Kein 0-Day-Exploit für vBulletin, dafür ein neuer AutoCAD-Schädling und mehr
Heute gibt es mal wieder Kommentare zu einigen Neuigkeiten zu älteren Meldungen. Los geht es mit dem 0-Day-Exploit für vBulletin, der sich allem Anschein nach als Fake entpuppt hat. Außerdem gibt es einen neuen AutoCAD-Schädling, großmaßstäbliche Man-in-the-Middle-Angriffe und mehr.
vBulletin: 0-Day-Exploit äußerst unwahrscheinlich
Fangen wir mit dem angeblichen 0-Day-Exploit für vBulletin an. Mir kam der ja von Anfang an merkwürdig vor, und inzwischen sieht das wirklich ganz extrem nach einem Fake aus. Denn die einzige Neuigkeit zu diesem Exploit liefert vBulletin selbst: Die Analyse des Angriffs ist abgeschlossen, die Angreifer sind nicht über eine Schwachstelle in vBulletin in die Server eingedrungen sondern haben ausgespähte Zugangsdaten verwendet. Da es auch keine Berichte über weitere Angriffe über die angebliche 0-Day-Schwachstelle in vBulletin gibt, spricht alles gegen ihre Existenz. Denn wenn es sie gäbe, würde sie ja wohl auch ausgenutzt.
Übrigens wurde der Exploit nach Recherchen von Brian Krebs von mindestens einer Person gekauft. Zwei angebliche Käufer haben in den Kommentaren unter Brian Krebs Artikel berichtet, dass das "Inj3ct0r Team" den auf der Website 1337day.com angebotenen Exploit nicht liefern kann. Insgesamt dürfte damit die Wahrscheinlichkeit für einen Betrugsversuch deutlich größer sein als die für einen funktionierenden 0-Day-Exploit. Die Käufer haben leider mit Bitcoins gezahlt und dürften ihr Geld los sein. Geschickterweise haben die Verkäufer auch keine andere Zahlmöglichkeit angeboten, und eine "Geld zurück"-Garantie gibt es natürlich auch nicht. Insgesamt ist das ein klarer Fall von "Glück gehabt!". Nicht für die Exploit-Käufer, dafür für die Allgemeinheit.
AutoCAD-Schädling öffnet Hintertür
Vorige Woche habe ich über einen AutoCAD-Schädling
berichtet,
der in China die Startseite der Webbrowser ändert, jetzt gibt es
schon den nächsten: TrendMicro
warnt
vor einer angeblichen AutoCAD-Erweiterung mit der Datei-Extension
.FAS, die die angegriffenen Systeme für weiter Angriffe
öffnet. Zuerst wird ein neues Benutzerkonto mit Admin-Rechten
angelegt, danach Netzwerk-Shares für alle Laufwerke von
C: bis I: angelegt und die vier Ports 137-139 und
445 geöffnet. Die gehören zum SMB-Protokoll, in dem 2010 und
2011 Schwachstellen behoben wurden.
Laut TrendMicro können die Angreifer dann versuchen, diese Schwachstellen auszunutzen. OK, das sollte kein Problem sein, entweder wurden die entsprechenden Updates inzwischen installiert oder die Rechner enthalten so viele Schwachstellen, dass es auf eine mehr oder weniger auch nicht mehr ankommt. Außerdem: Warum sollten die Angreifer noch Schwachstellen ausnutzen, nachdem
- ihr eigener Code schon auf dem Rechner läuft, der
- einen Admin-Account angelegt hat, dessen Passwort die Angreifer sicher kennen und der
- das Gerät für SMB-Zugriffe geöffnet hat, so dass die Angreifer beliebige Dateien hoch und runter laden können?
Viele schlimmer kann es ja wohl nicht mehr werden. Oder habe ich da irgend einen Witz nicht verstanden?
Großmaßstäblicher Man-in-the-Middle-Angriff?
Renesys berichtet, dass es immer häufiger zu Umleitungen des Internet-Traffics kommt. Zum Beispiel wurde Netzwerkverkehr zwischen Guadalajara in Mexiko und Washington DC über Russland nach Weißrussland umgeleitet, die Umleitung begann in Ashburn in Virginia. Mark Baggett fragt dazu im ISC Diary "Does it seem unusual for internet traffic between Ashburn Virginia (63.218.44.78) and Washington DC (63.234.113.110) to go through Russia to Belarus?". Nun, wenn da ein Provider beteiligt wäre, der sich einem normalen Peering verweigert, könnte so etwas schon passieren. Betreibt die Telekom ein Netz in Ashburn oder Washington?
Spass beiseite (besonders witzig war das eigentlich sowieso nicht, dafür
ist es im Grunde viel zu traurig, aber:
SCNR).
Im Grunde gibt es ja nur eine Erklärung dafür, dass so oft
BGP-Routen
verfälscht werden: Jemand macht sich daran gezielt zu schaffen. Würde der
Verkehr über die NUSA umgeleitet, wäre ja
klar,
was das soll. So bleiben zwei Verdächtige: Geheimdienste oder (meiner
Ansicht nach wahrscheinlicher) Cyberkriminelle. Was genau los ist,
ist (noch) nicht bekannt.
Für uns als Benutzer ist das auf jeden Fall eine unschöne Entwicklung,
zumal man sich ja auch nicht unbedingt auf SSL/TLS verlassen kann.
Der Rest im Schnelldurchlauf
Zum Abschluss noch ein paar Infos im Schnelldurchlauf:
- Es gibt was Neues zu Stuxnet. Oder eigentlich was altes, denn es wurde ein Vorgänger von Stuxnet entdeckt, der ebenfalls die Urananreicherungsanlagen des Irans angreift. Diesmal aber nicht, um sie gezielt zu zerstören, sondern um die Überwachungssysteme zu manipulieren und einen regulären Betrieb vorzugaukeln. Die Zentrifugen hätten sich dann durch die fehlende Aufsicht selbst zerlegt. Ein interessanter Ansatz.
- Fragen Sie sich auch ab und zu, ob Conficker wohl noch aktiv ist? Die Frage, was das Biest machen sollte, wird wohl für immer unbeantwortet bleiben, aber zumindest wissen wir dank TrendMicro, dass der alte Störenfried noch lebt.
- Es gibt immer mehr signierte Schadsoftware, was bei McAfee zu der Frage führt, "Digitally Signed Malware: What Can You Trust Now?". Natürlich nichts und niemanden, das ist doch wohl klar. Vor allem keinen digitalen Schutzimpfungen.
- Nicht nur in Desktop-Rechnern und ihren mobilen Kollegen ist des öfteren der Wurm drin, auch Server werden von Zeit zu Zeit befallen. Aktuell ist laut Symantec ein Wurm unterwegs, der Apaches Java-Webserver Tomcat befällt und darauf eine Hintertür öffnet. Die können die Cyberkriminellen dann nutzen, um vom meist gut ans Internet angebundenen Webserver aus weitere Angriffe durchzuführen.
Trackbacks