Schlagwort-Archive: PDF

Exploit zielt auf kürzlich entdeckte Zero-Day-Sicherheitslücke in Windows

Originalartikel von Gelo Abendan, Technical Communications

Trend Micro ist in den Besitz von Exploit-Dateien gelangt, die über eine vor kurzem bekannt gewordene Zero-Day-Sicherheitslücke Windows XP und Windows Server 2003 angreifen. Durch die Sicherheitslücke können sich die Angreifer höhere Privilegien für den Systemzugriff gewähren. Dadurch sind sie in der Lage, die unterschiedlichsten Aktionen auszuführen, wie zum Beispiel Daten einzusehen und zu löschen, Programme zu installieren oder Benutzerkonten mit Administratorrechten einzurichten.

Trend Micro hat die Exploit-Dateien im Rahmen der Analyse eines zielgerichteten Angriffs erhalten. Der Exploit nutzt mittels einer bösartigen PDF-Datei (von Trend Micro als TROJ_PIDEF.GUD entdeckt) eine Adobe-Sicherheitslücke (CVE-2013-3346), die in dem im Mai 2013 veröffentlichten Adobe-Security-Bulletin APSB13-15 erwähnt wurde. Diese Sicherheitslücke wird im Tandem mit der Zero-Day-Sicherheitslücke CVE-2013-5056 in Windows missbraucht, was zum Aufspielen eines Backdoor-Schädlings auf dem infizierten System führt. Dieser Schädling, den Trend Micro als BKDR_TAVDIG.GUD erkennt, führt mehrere Routinen aus. Dazu zählen unter anderem das Herunterladen und Ausführen von Dateien sowie das Übertragen von Systeminformationen an den Command-and-Control-Server.

Dieser Vorfall erinnert einmal mehr daran, wie wichtig es ist, dass die Anwender auf neuere Windows-Versionen migrieren. Im April dieses Jahres kündigte Microsoft an, den Support für Windows XP im April 2014 einzustellen. Das bedeutet, dass Nutzer dieser Windows-Version danach keine Sicherheitsaktualisierungen mehr vom Hersteller erhalten. Windows-XP-Nutzer werden daher gegenüber Angriffen, die Sicherheitslücken in der Betriebssystemversion ausnutzen, verwundbar sein.

Nutzer von Systemen mit neueren Windows-Versionen sind von dieser Bedrohung nicht betroffen. Trend Micro schützt die Anwender davor; die entsprechende Malware wird entdeckt und beseitigt. Weitere Informationen werden zu einem späteren Zeitpunkt nachgereicht.

Gefälschte E-Mail-Benachrichtigung verbreitet bösartige PDFs

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Trend Micro hat eine verdächtige E-Mail entdeckt, die vorgibt, eine IT-Benachrichtigung zu sein. Sie informiert Nutzer darüber, dass deren Mailbox-Einstellungen geändert wurden. Die Mail hat einen pdf-Anhang, der angeblich Anleitungen umfasst, die der Nutzer vor dem Aktualisieren seiner Einstellungen lesen soll.

Dieser Angriff ähnelt vielen früheren, die auch vorgaben, von einem realen Absender zu kommen, und wie eine fast legitime Benachrichtigung einer Firma wirkten. Mit einem solchen Design hoffen die Cyberkriminellen, ihre bösartigen Machwerke für die Empfänger glaubwürdiger zu machen und sie damit dazu zu bringen, den pdf-Anhang zu öffnen. Der Screenshot zeigt ein Beispiel einer solchen Mail:


Es gibt ein paar einfache, sichere Praktiken, die immer dann angewendet werden sollten, wenn E-Mails geöffnet und Anhänge ausgeführt werden:

  • Prüfen Sie immer, wer der Absender der Mail ist.
  • Suchen sie nach Fehlern in der Nachricht.
  • Klicken Sie nie auf eingebettete Links.
  • Überprüfen Sie die tatsächlichen Extensions in den Namen der Anhänge, und klicken Sie nie auf ausführbare Dateien.

Tatsächlich ist der pdf-Anhang eine bösartige Datei, die Trend Micro als TROJ_PIDIEF.ZAC identifiziert hat. Wird die pdf-Datei ausgeführt, so ruft sie ein eingebettetes Skript batscript.vbs (248.867 Bytes, VBS_EMOTI.A) auf, das eine Wurmkomponente namens game.exe (35.328 Bytes, WORM_EMOTI.A) ablegt und ausführt. Diese Komponente enthält darüber hinaus die Rootkit-Datei bp.sys (8.416 Bytes, RTKT_EMOTI.A), um bei Bedarf ihre bösartigen Routinen vor der Entdeckung zu verstecken.

Diese Bedrohung versucht, auf einen FTP-Server zuzugreifen, um möglicherweise weitere bösartige Dateien auf das betroffene System herunterzuladen. Mittlerweile sind weitere Spam-Nachrichten, die ähnliche Social-Engineering-Techniken nutzen, aufgetaucht. Diese enthalten einen bösartigen Anhang, den Trend Micro als TROJ_KATUSHA.F identifiziert hat.

Die In-the-Cloud-Engine von Trend Micro erkennt umgehend die verschiedenen Komponenten dieses Angriffs und stellt so den Schutz der Anwender sicher. Das Smart Protection Network schützt auch vor dieser Bedrohung, denn das Content-Sicherheitsnetzwerk blockiert mittels der Web und Reputation Services den Zugriff auf bösartige URLs und Spam. Auch jede Malware, die mit diesem Angriff in Zusammenhang steht wird über den File Reputation Service erkannt. Denkt ein Nutzer, sein System könnte bereits infiziert sein, so kann er mit dem kostenlosen Tool HouseCall sein System scannen und säubern.