Um Anwender vor der seit einigen Tagen bekannten Schwachstelle in Microsoft Word zu schützen, hat Microsoft ein Fix it veröffentlicht. Dieser Fix verhindert, dass sich RTF-Dateien in Word überhaupt öffnen lassen und bietet somit einen vollständigen Schutz gegen die bereits vereinzelt beobachteten Attacken.
Manche Anwender können aber nicht vollständig auf das Öffnen von RTF-Dateien verzichten, bis ein Sicherheitsbulletin die Lücke schließt, ohne Word in seiner Funktionalität einzuschränken. Im Rahmen der Zusammenarbeit von Microsoft mit der Teletrust-Gruppe IT Security Made in Germany konnte die von itWatch – einem ebenfalls bei IT Security Made in Germany organisierten Münchner Unternehmen –erarbeitete, alternative Schutzmaßnahme besprochen werden. Gemeinsam mit itWatch hat Microsoft das vom Hersteller angebotene Produkt XRayWatch gezielt weiter entwickelt.
Die aktuell für Kunden von itWatch angebotene Version sucht in RTF-Dateien gezielt nach aktiven, schädlichen Inhalten. Werden solche gefunden, filtert die Lösung den möglicherweise schädlichen Teil heraus, lässt Word die eigentlichen Textinhalte aber dennoch darstellen. Außerdem verhindert XRayWatch, dass Word beim Öffnen der Datei ausführbaren Code in den Ordner mit den temporären Dateien des Anwenders schreibt.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Am 8. April endet bekanntlich unser Support für Windows XP – gut 13 Jahre nach dessen Marktstart. Ich habe die Hintergründe hier bereits ausführlich hier im Blog dargestellt. Das Ende des Supports für XP bedeute auch, dass nach dem 8. April das Risiko steigt, dass das Betriebssystem von Hackern oder Online-Kriminellen angegriffen wird. Meine US-Kollegen liefern in einem Blog-Beitrag Ratschläge für Endanwender und kleine Unternehmen, was jetzt zu tun ist. Der wohl wichtigste Tipp: Vor dem 8. April auf ein aktuelles Betriebssystem wie Windows 7 oder 8.1 zu wechseln.
Schon heute gehört Windows XP laut unserem Microsoft Security Intelligence Report zu den am häufigsten angegriffenen Systemen. Bislang haben wir auftauchende Lücken durch Updates geschlossen. Aber an einem bestimmten Punkt verliert jedes ältere Modell die Fähigkeit, “up to date” zu bleiben und veraltet. Und dieser Punkt ist jetzt erreicht.
Angreifer stehlen heute oft persönliche Daten und Geschäftsinfos, sie handeln professioneller, handeln mit gestohlenen Informationen und anderen Kriminellen, die dieses für Identitäts-Diebstahl oder Bankbetrug nutzen. Auch der Zugang zu einem kompromittierten Rechner wird oft verkauft oder vermietet, damit Täter, die im Hintergrund bleiben, weitere Taten damit begehen können.
Microsoft hat stark in die Verbesserung der Sicherheit von Windows XP investiert, um Kunden besser zu schützen. Das Windows XP Service Pack 2 enthielt 2004 auch die Windows Firewall. Diese machte es viel schwerer, das System anzugreifen. Damit bot es wesentlich mehr Schutz, als die vorherige Version von Windows XP. Aber Firewalls sind heute längst nicht mehr genug, um Attacken abzuwehren.
Nach dem Ende des Supports muss nun mit verstärkten Angriffen auf Windows XP gerechnet werden. Hacker werden die auftretenden Sicherheitslücken, die dann nicht mehr geschlossen werden, gezielt angreifen und für ihre Zwecke ausnutzen.
Der Blog-Beitrag meiner Kollegen Rains listet diverse Alltagsszenarien auf, die für Windows XP-Nutzer nach dem 8. April verstärkt ausgesetzt sehen – vom Surfen im Internet über Kommunikation per E-Mail und Instant Messaging, Einsatz von USB-Sticks bis hin zu Würmern und Ransomware. Natürlich liefert der Beitrag auch Tipps zur Abhilfe.
Weitere Tipps zum Wechsel von Windows XP auf eine moderne Windows-Variante gibt es hier.
Microsoft hat in den Monaten seit den Enthüllungen, die auf den von Edward Snowden veröffentlichten Dokumenten basieren, einige Erklärungen gemacht. Mit diesem Beitrag wollen wir ein Update bereitstellen zu unseren Aussagen rund um Themen wie Überwachung durch Regierungen, Anordnungen auf Basis von FISA (Foreign Intelligence Surveillance Act, Gesetz zum Abhören in der Auslandsaufklärung), Sicherheit und Datenschutz von Kundendaten in der Microsoft-Cloud.
Im Verlauf der letzten Monate haben die Medienberichte über die von Edward Snowden veröffentlichten Dokumente berechtigte Fragen aufgeworfen hinsichtlich der Gesetze, auf deren Basis Regierungen die Herausgabe von Kundendaten verlangen oder Daten außerhalb des rechtlichen Rahmens mitschneiden. Diskutiert wurde auch über das Wissen beziehungsweise die Zusammenarbeit mit Unternehmen wie Microsoft, wenn es um den Zugriff von Regierungen auf Kundendaten ging.
In dieser Zeit verstanden die Medien, Kunden und auch Internet-Unternehmen mehr und mehr, was die Snowden-Dokumente eigentlich beschreiben. Darüber hinaus versteht die Öffentlichkeit inzwischen auch, dass nur ein kleiner Teil der Bevölkerung von der rechtmäßigen Herausgabe von Kundendaten betroffen ist. Die jüngsten Verbesserungen hinsichtlich der Transparenz von FISA-Anordnungen lässt Microsoft und andere Internet-Unternehmen zumindest die Anzahl der Anordnungen sowie der National Security Letter (Nationaler Sicherheitsbrief) veröffentlichen. Wenngleich wir hierbei gerne weiter ins Detail gehen würden.
Die Öffentlichkeit hat zudem die reale Bedrohung erfasst, die von Regierungen ausgeht, die außerhalb des rechtlichen Rahmens mit technischem Aufwand auf Kundendaten zugreift. Microsoft geht gegen diese Art des Zugriffs durch Regierungen auf rechtlichem und technischem Weg vor.
Microsoft hat in der öffentlichen Debatte eine Führungsrolle inne und fordert gemeinsam mit anderen Unternehmen fünf einzelne Reformen. Diese sollen die Balance wahren zwischen dem Schutz persönlicher Daten und der persönlichen Sicherheit. Als Reaktion hierauf hat die US-Regierung Änderungen angekündigt und der Kongress wurde damit beauftragt, weitere Reformen zu entwerfen und umzusetzen.
Microsoft hat seine Standpunkte zu Compliance sowie technischen und rechtlichen Schutzmaßnahmen für Kundendaten und die Notwendigkeit von Reformen durch verschiedene Blog-Postings untermauert:
Einige allgemeine Aussagen von Microsoft über die NSA und die Snowden-Enthüllungen:
Die häufigsten Fragen an Microsoft und unsere Antworten:
Frage: Gewährt Microsoft der Regierung Zugriff auf Kundendaten?
Antwort: Wir übergeben Kundendaten, wenn wir eine rechtlich bindende Anordnung oder eine Vorladung erhalten – aber niemals auf freiwilliger Basis. Darüber hinaus befolgen wir nur Anordnungen spezifische Konten betreffend. Wir erlauben keiner Regierung direkten und ungefilterten Zugriff auf die Daten unserer Kunden.
Frage: Einige Menschen haben aus den Snowden-Dokumenten herausgelesen, dass Microsoft der Regierung geholfen habe, Verschlüsselungsmechanismen in einzelnen Produkten auszuhebeln. Was sagt Microsoft hierzu?
Antwort: Um es deutlich zu machen: Microsoft versetzt keine Regierung in die Lage, Verschlüsselungen zu brechen und liefert auch keine Schlüssel zum Entschlüsseln an Regierungen. Informationen darüber, welchen Zugriff wir der Regierung auf Dienste wie Outlook.com, SkyDrive (jetzt OneDrive), Skype-Telefonate oder E-Mail- und Dokumentenspeicher von Unternehnen gewährten, liefert ein Blogbeitrag.
Frage: Im Oktober 2013 legten Enthüllungen über ein NSA-Programm (MUSCULAR) nahe, dass die Regierung die Zugriff hatte auf die ausländischen Kommunikationsverbindungen von Google und Yahoo. Wurde auch auf die Verbindungen von Microsoft zugegriffen und wie schützt Microsoft seine Kunden vor solchen Aktionen?
Antwort: Microsoft-Vertretern liegen keine unabhängigen Belege vor, dass die NSA auf unsere weltweiten Kommunikationsverbindungen zugegriffen hat. Die Washington Post berichtete zudem, dass es keinen Beweis dafür gebe, dass die NSA in gleicher Art und Weise auf Microsoft-Kommunikationsverbindungen zugegriffen hat, wie es bei Google und Yahoo der Fall war.
Als Reaktion auf diese sehr beunruhigenden Nachrichten hat Microsoft sofortige und koordinierte Aktionen angekündigt, um die Verschlüsselung auf den gesamten Lebenszyklus der von Kunden erzeugten Inhalte auszuweiten, Kundendaten rechtlich noch besser abzusichern und die Transparenz unseres Programmcodes zu erhöhen, so dass Kunden versichert sein können, dass unsere Produkte keine Hintertüren enthalten. Weitere Details im entsprechenden Blogbeitrag.
Frage: Was unternimmt Microsoft, um das Vertrauen in die Cloud wieder herzustellen? Welche Vorschläge macht Microsoft zur Reform der Überwachung?
Antwort: „Menschen nutzen keine Technik, der sie nicht vertrauen. Regierungen gefährden dieses Vertrauen und sie müssen daher mithelfen, es wieder her zu stellen.“ – Brad Smith, Executive Vice President & General Counsel, Legal and Corporate Affairs, Microsoft. Daher hat Microsoft sich mit AOL, Apple, Facebook, Google, LinkedIn, Twitter und Yahoo zusammen geschlossen, um Reformen zu unterstützen. Zu den einzelen Punkte gehören:
Frage: Hat Microsoft nicht kürzlich Daten veröffentlicht, aus denen hervorgeht, dass die US-Regierung auf Basis nationaler Sicherheitsgesetze Kundendaten verlangte?
Antwort: Es stimmt, Microsoft hat vor Kurzem neue Informationen veröffentlicht, um für mehr Transparenz im Zusammenhang mit den Anfragen der US-Regierung zu sorgen. Die Informationen belegten Art und Umfang der Anfragen, die auf nationale US-Sicherheitsgesetze und Foreign Intelligence Surveillance Act (FISA) basieren. Wir gaben die Zahl der Kundenkonten bekannt, die von diesen Anordnungen betroffen waren und ob die Anfrage sich auf von Kunden erzeugte Inhalte oder andere Daten bezog. Wir verklagten die US-Regierung, um diese Informationen veröffentlichen zu dürfen.
Obwohl diese Angaben ein Schritt zu mehr Transparenz sind, dürfen zwei Punkte nicht außer acht gelassen werden: Zum einen bedeutet der Empfang einer Anordnung nicht, dass die verlangten Daten auch herausgegeben wurden. Zum anderen steht die Zahl der betroffenen Konten nicht unbedingt in Zusammenhang mit der Zahl der betroffenen Einzelpersonen, da einzelne Anwender mehrere Konten haben können. Weitere Details hierzu im entsprechenden Blogbeitrag.
Liebe Freunde unseres Podcasts,
der Podcast der letzten TechNet Newsflash Ausgabe (5/2014) ist fertig eingesprochen..
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_05-2014.mp3
Link zum TechNet Newsflash in Schriftform:
http://www.microsoft.com/germany/technet/newsflash/aktuell.htm
Link zum RSS Feed:
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml
Wie immer wünschen wir viel Freude beim Zuhören und späteren Durchstöbern der angekündigten Ressourcen!
Euer TechNet-Team
Spezialisten des Security-Anbieters Eset haben zusammen mit CERT-Bund, der Europäischen Organisation für Nukleare Forschung (CERN) und anderen nationalen Organisationen eine groß angelegte Aktion von Cyberkriminellen aufgedeckt. Danach haben diese offenbar heimlich die Kontrolle von zehntausenden Web-Server übernommen, die auf Linux und Unix betrieben werden.
Von dem Hackerangriff, der von Eset mit dem Namen “Windigo” getauft wurde, können bis zu 25 000 Linux/Unix-Systeme betroffen sein, die bis zu 35 Millionen Spam-Mails pro Tag verschicken können. Die infizierten Systeme müssen mit einer Neuinstallation des Betriebssystems neu aufgesetzt werden, alle Passwörter und private OpenSSH-Schlüssel sollten ausgetauscht werden.
Die Hacker haben die gekaperten Web-Server offenbar auch dazu genutzt, um Windows-Computer mit Malware zu infizieren und Werbung für Dating-Webseiten auf Apple-Computern anzuzeigen. Auch Apple iPhones wurden offenbar auf Sex-Seiten geleitet, damit die Hacker damit Geld verdienen konnten.
Eset hat eine ausführliche technische Analyse der “Operation Windigo” als PDF-Dokument veröffentlicht. Die Experten glauben, dass die kriminelle Kampagne bereits seit über zweieinhalb Jahren läuft und bisher unerkannt blieb. Die Antiviren-Fachleute gehen davon aus, dass täglich mehr als eine halbe Million Rechner in Gefahr sind, nach Besuch eines kompromittierten Servers mit Malware infiziert zu werden.
Widigo nutzt dafür offenbar ein ganzes Bündel von leistungsstarken Malware-Komponenten, wie Linux/Ebury, Linux/Cdorked, Perl/Calfbot, Linux/Onimiki, Win32/Glubteba.M und Win32/Boaxxe.G.
An nur einem Wochenende fand Eset nach eigener Auskunft mehr als 1,1, Millionen verschiedene IP-Adressen, die durch Windigos Infrastruktur liefen, bevor sie auf Server umgeleitet wurden, auf denen Exploit-Kits gehostet werden. Die Betriebssysteme der Rechner reichten dabei zurück bis Windows 95 und 98, erklärte ein Experte.
Webmaster können ihre Maschinen laut Eset auf eine Infektion durch Windigo prüfen, indem sie folgende Befehlszeile eingeben:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Der dänische IT-Sicherheitsanbieter Secunia, bekannt durch die wirklich nützliche Anwendung Secunia PSI, hat die 50 beliebtesten Anwendungen auf ihre Angreifbarkeit untersucht. Dabei wurden die Programme in drei Kategorien unterteilt:
Über den Untersuchungszeitraum von fünf Jahren betrug der Anteil der Schwachstellen in Drittanbieter-Software rund 75 Prozent.
Microsoft-Software, inklusive Windows 7, machen zwar zwei Drittel der Top-50-Programme aus (66 Prozent), sind aber nur für 24 Prozent der Angriffsmöglichkeiten verantwortlich. Nur acht Prozent der Angriffsmöglichkeiten entfallen dabei auf Windows 7, 16 Prozent auf andere Microsoft-Programme.
Im Jahr 2012 fanden sich 86 Prozent der Schwachstellen in Programmen von Drittanbietern, 5,5 Prozent in den Betriebssystemen und 8,5 Prozent in Microsoft-Programmen.
Den ausführlichen Sicherheits-Report für 2014 hat Secunia hier veröffentlicht.
PS: Aktuelle Sicherheitsmeldungen über Angriffe aus dem Netz und Sicherheitslücken in Software erhalten Nutzer jetzt auch per Web- und Mobile-App: Die SecurityNewsApp ist kostenlos für Windows 8, im Apple App Store und bei Google Play erhältlich. Durch die Auswahl von Kategorien (Windows, Linux, Mac und Mobile) bekommt der Nutzer nur die Meldungen, die für ihn relevant sind.
Liebe Podcast-Freunde,
die heitere (Faschings-)Ausgabe 4 des TechNet Flash liegt jetzt zum Anhören bereit.
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_04-2014.mp3
Einmal mehr will sich Schadsoftware für den Mac als unliebsame Dreingabe geknackter Software verbreiten, die unter anderem per Peer-to-Peer-Netzwerk verbreitet wird. Der Security-Hersteller Eset warnt vor der Malware CoinThief für OS X, die Logindaten für Bitcoin-Wallets klaut – und so den Diebstahl der digitalen Währungseinheiten einleitet.
Der Schädling schleust sich einerseits als vermeintlich nützliche Bitcoin-Software ein, die beispielsweise den aktuellen Kurs der Krypto-Währung anzeigt. Die bösartig manipulierte Freeware wurde auf bekannte und an sich vertrauenswürdige Downloadseiten wie download.com hochgeladen. Währen der Installation infiziert die Malware den Rechner und installiert ein – wahrscheinlich bösartiges – Firefox-Plugin, um dann die eigentliche, voll funktionstüchtige Anwendung zu starten. Die Versionen der Software im Apple App-Store sind nicht mit dem Schädling infiziert.
Andererseits wurde CoinThief auch als unliebsamer Zusatz zu geknackten Versionen von beliebten Apps wie Angry Birds, Pixelmator, BBEdit und Delicious Libary verbreitet. Die Raubkopien kursieren als Bit-Torrent-Download.
Sicher vor solchen Infektionen ist, wer Software ausschließlich aus dem offiziellen App-Store installiert. Sollte der eigene Rechner mit dem Schädling befallen und keine Antivirensoftware zur Hand sein, dann bietet SecureMac eine gute Anleitung zur Entfernung des Schädlings.