Sie haben Fragen zu den Inhalten auf diesem Blog? Sie möchten Kontakt zu unseren Autoren aufnehmen? Dann schreiben Sie mir eine E-Mail
Abonnieren Sie hier den RSS Feed zum TechNet Newsflash Podcast
Wie die IT-Sicherheitsexperten von Armorize in einem Blogbeitrag erläutern, wurden über 1,2 Millionen einzelne Seiten in Webshops bösartig modifiziert. Laut Armorize bezieht sich die Zahl nicht auf ganze Domänen oder Webshops, sondern einzelne HTML-Dokumente. Betroffen sind E-Commerce-Seiten, auf den Open-Source-Webshop osCommerce basieren.
Mehr als 12.000 Webshops weltweit werden mittels osCommerce betrieben. Wie viele davon Opfer der Masseninfektion wurden, ist nicht bekannt. Eine Google-Suche – Bing liefert in diesem Fall keine Links auf infizierte Webseiten – nach dem im Armorize-Blog genannten String, der typisch ist für die Masseninjektion, zeigt auch etliche deutschsprachige Webshops unter den infizierten Seiten.
Die Seiten werden offensichtlich vollautomatisch manipuliert, in dem ihnen bösartige iFrames hinzugefügt werden, die auf die zur Malwareverteilung genutzten IP-Adressen verweisen. Anders als mit einer automatischen Manipulation ist die immens hohe Zahl von Infektionen nicht zu erklären. Die Angreifer nutzen zum Einbruch laut Amorize mindestens drei verschiedene Schwachstelle in osCommerce, deren älteste schon seit über einem Jahr bekannt ist.
Wird die manipulierte Seite geöffnet, versucht das eingeschleuste iFrame Malware von einer im Armorize-Blog genannten IP-Adresse herunter zu laden. Laut Virustotal erkennen im derzeit (31.07.) verteilten File nur zwölf von 39 Antivirenscannern Schadsoftware. Der Smartscreen-Filter in Internet Explorer 8 und 9 blockiert den Download des Schädlings bereits verlässlich. Google kennzeichnet etliche der infizierten Online-Shops bereits in der Trefferliste als bösartig und weißt spätestens beim Klick auf den Link prominent auf die Schädlichkeit der Seite hin.
Betreiber von infizierten Webshops finden im Armorize-Blog unter „6. Remediation“ Tipps und Hinweise, wie sie die Manipulationen erkennen und beseitigen können.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Gezielte Attacken per E-Mail – so genanntes Spear Phishing – ist nichts Neues. Ein Sicherheitsspezialist von Symantec trägt jetzt in einem Blog-Beitrag interessante Fakten rund um diese Angriffsart zusammen. Grundsätzlich gilt: Je sensibler die Informationen sind, die von einer bestimmten Organisation gehandhabt werden, desto wahrscheinlicher ist es, dass diese Organisation Opfer eines gezielten E-Mail-Angriffs wird.
Symantec konnte die Spur der versandten E-Mails zu insgesamt 6391 eindeutigen IPs in 91 verschiedenen Ländern zurückverfolgen. Knapp zwei Drittel (62,15 Prozent) kommen aus Nord- und Südamerika, ein gutes Viertel (26,04 Prozent) aus dem asiatisch-pazifischen Raum und knapp über 10 Prozent kommen aus der EMEA-Region.
Bevorzugtes Ziel waren die öffentliche Hand und Regierungsapparate (21 Prozent), produzierende Unternehmen (19 Prozent), die Finanzwirtschaft (zwölf Prozent) und IT-Dienstleister (neun Prozent). Drei der Top-10-Empfängeradressen gehören Regierungsbehörden. Vier weitere stehen in enger Beziehungen zu lokalen oder internationalen Regierungsstellen und die Geschäfte zweier weiterer Unternehmen werden stark reguliert.
Malware-E-Mails werden zudem nicht blind gestreut: Bestimmte Individuen – Vorstände, Geschäftsführer, leitende Angestellte – mit öffentlichen Profilen mit Job-Bezeichnung und E-Mail-Adresse werden deutlich intensiver attackiert als andere Angestellte. Gern wird aber auch IT-Personal adressiert, da dieser Personenkreis oft genug Administratorrechte in einem Teil oder gar der kompletten IT-Infrastruktur des betroffenen Unternehmens hat – da ist ein befallener Rechner schnell der sprichwörtliche Fuß in der Tür.
In praktisch allen Fällen berichten Anwender laut Symantec von einer Varianz der E-Mail-Angriffe: Auf ein Hoch folgt in der Regel eine Phase der Ruhe, die den User vermutlich in Sicherheit wiegen. Gleichzeitig konnten die Symantec-Forscher bei diversen Opfern die gleichen Verteilungsmuster hinsichtlich der Anzahl empfangener Schad-E-Mails pro Monat feststellen, was auf den gleichen Angreifer schließen lässt.
Laut dem von Symantec betrachteten Datenmaterial empfingen 23.529 Anwender zehn oder weniger maßgeschneiderte Schad-E-Mails (69,44 Prozent aller bösartigen E-Mail), die verbleibenden 30,56 Prozent gingen an nur 833 Anwender. Rund ein Drittel aller versendeten Malware-E-Mails war auf lediglich drei Prozent aller User konzentriert. Im Vergleich zu den Milliarden von Spam-Nachrichte, die tagtäglich versandt werden, ein unglaublich kleiner Anteil.
Die beliebtesten Anhänge in Schad-Mails sind laut Symantec die Formate PDF (38 Prozent), DOC (29 Prozent), EXE (zehn Prozent), XLS (acht Prozent) und PPT (vier Prozent). Eine Überraschung ist der recht hohe Anteil an ausführbaren Dateien: Da die meisten Organisationen diesen Datei-Typ bereits am Gateway herausfiltern, ist er eigentlich eine schlechte Wahl.
Angriffe via PDF- und MS-Office-Dateien folgen in der Regel dem gleichen Schema: Sie nutzen entweder eine Sicherheitslücke in der entsprechenden Anwendung oder enthalten eine eingebettete schädliche Datei. In beiden Fällen muss der Anwender das Dokument aber öffnen. Das Problem der Sicherheitslücken kann durch schnellstmögliche Installation von Patches gelöst werden. Das unbedachte Öffnen unbekannter Dateien kann dagegen nur durch Schulungen und eine Sensibilisierung der Anwender gekontert werden.
Mittlerweile dürfte kaum mehr an Zweifel daran bestehen, dass Kriminelle den schnell wachsenden Markt der mobilen Endgeräte – Smartphones, Tablets und dergleichen – für sich entdeckt haben. Und nicht nur das: Irfan Asrar von Symantec beschreibt in einem Blog, das der aktuelle Trend der Bedrohungslage speziell im Android-Bereich vermuten lässt, dass Malware-Autoren und -Anwender immer gewiefter vorgehen – sie agieren strategischer und werden gleichzeitig immer frecher.
Eine Strategie sei beispielsweise das Aufteilen der Malware-"Nutzlast" in verschiedene, aufeinander aufbauende Pakete. Malware-Autoren können so das Profil ihrer Schadprogramme verringern: Erstens entwickelt die Malware so nicht mehr auf einen Schlag eine Menge Aktivität, die den Smartphone-Besitzer misstrauisch machen könnten, und zweitens können kleine, in sich harmloserer Pakete wesentlich unauffälliger und einfacher in anderen Apps eingebettet werden. Letztlich verringert die Aufteilung auf mehrere verschiedene "Träger-Apps" auch die Gefahr, dass die Malware von bestehenden Sicherheitsmechanismen des Mobilfunkbetreiber oder des jeweiligen App-Markts aufgefunden wird.
Als klassisches Beispiel hierfür beschreibt Asrar eine neu entdeckte Variante des Trojaners Android.Lightdd, die im ersten Schritt Informationen über das Endgerät sammelt und an eine URL überträgt. Danach werden zusätzliche Komponenten und Updates über offizielle Distributionskanäle oder direkte Downloads heruntergeladen. Aber immerhin muss der Anwender die Installation der Download in diesem Fall noch bejahen – und das stellt eine nicht unerhebliche Hürde für die Malware-Nutzlast dar.
Der Trojaner Android.Jsmshider überspringt diese Hürde dagegen problemlos, da er seinen Payload mit einem AOSP-Zertifikat (Android Open Source Project) versieht. Das mobile Endgerät geht dann von einem legitimen Systemupdate aus und installiert das Ganze ohne Rückfrage beim Anwender. Glücklicherweise agiert Android.Jsmshider lediglich als vergleichsweise banaler Premium-SMS-Versender/-Dialer.
Dass die Gefahr im Mobilbereich – und speziell bei Android – größer wird, unterstreichen zudem Meldungen wie die Fortinet oder F-Secure. Fortinet beschreibt einen neuen Android-Trojaner, der zur letztjährig erstmals entdeckten Zitmo-Familie gehört. Zitmo steht für ZeuS in the mobile, eine Abart des "klassischen" ZeuS-Trojaners für den Mobilbereich. Die neue Zitmo-Version für Android tarnt sich als Komponente der Banking-App Rapport von Trusteer und fängt Einmal-Passwörter ab, die dem Anwender von seiner Bank zugeschickt werden.
F-Secure berichtet über eine neue Spyware und einen neuen Trojaner für Android. Die Spyware wird über kostenlose Apps vertrieben, in der Regel Spiele. Eine frühe Version dieser Schadsoftware verlangte lediglich nach Zugriff aufs Web, die neueste ist allerdings ein bisschen neugieriger: Sie fragt Informationen wie Mobilfunkanbieter und Land, die Geräte-ID, E-Mail-Adresse und Telefonnummer ab und schickt sie an einen Remote-Server. Zusätzlich bildet sie in kleines Icon ab, über das der Anwender weitere kostenlose Software ziehen kann – die natürlich durchgängig ebenfalls mit der Spyware verwanzt ist. War die frühe Version noch vergleichsweise harmlos, agiert die jüngste Version doch schon ausgesprochen suspekt. Der neu entdeckte Trojaner hingegen fängt SMS-Nachrichten ab und sendet sie an eine vorab definierte URL – ähnlich wie der vor kurzem von Trend Micro beschriebene Schädling.
Einen außergewöhnlichen Penetrationstest beschreibt Adriel Desautels von Netragard in seinem Blog. Desautels sollte das Netzwerk seines Kunden knacken, ohne soziale Angriffsvektoren – soziale Netzwerke, Telefon oder E-Mail – zu nutzen oder das Unternehmen sowie dessen angrenzende Arealen zu betreten.
Die naheliegendste Attacke – das Zusenden eines mit Malware infizierten und als Geschenk deklarierten USB-Sticks an einen Mitarbeiter – wurde nicht geritten: Aufgrund des gestiegenen Sicherheitsbewusstseins rechneten sich die Profis zu geringe Erfolgschancen aus. Stattdessen wählte man ein anderes USB-Gerät – eine Maus.
Typische USB-Mäuse bieten im Innenraum genug Platz, um zusätzlich einen Teensy-Mikrocontroller, einen Mikro-USB-Hub, ein Mini-USB-Kabel und ein miniaturisiertes Flash-Laufwerk unterzubringen. Dazu kam noch die von Netragard speziell auf den Kunden – der unternehmensweit auf McAfee als AV-Lösung setzte – angepasste Malware auf der Basis von Meterpreter von Metasploit. Die Vermutung, dass der Kunden auf McAfee setzt, wurde aus einem Facebook-Posting eines Mitarbeiter gewonnen. Dieser beschwerte sich über die Antivirensoftware. Auf Basis dieser Annahme entwickelte Netragard dann mit Hilfe einer nicht näher beschriebenen Zero-Day-Technik eine spezialisierte Malware, die von McAfee nicht entdeckt wird und alle Dialog-Boxen bei einer Verbindung zu Metasploit unterdrückt.
So wurde eine USB-Maus von Logitech zum ersten HID – Hacker Interface Device (in Anlehnung an das normalerweise verwendete Human Interface Device). Getauft wurde die trojanische Maus auf den Namen PRION – nach Proteinen, die organische Gifte mit Virus-ähnlichen Eigenschaften sind.
Im ersten Schritt wurde die verwendete USB-Maus von Logitech entkernt und Platz geschaffen, um die oben genannten Komponenten unterbringen zu können. Schließlich wurde noch das USB-Anschlusskabel kurz vor dem PCB der Maus abgeschnitten. Danach wurde das Controller-Board aus dem Hub entfernt und mit drei Kabeln verlötet: Das verbleibende Kabelende zum PCB der Maus, das zum Anschluss am Rechner genutzte USB-Kabel der Maus sowie das Mini-USB-Kabel, mit dem der Mikrocontroller angeschlossen wird.
Im nächsten Schritt wurde dann das zum Speichern der Malware genutzte Flash-Laufwerk mit dem USB-Hub verlötet. PRION könnte zwar auch ohne den Speicher auskommen und sich die Malware bei erfolgreichem Anschluss an einem Firmenrechner einfach aus dem Netz ziehen, aber das wäre nach Netragard Vorstellungen nicht verstohlen genug gewesen. Nun das Ganze noch isoliert und in die Maus verpackt – fertig.
Danach wurde die Malware auf das Flash-Laufwerk geladen und der Mikrocontroller so programmiert, dass er die Malware 60 Sekunden nach Beginn der User-Aktivitäten mit der Maus startet. Die wieder verschlossene Maus wurde dann so verpackt, dass Karton und Maus unberührt wirkten.
Danach kaufte Netragard bei Jigsaw eine Liste von Angestellten seines Kunden, recherchierte den wahrscheinlichsten Kandidaten und schickte ihm die Maus zusammen mit diversen Marketing-Materialien als Werbegeschenk zu. Drei Tage später meldete sich die Maus-Malware dann via Meterpreter-Session...
Auch wenn Angestellte USB-Sticks gegenüber misstrauisch geworden sind und viele Unternehmen die Autorun-Funktion von Windows deaktiveren: Schwachstellen gibt es immer. Im Fall der Maus nutzt auch das Abschalten von Autorun nichts, da der Mikrocontroller die Software selbst startet. In diesem Fall wäre der einzige Schutz die Nichtverwendung der Maus gewesen. Alles in allem sicherlich keine Angriffsmethode, die auf breiter Front eingesetzt wird – aber eine sehr clevere.
Jugend vor... Einen recht ausführlichen Vortrag zur Beta des System Center Virtual Machine Manager 2012 hat Microsoft Senior Student Partner Daniel Neumann Mitte Juni beim MSP TechDay online gehalten.
Was bringt der SCVMM also in der 2012er Version an Neuigkeiten? Auf YouTube findet sich hierzu Daniels Video
Ein wahres Feuerwerk nach Neuerungen erhalten Nutzer und Freunde des SQL Server in diesen Tagen. Der Einfachheit halber habe ich zu den beiden Neuankündigungen gleich die Posts meiner Kollegen des TechNet Blog Österreich übernommen und mit TechNet Deutschland-Links ergänzt.
SQL VNext – “Denali” ab sofort in der CTP3-Version verfügbar
Ab sofort können Sie die öffentliche Community Technology Preview Version 3 (CTP3) des neuen SQL Server Releases “Denali” kostenfrei bei TechNet herunterladen! Sie können mit dieser Version bereits echte Testszenarien durchführen.
In den nächsten Wochen werden wir Sie in Detail über die technischen Funktionalitäten und Änderungen zu den vorigen SQL Server Versionen informieren – bis dahin haben wir hier schon einmal eine sehr gute Zusammenfassung der Features von unserem Kollegen und SQL Server Spezialisten Steffen Krause.
SQL Server 2008 R2 SP1 und Feature Pack veröffentlicht
Gestern nacht wurden darüber hinaus Service Pack 1 (SP1) für den SQL Server 2008 R2 und auch das dazu passende Feature Pack in der finalen Version veröffentlicht. Die Neuerungen sind:
Das passende Feature Pack besteht aus einer Sammlung von einzelnen Tools, die den SQL Server 2008 R2 SP1 sinnvoll ergänzen/erweitern. Dazu zählen z.B. PowerShell Tools, Command Line Tools, der Report Builder 3.0 oder ein Reporting Services Add-in für SharePoint.
SQL Server 2008 R2 Service Pack 1 Download: http://www.microsoft.com/download/en/details.aspx?id=26727
SQL Server 2008 R2 Service Pack 1 Feature Pack Download: http://www.microsoft.com/download/en/details.aspx?id=26728
Die kostenfreie Testversion von SQL Server 2008 R2 auf TechNet: http://technet.microsoft.com/de-de/evalcenter/ee315247
Mit dem Update von Windows Intune kommen viele wichtige Funktionen hinzu. Neben brandneuen Features wie der Softwareverteilung oder den Remote Tasks sind viele bestehende Funktionen, wie das Reporting oder die Lizenzverwaltung deutlich verbessert worden.
Einen umfassenden Überblick über die neuen Funktionen gibt Tobias Trapp auf dem Windows Intune Deutschland Blog
Von Bernie Edelbacher
Für das erst im März gelaunchte Desktop Management Tool Windows Intune 1.0 in der Cloud steht seit heute als Beta in der Version 2.0 zur Verfügung. Tester können mit dieser Beta bis zu 10 Workstations verwalten und die neuen Funktionen
testen. Der Windows Intune Agent lässt sich jetzt auch in Windows Images offline (ohne Verbindung zum Windows Intune Service) vorinstallieren. Die Windows Intune 2.0 Beta steht zur Evaluierung seit heute in den USA über https://beta.manage.microsoft.com oder innerhalb einer Woche in allen Ländern, in denen heute Windows Intune verfügbar ist, auf auf TechNet Springboard bereit. Installierte Beta Agents werden bei Verfügbarkeit der fertigen Windows Intune Version 2.0 nicht automatisch aktualisiert (vergleichbar wie bei der Windows Intune 1.0 Beta und späteren Release).
Windows Intune berechtigt zum Einsatz von Windows Enterprise (Windows Client inkl. Software-Wartung) und damit auch zum Erwerb der Desktop Optimization Pack (MDOP) Subscription.
Bernie Edelbacher ist Technical Solution Professional für Client Management und Deployment bei Microsoft Österreich und schreibt für den TechNet Blog Austria. Diesen Artikel haben wir mit freundlicher Genehmigung unserer österreichischen TechNet-Kollegen übernommen.
Heute Gestern nacht wurde auf der WPC in Los Angeles u.a. auch das Desktop Optimization Pack (MDOP) 2011 R2 bereits mit einer Verfügbarkeit im August 2011 angekündigt. Gegenüber der aktuellen Version MDOP 2011 werden in der Release 2 (R2) das neue BitLocker Management and Administration (MBAM) Tool in der Version 1.0, das Diagnostics and Recovery Toolset (DaRT) 7.0 und das gehostete Asset Inventory Service (AIS) 1.0 enthalten sein.
Die Lizenzenzierung des MDOP Pakets bleibt unverändert.
Rechtzeitig zum Start von Small Business Server Essentials - Small Business Server 2011 ist die ideale Erstserverlösung für kleine Unternehmen mit bis zu 25 PCs, die eine optimale Kombination von Vor-Ort- und Online-Anwendungen ermöglicht - haben mich meine österreichischen Kollegen auf dieses tolle Simple-Show-Video aufmerksam gemacht. Office 365 und SBS auf österreichisch erklärt...
Technische Ressourcen zu beiden Produkten finden sich natürlich auf TechNet