Älteres Windows erhält Patches teils später

Google-Sicherheitsforscher haben herausgefunden, dass Microsoft Sicherheitslücken in Windows 10 geschlossen hat, in Windows 7 und 8 jedoch nicht – sondern dort erst mit größerer Verzögerung. Geschlossen haben die Redmonder die Lücken in älterem Windows erst kurz vor der Veröffentlichung von Details dazu durch die Sicherheitsforscher.

Damit ist das Risiko, mit älteren Windows-Versionen zu arbeiten und im Netz unterwegs zu sein, unnötig erhöht. Seit längerem ist bekannt, dass die Cyberkriminellen offensichtlich die Änderungen am System durch Windows-Updates untersuchen, um so Informationen über geschlossene Sicherheitslücken zu erlangen. Diese können sie dann angreifen, da in Unternehmen oftmals die Windows-Updates nicht ohne Kompatibilitätsprüfung eingespielt werden und dort somit zahlreiche Rechner weiterhin verwundbar sind.

Zusätzlich sind offenbar auch ältere Windows-Versionen durch die verspäteten Patches von Microsoft potenzielles Angriffsziel. Daher empfiehlt sich, wenn möglich auf die aktuelle Windows-Version umzusteigen, so das noch nicht geschehen ist. Zudem sollten stets alle Windows-Updates sowie Software-Aktualisierungen eingespielt werden und die Rechner neben einem aktuellen Virenschutz auch mit Backup-Software für regelmäßige Sicherungen der wichtigen Daten ausgestattet sein. So minimiert man die Angriffsfläche und kann im Schadensfall dennoch rasch weiterarbeiten.

Google entzieht Symantec-SSL-Zertifkaten vertrauen

IT-SecurityWie das Unternehmen in seinem Sicherheitsblog berichtet, will Google im Webbrowser Chrome ab April 2018 den SSL-Zertifikaten von Symantec und zugehörigen Tochterfirmen das Vertrauen entziehen. Webseiten mit Zertifikaten von Symantec, Thawte, VeriSign, Equifax, GeoTrust und RapidSSL werden dann als nicht sicher angezeigt: zudem lassen sie sich dadurch nicht mehr direkt ansurfen, sondern man muss Umwege gehen. Dieser ungewöhnliche Schritt wurde nötig, da Symantec die Kontrolle über ausgestellte Zertifikate offenbar nicht ordentlich ausüben konnte und immer wieder illegal ausgestellte Zertifikate von dort auftauchten – was schlussendlich die gesamte Vertrauenskette, die durch Zertifikate hergestellt wird, zerstört.

Symantec hat durch den Verkauf des Geschäftsbereichs an die CA DigiCert reagiert. Unternehmen und Organisationen, die noch Zertifikate von oben genannten Unternehmen für Ihre Server einsetzen, sollten sich rechtzeitig neue Zertifikate ausstellen lassen und in die Systeme einpflegen.

Cloud-Dienste als Angriffsziel – gute Passwörter helfen

logo-sticky-passwordMicrosoft hat einen Sicherheits-Report veröffentlicht, demzufolge Cloud-Konten zunehmend zum Angriffsziel von Cyberkriminellen werden. Nicht nur Phishing-Angriffe finden statt, sondern auch direkte Versuche, schwache Passwörter zu knacken – im Betrachtungszeitraum von Quartal 1/2016 bis Ende Quartal 1/2017 ganze 300 Prozent mehr. Daraus wird klar: Die Sicherheit von Cloud-Diensten hängt maßgeblich auch von der Güte der Passwörter ab.

Abhilfe kann man etwa durch den Einsatz von Passwort-Safes wie Sticky Password schaffen, mit denen jeder Dienst einfach und komfortabel sein eigenes komplexes Passwort erhalten kann. Zudem sollten die Mitarbeiter geschult werden, die Zugangsdaten nicht auf E-Mail-Anfragen herauszugeben. Außerdem scheint es sinnvoll, sie auf die Qualität von Passwörtern hinzuweisen, um (nicht nur) Cloud-Zugänge optimal zu schützen.

Neue Malware-Funktionen zum Stehlen von Passwörtern und Kryptogeld

IT-SecuritySchadsoftware folgt inzwischen vergleichbaren Entwicklungsschritten wie professionelle Software-Entwicklung auch. Immer neue Funktionen kommen zu den vorhandenen Features hinzu. So auch bei neuen Varianten der Ransomware Cerber. Durch Dateiverschlüsselung erpresste Kryptowährungs-Einheiten reichen den Cyberkriminellen nicht mehr, neue Varianten stehlen die Kryptogeld-Wallet (quasi das „digitale Portemonnaie“) und löschen sie anschließend auf dem Rechner. Zudem ziehen die Schädlinge die Passwörter aus den Webbrowsern Chrome, Firefox und Internet Explorer ab, unter anderem wohl, um an das Kryptogeld in den verschlüsselten Wallets heranzukommen.

Diese Evolution der Malware lässt sich immer wieder beobachten und zeigt, dass ein Schutzkonzept nicht nur aus der Installation und Wartung einer Virenschutz-Lösung bestehen kann. Um beispielsweise die gelöschte Wallet sowie die verschlüsselten Dateien wiederherzustellen, ist ein Backup nötig. Am Besten mit einem eigenen Backup-Konto erstellt, sodass Schädlinge im Benutzerkontext keinen Zugriff auf die Backups erhalten und diese nicht mitverschlüsseln können. Um dem Passwortdiebstahl aus dem Webbrowser vorzubeugen, bietet sich ein Passwort-Manager wie Sticky Password an. Diese legen die Zugangsdaten in eigenen verschlüsselten Containern ab, sodass die unsichere Speicherung im Webbrowser entfällt.

Nachschlüssel für Verschlüsselungstrojaner

GoldenEye, Mischa und Petya – für diese Erpressungstrojaner haben die Malware-Programmierer Master-Schlüssel veröffentlicht. Die Echtheit wurde von Sicherheitsforschern auf Twitter inzwischen bestätigt. In Kürze dürften daher Tools bereitstehen, die die von diesen Schädlingen verschlüsselten Dateien wiederherstellen können.

Bei Befall mit Ransomware lautet einer der Tipps, ein Backup der verschlüsselten Medien zu behalten – relativ häufig tauchen nach einiger Zeit Tools auf, mit denen die verschlüsselten Dateien doch wiederhergestellt werden können. Dennoch bleibt ein Schutz vor solchen Erpressungstrojanern wichtig und umfasst neben aktuellem Antivirus auch ein regelmäßiges Backup der wichtigen Daten. Am besten mit einem anderen Benutzerkonto, sodass das Backup nicht auch verschlüsselt werden kann.

Geschützt vor Verschlüsselungstrojaner (Not-)Petya

avg_logo_deDie globale Infektionswelle mit dem als (Not-)Petya bekannten Verschlüsselungstrojaner hat viele Rechner unter anderem auch in Deutschland getroffen. Offenbar betrifft dies insbesondere international agierende Unternehmen, die die ukrainische Steuer-Software MeDoc einsetzen müssen. Darin wurde die Malware wohl via gehacktem, integrierten Update-Mechanismus ausgeliefert. Der Schädling versucht daraufhin, sich weiterzuverbreiten, indem er unter anderem die Sicherheitslücke EternalBlue aus dem NSA-Fundus ausnutzt.

AVG berichtet, dass 38 Millionen von der Antivirensoftware des Mutterkonzerns Avast gescannten PCs in der vergangenen Woche die von Microsoft bereitgestellten Patches zum Schließen der Sicherheitslücke nicht installiert hatten. Daher empfiehlt AVG, auf jeden Fall die Windows Updates einzuspielen, um die PCs abzusichern. AVG schützt derweil vor den (Not-)Petya-Infektionen: Bereits infizierte PCs können laut Hersteller wieder bereinigt werden; neue Infektionen werden umgehend beim Versuch des Eindringens blockiert.

Neuer Trend: Trojaner schürfen Kryptowährungen

IT-SecurityDer cyberkriminelle Sumpf ist nicht trocken zu legen – immer wieder finden die Virenprogrammierer neue Möglichkeiten, mit Malware Geld zu verdienen. Klassisch etwa via Erpressung von Firmen mit DDoS-Angriffen, bei denen die Webseiten der Unternehmen überlastet werden, oder per Spam-Mail-Versand von infizierten Rechnern aus oder etwa durch Verschlüsseln der Dateien auf dem Rechner, mit Lösegeldforderung zum Entschlüsseln. Jetzt zeichnet sich jedoch ein neuer Trend ab: Infizierte Maschinen sollen Kryptowährungen schürfen, mithin direkt digitales Geld erzeugen.

Kryptowährungen erleben derzeit einen kleinen Boom. Jede dieser Währungen wie die bekannteste namens Bitcoin basiert auf dezentral verteilten Daten und starker kryptologischer Sicherung. Neue Währungseinheiten lassen sich mittels komplexer mathematischer Berechnungen heben. Diese benötigen inzwischen schon spezialisierte Rechenbeschleuniger, um noch neue Einheiten zu finden. Rechnen in großen Botnetzen lohnt sich daher direkt für die kriminellen Drahtzieher hinter der Malware. Einige Schädlinge befallen etwa auch die Internet-of-Things-Steuerzentrale schlechthin, den Raspberry Pi, um darauf Kryptogeld zu schürfen. Allerdings ist die Rechenleistung dieser Maschinen so gering, dass ein ernsthafter Gewinn zweifelhaft ist.

Sollten also Rechner nicht mehr in den Idle-Modus fallen und ständig unter Volllast laufen, sollte man einmal einen Blick in den Taskmanager werfen, ob dort ungewöhnliche Prozesse hohe Last erzeugen. Gegebenenfalls hilft dann auch ein Virenscan im abgesicherten Modus oder mit bootbarer Rescue-CD/-USB-Stick, um eingedrungene Schädlinge aufzuspüren. Neben einem aktuellen Virenscanner sind aber unbedingt auch alle Programme und das Betriebssystem auf aktuellem Stand zu halten, um derartiger Malware kein Einfallstor zu bieten.

Trotz Support-Ende Updates für Windows XP und Vista

Ein ungewöhnlicher Zug von Microsoft: Da offenbar Windows XP und Vista noch weit verbreitet sind, hat das Unternehmen nun trotz teils bereits mehrjährigem Support-Ende noch einmal Sicherheitsaktualisierungen dafür veröffentlicht. Die Sicherheitslücken waren offenbar so heikel, dass das Redmonder Unternehmen sich zum Handeln gezwungen sah. Es geht offenbar um die Schwachstellen, die in den Leaks der NSA- und CIA-Exploitsammlungen zur Infiltration von Rechnern ausgenutzt werden.

Dies ist jedoch mitnichten als Wiederbelebung der alten, unsicheren Software zu verstehen. Das Unternehmen weist deutlich darauf hin, dass ausschließlich die gefährlichsten Probleme beseitigt würden. Andere Patches, die es für neuere Betriebssysteme bereits gibt, werden nicht mehr dafür angeboten. Die aktuellen Patches stellten zudem keine Verlängerung des Supports dar.

Die letzten Punkte sind wichtig zu berücksichtigen. Wenn beispielsweise Laufzeitumgebungen wie .Net Aktualisierungen erhalten, die von Microsoft nicht auf den alten, nicht mehr unterstützten Betriebssystemen angeboten werden, und diese dazu führen, dass Drittanbietersoftware auf den alten Systemen dann nicht mehr läuft, können die Hersteller der Software dieses Manko im Betriebssystem nicht ausgleichen – die Software funktioniert dann einfach nicht mehr korrekt. Dementsprechend sollten nicht nur sicherheitsbewusste Nutzer die Finger von nicht mehr unterstützten Betriebssystemen wie Windows 2000, XP, Vista und Server 2003 lassen und besser auf aktuelle Software setzen. Die vermeintliche Ersparnis relativiert sich ganz schnell, wenn Probleme aufgrund veralteter Software auftauchen und den Arbeitsfluss stören oder zusammenbrechen lassen.

Mehr NSA-Exploits: EternalRocks folgt auf WannaCry

IT-SecurityNachdem vergangene Woche der Erpressungstrojaner WannaCry für Aufsehen sorgte, da er sich mittels Sicherheitslücken im Windows-Betriebssystem als Wurm weiter in Netzwerken verbreitet hat als bislang für Ransomware üblich, hat Miroslav Stampar vom kroatischen CERT neue Verschlüsselungstrojaner entdeckt, die er EternalRocks respektive MicroBotMassiveNet genannt hat; Varianten wurden auch als BlueDoom erkannt. Während WannaCry nur einen Exploit aus dem geleakten Einbruchswerkzeugkasten der NSA verwendet hat, nutzt EternalRocks gleich sieben an der Zahl, um sich per SMB-Schwachstellen im Netzwerk auszubreiten. Die NSA nannte die Exploits EternalBlue, EternalChampion, EternalRomance und EternalSynergy sowie ArchiTouch, SMBTouch und DoublePulsar. Dies erklärt auch die Namenswahl Stampars für den Schädling. Seit dem März-Patchday 2017 sind für alle unterstützten Windows-Betriebssysteme Updates verfügbar, die die Sicherheitslücken schließen. Im Mai hat Microsoft zudem für die offiziell nicht mehr unterstützten Betriebssysteme Windows XP, 8 und Server 2003 Patches herausgegeben.

EternalRocks ist ein mehrstufiger Trojaner und hat zunächst keine konkrete Schadfunktion, sondern lädt einen TOR-Client nach, über den er Befehle von seinem Command&Control-Server abholt und abwartet. Die Verzögerungen bei den Aktionen sollen dazu dienen, unter dem Radar von Analysesoftware und Verhaltenblockern zu bleiben.

Wichtig zum Schutz vor solchen Trojanern ist neben dem Einsatz einer aktuellen Antivirensoftware sowie dem regelmäßigen Anlegen von Backups der wichtigen Daten natürlich, das Betriebssystem aktuell zu halten und alle verfügbaren Aktualisierungen einzuspielen.

Verschlüsselungstrojaner und Wurm: WannaCry richtet großen Schaden an

IT-SecurityAm Freitag Abend häuften sich Meldungen zu einem neuen Verschlüsselungstrojaner, der zahlreiche Rechner und Netzwerke zunächst in Russland, dann in England und schließlich weltweit befallen hat. Der Erpressertrojaner WannaCry verschlüsselt nicht nur die Daten und droht, diese am 19. Mai zu löschen, sondern nutzt eine Sicherheitslücke in Windows-Netzwerkfreigaben aus, um sich in Netzen auszubreiten und weitere Systeme zu befallen. Auf unterstützten Windows-Systemen hat Microsoft diese Sicherheitslücke, deren Bestehen durch das Portfolio der bekannt gewordenen NSA-Exploit-Sammlung öffentlich wurde, bereits am März-Patchday geschlossen. Aufgrund des Ausbruchs hat das Unternehmen in einem außergewöhnlichen Schritt jedoch noch Windows-Updates für alte, nicht mehr unterstützte Systeme wie Windows XP oder Server 2003 nachgelegt. Nutzer und Administratoren sollten diese umgehend einspielen!

Ransomware ist inzwischen nichts Neues mehr – jedoch zeigt die WannaCry-Attacke einige Besonderheiten: Die Schadsoftware hat große Hersteller getroffen, etwa viele Krankenhäuser und die Rechner des nationalen Gesundheitsdienstes von Großbritannien, Werke der Autohersteller Nissan und Renault oder auch die spanischen und portugiesischen Telekom-Unternehmen Telefonica und Telecom. Nicht zu vergessen natürlich, auch die Deutsche Bahn. Neben der klassischen Infektion via Links in E-Mails nutzt der Schädlinge eine Sicherheitslücke, um sich wie ein Wurm im Netz weiter zu verbreiten und so wesentlich mehr Schaden anzurichten. So müssen gegebenenfalls ganze Netzwerke neu aufgesetzt werden, anstatt wie bislang nur der einzelne infizierte Rechner im Unternehmensnetz.

Die bekannten Schädlinge wurden bereits am Freitag von guten Virenscannern wie denen von eScan oder AVG erkannt und blockiert. Die zumeist bereits umgesetzten Sicherheitskonzepte, die auch regelmäßiges Backup aller Daten mit einschließen, helfen auch hier, die Auswirkungen der Angriffswelle einzuschränken und rasch wieder in den produktiven Betrieb zu kommen, sollte die eigene Antivirenlösung die Schädlinge noch nicht erkannt haben.