Thema: Wieder groß angelegte Angriffe auf Web-Anwender im Gange

[SiLæncer]

Autoren von Virensoftware werden immer trickreicher, um ihre Angriffe zu verschleiern, berichtet der Hersteller von Web-Sicherheitsprodukten Finjan in seinem aktuellen Report "Web Security Trends". So habe man bösartige Webseiten entdeckt, die nicht nur versuchen, die Betriebssystem- und Browser-Version zu ermitteln und dazu passende Exploits auszuprobieren, sondern die zudem noch die IP-Adresse des PCs mitloggen, um bei späteren Besuchen keinen weiteren Schadcode mehr auszuliefern. Statt dessen bekomme der Besucher eine normale Seite präsentiert. Damit wollen die Virenautoren nach Meinung der Spezialisten von Finjan die Spuren einer Infektion verwischen.

Zudem würden die Virenautoren durch das Analysieren der Zugehörigkeit von IP-Adressen und dem wahlweisen Ausliefern harmloser oder infektiöser Inhalte Suchmaschinen und Crawler der Hersteller von Sicherheitssoftware in die Irre führen, sodass die Seite nicht als bösartig kategorisiert wird. Auch ließe sich damit die direkte Analyse von Schadcode durch Sicherheitsspezialisten erschweren. In seinem rund 30-seitigem Bericht zeigt Finjan Beispiele solcher Angriffe auf.

Darüber hinaus wächst laut Report der Anteil von Malware in Online-Werbung. Online-Auftritte würden vermehrt Werbung von anderen Dienstleistern in ihre Seiten einbinden, über die sie kaum die Kontrolle haben. So geschehe es dann, dass auf einer vertrauenswürdigen Seite Werbung von einem kompromittieren Ad-Server eingeblendet wird und so Besucher mit Trojanern infiziert werden. Ohnehin hätten die Virenautoren mit manipulierter Online-Werbung eine höhere Reichweite als mit dem Manipulieren einzelner Webauftritte. Auch hierfür hält Finjan Beispiele in seinem Web Security Trends Report Q2/2007 parat, für dessen Download man sich allerdings registrieren muss.

Quelle : www.heise.de

[SiLæncer]

Eine der am letzten Patchday bekannt gewordenen Sicherheitslücken im Internet Explorer 6 und 7 wird nach Angaben von Symantec bereits aktiv ausgenutzt, um Besucher von Webseiten mit Schädlingen zu infizieren. Dabei handelt es sich um eine Lücke in der Speech-API, die unter anderem der Internet Explorer zur Sprachausgabe verwendet. Zwei dazu erforderliche ActiveX-Controls XVoice.dll und XListen.dll reagieren auf präparierte Daten mit Pufferüberläufen, über die sich der Structured Execption Handler mit eigenem Code überschreiben und starten lässt.

Zwar sind zwei Exploits für den Internet Explorer 6 unter Windows 2000 SP4 und XP SP2 bereits seit fast zwei Wochen öffentlicht verfügbar, bis dato waren aber noch keine Webseiten bekannt, die die Lücke missbrauchten. Während die Demo-Exploits nur ein zusätzliches Nutzerkonto (User: sun, Passwort: tzu) anlegen sollen, wird bei den Attacken der Webseiten laut Symantec Shell-Code eingeschleust, der offenbar weitere Programme installiert. Wieviel Anwender betroffen sind, schreibt Symantec nicht. Derzeit scheint es sich aber noch um einen begrenzten Angriff zu handeln.

Anwender von Windows XP SP2 sollten die Updates bereits automatisch erhalten haben, Nutzer von Windows 2000 SP4 müssen sich die Patches per Hand herunterladen und installieren oder Windows Update aufrufen, um sich zu schützen.

Grundsätzlich ist auch der Internet Explorer 7 von dem Problem betroffen, ob die verfügbaren Exploits dort funktionieren, müssen weitere Tests zeigen. Immerhin stuft Microsoft die Lücke selbst unter Vista als "Kritisch" ein, da dort ebenfalls "Remote Code Execution" möglich sein soll. Im Vergleich dazu wird etwa bei Windows Server 2003 das Problem nur als "Mittel" eingestuft. Demnach würden die zahlreichen neuen Sicherheitsfunktionen von Vista die Infektion beim Besuch einer präparierten Seite nur schwer verhindern können.

Seit dem Erscheinen von Vista vor knapp sechs Monaten hat Microsoft sieben kritische Lücken (MS07-010, MS07-017, MS07-021, MS07-027, MS07-033, MS07-034 (2x)) gestopft, die nach Einschätzung der Redmonder alle das Ausführen von Schadcode ermöglichten. Meist genügte dabei allein der Besuch einer manipulierten Webseite oder Empfang einer Mail, um die Lücke auszunutzen. Vergangene Woche behauptete der Security Strategy Director für Microsofts Trustworthy Computing Group Jeff Jones noch in einer eigenen Analyse, dass Vista in den ersten sechs Monaten sicherer als viele Linux-Distributionen und Mac OS X sei, da es weniger Patches für bekannte Lücken gebe. Ob allerdings die Anzahl der veröffentlichten Patches als alleinige Kennzahl für Sicherheit gelten sollte, darf man stark bezweifeln.

Quelle : www.heise.de

[SiLæncer]

Fast 30.000 neu infizierte Webseiten pro Tag will Sophos im Juni 2007 registriert haben. Dabei nimmt der Apache-Webserver unter den am häufigsten inifzierten Webservern mit 51 Prozent eine führende Stellung ein – allerdings ist Apache ohnehin der am meisten eingesetzte Webserver. Laut Netcraft liefen 53 Prozent aller Internet-Domains auf Apache. IIS schließt bei der Infektionshäufigkeit knapp auf: 43 Prozent. Im Grunde ist es also egal, welchen Server man wählt, wenn dieser und die darauf laufenden Anwendungen nicht regelmäßig aktualisiert werden.

Anfang des Jahres soll die tägliche Infektionsrate von Webseiten laut Sophos noch bei 5000 pro Tag gelegen haben. Damit soll die Verbreitung von Trojanern über Webseiten mittlerweile zur häufigsten Angriffsmethode finanziell motivierter Cyberkrimineller gehören. Bis Anfang des Jahres galt E-Mail noch als Haupteinfallstor für Schädlinge. Die meisten infizierten Websites sollen laut dem aktuellen Security Threat Report von Sophos zwischen Januar und Juni 2007 in China zu finden gewesen sein. Sophos will zudem eine Stichprobe bei einer Millionen verdächtiger Sites durchgeführt und dabei auf 28,8 Prozent der Websites Malware gefunden haben.

Laut Sophos handelte es sich bei den infizierten Seiten in 80 Prozent der Fälle um harmlose Websites, die offenbar gehackt wurden. Dabei machen sich die Angreifer zunutze, dass auf Servern von Webhostern oft mehrere Präsenzen lagern, die man bei einem Einbruch alle gleichzeitig infizieren kann. Auch bei den immer noch anhaltenden Infektionen durch das Web Attack Toolkit MPack wird so vorgegangen. Das bestätigt auch der Security Threat Report (PDF) von Sophos für das erste Halbjahr 2007: Rund 50 Prozent der infektiösen Seiten binden Schädlinge über einen IFrame eine, der Daten vom MPack-Server nachlädt. Die meisten der infizierten Seiten sind völlig unverdächtige, wie Touristeninfos, Online-Shops, Immobilienmakler etc.

Heise Security UK berichtet, dass infizierte Seiten sogar in der Lage seien, ihre schädlichen Inhalte mehrere hundert Mal am Tag zu wechseln, um die Analyse und Bekämpfung zu verhindern. Auch deute dies darauf hin, dass Malware automatisch generiert werde. George Clueley von Sophos äußerte im Interview mit heise Security UK sogar die Befürchtung, dass dies in einer Art "Robot Wars" enden könne, in der sich die Tools der Virenautoren mit denen der Hersteller von Antivirensoftware einen Schlagabtausch liefern.

Quelle : www.heise.de

[SiLæncer]

Erste Webseiten sollen die vergangene Woche gemeldete Lücke in Apples Mediaplayer QuickTime bereits aktiv ausnutzen, um die Windows-PCs von Besuchern mit Malware zu infizieren. Angreifer können einen Pufferüberlauf durch die Manipulation der Content-Type-Header in einem RTSP-Datenstrom erzwingen und damit Schadcode in das angegriffene System einschleusen. Anwender von Apples Multimedia-Software iTunes sind von der Lücke ebenfalls betroffen, da bei der iTunes-Installation eine aktuelle Version von QuickTime auf dem System eingerichtet wird.

Zwar gab es zum Zeitpunkt der Veröffentlichung der Lücke bereits einen Proof-of-Concept-Exploit, allerdings hatte bis dato noch niemand Seiten gesichtet, die ihn enthielten. Eine von Symantec nun beobachtete Porno-Seite lädt den Exploit über einen IFrame nach und schleust in einen PC einen Downloader ein, der weiteren Schadcode nachlädt und installiert. Bislang hat Apple noch kein Update bereit gestellt, um das Problem zu beheben.

Als Workaround kommen mehrere Maßnahmen in Frage. Beim Internet Explorer hilft es, das Kill-Bit für das QuickTime-ActiveX-Control zu setzen, eine Anleitung dazu ist im Fehlerbericht des US-Cert zu finden. Beim Firefox reicht es, dass Plug-in zu deaktivieren, indem man es unter Windows im Pfad /Programme/Mozilla Firefox/plugins einfach löscht. Zusätzlichen Schutz bietet es, JavaScript zu deaktivieren oder den Einsatz mit dem Firefox-Plug-in NoScript einzuschränken und die Verknüpfung des RTSP-Protokolls mit QuickTime zu lösen. Administratoren können im Netzwerk zudem die RTSP-Ports (TCP-Port 554 und UDP-Ports 6970-6999) blockieren. Das Internet Storm Center führt in seinem Blog einige IP-Adresse verdächtiger Seiten auf.

Siehe dazu auch:

    * Exploit for Apple QuickTime Vulnerability in the Wild, Meldung von Symantec -> http://www.symantec.com/enterprise/security_response/weblog/2007/12/exploit_for_apple_quicktime_vu.html

Quelle : www.heise.de

[SiLæncer]

Linden Labs, die Betreiberfirma der virtuellen Online-Welt Second Life, warnt Spieler vor den Konsequenzen der kürzlich entdeckten Schwachstelle in Quicktime, die andernorts im Netz bereits aktiv ausgenutzt wird. Der Video-Player von Apple übernimmt auch in der virtuellen Spielwelt die Wiedergabe von eingebetteten Videosequenzen. Laut einem Bericht von MecuryNews.com ist es Sicherheitsexperten bereits gelungen, einen manipulierten Videoclip herzustellen, der in der Spielwelt zusehenden Second-Life-Avataren 12 Linden-Dollar (rund 4,5 US-Cent) aus der Tasche zieht und sie zu der Äußerung "I got hacked" zwingt.

Videoinhalte gehören inzwischen zur weit verbreiteten Ausstattung in Second Life, etwa von virtuellen Firmenpräsenzen, Geschäftsräumen und Kinos. Auch Tutorials sind oft in Form von kurzen Quicktime-Filmchen verfasst. In der Voreinstellung gibt der Second-Life-Client in der Avatar-Umgebung verfügbare Videoinhalte teils automatisch wieder.

Die Second-Life-Betreiber räumen zwar ein, dass sie vorübergehend sämtliche Videoinhalte in ihrer virtuellen Spielwelt deaktivieren könnten, wollen jedoch aus Rücksicht auf die legitimen Streaming-Inhalte davon absehen. Es bestehe stets die Möglichkeit, Anbieter schädlicher Video-Streams zu erkennen und nötigenfalls rechtlich zu verfolgen.

Linden Labs empfiehlt jedoch ausdrücklich, das Video-Streaming in Second Life bis zum Erscheinen eines Sicherheits-Updates für Quicktime zu deaktivieren und Videos nur in vertrauten Spielwelt-Regionen bei Bedarf zuzulassen. Die Option ist zu erreichen unter Einstellungen / Audio & Video / Streaming-Video abspielen, wenn verfügbar.

Quelle : www.heise.de

[SiLæncer]

Brian Krebs von der Washington Post und das Sicherheitsunternehmen Trend Micro berichten von schädlichen Werbebannern, die von beliebten und stark frequentierten Webseiten ausgeliefert wurden und versuchten, über Sicherheitslücken in den Webbrowsern und installierter Zusatzsoftware schädlichen Programmcode in die Rechner einzuschleusen. Betroffen sollen beispielsweise MySpace und Excite.com gewesen sein, aber auch die Seite des Schweizer Blick hat es getroffen.

Trend Micro zufolge versuchten die eingeblendeten Werbebanner, über Schwachstellen Trojanische Pferde wie RBot, SDBot und Spybot zu installieren. Die Skripte der Werbebanner wollten dem Anwender zudem eine nutzlose Software Namens PerformanceOptimizer unterjubeln, die Fehlalarme über entdeckte Schädlinge produziert und die vermeintlichen Funde erst nach einer Zahlung der Registrierungsgebühr entfernt.

Sandi Hardmeier, Microsoft-"Most Valuable Professional" und Sicherheitsforscherin, hat die schädlichen Werbebanner entdeckt und dokumentiert. Außerdem hat sie die Betreiber der Werbeserver informiert und konnte so dafür sorgen, dass die schädlichen Werbekampagnen, die von den Servern ausgeliefert wurden, gestoppt wurden. Dadurch liefern die Werbeserver die bösartigen Skripte und Banner inzwischen nicht mehr aus.

Solche Angriffe auf Webnutzer sind nicht neu, traten aber bislang nicht derart gehäuft auf: In der Vergangenheit hat es beispielsweise Werbebanner im Microsoft Messenger getroffen. MySpace hat zudem nicht zum ersten Mal mit schädlichen Werbebannern zu kämpfen.

Internetnutzer können sich vor solchen Angriffen schützen, indem sie nicht nur das Betriebssystem, sondern auch die installierten Programme auf dem aktuellen Stand halten. Insbesondere veraltete Versionen des Flash Player oder von QuickTime können dem Anwender zum Verhängnis werden. Das Werkzeug Personal Software Inspector des Sicherheitsdienstleisters Secunia hilft, etwa auch vergessene Softwareinstallationen aufzuspüren und gegebenenfalls aktualisierte Versionen herunterzuladen und einzuspielen.

Siehe dazu auch:

    * Malware-Laced Banner Ads At MySpace, Excite, Bericht von Brian Krebs
    * MySpace, Excite, and Blick Serve Up Malicious Banner Ads, Meldung von Trend Micro
    * Malicious skyauction banner ad at blick.ch, Bericht von Sandi Hardmeier
    * Update on the malicious advertisements appearing on Excite and Blick, Meldung von Sandi Hardmeier

Quelle und Links : http://www.heise.de/security/news/meldung/101403/Schaedliche-Werbebanner-auf-populaeren-Webseiten

[SiLæncer]

Erneut haben Kriminelle mehrere zehntausend harmlose Webserver manipuliert, um Besucher der Seiten mit Schadcode zu infizieren. Berichten zufolge sind die Täter dabei ähnlich vorgegangen wie im Juni 2007 bei der Attacke auf mehr als 10.000 europäische, vornehmlich italienische Webserver. Diesmal sollen weltweit neben kommerziellen aber auch zahlreiche Seiten von Behörden mit einem zusätzlichen IFrame ausgestattet worden sein, der von zwei offenbar chinesischen Servern Exploits nachlädt. Die Exploits nutzen eine ältere Lücke im Internet Explorer (MDAC) und wahrscheinlich die bislang ungepatchte Lücke im Real Player aus, um einen Windows-PC mit einem Trojan-Downloader zu infizieren, der weiteren Schadcode nachladen kann.

Die chinesischen Server stehen in den Domains uc8010.com und ucmal.com, eine davon wurde erst am 28. Dezember des vergangenen Jahres registriert. Administratoren sollten den Netzwerkverkehr auf mögliche Verbindungen zu diesen Domains untersuchen oder gleich ganz blocken.

Wie der zusätzliche IFrame in die Webseiten gelangte, ist noch unklar. Bei den vergangenen Attacken via MPack waren meist Massenhacks über fehlerhafte Skripte bei Shared-Webhostern die Ursache, diesmal aber auch die Seiten größerer Firmen wie Computer Associates betroffen, die eigene Server betreiben. Mittlerweile sollen auch MySpace-Seiten den Link zu den Exploits enthalten.

Zu ihrem Schutz sollten Anwender nur mit einer vollständig gepatchten Version des Internet Explorer arbeiten oder einen alternativen Browser nutzen. Zudem sollten Anwender den RealPlayer deinstallieren. Webseitenbetreiber sollten den Quellcode oder das ausgelieferte HTML-Dokument auf Manipulationen hin untersuchen.

Siehe dazu auch:

    * Massive RealPlayer Exploit Embedded Attack, Analyse von Dancho Danchev
    * Kritische Lücke im RealPlayer, Meldung auf heise Security
    * Groß angelegter Angriff auf Web-Anwender im Gange, Meldung auf heise Security
    * Weitere Details zu Web-Attack-Toolkit MPack, Meldung auf heise Security

Quelle : http://www.heise.de/security/news/meldung/101521/Wieder-gross-angelegte-Angriffe-auf-Web-Anwender-im-Gange

[SiLæncer]

Dass Viren und Würmer auch über präparierte Webseiten durch Lücken im Browser auf einen Windows-PC gelangen können, dürfte sich langsam herumgesprochen haben. Überraschend ist allerdings die Feststellung von Websense in seinem neuesten Security Threat Report, dass es sich bereits bei jeder zweiten derartigen Seite um eine gehackte Internetpräsenz handelt, die eigentlich ganz harmlose Inhalte ausliefern soll. In den vergangenen Jahren musste man für derartige, auch Drive-by-Downloads genannte Infektionen noch mehr oder minder dubiose Seiten aufrufen. Vielfach lautete der Ratschlag, dass sich Infektionen verhindern ließen, wenn man nur bekannte oder vertrauenswürdige Seiten ansurft.

Damit ist es nun vorbei, unter anderem zeigte sich schon bei den größeren Angriffen auf Anwender im Sommer 2007, dass auch der Besuch von Touristik-, Immobilien und Shop-Seiten gefährlich sein kann, wenn man mit einem löchrigen Browser unterwegs ist. Zuletzt gab es Anfang Januar 2008 eine größer angelegte Attacke, bei der sogar gehackte Server von US-Behörden und Universitäten für das Verteilen von Malware missbraucht wurden. Der Vorteil liegt laut Websense für die Kriminellen auf der Hand: Die Seiten besitzen meist eine gewisse Reputation und eine ausreichende Zahl von Stammnutzern.

Zu den Seiten wird meist nur ein einziger IFrame hinzugefügt, der von einem "Mutterschiff" weiteren Schadcode nachlädt. Dazu brechen die Kriminellen beispielsweise über eine Lücke in der Konfigurationssoftware eines Massenhosters, etwa cPanel, in die Präsenzen ein. Alternativ leiten sie im Rechenzentrum den HTTP-Verkehr einiger Server mittels ARP-Spoofing auf einen gehackten Server um und bauen in die ursprünglichen HTTP-Antworten den IFrame ein.

Auch über manipulierte Werbebanner von geknackten Ad-Servern wird immer öfter versucht, Besucher zu infizieren. Zwar nutzen die Kriminellen für ihre Angriffe vermehrt Tools wie das Web-Attack-Toolkit MPack, laut dem Report von Websense werden präparierte Webseiten aber zum größten Teil immer noch per Hand erstellt.

Websense hält in seinem Report eine weitere Überraschung parat: Im Dezember 2007 schwoll der chinesische Anteil an Seiten mit so genannter Crimeware von 8 auf 46 Prozent an. Dafür ging der Anteil US-amerikanischer Crimeware-Seiten von 69 auf 23 Prozent zurück. Was diese extreme Verschiebung verursacht hat, lässt der Report allerdings offen – eine Anfrage von heise Security an Websense ist allerdings gestellt.

Der komplette Report soll in Kürze auf den Seiten von Websense zum Download bereitstehen.

http://www.websense.com/securitylabs/resource/

Quelle : www.heise.de

[Yessir]

Insgesamt 70 Prozent der 100 beliebtesten Webseiten im Internet haben im zweiten Halbjahr 2008 aufgrund von Attacken schädliche Inhalte oder versteckte Umleitungen auf bösartige Webseiten enthalten - eine Steigerung um 16 Prozent gegenüber dem ersten Halbjahr. Dies zeigt der aktuelle Bericht "State of Internet Security" der Websense Security Labs auf. Die Methoden der Kriminellen, Seiten zu infizieren, sind vielfältig. "Wir haben Script-Injections, kompromittierte oder mit bösartiger Absicht erstellte Accounts und den Missbrauch offener Umleitungen erlebt", sagt Carl Leonard, Websense Threat Research Manager.

"Die Schattenwirtschaft floriert richtig, während Unternehmen bei Sicherheitstechnologie nicht auf dem letzten Stand sind", meint Leonhard. Cyberkriminelle würden beispielsweise die wachsende Zahl an Web-2.0-Funktionen ausnutzen, die User-erstellten Content erlauben. "Mehr als je zuvor beobachten wir, dass in Webseiten Links injiziert werden, die Nutzer auf bösartige und kompromittierte Webseiten umleiten", so der Experte weiter. Insgesamt sind schon mehr als drei Viertel aller Webseiten, die von Websense als schädlich eingestuft wurden, Angebote mit gutem Ruf, die von Angreifern kompromittiert wurden. Bevorzugte Ziele sind dabei gerade beliebte Webseiten mit entsprechend vielen Seitenaufrufen - beispielsweise Suchangebote wie Google oder verschiedene Arten sozialer Angebote wie Facebook oder YouTube. Die jeweiligen Anbieter sind sich ihrer Verantwortung offenbar bewusst. "Die Unternehmen nehmen das sehr ernst und unternehmen die nötigen Schritte, um Malware schnellstmöglich zu entfernen", meint Leonhardt.
Der Missbrauch von Webseiten ist nicht die einzige Bedrohung, die weiter angestiegen ist. "Da vielen E-Mail-Sicherheitssystemen die Web-Intelligenz fehlt, haben Spammer auch E-Mail-Kampagnen intensiviert, die Links auf bösartige Webseiten enthalten", betont Leonhard. Bereits 90,4 Prozent aller Spam-Mails haben Websense zufolge im zweiten Halbjahr 2008 Links auf Spam- oder Malwareseiten enthalten, was eine Steigerung um sechs Prozent gegenüber der Vorhalbjahr darstelle. Im Kampf gegen die Internet-Bedrohungen erscheinen neue Ansätze, wie sie von verschiedenen Anbietern erforscht werden, unerlässlich. "Es ist klar, dass Unternehmen Sicherheit mit Echtzeit-Schutz benötigen. Aber bis das die Norm wird, werden Cyberkriminelle weiter Daten stehlen und schmutziges Geld verdienen", meint Leonhard. Auch fehlerfreiere Programmierung, zu der die kürzlich veröffentlichte Liste der 25 gefährlichsten Programmierfehler beitragen will, wäre natürlich von Vorteil. "Das fortgesetzte Ausnutzen von Schwachstellen wie offenen Umleitungen hält die Tür für Missbrauch durch Malware-Autoren offen", sagt Leonhard abschließend.

Quelle: www.pcwelt.de