datenbank

Avast verteilt Malware mit Optimierungsprogramm

So hatten sich Nutzer die Optimierung des PCs sicher nicht vorgestellt: Eine Version von CCleaner wurde für rund einen Monat mit Malware ausgeliefert.

Der Antivirenhersteller Avast hat mit einer ordentlich signierten Version des Optimierungsprogramms CCleaner Malware verteilt. Wie das zu Cisco gehörende Talos-Team in einem Blogbeitrag schreibt, war in dem Installationspaket eine Zeit lang ein Schadprogramm enthalten.

Die betroffene Version 5.33 für 32-Bit-Architektur wurde am 15. August erstmals auf die Seite gestellt, mit Version 5.34 wurde das Problem behoben. Diese ist am 12. September veröffentlicht worden. Die Malware-Version von CCleaner war nach Angaben von Talos direkt auf dem offiziellen Server gehostet. Frühere, nicht betroffene Versionen sind weiterhin verfügbar, Version 5.33 hingegen nicht mehr.

Malware war ordentlich signiert

Für Nutzer gab es dem Blogpost zufolge keine Möglichkeit, die verseuchte Version zu erkennen. Sie war mit einem gültigen Zertifikat für Piriform Ltd. signiert. Piriform ist der ursprüngliche Hersteller von CCleaner und wurde von Avast übernommen. Nach Angaben von Cisco habe es “erheblichen” Traffic zu den in der Malware enthaltenen Domains gegeben, nachdem die infizierte Datei hochgeladen wurde.

mehr…

Quelle: www.golem.de

Word Global

Microsoft Outlook: Wichtige Sicherheitsupdates schließen Lücken

In Outlook klaffen drei Schwachstellen. Nutzen Angreifer diese aus, können sie schlimmstenfalls die Kontrolle über Computer erlangen.

Wer Outlook 2007, 2010, 2013 oder 2016 installiert hat, sollte sicherstellen, dass die aktuellen Sicherheitsupdates installiert sind: In den E-Mail-Komponenten der Outlook-Versionen klaffen drei Sicherheitslücken. Microsoft verteilt die als “wichtig” eingestuften Aktualisierungen automatisch über Windows Update. Aktuell soll es keine Übergriffe geben. Das Notfall-Team des BSI CERT Bund stuft das Risiko als “hoch” ein.

Angreifer können die drei Schwachstellen nur ausnutzen, wenn sie ein Opfer dazu kriegen, eine präparierte Datei im E-Mail-Anhang zu öffnen. Ist das der Fall, können Angreifer Speicherfehler provozieren und eigenen Code ausführen (CVE-2017-8663). Außerdem sollen sie Sicherheitsmechanismen umgehen und so Befehle auf gefährdeten System ausführen können (CVE-2017-8571). Darüber hinaus sollen Angreifer durch das Ausnutzen der Lücke mit der Kennung CVE-2017-8572 Speicherinformationen auslesen können. (des)

Quelle: heise.de

blue code background

Patchday bei Microsoft: Erneut SMB-Schwachstelle geschlossen

Im Juli schließt Microsoft bei seinem Patchday insgesamt 19 kritische Sicherheitslücken in Windows, Office, Exchange und den Browsern IE und Edge. Außerdem schließt die Firma eine kritische Lücke in der Augmented-Reality-Brille HoloLens.

Microsoft hat seinen allmonatlichen Patchday hinter sich gebracht und auf Windows-Anwender warten auch diesmal wieder eine Reihe Sicherheitsupdates, die schnellstmöglich installiert werden wollen. Insgesamt hat die Firma 54 verschiedene Lücken gestopft, 19 davon schätzt Microsoft als “kritisch” ein. Unter anderem dichtet die Firma eine Schwachstelle im Suchdienst von Windows (CVE-2017-8589) ab, die alle unterstützten Versionen von Windows Server sowie Windows 8 bis 10 betrifft. Diese kann über das Filesharing-Protokoll SMB ausgenutzt werden – SMB hatte in der jüngeren Vergangenheit als Verbreitungsvektor mehrerer Erpressungstrojaner auf sich aufmerksam gemacht.

Remote Code Execution in Microsofts AR-Brille HoloLens

Abgesehen von Windows und Windows Server gibt es ebenfalls Updates für Microsoft Office und Exchange, sowie für die Browser Edge und Internet Explorer. Sechs der 19 kritischen Lücken sind vom Typ Remote Code Execution, können von Angreifern also dazu missbraucht werden, Schadcode aus der Ferne auszuführen – in der Regel führt das dazu, dass der Angreifer teilweise oder sogar gänzlich die Kontrolle über das System erhält. Eine Lücke dieser Art (CVE-2017-8584) befindet sich in Microsofts AR-Brille HoloLens, was wohl eine Premiere für dieses Gerät darstellt. Laut Microsoft kann die Alternate-Reality-Brille über ein manipuliertes Wifi-Paket gekapert werden, ohne dass sich der Angreifer irgendwo anmelden muss.

Die Browser Edge und IE enthalten die Mehrzahl der kritischen Lücken. Hier ist vor allem die Speicherverwaltung der Scripting Engine beider Browser anfällig – Angreifer können das missbrauchen, um mit präparierten Webseiten Schadcode in das System einzuschleusen und auszuführen.

Detaillierte Liste der geschlossenen Lücken

Eine Auflistung aller von Microsoft geschlossenen Lücken nach CVE-Nummer findet sich bei HPs Zero Day Initiative. Microsoft hat ebenfalls ein paar Informationen zu den Patches zusammengestellt. Unter anderem weist die Firma hier wie immer darauf hin, dass Windows 10 kumulative Updates erhält. Das Betriebssystem erhält also in der Regel immer nur ein Sicherheitsupdate, das Patches für alle Lücken enthält, die dort bisher nicht mit früheren Updates geschlossen wurden. (fab)

Quelle: heise.de

Word Global

Ransomware: Webhoster zahlt 1 Million Dollar Lösegeld

Die Angreifer verschlüsselten die Daten auf 153 Servern und auch das Backup. Die zuvor auf Windows ausgerichtete Schadsoftware Erebus wurde für Angriffe auf Linux-Systeme modifiziert. Mit veralteter und angreifbarer Software machte es der südkoreanische Hoster den Erpressern leicht.

Der südkoreanische Webhoster Nayana ist Opfer einer Ransomware-Attacke geworden und hat sich mit über einer Million Dollar Lösegeld freigekauft. Das Unternehmen zahlte die Rekordsumme von 1,3 Milliarden Won (1,14 Millionen Dollar), um wieder an die verschlüsselten Daten zu kommen.

Ransomware (Bild: Shutterstock)

Nayana wurde am 10. Juni angegriffen und informierte daraufhin die Aufsichtsbehörde Korea Internet and Security Agency (KISA). Von der Verschlüsselung betroffen waren 153 von insgesamt 300 Servern, und damit wurden auch Tausende von Websites unerreichbar. Die Angreifer sperrten die ursprünglichen Daten und das Backup mit einem Passwort, sodass Nayana auch keine Wiederherstellung möglich wear.

Die Forderung betrug zuerst 826,2 Bitcoin oder 2,7 Milliarden südkoreanische Won. Wie ZDNet Korea (Google-Übersetzung) berichtet, reduzierten die Erpresser ihre Forderung später auf 1,8 Milliarden Won und einigten sich schließlich mit Nayana auf zu zahlende 1,3 Milliarden Won.

Die Zahlung wurde in drei Teilbeträgen vereinbart. Um sie leisten zu können, musste Nayana Firmenanteile durch ein Unternehmen beleihen, das ihm zuvor ein Übernahmeangebot unterbreitet hatte. Die Hacker lieferten bislang den Schlüssel, um 50 der betroffenen 153 Server wiederherstellen zu können. Bis zum Ende des Monats hofft der erpresste Hoster, wieder über 90 Prozent seiner Server verfügen zu können.

Trend Micro machte die Ransomware Erebus hinter dem Angriff aus. Diese Schadsoftware war früher nur für Angriffe auf Windows-Rechner ausgelegt, wurde aber kürzlich in einer Variante modifiziert, um Linux-Systeme angreifen zu können. Die Verschlüsselung erfasste insgesamt 433 Dateitypen. Dabei ging es den Angreifern nicht nur um übliche Office-Dokumente, Datenbanken, Archive und Multimedia-Dateien, sondern gezielt um um die Verschlüsselung von Webservern und den auf ihnen gespeicherten Daten.

Wie der Angriff im Detail erfolgte, ist noch unklar. Die Sicherheitsexperten merken aber an, dass Nayana sich auf ebenso veraltete wie angreifbare Software verließ. So soll die Website des Hosters auf dem Linux-Kernel 2.6.24.2 laufen, der 2008 kompiliert wurde. Durch längst bekannte und nicht gepatchte Sicherheitslücken könnten die Angreifer daher Root-Rechte erlangt haben. Weitere Einfallstore öffneten 2006 veröffentlichte Versionen von Apache (1.3.36) und PHP (5.1.4) – auch für sie gibt es inzwischen reichlich Exploits.

Quelle: zdnet.de

electronic circuit board

Patchday: Microsoft sichert XP und Vista ab, warnt vor neuem WannaCry

In einem bisher nicht dagewesenen Schritt hat Microsoft am Patchday Updates für Windows-Versionen ausgeliefert, die nicht mehr unterstützt werden. Die Firma entschloss sich dazu, da sie weitere WannaCry-ähnliche Attacken befürchtet.

Wer noch Windows-XP- oder Vista-Rechner mit Internetanbindung betreibt, wird sich beim Anschalten heute Morgen gewundert haben: Microsoft hat Updates für die beiden Betriebssysteme veröffentlicht, obwohl sie von der Firma eigentlich nicht mehr unterstützt werden. In einem bisher nie dagewesenen Schritt will Microsoft damit weitere WannaCry-ähnliche Angriffe verhindern. Der Verschlüsselungstrojaner hatte der Firma so stark zugesetzt, dass sie Updates außer der Reihe veröffentlicht hatte – auch für Vista und XP.

Microsoft befürchtet weitere Angriffe

Microsoft hat nach eigenen Angaben beim Stopfen der WannaCry-Lücken weitere Schwachstellen in Windows entdeckt, die für ähnliche Angriffe missbraucht werden könnten. Die Firma hält das offensichtlich für so wahrscheinlich, dass diese Lücken auch für Vista und XP mit Patches dicht gemacht wurden; obwohl dies eigentlich den eigenen Support-Grundsätzen widerspricht. Offiziell spricht Microsoft von einem “erhöhten Risiko” für Windows-Nutzer. Alle Windows-Versionen ab Windows XP und neuer werden über Microsofts Update-Dienste automatisch mit den Patches versorgt. Angesichts der ungewöhnlichen Entscheidung der Firma sollten Windows-Nutzer die Patches sofort installieren.

Genauere Details zu den Sicherheitslücken und der Art der befürchteten Angriffe hat Microsoft nicht mitgeteilt. Wer genau wissen will, welche Lücken Microsoft geschlossen hat, für den hat das Talos-Intelligence-Sicherheitsteam von Cisco eine Liste mit CVE-Nummern zu den Patchpaketen von Microsoft zusammengetragen. Die offiziellen Release Notes der Firma sind, wie neuerlich üblich, sehr spärlich und die Patchliste ist unübersichtlich.

Der Einsatz von XP ist nicht mehr verantwortbar

Obwohl Microsoft in diesem Fall Updates für XP und Vista verteilt hat, ist davon abzuraten, diese Betriebssysteme weiter einzusetzen. Sicherheitsforscher raten fast geschlossen von einem solchen Verhalten ab. Zu Zeiten von Schadcode-Wellen wie WannaCry haben stichprobenartige Tests von heise Security ergeben, dass XP-Rechner die mit dem Internet verbunden sind, zum Teil innerhalb von Minuten infiziert werden.

Gibt es also eine Lücke im Betriebssystem, für die Microsoft noch keine Patches verteilt hat, sind diese Rechner einem überdurchschnittlichen Risiko ausgesetzt. Anders sieht es nur aus, wenn Firmen viel Geld für außerordentlichen Support für diese Rechner an Microsoft zahlen.

Quelle: heise.de

blue code background

Veraltete Systeme sind eine grosse Gefahr

Die Schadsoftware «Wanna Cry» hat Hunderttausende von Computern lahmgelegt. Viele Firmen sind betroffen. Was ist passiert, und wie können Sie sich schützen? Die wichtigsten Antworten im Überblick.

Das grösste Sicherheitsrisiko für Firmen ist der Mensch. Doch auch veraltete Computersysteme sind eine grosse Gefahr. Wie der Cyberangriff «Wanna Cry» vom Freitag zeigt, ist oft nicht einmal ein Mausklick nötig, um von der Schadsoftware befallen zu werden. Über 200’000 Systeme und Computer wurden angegriffen. Zudem zeigen Daten, dass über 1,3 Mio. Computer noch nicht gegen Angriffe dieser Art geschützt sind. Die Hacker forderten von den Computerbenutzern und Firmen Lösegeld, sonst würden die Daten unwiderruflich gelöscht. Die wichtigsten Fragen und Antworten im Überblick. Mehr …

Quelle: www.nzz.ch

Word Global

DoubleAgent: Zero-Day-Attacke bedroht alle Windows-Systeme

“Das BSI warnt vor der neuen Zero-Day-Attacke DoubleAgent. Sie macht sogar Antivirus-Software zum Einfallstor für Malware. Betroffen sind alle Windows-Versionen.

Die isrealische Sicherheitsfirma Cybellum hat eine “DoubleAgent” getaufte, schwere Windows-Sicherheitslücke entdeckt, die alle Versionen des Betriebssystems von Windows XP bis Windows 10 betrifft.  Ziel der Attacke ist ein 15 Jahre altes Windows-Feature, der Microsoft Application Verifier. Dieses Windows-Tool wird eigentlich von Entwicklern genutzt, um .DLL-Bibliotheken testweise für die Fehlersuche in Prozesse zu laden.” mehr …

Quelle: pc-magazin.de

blue code background

Unbedingt Updaten. Aktuell finden wieder vermehr Angriffe auf WordPress-Webseiten statt.

“Nach der Verunstaltung von verwundbaren WordPress-Webseiten versuchen Angreifer nun Schadcode auszuführen, warnen Sicherheitsforscher.

Wer noch immer die durch aktuelle Angriffe gefährdeten WordPress-Ausgaben 4.7 und 4.7.1 einsetzt, sollte dringend die abgesicherte Version 4.7.2 installieren: Derzeit versuchen Angreifer Schadcode auf verwundbaren WordPress-Webseiten zu platzieren und auszuführen, warnen Sicherheitsforscher von Sucuri.”

Quelle:

https://www.heise.de

Deaf woman and man ear

Die Nutzung von Adobe Flash Plugin wird nun auch durch Microsoft eingeschränkt

Die Nutzung von Adobe Flash Plugin wird bereits durch Apple, Google und Mozilla und nun auch durch Microsoft eingeschränkt.

“Microsoft deaktiviert mit dem kommenden Creators-Update seines Windows-10-Browsers Edge das integrierte Flash-Plug-in von Adobe. Damit ist der Softwarekonzern nach Google und Mozilla der nächste, der die Nutzung von Flash in seinem Browser einschränkt. Die Absicht dahinter: Entwickler sollen zum Umstieg auf HTML5 bewegt werden.”

Quelle: http://www.cnet.de

electronic circuit board

Computer dürfen mit vorinstallierter Software verkauft werden

Eine Klage gegen den Verkauf von Computern mit vorinstallierter Software sowie Betriebssystem scheiterte vor dem Europäischen  Gerichtshof (EuGH).

Computer dürfen auch in Zukunft mit vorinstallierter Software wie etwa einem Windows-Betriebssystem verkauft werden. Solch ein Kopplungsgeschäft sei keine unlautere Geschäftspraxis, solange das wirtschaftliche Verhalten der Verbraucher dadurch nicht beeinflusst werde, entschied der Europäische Gerichtshof (EuGH) in Luxemburg (Az. C-310/15). Die genauen Umstände habe das nationale Gericht zu prüfen. Das oberste Gericht Frankreichs hatte die EuGH-Richter um Hilfe bei der Auslegung von EU-Recht gebeten.

Im aktuellen Fall hatte der Kläger in Frankreich einen Sony-Computer für 549 Euro gekauft. Die vorinstallierte Software, das Betriebssystem Microsoft Windows Vista und verschiedene Anwendungen, wollte der Kläger aber nicht und forderte von Sony die Erstattung der Kosten für diese Software. Sony lehnte dies ab und bot dem Kläger die Rückabwicklung des Kaufes an.

Der EuGH sieht in solch einem Kopplungsgeschäft grundsätzlich kein Problem. In der Begründung hieß es, vorinstallierte Betriebssysteme erfüllten die Erwartungen der meisten Verbraucher, einen sofort nutzbaren Computer zu kaufen. Zudem sei der Kläger vom Sony-Händler über die vorinstallierte Software “gebührend informiert” worden. Ihm sei auch ermöglicht worden, den Kauf zu widerrufen.

Quelle: zeit.de/digital/