Neues zu Flashback & Co. und WordPress

Geschrieben von Carsten Eilers am Montag, 23. April 2012 um 09:40

Es gibt noch ein paar Neuigkeiten zu Flashback und anderen, die gleiche Schwachstelle ausnutzenden Schädlingen. Und wussten Sie schon, dass Flashback über WordPress-Installationen verbreitet wurde und noch wird?

Abweichungen bei der Anzahl der Infektionen

Es gibt inzwischen stark abweichende Angaben zur Anzahl der mit Flashback infizierten Macs. Laut Intego liegt das u.a. daran, dass einige Nameserver für die von Flashback für die Command&Control-Server verwendeten Domainnamen, vor allem in den Top Level Domains .net, .in und .kz, nicht die IP-Adressen von Sinkhole-Servern (auf denen die Kontaktversuche gezählt werden), sondern 127.0.0.1, also das Loopback-Interface des lokalen Rechners, zurück liefern. Diese infizierten Macs werden also nicht gezählt, so dass die Statistiken unzuverlässig werden. Außerdem sorgt ein Sinkhole-Server dafür, dass die sich mit ihm verbindenden Flashback-Bots hängen bleiben und keine weiteren Server kontaktieren. Das alles führt natürlich zu einer mehr oder weniger starken Verfälschung der Tatsachen.

Prinzipiell müsste das Botnet aber laufend kleiner werden, da immer mehr Macs mit den Update und dem Removal-Tool versorgt werden. Sofern Flashback nicht auch Macs mit Mac OS X 10.5 infiziert, für dass es weder Update noch Removal-Tool gibt. Daher hat Mozilla auch die Initiative ergriffen:

Firefox blockiert alte Java-Plugins

Firefox blockiert unter Mac OS X 10.5 und älteren Versionen das unsichere Java-Plugin. Das ist ja gut gemeint, dürfte aber bei manchen Nutzern für Ärger sorgen. Vor allem, wenn eine Webanwendung plötzlich nicht mehr funktioniert - ohne jeden ersichtlichen Grund, ohne hilfreiche Fehlermeldung. Zumal die Blockade anfangs fehlerhaft war und das Plugin hart blockiert wurde, ohne die Möglichkeit, es wieder zu aktivieren. Auch wurden zeitweilig gar nicht betroffene Java-Plugins blockiert. Da hatte es wohl jemand eilig, die Blockadefunktion auf Java-Plugins auszudehnen.

Man sollte bei Mozilla wohl noch mal über den Unterschied zwischen "Gut gemeint" und "Gut gemacht" nachdenken. Die betroffenen Benutzer sollten dazu gebracht werden, ihre Java-Installation zu aktualisieren. Wie viele wohl stattdessen einfach einen anderen Browser genommen haben? Denn das ist zumindest bei mir die erste Aktion, wenn eine Webanwendung bzw. Website sich in einem Browser merkwürdig verhält. Wenn z.B. das Elster-Portal in Safari nicht läuft, nehme ich Firefox. Wenn es darin nicht läuft, vielleicht Opera oder... Wenn also ein Benutzer wegen des in Firefox nicht laufenden Javas z.B. zum Internet Explorer oder Opera wechselt, läuft sein Java wieder - genau die Version, die er doch eigentlich updaten sollte.

Falls Sie also z.B. das Elster-Portal nutzen müssen, sollten Sie diesmal nicht bis zum letzten Moment mit der Abgabe der Umsatzsteuer-Voranmeldung etc. warten. Es könnte sonst ein unangenehmes Erwachen geben, falls das Java-Plugin blockiert ist oder das Portal mit der neuen Java-Version nicht klar kommt. Mal sehen, ob ich mich selbst an meinen guten Rat halten werden. Vielleicht habe ich ja nächste Woche Zeit und Lust. Obwohl: Lust habe ich dazu eigentlich nie, dazu ist das Programm einfach zu mies.

Aber ich schweife ab, zurück zum Mac:

Sabpab wird immer aktiver, und ein neuer Schädling taucht auf

Sabpab, der (inzwischen nicht mehr so) neue Schädling, der die Java-Schwachstelle ausnutzt, wird immer aktiver. Intego berichtet über damit präparierte Word-Dateien, und Kaspersky hat bestätigt, dass es sich dabei um einen Advanced Persistent Threat handelt.

F-Secure berichtet über einen weiteren neuen Schädling, der die Java-Schwachstelle ausnutzt: "Backdoor:OSX/Olyx.B" wird ebenfalls im Rahmen gezielter Angriffe eingesetzt. Was bei den Websense Security Labs zur Frage "Is CVE-2012-0507 the best toolkit to exploit Mac OS X?" führt. Es sieht jedenfalls ganz so aus, oder? Was ja auch kein Wunder ist: Flashback hat gezeigt, wie erfolgreich der Exploit Macs infizieren kann. Das wollen andere Cyberkriminelle natürlich auch ausnutzen. Aber keine Angst, die nächste ausnutzbare Java-Schwachstelle kommt bestimmt, danach ist diese dann uninteressant.

Und nun noch etwas WordPress

Zu guter Letzt gibt es noch eine Verbindung zwischen Flashback und WordPress, das ja in letzter Zeit schon öfter zur Verbreitung von Schadsoftware missbraucht wurde: Kaspersky berichtet, dass sowohl die Trojaner-Version von Flashback, die sich als angeblicher Flash-Player-Installer ausgab, als auch die über Drive-by-Infektionen installierte aktuelle Version über gehackte WordPress-Seiten verbreitet wurden und werden. Es wäre schön, wenn die betreffenden WordPress-Benutzer mal ihre Installationen updaten und ggf. eingeschleusten Schadcode löschen würden.

Wieso trifft es eigentlich immer wieder WordPress - weil es so verbreitet ist? Oder ist das wirklich so unsicher? Wobei letzteres evtl. weniger an WordPress selbst als an den vielen Erweiterungen liegt. Erinnert sich noch jemand an die Welle von für Remote File Inclusion anfälligen Joomla!/Mambo-Erweiterungen vor ein paar Jahren? Gibt es bei WordPress ein ähnliches Problem, das mir bisher nur entgangen ist? Denn irgend eine Erklärung für diese Masseninfektionen muss es ja geben.

Carsten Eilers

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30