Kommentare zu neuen Angriffen über die 0-Day-Schwachstelle in MS Graphics und mehr

Geschrieben von Carsten Eilers am Montag, 18. November 2013 um 11:45

Eine weitere Angreifer-Gruppe nutzt die 0-Day-Schwachstelle in MS Graphics, es gibt einen neuen 0-Day-Exploit für die japanische Textverarbeitung Ichitaro, und ein chinesischer Schädling ändert über AutoCAD die Startseite des Webbrowsers.

0-Day-Exploit für MS Graphics zum Dritten

Kaspersky hat weitere Informationen zur aktuellen 0-Day-Schwachstelle in Microsoft Graphics / GDI+: Eine weitere Gruppe, die Advanced Persistant Threads einsetzt, verwendet nun auch einen Exploit für diese Schwachstelle. Die "Winnti"-Gruppe hat es insbesondere auf Spieleentwickler abgesehen und verschickt im Rahmen von Spearphishing-Angriffen präparierte Word-Dokumente mit dem Exploit.

Spearphishing hat entgegen seines Namens nicht mit Phishing, also dem Erschleichen von Zugangsdaten und ähnlichem, zu tun, sondern bezeichnet Angriffe, bei denen gezielt bestimmten Benutzern Schadsoftware untergeschoben wird. Wer auch immer den Begriff geprägt hat, hat dabei ganz, ganz weit daneben gegriffen. Um es höflich zu umschreiben. Aber ich schweife ab, zurück zu den neuen Angriffen:

Der Exploit nutzt die gleiche TIFF-Datei wie die "Hangover"-Gruppe, es wird aber ein anderes Schadprogramm eingeschleust, eine am 4. November kompilierte Backdoor. Die "Hangover"-Gruppe nutzte den Exploit bereits einen Monat vorher. Die "Winnti"-Gruppe hat also entweder den Exploit nach der "Hangover"-Gruppe gekauft oder einfach einen "Hangover"-Exploit für ihre Zwecke angepasst. Letzteres würde bedeuten, dass nicht nur die normalen Cyberkriminellen eingesetzte 0-Day-Exploits an ihre Ziele anpassen, sondern auch andere APT-Gruppen. Was verständlich ist, so eine Gelegenheit ungenutzt verstreichen zu lassen wäre ja auch ziemlich dumm.

Wobei mir gerade ausfällt, dass die normalen Cyberkriminellen noch gar nicht auf diesen rollenden 0-Day-Zug aufgesprungen sind. Lange dürfte das aber nicht mehr dauern. Falls Sie also den Workaround noch nicht aktiviert haben, sollten Sie das bald tun. Denn die Cyberkriminellen werden sich kaum mit dem Verschicken von Word-Dateien zufrieden geben, sondern den Exploit im Rahmen von Drive-by-Infektionen einsetzen, und dann kann die Gefahr auf jeder noch so harmlosen Website lauern!

0-Day-Schwachstelle in Ichitaro

Der Vollständigkeit halber (und damit ich meine Übersicht aktuell halten kann) ein Hinweis auf eine weitere 0-Day-Schwachstelle: In der japanischen Textverarbeitung Ichitaro und weiteren Programmen dieses Herstellers wurde ebenfalls eine 0-Day-Schwachstelle entdeckt. Übrigens die zweite in diesem Jahr. Symantec entdeckte die ersten, nicht funktionsfähigen Exploits im September. Funktionsfähige Exploits erwähnt Symantec nicht, entweder hat man dort also keine beobachtet, oder es gibt sie nicht.

Die Exploits wurden per E-Mail verschickt, angesichts des Programms beschränken sich die Angriffe wohl weitgehend auf Japan. Inzwischen gibt es einen Patch für die Schwachstelle, der die CVE-ID CVE-2013-5990 zugewiesen wurde.

Via AutoCAD die Browser-Startseite ändern

ES gibt so viele Schädlinge, dass die Cyberkriminellen dafür immer wieder nach neuen "Lebensräumen" suchen. Kaspersky meldet einen neuen "Start-Page"-Trojaner, der AutoCAD als Plattform für sein Treiben verwendet. Geschrieben ist der Schädling in der AutoCAD-eigenen Programmiersprache AutoLISP, seine Schadfunktion besteht, wie der Name schon vermuten lässt, im Ändern der Startseite des Webbrowsers. Schädlinge für AutoCAD sind nichts Neues, und Trojaner zum Ändern der Browser-Startseite sind in China weit verbreitet.

Neu ist die Kombination, und ich frage mich gerade, wieso man von AutoCAD aus den Webbrowser manipulieren kann. Da scheint es jemand mit der Verknüpfung der Programme etwas übertrieben zu haben. Ich wundere mich aber auch darüber, dass AutoCAD in China anscheinend ja so weit verbreitet ist, dass es sich lohnt, dafür Schädlinge zu schreiben. Eigentlich ist das doch eher ein Programm für Spezialisten, normale Benutzer werden das wohl eher selten verwenden. Wird in China so viel mit AutoCAD gezeichnet?

Zwei Lesetipps

Zum Abschluss noch zwei Lesetipps:

Im Mozilla Security Blog erklärt Julien Vehent Mozillas Konfiguration von SSL/TLS zur Erhöhung der Sicherheit von HTTPS-Verbindungen: "Navigating the TLS landscape".
Im ISC Diary beschreibt Johannes Ullrich die Auswirkungen der Caching-Header auf die Sicherheit: "The Security Impact of HTTP Caching Headers". Werden die falsch eingesetzt, landen womöglich nur nach einer Authentifizierung zugängliche Seiten im Cache, und das will man ja im Allgemeinen nicht.

Carsten Eilers

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Montag, 25. November 2013: Kein 0-Day-Exploit für vBulletin, dafür ein neuer AutoCAD-Schädling und mehr

Vorschau anzeigen

Heute gibt es mal wieder Kommentare zu einigen Neuigkeiten zu älteren Meldungen. Los geht es mit dem 0-Day-Exploit für vBulletin, der sich allem Anschein nach als Fake entpuppt hat. Außerdem gibt es einen neuen AutoCAD-Schädlin

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30