Sie haben Fragen zu den Inhalten auf diesem Blog? Sie möchten Kontakt zu unseren Autoren aufnehmen? Dann schreiben Sie mir eine E-Mail
Abonnieren Sie hier den RSS Feed zum TechNet Newsflash Podcast
Roter Oktober ist nicht mehr nur ein U-Boot im gleichnamigen Film und Buch von Tom Clancy. Die Experten von Kaspersky haben den Namen auch einem kürzlich gefundenen Botnet gegeben. Dieses war vor allem in Osteuropa, früheren Staaten der Sowjetunion sowie Zentralasien aktiv. Ich will mich hier im Blog aber nicht mit dem Botnet an sich beschäftigen (das haben, mehr oder weniger reißerisch, beispielsweise Heise, die Süddeutsche Zeitung oder Spiegel Online getan), sondern Gegenmaßnahmen und einen allgemeinen Schutz vor solchen Attacken aufzeigen.
Laut der Analyse von Kaspersky nutzt das Botnet für die Infektion manipulierte Word- und Excel-Dateien. Diese attackieren das System über drei bekannte Schwachstellen: CVE-2009-3129, CVE-2010-3333 und CVE-2012-0158. Die Bezeichnungen zeigen auf den ersten Blick, dass es sich inzwischen nicht mehr um Zero-Day-Schwachstellen handelt, sondern dass sie in den Jahren 2009, 2010 und 2012 dokumentiert wurden. Die Lücken sind auch keine ungepatchten Altlasten, im Gegenteil. Microsoft hat bereits vor Jahren die entsprechenden Updates veröffentlicht:
Hätten die Attacken also verhindert werden können? Dem aktuellen Stand der Kaspersky-Ermittlungen zufolge mit hoher Wahrscheinlichkeit.
Laut dem Blogeintrag passierten die ersten Attacken durch Missbrauch des Excel-Bugs am 19.05.2010 – also fast ein halbes Jahr nachdem Microsoft einen passenden Patch bereit stellte. Die Attacken über Word begannen im Sommer 2012. Auch hier gab es seit mehreren Monaten Updates für beide Sicherheitslücken.
Wir können natürlich nur darüber spekulieren, warum die Updates auf den vom Roten Oktober infizierten Rechnern unterblieben sind beziehungsweise zu spät installiert wurden. Fest steht jedoch, dass beispielsweise durch das Aktivieren der automatischen Update-Funktion von Windows Update (das auf allen Versionen von Windows aktiv ist) oder den Einsatz diverser anderer Software-Updatetools, ein erheblich besserer Schutz gewährleistet gewesen wäre.
„Roter Oktober“ zeigt, wie wichtig eine solide Update-Strategie für Unternehmen und Einzelnutzer ist. Sie ist die Basis für den Schutz gegen (unbekannte) Schwachstellen. Gleichzeitig ist mir natürlich bewusst, dass der Umgang mit den zahlreichen Updates - nicht nur Microsoft liefert ja Bulletins aus, sondern auch alle anderen Softwarehersteller - mitunter sehr zeit- und ressourcenfressend ist. Dennoch sollten insbesondere die von uns als "kritisch" gekennzeichneten Updates umgehend getestet und wennmöglich auch installiert werden.
Unternehmen finden übrigens relevante Informationen rund um das Verteilen von Updates in unserer Technet-Sektion zum Windows Server Update Service. Allen Endnutzern raten wir dringend, die automatisierte Update-Prozedur zu aktivieren und nach der Installation den Rechner – falls notwendig – schnellstmöglich neu zu starten.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Zu Beginn des Jahres blickt man ja gerne mal nach vorne, in die Zukunft. Schon allein deswegen versuchen wir uns am Ausblick auf die Top-5-Sicherheitsbedrohungen für 2013. Ideengeber hierfür ist Tim Rains, der Director unseres Trustworthy-Computing-Bereichs. Wobei wir seinen englischsprachigen Blogeintrag natürlich mit lokalen Thesen unterstützen.
Glaskugel-Einsatz Nummer 1: Kriminelle profitieren von ungewollten Konsequenzen staatlicher Spionage
Das Malware-Autoren gerne Trittbrett fahren, kann man ihnen wohl kaum verdenken. Erst recht nicht, wenn die ursprüngliche Malware und die dazugehörigen Zero-Day-Exploits (angeblich) von Staaten und deren (wahrscheinlich vorhandenen) innoffiziellen Malware-Autoren-Teams verfasst werden. Ein Beispiel dafür ist die Malware Stuxnet: Diese hat eine Reihe von Zero-Day-Attacken in Windows-Systemen genutzt, das Ziel der Malware war allerdings recht beschränkt. Sobald die Lücken allerdings bekannt wurden, haben zahlreiche Kriminelle eine Chance gewittert und ihre Malware entsprechend angepasst. Mit dem Ergebnis, dass im ersten Halbjahr 2012 rund 85 Prozent der weltweit genutzten Exploits auf Stuxnet und die Schwachstelle CVE-2010-2568 zurückzuführen waren - wir haben diese im Patch MS10-046 bereits 2010 geschlossen.
Tim Rains sieht voraus, dass dieses Verhalten in den nächsten Jahren weiter zunehmen wird. Staaten oder staatliche Organisationen werden sich gegenseitig weiter beharken und dabei wird es immer wieder Gelegenheiten für Malware-Autoren geben. Das gilt nicht nur für Krisengebiete, sondern lässt sich im Zweifel auch lokal in Deutschland beobachten: Als der CCC den deutschen „Staatstrojaner“ untersuchte, entdeckten sie einige schlampig programmierte Stellen. Mit deren Hilfe könnte sich andere Malware im System des überwachten Nutzers einnisten und unentdeckt im Hintergrund arbeiten.
Glaskugel-Einsatz Nummer 2: Angreifer wechseln auf Apps, Filme oder Musik
Wer sich etwas zurückerinnert: Vor einigen Jahren waren Makros das Haupteinfallstor für Malware, inzwischen ist dieser Infektionspfad so gut wie ausgetrocknet, die Malware-Autoren setzen in erster Linie auf Drive-By-Infektionen. Im nächsten Jahr könnte sich dies wieder ändern, so zumindest Tim Rains. Denn mit dem Zuwachs im Bereich der mobilen Systeme müssen die Angreifer ihre Strategien ändern.
Für Android hat sich dies bereits mehrfach bewahrheitet, Google musste bereits einige Male verseuchte Apps aus dem Markt nehmen. Neben Apps sieht Rains einen weiteren künftigen Angriffsvektor: Musik- und Videodateien. Die Malware ASX/Wimad beispielsweise nutzt das ASF-Dateiformat, um Systeme mit Hilfe von Multimediadateien zu infizieren. Dabei ist der Schädling so erfolgreich, dass er es bereits in die Top-10 der Schadsoftware-Hitliste geschafft hat.
Glaskugel-Einsatz Nummer 3: Cross-Site-Scripting und Drive-By-Attacken bleiben Lieblinge
Auch wenn Glaskugel-Einsatz Nummer 2 neue Angriffswege verspricht, so bleiben die Klassiker Drive-By-Attacken und Cross-Site-Scripting dennoch der Hauptangriffsweg im Jahr 2013. Das liegt auch daran, dass Exploit-Kits wie das Blackhole-Kit (mehr Informationen dazu hier) diese Attacken quasi als Standard-Angriffsweg in ihre Bausätze aufnehmen. Da ist die Vorhersage, dass sich daran wenig ändern wird, relativ einfach. Never change a winning system, das gilt leider auch für Kriminelle.
Glaskugel-Einsatz Nummer 4: Software-Updates werden einfacher
Drive-By-Attacken missbrauchen häufig bekannte Schwachstellen, für die es längst Updates gibt. Das Problem ist allerdings, dass die Aktualisierungsvorgänge meist langwierig, umständlich und nervig sind. Laut Tim Rains scheint allerdings ein Umdenken einzusetzen: Im letzten Jahr sind Attacken deutlich kürzer erfolgreich, zumindest wenn es um Schwachstellen in Adobe Flash geht. Das liegt auch daran, dass Adobe sein Update-Verhalten geändert hat und regelmäßige, automatische Updates ausliefert. Microsoft macht dies ja mit den automatischen Software-Updates ähnlich, auch wir können hier eine positive Bilanz ziehen. Bleibt zu hoffen, dass andere Hersteller in 2013 auf den Zug aufspringen und ihre Aktualisierungsprozeduren entsprechend anpassen.
Glaskugel-Einsatz Nummer 5: Rootkits entwickeln sich in 2013
Zwei neue Techniken stehen für das nächste Jahr vor dem Durchbruch: UEFI und Secure Boot. Beide schützen gegen Rootkits und andere Schädlinge, die bereits vor dem Start des Betriebssystems geladen werden. Für Rains bedeutet dies allerdings nicht das Ende von Rootkits und Co. Im Gegenteil. Er geht davon aus, dass die Macher der Rootkit-Schädlinge zumindest versuchen werden, ihre Malware auf diese neuen Techniken anzupassen. Allerdings lässt sich noch nicht absehen ob und wie erfolgreich sie werden.
Terminals zur Zahlung mit Karte sind im Grunde kleine Computer. Sie nehmen die Eingaben von Nutzer und Karte und gleichen diese Daten mit der jeweiligen Bank ab. Nun könnte man meinen, dass diese Systeme wenig Angriffsfläche bieten, schließlich sind sie abgekapselt und funken meist nicht über normale Internetanschlüsse, sondern setzen eine separate Verbindung voraus. Anders ist es allerdings bei so genannten Point-of-Sales (POS)-Terminals, die etwa in Hotels, Restaurants oder vereinzelt in Läden eingesetzt werden. Diese nutzen oftmals eine ältere Version von Windows und sind meist nicht in Patch-Zyklen eingebunden.
Die Experten von Seculert und Spiderlabs haben nun eine Malware gefunden, welche diese POS-Terminals gezielt infiziert. Die Entdecker nannten die Schadsoftware Dexter und stellten fest, dass sie Systeme in mehr als 40 Ländern infiziert hatte. Dabei zielte Dexter in erster Linie auf englischsprachige POS-Terminals. Die Malware nutzt anschließend die Datei Iexplorer.exe, um sich fest ins System einzutragen und die Registry zu manipulieren. Wurde der PC erfolgreich infiziert, verhält sich die Malware wie jede andere: Sie nimmt Kontakt zu einem Command-and-Control-Server auf und erwartet weitere Anweisungen. Diese umfassen beispielsweise das Kopieren von Kreditkarten-Daten, sobald diese vom Kassensystem erfasst werden.
Die Experten von Seculert fanden in ihrer Analyse heraus, dass mehr als die Hälfte aller infizierten Systeme auf Windows XP lief, danach folgen Windows Home Server und Server 2003. Es liegt nahe, dass diese Systeme entweder veraltete Software nutzen oder keine Anti-Viren-Software verwenden. Das Problem ist alles andere als neu - Dexter rückt die Schwachstellen aber seit langer Zeit wieder das Bewusstsein. Microsoft adressiert diese Problematik in diesem MSDN-Beitrag. Der Text zwar von 2006, die grundsätzlichen Tipps sind allerdings noch immer relevant.
Googles Smartphone-Betriebssystem Android nutzt ein Unix-ähnliches System um die Berechtigungen für Applikationen zu verwalten. Die Idee dahinter: Jede App muss während der Installation genau anzeigen, welche Rechte sie sich nimmt. Der Nutzer kann diese Rechte einsehen und muss den Zugriff bestätigen. Lehnt er ab, wird die App nicht installiert. Der Sicherheitshersteller Trend Micro hat sich mit dem Rechte-Konzept von Android befasst und dabei einige Schwachstellen gefunden, über die bösartige Applikationen die Sicherheitsfunktionen von Android umgehen können. Die Ergebnisse der Untersuchung, samt zahlreicher Beispiele und Bildschirmfotos, schildern die Sicherheitsexperten in einem Blog-Beitrag.
Malware vom Typ „Schmarotzer“ nutzt laut Trend Micro eine legitime Applikation und spannt deren Berechtigungen für ihre Zwecke ein. Ein praktisches Beispiel dafür: Wenn sich Malware keine eigenen Rechte für den Internetzugriff reserviert. Stattdessen nutzt sie beispielsweise den Browser, um den Nutzer auf eine bösartige Webseite zu leiten. Das klappt, da Android automatisch die passenden Apps vorschlägt, wenn eine Applikation auf Funktionen zugreifen möchte, die sie nicht selbst mitbringt. So wird auch ohne explizite Genehmigung die Verbindung zur schädlichen Seite aufgebaut.
Typ 2 sind Schnüffel-Applikationen. Diese müssen nicht zwingend auf private Daten abzielen, denn die meisten Android-Apps liefern eine viel bessere Datenquelle: Logs. Diese Protokolle werden von den meisten Entwicklern automatisch erstellt, um Fehler und Probleme nachvollziehen zu können. Sie speichern dazu eine große Reihe von Informationen, etwa GPS-Koordinaten, besuchte Webseiten oder welche Apps installiert sind. Die Speicherorte dieser Logging-Daten sind oft bekannt und können ohne Probleme kopiert, ausgelesen und ausgewertet werden.
Der dritte Typ sind so genannte Trittbrettfahrer-Schadprogramme. Diese machen sich eine Eigenart von Android zu Nutze: Erlaubt ein Nutzer bestimmte Funktionen in einer legitimen Applikation, kann sich eine andere Applikation diese unter Umständen suchen und selbst aufrufen. Klappt dies mit System-nahen Anwendungen und -Funktionen, können sich die bösartigen Programme unter Umständen weitreichende Rechte sichern.
Der Launch von Windows Server 2012 hat das zweite Halbjahr geprägt und IT-Experten sowie Presse, Microsoft Partner und Analysten begeistert. Diese Begeisterung können Sie jetzt nachlesen und in Bild und Ton genießen. Von Kundenreferenzen über Demos und Präsentationen stehen ab sofort alle Expertenvorträge zu Innovationen und Mehrwerten - die wir im September auf unserer Launchroadshow in vier deutschen Stüädten sowie im November beim virtuellen Event gezeigt haben - unter
http://aka.ms/WS12-Videos für alle Interessierten zur Verfügung.
Sie wollen den neuen Windows Server testen? Dann laden Sie hier die .ISO oder eine VHD zur Evaluation kostenlos herunter http://technet.microsoft.com/de-DE/evalcenter/hh670538.aspx
Als Auftakt zu einer 3-teiligen Serie von eher technisch orientierten Video-Tutorials zu Hybrid Cloud wird im ersten Teil wird der Aufbau einer System Center 2012 Infrastruktur schematisch erläutert und vorgeführt. Die erstellte Umgebung bietet eine funktionsfähige Installation von System Center 2012 (App Controller und Virtual Machine Manager) in einer Windows Domäne.
Die weiteren Teile behandeln
Eine bestimmte Form von Angriffen, sogenannte Pass-the-Hash (PtH)-Attacken, hat sich jüngst stärker verbreitet und bereitet unseren Kunden zunehmend Kopfschmerzen. Daher haben die US-Kollegen ein Whitepaper zum Thema PtH verfasst. Es soll Organisationen helfen, sich gegen diese Art des Angriffs zur Wehr zu setzen. Das Dokument erläutert unter anderem, wie diese und andere, ähnliche Angriffe funktionieren und erklärt, wie Sicherheitsfunktionen in Windows helfen können, das von diesen Attacken ausgehende Risiko zu minimieren.
Bei einer Pash-the-Hash-Attacke klaut der Angreifer Login-Daten (Benutzername, Passwort) auf einem Rechner, um sich dann mit Hilfe dieser Daten an anderen Rechnern im Netzwerk anzumelden. Der PtH-Angriff ähnelt einem klassischen Passwortklau. Wobei bei PtH nicht das Klartextpasswort mitgeschnitten, sondern der Hashwert das Passworts abgefangen und wieder verwendet wird. Der Passwort-Hashwert, eine mathematische Ein-Wege-Darstellung des Passworts, dient direkt zum Anmelden des Anwenders bei einem Single-Sign-On (SSO)-Login.
Diese Form des Angriffs setzt voraus, dass der Angreifer zuvor lokalen Administrator-Zugriff auf einen PC in der jeweiligen Organisation erlangt. Er kann dann die Anmeldedaten von der Festplatte oder aus dem Speicher des Rechners kopieren. Mittels dieser Zugriffsberechtigung kann der Angreifer nicht nur Passwort-Hashes einsammeln, sondern auch jegliche andere Anmeldedaten, die auf dem übernommenem PC gespeichert sind. An die Admin-Rechte kommt der Angreifer entweder, in dem er sich als lokaler Administrator, Domain-Admin mit lokalen Admin-Rechten oder anderweitiger Anwender ausgibt, der Treiber und Anwendungen installieren und Anwendungen ausführen kann, die direkt auf Festplatte und Hauptspeicher zugreifen dürfen.
Mittels PtH kann der Angreifer nach Übernahme eines einzelnen PCs Zugriff auf andere Rechner im Netzwerk bekommen – inklusive Domain-Controller und andere Server. Daher kann das Minimieren des Risikos, das von PtH und ähnlichen Angriffen ausgeht, die Widerstandsfähigkeit einer Active-Directory-Umgebung beträchtlich erhöhen. Die PtH-Attacke ist eine spezielle Form des Logindaten-Diebstahls. Unser Whitepaper konzentriert sich auf Windows-Systeme, wobei andere Betriebssysteme anfällig sind für ähnliche Attacken.
In den IT Camps im Dezember bieten wir Ihnen die Möglichkeit, praxisnah, interaktiv und unter fachkundiger Anleitung Lösungen zu aktuellen IT-Herausforderungen zu erarbeiten.
Erfahren Sie im IT Camp „Windows8 im Unternehmen“ am 12. Dezember 2012 in Erfurt die wichtigsten Features des neuen Betriebssystems und gehen Sie auf Szenarien rund um Management, Bereitstellung, Sicherheit, Desktop-Virtualisierung, Anwendungsentwicklung, Sideloading und Desktop Recovery ein.
In den beiden IT Camps „WindowsServer 2012 und Windows Azure“ am 13.Dezember 2012 in Erfurt, sowie am 17.Dezember 2012 in Münster gehen unsere Microsoft-Experten in Live-Demos auf Themen wie Virtualisierung, Aufbau einer Private Cloud, Management & Automatisierung und Hyper-V in der Cloud ein.
Mit dem Launch von Windows Server 2012 Essentials und der Abkündigung des Small Business Servers (SBS) 2011 beschäftigen sich nun bereits seit einigen Monaten IT Professionals und Microsoft Partner mit den Optionen "für die Zeit danach". An dieser Stelle möchte ich Sie gerne auf einige interessante Ressourcen verweisen: diese unterstützen nicht nur bei der Migration, sondern zeigen auch auf, warum es technisch wie business-seitig Sinn macht auf die modernere Plattform zu wechseln.
Die Redaktion von techchannel.de hatte über den Wechsel zu WS 2012 Essentials übrigens auch schon berichtet (Link zum Artikel) sowie Tipps zur Migration gegeben. Letztere finden sich aber auch schon in der TechNet-Bibliothek: Migrate Server Data to Windows Server 2012 Essentials
Windows Server 2012 Essentials ist die konsequente Weiterentwicklung von Windows Small Business Server Essentials. Es handelt sich um einen cloudfähigen Erstserver mit einer intuitiven Benutzeroberfläche. Es kann auf physischen Servern mit bis zu zwei Prozessoren ausgeführt werden und wurde für kleine Unternehmen mit bis zu 25 Benutzern oder 50 Geräte entwickelt.
Mit Windows Server 2012 Essentials bietet Microsoft Kunden und Partnern eine breite Palette, moderne Kommunikations- und Kollaborationsdienste einfach einzubinden. Kunden haben jetzt die Wahl wie und wo Workloads integriert werden können und zu welchem Zeitpunkt es am sinnvollsten ist auf Anwendungen und Services on-premise oder in der Cloud zurückzugreifen.
Der bislang im KMU Segment angesiedelte Windows Small Business Server 2011 Standard wird in der aktuellen Version übrigens noch bis 31. Dezember 2013 über OEM bzw. bis 30. Juni 2013 bei Ihrem Distributor verfügbar sein.
Für die Anbindung einer modernen Kommunikations- und Kollaborationsplattform empfiehlt Microsoft die Anbindung von Office365. Das Angebot umfasst Exchange Online, SharePoint Online für den Dokumentenaustausch sowie Lync Online für Onlinekonferenzen (mit HD Video) und Instant Messaging. Natürlich wird auch die Anbindung einer Hosted Exchange-Lösung oder eines klassischen Exchange Servers on-premise unterstützt.
Weitere Informationen online http://www.microsoft.com/de-de/server/windows-server/essentials/default.aspx
Wie oben beschrieben ist Windows Server 2012 Essentials für den Zugriff von 25 Nutzern oder 50 Geräten konzipiert. Die Anzahl der Zugriffsrechte lässt sich jedoch problemlos bis 75 Nutzer oder Geräte "aufbohren" - bei gleichzeitiger Beibehaltung der vollen Essentials-Funktionalität. Hierzu ist formal das Upgrade auf Windows Server Standard nötig und dann müssen aber auch für die Gesamtzahl der User und Geräte so genannte CALs (Client Access Licenses) erworben werden (die bei WS2012 Essentials nicht benötigt werden).
Informationen dazu finden Sie unter anderem hier
Windows Server 2012 Essentials enthält erstklassige 64-Bit-Produkttechnologien für die Bereitstellung einer Serverumgebung, die für die grosse Mehrzahl kleiner Unternehmen gut geeignet ist. Die Produkttechnologien sind beispielsweise:
Kunden können Windows Server 2012 Essentials als Plattform für die Ausführung branchenspezifischer Anwendungen und sonstiger Workloads vor Ort verwenden. Windows Server 2012 Essentials ist eine in Funktionsumfang und Preis-Leistungsverhältnis optimal an die Anforderungen von Kleinst- und Kleinunternehmen zugeschnittene Serverlösung, die zahlreiche Vorteile vereint
Vom vollständigen Client-Backup aller angeschlossenen Windows Vista, Windows 7 und Windows 8 Rechner, als Sicherung und für den Fall einer Wiederherstellung des Clients nach einem Hardwaredefekt, über die Anbindung Mobiler Geräte (Smartphones, Tablets und Laptops) mit E-Mail Synchronisation, dem Remote Web Arbeitsplatz oder auch Direct Access bis hin zu spannenden Neuerungen im Disk- und Storage-Management (Disk Pools und Storage Spaces) sowie einer einfachen Integration eines Online-Backups, um ausgewählte Daten einfach in der Cloud zu speichern.
Windows Server 2012 ist bereits seit September erhältlich. Die Welle an Zustimmung für die neueste Windows Server-Generation reißt aber nicht ab. Das freut mich als Product Marketing Manager natürlich sehr. Exemplarisch habe ich Ihnen an dieser Stelle zwei Videos von unserer Launchveranstaltung am 6. September in Offenbach herausgesucht. In diesen erzählen Kunden und Partner, was ihnen am Windows Server am besten gefällt.
Alle Videos finden Sie übrigens hier. Und für alle, die sich jetzt persönlich mit Windows Server 2012 beschäftigen wollen, hier der Link zum kostenlosen Download