Tweet vom Microsoft Security Response Team

Das Microsoft Security Response Team veröffentlichte am Freitag einen interessanten Tweet, dessen Inhalt zu denken gibt: “Wir wissen von einem öffentlich gewordenen Problem mit Internet Explorer und werden der Sache übers Wochenende weiter nachgehen.“ Das klingt sehr geheimnisvoll, denn keine neue Sicherheitslücke ist bekannt.

Der Tweet könnte sich auf die Weiterentwicklung einer Lücke beziehen, die Chris Evans von Google im Dezember letzten Jahres in einem Eintrag auf seinem Scary Beast Security Blog publik gemacht hatte. Der Gedanke liegt nahe, denn Evans hatte ebenfalls am Freitag kurz vor dem Microsoft-Eintrag in einer Nachricht an die Full Disclosure Mailing-Liste von einem Versuch, „diesen Bug zu entfernen“, gesprochen. Und weiter: „ Es gibt eine schlimme Sicherheitslücke im neuen Internet Explorer 8. Leider konnte ich den Hersteller nicht dazu bringen, einen Fix dafür zu veröffentlichen. Der Bug erlaubt es beispielsweise einer beliebigen Website, ein Opfer dazu zu zwingen, Tweets zu verschicken.“ Evans behauptet, man könne davon ausgehen, dass Microsoft diese Lücke seit 2008 kennt und dass derselbe Fehler „wahrscheinlich“ auch frühere Versionen des IE betrifft.

Der Exploit ist darauf ausgerichtet, eigentlich geheime Zugangsdaten zu einer bereits authentifizierten Browser Session, etwa für Twitter, zu stehlen, um diese Daten dazu zu nutzen, eigene Inhalte zu verschicken.

Opera, Chrome, Firefox und Safari haben die Lücke bereits geschlossen. Es bleibt zu hoffen, dass Microsoft dies auch schnell tut, denn mit wachsender Beliebtheit der URL-Shortening-Services ist es einfach, solche Fehler auszunützen.

Der scharfäugige Nutzer Theharmonyguy hat entdeckt, dass bösartiger Code in die WordPress-Installation auf der TechCrunch Europe eingeschleust wurde.

Der Code leitet auf einen Host um, der bösartige PDF-Dateien enthält. Diese nutzen eine Sicherheitslücke aus, die wiederum zu Servern des ZeuS-Botnetzes führt. Der infizierte Server wird bei dem schillernden Provider Netdirect in Frankfurt gehostet.

Web Reputation unterbricht die Infektionskette

Die Datei selbst weist derzeit nur sehr niedrige Erkennungsraten auf. Anwender von Trend Micro-Lösungen sind über das Smart Protection Network vor dieser Gefahr geschützt. Die Content-Sicherheitsinfrastruktur entdeckt mithilfe der Web-Reputationsdienste die Bedrohung und blockiert die Website.

Letzte Woche wurde das Pushdo-Botnetz dank der Bemühungen einiger Sicherheitsforscher vom Netz genommen. Das Botnet hatte über das Cutwail-Modul Spam verbreitet. Von den 30 als Command-&Control-Server (C&C) identifizierten Systemen wurden 20 stillgelegt, nachdem die entsprechenden Internet Hosting Provider davon in Kenntnis gesetzt wurden.

Die Aktion zeigt bislang Erfolg. Das Monitoring bei Trend Micro hat ergeben, dass die Spam-Menge über die Cutwail-Bots erheblich zurückgegangen ist und die C&C-Server seither inaktiv sind. Noch ist es zu früh, um Prognosen über den Langzeiteffekt dieser Aktion abzugeben. In der Vergangenheit waren schon häufiger Botnetz-Server stillgelegt worden, so etwa diejenigen von McColo Ende 2008. Leider konnten die Kriminellen in vielen Fällen die betroffenen Botnetze schnell wiederherstellen und ihre Tätigkeit innerhalb von Wochen wieder aufnehmen.

Botnetze lahmzulegen ist eine gute Sache, doch reicht es nicht aus, um die Spam-Pandemie zu stoppen. Das Botnetz mag erst einmal zerstört sein, doch die Spammer dahinter sind immer noch da und können weitere Botnetze erzeugen. Diese Kriminellen müssen verhaftet und hinter Gitter gebracht werden. Nur so haben wir eine Chance diesen Cyber-Krieg zu gewinnen. Trend Micro arbeitet eng mit den Polizeibehörden zusammen, um die Kriminellen zu finden.

Nähere Informationen zu den Aktivitäten des Pushdo/Cutwail-Botnetzes gibt es in dem Papier “A Study of the Pushdo/Cutwail Botnet”.

Kürzlich erhielt der Autor eine Instant Message über sein Yahoo!Messenger-Konto. Die Nachricht schien von einer Bekannten zu kommen und war an die gesamte Liste ihrer Freunde versendet worden.

Das bekannte Nachrichtenformat ließ den Schluss zu, dass der Absender ein Bot war, der den Empfänger dazu verleiten wollte, auf den Link in der Nachricht zu klicken. Der Link führte auf die folgende Seite mit 11 Fragen für einen IQ-Test führte:

Wer die Fragen beantwortet, landet auf einer “Ergebnisseite”, wo er seine Mobilnummer angeben soll, um die Quizergebnisse zu erhalten.

Auf den ersten Blick erschließt sich nicht, was die Spammer mit einer Mobilnummer machen wollen. Doch unten auf der Seite im „Summary of Terms“ zeigte sich, dass der Nutzer durch die Angabe seiner Mobilnummer ein Abo auf mobilen Content abschloss – und dieses war natürlich nicht kostenlos. 9,99 bis 19,99 Dollar im Monat wären fällig gewesen.

Die IM-Nutzer sind gut beraten spätestens an diesem Punkt den Browser Tab zu schließen und die Website zu verlassen. Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Gefahr geschützt, denn der „IQ-Test“ ist von der Sicherheitsinfrastruktur blockiert worden.

Eine Gruppe unabhängiger Sicherheitsforscher haben angekündigt, während des Monats September Zero-day- und Webanwendungsschwachstellen sowie Proof-of-concept (PoC) Exploits für gepatchte Sicherheitslücken zu veröffentlichen. Unter den Anbietern, deren angebliche Produkt-Sicherheitslücken an die Öffentlichkeit geraten sollen sind renommierte Unternehmen wie Adobe, Apple, Microsoft oder Mozilla.

Dem Trend Micro-Forscher Rajiv Motwani zufolge handelt es sich um eine Sammlung neuer und alter Lücken, die in erster Linie Microsoft betreffen. Die neuen Sicherheitslücken können als Zero-day-Schwachstellen gesehen werden, die die Nutzer verwundbar machen, bis ein Hersteller einen Patch anbietet. Das kann jedoch dauern, und daher sollten die Anwender jeden angebotenen Workaround nutzen.

Auch ist davon auszugehen, dass Einzelheiten zu den kürzlich veröffentlichten Advisories publiziert werden und dass auch PoC-Code dabei ist – damit aber Exploits wahrscheinlicher sind. Damit wiederum steigt das Risiko für die Anwender. Für Anwendungen wie der Internet Explorer (die Forscher haben angekündigt, dazu eine Schwachstelle zu veröffentlichen) kann ein Exploit innerhalb von Stunden nach der Ankündigung publik werden. Teile der vielen in Umlauf befindlichen Exploits lassen sich zudem für neue Angriffe wiederverwenden, sodass der Prozess sich nochmals beschleunigt.

Unternehmensanwender sollten wissen, dass Serveranwendungen ebenfalls von den veröffentlichten Sicherheitslücken betroffen sind. Möglicherweise dauert es länger, bis diese geschlossen werden. Außerdem ist auch der potenzielle Schaden für einen betroffenen Server höher als bei Privatanwendern.

Andererseits ist es für einzelne User schwieriger, sich zu schützen. Es gibt keine zentralen Benachrichtigungsmechanismen zu Updates, und die teilweise verfügbaren Auto-Update-Fähigkeiten stellen eine zusätzliche Belastung für diese Anwendergruppe dar.

Trend Micro bietet einige kostenlose Tools zum Herunterladen, die Anwender dabei unterstützen ihre Computer zu schützen.

Ein gutes Timing ist alles, vor allem wenn man Malware verbreiten will. Letzte Woche benachrichtigten die Entwickler des beliebten Echtzeit-Browsers TweetDeck die Nutzer, dass sie diese Anwendung aktualisieren müssen, weil es Änderungen in den von Twitter unterstützten Authentifizierungsprotokollen gibt.

Cyberkriminelle witterten sofort ihre Chance und verschickten ihre eigenen Tweets mit gleichem Inhalt. Doch diese bösartigen Nachrichten enthielten einen URL-verkürzten Link auf einen angeblichen TweetDeck-Installer namens tweetdeck-08302010-update.exe.

Die Datei enthält natürlich keinen legitimen Installer sondern eine TDSS-Variante, die Trend Micro als TROJ_TDSS.FAT identifiziert hat. Die TDSS-Schädlingsfamilie liefert Rootkits, die die vollständige Kontrolle über betroffene Systeme übernehmen können. Auch sind sie aufgrund ihrer Komplexität und ausgeklügelten Programmierung schwer zu entfernen.

TweetDeck hat die Nutzer offiziell davor gewarnt,  einen Installer herunter zu laden, dessen URL mit http://alturl.com/ beginnt. Auch ist die Website, auf der die bösartige Datei liegt, blockiert worden.

Microsoft hat ein neues Security Advisory veröffentlicht, dass Erläuterungen zu einer Sicherheitslücke bezüglich der Handhabung von DLL-Dateien durch Windows enthält. Folgendes Angriffsszenario ist möglich: Eine verwundbare Anwendung wird zum Öffnen einer völlig legitimen Datei genutzt. Außerdem muss eine bösartige Datei vorhanden sein, die  in demselben Verzeichnis liegt und denselben Namen hat wie die legitime DLL-Datei. Wenn die angreifbare Anwendung lädt, so wird statt der legitimen DLL-Datei die bösartige Datei aufgerufen und geladen.

Möglich ist dies aufgrund von Fehlern in der Art und Weise, wie Windows die zu ladende DLL-Datei auswählt: Das Betriebssystem zieht nämlich die Bibliotheken vor, die in demselben Verzeichnis liegen wie die geöffnete Datei, anstatt die Bibliotheken in den korrekten Systemverzeichnissen zu nehmen. Jedwelcher Code in den bösartigen Dateien wird ausgeführt.

Diese Art der Attacke – auch Binary Planting oder DLL Preloading genannt – ist seit Jahren bekannt. Doch bislang stellte sie keine große Gefahr dar, denn die bösartige Datei musste bereits auf dem System des Nutzers vorhanden sein. Doch kürzlich fanden Forscher eine Möglichkeit, den Angriff über remote Netzwerkfreigaben zu starten. Deshalb hat jetzt Microsoft mit dem Advisory reagiert.

Unter den ersten, von Exploits betroffenen Anwendungen sind laut dem Online-Nachrichtendienst The Register Firefox und Powerpoint. Doch gibt es auch weitere Berichte zu Angriffen über besagte Sicherheitslücke, die auch viele andere Anwendungen betreffen.

Angesichts der Malware-Attacken wird Microsoft wohl gezwungen sein, drastischere Maßnahmen zu ergreifen. Solange es jedoch keine klare Lösung für die Lücke gibt, sollten Nutzer besonders vorsichtig mit dem Öffnen von Dateien auf Netzwerkfreigaben umgehen. Die Anwender von Trend Micro-Produkten wie Deep Security und OfficeScan mit Intrusion Defense Firewall (IDF) Plug-in sollten die neuesten Regeln herunter laden, um sich gegen diese Bedrohung zu schützen. Diese Regeln verhindern, dass DLLs von remote Freigaben geladen werden.

Letzte Woche kündigte Intel an, den Sicherheits-Softwarehersteller McAfee zu übernehmen. Der Deal stellt bei einem Preis von rund 7,7 Milliarden Dollar die bisher größte Übernahme dar, die Intel je getätigt hat. Analysten bewerten den Kauf als Möglichkeit für den Chip-Hersteller, Prozessoren zu entwickeln, die Sicherheits-Scans, wie sie die McAfee-Software durchführt, beschleunigen. Laut eigenen Aussagen will der Konzern alle „mit dem Internet verbundenen Geräte“ sicherer machen.
Eva Chen, CEO und Mitbegründerin von Trend Micro kommentiert die Übernahme: „Intels Entscheidung, eine Sicherheitsfirma zu kaufen, ist eine klare Botschaft an die Branche und Investoren, dass Sicherheit absolut grundlegende Bedeutung für künftige Technologieservices und Produkte hat. Für bestehende und zukünftige Kunden versetzen die Intel-Ressourcen McAfee unter Umständen in die Lage, verschiedene Geräte und Endpunkte abzusichern. Damit würde nachgeholt, was andere Anbieter wie Trend Micro durch das Smart Protection Network bereits erreicht haben. Allerdings ist das Embedded-Softwaremodell völlig verschieden von dem Betriebsmodell von Sicherheitssoftware. Das ist somit eine gute Gelegenheit für Kunden, ihre Beziehung zu ihrem Sicherheitspartner zu überprüfen und zu evaluieren, ob sie die Services und Expertise erhalten werden, die sie benötigen.“

Folgende Geschichte über einen Autoverkauf im Internet hört sich zwar witzig an, zeigt aber vor allem, wie dreist Betrüger sind und wie sorgfältig Nutzer die Kommunikation mit Unbekannten prüfen sollten.

Ich versuche gerade, mein Auto über Facebook Marketplace zu verkaufen. Kaum hatte ich das Verkaufsangebot dort eingestellt, bekam ich eine Nachricht von einer gewissen Caroline McMillan, die Einzelheiten zum angebotenen Auto haben wollte. Die lieferte ich sofort und bekam umgehend ihre Zusage, das gute Stück kaufen und die Bezahlung über PayPal abwickeln zu wollen. Ich wurde stutzig: Einen Wagen über PayPal bezahlen, ohne einen Blick darauf geworfen zu haben? Es schrillten sofort die Alarmglocken und ein Suchlauf über Google ergab sehr schnell, dass ich es mit einem Betrüger zu tun hatte.

Jetzt wollte ich es genau wissen und gab ihr (oder wahrscheinlich ihm) meine PayPal-Adresse für die Geldüberweisung, und dann kam’s … Sie schrieb, sie müsse Geld an die Firma zur Autoabholung überweisen und die akzeptieren keine Kreditkarten. Daher benötige sie meine Hilfe, sprich, ich solle 750 Euro über Western Union überweisen. Aha, das ist also die Masche!

Ich ließ sie wissen, dass ich selbstverständlich ich nichts überweise, bevor ich von ihr das Geld auf meinem Konto habe. Erstaunlicherweise erklärte sie sich damit einverstanden und versprach, die Zahlung so schnell wie möglich zu tätigen.

Einige Minuten später erhielt ich dann eine E-Mail von PayPal. Bei genauerem Hinsehen entdeckte ich eine Reihe von Ungereimtheiten, ja sogar Schreibfehler. Die Nachricht war definitiv nicht von einem englischen Muttersprachler verfasst worden. Kurze Zeit später kam eine weitere absurde E-Mail von einem „William“ von PayPal, der mir mitteilte, die Geldsumme sei eingetroffen und ich solle nun das Geld  über Western Union an besagte Transportfirma überweisen. Wer fällt auf so etwas herein? Also ignorierte ich diese E-Mail und antwortete „Caroline“: „Ich warte auf das Geld und werde den Eingang bestätigen. Bislang ist noch nichts auf meinem Konto.“

Offensichtlich, um die Kommunikation aufrecht zu erhalten, antwortete sie mir: „Lesen Sie bitte die Mail an Sie gesendet werden sehr gut.“ So, so!

Mehr Infos ließen sich nun aus diesem Betrüger nicht herausholen, deshalb schickte ich einen Link zu einer Website, die vor diesem Betrug warnt. Um keinen Verdacht zu wecken, kürzte ich die URL mit bit.ly ab, und nach fünf Minuten sah ich auf der Stats-Seite, dass nur ein einzelner Zugriff auf diese URL getätigt worden war. Raten Sie mal woher? Nigeria!

Deshalb ist größte Vorsicht geboten, wenn jemand eine Geldüberweisung von Ihnen fordert und noch mehr, wenn das Geld über Western Union gehen soll!

Smartphones werden bei Cyberkriminellen immer beliebter als Angriffsziel zur Verbreitung von Malware. In der vergangenen Woche hat TrendLabs⁽ über den allerersten, im Umlauf befindlichen Android-Trojaner (identifiziert als TROJ_DRIODSMS.A) berichtet. Obwohl die damit intendierte Routine nicht ausgeführt werden konnte, zeigt der Angriff, dass die Cyberkriminellen ständig nach neuen Mitteln und Wegen suchen, um Malware zu verteilen.

Aktuell haben die Trend Micro-Bedrohungsanalysten Edgardo Diaz und Alvin Jethro Bacani eine möglicherweise bösartige App für das Android entdeckt. Die App ist unter dem Namen Tap Snake (identifiziert als TSPY_DROISNAKE.A) bekannt und zirkuliert im Android-Markt. Die App besitzt die Fähigkeit, die GPS-Standortdaten eines Benutzers über HTTP POST (gpsdatapoint.appspot.com/addpoint) zu verschicken, sobald der Anwender die Endverbraucherlizenzvereinbarung (EULA) akzeptiert.

Schlimmer noch: Die App lässt sich nicht beenden, um den Versand der Anwenderdaten zu verhindern. Dem Benutzer bleiben somit lediglich zwei Möglichkeiten – entweder die App zu deinstallieren oder den SnakeService zu stoppen. Ein entfernter Benutzer kann nämlich eine andere Android App mit dem Namen GPS SPY dazu verwenden, den Tap Snake-Standort eines Anwenders zu überwachen, solange die App auf dessen Gerät installiert ist.


Um den SnakeService zu beenden, können Anwender folgendermaßen vorgehen:

1. Öffnen Sie Settings, dann Applications, dann Running Service
2. Gehen Sie zu SnakeService und wählen Sie Stop.

Bedrohungsanalyst Mark Balanza rät Anwendern, noch vor der Installation zuallererst zu überprüfen, was für Berechtigungen eine App erfordert. Im vorliegenden Fall verlangt Tap Snake nicht nach GPS-Daten, fragt aber nach einer diesbezüglichen Berechtigung in EULA. Dies sollte Anwender unmittelbar dazu veranlassen, der App-Installation kritisch gegenüber zu stehen.