Thema: Trojaner installiert sich über kritisches Sicherheitsleck in Word

[SiLæncer]

Hacker aus China und Taiwan nutzen eine Lücke in Microsofts Textprogramm, um eine Hintertür auf dem System zu installieren. Dieser Backdoor.Ginwui genannte Angreifer verbreitet sich als Word-Dokument über E-Mails, die sich als interne Nachrichten tarnen und nicht von Spam- oder Antiviren-Filtern aussortiert werden.

Backdoor.Ginwui wurde erstmals in einer in Japan ansässigen Firma gefunden. Das Angriffszenario entspricht den unlängst befürchteten, gezielten Attacken, die nur schwer zu erkennen sind. Der Angreifer installiert nach dem Öffnen des Dokuments unbemerkt eine Hintertür, über die Angreifer die Kontrolle über den PC erlangen können. Nach aktuellen Erkenntissen von Sicherheitsexperten überschreibt er anschließend den Inhalt der ursprünglichen Word-Datei und provoziert so einen Absturz von Word. Nach erneutem Öffnen ist dann nur ein Dokument mit einer harmlosen Nachricht zu sehen. Nach der Installation sendet die Backdoor Pings an IP-Addressen in Asien, teilt also mit, wo sie erreichbar ist. Weitere Details sind bisher spärlich: Vor Entdeckungen schützt sich der Eindringling mit Rootkit-Techniken. Zudem werde anscheinend auch eine RBot-Variante installiert, die diverse System-Informationen einholt, beispielsweise über installierte Anti-Viren-Scanner oder auch den Inhalt diverser Ordner und Dateien.

Angriffe wie dieser sind der Stoff aus dem die Alpträume der Sicherheitsexperten gestrickt sind: restriktive Firmen-Firewall, aktuelle Antiviren-Software auf den Servern und Desktops, alle Sicherheits-Updates installiert – und all das hilft nicht. Aus Sicht des Anwenders hat nur "die Textverarbeitung mal wieder gesponnen" während im Hintergrund sein Rechner infiziert wurde und zukünftig beispielsweise Firmengeheimnisse ausspionieren und an Dritte weiterleiten könnte.

Die als hoch kritisch eingestufte Sicherheitslücke wurde bisher bei Microsoft Word 2002 and Microsoft Word 2003 diagnostiziert. Details über den Mechanismus liegen noch nicht vor, ebensowenig ein Patch, der die Sicherheitslücke stopft. Die Erkennungsraten von Antiviren-Software sind laut Andreas Marx von AV-Test noch sehr mager, nur F-Secure, McAfee und Symantec erkennen schon einige der fraglichen Dateien. Auch wenn bisher nur wenige dieser trojanischen Mails an ausgewählte Ziele verschickt wurden, ist damit zu rechnen, dass die Schwachstelle nach ihrem Bekanntwerden in größerem Umfang ausgenutzt wird. Deshalb sollte man unverlangt eingesandte Office-Dokumente möglichst nicht öffnen; im Zweifelsfall hilft eine kurze Rückfrage beim vermeintlichen Absender, eine mögliche Infektion zu vermeiden.

Siehe dazu auch:

    * Targeted attack: experience from the trenches Meldung des Internet Storm Centers
    * Trojan.Mdropper.H Beschreibung von Symantec
    * Backdoor.Ginwui Beschreibung von Symantec

Quelle und Links : http://www.heise.de/security/news/meldung/73344

[SiLæncer]

Update:

Laut einem Eintrag im Microsoft Security Response Center Blog ist der Word Viewer nicht von der Lücke betroffen. Es empfiehlt sich also, Word-Dokumente aus unsicherer Quelle mit dem Viewer statt mit Word zu öffnen. Microsoft will den Scanner ihres Windows Live Security Center um eine Erkennung des Schädlings erweitern. Man arbeite außerdem an Patches für die betroffenen Office-Versionen, die planmäßig am 13. Juni veröffentlicht werden sollen, eventuell früher.

Quelle : www.heise.de

[SiLæncer]

Der vergangenen Samstag entdeckte Trojan-Dropper Ginwui, der ein bisher unbekanntes Sicherheitsleck in Microsoft Word ausnutzt, wird von vielen Virenscannern nur in Teilen oder überhaupt nicht erkannt. Dies ergab ein Test von Andreas Marx von AV-Test am heutigen Montagvormittag mit diversen Virenscannern.

Die beiden aufgetauchten, unterschiedlichen DOC-Dateien erzeugen bei Ansicht mit Microsofts Word mehrere ausführbare Dateien und weitere Word-Dokumente. Dabei handelt es sich um ein Dokument zur Verschleierung der schädlichen Aktivitäten, das Word nach dem Programmabsturz wiederherzustellen versucht, sowie um zwei Trojaner, die sich tief ins System einnisten und dort unter anderem die Tastatur überwachen und ins Internet verbinden, um auf weitere Anweisungen des Virenautors zu warten.

Bei dem Test erkannten BitDefender, eTrust-VET, F-Secure, Kaspersky, Microsoft OneCare, NOD32 und Symantecs Antivirus alle DOC- und EXE-Dateien. Nur teilweise schafften dies AntiVir, Dr. Web, eSafe, eTrust-INO, Fortinet, Ikarus, McAfee, Panda, QuickHeal, Sophos, Trend Micro und VirusBuster. Die Virenscanner Avast!, AVG, ClamAV, Command, Ewido, F-Prot, Norman und VBA32 sind durchgefallen, da sie Ginwui überhaupt nicht erkannten.

Der Vorfall zeigt, dass ein Antivirenprogramm nur begrenzt vor so genannten Zero-Day-Attacken schützen kann. Letztlich hilft nur, bei den Anwendern immer wieder Sicherheitsbewusstsein zu schaffen – was vielen Administratoren wie ein Kampf gegen Windmühlen vorkommt. Die Antivirenindustrie versucht, mit neuen Techniken wie Behavioural Blocking gegen solche Angriffe gewappnet zu sein. Diese können jedoch auch nur Schaden begrenzen.

Quelle und Links : http://www.heise.de/security/news/meldung/73375

[SiLæncer]

Microsoft rät zur Nutzung von Word im Safe Mode

Microsoft hat zu der kritischen Sicherheitslücke in Word 2002 und Word 2003 ein Security Advisory veröffentlicht, in dem die Redmonder empfehlen, bis zur Verfügbarkeit eines Patches Word im Abgesicherten Modus zu betreiben. Dazu muss der Anwender die Textverarbeitung über die Befehlzeile mit der Zusatzoption /safe starten oder eine Verknüpfung mit winword.exe /safe auf dem Desktop ablegen.

Der Safe Mode für Office ermöglicht es dem Anwender etwa Word und Excel zu starten, auch wenn Probleme mit dem zu öffnenden Dokument aufgetreten sind. Dazu schaltet Office aber einige Funktionen beim Aufruf ab. Unter anderem soll dies nach Angaben der Redmonder auch verhindern, dass der in präparierten Dokumenten versteckte Schadcode ausgeführt wird. Allerdings funktionieren dann auch einige andere Funktionen nicht mehr. Beispielsweise lassen sich Templates nicht abspeichern, Smart Tags werden nicht geladen und vom Anwender konfigurierte Toolbars ebenfalls ignoriert. Eine vollständige Liste der Einschränkungen führt Microsoft hier auf: About Office Safe Mode.

Der Schutz durch den Abgesicherten Modus funktioniert allerdings nur, wenn Anwender künftig Word-Dokumente im Anhang einer E-Mail nicht direkt per Doppelklick öffnen, sondern zunächst speichern und anschließend mit der Safe-Word-Version öffnen. Wer ganz sichergehen will, kann aber unter der Verknüpfung der Dateitypen im Windows Explorer ebenfalls die Option /safe hinzufügen. Nach der Installation des für den 13. Juni angekündigten Patches müssen diese Änderungen aber rückgängig gemacht werden. Ob Word im Abgesicherten Modus läuft, sieht man an der oberen Titelleiste.

Nach Angaben von Andreas Marx von AV-Test hat sich die Erkennungsrate der Virenscanner für den Word-Exploit weiter verbessert. Die derzeit im Umlauf befindlichen präparierten Dokumente und auf dem infizierten PC abgelegten EXE-Dateien erkennen BitDefender, Dr Web, eTrust-INO, eTrust-VET, F-Secure, Fortinet, Kaspersky, McAfee, Microsoft, Nod32, Panda, Symantec/Norton und Trend Micro (Stand 23.5.). Nur die EXE-Dateien erkennen AntiVir, Avast!, AVG, Command, eSafe, F-Prot, Norman, QuickHeal und VirusBuster. Gar nichts erkennen ClamAV, Ewido, Ikarus, Sophos und VBA32 (ebenfalls Stand 23.5.).

Siehe dazu auch:

    * Vulnerability in Word Could Allow Remote Code Execution, Fehlerbericht von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/73476