Der Sicherheitsanbieter eleven warnt vor einer aktuellen Spam-Kampagne, die der schwerwiegendste Fall von Malware-Versand der letzten beiden Jahre sein soll: Die E-Mails kommen angeblich von Facebook und tragen Betreffzeilen wie „Your friend wants to share photos and updates with you“ oder “Re-Verification of Email Account, Please Download Attatched Form, Email Update”. Die Nachrichten spielen dem Nutzer vor, dass er entweder auf Fotos von Freunden markiert wurde oder dass er seine Angaben bestätigen muss, damit sein Konto beim Sozialen Netzwerk erhalten bleibt.
Unabhängig vom Text der Nachricht enthält sie immer einen Anhang, den der Nutzer herunterladen und ausführen soll. Dieser Anhang enthält die eigentliche Malware, die je nach Antivirensoftware-Anbieter verschiedene Namen trägt. Laut eleven wird der Schädling aktuell nur von einem Bruchteil der Anti-Viren-Programme erkannt. Eine vor wenigen Tagen erstmals auf gleichem Weg per Facebook-Spam versandte Variante wurde direkt nach dem Auftauchen nur von vier Scannern gefunden, inzwischen zeigt das Portal Virus Total eine Quote von 28/42 an. Es bleibt zu hoffen, dass auch die neue Malware-Abart schnell von den Herstellern erkannt und entfernt wird.
Die Betrüger machen sich laut eleven den Umstand zu Nutze, dass die E-Mail-Empfänger bei vermeintlich legitimen Diensten wie Facebook nicht so rasch hellhörig werden, als dies beispielsweise bei Viagra- oder Porno-Spam der Fall ist.
Unabhängig von der Erkennungsrate Ihres Anti-Viren-Programme gibt es einfache Regeln, mit denen Sie sich schützen können; etwa indem Sie die Sicherheits-Tipps aus dem Online-Banking übertragen: Es ist unwahrscheinlich, dass Twitter oder Facebook eine Massen-E-Mail mit Anhang aussenden. Diese Nachrichten sollten Sie daher ignorieren und im Zweifel die Webseite des jeweiligen Netzwerkes direkt über Ihren Browser aurufen. Sollten wirklich Änderung notwendig sein, wird Sie der Dienst informieren, sobald Sie sich anmelden. Öffnen Sie zudem keine Anhänge oder Dateien aus unbekannten Quellen. Und halten Sie Anti-Viren-Software sowie Ihre Betriebssystem auf dem jeweils aktuellen Stand.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Die Crisis-Malware ist ein interessanter Vertreter für bösartige Programme: Symantec beschreibt in einem Blogeintrag, dass Crisis nicht nur Windows-Maschinen infiziert, sondern auch auf Systeme mit Mac OS zielt. Beide Angriffsmethoden liegen in einer JAR-Datei, die vom Nutzer ausgeführt werden muss. Um den Anwender hierzu zu motivieren, setzen die Kriminellen auf bekannte Social-Engineering-Taktiken.
Neben dem für sich genommen interessanten Angriff auf zwei verschiedene Betriebssysteme hat Crisis noch weitere Funktionen an Board: Die Malware infiziert nicht nur angesteckte Laufwerke oder Windows Mobile-Geräte, sondern versucht sich gezielt auf virtuelle Windows-Installationen zu schleichen. Die letzte Attacke ist dabei neu: Crisis durchsucht den kompromittierten Rechner nach virtuellen Maschinen von VMware. Findet die Malware entsprechende Daten, bindet es diese in das Betriebssystem ein und kopiert sich mit Hilfe eines Hilfsprogramms des VMware Players in die virtuelle Maschine.
Einige bösartige Programme enthalten eine Komponente, die erkennt, ob sie in einer virtuellen ausgeführt werden. Normalerweise gehen diese Programme dann davon aus, dass sie von einem Anti-Viren-Analysten ausgeführt und analysiert werden und deaktivieren sich. Crisis ist dagegen laut Symantec die erste Malware, die gezielt auf virtuelle Systeme losgeht.
Aufgrund des Trends hin zur Virtualisierung ist die VM-Infektion aus Sicht der Angreifer natürlich vielversprechend. So kann sich die Malware beispielsweise in Produktionsumgebungen weiterverbreiten, die verschiedene virtuelle Systeme zur Entwicklung nutzen. Oder sie infiziert Systeme, die für virtuelle Desktops genutzt werden. So könnte die Malware mit einem Schlag zahlreiche Nutzersysteme verseuchen. Für Admins bedeutet dass, das sie nicht nur die Server und Produktionssysteme absichern müssen, sondern diesen Schutz idealerweise auch auf alle virtuell genutzten Systeme ausdehnen.
Nicht nur der Internet Explorer, auch andere Browser warnen die Nutzer immer häufiger vor „unsicheren Inhalten“ einer Webseite. Als Nutzer merkt man dies sofort, denn zahlreiche Komponenten und Module der Seite werden blockiert und erscheinen gar nicht.
Der Grund für die Fehlermeldung liegt in einer Sicherheitsfunktion, die inzwischen Standard in den Browsern ist: Wenn der Nutzer über eine SSL-verschlüsselte Verbindung (https), auf die Seite zugreift, und diese Webseite dann unverschlüsselte Elemente nachlädt, blocken die Browser den Zugriff auf diese Ressourcen. Hintergrund hierfür ist, dass diese Methode nicht nur von legitimen Seitenbetreibern, sondern auch von Kriminellen genutzt wird, um bösartige Inhalte in Seiten zu injizieren oder eine Man-in-the-Middle-Attacke zu reiten. Wie das in der Praxis aussieht, zeigt unser Testdrive zum MixedContent.
Die Warnmeldung erscheint in den meisten Fällen, da die Webseiten zwar eine verschlüsselte Ansicht anbieten, einzelne Elemente, etwa CSS-Anweisungen oder JavaScript-Inhalte, von einer unverschlüsselten Domäne nachladen. Beim Internet Explorer beschrieb diese Warnung deswegen auch lange „Mixed Content“, also gemischte Inhalte aus verschlüsselten und unverschlüsselten Quellen.
Den Grund der Fehlermeldung können IE-Nutzer herausfinden, indem sie die Entwicklertools aufrufen (am schnellsten geht das mit einem Druck auf F12) und in die Konsole wechseln. Anschließend muss die Seite aber nochmal aktualisiert werden, damit die Daten angezeigt werden - die Entwicklertools zeigen dann an, welche Links und Inhalte von einer unverschlüsselten Quelle kommen (siehe Bild). Sind diese Links nicht bösartig, kann man den kompletten Inhalt normalerweise anzeigen lassen. Der Internet Explorer zeigt dazu eine separate Schaltfläche an, ein Klick auf „gesamten Inhalt anzeigen“ blendet die unverschlüsselten Elemente ein.
Die Beta-Version des Attack Surface Analyzer wurde hier im Blog ja bereits vorgestellt. Nun ist das Tool fertig und steht in der Version 1.0 gratis zum Download bereit. Die Software richtet sich an IT-Profis und Entwickler, die mehr über die Änderungen in den Systemen verstehen wollen. Der Attack Surface Analyzer unterscheidet sich von anderen Sicherheitslösungen, da er keine Signaturen benötigt. Stattdessen etabliert die Software zunächst eine Ausgangssituation, die Baseline. Wird anschließend ein Programm installiert oder ausgeführt, zeigt ein zweiter Scan, welche Änderungen während der Einrichtung der Software vorgenommen wurden.
Der Attack Surface Analyzer überprüft diese Änderungen auf Vorgänge, die Microsoft als Sicherheitslücken klassifiziert. Außerdem gibt das Tool eine Reihe von Informationen darüber, welche Änderungen am Betriebssystem allgemein als problematisch gesehen werden. Einige der Überprüfungen checken etwa neu hinzugefügte Dateien oder Registry-Schlüssel, ActiveX-Kontrollen oder neu geöffnete Ports.
Zusammengefasst bietet der Attack Surface Analyzer etwas für jeden:
…und das ohne einen Euro auszugeben. Auf dem Weg zur erfolgreichen Zertifizierung kann das sicherlich ein Grundstein sein. Oder wollen Sie als IT-Fachmann einfach nur auf der Höhe der Zeit bleiben. In der kostenfreien IT Pro Academy bringen sich vor allem IT Infrastruktur-Experten weiter.
Laden Sie sich neue Produkte – wie Windows Server 2012 oder System Center 2012 – als Testversionen herunter, lernen Sie in der Microsoft Virtual Academy neue Features und Möglichkeiten kennen und melden Sie sich am besten noch heute zu einem unserer IT Camps an, in denen Ihnen Microsoft Experten Schritt-für-Schritt Anwendungsbeispiele geben.
Probieren Sie es aus.
Am 14. August veröffentlicht Microsoft ein kritisches Update für Windows XP, Server 2003, Server 2003 R2, Vista, Server 2008, Windows 7 und Server 2008 R2. Dieses behebt zwar keine direkte Schwachstelle, erhöht aber die allgemeine Sicherheit für Windows - denn ab diesem Zeitpunkt werden kryptografische Schlüssel mit weniger als 1024 Bit blockiert.
Uns ist allerdings klar, dass nicht alle Kunden diese Maßnahme sofort umsetzen können (oder wollen). Daher gibt es mehrere Möglichkeiten, das Update zu umgehen oder dessen Funktion zu blocken. Das funktioniert über die Registry oder das Certutil-Tool. Die Eingabe von „Certutil -setreg chain\minRSAPubKeyBitLength 512“ etwa blockt nur Schlüssel, die weniger als 512 Bit besitzen. Außerdem lässt sich für das Root-Zertifikat eine Ausnahme definieren. Über den Befehl „Certutil -setreg chain\EnableWeakSignatureFlags 2“ wird ein Root-Zertifikat erlaubt, das 512 Bit besitzen darf, alle nachfolgenden Keys müssen aber mindestens 1024 Bit besitzen.
Zudem werden nicht alle Keys automatisch ungültig. Wer Authenticode-Signaturen im Einsatz hat, die vor dem 01. Januar 2010, 12 Uhr (MEZ) mit einem Key, der weniger als 1024 Bits nutzt, gezeichnet wurden, dessen Einträge werden nicht geblockt. Dieser Zeitraum lässt sich anpassen, der entsprechende Schalter in Certutil lautet WeakRsaPubKeyTime. Wer beispielsweise das Datum auf den 29. August 2010 ändern will, erreicht das mit dem Befehl: certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010.
Weitere Befehle und die entsprechenden Einstellung in der Registry erläutert dieser Blogeintrag der US-Kollegen. Die Änderungen in der Verwaltung der Schlüssel sind aus einem einfachen Grund notwendig: Die Schlüssel müssen stark genug sein, dass Angreifer sie nicht innerhalb einer vernünftigen Zeitspanne knacken können. Die Kriterien für RSA-Schlüssel liegen hier, zumindest unserer Meinung nach, bei einer Mindestschlüssellänge von 1024 Bit.
Das Update wird aber wahrscheinlich nicht ohne Ruckeln ablaufen. Der erwähnte Blogeintrag führt einige der Fehler auf, die durch das Update auftreten können. Grundsätzlich können alle Komponenten Fehler auswerfen, die mit Verschlüsselungen arbeiten. Das betrifft etwa SSL-basierte Webdienste, Zertifikate, verschlüsselte E-Mail oder Active-X-Komponenten. Um die Probleme zu minimieren, wird Microsoft kurz vor dem Update am 14. August einen weiteren Blog-Eintrag mit weiteren Informationen, möglichen Fehlern und entsprechenden Lösungen oder Workarounds veröffentlichen.