Skip to content

Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr

Heute gibt es Kommentare und Neuigkeiten...

... zu einem Java-Exploit

Brian Krebs berichtet, dass auf dem Schwarzmarkt ein Exploit für eine bisher unbekannte Schwachstelle in Java angeboten wird. Vermutlich dürften die Entwickler des sich auf Java spezialisierenden Exploit-Kits Gong Da / Gondad Interesse an dem Exploit haben. Generell nehmen Angriffe auf bzw. über Java ja seit einiger Zeit ständig zu und Java hat Adobe Reader und Flash Player bereits den Spitzenplatz bei den ausgenutzten Programmen streitig gemacht. Sollte es jetzt auch dem Spitzenplatz bei 0-Day-Exploits an den Kragen gehen?

... zur 0-Day-Schwachstelle in Adobe Reader X

Da ich gerade den Adobe Reader und 0-Day-Exploits erwähnt habe: Zur Anfang November gemeldeten 0-Day-Schwachstelle im Adobe Reader X gibt es immer noch nichts Neues. Weder eine Bestätigung, noch eine Entwarnung. Und das kann ja eigentlich nur Schlechtes bedeuten. Wenn die Schwachstelle eindeutig nicht vorhanden wäre und der Exploit nicht funktioniert, hätte Adobe ja wohl längst Entwarnung gegeben. Hat Adobe die Schwachstelle also immer noch nicht ausreichend untersucht, um ihr Vorhandensein zu bestätigen oder zu widerlegen? Ich vermute daher, dass die Schwachstelle existiert und Adobe erst einen Patch dafür entwickeln will, bevor sie bestätigt wird. Und das ist dann gar nicht gut.

... zu Exploit-Kits

Los geht es mit einer Neuigkeit, die eigentlich längst veraltet ist: Gabor Szappanos von SophosLabs hat das Exploit-Kit Blackhole untersucht und in einem Whitepaper beschrieben. Nachdem Version 2.0 des Exploit-Kits veröffentlicht wurde, hielt man die Veröffentlichung von Informationen über die Vorgängerversion für ungefährlich.

Der Schwerpunkt liegt auf der im Mai 2011 im Internet veröffentlichten Version 1.0.2. Der Text ist aber unvollständig und endet mit einem Verweis auf NakedSecurity, um über Erweiterungen informiert zu werden. Grundlegend Neues steht im veröffentlichten Text nicht drin, ich hoffe das ändert sich mit den folgenden Versionen.

Neu sind die Informationen, die Trend Micro veröffentlicht hat: Einen Überblick über die aktuellen Entwicklungen bei einigen Exploit- und Malware-Kits, darunter Zeus und seinem Dauer-Rivalen SpyEye sowie das eben schon erwähnte Blackhole. Im Gegensatz zum Whitepaper von Gabor Szappanos gibt es hier aber nur sehr kurze Statusmeldungen.

... zur Passwortsicherheit

Wie wichtig es ist, ein sicheres Passwort zu wählen, habe ich ja schon des öfteren erwähnt. "s!a@m#n$p%c" ist ein sehr sicheres Passwort. Wenn es nicht gerade das fest kodierte Passwort für den SNMP-Zugang (Simple Network Management Protocol) für Samsung-Drucker (und einige von Samsung für Dell produzierte Drucker) wäre. So ist es eine Hintertür, für die bereits Details samt dem Passwort (bzw. genauer dem "SNMP Community String") veröffentlicht wurde. Der erlaubt den vollständigen Schreib- und Lesezugriff mit Administrator-Rechten.

Nicht betroffen sind nach dem 31. Oktober 2012 auf dem Markt gebrachte Geräte. Laut Website des US-CERT wurde sowohl von Dell als auch von Samsung ein Update-Tool für alle aktuellen Modelle veröffentlicht und für alle anderen bis zum Ende des Jahres angekündigt. Als Workaround kann laut Samsung SNMP ausgeschaltet oder zur sicheren Version SNMPv3 gewechselt werden. Das US-CERT bezweifelt aber, dass das reicht. Laut den veröffentlichten Details wird für die Kommunikation an Stelle der Standard-SNMP-Ports der UDP-Port 1118 verwendet.

Mal überlegen: Da wird ein unüblicher Port verwendet, um einen fest kodierten Zugang in die Firmware einzubauen. Sicheres Passwort hin oder her (immerhin ist das schon mal eine deutliche Verbesserung gegen die sonst üblichen Default-Passwörter wie admin, access etc.), das sieht doch sehr nach Absicht aus. Man kann ja vielleicht vergessen, ein für Testzwecke hart kodiertes Passwort vor der Veröffentlichung zu löschen, aber wieso sollte man für Testzwecke einen anderen Port verwenden? Es ist doch ziemlich unpraktisch, wenn man ein standardisiertes Protokoll mit üblicher Software testen soll, dafür aber einen unüblichen Port verwenden muss. Da bin ich ja mal auf die Erklärung von Samsung gespannt, wie das passiert ist. Vorerst hat man bekanntgegeben, dass über Angriffe über die Hintertür nichts bekannt ist. Aber das kennen wir ja schon. Vermutlich verwenden die Softwareunternehmen dafür extra eine angepasste Word-Version, die diese Floskel automatisch in jedes Security Advisory etc. einfügt.

... zu Schadsoftware mit mehreren Gesichtern

Auch zu zwei in der vorigen Woche erwähnten Vorfällen gibt es Neuigkeiten. Paul Ducklin geht auf NakedSecurity, Sophos Sicherheits-Blog, auf das neue Linux-Rootkit ein und erklärt auch, was ein Rootkit ist: 'FLAMING RETORT: Linux rootkit news "provides some comic relief"'.

Interessant ist dabei aber vor allem ein Punkt: Das Rootkit enthält eine Liste mit 854 IP-Adressen, an die keine modifizierten Seiten ausgeliefert werden. Darunter Google, was verständlich ist: Die Cyberkriminellen möchten schließlich so lange wie möglich ihr Unwesen treiben, und wenn Google erst mal über Schadsoftware auf einer Seite gestolpert ist, stellen die sofort ein Warnschild auf. In den Suchergebnissen wird dann vor der möglichen Bösartigkeit der betreffenden Website gewarnt. Wieso aber Mobiltelefone ausgenommen werden, ist nicht so offensichtlich. Ich vermute mal, dass es für die keine Exploits gibt und man einfach verhindern möchte, dass die Benutzer durch eine durch die Manipulation "falsch" aussehende Seite auf die Manipulation aufmerksam werden und den Admin informieren. Wie auch Paul Ducklin in Sophos Blog schreibt, zeigt das mal wieder, wie leicht es für die Cyberkriminellen ist, sich hinter verschiedenen "Masken" zu verstecken.

... zu einem alten neuen (oder neuen alten?) Wurm

Kaspersky hat den im Nahen Osten sein Unwesen treibenden Wurm untersucht, der es auf die Zerstörung von SQL-Datenbanken abgesehen hat. Man hat dabei festgestellt, dass der Wurm 2009-2010 kompiliert wurde und daraus geschlossen, dass er auch schon so lange unterwegs ist. Vielleicht geht aber auch nur die Uhr im Rechner des Wurm-Entwicklers ganz furchtbar nach. Oder er hat sie absichtlich verstellt, um die Antivirenhersteller zu täuschen.

Ein besserer Hinweise auf das Alter des Wurm ist die Tatsache, dass die ersten Exemplare bereits im August 2010 von Kaspersky eingesammelt wurden. Wann er vom Kaspersky-Virenscanner erstmals erkannt wurde, wird (wohlweislich?) verschwiegen. Dafür aber auf eine CERT-Warnung aus dem Juni 2010 verwiesen, in der vor dem Wurm gewarnt wird. Und aktuell warnt das iranische CERT vor dem Wurm und weist dabei darauf hin, dass er seit 2010 unterwegs ist.

Ziel der Angriffe sind Kaspersky zu Folge drei Finanz-Anwendungen des iranischen Unternehmens TarrahSystem, das seine Kunden aktuell auch vor dem Schädling warnt. Ein zerstörerischer, also ganz und gar nicht unauffälliger, Wurm bleibt 2-3 Jahre unentdeckt? Sollte ich mal wieder was über die Antivirenhersteller und ihre Produkte schreiben?

Carsten Eilers

Trackbacks

Keine Trackbacks