Kommentare zur 0-Day-Schwachstelle in MS Office und weiterer Schadsoftware
Es gibt eine interessante Neuigkeit zur 0-Day-Schwachstelle in MS Office, außerdem ein paar kommentierte Links zu Schadsoftware. Und dann habe ich noch einen Lesetipp für Sie: Auf Wired hat Moxie Marlinspike erklärt "Why ‘I Have Nothing to Hide’ Is the Wrong Way to Think About Surveillance". Das sollten Sie unbedingt lesen! Auch und gerade wenn Sie denken, Sie haben nichts zu verbergen!
0-Day-Schwachstelle seit 2009 ausgenutzt?
Eric Romang hat zusammengefasst, was über die 0-Day-Schwachstelle in MS Office bekannt ist. Das meiste davon steht auch schon in meinem Artikel vom 13.6., es gibt aber eine neue Entdeckung: Bei weiteren Untersuchungen hat Eric Romang eine Word-Datei entdeckt, die am 28. Oktober 2009 auf VirusTotal hochgeladen wurde und deren Erstellungsdatum der 26. Oktober 2009 ist. Inzwischen wird in dieser Datei der Exploit für die aktuelle 0-Day-Schwachstelle entdeckt. Eric Romang schließt daraus, dass die Schwachstelle bereits seit Oktober 2009 ausgenutzt wird. Eine 0-Day-Schwachstelle, die 3 1/2 Jahre unentdeckt ausgenutzt wird - das ist doch ziemlich beängstigend, oder?
Die Schwachstelle befindet sich in Microsoft Office 2003 Service Pack 3 für Windows. Es ist also durchaus möglich, dass sie von Anfang an vorhanden war. Wie sie dann in Microsoft Office for Mac 2011 für Mac OS X gelangt ist, möchte ich eigentlich gar nicht wissen. Denn das sollte ja nach dem SDL entwickelt und daher kein alter Code ungeprüft übernommen worden sein.
Es gibt noch eine andere mögliche Erklärung für das Auftauchen des Exploits in der Word-Datei von 2009: Der Exploit ist ja nicht in der Word-Datei selbst enthalten, sondern wird über HTTP nachgeladen. Und das bedeutet, er kann jederzeit ausgetauscht werden. Es ist also auch möglich, dass die Word-Datei 2009 einen ganz anderen Exploit geladen hat als sie es nun tut. Wie wahrscheinlich das ist wage ich nicht mal zu raten.
Antivirenhersteller rat- oder sprachlos?
Bei den Antivirenherstellern herrscht immer noch weitgehend das Schweigen im Walde, wenn es um die 0-Day-Schwachstelle gibt. Lediglich Symantec hat einen Blogartikel veröffentlicht, aber der ist mit Vorsicht zu genießen. Denn darin steht
"Last Tuesday, June 11, 2013, Microsoft released a security bulletin (MS13-051) which covers a number of vulnerabilities. One of the vulnerabilities..."
(Hervorhebung von mir)
Anscheinend hat man bei Symantec das Bulletin MS13-051 nicht richtig gelesen, denn das betrifft nur genau eine Schwachstelle, eben die 0-Day-Schwachstelle:
"This security update resolves one privately reported vulnerability in Microsoft Office."
(Hervorhebung von mir)
Außerdem gibt Symantec bekannt, dass der Exploit als Trojan.Mdropper erkannt wird. In der zugehörigen Beschreibung steht:
"Trojan.Mdropper is a detection name used by Symantec to identify malicious software programs that exploit Microsoft Word or Excel vulnerabilities to drop other malware on to the compromised computer."
Mit anderen Worten: Die Signatur für den aktuellen Schadcode wurde in der passenden Schublade einsortiert. Schublade zu, fertig? Warten wir es ab (was anderes bleibt uns ja sowieso nicht). Ich finde es allerdings bemerkenswert, dass die Antivirenhersteller zu diesem 0-Day-Exploit so schweigsam sind. Ist denen etwa peinlich, dass sie den Schädling womöglich sein Oktober 2009 übersehen haben? Diesmal zieht die Ausrede "Der ist so gross, wer rechnet denn damit, dass das ein Schädling ist?" jedenfalls nicht.
AutoRun-Würmer in JavaScript und Java
Konstantin Markov von Kaspersky
berichtet
über zwei neue AutoRun-Würmer: Worm.JS.AutoRun und
Worm.Java.AutoRun. Beide sind stark getarnt, installieren eine
Backdoor - und verbreiten sich, indem sie sich selbst und ihre
Konfigurationsdatei autorun.inf
in die Root-Verzeichnisse von
logischen Laufwerken, Wechselmedien und Netzwerklaufwerken kopieren. Um
nicht zu schnell entdeckt zu werden, ändern die Würmer ihren Code
während der Verbreitung. Was ihnen nun einen Artikel auf Kasperskys
Website Securelist eingebracht hat. Klarer Fall von "Dumm gelaufen".
Um AutoRun-Würmern zu stoppen, sollte die AutoRun-Funktions auf alten Windows-Versionen ausgeschaltet werden. Ab Windows 7 dürfen sowieso nur noch Programme von CD/DVD-Laufwerken automatisch starten, auf anderen Wechselmedien wie zum Beispiel USB-Sticks wird die Funktion ausgeschaltet. Was sich durch spezielle Hardware aber umgehen lässt, zum Beispiel indem ein präparierter USB-Stick sich als CD-Laufwerk mit eingelegter CD ausgibt.
Mal wieder signierte Schadsoftware
Würden Sie das Programm Word13.exe
starten, wenn es eine
gültige Signatur von Adobe aufweist? Hoffentlich nicht, denn diese
Signatur ist
gefälscht,
wie Symantec berichtet. Das Programm trägt zwar eine Signatur, die
angeblich von "Adobe Systems Incorporated" statt, das zugehörige
Root-Zertifikat wurde aber angeblich von "Adobe Systems
Incorporated" ausgestellt und wird als nicht vertrauenswürdig
eingestuft. Und das ist auch völlig korrekt, denn Adobes richtiges
Zertifikat wurde von VeriSign ausgestellt. Wird das Programm ausgeführt,
installiert es eine Backdoor. Sie sehen also wieder einmal ein Beispiel
dafür, wie wichtig es ist, Zertifikate
aufmerksam
zu prüfen.
37 neue gute Gründe gegen das Java-Plugin im Webbrowser
Noch kurz zwei Hinweise zu Java: Oracles nächster Patchday für Java findet am 18. Juni statt. Behoben werde dann 40 Schwachstellen, von denen 37 die Ausführung beliebigen Codes aus der Ferne erlauben. Das sind 37 Möglichkeiten für Drive-by-Infektionen und 37 weitere gute Gründe, Java im Browser aus zu schalten, wenn Sie es nicht zwingend benötigen. Für Windows-Benutzer gibt es seit dem 29. Mai eine weitere Möglichkeit, Java im Internet Explorer aus zu schalten: Ein FixIt-Tool.
Ach ja: Ob bei den 37 Java-Schwachstellen mit Remote Code Execution wohl wieder eine 0-Day-Schwachstelle dabei ist?
Trackbacks
Dipl.-Inform. Carsten Eilers am : Statt Kommentaren Lesetipps zum Wochenanfang
Vorschau anzeigen