Schlagwort-Archive: Microsoft Danger

Mehrere Hersteller sind von neuen Schwachstellen betroffen

Originalartikel von Carolyn Guevarra und Ria Rivera (Technical Communications bei Trend Micro)

Microsoft hat für den März zwei Fixes veröffentlicht, die Schwachstellen in bestimmten Versionen von Office Excel und Windows Movie Maker schließen sollen. Es ist das erste Mal seit fast zwei Jahren, dass ein Patch Day keine „kritischen“ Patches umfasst. Beide Schwachstellen erlauben die Codeausführung aus der Ferne, wenn ein Nutzer einen speziell aufgesetzte Datei des Movie Maker, Microsoft Producer oder Excel öffnet. Nähere Informationen dazu gibt es in den Security Advisories auf der Trend Micro Security Advisory Seite.

Diese guten Nachrichten wurden jedoch durch die Entdeckung eines neuen Zero-Day-Exploits im Internet Explorer relativiert. Es ist bereits der zweite innerhalb der letzten zwei Monate. Der Exploit nutzt eine nicht valide Pointer-Referenz aus, um Zufallscode auszuführen. Betroffen sind nur IE6 und 7. Der Exploit-Code ist öffentlich verfügbar und entsprechende Angriffe wurden bereits registriert.

Microsoft hat mittlerweile das Security Advisory (981374) dazu veröffentlicht. Nutzer der betroffenen Browser sollten den Workarounds im Advisory folgen, bis ein Patch für die Schwachstelle zur Verfügung steht. Systeme mit den neuesten Windows-Versionen (Windows 7 und Server 2008) sind automatisch immun gegen diese Gefahr, denn sie enthalten den IE8. Übrigens hilft auch ein Upgrade auf diese Version. Trend Micro hat im Zusammenhang mit der Schwachstelle eine bösartige JavaScript-Datei als JS_SHELLCODE.CD identifiziert. Sie nutzt CVE-2010-0806 aus und ermöglicht das nicht autorisierte Herunterladen von Dateien auf die betroffenen Maschinen.

Die Anzahl der gefährlichen Zero-Day-Schwachstellen und potenziellen Exploits ist zur Zeit ungewöhnlich hoch. Und Microsoft ist nicht der einzige Hersteller, der in dieser Woche mit Schwachstellen zu kämpfen hatte. Der norwegische Browser Opera hat ebenfalls eine Schwachstelle in der Art und Weise, wie er mit dem Content-Length HTTP Header umgeht. Im günstigsten Fall stürzt der Browser als Folge ab.

Auch Server-Applikationen sind unter Beschuss geraten: Der beliebte Spam-Blocker SpamAssassin ist nicht fehlerfrei. Der Fehler bewirkt, dass Code, der in einer speziell aufgesetzten Mail enthalten ist, von der Anwendung mit administrativen Rechten versehen auf einem E-Mail-Server ausgeführt wird. Allerdings ist noch nicht klar, ob richtig konfigurierte Server verwundbar sind, weil die E-Mail einen ungültigen Empfänger hat.

Trend Micro empfiehlt den Anwendern ihre Sicherheitsprogramme auf aktuellem Stand zu halten und verfügbare Patches sofort aufzuspielen. Geschäftsanwender schützen Trend Micros Deep Security und OfficeScan mithilfe des Intrusion Defense Firewall Plugins vor diesen Schwachstellen, häufig sogar bevor die Hersteller Patches zur Verfügung stellen.

Neuer Zero-Day-Exploit für Windows 7

Original Artikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Der Nachrichtendienst Cnet berichtet über eine Schwachstelle, die Sicherheitsforscher sowohl in Windows 7 als auch Windows Server 2008 Release 2 entdeckt haben. Der Fehler liegt im Handling der Server Message Block (SMB) Pakete und ermöglicht es Nutzern mit bösen Absichten, remote Systeme zum Absturz zu bringen, falls ein manipuliertes Paket auf dem Zielsystem ankommt. Immerhin führt der Absturz nicht zu dem berüchtigten Blue Screen, sondern dazu, dass das System „bloß“ nicht mehr reagiert. Ältere Versionen von Windows wie etwa Vista sind von der Schwachstelle nicht betroffen.

Microsoft hat die unabhängigen Berichte nicht bestätigt. Ein Unternehmenssprecher erklärte, der Hersteller untersuche noch das Problem. Geschäftsanwender sind durch Produkte wie Trend Micros Deep Security und die Intrusion Defense Firewall geschützt. Zudem hat Trend Micro ein Sicherheits-Advisory herausgegeben, das weitere technische Detail zu der Schwachstelle enthält.

Die anderen Anwender sollten die Ports blockieren, die vom SMB-Protokoll genutzt werden, und die offizielle Antwort Microsofts abwarten.

Die Wolken brauen sich über dem Cloud-Computing zusammen

Original Artikel von Andrew Purtell (Senior Architect and Threat Analyst , Trend Micro)

Noch etwas zu dem, was mein Kollege Todd über den Datenverlust bei Microsoft/Danger geschrieben hat…

Was als Versagen des Cloud-Computings, insbesondere der Datenspeicherung im Internet, gebrandmarkt wurde, macht zwar Schlagzeilen und sorgt für Aufregung, trägt aber nicht gerade zur Aufklärung bei.

  • Gerichtsverfahren eingeleitet wegen Sidekick-Service-Ausfällen: „In diesem Gerichtsverfahren führen die Rechtsanwälte von Thompson Gründe an, weshalb der Service-Ausfall von Sidekick so besonders verheerend war, und betonen dabei die webbasierte Architektur der Geräte: Hier wird die Hauptkopie der Daten nicht auf den Geräten selbst, sondern auf Servern gespeichert, die die Abteilung Danger von Microsoft betreibt.“

Zuverlässigkeit ist der erste Einwand, der bei allem, was mit der „Web-Wolke“ zu tun hat – insbesondere der Datenspeicherung – vorgebracht wird. Das Fiasko von Microsoft/T-Mobile/Sidekick scheint auf den ersten Blick das Potenzial zu haben, der Cloud-Speicherung den Todesstoß zu versetzen.

Laut öffentlichen Berichten über die Service-Architektur des Microsoft/Danger Backends für das Sidekick-Gerät – Oracle RAC auf EMC SAN – ist dies allerdings keine Architektur, die ernstzunehmende Techniker, die mit fehlertoleranter, verteilter Infrastruktur arbeiten, als Cloud-Infrastruktur bezeichnen würden. Tatsächlich handelt es sich um ein Datenzentrum herkömmlicher Architektur, das den Dienst versagte! Welch Ironie… Dies ist nicht die Art Architektur, mit der beispielsweise Google oder Amazon oder auch Trend Micro an einer Reihe von Projekten arbeiten. In dieser werden Daten tatsächlich über SNA (Shared Nothing Architecture) mit zahlreichen Redundanzen repliziert und verteilt. Ich glaube aber, dass viele diesen Unterschied nicht verstehen. Das Sidekick-Geschäftsmodell verkaufte die Idee, dass Benutzerdaten überall und jederzeit verfügbar sein würden – eben genau das, was sich die meisten Menschen unter der „Wolke“ vorstellen. Und nicht genug damit: Das an der Sache beteiligte Microsoft Tochterunternehmen heißt ausgerechnet auch noch Danger Inc.

Derweil lässt sich der Schaden für T-Mobile real und sofort messen, und viele Branchenkritiker werten das Problem rundweg als blaues Auge für die Cloud-Speicherung, nicht nur für Microsoft:

  • Telefon-Verkaufszahlen erleiden herben Rückschlag durch Sidekick-Ausfall: „Branchenkenner bezeichnen den Vorfall als das größte Versagen des Cloud-Computings der jüngsten Vergangenheit…Er wird auch als blaues Auge für Microsoft dargestellt, das Cloud- oder Online-Services als eine kostengünstigere Lösung für die Speicherung von Unternehmensdaten vorangetrieben hat…Es handelt sich um den bislang spektakulärsten Fall von Datenverlust im Internet, gibt Harry McCracken, Redakteur bei Technologizer.com, gegenüber BBC News an.“

Das ist bedauerlich. Wirklich redundante Cloud-Speichertechnologie kann zuverlässiger, skalierbarer und kosteneffizienter sein als die herkömmlichen Technologien, die das Problem bei Microsoft/Danger verursacht haben. Noch gibt es durchaus Unklarheiten und Bereiche, in denen Bedenken angebracht sind, die also geklärt werden müssen. Das sind z. B. Datenschutz und Verwaltbarkeit von Daten in einer sich stets in Bewegung befindlichen, mandantenfähigen Welt – und auf dieser Ebene können und sollten wir diskutieren, ob Cloud-Speicherung für den jeweiligen Kunden oder Service angemessen ist. Wir können und sollten daran arbeiten, Cloud-Speicherlösungen weiterzuentwickeln, die diese Probleme angehen.

Für Service-Provider, deren Betrieb ihrerseits auf Cloud-Infrastruktur (SaaS, IaaS), beispielsweise von Trend Micro, aufsetzt, können wir für Fehlertoleranz, Redundanz, Abwehr und Wiederherstellung echte Cloud-Speichertechnologie verwenden. Das stellt unseren Kunden hochverfügbare Services bereit, die nur teilweise – und definitiv nicht katastrophenmäßig – ausfallen, wenn sie sich mit Gegebenheiten wie unbeständiger Hardware und Netzwerken, und natürlichen oder geopolitischen Katastrophen auseinandersetzen müssen. Durch den Einsatz hochwertiger End-to-End-Sicherheitsprinzipien können wir Datenschutz und -integrität gewährleisten. Wie das sich entwickelnde Sidekick-Fiasko so schmerzlich verdeutlicht, ist ein guter Ruf das A und O: unser guter Ruf, der gute Ruf unserer Plattform-Provider. Wir können mit sorgfältiger Technologie, Offenheit und gutem Ruf Vertrauen gewinnen. Das Vertrauen bewahren wir durch Transparenz, der Entwicklung einer Branche der sicheren Lösungen für den offenen Datenaustausch bei der Datensicherung zwischen Services und Providern und dadurch, dass wir minderwertige oder nachlässige Hersteller, die diese neue Chance gleich zu Anfang in ein schlechtes Licht rücken könnten, nicht dulden.

Gefahr und die „Wolke“

Original Artikel von Todd Thiemann, Senior Director, Data Protection

Beim Mobiltelefon-Service Sidekick von T-Mobile USA, der vom Microsoft Tochterunternehmen Danger betrieben wird, kam es zu einem Zwischenfall, durch den einige Sidekick-Telefonkunden ihre persönlichen Daten einschließlich Kontaktnamen, Telefonnummern und digitale Photos verloren (die New York Times fasste die Ereignisse zusammen und The Register steuerte einige pikante Spekulationen über die Herkunft des Service-Ausfalls bei). Viele Kommentatoren nutzten diesen Vorfall und andere kürzlich erfolgte Ausfälle von Cloud-Services, um die Zuverlässigkeit des Cloud-Computings in Zweifel zu ziehen. Mein Vorschlag lautet: Erst einmal tief Luft holen und nachdenken.

Was Microsoft da mit Danger passiert ist, war ein IT-Schlamassel, der sich in jedem Datenzentrum hätte ereignen können. Daten scheinen zwar verloren gegangen zu sein, ihre Vertraulichkeit blieb aber gewahrt. Der Artikel in The Register weist auf mögliche Konzeptionsfehler in der Infrastruktur hin. Dieser unglückliche Vorfall hätte überall, nicht nur im Internet passieren können, der Unterschied ist jedoch, dass viele Kunden vom Versagen des IT-Prozesses betroffen waren. Vergleicht man den Vorfall bei Danger mit dem, was passiert, wenn Ihr interner Mail-Server abstürzt, liegt der Unterschied darin, wer davon erfährt: Bei Ihrem internen Mail-Server weiß es nur Ihr Unternehmen (und nicht die ganze Welt).

Aus dem Blickwinkel der Sicherheit weisen sowohl der Vorfall bei Microsoft Danger, der kürzlich erfolgte DDoS bei Amazon EC als auch die Herausforderungen an Google bei der Bereitstellung von gehosteter E-Mail auf anfängliche Schwierigkeiten einiger Software-as-a-Service- und Infrastructure-as-a-Service-Angebote (SaaS und IaaS) hin. Es gilt zu unterscheiden, dass es zwar zu Service-Ausfällen gekommen ist, aber nicht nicht zu Sicherheitsverletzungen, die vertrauliche Daten gefährdet haben. Eine solche Sicherheitsverletzung könnte die Verbreitung des Cloud-Computing verzögern, doch die meisten Unternehmen achten sorgfältig darauf, welche Daten sie der öffentlichen Web-Wolke anvertrauen und wie sie geschützt werden.

Eines Tages wird es auch beim öffentlichen Cloud-Computing zu einer Sicherheitsverletzung kommen. Meine Voraussage ist jedoch, dass Kosteneinsparungen und Flexibilität, die sich durch Software-as-a-Service/Platform-as-a-Service/Infrastructure-as-a-Service (und gehostete Services) erzielen lassen, die Verbreitung des Cloud-Computings vorantreiben und dass Sicherheitsteams auf mögliche Risiken hinweisen und versuchen werden, sie abzuwehren. Eine zentrale Herausforderung für Sicherheitsexperten ist es, das Cloud-Computing nicht kategorisch abzulehnen, sondern zu sagen „Ja, Cloud-Computing ist eine gute Sache, aber man muss X, Y und Z tun, um Anwendungen und vertrauliche Daten zu schützen.“