Schlagwort-Archive: Exploit

Was Sie über Shellshock alias „Bash Bug“ wissen sollten

Die Gefahr

Vielleicht noch mehr als Heartbleed stellt die Sicherheitslücke Shellshock ein Problem und eine Gefahr dar, da sie ein weit verbreitetes Open-Source-Programm namens „bash“ betrifft.

Bash ist eine Command Shell für Linux, BSD, Mac OS X und viele andere „unixoide“ Beriebssysteme; die genaue Beschreibung der Sicherheitslücke liegt unter CVE-2014-7169 vor.

Kurz zusammengefasst ist dieser Fehler weit verbreitet, weist ein beträchtliches Schadenspotenzial auf und setzt wenige bis keine technischen Kenntnisse voraus, um ihn zu missbrauchen. Da mehr als die Hälfte der Server im Internet, Android-Telefone sowie die Mehrzahl der Internet-of-Things (IoT)-Geräte auf Linux aufsetzen, ist die Reichweite des Problems sehr groß.

Weiterlesen

Exploit zielt auf kürzlich entdeckte Zero-Day-Sicherheitslücke in Windows

Originalartikel von Gelo Abendan, Technical Communications

Trend Micro ist in den Besitz von Exploit-Dateien gelangt, die über eine vor kurzem bekannt gewordene Zero-Day-Sicherheitslücke Windows XP und Windows Server 2003 angreifen. Durch die Sicherheitslücke können sich die Angreifer höhere Privilegien für den Systemzugriff gewähren. Dadurch sind sie in der Lage, die unterschiedlichsten Aktionen auszuführen, wie zum Beispiel Daten einzusehen und zu löschen, Programme zu installieren oder Benutzerkonten mit Administratorrechten einzurichten.

Trend Micro hat die Exploit-Dateien im Rahmen der Analyse eines zielgerichteten Angriffs erhalten. Der Exploit nutzt mittels einer bösartigen PDF-Datei (von Trend Micro als TROJ_PIDEF.GUD entdeckt) eine Adobe-Sicherheitslücke (CVE-2013-3346), die in dem im Mai 2013 veröffentlichten Adobe-Security-Bulletin APSB13-15 erwähnt wurde. Diese Sicherheitslücke wird im Tandem mit der Zero-Day-Sicherheitslücke CVE-2013-5056 in Windows missbraucht, was zum Aufspielen eines Backdoor-Schädlings auf dem infizierten System führt. Dieser Schädling, den Trend Micro als BKDR_TAVDIG.GUD erkennt, führt mehrere Routinen aus. Dazu zählen unter anderem das Herunterladen und Ausführen von Dateien sowie das Übertragen von Systeminformationen an den Command-and-Control-Server.

Dieser Vorfall erinnert einmal mehr daran, wie wichtig es ist, dass die Anwender auf neuere Windows-Versionen migrieren. Im April dieses Jahres kündigte Microsoft an, den Support für Windows XP im April 2014 einzustellen. Das bedeutet, dass Nutzer dieser Windows-Version danach keine Sicherheitsaktualisierungen mehr vom Hersteller erhalten. Windows-XP-Nutzer werden daher gegenüber Angriffen, die Sicherheitslücken in der Betriebssystemversion ausnutzen, verwundbar sein.

Nutzer von Systemen mit neueren Windows-Versionen sind von dieser Bedrohung nicht betroffen. Trend Micro schützt die Anwender davor; die entsprechende Malware wird entdeckt und beseitigt. Weitere Informationen werden zu einem späteren Zeitpunkt nachgereicht.

Bösartige PowerPoint-Datei enthält Exploit und setzt Backdoor-Schädling ab

Originalartikel von Cris Pantanilla, Threat Response Engineer bei Trend Micro

Trend Micro hat ein bösartiges Microsoft PowerPoint-Dokument entdeckt, das als Dateianhang bestimmter E-Mail-Nachrichten verbreitet wird. Die Datei enthält eine eingebettete Flash-Datei, die einen Softwarefehler in bestimmten Flash Player-Versionen (CVE-2011-0611) missbraucht, um einen Hintertür-Schädling auf Anwendersystemen abzusetzen.

Eingebettete Flash-Datei

Abbildung 1: Eingebettete Flash-Datei in TROJ_PPDROP.EVL

Anwender, die das bösartige .PPT-Dokument öffnen, führen dadurch einen Shellcode innerhalb der Flash-Datei aus, der die Sicherheitslücke CVE-2011-0611 ausnützt und anschließend die bösartige Datei „Winword.tmp“ im Temporärverzeichnis ablegt. Gleichzeitig legt der Code eine nicht-bösartige PowerPoint-Präsentation mit dem Namen „Powerpoint.pps“ ab. Dadurch wird bei den Anwendern der Eindruck erweckt, bei der bösartigen Datei handle es sich schlicht um eine weitere unauffällige Präsentation. Die Trend Micro-Analyse hat jedoch ergeben, dass es sich bei „Winword.tmp“ um einen Hintertür-Schädling handelt. Dieser baut Verbindungen zu Webseiten im Internet auf, um mit den möglicherweise kriminellen Hintermännern zu kommunizieren. Außerdem ist der Schädling in der Lage, weitere Schadsoftware herunterzuladen sowie auszuführen und dadurch die infizierten Systeme weiteren, möglicherweise sogar gefährlicheren Bedrohungen wie zum Beispiel Spionagesoftware auszusetzen.

Trend Micro erkennt die bösartige PowerPoint-Datei als TROJ_PPDROP.EVL und den abgelegten Backdoor-Schädling als BKDR_SIMBOT.EVL. Anderweitige Berichte sowie Analysen von Trend Micro bestätigen, dass diese Art von Schadsoftware in der Vergangenheit für gezielte Angriffe genutzt wurde.

Entschlüsselter Binärcode

Abbildung 2: Entschlüsselung des eingebetteten Binärcodes in TROJ_PPDROP.EVL

Die neueren Bedrohungen beschränken sich nicht mehr auf schädliche Dateien, die sich als gewöhnliche Binärdateien wie zum Beispiel .EXE-Dateien in E-Mail-Anhängen verstecken. Diese speziell präparierten Dateien lassen sich vielmehr in allgemein verbreitete Dateien wie PDF, DOC, PPT oder XSL einbetten. In dem hier beschriebenen Fall bemerken die Anwender die Attacke nicht, da TROJ_PPDROP.EVL als Köder eine ungefährliche PowerPoint-Datei benutzt und anzeigt.

Auf Sicherheitslücken ist Verlass: Effektive Einfallstore für Infektionen

Der vorliegende Fall zeigt ferner, dass Cyberkriminelle bekannt gewordene Sicherheitslücken in beliebter Software wie Microsoft-Office-Anwendungen, Flash usw. zu ihrem Vorteil nutzen. In einem früheren Blogeintrag hat Trend Micro aufgedeckt, dass bekannte Softwarefehler älteren und neueren Datums wie CVE-2010-3333 oder CVE-2012-0158 weiterhin von den Angreifern für ihre Zwecke missbraucht werden. Die Tatsache, dass die meisten Anwender ihre Systeme nicht regelmäßig mit den neuesten Sicherheitsaktualisierungen absichern, erklärt, warum die Angreifer diese Fehler immer wieder ausnutzen.

Trend Micro schützt Anwender vor dieser Bedrohung mit dem Smart Protection Network™, das die entsprechenden E-Mail-Nachrichten sowie Webadressen blockt und TROJ_PPDROP.EVL sowie BKDR_SIMBOT.EVL entdeckt. In der heutigen Zeit, in der einfache Dokumente zu Informationsdiebstählen führen können, sollten Anwender besondere Vorsicht walten lassen, bevor sie Dateien aus E-Mail-Nachrichten herunterladen oder öffnen, insbesondere jene von unbekannten Absendern. Außerdem sollten Anwender stets die neuesten Sicherheitsaktualisierungen auf ihren Systemen einspielen.

Google Android gefunden, mit Backdoor versehen, infiziert.

Originalartikel von Rik Ferguson (Senior Security Advisor, Trend Micro)

Die Leute der Android-Polizei haben gestern Einzelheiten zu einem Vorfall veröffentlicht, den sie als „die Mutter aller Android-Malware“ bezeichnen und der ursprünglich von „lompolo“, einem Reddit-User, entdeckt wurde.


Bild von MJ/TR Flickr unter Creative Commons

lompolo informierte über 21 Android-Apps, die als neue Version rechtmäßiger Apps veröffentlicht wurden. Bei der letzten Zählung waren über 50 bösartige Apps betroffen. Die neuen Versionen enthalten den Exploit „rageagainstthecage“, der sich Zugriff auf das Stammverzeichnis des Geräts verschaffen kann. Die mit einem Trojaner versehenen Apps stehlen nicht nur Gerätedaten, wie z. B. IMEI und IMSI, sondern installieren auch weitere verborgene Malware, die noch mehr Benutzerdaten entwendet und sie an Kriminelle weiterleitet. Weitere Nachforschungen der Android Police haben ergeben, dass dieser zweite Schadteil auch einen Dropper enthält, der weiteren Code herunterladen kann.

Auf die erste Veröffentlichung durch lompolo zu diesem Vorfall antwortete der der Entwickler einer der betroffenen Apps:

„Ich habe die App ‚Guitar Solo Lite’ ursprünglich entwickelt. Mir ist die gefälschte App vor etwas über einer Woche aufgefallen (ich bekam Absturz-Berichte von ihr). Ich habe Google darüber informiert und zwar über alle Kanäle, die mir einfielen: DCMA-Benachrichtigung, Information über bösartige App, Android Market Help … und warte noch immer auf Antwort. Glücklicherweise wurde dies auf Reddit veröffentlicht, denn nach dem Beitrag wurden der Hacker und alle seine Apps aus dem Markt entfernt. Es müsste deutlich schneller/einfacher gehen, dass Google aktiv wird!“

In den fünf Tagen, in denen die Apps erhältlich waren, wurden sie ca. 50.000 Mal heruntergeladen. Google hat sie jetzt vom Markt genommen und ihren Entwickler für den Android-Marktplatz gesperrt. Per Fernwartung wurden die Apps auch von den betroffenen Geräten entfernt. Bei dieser automatischen Löschmaßnahme wird natürlich kein Code entfernt, der sich als Folge der Erstinfektion auf dem Gerät installiert hat. Wenn Sie also eine der schätzungsweise 50.000 Personen sind, die diese bösartigen Apps heruntergeladen haben, sollten Sie sich vielleicht überlegen, das Gerät zu ersetzen oder auf Ihrem jetzigen Gerät das Betriebssystem noch einmal aufzuspielen.

Das Android-Ökosystem für Apps ist per Definition offen, es gibt eine Vielzahl von App-Shops und eine App für die User-Community kann innerhalb von Minuten veröffentlicht werden. Die größere Offenheit der Entwicklungsumgebung sollte die Kreativität stärken, doch wie schon Facebook erkannt hat, fühlen sich dort auch Kriminelle ganz besonders wohl.

Zu beachten ist hier, dass es mittlerweile komplette Sicherheitspakete für Google Android gibt, wie z. B. dieses hier. Die Anzahl der Bedrohungen, die es auf mobile Plattformen abgesehen haben, nimmt beständig zu. Natürlich sind es noch immer deutlich weniger als die, die auf Windows abzielen, aber das kriminelle Interesse ist nachweislich vorhanden und wächst. Man kann Multi-Plattform-Angriffe von den gleichen kriminellen Vereinigungen beobachten wie denen, die auch Wintel-Systeme angreifen. Auch ist die zunehmende Komplexität der Bedrohungen, wie beispielsweise die ZeuS-Malware, die über mobile Elemente SMS-Bankdaten abfängt, ganz beachtlich. Die Kriminellen folgen dem Anwenderverhalten. Je mehr sich also die Profitchancen auf mobile Plattformen verlagern, sind auch die Kriminellen nicht weit, ja, sind bereits vor Ort.

Hier ist die komplette Liste der mit Trojanern versehenen Apps, veröffentlicht von Myournet:
– Falling Down
– Super Guitar Solon
– Super History Erasern
– Photo Editorn
– Super Ringtone Makern
– Super Sex Positionsn
– Hot Sexy Videosn
– Chessn
– 下坠滚球_Falldownn
– Hilton Sex Soundn
– Screaming Sexy Japanese Girlsn
– Falling Ball Dodgen
– Scientific Calculatorn
– Dice Rollern
– 躲避弹球n
– Advanced Currency Convertern
– App Uninstallern
– 几何战机_PewPewn
– Funny Paintn
– Spider Mann
– 蜘蛛侠

UPDATE:
Die Mobile Security Firma Lookout hat eine aktualisierte Liste der betroffenen Apps zusammengestellt.

Neuer Exploit umgeht Windows DEP

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Die letzten Windows-Versionen (angefangen mit XP SP2 und Vista) hat Microsoft mit den Sicherheitsmechanismen Data Execution Protection (DEP) und Address Space Layout Randomization (ASLR) ausgestattet, um die Systeme vor Angriffen durch Exploits zu schützen. DEP verhindert die Ausführung von Code (einschließlich bösartigen Shellcodes) von bestimmen Regionen des Hauptspeichers (nonexecutable) aus. ASLR wiederum sorgt für ein Random-Layout von Hauptspeicherregionen, um das Erraten genauer Locations zu erschweren. Doch was passiert, wenn diese Sicherheitsmechanismen nicht sicher sind?

Genau dies musste Berend-Jan Wever, auch Skylined (der Sicherheitsforscher veröffentlichte die Heap-praying-Technik), feststellen, als er von einer neuen Exploit-Technik in einem Proof-of-Concept (POC) berichtete, die diese DEP-Funktionalität umgeht, wenn ASLR deaktiviert ist. Wever erklärt die Methode, wie DEP und ASLR mithilfe von return-to-libc-Angriffen umgangen werden, wobei der Angreifer statt des eigenen Codes vorhandenen Code, die Exploit-Anwendung oder Bibliotheksfunktionen nutzen, um den Angriff auszuführen.

Obwohl diese Funktionen die Code-Ausführung auf einem erschweren, sind sie nicht perfekt und können umgangen werden, wie sich gezeigt hat. Dabei ist es möglich, dass dieser Exploit eine bereits geschlossene Schwachstelle im Internet Explorer verwendet, doch die neue Technik könnte den Weg für neue Exploit bereiten. Außerdem hat Microsoft ASLR erst ab Vista standardmäßig aktiviert, sodass wir von weiteren Schwachstellen dieser Art in neuen Windows Versionen ausgehen.

Aufgrund der steigenden Zahl der veröffentlichten POCs sollte der Umgang mit verantwortungsvollen Veröffentlichungen mehr diskutiert werden. Öffentliche Disclosures sind derzeit ein zweischneidiges Schwert, denn sie tragen einerseits zur Bedrohungslandschaft bei und komplizieren diese zusätzlich. Andererseits schärfen sie das Bewusstsein der Öffentlichkeit für die Gefahren und zwingen Entwickler, schnell zu reagieren. Auch führen sie wiederum zu schweren Exploits. Die Anwender von Trend Micros Deep Security, sowie von OfficeScan sind vor diesen potenziellen Gefahren geschützt.