Kategorie-Archiv: Angriff

Windows LNK-Krimi steht vor dem aus

Am 21.07. hatte ich geschrieben “Windows-LNK-Lücke hat das Zeug zum Spionagekrimi”. Morgen will Microsoft dem Krimi ein vorläufiges Ende setzen und die Sicherheitslücke außerhalb des regulären Patch-Zyklus schließen. Bisher war es nur möglich der Schwachstelle mit einem Workaround Herr zu werden, das die Anzeige von Programm- und Dateiicons verhinderte.

Was sich zunächst harmlos anhört führt dazu, dass auf dem Desktop keine Icons mehr angezeigt werden, was für manch einen Zeitgenossen einem Totalausfall des Rechners gleichkommt. Wahrscheinlich ist diese unangenehme Einschränkung der Usability auch der Grund für das vorzeitige Patch.

Schon blöd, wenn das Klicki-Bunti nicht mehr funktioniert…

Windows-LNK-Lücke hat das Zeug zum Spionagekrimi

Vor einigen Tagen bestätigte Microsoft eine Sicherheitslücke bei der Anzeige von LNK-Dateien: Schon beim Öffnen eines USB-Sticks wird ein betroffener Rechner infiziert. Bereits vor einigen Tagen habe ein Wurm diese Lücke bereits für Spionage-Aktivitäten ausgenutzt. In diesem Zusammenhang war sogar von bestochenen Mitarbeitern bei Realtek-Subunternehmern und professioneller Industriespionage die Rede.

Während die Meldungen zu den Angriffen den Stoff für einen Krimi liefern, gibt es aber auch einiges, was man gegen die Lücke tun kann. Microsoft selbst schlägt hierzu Änderungen in der Registry vor. Didier Stevens bietet in seinem Blog zwei Möglichkeiten an: Die erste ist die Nutzung seines Tools Ariad, dass die Nutzung von USB-Sticks reglementiert. Die zweite funktioniert mittels Software Restriction Policies (SRP) über Group Policys.

Keine Angst vor unbekannten Webseiten

Früher war die Grenze zwischen Gut und Böse klar. Wer auf unbekannten Webseiten surfte, der durfte sich hinterher nicht beschweren, wenn er sich irgendwelche Schadsoftware eingefangen hatte. Nun titelt Heise: “Trojaner-Angriffe fast nur noch über legitime Webseiten.” Demnach werden die PCs von Internet-Anwendern offenbar fast nur noch über gehackte Webauftritte seriöser Anbieter angegriffen. Das betrifft bei weitem nicht nur kleine Webseiten, sondern auch größere Fische wie das Handelsblatt oder die ZEIT. Der Antivirenhersteller Avast berichtet, dass auf jede infizierte Erwachsenenseite 99 infizierte normale Seiten kommen und der Antivirenhersteller Symantec berichtet, dass der Anteil der legitimen Seiten von 80 Prozent im Jahre 2009 auf 90 Prozent in diesem Jahr gestiegen sei.

Russisches Agentennetz in den USA ausgehoben

Fast wie im  Kalten Krieg – nur moderner und besser ausgerüstet. In den USA haben Ermittler ein Netz von zehn Agenten ausgehoben, die für Russland spioniert haben sollen. Alle zehn stehen unter dem Verdacht als Agent tätig gewesen zu sein bzw. Agenten angeworben zu haben. Geldwäsche gehört auch zu den Anklagepunkten. Die Verdächtigen sollen zum Teil seit den 90er-Jahren für Russland arbeiten. Mehr Informationen z.B auf Welt-Online.

Malware mit VeriSign Zertifikat

Eigentlich dient Authenticode in Windows Betriebssystemen dazu, Software zu Unterschreiben und zu Prüfen. Üblicherweise bringen Anwender und Systemadministratoren digital signierter Software mehr Vertrauen entgegen als nicht signierter. Ist eine Software nicht digital signiert, schlägt Windows Alarm. In den 64-Bit-Versionen von Windows 7 und Vista ist die Installation eines nicht signierten Treibers ganz unmöglich.Auch nicht, wenn der Anwender zustimmt.

Sophos berichtet jetzt von Malware, die auf Windows-Systemen von den Virenautoren gefälschte Root-Zertfikate von VeriSign installiert. F-Secure hat sich ebenfalls des Themas angenommen und berichtet ebenfalls von zertifizierter Malware. Als Sicherheitsmaßnahme eignet sich Authenticode also nur noch bedingt.