird. Andere Anwender, die dazu verführt werden, auf den besagten Link zu klicken, führen unwissentlich ein Script aus, das wiederum genau diesen Spam-Inhalt verbreitet.

Vor Kurzem haben wir jedoch eine andere Version dieser Masche beobachtet, und zwar kam hier eine häufig genutzte Funktion in Facebook – Events zum Einsatz.

Anstatt den Spam-Link auf der Pinnwand von Anwendern zu platzieren, wo er leicht in den News-Feeds untergehen kann, nutzen die Cyber-Kriminellen jetzt die Events-Funktion, um die Aufmerksamkeit ihrer Zielgruppe ganz auf sich zu ziehen.

Bei dieser Masche erstellen die Spammer einen Event, der für viele Anwender verlockend klingt. Beispielsweise haben wir in einem Post folgenden Event gesehen: So finden Sie heraus, wer sich gerade Ihr Profil ansieht.

Im Mehr Infos-Feld im Post beschreibt der Spammer, was die eingeladenen Benutzer tun müssen, um den im Post versprochenen Service „anzuzeigen“ oder „zu nutzen“ – in diesem Fall eben die Möglichkeit herauszufinden, wer ihr Profil angesehen hat. Ganz offensichtlich besteht ein Großteil der Anweisungen aus Werbung für den Event. Der letzte Schritt ist hierbei ein Klick auf einen bestimmten abgekürzten Link.

Natürlich verbreiten schlussendlich die Benutzer, die zum Befolgen der Anweisungen verführt werden, den Spam-Event und füllen die Kassen der Spammer. Beim Besuch der Seite, auf die der Link verweist, wird auch ein Skript ausgeführt, durch das eben dieser Link auf der Pinnwand der betroffenen Anwender veröffentlicht wird.

Die Masche scheint für die Spammer recht gut zu funktionieren, denn wir haben Spam-Events gesehen, zu denen Tausende von Anwendern als Teilnehmer angemeldet sind. Wir haben auch beobachtet, dass ähnliche Spam-Event-Posts von den Urhebern regelmäßig aktualisiert werden. Dabei ändern sie in der Regel nur die jeweiligen Links, um so einer Sperrung zu entgehen.

Aus diesem Grund warnen wir die Anwender davor, ähnlich geartete Einladungen anzunehmen. Wir halten ständig nach solchem Spam Ausschau und sperren entsprechende URLs mithilfe unserer Web-Reputation-Technologie.