Schlagwort-Archive: Drive-by

Firefox-Update schließt Zero-Day-Lücke

avg_logo_deDie Entwickler der Mozilla-Foundation haben eine aktualisierte Firefox-Version veröffentlicht, die eine bereits massiv angegriffene Sicherheitslücke in dem Webbrowser schließt. Das Update wird per internem Mechanismus automatisch heruntergeladen, ein Neustart sollte dann genügen. Überprüfen lässt sich das unter „Hilfe“ – „ÜberFirefox“ respektive das Fragezeichen-Symbol, wenn man die grafischen Menüs aktiviert hat. Die Sicherheitslücke ist in den Versionen 50.0.2, ESR 45.5.1 sowie Thunderbird 45.5.1 behoben.

Nutzer und Administratoren sollten die Aktualisierung umgehend einspielen und aktivieren, um eine Infektion des Rechners mit Schadcode durch die Sicherheitslücke zu vermeiden.

Zeroday-Lücke im Flash Player geschlossen

avg_logo_deIm Flash Player von Adobe wird derzeit eine Sicherheitslücke von Cyberkriminellen angegriffen – alleine das Besuchen einer gehackten Webseite mit anfälliger Flash-Version genügt, den Rechner mit einem Trojaner zu infizieren. Seit heute stehen Updates bereit, die Nutzer und Administratoren zeitnah einspielen sollten.

Die aktuell installierte Flash-Version findet man über die About-Flash-Seite von Adobe heraus. Aktuell sind die Versionen 21.0.0.213, 18.0.0.343, 11.2.202.616; sie stehen im Download-Center bereit.

Eine Antivirenlösung hilft, sich gegen derartige Schwachstellen zu schützen: Der Web-Schutz in AVG Antivirus und Internet Security untersucht Webseiten auf enthaltene Exploits und kann entdeckte auch blockieren. Jedoch sollte auch die installierte Software stets auf dem aktuellen Stand gehalten und ungenutzte Programme nach Möglichkeit wieder von den Rechnern entfernt werden, um die Angriffsfläche zu minimieren. Zudem ist es ratsam, ein regelmäßiges Backup der wichtigen Daten anzufertigen, auf ein Medium, das nicht dauerhaft am Rechner angeschlossen ist. So lassen sich Auswirkungen beispielsweise von verschlüsselnden Erpressungtrojanern wirksam eindämmen.

Der Spamschutz als Virenblocker

Gastbeitrag von Olaf Petry, IT-Sicherheitsbeauftragter / CISO, Hornetsecurity.

Logo HornetSecurity1,3 Millionen Treffer. Dieses Ergebnis spuckt die Suchmaschine Google aus, wenn nach „Computervirus“ gesucht wird. Eine beachtliche Zahl, die verdeutlicht, wie wichtig dieses Thema bei Firmen, Behörden und Privatanwendern ist, schließlich können Computerviren eine ernstzunehmende Bedrohung für private Rechner und IT-Infrastrukturen von Unternehmen darstellen. Aber wie gelangen Viren, Zero-Day-Exploits und andere Malware auf die Computer und Server? Und wie lässt sich dieses Risiko effektiv minimieren?

Spam- und Virenmails werden immer professioneller

Zwar sind Drive-By-Downloads oder das versehentliche Herunterladen von schädlicher Software im Internet ein durchaus bekanntes Phänomen, jedoch erleben wir derzeit eine Renaissance der E-Mail als Einfallstor für Malware; insbesondere in Dokumenten verschleierte Schädlinge oder Links darauf schlagen in jüngerer Vergangenheit vermehrt durch. Selbst wenn Experten diesem Kommunikation­smedium immer wieder der Tod vorhersagen – auch in Zukunft werden mehr E-Mails versendet und empfangen als jemals zuvor. Wie viele E-Mails davon als Spam zu klassifizieren sind, lässt sich nicht auf die E-Mail genau feststellen, dennoch lohnt es sich, einen kurzen Blick auf ein paar Daten von Hornetsecurity zu werfen, um einen Überblick über das Medium E-Mail zu bekommen.

  • Die Zahl aller Clean-Mails pro Benutzer stieg von ca. 120 im Jahr 2007 auf knapp 400 Ende 2015 an.
  • Spam-Nachrichten sind auf dem Rückzug: Der durchschnittliche Jahresanteil an Spam-Mails am gesamten E-Mail-Verkehr ging von 99,7 Prozent im Jahr 2008 auf knapp 63 Prozent im Jahr 2015 zurück.
  • Die Zahl der als virenverseuchte E-Mail klassifizierten E-Mails pro Benutzer pro Monat stieg hingegen in den vergangenen fünf Jahren um das Fünffache an (mit deutlichen Ausreißern nach oben durch große Malware-Attacken)

2016-01-Entwicklung_Spam-AufkommenKonkret bedeutet dies eine Abkehr der früher geltenden Regel „Masse statt Klasse“: Spammer versenden weniger Spam- und Viren-Mails, diese dafür in einem wesentlich professionelleren Erscheinungsbild. Dies liegt einerseits daran, dass die Empfänger von Spam deutlich besser informiert sind und nicht mehr so einfach auf schlecht gemachte Müll-Nachrichten hereinfallen. Andererseits haben auch die Anbieter von Antispam-Lösungen ihre Hausaufgaben gemacht und entwickeln ihre Services kontinuierlich weiter.

Spamfilter erhöht als zusätzliche Sicherheitsstufe den Schutz

Dennoch: Einen hundertprozentigen Schutz zu gewährleisten, wird unmöglich sein, schließlich handelt es sich hier um einen Wettlauf zwischen Angreifer und Verteidiger, in dem der Hersteller von Malware immer einen winzigen Schritt voraus ist. Für Unternehmen und Privatpersonen gilt daher, dieses Risiko zu minimieren, indem sie sich bestmöglich schützen. Hier spielen Anbieter von Spamfilter Lösungen wie Hornetsecurity eine nicht zu unterschätzende Rolle – sie versperren Schadsoftware ihren Haupt-Angriffsweg, die E-Mail. Dadurch bieten sie neben den bereits vorhandenen Antiviren-Lösungen eine zusätzliche Sicherheitsstufe. Im Falle von Hornetsecurity ist dies ein mehrstufiger Filterprozess, mit dem das Unternehmen eine hohe Filterquote erreicht: Es garantiert vertraglich, 99,9 Prozent aller Spamnachrichten herauszufiltern, wobei der Regelfall mit 99,99 Prozent sogar noch deutlich darüber liegt. Beim integrierten Virenschutz sichert Hornetsecurity eine Quote von 99,99 Prozent vertraglich zu.

2016-01-Viren_pro_Nutzer-grossHornetsecurity erreicht diese Zahlen über ein mehrstufiges Filtersystem, in dem neben einem vorgeschalteten Blocking-Filter mehrere Schritte in der sogenannten aktiven Analysephase der gesamte Mailverkehr auf Herz und Nieren geprüft wird. Der Service beinhaltet zusätzlich eine Virenschutz-Komponente des Spamfilter Services von Hornetsecurity, die den eingehenden E-Mail-Verkehrs auf Viren auf Basis mehrerer Systeme prüft. Neben externen Scannern wie ClamAV und Signaturdaten von G DATA kommen verschiedene selbstentwickelte Werkzeuge zum Einsatz, um für die Kunden einen möglichst breiten Schutzschirm spannen zu können. Einen genauen Überblick verschafft das entsprechende Whitepaper.

Ein funktionierender Spamfilter Service ist daher mehr als nur ein Schutz vor lästigen E-Mails – er schafft einen zusätzlichen Sicherheitswall, um Unternehmen vor Viren, Phishing-Attacken und Exploits zu bewahren.

Internet Explorer: Support-Ende für ältere Versionen

avg_logo_deMicrosoft stellt ab heute den Support für viele Versionen des Internet Explorers ein – ab Windows 7 und neuer erhält nur der IE 11 damit noch Sicherheitsupdates (Windows Vista: IE9). Die Vorgängerversionen kommen jedoch auf Windows 7 und älteren Betriebssystemen noch häufig zum Einsatz.

Daher sollten Nutzer und Administratoren, die den Internet Explorer nutzen, sicherstellen, dass sie das Programm auf Version 11 aktualisieren. Dies schlägt jedoch häufiger aufgrund von Inkompatibilitäten etwa mit Grafikkartentreibern oder fehlenden Patches fehl. Für Windows XP gibt es aber beispielsweise gar keine aktuelle Version.

Die Sicherheitslücken in den veralteten Webbrowsern sind jedoch so schwerwiegend, dass der bloße Besuch einer Webseite etwa mit eingebetteter Werbung und gehackten Werbeservern ausreicht, den Rechner mit Schadsoftware zu infizieren. Wo also der IE 11 nicht installiert werden kann, muss ein alternativer Browser wie Firefox oder Chrome eingesetzt werden. Da die IE-Komponenten auch für die Microsoft-Mail-Programme genutzt werden, sollte dann auch ein Mail-Client mit eigenen aktuellen HTML-Modulen wie etwa Thunderbird zum Einsatz kommen. Nur so lässt sich mit dem Rechner dann einigermaßen sicher im Netz surfen. Hierbei sollte man natürlich weitere Sicherheitsmaßnahmen ergreifen: Etwa ein aktueller Virenscanner ist natürlich Pflicht. Und sämtliche installierte Software sollte zeitnah auf dem aktuellen Stand gehalten werden.

Safer Internet Day 2015

avg_logo_deAm heutigen Dienstag findet der alljährliche Safer Internet Day statt – Ziel ist es, für die Gefahren aus dem Internet zu sensibilisieren. Bei den Gefahren, die durch die Preisgabe persönlicher Informationen und Daten etwa in sozialen Netzen lauern, kann nur eine Schulung helfen. Für die größten Angriffsflächen rein technischer Natur jedoch kann Software den Nutzer unterstützen.

Die weitaus größte Gefahr lauert immer noch beim Surfen im Netz. Cyberkriminelle versuchen, durch manipulierte Werbung auf Werbeservern, die in fast jede Internetseite integriert sind für eine Monetarisierung der Inhalte, Sicherheitslücken in der installierten Software zum Einschleusen etwa von Trojanern auszunutzen. Auf den infizierten Rechnern können sie dann Zugangsdaten zu Online-Konten mitprotokollieren, den Rechner zur Erpressung von Unternehmen etwa mittels DDoS-Attacken nutzen oder einfach Spam-E-Mails darüber versenden.

Ein paar einfache Schutzmaßnahmen genügen, um diese Bedrohung umfassend einzudämmen. So sollte die installierte Software stets auf dem aktuellen Stand gehalten werden. Dazu gehören die Windows-Updates – aber auch die ganzen Programme, die mit dem Internet in Verbindung stehen, benötigen häufig Aktualisierungen. Darunter fallen Webbrowser, Java, PDF-Reader oder wie kürzlich gesehen der Flash Player von Adobe. Der Fall des Flash-Player zeigt, dass es eine ständige Aufgabe ist, die Aktualisierungen zu suchen und zu installieren.

Gegen Exploit-Versuche von manipulierter Werbung auf Webseiten helfen der Online Shield und Link Scanner von AVG. Diese erkennen viele Angriffsmuster und können sie blockieren, bevor es zu Schaden auf dem Rechner kommt. Ein weiteres Puzzleteil im Sicherheitskonzept ist schließlich ein Passwort-Manager wie Sticky Password. Der verwaltet mit einem Masterpasswort verschlüsselt die Zugangsdaten zu allen Online-Konten und zu Programmen. Dadurch kann man die automatisch generierten hochkomplexen Passwörter aus Sticky Password verwenden und diese auch regelmäßig mit Unterstützung vom Programm ersetzen. Cyberganoven können so nicht an diese immer wichtiger werdenden Zugangsdaten gelangen beziehungsweise nichts damit anfangen.

Sicherheit ist immer ein Kompromiss aus Benutzbarkeit und Komplexität der Sicherungsmaßnahmen. Ein sehr guter Sicherheitsgrad lässt sich aber schon mit diesen recht einfachen Mitteln erreichen.

Geschrieben von Dirk Knop.

Zero-Day-Lücke im Adobe Flash Player wird angegriffen

avg_logo_deIm Flash-Player von Adobe hat ein Sicherheitsforscher Lücken entdeckt, die durch sogenannte Exploit-Kits bereits in der Masse zum Einschleusen von Trojanern auf verwundbaren Rechnern missbraucht werden. Ein offizielles Update gibt es noch nicht, sodass man das Flash-Plug-in im eingesetzten Webbrowser zunächst deaktivieren sollte. Die neue Version 40 von Google Chrome kommt jedoch bereits mit einer von Adobe noch ungelisteten Version 16.0.0.287 des Flash Player auf den Rechner, die den Fehler wahrscheinlich nicht mehr enthält.

Welche Version des Flash Players der aktuelle Browser verwendet, kann man auf der About-Flash-Seite von Adobe sehen. Dort sind auch die aktuell verfügbaren Versionen aufgelistet. Auf der Get-Flash-Player-Seite kann man die aktuelle Version der Software manuell herunterladen.

Der Link Scanner sowie der Online Shield von AVG AntiVirus und AVG Internet Security kann Angriffe durch Exploit-Kits vereiteln. Ein aktueller Virenschutz hilft daher, sich vor Infektionen zu schützen.

Update: Inzwischen lässt sich bei Adobe mit den obigen Links eine aktualisierte Version des Flash Players herunterladen. Administratoren und Nutzer sollten das Update sollte rasch vornehmen.

Update 23.01.2015: Die Updates schließen zwar Sicherheitslücken, jedoch nicht die neu entdeckte Zero-Day-Schwachstelle. Die Exploit-Kits greifen inzwischen nicht nur den Internet Explorer mit Flash Player an, sondern auch den Firefox-Webbrowser. In beiden Browsern sollten daher die Flash-Plugins deaktiviert werden. Unter Firefox gelingt dies unter „Extras“ – „Add-ons“, im Internet Explorer unter „Einstellungen“ (Zahnrad-Symbol) – „Add-Ons verwalten“.

Update 03.02.2015: Erneut werden Sicherheitslücken im zwischenzeitlich gepatchten Flash Player angegriffen. Adobe arbeitet an einer weiteren Aktualisierung. Abhilfe schafft bis dahin, Flash zu deaktivieren. Firefox und Chrome bieten aber auch die komfortable Möglichkeit, eingebettetes Flash erst nach einem Mausklick abzuspielen. Eine Anleitung dazu gibt es hier.

Update 05.02.2015: Adobe verteilt automatisch die Aktualisierung auf eine fehlerbereinigte Flash-Player-Version – die Versionsüberprüfung sollte jetzt „You have version 16,0,0,305 installed“ zurückliefern.

Geschrieben von Dirk Knop.

Weniger als zwei Tage zwischen Update und Exploit

avg_logo_deWie viel Zeit vergeht zwischen dem Zeitpunkt, an dem ein Hersteller eine Sicherheitslücke in einem Produkt schließt und dem Ausnutzen dieser Lücke in der breiten Masse durch Exploit-Kits? Diese Frage hat ein Sicherheitsforscher Namens Kafeine jetzt anhand des jüngsten Adobe FlashPlayer-Updates aufgerollt.

Es dauerte keine zwei Tage, bis Cyberkriminelle das erste Exploit-Kit an die Lücke angepasst haben. Diese Exploit-Kits stecken etwa hinter den Angriffen durch gekaperte Werbeserver, die dann anstatt regulärer Werbung – auch auf seriösen Webseiten – dann den Exploit des Exploit-Kits ausliefern. Dadurch können sie dann Malware wie Trojaner installieren. Der Forscher Kafeine hat zudem rasch weitere Exploit-Kits gefunden, die nach kurzer Zeit mit einem Modul für die geschlossene Sicherheitslücke aufwarten konnten.

Dies zeigt, dass Updates sehr bald nach ihrer Veröffentlichung installiert werden müssen – sonst liefert man den Rechner den Cyberkriminellen quasi auf dem Silbertablett.

Geschrieben von Dirk Knop.

Angriffe auf Sicherheitslücke in Windows nehmen zu

avg_logo_deMedienberichten zufolge wird eine eigentlich am vergangenen Microsoft-Patchday geschlossene Sicherheitslücke in Windows inzwischen gehäuft angegriffen. Die Lücke sollte zwar geschlossen sein, jedoch greift das Update nicht weit genug – Angreifer können auf anderem Wege die Lücke immer noch missbrauchen.

Für die ursprünglich unter dem Namen „Sandworm“ bekannte Lücke in der Verarbeitung von OLE-Datenströmen – also etwa Office-Dateien – gibt es noch keine weitere Sicherheitsaktualisierung seitens Microsoft; ein Fix-it-Tool steht jedoch bereit, dass viele bisherige Exploit-Versuche abwehren kann.

Die zunächst noch vereinzelten Angriffe mehren sich jetzt. Die Angreifer versenden dabei vor allem gefälschte Rechnungs-E-Mails mit manipulierten PowerPoint-Dateien im Anhang, um Schadsoftware auf die Rechner der Empfänger zu schleusen. Anwender und Administratoren sollten daher zum Einen das bereitgestellte Fix-it-Tool ausführen, zum Anderen auf einen aktuellen Virenschutz achten sowie zu guter Letzt Vorsicht bei unverlangt zugesandten Dokumenten walten lassen und diese im Zweifel besser nicht öffnen.

Geschrieben von Dirk Knop.

Zero-Day-Sicherheitslücke in Windows wird angegriffen

avg_logo_deIn allen derzeit unterstützten Windows-Versionen bis auf Server 2003 klafft eine Sicherheitslücke, die bereits angegriffen und zum Einschleusen von Schadcode missbraucht wird. Der Fehler in den OLE-Routinen von Windows ermöglicht manipulierten Dokumenten, etwa beim Besuch einer Webseite einen Trojaner zu installieren. OLE ist ein internes Speicherformat von Dokumenten und Dateien.

Microsoft empfiehlt, die Benutzerkontensteuerung zu aktivieren – diese warnt vor der Ausführung des Schadcodes; in der Praxis ist das wahrscheinlich weniger hilfreich, da die Nutzer gewohnt sind, derartige Dialoge rasch wegzuklicken. Das Unternehmen stellt jedoch auch ein Fix-it-Tool bereit, das die derzeitigen Angriffe verhindert; das Fix-it-Tool setzt jedoch an Powerpoint an, andere Angriffsvektoren bleiben offen.

Derzeit versuchen Cyberkriminelle, durch Zusenden manipulierter PowerPoint-Dateien einen Schädling einzuschleusen. Daher sollten Administratoren das Fix-it-Tool in ihrem Netz sowie Nutzer an Einzelplätzen es auf diesen ausführen. Zudem sollten sie erhöhte Wachsamkeit gegenüber unverlangt zugesandte PowerpPoint-Dateien haben.

Geschrieben von Dirk Knop.

Malware per Werbebanner: Windows XP im Fokus

avg_logo_de
Wie wichtig ein Virenschutz beim Surfen ist, zeigt der erst diese Woche bekannt gewordene Fall von Kompromittierung der großen Werbenetzwerke Doubleclick und Zedo. Diese lieferten länger als einen Monat Exploits für Sicherheitslücken als Werbung aus, die insbesondere Windows XP angriffen.

Aber auch neuere Windows-Versionen ohne Schutzmaßnahmen waren Ziel der Attacke, durch die ein Trojaner auf dem Rechner verankert wird, der Sicherungsmaßnahmen aushebelt und weitere Software aus dem Netz nachlädt. Die Werbebanner kommen von als seriös geltenden Firmen, hinter Doubleclick steckt etwa Google. Die Banner tauchen in vielen normalen, seriösen Webseiten wie Nachrichten- und Zeitungsportalen auf.

Um sich vor derartigen Angriffen zu schützen, ist es unerlässlich, alle installierte Software wie den Webbrowser, Flash-Player, PDF-Reader und gegebenenfalls Java auf dem aktuellen Stand zu halten und Betriebssystem-Updates so schnell wie möglich einzuspielen. Zudem sollte man ein Virenschutz wie AVG Internet Security mit einem Online Shield einsetzen, die vor Drive-by-Downloads beim Surfen im Netz schützen. Diese können den Großteil der Exploits erkennen und blockieren.

Geschrieben von Dirk Knop.