Schlagwort-Archive: Patches

Neue Mirai Variante zielt mit mehreren Exploits auf vernetzte Geräte

Originalartikel von Augusto Remillano II und Jakub Urbanec


Eine neue Mirai-Variante (Backdoor.Linux.MIRAI.VWIPT) nutzt derzeit 13 verschiedene Exploits, von denen die meisten bereits in früheren Mirai-bezogenen Angriffen zum Einsatz kamen. Doch die aktuelle Kampagne verwendet zum ersten Mal alle 13 Exploits zusammen. Sie nutzen Lücken in Routern, Überwachungskameras und anderen Geräten aus. Dieser Angriff erfolgt nur einige Wochen, nachdem Trend Micro zuletzt über Mirai-Aktivitäten berichtete, als der Schädling unterschiedliche Router im Visier hatte. Einige der dort eingesetzten Exploits sind auch in dieser Variante vorhanden.
Weiterlesen

Microsoft Security Advisory 2718704

Originalartikel auf dem Trend Micro Malware Blog

Letzten Sonntag hat Microsoft das Security Advisory 2718704 veröffentlicht. Darin wird ein Update angekündigt, das zwei von Microsoft herausgegebene Certificate Authority (CA)-Subzertifikate in allen aktuell unterstützten Windows-Versionen für ungültig erklärt. Es handelt sich um die Subzertifikate

  • Microsoft Enforced Licensing Intermediate PCA (2 Zertifikate)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Wie in Microsofts Advisory dargestellt, hat die Analyse der Flame-Attacke ergeben, dass diese Zertifikate dazu missbraucht wurden, unautorisierte digitale Zertifikate auszustellen. Diese wurden von den Angreifern dazu benutzt, Komponenten der Flame-Attacke so aussehen zu lassen, als ob sie von Microsoft signiert wären. Die Schädlingskomponenten hatten folglich fälschlicherweise den Anschein, Microsoft-Code zu sein, und spielten bei der Infektion der Systeme durch einen Man-in-the-middle (MitM)-Angriff gegen den Windows Update-Mechanismus von Microsoft eine Rolle.

Während Trend Micro und andere erklärt haben, dass die Flame-Attacke begrenzt ist und keine umfassende Bedrohung für Kunden darstellt, handelt es sich bei der Fähigkeit, bösartigen Code mit diesen Zertifikaten zu signieren und dadurch Sicherheitsprüfungen zu umgehen, durchaus um eine potenzielle, umfassende Bedrohung. Zwar gibt es im Augenblick keine Anzeichen dafür, dass diese Zertifikate in anderen Angriffen benutzt wurden, um Schadsoftware den Anstrich der Legitimität zu verleihen. Allerdings besteht die sehr reale Möglichkeit, dass dies in Zukunft der Fall sein könnte.

Wir fordern daher alle Kunden eindringlich auf, die Sicherheitsaktualisierungen im Zusammenhang mit dem Microsoft Security Advisory 2718704 so bald wie möglich zu installieren. Dadurch werden die beiden Zertifikate ungültig, jeglicher Code, der mit ihnen signiert wurde und möglicherweise Schadsoftware darstellt, wird als nicht vertrauenswürdig gekennzeichnet.

Anfang dieser Woche hat Microsoft zudem auf seinem Blog erklärt, demnächst ein weiteres Update zu veröffentlichen und damit den Windows Update-Mechanismus noch stärker gegen Man-in-the-middle-Angriffe abzusichern. Wir fordern daher alle Kunden eindringlich auf, sich bereits jetzt auf die Veröffentlichung dieser Aktualisierung vorzubereiten, um sie dann so schnell wie möglich einzuspielen.

Auch wenn noch keine breit angelegten Angriffe mittels betrügerischer Zertifikate oder Man-in-the-middle-Angriffe gegen Windows Update beobachtet wurden, sei noch einmal auf deren großes Gefahrenpotenzial hingewiesen. Kunden sollten daher unbedingt das aktuelle Update so schnell wie möglich sowie das künftige ab Verfügbarkeit implementieren.

Wie berichtet, sind Trend Micro-Kunden gegen den Flame-Schädling geschützt. Zusätzlich zur Installation der Microsoft-Sicherheitsaktualisierungen sollten Kunden sicherstellen, dass ihre Trend Micro-Produkte auf dem neuesten Stand hinsichtlich Updates und Signaturen sind. Sie leisten dadurch zu ihrem eigenen Nutzen einen wertvollen Beitrag, um den größtmöglichen Schutz gegen jegliche Versuche, diese Angriffsmechanismen einzusetzen, zu gewährleisten.

Weitere Informationen folgen nach Verfügbarkeit.

Patch Tuesday und ein gefälschtes Antivirus-Tool

Originalartikel von Ria Rivera (Technical Communications bei Trend Micro)

Microsoft hat, wie bereits in der Security Bulletin Advance Notification angekündigt, letzte Woche 13 Patches herausgebracht, die 26 Schwachstellen in verschiedenen Windows-Betriebssystemen und in Office schließen sollen. Damit ist der Hersteller weit weg von dem „einsamen Patch“ im Januar.

Fünf der Patches wurden als “kritisch” eingestuft und sollen neun Schwachstellen stopfen, die zu Remote-Codeausführung führen können. Falls diese Lücken offen bleiben, könnte ein Angreifer sie ausnützen und die Kontrolle für die Systeme des Nutzers erlangen. Der wichtigste Patch in der Liste ist MS10-013, denn die damit geschlossene Schwachstelle ermöglicht Angreifern die vollständige Kontrolle über ein System. Angesichts des potenziellen Schadens durch einen solchen Angriff ist es sehr wichtig, dass Anwender ihre Systeme sobald wie möglich aktualisieren.

Sieben Patches wurden als „wichtig“ eingestuft und eines als „moderat“. Beachtenswert ist auch die Tatsache, dass MS10-015 der Liste hinzugefügt wurde. Der Patch nimmt sich des so genannten „17-year-old hole“ an, das im Security Advisory 979682 beschrieben ist. Microsoft besteht darauf, dass die Firma zwar den öffentlich erhältlichen Proof-of-Concept-Code für das Problem kenne, doch noch keinen aktiven Exploit dafür gesehen habe. Weitere Informationen zur vollständigen Liste der Security Advisories finden sich auf der Trend Micro Security Advisory Seite .

Gleichzeitig mit dem Februar-Release hat Trend Micro eine weitere FAKEAV-Variante als TROJ_FAKEAV.BLJ erkannt. Dieses gefälschte AV-Tool gibt vor, ein Windows Automatic Update zu sein, das ein Windows XP-Update installiert. Die Kriminellen nutzen dabei dieselbe Scareware-Taktik, die Nutzer vor Systeminfektionen warnt. Anwender sind gut beraten, Sicherheits-Updates nur von der offiziellen Microsoft Security Bulletin Seite herunter zu laden.



Das Trend Micro Smart Protection Network schützt Anwender vor diesen Gefahren, indem das intelligente Content-Sicherheitsnetzwerk den Download von bösartigem Code oder infizierten Dateien erkennt und verhindert. Wer kein Trend Micro Produkt nutzt, kann sich über HouseCall schützen, Trend Micros kostenlosem Ondemand-Scanner, der Viren, Trojaner, Würmer und ungewollte Browser Plugins erkennt und entfernt.