Sie haben Fragen zu den Inhalten auf diesem Blog? Sie möchten Kontakt zu unseren Autoren aufnehmen? Dann schreiben Sie mir eine E-Mail
Abonnieren Sie hier den RSS Feed zum TechNet Newsflash Podcast
Steam dürfte den meisten PC-Gamern ein Begriff sein. Die Online-Plattform des Spieleherstellers Valve hat nicht nur eine enorm weite Verbreitung, sondern gilt auch als erfolgreichste Plattform für den Spielevertrieb. Steam bietet aber noch mehr als nur die Möglichkeit zu spielen, etwa ist im Client ein kompletter Browser integriert.
Die Sicherheitsforscher Luigi Auriemma und Donato Ferrante haben nun eine kritische Sicherheitslücke in der Browser-Implementierung von Steam gefunden (PDF-Download). Steam installiert mit dem Client einen Protokoll-Handler auf dem System. Klickt ein Nutzer auf einen Link, der mit „steam://“ beginnt, übergibt der Browser den Link an den Steam-Client. So kann man etwa gekaufte Spiele installieren, sich mit Spieleservern verbinden oder Einkäufe aktivieren.
Laut den beiden Forschern lässt sich der Protokoll-Handler aber auch nutzen, um Dateien, die lokal vorhanden sind, zu installieren und anschließend Fehler darin auszunutzen. So zeigen sie etwa, wie sie über einen Remote-Befehl die Source-Engine von Valve auf dem System installieren, um die Installation anschließend für eine Attacke auszunutzen. Dieses Video auf Vimeo zeigt, wie der Missbrauch der Lücke in der Praxis funktioniert.
Die beiden Forscher empfehlen Nutzern, den Steam-Protokoll-Handler zu deaktivieren oder genau darauf zu achten, was die Steam-Links starten. Sie haben mehrere Browser getestet und melden, dass der Internet Explorer und Google Chrome dem Nutzer eine deutliche Warnung anzeigen. Andere Browser dagegen geben weniger oder keine Information darüber, welche Aktionen ein Klick auf den Link ausführt. Da es sich um legitime Funktionen von Steam handelt, kann Valve als Hersteller wenig tun. Die Forscher empfehlen, dass Steam künftig keine Kommandozeilenbefehle an Software von Drittherstellern übergibt. Zudem sollten Spielehersteller ihre Produkte absichern und gegen Angriffe schützen.
Valve und Steam-Nutzer sollten die Warnungen in jedem Fall ernst nehmen. Denn geht es nach den Plänen des Herstellers, soll die Plattform künftig deutlich mehr Kunden ansprechen als nur Gamer. Seit kurzem lässt sich über Steam beispielsweise auch „richtige“ Software kaufen. Dazu kommt die Big-Picture-Initiative, mit der PC-Spiele für das Wohnzimmer fit gemacht werden sollen.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Die typische Betrugssituation beginnt, wenn Nutzer im Internet nach Schnäppchen suchen: Die Anwender geben dann beispielsweise ‚Lady Gaga‘, ‚Maroon 5‘ oder aktuelle Filmtitel wie ‚The Avengers‘ oder ‚Die Tribute von Panem‘ ein und stoßen auf vermeintlich günstige Angebote, hinter denen sich aber getarnte Schadprogramme verbergen. Die Betrüger machen sich also unsere Gier zu nutze. Wie unser neuer Security Intelligence Report (SIRv13) zeigt, gibt es weltweit eine zunehmende Tendenz der Malware-Infektionen durch trügerische Downloads. Das Raffinierte bei diesen Downloads: Der Anwender lädt sich die Schadsoftware selbst herunter und installiert sie auch gleich.
Trügerische Downloads sind nicht die einzige Möglichkeit, wie Schadprogramme ihren Weg auf Computer finden. Ein anderer Weg ist die Suche nach sogenannten „Keygens“. Hinter diesen Lizenzschlüssel-Generatoren steht in den meisten Fällen die Absicht, kommerzielle Software illegal freizuschalten. Die SIR-Autoren stufen Keygens nicht per se als Schadprogramme ein, allerdings wurden auf 76 Prozent aller Systeme, auf denen Keygens installiert waren, auch Schadprogramme identifiziert. Wahrscheinlich kam die Schadsoftware huckepack oder wurde später nachinstalliert.
Laut SIR passieren knapp 20 Prozent aller Infektionen mittels eines Exploits, als dem Missbrauch einer Schwachstelle in einer Anwendung. Schutz hiervor bieten Softwareupdates. Das Windows-eigene Microsoft Update installiert sowohl alle Windows Updates, Updates anderer Microsoft-Programme, als auch Updates von anderen Herstellern automatisch. Wir empfehlen allen Anwendern daher dringend, die automatischen Updates zu aktivieren, um sich vor der sich ständig wandelnden Bedrohungslage zu schützen.
Als jüngstes Mitglied in der Windows Server Familie dürfen wir heute Windows Server 2012 Essentials begrüßen. Die speziell auf die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnittene Serverlösung erlaubt den sicheren Zugriff auf Unternehmensdaten und Applikationen von quasi jedem Ort der Welt (mit Internetanschluss ;-) und von nahezu jedem Endgerät. Auch der Schutz unternehmenskritischer Daten - egal ob als Online-Backup oder als traditionelle Sicherung - steht im Fokus.
Jetzt entscheiden zudem die User, welche Applikationen oder Services sie on-premise (also in ihrer eigenen Infrastruktur) oder in der Cloud laufen. Auch kann Windows Server Essentials jetzt als gehosteter Service angeboten werden. Die Nachfrage ist immens. In den 8 Wochen öffentlicher Preview hat es mehr als 23,000 Trial-Downloads gegeben. Wesentlich mehr als bei früheren Server-Lösungen für kleine und mittlere Unternehmen.
Windows Server 2012 Essentials (der offizielle Nachfolger des Small Business Server Essentials) gilt unter Experten als die flexible und kostengünstiger, über entsprechende Assistenten auch leicht administrierbare Server-Lösung für kleine Unternehmen von bis zu 25 Usern und 50 Endgeräten (pro Lizenz). Eigentlich also der ideale Einstiegsserver. Wie Sie die Funktionalitäten und Assistenten für bis zu 75 User oder Endgeräte aufstocken können, verrate ich Ihnen in Kürze in einer der nächsten Blogbeiträge an dieser Stelle...
Hier der offizielle Link zum Testdownload http://technet.microsoft.com/de-DE/evalcenter/jj659306.aspx
Den offizellen Blogeintrag des Microsoft-Server-Teams finden Sie hier http://blogs.technet.com/b/sbs/archive/2012/10/09/windows-server-2012-essentials-released-to-manufacturing-available-for-evaluation-today.aspx
Eine der Kernfunktionen von Googles Browser Chrome ist dessen Erweiterbarkeit Apps. Ein prominentes Beispiel für eine solche App ist das von iPhone und iPad bekannte Spiel Angry Birds. Nun meldet der Sicherheitshersteller Barracuda Networks in einem Blogbeitrag, dass sich Kriminelle diese App-Funktionen für Angriffe zu Nutze machen. Als Köder dienen verschiedene Ableger der Angry-Birds-Reihe. Ein Anbieter unter dem Namen Playook.info hat laut Barracuda Networks manipulierte Kopien von Spielen wie Angry Birds Space, Angry Birds Forest oder der neuesten Variante Angry Birds Bad Piggies (siehe Screenshot), in den Chrome-Store eingestellt.
Installiert ein User eine entsprechend manipulierte App, ist nicht nur die Enttäuschung über ein schlecht umgesetztes Spiel groß: Die Apps räumen sich weitreichende Rechte im Browser ein, darunter etwa den Zugriff auf alle Daten des Nutzers. Dadurch kann dieser Angriff nicht nur Daten direkt abfangen, sondern laut Forschern von Barracuda Networks beispielsweise auch die Werbeeinblendungen auf Webseiten durch die Einspeisung von JavaScript manipulieren. Betroffen sind laut Barracuda Networks mehr als 82. 000 Installationen von Chrome.
Interessant ist, dass diese Attacke unabhängig vom Betriebssystem funktioniert - solange der Nutzer die App in Chrome installiert, können die Angreifer damit unter Windows, Linux oder Mac OS X arbeiten. Barracuda Networks empfiehlt allen Nutzern, ihre installierten Apps zu überprüfen und sie im Zweifel zu löschen. Aktuell sind die Angry-Birds-Einträge von Playook.info zwar aus dem Chrome Web Store entfernt worden, der Anbieter hat allerdings noch weitere Apps im virtuellen Marktplatz. Zudem tummeln sich zahlreiche weitere Klone von Angry-Birds-Spielen im Web-Store von Chrome - auch hier sollten Nutzer vorsichtig sein.
Amazon ist wohl eine der beliebtesten e-Commerce-Plattformen im Web. Da liegt es für Kriminelle auf der Hand, die Popularität für eigene Zwecke zu missbrauchen. Normalerweise läuft das über eine – mehr oder weniger ordentlich formulierte – E-Mail samt Anhang, den man bitte installieren soll. Nun scheinen einige Kriminelle einen Schritt weiter gegangen zu sein und bauen die Amazon-Seite im Detail nach.
Wie von anderen Angriffswellen gewohnt, erhalten die potentiellen Opfer eine E-Mail. Diesmal sollen sie aber nicht den Anhang herunterladen, sondern auf eine Webseite wechseln (siehe Screenshot). Der Unterschied zu anderen Attacken ist die gut gemachte Fälschung: Neben dem Amazon-Logo verfügt das jeweilige Formular über die passenden Farben, ein stimmiges Design und wirkt insgesamt erstaunlich authentisch.
Die Kriminellen setzen darauf, dass ihre Fälschung so gut ist, dass sie bei der Abfrage der Daten recht mutig vorgehen: Neben E-Mail-Adresse und Amazon-Passwort fragen sie gleich noch persönliche Daten sowie Informationen zu hinterlegten Konten und Kreditkarten ab.
Im ersten Durchgang setzten die Kriminellen auf die Webseite kundenstatus.eu, die mittlerweile aber vom Netz genommen wurde. Es dürften allerdings in Zukunft noch weitere Domains auftauchen, die mit dieser Attacke aufwarten. Seien Sie daher in Zukunft besonders vorsichtig, wenn Sie auf einen Link klicken. Besser noch: Klicken Sie in E-Mails nicht auf den Link, sondern geben Sie die Adresse des jeweiligen Dienstes direkt ein. Sollte es sich um eine legitime Anfrage handeln, wird Sie der Dienst spätestens nach dem Login darauf hinweisen. In unserem Safety & Security Center haben wir zahlreiche weitere Hintergrundinformationen zum Thema Phishing zusammengestellt.
Seien Sie misstrauisch, wenn Sie aktuell E-Mails von der Adresse „privacy@microsoft.com“ erhalten. Denn dabei handelt es nicht um offizielle E-Mails von Microsoft, sondern um Nachrichten von Kriminellen, die Ihre Passwörter für Windows Live, Yahoo oder Google stehlen wollen. Wie die Antivirenspezialisten von Sophos in ihrem Blog schreiben, tarnen sich die E-Mails als Nachrichten über ein Update für Windows. Damit reiten die Kriminellen offensichtlich auf der Welle des kürzlich veröffentlichten Sicherheitsupdates für den Internet Explorer.
Inzwischen verschicken die Betrüger auch deutschsprachige E-Mails (siehe Screenshot). In diesen informieren die Betrüger ihre potentiellen Opfer darüber, dass ihre Windows-Installation als unsicher erkannt wurde. Über einen Klick auf einen Link in der E-Mail könne man dies beheben. Klicken Sie den Link keinesfalls an, denn er führt zu einer Phishing-Seite, die auf den ersten Blick www.microsoft.com ähnelt. Die Phishing-Seite fordert die Nutzer dazu auf, sich mit einem der vier abgebildeten E-Mail-Provider (Google, Windows Live, Yahoo oder AOL) anzumelden - und fragt dann Nutzername und Passwort ab. Anschließend leitet die Seite den Nutzer auf unsere offizielle Hilfestellung zum Update weiter.
Unsere aktuellen Updates erhalten Sie niemals per E-Mail, sondern ausschließlich über die integrierte Windows Update-Funktion, ihr eventuell installiertes Update-Management oder den jeweiligen Knowledge-Base-Eintrag (zur aktuell geschlossenen IE-Lücke gehört etwa dieser hier). Weitere Informationen rund um das Thema Spam und Phishing haben wir in unserem Safety & Security Center zusammengestellt.
Im Oktober startet die gemeinsam von Microsoft, Cisco und NetApp ausgerichtete Veranstaltungsreihe "Data Center Bootcamp“. Dabei wird es um die Frage gehen, wie Microsofts Private Cloud basierend auf Windows Server 2012 mit der Flexpod Lösung von Cisco und NetApp ein ideales Zusammenspiel für eine moderne IT Infrastruktur ergibt – von Datenwachstum bis hin zu Mobilisierung und Sicherheitsanforderungen.
Der Vormittag dieses eintägigen Trainings besteht aus einem theoretischen Teil, am Nachmittag ist dann Zeit für die Praxis: Auf eigenen Laptops besteht für Teilnehmer die Möglichkeit, die Vorteile aus der Verbindung von Windows Server 2012 und Flexpod durch „Hands-on Lab“-Übungen selbstständig kennenzulernen.
Die Veranstaltungsreihe startet am 9. Oktober 2012 in Kirchheim bei München und endet am 18. Oktober in Berlin. Weitere Gelegenheit zum Kennenlernen von Windows Server 2012 und Flexpod gibt es am 10. Oktober in Köln, am 11. Oktober in Eschborn, am 16. Oktober in Hamburg und am 17. Oktober in Stuttgart. Die Anmeldung erfolgt über Cisco.
Einmal mehr haben sich die Mühen der US-Kollegen gelohnt: Die Experten in Redmond haben genügend Beweise gesammelt, um einen Richter davon zu überzeugen, Microsoft die rechtlichen Grundlagen zum Abschalten von 500 verschiedene Malware-Varianten des Botnets Nitol zu verschaffen. Alle Details inklusive eines Videos gibt es im Blog der Kollegen.
Zu Anfang stand eine Studie. In ihrem Rahmen fanden wir heraus, dass sich Kriminelle in verschiedene Lieferketten zwischen Hersteller und Kunden gesetzt hatten. Genauer gesagt gab es Händler, die ihren Kunden Computer mit gefälschten und/oder Malware-verseuchten Programmen verkauften. Dabei dachten sich viele Händler wahrscheinlich nichts Böses, die Kriminellen könnten sie mit besonders günstigen Angeboten gelockt haben - und die Händler infizieren so unwissend ihre Kunden, denen sie einen besonders guten Preis machen wollten.
Die Malware für das Nitol-Botnet beschränkte sich dabei allerdings nicht nur auf die vorinfizierten Rechner, im Gegenteil. Die bösartigen Programme setzten auf USB-Speichergeräte um weitere Rechner zu infizieren. Die Schadprogramme selbst haben es ebenfalls in sich: Sie können nicht nur Eingaben auf dem Rechner, etwa Zugangsdaten und Passwörter, aufzeichnen, sondern verwandeln den infizierten PC in einen Spam-Versender oder einen Endpunkt für eine Denial-of-Service-Attacke.
Microsoft konnte dieses Botnet größtenteils übernehmen, indem wir das Urteil nutzen, um die Domain des Botnets durch eine eigens dafür angelegtes DNS (Domain Name System)-Infrastruktur zu leiten. Damit blocken wir nicht nur den Zugriff für Nitol, sondern zusätzlich über 70000 weitere bösartige Subdomains. Sollten Sie den Verdacht haben, dass Ihr PC von Nitol (oder einem anderen Botnet) infiziert wurde, empfehlen wir Ihnen einen Blick auf unser Virus and Security Solution Center.
Zum Einstieg in den neuen Server von Microsoft verschenkt MS Press ein ebook – und zwar in drei Formaten: PDF, ePub und MOBI.
http://blogs.msdn.com/b/microsoft_press/archive/2012/09/05/free-ebook-introducing-windows-server-2012-rtm-edition.aspx
Wenn Sie Ihre PIN an einem Geldautomaten eintippen, wie halten Sie eigentlich Ihre zweite Hand? Hoffentlich so über dem Eingabefeld, dass eine eventuelle Kamera die Eingabe nicht aufnehmen kann. Falls ja, dann gehören Sie zu den wenigen Leuten, die diesen einfachen Ratschlag beherzigen. Meint zumindest der Sicherheitsexperte Brian Krebs.
Aber von vorne: Krebs hat nach eigenen Angaben Videoaufnahmen ausgewertet, die von Skimmern gedreht wurden. Darauf ist das Pinpad eines Geldautomaten zu sehen. Die Aufnahmen gehören zu einem zweiten Gerät, das in den Kartenschlitz gesteckt wird. Dieses Gerät kopiert anschließend die Daten vom Magnetstreifen der Karte, während die Kamera die Eingabe der PIN aufzeichnet. Durch den Abgleich des Zeitcodes zwischen Video und Kartenkopie können die Kriminellen anschließend den PIN zu den Kartendaten zuordnen. Der letzte Schritt – die Kopie der eigentlichen Karte mittels Blankokarten und Drucker – ist dann ein Leichtes und dem unerlaubten Einkauf steht wenig entgegen.
Laut Krebs könnte zumindest das Abfangen der Zugangsnummer verhindert werden, indem die Bankkunden ihre zweite Hand über das PIN-Feld legen und die Dateneingabe so vor neugierigen Augen schützen. Laut einem zweiten Video, das Krebs in seinem Blog verlinkt hat, scheinen Europäer beim Abheben etwas vorsichtiger zu sein.
Die Videos geben eine gute Übersicht darüber, wie die Kriminellen an die Zugangsdaten zu Konten gelangen. Krebs warnt aber davor, dass dies bei weitem nicht die einzige Methode ist, um an die PIN zu gelangen. Teilweise ersetzen die Kriminellen die Tastatur komplett oder erweitern diese um eine Komponente, mit der die Eingabe abgefangen werden kann.