TechNet Blog Deutschland

Malware: Keygeneratoren für Raubkopien sind Virenschreibers Liebling

Michael Kranawetter - CSA — Thu, 16 May 2013 07:18:00 GMT

Seit einiger Zeit erkennen unseren Anti-Malware-Spezialisten einen neuen Trend: Immer häufiger setzen Virenschreiber auf Keygeneratoren, um ihre bösartige Software zu verteilen. Im Jahr 2012 beispielswiese stieg die Anzahl der verseuchten Rechner laut unseren Forschern von fünf auf sieben Millionen (mehr Details hierzu im aktuellen Security Intelligence Report).

Woher kommt diese plötzliche Popularität? Dazu muss man verstehen, warum Nutzer Keygeneratoren herunterladen. Die Programme an sich sind meist nicht direkt bösartig: Sie sollen lediglich Seriennummern für Software generieren. Bei dieser Software handelt es sich in aller Regel um Raubkopien (die Feigenblattausrede: „Ich habe ein altes Programm, für das es keinen Support mehr gibt und von dem ich den Schlüssel verloren habe, das ich aber unbedingt brauche“ lasse ich jetzt mal außen vor). Wer also einen Keygenerator sucht und herunterlädt, der begibt sich schon einmal in die dunkleren Seiten des Internets.

Für die Kriminellen ist das enorm praktisch. Sie kapern wahlweise bestehende, funktionierend Generatoren oder schreiben einen eigenen. Letztere müssen nicht einmal korrekte Seriennummern auswerfen, solange sie nur die Malware auf die Systeme der Nutzer bringen.

Der große Vorteil für die Kriminellen: Sie müssen keinen Weg finden, um die immer besser werdenden Sicherheitsfunktionen von Betriebssystem und Anti-Malware-Software auszuhebeln. Denn der Nutzer lädt sich das Tool ja aktiv auf den Rechner und führt es selbst aus. Wollen die Malware-Schreiber auf Nummer sicher gehen, hängen sie eine Info-Datei an, in der sinngemäß steht, dass das Programm eventuell von Antivirensoftware geblockt wird, aber natürlich ungefährlich ist. Der Nutzer solle einfach seinen Schutz kurz abschalten. Diese Taktik klappt so gut, dass Keygeneratoren auf Windows 7 und Windows 8 inzwischen zu den häufigsten Einfallstoren für bösartige Programme gehören.

Mir fällt es fast ein bisschen schwer, Schutzmaßnahmen zu empfehlen, ohne schulmeisterlich zu klingen. Klar ist: Wer seine Software aus vertrauenswürdigen, legalen Quellen bezieht, der braucht keine Keygeneratoren. Auch das Scheinargument der vermeintlich zu hohen Softwarepreise wird immer häufiger durch Cloud-Angebote ausgehebelt. Office 2013 gibt es etwa zusammen mit Office 365 (und zahlreichen anderen Features) sowie fünf erlaubten Installationen bereits für zehn Euro monatlich.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

TechEd Europe 2013: Keynote von Brad Anderson

Florian Stadtfeld — Mon, 13 May 2013 14:02:00 GMT

Die TechEd Europe rückt immer näher. Die für Microsoft wichtigste Technologiekonferenz in Europa findet in knapp einem Monat vom 25. bis 28. Juni statt.

Vor Ort in Madrid werden weltweit anerkannte Fachleute wie Mark Russinovich, Brian Keller, Beth Massi oder Paula Januszkiewicz wie gewohnt Expertenwissen, Best Practices und tieftechnische Details aus erster Hand vermitteln.

Als Keynote-Sprecher werden außerdem die beiden Microsoft-Größen Brad Anderson,Corporate Vice President Windows Server and System Center Program Management, und Jon DeVaan, Corporate Vice President Windows Development, in der spanischen Hauptstadt vor Ort sein.

Auf der Agenda stehen unter anderem Windows 8, Windows Server 2012, die neue Office-Familie, System Center 2012, Visual Studio 2012, Windows Azure,Windows Phone und SQL Server 2012. Stellen Sie sich bereits heute aus über 300 Sessions, Hands-on Trainings und Workshops Ihre individuelle Konferenz zusammen.

Für mehr Details und einen ersten Blick auf die geplanten Themen, besuchen Sie die Webseite der TechEd Europe und werden Sie Fan der Facebook-Seite
oder folgen Sie der TechEd Europe auf Twitter.

Damit der Abschied von Windows XP nicht so schwer fällt

Michael Kranawetter - CSA — Sat, 04 May 2013 16:12:19 GMT

Wie bereits in einem älteren Blogbeitrag ausführlich beschrieben, endet der Support – und damit auch die Versorgung mit den wichtigen Sicherheitsupdates – für Windows XP in weniger als einem Jahr (genauer: 08. April 2014). Wer also noch mit Windows XP arbeitet, sollte sich bis dahin Gedanken machen über einen Umstieg auf eine moderne Windows-Variante.

Nachdem es rund ums Support-Ende reichlich Fragen gibt, veranstalten meine Kollegen unter anderen Webcasts, die Antworten liefern. Kunden erfahren unter anderem, was das Support-Ende für sie bedeutet, welche Auswirkungen es auf Unternehmen oder Anwender hat und wie genau der Umstieg auf Windows 8 oder Office 2013 von statten gehen kann. Meine Kollegen verschaffen den Zuschauern in den rund 60 Minuten langen Live-Webcasts einen Überblick und freuen sich auf Ihre Fragen zum Thema. Die Webcasts, die unter dem Titel „Bye, bye Windows XP und Office 2003 – Der Countdown läuft! firmieren, sind natürlich kostenlos. Eine Online-Registrierung vorab ist erwünscht.

Auch live und in Farbe gibt es Informationen zum Umstieg: Gemeinsam mit Microsoft Partnern vor Ort informiert Microsoft Deutschland in den kommenden Monaten in einer bundesweiten Veranstaltungsreihe über Einsatzmöglichkeiten der neuesten Generation business-relevanter Anwendungen und Services. Von Windows 8, über Office 365 oder Windows Server 2012 bis hin zum Einsatz von Windows Phone 8 und den Tablets der „Surface“-Reihe.

Die Veranstaltungen der „Microsoft on Tour 2013“-Roadshow dauern jeweils rund vier Stunden, die Teilnahme ist kostenlos. Wir empfehlen wegen der begrenzten Anzahl von Plätzen eine möglichst frühzeitige Registrierung.  Weitere Informationen, Hintergründe, eine Programmvorschau und die ersten Termine der bundesweiten Roadshow finden Sie auf http://www.Microsoft-on-Tour.de.

Antivirensoftware nach wie vor unverzichtbar

Michael Kranawetter - CSA — Tue, 30 Apr 2013 07:47:18 GMT

Ab sofort ist unser Security Intelligence Report (SIR) in der vierzehnten Auflage zum Download verfügbar. Erstmals führen die US-Kollegen, die den Report zusammenstellen, in diesem SIR den konkreten Nutzen von Anti-Malware-Software auf. Im ersten Kapitel beschäftigt sich der Report damit, warum einzelne Nutzer auf Sicherheitsprogramme verzichten. Meist geschieht das aus Versehen, etwa wenn ein Abonnement oder eine Testversion ausläuft. Ein weiterer neuer Wert in dieser Sektion ist CCM (Computers Cleaned by Mille). Diese Daten kommen von unserem hauseigenen Malicious Software Removal Tool (MSRT, auf Deutsch: „Tool zum Entfernen bösartiger Software“). Wir haben es erstmals im Januar 2005 eingeführt, seitdem sollte es auf den meisten Windows-Systemen verfügbar sein.

Seit kurzem können wir über dieses Tool auch anonymisierte Daten erhalten, etwa zum Status der installierten Sicherheitslösung (das klappt nur, wenn der Administrator des Rechners damit einverstanden ist). Im zweiten Halbjahr 2012 waren rund 24 Prozent aller Systeme, über die wir Daten erhalten haben, komplett ohne Schutz oder mit veralteter Anti-Viren-Software ausgestattet. Das wirkt sich die Sicherheit aus, Rechner ohne Schutzprogramme waren im Durchschnitt 5,5-mal häufiger infiziert als PCs mit Schutzkomponenten.

Wie die Malware auf den Rechner kommt, damit beschäftigt sich der zweite und deutlich umfangreichere Teil des SIR. Das Kapitel zeigt die aktuell genutzten Schwachstellen, analysiert die verschiedenen Exploits und wirft einen Blick auf die im Umlauf befindlichen Malware-Familien und andere ungewollte Software. Hier finden sich auch die globalen Infektionsraten (in Deutschland sind sie im zweiten Halbjahr leider um 3,9 Prozent gestiegen). Den ersten Platz nehmen die Vereinigten Staaten ein, gefolgt von Brasilien und Korea.

Bei der Malware, die von infizierten Seiten verteilt wird, liegen Trojaner immer noch ganz vorne. 47,5 Prozent aller verteilten Schadprogramme sind Downloader und Dropper. Diese laden nach der Infektion weitere Programmteile herunter um die infizierten Rechner in flexible Plattformen für Kriminelle zu verwandeln. 35,2 Prozent entfallen auf Trojaner mit anderen Funktionen. Die Statistik zeigt klar, dass Malware nach wie vor ein Geschäftsfeld ist: Trojaner verwandeln die Systeme in Ressourcen, die von den Kriminellen genutzt oder an andere vermietet werden können. Würmer oder Viren, Malware, die noch vor fünf Jahren deutlich präsenter war, geraten ins Hintertreffen. Am weitesten verbreitet (mit 20,8 Prozent) ist die Trojaner-Familie Win32/Swisyn. Auf Platz zwei (10,7 Prozent) folgt der Trojaner Win32/Meredrop, anschließend kommt Win32/Microjoin (7,1 Prozent, ebenfalls ein Trojaner/Dropper).

Der SIR ist unser halbjährlicher Bericht rund um IT-Sicherheit, wobei der knapp 120 Seiten starke SIR 14 den Zeitraum von Juli bis Dezember 2012 abdeckt. Basis der Analysen sind unter anderem die Meldungen über Schädlinge und Angriffe, die von mehreren hundert Millionen Windows-PCs – mit Zustimmung der Anwender – weltweit an Microsoft übermittelt werden. Die US-Kollegen haben daraus Daten zu Kategorien wie Sicherheitslücken, genutzte Exploits, Malware, Spam, Phishing oder Sicherheitstrends aus mehr als 105 Orten auf der Welt zusammengetragen, analysiert und verständlich aufgeschrieben.

Der komplette Microsoft Security Intelligence Report 14 kann hier als PDF heruntergeladen werden. Zudem haben wir eine 19-seitige Zusammenfassung erstellt, diese ist ebenfalls kostenlos als PDF erhältlich.

TechNet Newsflash vom 25.04.2013 als Podcast

Florian Stadtfeld — Mon, 29 Apr 2013 11:39:00 GMT

Den aktuellen TechNet Newsflash im Audioformat finden Sie im unteren Teil dieses Blogbeitrags. Heike Ritter, Bernhard Frank und Denis Mrksa informieren Sie über Neuigkeiten zu Microsoft-Technologien, aktuelle Angebote, Veranstaltungen und Webcasts.

TechNet Newsflash als mp3.

TechNet Newsflash in Schriftform.

Ich wünsche viel Spaß beim Hören!

Freundliche Grüße,

Florian Stadtfeld

TechNet NewsFlash ab sofort auch im Audioformat!

Florian Stadtfeld — Wed, 24 Apr 2013 14:07:00 GMT

Der kostenlose TechNet NewsFlash informiert Sie alle 14 Tage über die wichtigsten Neuheiten und technischen Ressourcen für IT-Professionals. Ab sofort können Sie den Flash nicht nur in der klassischen Form, sondern auch als Podcast erhalten - für's Auto, die Bahn oder die schnelle Info.

Die Kollegen Heike Ritter und Bernhard Frank haben den letzten NewsFlash aufgezeichnet und werden das nun im 2-wöchentlichen Rhythmus fortführen. Der Flash informiert Sie über neue Microsoft-Inhalte und -Services für IT Professionals, Veranstaltungen, Downloads, Beta & Testversionen, neue Inhalte der Microsoft Virtual Academy und viele andere aktuelle Informationen rund um Windows 8, System Center, Windows Server, SharePoint...

Hier können Sie die mp3-Datei herunterladen. Den NewsFlash mit all den Links zu den angekündigten Veranstaltungen, Downloads etc. aus dem Audio-Flash finden Sie hier: NewsFlash 07/2013

Auch wird es in Kürze ein RSS-Feed dazu geben, damit der aktuellsten Podcast problemlos auf Ihre Audio-Devices gelangt.

Wir freuen uns über Ihr Feedback zum neuen NewsFlash-Format!

Ihr TechNet Team

SHA1, SHA2 und Windows XP & Windows Server 2003

Michael Kranawetter - CSA — Mon, 15 Apr 2013 20:39:00 GMT

Die offizielle Unterstützung für Windows XP mag zwar im April 2014 auslaufen (mehr dazu hier). Wir ignorieren das Betriebssystem deshalb aber natürlich nicht. So ist es uns ein wichtiges Anliegen, auf den Umstieg vom Hash-Algorithmus SHA-1 auf einen der unter SHA2 zusammengefassten Nachfolger hinzuweisen. Zu diesem Wechsel rät unter anderem die US-Behörde NIST.

Wer SHA2 auf Windows XP verwenden möchte, muss dazu das Service Pack 3 installieren. Danach kann Windows XP mit folgenden SHA2-Hashes umgehen: SHA-256, SHA-384 und SHA-512. Beim Windows Server 2003 ist es allerdings etwas komplizierter: Im SP2 ist keine Unterstützung integriert, allerdings lassen sich die Funktionen zumindest teilweise nachrüsten. Die passenden Knowledge-Base-Einträge dafür sind KB938397 und KB968730.

Seit Vista enthalten alle Desktop- und Server-Betriebssystem von Microsoft den sogenannten Cryptography Next Generation Suite B Algorithmus, zu dem auch SHA2 gehört. Wer also Windows Vista, Windows 7, Server 2008 oder Server 2008 R2 betreibt, der muss nichts mehr nachinstallieren.

Empfehlung für den Einsatz mit Windows XP und Server 2003

Im Alltag können vor allem dann Probleme auftreten, wenn ältere Versionen von Windows mit einem Produkt oder einem Dienst eines Drittanbieters interagieren, falls dieser auf SHA2 umsteigt. Die Kollegen des englischsprachigen Windows PKI Blogs haben daher folgende Empfehlungen beim Einsatz ausgesprochen

Wenn Windows XP aktuell in der betroffenen IT-Umgebung genutzt wird, sollte in jedem Fall das Service Pack 3 installiert sein. Das bringt nicht nur die SHA2-Funktionen, es ist zudem die einzige Version von Windows XP, die wir noch unterstützten
Wenn die Windows XP-Systeme Zertifikate von einer SHA2-CA (Certificate Authority) benötigen, sollte der Knowledge Base Eintrag KB968730 angewandt werden
Wenn Windows Server 2003 zum Einsatz kommt, sollten Service Pack 1 oder Service Pack 2 sowie die Patches aus KB938397 eingespielt werden.
Wenn sich der Windows Server 2003 Zertifikate von einer SHA2-CA holen soll, empfehlen wir die Installation von SP2 und KB968730. Letzterer macht zudem KB938397 unnötig.

Sonderfall: S/MIME und Outlook

Neben dem Einsatz zum Login werden Smart Cards auch gerne zum Signieren von E-Mails per S/MIME verwendet. Ist Outlook in Version 2003, 2007 oder 2010 auf einem Rechner mit Windows XP SP3 installiert, kann das Programm ein Zertifikat signieren und validieren, wenn dieses mit SHA2 signiert wurde. Allerdings können die Programme auf Windows XP SP3 keine E-Mail-Nachrichten validieren, wenn diese Nachricht mit SHA2 signiert wurde. Im Gegenzug können Nutzer auf Windows XP ihre Outlook-Nachrichten nur per SHA-1 oder MD5 signieren, SHA2 ist nicht möglich. Um Nachrichten mit SHA2 zu validieren, ist mindestens Windows Vista mit Outlook 2003 notwendig (neuere Systeme und Versionen von Outlook gehen natürlich auch); um SHA2-Nachrichten zu signieren und zu validieren benötigt der Nutzer mindestens Windows Vista und mindestens Outlook 2007.

Die Kollegen im PKI-Blog haben am Ende ihres Beitrags eine sehr gute Übersicht zu den verschiedenen Anwendungsfällen von SHA2 und Windows-Systemen zusammengestellt. Zudem sollten Unternehmen und Nutzer nicht vergessen, dass der Extended Support für Windows XP im April 2014 ausläuft.

Zusätzlicher Schutz für BitLocker-Verschlüsselungen

Michael Kranawetter - CSA — Wed, 03 Apr 2013 10:24:59 GMT

BitLocker haben wir als Sicherheitstechnik seit Windows Vista fest in unsere Betriebssysteme integriert. Die Technik bewährt sich immer wieder gegen Attacken. Allerdings gibt es auch hier theoretische Angriffsszenarien, wie beispielsweise die Spezialisten von Elcomsoft gezeigt haben. Elcomsoft bietet ein Tool, mit dem sich Daten theoretisch auslesen lassen. Dies funktioniert allerdings nur, wenn der Angreifer physischen Zugriff auf den Rechner erhält, um ein Speicherabbild zu erbeuten. Im Speicher-Image finden sich die notwendigen Informationen zum Entschlüsseln der Daten. Chancenlos ist diese Angriffsmethode, wenn das System im Hibernate-Modus ist, also der Inhalt des Arbeitsspeichers komplett auf die Festplatte geschrieben (und damit verschlüsselt) wurde.

Genau hier setzt das Tool You never take me alive (YoNTMA) von iSEC Partners an. Die Anwendung läuft als Dienst auf einem Windows-Rechner mit aktiviertem Bitlocker (unterstützt werden Vista, Windows 7 und Windows 8). Sobald der PC in den Stand-By schaltet, wacht YoNTMA auf. Wird nun das Stromkabel oder ein angeschlossenes Ethernet-Kabel entfernt, versetzt YoNTMA den Rechner sofort in den Hibernate-Modus, verschlüsselt so den Arbeitsspeicher und schützt die Daten gegen die von Elcomsoft gezeigte Attacke.

Um Zweifel an der Funktionstüchtigkeit seines Programms zu zerstreuen – schließlich vertrauen Anwender YoNTMA sensible Daten an – hat iSEC Partners den Quelltext auf GitHub veröffentlicht.

Wie realistisch ist nun so eine Attacke gegen verschlüsselte Daten? Um diese Frage zu beantworten muss man weiter ausholen: Das Elcomsoft-Tool ist nur erfolgreich, wenn es unverschlüsselte Daten des PCs kopieren kann – sprich, der PC oder das Notebook muss aktiv sein, sich im Standy-By-Modus befinden oder über einen Firewire-Anschluss verfügen. Letzteres ist auf Windows Systemen zwar selten, beim Thema Notebook im Stand-By sieht es allerdings anders aus. Vor allem Notebooks werden immer wieder gestohlen, selbst wenn man sie nur kurz aus den Augen lässt. BitLocker, in Kombination mit YoNTMA, schützt solche Daten vor unbefugtem Zugriff. Dann ist zwar immer noch die Hardware verloren. Die sensiblen Informationen, oftmals deutlich wertvoller als das Gerät, sind aber bestmöglich gegen Zugriffe geschützt.

Interessiert? Jetzt kostenlos u.a. zu Windows Server 2012 zertifizieren

Lars Schmoldt — Thu, 21 Mar 2013 09:01:19 GMT

Zertifizierungen sind für IT Professionals bares Geld wert. Mit dem zunehmenden Erfolg von Microsoft Hyper-V als technologische Basis in der virtualisierten Server-Welt, sind Spezialisten rund um Microsoft Technologien natürlich stark gefragt. Nun haben Sie gar die Chance, sich kostenlos zu den aktuellen Produkten Windows Server 2012, System Center 2012, SQL Server 2012, Windows 8 sowie SharePoint und Exchange 2013 zu zertifizieren.

Wo? Und wann? Als Teilnehmer der Synopsis 2013 - der zentralen Server-Konferenz von Microsoft, die am 10. und 11. April in Darmstadt stattfindet. Anmeldung & Information unter http://www.microsoft-synopsis.de. Tipp: 100 Euro sparen Leser des TechNet Deuschland Blogs, wenn Sie sich mit dem Promotioncode "TECHNET2013" anmelden.

Synopsis 2013: Teilnehmer kommen kostenlos ins IT Camp

Lars Schmoldt — Wed, 20 Mar 2013 09:01:00 GMT

Hätten Sie's gewusst? Teilnehmer an der Microsoft Server-Konferenz Synopsis 2013 können an beiden Tagen von 16 bis 20 Uhr IT Camps zu Windows Server 2012 mit System Center 2012 und Dynamic Infrastructure mit Windows Azure besuchen. Kostenfrei versteht sich.

100 Euro sparen Sie - lieber Leser des TechNet Deuschland Blogs - wenn Sie sich ab jetzt unter dem Promotioncode "TECHNET2013" zur Microsoft Synopsis Serverkonferenz anmelden.

Die Synopsis 2013 vereint alle erfolgreichen Microsoft Server-Veranstaltungen wie die SQL Server und SharePoint Konferenz sowie den System Management Summit in einer Konferenz. Die Veranstaltung findet am 10. und 11. April 2013 in Darmstadt statt und richtet sich in erster Linie an IT Entscheider und IT Professionals.

Weitere Informationen und Anmeldung unter http://www.microsoft-synopsis.de und auf XING können Sie auf dieser Seite anzeigen, dass Sie kommen (Stichwort: Networking) und sich bereits im Vorfeld verabreden.