Der Journalist und Blogger Brian Krebs hat eine interessante Entdeckung gemacht: Laut seinem Blog-Beitrag bieten Kriminelle Remote-Zugänge in die internen Netzwerke von Fortune-500-Unternehmen an. Über das Remote Desktop Protokoll, kurz RDP, können sich externe Nutzer auf die Server aufschalten und diese für eigene Zwecke nutzen. Die eigentlichen Administratoren haben keinerlei Ahnung, wer sich da mit ihren Servern verbindet. Laut Krebs bieten die Kriminellen aktuell 17 000 verschiedene Systeme an, seit dem Start des „Dienstes“ in 2010 sah er mehr als 300 000 Rechner.
Die Kriminellen benötigen dafür keine Schwachstelle in RDP, sondern sie setzen auf legitime Installationen, bei denen die Administratoren entweder Standard-Logins oder schwache Passwörter verwenden. Im Test hatte Krebs etwa Zugriff auf einen Windows-2003-Server beim Netzwerkausrüster Cisco (Nutzername und Passwort lautete in beiden Fällen „Cisco“). Dieser Zugriff wurde von einem Sicherheitsexperten von Cisco bestätigt, Krebs hatte tatsächlich Zugriff auf eine Labor-Maschine innerhalb des Cisco-Netzwerkes.
Die angebotenen, anfälligen Systeme wurden dabei in den seltensten Fällen von den Anbietern des zweifelhaften Dienstes selbst entdeckt. Vielmehr haben sie ein komplettes Partnerprogramm aufgebaut: Kriminelle Hacker können dort die von ihnen gefundenen Systeme eintragen und werden am Umsatz beteiligt.
Um die eigene RDP-Installation abzusichern sollten Administratoren also in jedem Fall auf ein starkes Kennwort setzen und selbst in Testumgebungen auf Standard-Logins verzichten. Zudem lässt sich die Kommunikation zwischen Server und Host mit zusätzlicher Authentifizierung absichern. Mehr dazu finden Sie in diesem TechNet-Eintrag. Weitere Informationen finden interessierte Leser in unserem offiziellen Blog rund um Remote Desktop Service, darunter etwa auch den Eintrag zu den größten Sicherheitsmythen zu RDP oder wie RemoteFX den Zugang in Windows 8 und Server 2012 regelt.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Ich möchte Sie sehr herzlich zu unserer Windows Server 2012 Community Roadshow einladen. Microsoft MVPs bringen Ihnen in kostenfreien Tagesveranstaltungen alles Neue und Interessante näher, was Sie zu Microsoft Windows Server 2012 wissen sollten.
Ort & Zeit:
Bitte registrieren Sie sich kostenlos hier: https://ws2012rocks.msregistration.com/EventList.aspx
Mehr Informationen finden Sie auch auf dem englisch-sprachigen Blog der MVPs: http://blogs.msdn.com/b/mvpawardprogram/archive/2012/10/17/mvps-bring-windows-server-2012-technology-to-the-community.aspx
Die Community-Experten haben für Sie eine umfassende Agenda zusammengestellt. Die Veranstaltung wird auf Deutsch gehalten.
Agenda:
1. Managing Core Infrastructure:
2. Supporting VDI and Remote Access in German:
Wir empfehlen, zur Vorbereitung folgende kostenlose Trial-Downloads herunterzuladen:
Windows Server 2012 (ISO/VHD):http://technet.microsoft.com/de-de/evalcenter/hh670538.aspx
Hyper-V 3.0 Server 2012 (ISO), zeitlich unlimitiert:http://aka.ms/HVS2012
Private Cloud mit Windows Server 2012 & System Center 2012 SP1 Beta:http://technet.microsoft.com/de-de/evalcenter/hh670538.aspxhttp://www.microsoft.com/en-us/download/details.aspx?id=34607
Unsere MVP Community freut sich auf Ihre Teilnahme!
Steam dürfte den meisten PC-Gamern ein Begriff sein. Die Online-Plattform des Spieleherstellers Valve hat nicht nur eine enorm weite Verbreitung, sondern gilt auch als erfolgreichste Plattform für den Spielevertrieb. Steam bietet aber noch mehr als nur die Möglichkeit zu spielen, etwa ist im Client ein kompletter Browser integriert.
Die Sicherheitsforscher Luigi Auriemma und Donato Ferrante haben nun eine kritische Sicherheitslücke in der Browser-Implementierung von Steam gefunden (PDF-Download). Steam installiert mit dem Client einen Protokoll-Handler auf dem System. Klickt ein Nutzer auf einen Link, der mit „steam://“ beginnt, übergibt der Browser den Link an den Steam-Client. So kann man etwa gekaufte Spiele installieren, sich mit Spieleservern verbinden oder Einkäufe aktivieren.
Laut den beiden Forschern lässt sich der Protokoll-Handler aber auch nutzen, um Dateien, die lokal vorhanden sind, zu installieren und anschließend Fehler darin auszunutzen. So zeigen sie etwa, wie sie über einen Remote-Befehl die Source-Engine von Valve auf dem System installieren, um die Installation anschließend für eine Attacke auszunutzen. Dieses Video auf Vimeo zeigt, wie der Missbrauch der Lücke in der Praxis funktioniert.
Die beiden Forscher empfehlen Nutzern, den Steam-Protokoll-Handler zu deaktivieren oder genau darauf zu achten, was die Steam-Links starten. Sie haben mehrere Browser getestet und melden, dass der Internet Explorer und Google Chrome dem Nutzer eine deutliche Warnung anzeigen. Andere Browser dagegen geben weniger oder keine Information darüber, welche Aktionen ein Klick auf den Link ausführt. Da es sich um legitime Funktionen von Steam handelt, kann Valve als Hersteller wenig tun. Die Forscher empfehlen, dass Steam künftig keine Kommandozeilenbefehle an Software von Drittherstellern übergibt. Zudem sollten Spielehersteller ihre Produkte absichern und gegen Angriffe schützen.
Valve und Steam-Nutzer sollten die Warnungen in jedem Fall ernst nehmen. Denn geht es nach den Plänen des Herstellers, soll die Plattform künftig deutlich mehr Kunden ansprechen als nur Gamer. Seit kurzem lässt sich über Steam beispielsweise auch „richtige“ Software kaufen. Dazu kommt die Big-Picture-Initiative, mit der PC-Spiele für das Wohnzimmer fit gemacht werden sollen.
Die typische Betrugssituation beginnt, wenn Nutzer im Internet nach Schnäppchen suchen: Die Anwender geben dann beispielsweise ‚Lady Gaga‘, ‚Maroon 5‘ oder aktuelle Filmtitel wie ‚The Avengers‘ oder ‚Die Tribute von Panem‘ ein und stoßen auf vermeintlich günstige Angebote, hinter denen sich aber getarnte Schadprogramme verbergen. Die Betrüger machen sich also unsere Gier zu nutze. Wie unser neuer Security Intelligence Report (SIRv13) zeigt, gibt es weltweit eine zunehmende Tendenz der Malware-Infektionen durch trügerische Downloads. Das Raffinierte bei diesen Downloads: Der Anwender lädt sich die Schadsoftware selbst herunter und installiert sie auch gleich.
Trügerische Downloads sind nicht die einzige Möglichkeit, wie Schadprogramme ihren Weg auf Computer finden. Ein anderer Weg ist die Suche nach sogenannten „Keygens“. Hinter diesen Lizenzschlüssel-Generatoren steht in den meisten Fällen die Absicht, kommerzielle Software illegal freizuschalten. Die SIR-Autoren stufen Keygens nicht per se als Schadprogramme ein, allerdings wurden auf 76 Prozent aller Systeme, auf denen Keygens installiert waren, auch Schadprogramme identifiziert. Wahrscheinlich kam die Schadsoftware huckepack oder wurde später nachinstalliert.
Laut SIR passieren knapp 20 Prozent aller Infektionen mittels eines Exploits, als dem Missbrauch einer Schwachstelle in einer Anwendung. Schutz hiervor bieten Softwareupdates. Das Windows-eigene Microsoft Update installiert sowohl alle Windows Updates, Updates anderer Microsoft-Programme, als auch Updates von anderen Herstellern automatisch. Wir empfehlen allen Anwendern daher dringend, die automatischen Updates zu aktivieren, um sich vor der sich ständig wandelnden Bedrohungslage zu schützen.
Als jüngstes Mitglied in der Windows Server Familie dürfen wir heute Windows Server 2012 Essentials begrüßen. Die speziell auf die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnittene Serverlösung erlaubt den sicheren Zugriff auf Unternehmensdaten und Applikationen von quasi jedem Ort der Welt (mit Internetanschluss ;-) und von nahezu jedem Endgerät. Auch der Schutz unternehmenskritischer Daten - egal ob als Online-Backup oder als traditionelle Sicherung - steht im Fokus.
Jetzt entscheiden zudem die User, welche Applikationen oder Services sie on-premise (also in ihrer eigenen Infrastruktur) oder in der Cloud laufen. Auch kann Windows Server Essentials jetzt als gehosteter Service angeboten werden. Die Nachfrage ist immens. In den 8 Wochen öffentlicher Preview hat es mehr als 23,000 Trial-Downloads gegeben. Wesentlich mehr als bei früheren Server-Lösungen für kleine und mittlere Unternehmen.
Windows Server 2012 Essentials (der offizielle Nachfolger des Small Business Server Essentials) gilt unter Experten als die flexible und kostengünstiger, über entsprechende Assistenten auch leicht administrierbare Server-Lösung für kleine Unternehmen von bis zu 25 Usern und 50 Endgeräten (pro Lizenz). Eigentlich also der ideale Einstiegsserver. Wie Sie die Funktionalitäten und Assistenten für bis zu 75 User oder Endgeräte aufstocken können, verrate ich Ihnen in Kürze in einer der nächsten Blogbeiträge an dieser Stelle...
Hier der offizielle Link zum Testdownload http://technet.microsoft.com/de-DE/evalcenter/jj659306.aspx
Den offizellen Blogeintrag des Microsoft-Server-Teams finden Sie hier http://blogs.technet.com/b/sbs/archive/2012/10/09/windows-server-2012-essentials-released-to-manufacturing-available-for-evaluation-today.aspx
Eine der Kernfunktionen von Googles Browser Chrome ist dessen Erweiterbarkeit Apps. Ein prominentes Beispiel für eine solche App ist das von iPhone und iPad bekannte Spiel Angry Birds. Nun meldet der Sicherheitshersteller Barracuda Networks in einem Blogbeitrag, dass sich Kriminelle diese App-Funktionen für Angriffe zu Nutze machen. Als Köder dienen verschiedene Ableger der Angry-Birds-Reihe. Ein Anbieter unter dem Namen Playook.info hat laut Barracuda Networks manipulierte Kopien von Spielen wie Angry Birds Space, Angry Birds Forest oder der neuesten Variante Angry Birds Bad Piggies (siehe Screenshot), in den Chrome-Store eingestellt.
Installiert ein User eine entsprechend manipulierte App, ist nicht nur die Enttäuschung über ein schlecht umgesetztes Spiel groß: Die Apps räumen sich weitreichende Rechte im Browser ein, darunter etwa den Zugriff auf alle Daten des Nutzers. Dadurch kann dieser Angriff nicht nur Daten direkt abfangen, sondern laut Forschern von Barracuda Networks beispielsweise auch die Werbeeinblendungen auf Webseiten durch die Einspeisung von JavaScript manipulieren. Betroffen sind laut Barracuda Networks mehr als 82. 000 Installationen von Chrome.
Interessant ist, dass diese Attacke unabhängig vom Betriebssystem funktioniert - solange der Nutzer die App in Chrome installiert, können die Angreifer damit unter Windows, Linux oder Mac OS X arbeiten. Barracuda Networks empfiehlt allen Nutzern, ihre installierten Apps zu überprüfen und sie im Zweifel zu löschen. Aktuell sind die Angry-Birds-Einträge von Playook.info zwar aus dem Chrome Web Store entfernt worden, der Anbieter hat allerdings noch weitere Apps im virtuellen Marktplatz. Zudem tummeln sich zahlreiche weitere Klone von Angry-Birds-Spielen im Web-Store von Chrome - auch hier sollten Nutzer vorsichtig sein.