Schlagwort-Archive: Patches

Älteres Windows erhält Patches teils später

Google-Sicherheitsforscher haben herausgefunden, dass Microsoft Sicherheitslücken in Windows 10 geschlossen hat, in Windows 7 und 8 jedoch nicht – sondern dort erst mit größerer Verzögerung. Geschlossen haben die Redmonder die Lücken in älterem Windows erst kurz vor der Veröffentlichung von Details dazu durch die Sicherheitsforscher.

Damit ist das Risiko, mit älteren Windows-Versionen zu arbeiten und im Netz unterwegs zu sein, unnötig erhöht. Seit längerem ist bekannt, dass die Cyberkriminellen offensichtlich die Änderungen am System durch Windows-Updates untersuchen, um so Informationen über geschlossene Sicherheitslücken zu erlangen. Diese können sie dann angreifen, da in Unternehmen oftmals die Windows-Updates nicht ohne Kompatibilitätsprüfung eingespielt werden und dort somit zahlreiche Rechner weiterhin verwundbar sind.

Zusätzlich sind offenbar auch ältere Windows-Versionen durch die verspäteten Patches von Microsoft potenzielles Angriffsziel. Daher empfiehlt sich, wenn möglich auf die aktuelle Windows-Version umzusteigen, so das noch nicht geschehen ist. Zudem sollten stets alle Windows-Updates sowie Software-Aktualisierungen eingespielt werden und die Rechner neben einem aktuellen Virenschutz auch mit Backup-Software für regelmäßige Sicherungen der wichtigen Daten ausgestattet sein. So minimiert man die Angriffsfläche und kann im Schadensfall dennoch rasch weiterarbeiten.

Mehr NSA-Exploits: EternalRocks folgt auf WannaCry

IT-SecurityNachdem vergangene Woche der Erpressungstrojaner WannaCry für Aufsehen sorgte, da er sich mittels Sicherheitslücken im Windows-Betriebssystem als Wurm weiter in Netzwerken verbreitet hat als bislang für Ransomware üblich, hat Miroslav Stampar vom kroatischen CERT neue Verschlüsselungstrojaner entdeckt, die er EternalRocks respektive MicroBotMassiveNet genannt hat; Varianten wurden auch als BlueDoom erkannt. Während WannaCry nur einen Exploit aus dem geleakten Einbruchswerkzeugkasten der NSA verwendet hat, nutzt EternalRocks gleich sieben an der Zahl, um sich per SMB-Schwachstellen im Netzwerk auszubreiten. Die NSA nannte die Exploits EternalBlue, EternalChampion, EternalRomance und EternalSynergy sowie ArchiTouch, SMBTouch und DoublePulsar. Dies erklärt auch die Namenswahl Stampars für den Schädling. Seit dem März-Patchday 2017 sind für alle unterstützten Windows-Betriebssysteme Updates verfügbar, die die Sicherheitslücken schließen. Im Mai hat Microsoft zudem für die offiziell nicht mehr unterstützten Betriebssysteme Windows XP, 8 und Server 2003 Patches herausgegeben.

EternalRocks ist ein mehrstufiger Trojaner und hat zunächst keine konkrete Schadfunktion, sondern lädt einen TOR-Client nach, über den er Befehle von seinem Command&Control-Server abholt und abwartet. Die Verzögerungen bei den Aktionen sollen dazu dienen, unter dem Radar von Analysesoftware und Verhaltenblockern zu bleiben.

Wichtig zum Schutz vor solchen Trojanern ist neben dem Einsatz einer aktuellen Antivirensoftware sowie dem regelmäßigen Anlegen von Backups der wichtigen Daten natürlich, das Betriebssystem aktuell zu halten und alle verfügbaren Aktualisierungen einzuspielen.

Microsoft liefert Notfallpatch gegen schlimme Sicherheitslücke

IT-SecurityMicrosoft wurde vergangenen Freitag von Googles Sicherheitsteam über eine schwerwiegende Sicherheitslücke informiert, die alle Windows-Betriebssysteme betrifft und sogar die Ausbreitung von Würmern ermöglichen kann. Am heutigen Dienstag – den Mai-Patchday – legt das Unternehmen eine Sicherheitsaktualisierung für den Windows Defender nach, der die Lücke schließen soll. Das Update sollte in Kürze automatisch auf allen betroffenen Maschinen landen.

Der Fehler befindet sich in der Malware Protection Engine von Microsoft, die nicht nur im Windows Defender und Microsoft Security Essentials zum Einsatz kommt, sondern auch in diversen anderen Sicherheitslösungen des Unternehmens, etwa auch Forefront. Beispielsweise kann schon das Senden einer E-Mail mit bösartigem Inhalt nach Erhalt auf dem Rechner durch den Antimalware-Scan durch Microsoft zur Rechnerinfektion führen. Windows Defender ist seit Windows 10 mit dem Update aus dem Herbst 2016 oftmals zusätzlich zum installierten Virenscanner auf den Systemen aktiv, da Microsoft dort eine Option zum Parallelbetrieb eingebaut hat.

Da bereits Schadcode öffentlich verfügbar ist, der diese Schwachstelle ausnutzt, die faktisch auf jedem Windows-System einschließlich der Server offensteht, sollte die Aktualisierung möglichst zeitnah eingespielt werden. Dazu sollte das Aufrufen von Windows Update genügen.

Antivirensoftware noch sinnvoll? Selbstverständlich!

IT-SecurityIn jüngster Vergangenheit haben einige Programmierer frustriert die These aufgestellt, dass Antivirensoftware obsolet sei und die Sicherheit der Systeme beeinträchtige. Hintergrund dazu ist, dass die Antivirenprodukte inzwischen auch Netzwerkverkehr überwachen, der zwischen Server und lokalem Webbrowser ausgetauscht wird – und neuerdings auch verschlüsselte Verbindungen. Dabei haben einige Hersteller bei der Implementierung Fehler eingebaut, die die Sicherheit dieser Verbindung zwischen Server und Browser herabsetzen können. Dies kritisieren Sicherheitsforscher zu recht und die Antivirenhersteller reagieren zügig mit Softwarekorrekturen. Zudem gab es kürzlich Veröffentlichungen, die eine Sicherheitslücke im Windows-eigenen Application Verifier nutzen, um Antivirensoftware auszuhebeln. Es handelt sich im Kern also um eine Microsoft-Lücke.

Ein guter Computerschutz umfasst nicht nur einen reinen Dateiscanner, da Viren auf diverse Wege ins System kommen und den Anwender schädigen können. Im Zwiebelschalenprinzip fügen die Antivirenhersteller daher Schutzschicht um Schutzschicht nach: Neben dem ursprünglichen Dateiscanner, der auf Anforderung das System untersucht, kam so der Hintergrundscanner hinzu, der das Dateisystem in Echtzeit auf Änderungen überwacht. Weitere Komponenten sind dann beispielsweise E-Mail-Scanner oder Verhaltensüberwachung von Prozessen, also der laufenden Programme. Um bösartige Angriffe von Exploit-Kits zu erkennen, kamen dann Webtraffic-Analysekomponenten hinzu, die etwa Aktionen von Skripten in Webseiten untersuchen und bewerten.

Sofern Fehler in diesen Komponenten auftreten, versuchen die Hersteller, diese rasch zu beheben. Das ist ein ganz normaler und alltäglicher Vorgang: Wo Menschen arbeiten, wird es zwingend gelegentlich Fehler geben. Jeder Softwarehersteller muss nachbessern – man sieht dies unter anderem bei den monatlichen Patchdays von Microsoft. Die meisten Fehler fallen bereits weit vor Veröffentlichung neuer Komponenten in der Qualitätssicherung auf, einige erst später. Auch dann werden sie natürlich behoben.

Es sind bislang keine Angriffe aus der Praxis auf Virenscanner bekannt, um darüber Systeme zu infizieren oder Nutzer anzugreifen. Das liegt auch daran, dass die Position, die ein Angreifer zum Ausnutzen der jüngst bekannt gewordenen Lücken in Windows haben muss – beispielsweise lokalen Zugriff auf den Rechner -, bereits wesentlich einfacher weitreichenden Systemzugriff erlaubt.

Die Schutzwirkung durch Antivirensoftware ist jedoch unbestritten. Hier liefern Testlabore wie AV-Test.org regelmäßig Ergebnisse von Untersuchungen auf deren Webseite, die die gute Schutzwirkung der meisten Antivirenlösungen belegen. Das kostenlose, beim aktuellen Windows-Betriebsystem mitgelieferte Windows Defender schlägt sich dabei jedoch meist eher schlecht als recht. Daher ist der Einsatz von Antivirensoftware nach wie vor zwingend anzuraten – ohne sind Nutzer den Angreifern schutzlos ausgeliefert und haben keinerlei Unterstützung, Schadsoftware zu erkennen und abzuwehren.

Firefox-Update schließt Zero-Day-Lücke

avg_logo_deDie Entwickler der Mozilla-Foundation haben eine aktualisierte Firefox-Version veröffentlicht, die eine bereits massiv angegriffene Sicherheitslücke in dem Webbrowser schließt. Das Update wird per internem Mechanismus automatisch heruntergeladen, ein Neustart sollte dann genügen. Überprüfen lässt sich das unter „Hilfe“ – „ÜberFirefox“ respektive das Fragezeichen-Symbol, wenn man die grafischen Menüs aktiviert hat. Die Sicherheitslücke ist in den Versionen 50.0.2, ESR 45.5.1 sowie Thunderbird 45.5.1 behoben.

Nutzer und Administratoren sollten die Aktualisierung umgehend einspielen und aktivieren, um eine Infektion des Rechners mit Schadcode durch die Sicherheitslücke zu vermeiden.

Zeroday-Lücke im Flash Player geschlossen

avg_logo_deIm Flash Player von Adobe wird derzeit eine Sicherheitslücke von Cyberkriminellen angegriffen – alleine das Besuchen einer gehackten Webseite mit anfälliger Flash-Version genügt, den Rechner mit einem Trojaner zu infizieren. Seit heute stehen Updates bereit, die Nutzer und Administratoren zeitnah einspielen sollten.

Die aktuell installierte Flash-Version findet man über die About-Flash-Seite von Adobe heraus. Aktuell sind die Versionen 21.0.0.213, 18.0.0.343, 11.2.202.616; sie stehen im Download-Center bereit.

Eine Antivirenlösung hilft, sich gegen derartige Schwachstellen zu schützen: Der Web-Schutz in AVG Antivirus und Internet Security untersucht Webseiten auf enthaltene Exploits und kann entdeckte auch blockieren. Jedoch sollte auch die installierte Software stets auf dem aktuellen Stand gehalten und ungenutzte Programme nach Möglichkeit wieder von den Rechnern entfernt werden, um die Angriffsfläche zu minimieren. Zudem ist es ratsam, ein regelmäßiges Backup der wichtigen Daten anzufertigen, auf ein Medium, das nicht dauerhaft am Rechner angeschlossen ist. So lassen sich Auswirkungen beispielsweise von verschlüsselnden Erpressungtrojanern wirksam eindämmen.

Internet Explorer: Support-Ende für ältere Versionen

avg_logo_deMicrosoft stellt ab heute den Support für viele Versionen des Internet Explorers ein – ab Windows 7 und neuer erhält nur der IE 11 damit noch Sicherheitsupdates (Windows Vista: IE9). Die Vorgängerversionen kommen jedoch auf Windows 7 und älteren Betriebssystemen noch häufig zum Einsatz.

Daher sollten Nutzer und Administratoren, die den Internet Explorer nutzen, sicherstellen, dass sie das Programm auf Version 11 aktualisieren. Dies schlägt jedoch häufiger aufgrund von Inkompatibilitäten etwa mit Grafikkartentreibern oder fehlenden Patches fehl. Für Windows XP gibt es aber beispielsweise gar keine aktuelle Version.

Die Sicherheitslücken in den veralteten Webbrowsern sind jedoch so schwerwiegend, dass der bloße Besuch einer Webseite etwa mit eingebetteter Werbung und gehackten Werbeservern ausreicht, den Rechner mit Schadsoftware zu infizieren. Wo also der IE 11 nicht installiert werden kann, muss ein alternativer Browser wie Firefox oder Chrome eingesetzt werden. Da die IE-Komponenten auch für die Microsoft-Mail-Programme genutzt werden, sollte dann auch ein Mail-Client mit eigenen aktuellen HTML-Modulen wie etwa Thunderbird zum Einsatz kommen. Nur so lässt sich mit dem Rechner dann einigermaßen sicher im Netz surfen. Hierbei sollte man natürlich weitere Sicherheitsmaßnahmen ergreifen: Etwa ein aktueller Virenscanner ist natürlich Pflicht. Und sämtliche installierte Software sollte zeitnah auf dem aktuellen Stand gehalten werden.

Safer Internet Day 2015

avg_logo_deAm heutigen Dienstag findet der alljährliche Safer Internet Day statt – Ziel ist es, für die Gefahren aus dem Internet zu sensibilisieren. Bei den Gefahren, die durch die Preisgabe persönlicher Informationen und Daten etwa in sozialen Netzen lauern, kann nur eine Schulung helfen. Für die größten Angriffsflächen rein technischer Natur jedoch kann Software den Nutzer unterstützen.

Die weitaus größte Gefahr lauert immer noch beim Surfen im Netz. Cyberkriminelle versuchen, durch manipulierte Werbung auf Werbeservern, die in fast jede Internetseite integriert sind für eine Monetarisierung der Inhalte, Sicherheitslücken in der installierten Software zum Einschleusen etwa von Trojanern auszunutzen. Auf den infizierten Rechnern können sie dann Zugangsdaten zu Online-Konten mitprotokollieren, den Rechner zur Erpressung von Unternehmen etwa mittels DDoS-Attacken nutzen oder einfach Spam-E-Mails darüber versenden.

Ein paar einfache Schutzmaßnahmen genügen, um diese Bedrohung umfassend einzudämmen. So sollte die installierte Software stets auf dem aktuellen Stand gehalten werden. Dazu gehören die Windows-Updates – aber auch die ganzen Programme, die mit dem Internet in Verbindung stehen, benötigen häufig Aktualisierungen. Darunter fallen Webbrowser, Java, PDF-Reader oder wie kürzlich gesehen der Flash Player von Adobe. Der Fall des Flash-Player zeigt, dass es eine ständige Aufgabe ist, die Aktualisierungen zu suchen und zu installieren.

Gegen Exploit-Versuche von manipulierter Werbung auf Webseiten helfen der Online Shield und Link Scanner von AVG. Diese erkennen viele Angriffsmuster und können sie blockieren, bevor es zu Schaden auf dem Rechner kommt. Ein weiteres Puzzleteil im Sicherheitskonzept ist schließlich ein Passwort-Manager wie Sticky Password. Der verwaltet mit einem Masterpasswort verschlüsselt die Zugangsdaten zu allen Online-Konten und zu Programmen. Dadurch kann man die automatisch generierten hochkomplexen Passwörter aus Sticky Password verwenden und diese auch regelmäßig mit Unterstützung vom Programm ersetzen. Cyberganoven können so nicht an diese immer wichtiger werdenden Zugangsdaten gelangen beziehungsweise nichts damit anfangen.

Sicherheit ist immer ein Kompromiss aus Benutzbarkeit und Komplexität der Sicherungsmaßnahmen. Ein sehr guter Sicherheitsgrad lässt sich aber schon mit diesen recht einfachen Mitteln erreichen.

Geschrieben von Dirk Knop.

Weniger als zwei Tage zwischen Update und Exploit

avg_logo_deWie viel Zeit vergeht zwischen dem Zeitpunkt, an dem ein Hersteller eine Sicherheitslücke in einem Produkt schließt und dem Ausnutzen dieser Lücke in der breiten Masse durch Exploit-Kits? Diese Frage hat ein Sicherheitsforscher Namens Kafeine jetzt anhand des jüngsten Adobe FlashPlayer-Updates aufgerollt.

Es dauerte keine zwei Tage, bis Cyberkriminelle das erste Exploit-Kit an die Lücke angepasst haben. Diese Exploit-Kits stecken etwa hinter den Angriffen durch gekaperte Werbeserver, die dann anstatt regulärer Werbung – auch auf seriösen Webseiten – dann den Exploit des Exploit-Kits ausliefern. Dadurch können sie dann Malware wie Trojaner installieren. Der Forscher Kafeine hat zudem rasch weitere Exploit-Kits gefunden, die nach kurzer Zeit mit einem Modul für die geschlossene Sicherheitslücke aufwarten konnten.

Dies zeigt, dass Updates sehr bald nach ihrer Veröffentlichung installiert werden müssen – sonst liefert man den Rechner den Cyberkriminellen quasi auf dem Silbertablett.

Geschrieben von Dirk Knop.

Angriffe auf Sicherheitslücke in Windows nehmen zu

avg_logo_deMedienberichten zufolge wird eine eigentlich am vergangenen Microsoft-Patchday geschlossene Sicherheitslücke in Windows inzwischen gehäuft angegriffen. Die Lücke sollte zwar geschlossen sein, jedoch greift das Update nicht weit genug – Angreifer können auf anderem Wege die Lücke immer noch missbrauchen.

Für die ursprünglich unter dem Namen „Sandworm“ bekannte Lücke in der Verarbeitung von OLE-Datenströmen – also etwa Office-Dateien – gibt es noch keine weitere Sicherheitsaktualisierung seitens Microsoft; ein Fix-it-Tool steht jedoch bereit, dass viele bisherige Exploit-Versuche abwehren kann.

Die zunächst noch vereinzelten Angriffe mehren sich jetzt. Die Angreifer versenden dabei vor allem gefälschte Rechnungs-E-Mails mit manipulierten PowerPoint-Dateien im Anhang, um Schadsoftware auf die Rechner der Empfänger zu schleusen. Anwender und Administratoren sollten daher zum Einen das bereitgestellte Fix-it-Tool ausführen, zum Anderen auf einen aktuellen Virenschutz achten sowie zu guter Letzt Vorsicht bei unverlangt zugesandten Dokumenten walten lassen und diese im Zweifel besser nicht öffnen.

Geschrieben von Dirk Knop.