NEWS AUS DEM IT-SECURITY BEREICH

Sicherheits-Patches für RealPlayer gegen gefährliche Lücken

[online/Browser/Email] Sicherheitsloch erlaubt Ausführung von gefährlichem Programmcode (http://www.golem.de/0402/29610.html) RealNetworks bietet Sicherheits-Patches für den RealOne Player in verschiedenen Versionen, aber auch für den RealPlayer in unterschiedlichen Varianten. Die Sicherheitslücken erlauben die Einschleusung und Ausführung beliebigen Programm-Codes und können einen "Buffer Overrun"-Fehler verursachen.

Im RealOne Player für alle Plattformen, in der Windows-Version des RealOne Player 2, der englischsprachigen Beta des RealPlayer 10 sowie allen Versionen vom RealOne Enterprise Desktop oder RealPlayer Enterprise kann ein Angreifer JavaScript-Code auf dem betreffenden System von einem Web-Server aus ausführen.

Das zweite Sicherheitsleck steckt in allen Versionen des RealOne Player 1 und 2 sowie dem RealOne Enterprise Desktop oder RealPlayer Enterprise und erlaubt es einem Angreifer über RMP-Dateien, Programmcode auf ein fremdes System zu laden und diesen entsprechend auszuführen.

Das dritte Sicherheitsloch betrifft den RealPlayer 8 sowie den RealOne Player und kann einen "Buffer Overrun"-Fehler verursachen.

RealNetworks bietet entsprechende Patches für die betroffenen Produkte zum Download an, wobei es über die in den Applikationen integrierten Download-Funktionen bezogen werden kann.

Rotalarm.de

################

Spion gegen Spion

[Trojaner & Backdoors] (http://www.heise.de/newsticker/meldung/44345) Nicht jedes Antispyware-Programm wird seinem Namen gerecht: Die Software Spyban etwa enttarnt zwar einige Trojanische Pferde, spioniert aber selbst. CNets Shareware-Website Download.com hat das Programm nach 44'000 Downloads aus dem Angebot genommen, weil die Entwickler "nicht alle Softwarekomponenten, die im Installationspaket enthalten waren, angegeben haben". Bei einer dieser Komponenten handelt es sich nämlich um den Webspion und Reklameroboter Look2Me, wie zuverlässige Schutzprogramme, etwa Spybot Search&Destroy, Ad-aware oder PestPatrol bestätigen.

Umso bedauerlicher, dass dieser Schädling gleich doppelte Unbill treiben konnte: Nicht nur, dass er zigtausend Anwender ausspionieren konnte, sondern auch, dass er die CNet-Autoren zur Schlussfolgerung brachte, es gebe "wenig, was Leute tun könnten, um ihre Systeme zu schützen, wie Sicherheitsfirmen erklären". Zumindest diese Aussage widerspricht Erfahrungen der c't-Redaktion und zahlreicher Forumsteilnehmer bei heise online, die mit seriösen Spyware-Blockern die allermeisten dieser Gefahren abwehren konnen.

Rotalarm.de


#################

Buffer Overflow in Checkpoints VPN-Gateways und -Clients

[Kryptographie & Authentizierung] Checkpoint VPN-1/SecureClient ISAKMP Buffer Overflow (http://www.heise.de/newsticker/meldung/44343) Die Sicherheitsspezialisten der ISS-X-Force haben einen Buffer Overflow im weit verbreiteten VPN-Gateway VPN-1 von Checkpoint entdeckt, mit dem ein Angreifer die Kontrolle über das System erlangen kann. Der Fehler ist ebenfalls in den dazugehörigen Clients SecuRemote und SecureClient zu finden.

Die Schwachstelle beruht auf der fehlerhaften Behandlung zu großer Zertifikatsanfragen in IKE/ISAKMP-Paketen während des Aufbaus einer geschützten Verbindung. IKE dient zum Aushandeln der Sicherheitsparameter und der Schlüssel für Virtual Private Networks. Durch einen ungeprüften Puffer kann ein Angreifer mit einem manipulierten IKE-Paket den Stack des Systems mit eigenem Code überschreiben und im Kontext des System ausführen, also entweder als root oder System. Da der Fehler bereits in der Initalisierungsphase auftritt, ist keinerlei Authentifizierung erforderlich.

Nach Angaben von X-Force funktioniert der Angriff sogar mit gefälschten Absenderadressen, da keine weitere Interaktion mit dem Gateway nötig sei. X-Force hat bereits einen funktionierenden Exploit entwickelt.

Betroffen sind Checkpoint VPN-1 Server 4.1 bis einschließlich SP6 mit OpenSSL Hotfix und SecuRemote/SecureClient 4.1 bis einschließlich build 4200. Laut dem Advisory von X-Force unterstützt Checkpoint diese Versionen nicht mehr, weshalb auch kein Patch zur Verfügung gestellt wird. Einen Workaround gibt es nicht, Checkpoint hat auch kein eigenes Advisory zu dem Problem veröffentlicht und empfiehlt stattdessen auf VPN-1 NG zu wechseln. Immerhin hält ISS für seine Proventia Security-Appliances Patches bereit.

Rotalarm.de

#############


Fehlerhafte Pakete bringen Cisco IP-Switches/Router zum Absturz


[Hardware] CSA: Cisco 6000/6500/7600 Crafted Layer 2 Frame Vulnerability (http://www.heise.de/newsticker/meldung/44316) Nach Angaben von Cisco können manipulierte Pakete die IP-Switching-Router der Serie 6000/6500/7600 zum Stillstand bringen. Der Fehler wird durch Layer-2-Pakete provoziert, deren Länge nicht konsistent mit der Länge des transportierten Layer-3-Paketes (IP, IPX und andere) ist. Switches mit Multilayer Switch Feature Card 2 (MSFC2) und FlexWAN- oder Optical Services Module (OSM) bleiben stehen oder rebooten. Dazu reicht es aus, dass der Routing-Switch ein fehlerhaftes Paket entgegennimmt und versucht weiterzuleiten. Allerdings muss dazu das Software-Switching im entsprechenden Router aktiviert sein, in Hardware switchende Systeme sind nicht verwundbar.

Nach Angaben von Cisco können derlei manipulierte Datenrahmen eigentlich nur aus lokal angeschlossenen Netzen stammen, da andere Switches auf dem Weg diese in der Regel korrigieren oder verwerfen und Router gar keine Layer-2-Pakete transportieren. Ein Angriff aus anderen Netzen sei somit unwahrscheinlich, aber nicht auszuschließen. Einen Workaround gibt es für das Problem nicht, der Hersteller empfiehlt eine neue IOS-Version einzuspielen.

Rotalarm.de

#####################

MyDoom-Removal-Tool von Microsoft

Microsoft hat ein eigenes Tool zur Entfernung der Würmer MyDoom.A und -.B veröffentlicht -- allerdings nur für Windows 2000 und XP. Anwender von Windows 98, ME und NT schauen in die Röhre. Einmal als Administrator gestartet, durchsucht das Programm die Festplatte und entfernt gefundene Würmer. Zusätzlich installiert es auf MyDoom.B-befallenen Rechnern die Standard-Hosts-Datei wieder, welche der Wurm manipulierte -- anders als die Original-Installation diesmal mit "Nur Lesen"-Attribut.

Microsoft weist in der Beschreibung des Tools explizit darauf hin, dass außer MyDoom.A und -.B keine weiteren Varianten oder andere Schädlinge erkannt oder beseitigt werden. Auch löscht es keine Mails, in denen der Wurm noch enthalten ist. Ein Klick auf eine infizierte Datei installiert das Untier also wieder.

Obwohl Microsoft nach dem Kauf des rumänische Herstellers von Antivirensoftware Unternehmen GeCAD, bekannt durch das Produkt RAV Antivirus, über eigenes Know-How in der Bekämpfung von digitalen Schädlingen verfügt, benötigte man rund zehn Tage länger als andere Hersteller, um ein eigenes Tool bereit zustellen. Ein ähnliches Tool zur Beseitigung des Lovsan-Wurms brachte Microsoft Anfang Januar heraus -- fünf Monate nach dessen Ausbruch.

HeiseLink

____

Melani und Sonia schützen Schweizer Infrastrukturen

Der Internetcrash mit globalen Ausmaßen ist zwar noch ein Horrorszenario. Rein virtuell ist er aber nicht mehr, sagt Ruedi Rytz vom Schweizer Informatikstrategieorgan des Bundes in Bern. Die Schweizer Bundesverwaltung plant daher für den Ernstfall. Rytz stellte bei der Tagung Domain Pulse das Schweizer Konzept und sein Herzstück "Melde- und Analysestelle Informationssicherheit (Melani) vor. Den Betrieb von Melani hat die Bundesverwaltung in die Hände von Switch gelegt, die das Wissenschaftsnetz der Schweiz betreibt.

Die "gehackte" Abwasserverwaltung in Australien, ein durch Wurm verursachter Störfall in einem Kernkraftwerk in Ohio und der Stromblackout in den USA, der von Sicherheitsexperten wie Bruce Schneier als eine Missetat des Blasterwurmes beurteilt wurde, sind ferne Ereignisse. Aber auch die Schweiz hatte bereits ihre Minikatastrophe: Ein Softwareupdate bei der Schweizer Bahn legte vor knapp zwei Jahren den Basler Bahnhof für Stunden lahm. Insgesamt sind vier Einzelprojekte Teil der Strategie. Bei Prävention und Analyse setzt man stark auf die private Stiftung Infosurance, im Krisenfall betreibt der Sonderstab IA der Wirtschaftlichen Landesversorgung (SONIA) Schadensbegrenzung.

Zentrale Aufgabe sowohl in der Früherkennung und in der Bekämpfung der Krisenursachen übernimmt das von Switch betriebene Melani. Es beobachtet die Vorgänge im Netz, gibt Frühwarnungen heraus, dient im Krisenfall als Help Desk und berät die Behörden bei der Verfolgung von Tätern und der Wiederherstellung der Netze. "Wenn das Matterhorn umfällt, wie es letzten Sommer wegen der Trockenheit fast passiert ist, können wir natürlich nichts tun," so Rytz. Für den Schutz der kritischen Infrastruktur sei man aber immerhin in der Aufwärmrunde. (Monika Ermert) /

HeiseLink

____


Sicherheitslücke in BSD-Systemen

Der Sicherheitsdienstleister PINE hat eine Sicherheitslücke der unter FreeBSD, NetBSD, und OpenBSD verwendeten Speicherfunktion shmat() gemeldet, mit der lokale, nicht-privilegierte Anwender ihre Zugriffsrechte ausbauen können. Eine Schwachstelle in der Speicherverwaltung unter Linux (do_mremap) hatte bereits Anfang Januar die Distributoren zur Veröffentlichung aktualisierter Pakete gezwungen.

Schuld an der nun gefundenen Lücke ist ein Integer Overflow in der Funktion shmat() (attach shared memory) im Modul sysv_shm.c. Shmat() mapped ein Shared- Memory-Segment in den Adressraum des aufrufenden Prozesses. Der Overflow lässt sich von einem Angreifer beim Aufruf der Funktion mit manipulierten Adressen provozieren. Anschließend ist er laut Advisory in der Lage, mit eigenen Programmen auf fälschlicherweise freigegebene Speicherbereiche zuzugreifen und beliebigen Code auf den Stack zu schreiben und auszuführen.

Betroffen sind FreeBSD ab 2.2.0, NetBSD ab 1.3 und OpenBSD ab 2.6. Das FreeBSD-Team hat bereits ein eigenes Advisory veröffentlicht. Als Workaround empfiehlt das Team, die Unterstützung für Shared Memory abzuschalten. Allerdings funktionieren dann einige Applikationen, etwa X-Windows, nicht mehr. Alternativ können Anwender auf neue fehlerbereinigte FreeBSD-Versionen wechseln oder den Patch einspielen und den Kernel neu kompilieren. OpenBSD und NetBSD haben bislang noch keine eigenen Advisories veröffentlicht. OpenBSD weist aber in seiner Errata-Liste auf den Fehler und einen Fix hin.

HeiseLink

____

US-Senator findet neues Virenwarnsystem der Regierung fehlerhaft

Der demokratische US-Senator Charles Schumer meint, dass das neue Virenwarnsystem des Department of Homeland Security (DHS) fehlerhaft sei. Es könne mehr Schaden anrichten als nützen, erklärte Schumer laut US-amerikanischen Medien. Die Warnungen des DHS könnten als Tarnung für neue Viren und Würmer verwendet werden. Wenn er wetten würde, dann darauf, dass es in nächster Zeit einen solchen Virus geben werde.

Die Warnungen sollten daher nicht per E-Mail verbreitet werden, sondern über eine sichere Telefonleitung an Behörden und Provider. Dabei sollte die National Cyber Security Division die Oberhand haben. Die Abteilung entwickele sich zur führenden Behörde bei der Bekämpfung des Cyberterrorismus, meint Schumer.

Das Department of Homeland Security bietet seit Januar kostenlos Warnhinweise auf Computerviren und -würmer sowie Schwachstellen an. Wer sich beim Homeland Security National Cyber Alert System anmeldet, werde per E-Mail frühzeitig vor möglicherweise grassierenden Computerviren gewarnt und erhalte auf Wunsch detaillierte technische Hinweise zum Schutz vor einer Infizierung. Der erste Wurm, bei dem das Warnsystem ansprang, war MyDoom.

HeiseLink

____

IPv6-Pakete bringen OpenBSD zum Absturz

Der Sicherheitsspezialist Georgi Guninski beschreibt in einem Advisory, wie IPv6-Pakete mit einer kleinen Maximum Transmission Unit (MTU) OpenBSD-3.4-Systeme mit IPv6-Unterstützung zum Absturz bringen können. Die MTU gibt die maximale Größe eines Paketes für ein Netzwerk vor. Bei Ethernet beträgt diese 1518 Bytes, kann aber auch kleiner eingestellt werden, was manchmal bei xDSL-Anschlüssen erforderlich ist.

Schickt man ein IPv6-Paket mit kleiner MTU, etwa ein ICMP-Paket, an den Server und baut anschließend eine IPv6-TCP-Verbindung auf, so bleibt der Server stehen. Um entsprechend kleine Pakete zu senden, hat Guninski ein Linux-System verwendet, in dessen Kernel die icmpv6_send()-Funktion modifiziert war.

Der Fehler findet sich in der Funktion ip6_output.c() Revision 1.81 und ist in Revision 1.82 behoben. Es wird empfohlen, die neue Version zu installieren und den Kernel neu zu kompilieren.

HeiseLink

Schwachstellen in Oracle 9i


Die Sicherheitsspezialisten Cesar Cerrudo und Mark Litchfield haben in der Datenbank Oracle 9i mehrere Sicherheitslücken entdeckt, mit denen nicht privilegierte Datenbankanwender ihre Zugriffsrechte auf dem System erweitern können. In den Konvertierungsfunktionen NUMTOYMINTERVAL und NUMTODSINTERVAL provozieren zu lange char_expr-Strings Buffer Overflows, mit denen Angreifer den Stack mit eigenem Code überschreiben und im Kontext der Datenbank (je nach Plattform SYSTEM oder ORACLE) ausführen können.

Beide Fehler sind in den Versionen bis 9.2.0.4 enthalten. Zwei weitere Fehler betreffen mögliche Buffer Overflows in den Funktionen FROM_TZ und TIME_ZONE in der Version bis 9.2.0.3. Um alle vier Lücken zu beseitigen, sollten Anwender Version 9.2.0.4 installieren. Ursprünglich hat Litchfield zu den Fehlern bereits im Dezember Advisories veröffentlicht. Diese fanden aber offenbar wenig Beachtung, weshalb Cerrudo die Probleme bei eigenen Untersuchungen wieder entdeckte und nun auf der Mailingliste Full Disclosure veröffentlichte. Die Advisories unterscheiden sich in den betroffenen Versionsnummern, wobei Litchfields Angaben auf Informationen von Oracle beruhen.


HeiseLink
___

Tückischer Wurm bricht über MyDoom-Hintertür ein

Der bislang nur vereinzelt gesichtete neue Wurm W32.HLLW.Deadhat alias Vesser bricht über die von MyDoom.A und MyDoom.B geöffneten Hintertürchen ein. Auf befallenen Systemen setzt er sich dann selbst fest, in dem er vorhandene MyDoom-Würmer deinstalliert und versucht Firewalls sowie Antivirenscanner zu deaktivieren. Anschließend verbreitet er sich weiter zu anderen mit MyDoom infizierten Windows-Rechnern, die Backdoors auf den Ports 3127, 3128, und 1080 geöffnet haben. Entsprechende Ziele findet er durch sequenzielles Erhöhen der eigenen IP-Adresse. Zudem kopiert er sich in die Verzeichnisse des File-Sharing-Programms Soulseek und in Netzwerkfreigaben.

Auch Deadhat baut wieder Hintertüren ein, diesmal auf Port 2766. Verbindet sich ein Angreifer auf diesen Port, kann er Programme hochladen, die der Wurm ausführt -- denkbar sind weitere Trojaner, Keylogger und Proxies. NAI will auch Befehlscode gefunden haben, um sich automatisch mit IRC-Channels zu verbinden. Weitere Details zu dem Wurm sind den Beschreibungen der Antivirenhersteller zu entnehmen. Einige Hersteller haben ihre Viren-Signaturen bereits aktualisiert, leider nicht alle. Beispielsweise bietet Symantec seine Signaturen per LiveUpdate erst zum 11. Februar an. Auch NAI hält es nicht für nötig, seine DAT-Files früher bereit zu stellen.

Der neue Wurm dürfte sicher nicht der erste und letzte Schädling sein, der mit MyDoom infizierte Rechner befällt. Glaubt man den Angaben der Antivirenhersteller, sind weltweit mehrere Hunderttausend PCs mit dem Wurm verseucht. Viele Anwender merken nicht einmal, dass ihr Rechner betroffen ist und treffen keine Gegenmaßnahmen. Damit bietet sich für Spammer und Cracker eine ideale Plattform, um weitere Angriffe vorzubereiten und durchzuführen.

HeiseLink

Microsoft von neuem Wurm attackiert

Die Hersteller von Antivirensoftware haben vor einem weiteren Wurm Doomjuice gewarnt, der über die auf MyDoom-infizierten Windows-PCs geöffnete Hintertür auf Port 3127 einbricht. Anders als der gestern gemeldete Wurm Deadhat deinstalliert er MyDoom (A oder B) nicht, sondern koexistiert mit den ersten Varianten. Zusätzlich startet er eine Denial-of-Service-Attacke gegen www.microsoft.com. Am gestrigen Montagvormittag waren die Webserver von Microsoft schwer zu erreichen. Nach Angaben von Netcraft sei dies schon auf die Attacken des neuen Wurms zurückzuführen.

Doomjuice kopiert auf befallenen Systemen zudem den Quellcode des MyDoom.A-Wurms in verschiedene Verzeichnisse. Weitere Schadroutinen hat der Wurm nicht, er öffnet auch keine weiteren Hintertüren, noch startet er Keylogger oder dergleichen.

Einige Hersteller haben neue Virensignaturen zur Verfügung gestellt. Diesmal gehört auch Symantec dazu, die ihre Signaturen für den LiveUpdate schon gestern aktualisierten -- angekündigt war ursprünglich der 11.Februar. Damit erkennt der Scanner Deadhat und Doomjuice. NAI dagegen bummelt immer noch hinterher und stellt seine DAT-Files für Deadhat/Vessel und Doomjuice erst am 11. Februar bereit. Microsoft hat sein Removal-Tool zur Entfernung von MyDoom.A und MyDoom.B erweitert, sodass nun auch Doomjuice von der Festplatte gefegt wird.

HeiseLink

___

Schwachstelle bringt Nokia 6310i zum Absturz

Der Sicherheitsdienstleister Pentest warnt vor einer Sicherheitslücke im Nokia-Handy 6310i, die es Angreifer ermöglicht, das Handy mit manipulierten Object-Exchange-Nachrichten zum Absturz und zum Rebooten zu bringen. Der Angriff kann über Bluetooth, Infrarot und die serielle Schnittstelle erfolgen. Ein vorheriges Pairing ist nicht notwendig. Nokia hat den Fehler bestätigt. Pentest weist darauf hin, dass auch weitere Nokia-Geräte betroffen sein können, da der Protokollstack zur Verarbeitung der OBEX-Nachrichten mehrfach eingesetzt wird.

Da es keinen Patch für das Problem gibt, empfiehlt Pentest, Bluetooth zu deaktivieren oder das Gerät in den Non-discoverable-Mode zu schalten, um nicht auf sich aufmerksam zu machen. Allerdings bietet auch das keinen zuverlässigen Schutz, da es diverse Tools gibt, die auch hidden Devices entdecken.

Bereits im November hat heise Security über Schwachstellen in Mobilfunktelefonen mit Bluetooth berichtet, zu denen Adam Laurie, Sicherheitschef des britischen Unternehmens A.L. Digital, Details auf bluestumbler veröffentlichte: Sicherheitslücken gefährden Bluetooth-Handys.

HeiseLink

___


Fehler in Mailman

Der Entwickler Barry Warsaw hat ein Patch-only Release von Mailman 2.0.14 veröffentlicht, in dem ein Fehler beseitigt ist, mit dem Angreifer den Prozess zum Absturz bringen konnten. Das Problem basiert auf der fehlerhaften Verarbeitung von Kommandos durch das Skript MailCommandHandler.py. Um den Absturz zu provozieren, reicht eine Mail mit einem manipulierten Kommando aus.

Warsaw weist darauf hin, dass er dieses Release nicht vollständig getestet hat, da Version 2.0 von ihm eigentlich nicht mehr gepflegt wird. Er empfiehlt deshalb, auf Version 2.1 zu wechseln. Mit Mailman lassen sich elektronische Newsletter versenden und E-Mail-Diskussionsforen betreiben und verwalten.

HeiseLink

____

IE-Patch: Was lange währt, wird doch nicht gut

[online/Browser/Email] Patch korrigiert aktuellen IE-Patch; URL-Aufruf mit Zugangsdaten bleibt gesperrt (http://www.golem.de/0402/29638.html) Unglaublich, aber wahr: Der jüngst von Microsoft veröffentlichte Patch zur Beseitigung von gleich drei Sicherheitslecks im Internet Explorer weist einen Fehler auf, so dass erneut ein Patch eingespielt werden muss. Der neue Patch ermöglicht jedoch das Einbinden von Nutzername und Kennwort in URLs nicht wieder, was der aktuelle IE-Patch ausgeschaltet hatte.

Der eigentliche, durch den Patch für den IE verursachte Fehler steckt in dem vom Browser verwendeten Parser XML 3.0 von Microsoft, der bestimmte XML-Adressen nicht mehr korrekt auflöst. Erst nach Einspielen des neu veröffentlichten Patches werden die entsprechend formatierten XML-Adressen nun korrekt aufgerufen und nicht mehr mit einer Fehlermeldung quittiert. Der den Fehler verursachende Patch wurde Anfang Februar 2004 veröffentlicht und beseitigte unter anderem ein seit November 2003 und ein seit Dezember 2003 bekanntes Sicherheitsleck im IE.

Auch nach Installation des Patches für Microsoft XML 3.0 bleibt das Einbinden von Nutzername und Kennwort in URLs weiterhin deaktiviert. Mit dem am 3. Februar 2004 erschienenen Patch für den IE wurde das Einbinden derartiger Informationen in URLs komplett abgeschaltet, was im Netz für einige Verärgerung gesorgt hat, da sich Webseiten mit entsprechenden Adresskonstruktionen nicht mehr ohne weiteres mit dem IE aufrufen lassen. Andere Browser-Hersteller unterstützen diesen URL-Aufruf weiterhin, ohne dass die entsprechenden Browser wie Firebird, Mozilla oder Opera mit den im IE aufgetretenen Sicherheitsproblemen konfrontiert sind.

Rotalarm.de

#####


Wurm gegen Wurm

[Trojaner & Backdoors] Aktueller Virus nutzt Hintertür von MyDoom-A (http://www.golem.de/0402/29647.html) Die Hersteller von Antiviren-Software haben eine interessante Entdeckung gemacht: ein aktuell in Umlauf befindlicher Wurm bekämpft vor allem den MyDoom-Wurm in den beiden Varianten A und B. Der unter der Bezeichnung W32.HLLW.Deadhat alias Vesser, W32/Deadhat.worm.a, WORM_DEADHAT.A, Win32.Deadhat.A, Worm.Win32.Vesser agierende Wurm schleust sich über die von MyDoom geöffneten Hintertüren in befallene Systeme ein.

Hat sich der Wurm Vesser erfolgreich auf ein von MyDoom infiziertes System laden können, deaktiviert dieser den MyDoom-Wurm in den beiden Varianten A sowie B und versucht, diesen aus dem System zu deinstallieren. Allerdings führt der neu entdeckte Wurm nicht nur Gutes im Schilde, denn er deaktiviert auch laufende Virenscanner und Firewall-Software. Als Weiteres verbindet sich der Wurm zu einem IRC-Server und wartet auf entsprechende Befehle. Neben der Verbreitung über die MyDoom-Hintertür nistet sich der Wurm in das P2P-Netzwerk SoulSeek ein, um sich darüber ebenfalls zu verbreiten.

Nach der Ausführung von Vesser kopiert sich der Wurm unter dem Dateinamen SMS.EXE in das Windows-System-Verzeichnis und trägt sich in die Registry ein, um bei jedem Neustart des Rechners automatisch geladen zu werden. Sobald der Wurm läuft, fahndet er nach entsprechenden Einfallstüren, die der MyDoom-Wurm geöffnet hat und schleust sich so auf bereits befallene Systeme ein.

Rotalarm.de

####


Kritischer Fehler in Checkpoint Firewall-1


[Security-Software & -Tools] CERT-TA04-036A, xforce.iss.net/xforce/alerts/id/162: HTTP Parsing Vulnerabilities in Check Point Firewall-1 (http://www.heise.de/newsticker/meldung/44341) Die Sicherheitsspezialisten X-Force des Herstellers Internet Security Systems ISS haben mehrere Fehler in der weit verbreiteten Firewall-1 von Checkpoint entdeckt, mit denen Angreifer die Kontrolle über das System erlangen können. Die Schwachstellen sind in der Mitte vergangenen Jahres eingeführten Application Intelligence (AI) enthalten, die eine bessere Erkennung und Abwehr von Angriffen auf Netzwerke ermöglichen soll, in dem Protokolle eingehender inspiziert werden. Des Weiteren ist der Fehler auch im HTTP-Security-Server-Proxy der Firewall vorhanden, da beide Dienste die gleiche Codebasis haben.

Das Problem basiert auf Format-String-Schwachstellen bei der Verarbeitung von HTTP-Anfragen. Durch manipulierte Requests kann ein Angreifer eine Fehlermeldung der Firewall provozieren, deren Inhalt er teilweise selbst bestimmt. Da diese Meldung ohne weitere Prüfung an die Funktion sprintf() übergeben wird, ist es möglich, eigenen Code einzuschleusen und auszuführen. X-Force hat nach eigenen Angaben einen funktionierenden Exploit entwickelt, mit der sich die Firewall über das Netzwerk kontrollieren lässt. Damit ist es beispielsweise möglich, Firewall-Regeln zu löschen oder umzukonfigurieren.

Betroffen sind alle Systeme, auf dem AI oder der HTTP-Security-Server laufen, sowohl für Unix-Plattformen, als auch für Windows-Systeme.

Da Checkpoints Firewall-1 in vielen weiteren Sicherheitslösungen als OEM-Produkt enthalten ist, sind auch Sicherheits-Appliances von Nokia, ISS und anderen verwundbar. Checkpoint hat ein eigenes Advisory veröffentlicht, in dem der Hersteller das Einspielen der Patches empfiehlt.

Rotalarm.de

####

Apple bessert bei WLAN-Sicherheitsstandard WPA nach


[drahtlos & mobil] (http://www.heise.de/newsticker/meldung/44060) Die Sicherheits-Spezifikation WPA (Wi-Fi Protected Access) für drahtlose Netze unterstützt Apple in seinen WLAN-Produkten schon seit einem Update der AirPort-Software im vergangenen Jahr. Anwenderberichten zufolge soll WPA in der bisherigen Software-Version 3.2 jedoch nicht immer reibungslos funktionieren.

Nun hat Apple ein Update auf Version 3.3 herausgegeben, das bei WPA nachbessert. Damit kommen nun nicht nur – wie im ersten Readme angegeben – die letzte AirPort-Generation mit dem Zusatz "Extreme" (IEEE 802.11g, bis zu 54 Mbit/s brutto) in den Genuss von WPA, sondern auch das ältere AirPort nach IEEE-801.11b-Standard (in Verbindung mit einer Extreme-Basisstation). Systemvoraussetzung für die neue Software ist laut Apple Mac OS X 10.3 alias Panther.

Das Update auf Version 3.3 steht über die Funktion zur Software-Aktualisierung von Mac OS X und mittlerweile auch auf Apples Airport-Seiten zum Download bereit.

Rotalarm.de

Patch-Day: Microsoft stopft weitere Sicherheitslücken [Update]

In der Microsoft ASN.1 Library gibt es eine kritische Lücke: Ein Buffer Overflow ermöglicht Angreifern das Einschleusen und Ausführen von beliebigem Code über das Netzwerk. Microsoft stuft den Fehler als kritisch ein, betroffen sind alle auf NT-basierenden Windows-Versionen, Details und Patches stellt Microsoft im Security Bulletin MS04-007 zur Verfügung. Vermutlich handelt es sich um den gleichen Fehler, den das britische Infrastructure Security Coordination Centre (NISCC) bereits im September vergangenen Jahres in den OpenSSL-Bibliotheken gefunden hatte.

[Update]
ASN.1 wird unter Windows von verschiedenen Diensten benötigt. Kerberos, NTLMv2 und SSL/TLS greifen ebenso auf die ASN.1-Bibliotheken zurück, wie das Local Security Authority Subsystem (lsass.exe) und Teile der CryptoAPI (crypt32.dll). Auch IPSec und S/MIME rufen Funktionen der Library auf. Die Bibliothek wird auch zur Behandlung von Zertifikaten verwendet. Damit ist es möglich, einen Angriff mit manipulierten SSL-Zertifikaten durchzuführen. Dies gilt für Windows-Server und Windows-Clients. Der Besuch einer Webseite mit einem gefälschten Zertifikat reicht beispielsweise aus, um prinzipiell beliebige Programme auf einen Client zu laden und zu starten. Allerdings sind noch keine Exploits bekannt, die diese Lücke ausnutzen.

Das Security-Bulletin MS04-006 beschreibt ein Sicherheitsloch im Windows Internet Naming Service (WINS). Auch hier können Angreifer von außen beliebigen Code ausführen. Da WINS aber standardmäßig nicht aktiviert ist, besteht kein so großes Risiko wie bei der ASN.1-Lücke. Betroffen sind Windows NT, 2000 und 2003 Server, es hängt jedoch von den eingespielten Service Packs ab. Unter Windows 2003 ließe sich die Lücke aber lediglich für einen Denial-of-Service-Angriff missbrauchen, Code Execution funktioniere nur unter Windows NT und 2000.

MS04-005 beschreibt eine Sicherheitslücke in Virtual PC for Mac. Mit bösartigem Code könne ein Angreifer eine Rechteausweitung auslösen, sodass Virtual PC mit Systemrechten läuft. Betroffen sind die Versionen 6.0, 6.01, 6.02 und 6.1. Patches stellt Microsoft über das Security Bulletin zur Verfügung.

HeiseLink

###

Sicherheitslücke bei Friendscout24.de

[Serverprogramme] (http://www.heise.de/newsticker/meldung/44238) Durch einen Konfigurationsfehler des Webservers von Friendscout24.de, nach eigenen Angaben Deutschlands Partnerbörse Nr. 1, war es mehr als eine Woche möglich, Profildaten und Teile der Frontendarchitektur wie Perl-Skripte, XML-Dateien und andere Konfigurations-Dateien über Webseiten einzusehen. In einem Perl-Skript war sogar hart-codiert ein Schlüssel eingetragen, der die Verschlüsselung der Chat-Kommunikation regelt.

Der Fehler ist mittlerweile behoben. Schuld war nach Angaben von Walter Sinowski, IT-Leiter bei Friendscout, eine Unachtsamkeit bei einem Upgrade des Apache-Servers. Friendscout24 bedauert den Vorfall sehr, ist aber nach einer eingehenden Prüfung sicher, dass weder Passwörter, Bankdaten, Transaktionen oder E-Mail-Adressen von Kunden ausgespäht werden konnten. Vorsichtshalber habe man aber sicherheitsrelevante Schlüssel und Passwörter ausgewechselt.

rotalarm.de

######

Mathematiker knacken 576-Bit-Verschlüsselung

[Kryptographie & Authentizierung] (http://enterprisesecurity.symantec.de/symes565.cfm?JID=6&PID=10416651) Bonner Mathematiker haben es geschafft, eine Zahl mit 174 Stellen in ihre Primfaktoren zu zerlegen. Das ist die bisher größte Zahl, bei der dies gelungen ist. Den Forschern beschert dies ein Preisgeld in Höhe von 10'000 US$, ausgeschrieben von RSA-Security, dem Hersteller des gleichnamigen Verschlüsselungsverfahrens.

Das RSA-Verfahren wird beispielsweise von Internet-Browsern zur Verschlüsselung sensibler Daten verwendet. Die Schlüssel sind dabei heute meist 1024 Bit groß – das heißt, als Binärzahl aus Nullen und Einsen geschrieben hätten sie eine Länge von 1024 Ziffern.

rotalarm.de

Sicherheitslücke in Mail-Client mutt

Red Hat hat ein Security Advisory veröffentlicht, das einen Fehler im Mail-Client mutt beschreibt, mit dem ein Angreifer möglicherweise beliebigen Code in das System einschleusen und im Kontext des Anwenders ausführen kann. Mutt ist ein schlanker, nicht-grafischer Mail User Agent (MUA) für Unix-Plattformen. Für eine erfolgreiche Attacke reicht eine manipulierte E-Mail aus, die das Opfer mit einem verwundbaren mutt öffnet. Nähere Angaben macht Red Hat zu dem Fehler nicht.

Welche Versionen genau betroffen sind, lässt das Advisory auch offen, Version 1.2.5.1 in Red Hat Enterprise Linux 2.1 soll aber nicht betroffen sein. Der Distributor empfiehlt neue Pakete zu installieren.

HeiseLink


__


Verunsicherung durch Windows-Lücken -- und Schlagzeilen

Nach der Veröffentlichung der Sicherheitslöcher in Windows und dieses Mal recht schlagzeilenträchtiger Berichterstattung in den normalen Medien sind weltweit Benutzer über die möglichen Risiken für den eigenen PC verunsichert. Grund für die Hysterie ist unter anderem eine Äußerung des für Sicherheitsfragen zuständigen Microsoft-Manager Stephen Toulouse -- die in der PR von Sicherheitsfirmen und in deren Folge dann in der internationalen und der deutschen Presse mit Aplomb aufgegriffen wurde -- bis hin zur Bild-Zeitung; aber selbst die Süddeutsche Zeitung sprach von einer "Lücke wie ein Scheunentor".

Toulouse erklärte zu dem Sicherheitsleck, es handele sich um ein ausgesprochen tiefes und umfassendes Problem. Marc Maiffret von eEye, Entdecker der Sicherheitslücken, setzte sogar noch eins oben drauf und sprach von einer noch nie dagewesenen Bedrohung, da sehr viele Systeme verwundbar seien. Durch die Lücke könne man in Internet-Server und Unternehmensnetze eindringen. Auch Stromkraft- oder Wasserwerke die mit Windows gesteuert würden, seien gefährdet.

Prinzipiell haben beide Recht: Da die betroffene ASN.1-Bibliothek von sehr vielen Anwendungen und Diensten benutzt wird, ist jeder NT-basierende Windows-PC verwundbar (NT, 2000, XP, Server 2003). Insbesondere Funktionen, die Server und PCs eigentlich sicherer machen sollen, verwenden ausgiebig ASN.1. Es ist aber derzeit kein Exploit bekannt, der diese Lücken ausnutzt. eEye hat zwar nach eigenen Angaben ein Proof-of-Concept-Exploit entwickelt, ihn aber noch nicht veröffentlicht. Da einige Fehler aber bereits Mitte vergangenen Jahres gefunden wurden, ist es nicht gänzlich unwahrscheinlich, dass es bereits sogenannte Zero-Day-Exploits gibt, die in geschlossenen Cracker-Zirkeln kursieren. Angeblich hatte eEye den Fehler auch nicht selbst entdeckt, sondern hätte Hinweise darauf erhalten.

Ähnliche Fehler in ASN.1-Bibliotheken für Unix-Derivate hatte das NISCC bereits im September und November gemeldet. Auch dort waren SSL/TLS- und S/MIME-Impementierungen verwundbar. CERT/CC gab daraufhin eine Vulnerability Note mit einer Liste möglicher betroffener Hersteller heraus. Microsofts Status ist dort immer noch unknown.

Zum Aufbau einer SSL-geschützten Verbindung senden Server an den Client ein Zertifikat, das mittels ASN.1 analysiert wird. Ein Angreifer könnte mit einem manipulierten Zertifikat die Sicherheitslücke auf einem Client ausnutzen und beliebigen Code auf das System schreiben und ausführen. Beim normalen Online-Banking-Anwender tritt das Problem nicht auf, da die Bank wohl kaum gefälschte Zertifikate überträgt. Wer also nur vertrauenswürdige Seiten besucht, den tangiert die Lücke nur peripher. Ohnehin sind im Internet Explorer immer noch Sicherheitslücken ungepatcht, mit denen ebenfalls beliebiger Code in das System geschleust werden kann.

Des Weiteren tritt der Fehler auch bei der Überprüfung signierter ActiveX-Controls auf. Ob dazu allein schon die Anzeige des Dialogs, dass man dem Download zustimme, ausreicht, ist derzeit noch unklar. Ähnlich verhält es sich bei der Zertifikatsüberprüfung von S/MIME-Mails. Betroffen ist auch die Windows-Authentifizierung im Netzwerk mit NTLMv2 und Kerberos. Beide Verfahren werden in Unternehmensnetzen zu Anmeldung im Netzwerk eingesetzt. Heimanwender sind nur dann betroffen, wenn sie Laufwerke oder Drucker im Netzwerk freigeben und eine Authentifizierung zum Zugriff erforderlich ist.

Windows-Server sind durch die Lücken stärker bedroht. Der Internet Information Server benutzt SSL und kann beispielsweise bei bidirektionaler Authentifizierung mit manipulierten Benutzerzertifikaten angegriffen werden. Neben Domänen-Controller sind über die Authentifizierungsmechanismen auch andere Member-Server verwundbar -- auch IPSec-Gateways zum Aufbau von Virtual Private Netzworks unter Windows sind für Attacken anfällig.

Auch wenn keineswegs Panik angesagt ist, wie mancher Artikel, der im Netz kursiert, vielleicht nahelegen könnte: Windows-Anwender sollten auf jeden Fall bald die Updates installieren, um nicht das gleiche Schauspiel zu erleben, welches seinerzeit der Wurm Lovsan/W32.Blaster bot. Damals waren einige Wochen nach der Veröffentlichung einer kritischen Lücke in Windows und den Sicherheitsupdates erste Exploits aufgetaucht, aus der dann Lovsan entstand. Was dann folgte, ist vielen wohl noch in Erinnerung.

Heise Link (mit weiterführenden Links)

____

Wichtiges Update für Windows Media Player

Microsoft hat ein Update für den Windows Media Player veröffentlicht, das eine Sicherheitslücke bei der Verarbeitung von Streams schließt. In Audio- und Videostreams lassen sich Skript-Befehle einbetten, um beispielsweise weitere URLs (Webseiten) aufzurufen. Beim Abspielen öffnet der Player diese Seiten aber fälschlicherweise im Kontext der lokalen Zone, womit ausgeführte Skripte der aufgerufenen Seite Zugriff auf das System erhalten. Angreifer könnten damit beliebigen weiteren Code nachladen und auf dem System ausführen.

Nach Angaben von Microsoft ist dies kein Fehler im Programm-Code, sondern das eigentliche Verhalten sei beabsichtigt. Das Update ändert das Verhalten aller Player-Versionen unter Windows 2000, Windows XP und Windows Server 2003 -- nach Installation des Patches können Anwender beziehungsweise Administratoren über drei Registry-Einträge in HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Preferences beeinflussen, wie der Media Player künftig URLs in Streams verarbeitet:

PlayerScriptCommandsEnabled: Beeinflusst das Verhalten im Standalone-Player; 0 schaltet die URL-Scripts aus, Standard-Wert ist 0
WebScriptCommandsEnabled: Beeinflusst das Verhalten des Players bei Einbettung in den Internet Explorer; 0 schaltet die URL-Scripts aus, Standard-Wert ist 1
URLAndExitCommandsEnabled: Beeinflusst die Unterstützung der URL-Scriptkommandos URLAndExit; 0 schaltet die Unterstützung aus, Standard-Wert ist 1
Außerdem kann ein Script nach Installation des Patches nicht mehr in eine höhere Sicherheitszone wechseln als ursprünglich vorgesehen.

Warum Microsoft diesen Fehler nicht in wie die anderen Sicherheitslöcher in einem Security Bulletin beschreibt, sondern in einem Knowledge-Base-Artikel (KB828026), ist unklar. Ein entsprechender Hinweis auf das Problem fehlt auch auf der Security-Seite von Microsoft.

HeiseLInk

Schwachstelle im WINS

[Microsoft Windows] CAN-2003-0825; MS04-006: Vulnerability in the Windows Internet Naming Service (WINS) Could Allow Code Execution (830352) (http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1180) Der Windows NT 4.0/2000 und Server 2003 Windows Internet Naming Service (WINS) weist eine Schwachstelle auf. Auch hier können Angreifer von außen beliebigen Code ausführen. Da WINS aber standardmäßig nicht aktiviert ist, besteht kein so großes Risiko wie bei der ASN.1-Lücke.

Betroffen sind Windows NT, 2000 und 2003 Server, es hängt jedoch von den eingespielten Service Packs ab. Unter Windows 2003 ließe sich die Lücke aber lediglich für einen Denial-of-Service-Angriff missbrauchen, Code Execution funktioniere nur unter Windows NT und 2000.

Rotalarm.de

###


Nach einem Tag bereits eine Variante von Doomjuice!

[Trojaner & Backdoors] (rotalarm / Sophos) W32/Doomjuice-B alias W32.HLLW.Doomjuice.B, W32/Doomjuice.worm.b, WORM_DOOMJUICE.B, Win32.Doomjuice.B ist ein weiterer Wurm, der sich durch die von W32/MyDoom-A geöffnete Hintertür auf Windows-Zombies verbreitet. Die Funktionalität gleicht W32/Doomjuice-A enthält aber nicht den Teil, der ein tar-Archiv mit dem Quellcode des Virus auf dem Rechner ablegt.

Der Wurm kopiert sich unter dem Namen regedit.exe in den Windows-Systemordner und legt einen Eintrag in der Registry an, um sich bei jedem Systemstart aufzurufen.

W32/Doomjuice-B testet willkürlich IP-Adressen auf einen offenen Port unter der Nummer 3127. Hat W32/MyDoom-A diesen auf der Maschine geöffnet, kopiert sich W32/Doomjuice-B ebenfalls dorthin und wird aktiv.

Am 13. Februar beginnt W32/Doomjuice-B mit einer Denial-of-Service-Attacke gegen www.microsoft.com. Seine Angriffsroutine ist dabei so verändert, dass die Blockierung seiner HTTP-Requests erschwert wird.

Rotalarm.de

####

Update für VirtualPC

[Apple/Macintosh] MS04-005: Vulnerability in Virtual PC for Mac could lead to privilege elevation (835150) (http://www.macnews.de/?51119) Microsoft hat eine Aktualisierung für seinen Emulator VirtualPC vorgelegt. Version 6.1.1 soll ein Sicherheitsproblem im Zusammenhang mit Privilegien lösen, außerdem hat man vorbereitende Maßnahmen für ein demnächst erscheinendes Windows XP-Service-Pack (vermutlich SP2) getroffen.

Das Update ist immerhin knapp 15 MB groß und liegt bereits auf Deutsch vor. Eine vollständig überarbeitete Version 7 von VirtualPC, die dann auch auf dem Power Mac G5 läuft, soll bis Sommer erscheinen.

Rotalarm.de

####

Schwachstelle bringt Nokia 6310i zum Absturz

[drahtlos & mobil] PTL-2004-01: Multiple vulnerabilities in Nokia phones (http://www.heise.de/newsticker/meldung/44461) Der Sicherheits-Dienstleister Pentest warnt vor einer Sicherheitslücke im Nokia-Handy 6310i, die es Angreifer ermöglicht, das Handy mit manipulierten Object-Exchange-Nachrichten zum Absturz und zum Rebooten zu bringen.

Der Angriff kann über Bluetooth, Infrarot und die serielle Schnittstelle erfolgen. Ein vorheriges Pairing ist nicht notwendig. Nokia hat den Fehler bestätigt. Pentest weist darauf hin, dass auch weitere Nokia-Geräte betroffen sein können, da der Protokollstack zur Verarbeitung der OBEX-Nachrichten mehrfach eingesetzt wird.

Da es keinen Patch für das Problem gibt, empfiehlt Pentest, Bluetooth zu deaktivieren oder das Gerät in den Non-discoverable-Mode zu schalten, um nicht auf sich aufmerksam zu machen. Allerdings bietet auch das keinen zuverlässigen Schutz, da es diverse Tools gibt, die auch hidden Devices entdecken.

Bereits im November hat heise Security über Schwachstellen in Mobilfunktelefonen mit Bluetooth berichtet, zu denen Adam Laurie, Sicherheitschef des britischen Unternehmens A.L. Digital, Details auf www.bluestumbler.org veröffentlichte.


Rotalarm.de

++++

Buffer Overflow in XFree86

Das Sicherheitsunternehmen iDefense hat eine Sicherheitslücke in XFree86 gefunden, durch die lokale Angreifer (also Angreifer mit direktem physischen oder Remote-Zugang zum System) Root-Rechte erlangen und beliebigen Code ausführen können. Der Fehler besteht in der Datei font.alias; durch eine speziell manipulierte Datei kann ein Angreifer einen Buffer Overflow erzeugen, der dann das Ausführen von beliebigen Code ermöglicht. Betroffen sind alle XFree86-Versionen zwischen 4.1.0 und 4.3.0, iDefense hält es aber für wahrscheinlich, dass auch ältere Versionen den Fehler aufweisen. Anzeige


Das XFree-Team stellt einen Patch zur Verfügung, der den Fehler auf allen verwundbaren XFree86-Versionen beheben soll. Da auf der Sicherheitsmailingliste Bugtraq bereits ein Exploit für die Sicherheitslücke veröffentlicht wurde, sollten Administratoren den Patch schnellstmöglich einspielen.

HeiseLink

____


Opera zeigt falsche Dateiendungen bei Download an [Update]

Durch einen Fehler im Webbrowser Opera ist es möglich, Anwendern Dateien mit gefälschten Dateiendungen unterzuschieben. Durch die Übermittlung einer gefälschten CLASSID (CLSID) zeigt der Browser beispielsweise statt der Endung HTML die Endung PDF an, berichtet der Sicherheitsdienstleister Secunia. Ein Anwender kann damit überlistet werden, eine Datei mit vermeintlich vertrauenswürdiger Endung zu öffnen. Ein ähnlicher Fehler wurde Ende Januar im Internet Explorer entdeckt. Zur Demonstration trug eine HTML-Datei eine ausführbare EXE-Datei in sich. Anzeige


Wählt der Anwender im Download-Dialog statt Speichern die Option Öffnen, so wird die entsprechende Datei mit der verknüpften Applikation gestartet -- im beschriebenen Beispiel statt der angezeigten PDF-Datei die HTML-Datei mit der kodierten EXE-Datei. Der gleiche Trick funktioniert auch bei Opera-Version für Windows ab 7.x. Opera hat bislang noch nicht auf das Problem reagiert. Auch Microsoft hat noch keinen Patch angekündigt, der das Problem im Internet Explorer beseitigt.

Update
Der falsche Dateiname wird in Opera unter anderem wegen eines zu kleinen Dialogfensters angezeigt, sodass in der Secunia-Demo mit den Opera-Standardeinstellungen nur secunia.pdf zu sehen ist. Verbreitert man das Dialogfenster, so sieht man den kompletten Namen der Datei. Der vollständige Dateiname wird auch beim Speichern angezeigt und die Datei sogar als HTML-Applikation erkannt. Anders als beim Internet Explorer, zeigt die Datei nach dem Speichern aber nicht das PDF-Icon. Nach Angaben von Yngve Pettersen, Senior Developer bei Opera, schaue man sich den Fehler bereits an. Da sich das Problem auch mit anderen Browsern reproduzieren lässt, scheint der Fehler an Windows selbst zu liegen. Offenbar verlassen sich die Browser auf einige Windows-Funktionen, ohne eigene Überprüfungen vorzunehmen.

HeiseLink

___

Kommunikationsnetz der Regierung trotzte Internet-Wurm Mydoom

Nach Angaben des Bundesinnenministeriums konnte der Wurm MyDoom dem Kommunikationsnetz der Bundesregierung wenig anhaben. Im Januar wurden an den Gateways des Informationsverbundes Bonn-Berlin (IVBB) 475.000 infizierte E-Mails erkannt und ausgefiltert. In 320.000 davon fanden die Scanner Mydoom.A -- MyDoom.B wurde ein einziges Mal registriert.

Im IVBB gibt es täglich 400 000 E-Mail-Bewegungen. Davon sind im Schnitt ein bis zwei Prozent infiziert. Durch den Wurm stieg die Zahl der befallenen E-Mails um das Zehnfache. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat sofort auf den Ausbruch des Schädlings reagiert und am 26. Januar Vorkehrungen zur Erkennung des Wurms getroffen. In der Folge blockten die Schutzsystems täglich 40 000 bis 80 000 Wurm-Mails ab.

Am heutigen 12. Februar stoppt MyDoom.A nach Angaben der Hersteller von Antivirensoftware glücklicherweise seine Verbreitung. Auf infizierten Systemen bleiben aber weiterhin die Hintertürchen offen. Darüber dringen die Würmer Deadhat, Doomjuice.A und neuerdings auch Doomjuice.B ein. Das Doomjuice-Pärchen startet von befallenen PCs Denial-of-Service-Attacken gegen www.microsoft.com, in dem sie ständig HTTP-Anfragen an den Server senden. Anders als Doomjuice.A simuliert die B-Variante dabei einen Internet Explorer, um mögliche Schutzmaßnahmen von Microsoft zu unterlaufen.

Mittlerweile kursieren auch schon die ersten Programme öffentlich, mit denen man Zugriff auf MyDoom-befallene Rechner erhält. Auf Bugtraq erschienen zwei Postings mit Links und Quellcode dafür. Damit ist es ein leichtes, weitere Würmer zu programmieren, die über die Backdoors eindringen können. Anwender die bisher ihre Rechner noch nicht überprüft haben, sollten dies jetzt nachholen. Entsprechende Removal-Tools zu Beseitigung des Wurms stellen die Hersteller bereit.

HeiseLink mit weiterführenden Links

_____


Zwei Fehler in Sophos Anti-Virus

Sophos hat eine Schwachstelle in Sophos Anti-Virus gemeldet, mit der ein Angreifer das System mit manipulierten E-Mails in eine Endlos-Schleife bringen kann. In der Folge steht der Dienst nicht mehr zur Verfügung. Ein unerwartet terminierter MIME-Header in einer Mail reicht dazu aus. Der Fehler findet sich in Version 3.78, laut Sophos sind Anwender von SAVI-kompatiblen Produkten betroffen, inklusive PureMessage und MailMonitor. Anzeige


Zudem ist in der Scan-Engine ein Fehler enthalten, mit dem Viren in einer Mail unerkannt bleiben, wenn bestimmte MIME-Definitionen nicht eingehalten wurden. Beispielsweise sollen einige qmail-Server so konfiguriert sein, dass sie Delivery Status Notifications mit falschen MIME Boundary Definitions an einen Absender zurücksenden, in der die vermeintliche Original-Mail eingebettet ist. Aufgefallen war das Problem bei MyDoom.A-Würmern, die sich mit gefälschter Adresse versenden. Die Lieferstatus-Benachrichtigung inklusive Wurm ging dann an die Adresse eines realen Anwenders zurück. Sophos weist aber darauf hin, dass sich nicht alle qmail-Server so verhalten.

Betroffen ist auch hier Version 3.78 für alle Plattformen. Der Hersteller empfiehlt dringend die neue Version 3.78d zu installieren


HeiseLink

#####

IBM und Cisco wollen bei IT-Sicherheit zusammenarbeiten

IBM und Router-Marktführer Cisco Systems planen Medienberichten zufolge einen gemeinsamen Vorstoß auf dem Markt der IT-Sicherheit. Die beiden Unternehmen wollten sich einen größeren Anteil des weltweiten Auftragsvolumens von 22 Milliarden US-Dollar sichern, berichtete die Financial Times. Die wachsende Zahl der im Internet kursierenden Computer-Würmer und Viren sowie die Pläne des US-Ministeriums für Homeland Security werde eine massive Nachfrage sowohl auf Seiten der Regierung als auch im privaten Sektor erzeugen, hieß es.

Der Plan sieht laut dem britischen Finanzblatt vor, dass IBM und Cisco ihre Techniken auf dem Gebiet der Computersicherheit verschmelzen und sich damit eine schlagkräftige Position bei ihren Geschäftskunden sichern. Von diesem Schritt wird nach Einschätzung von Experten erheblicher Druck auf die Konkurrenten Microsoft und Cisco-Hauptkonkurrent Juniper Networks ausgehen. Erst Anfang dieser Woche hatte Juniper Networks Pläne zur Übernahme des Netzwerksicherheits-Spezialisten NetScreen angekündigt. Microsoft werde in wenigen Tagen eigene Pläne für das Geschäftsfeld IT-Sicherheit verkünden, hieß es weiter; eine Kooperation mit Cisco für mittelständische Unternehmen gab der Konzern gerade erst bekannt.

HeiseLink


###

Software-Fehler verursachte US-Stromausfall 2003

Acht Staaten im Nordosten der USA und Teile Kanadas blieben im August des vergangenen Jahres für fünf Tage ohne Strom. Insgesamt waren 50 Millionen Menschen betroffen. Schuld am Blackout war nach Angaben von SecurityFocus ein Softwarefehler des Managementsystems zur Überwachung und Steuerung von Stromnetzen beim Erzeuger FirstEnergy.

Das betroffene System XA/21 stammt von General Electric und ist bei Erzeugern weit verbreitet. Der Fehler wurde nach einem mehrwöchigen intensiven Code-Audit gefunden und soll bisher nur beim großen Blackout aufgetreten sein. Nach Angaben des Sprechers von FirstEnergy löste eine besondere Kombination von Ereignissen und Alarmen den Fehler aus, woraufhin das System seinen Dienst einstellte. Der kurz darauf einspringende Backup-Server versagte ebenfalls, da er mit der Zahl der bereits aufgelaufenen, aber nicht verarbeiteten Meldungen überfordert war.

In der Folge nahm das System auflaufende Alarme nicht mehr entgegen und meldete sie nicht an das Bedienpersonal weiter. Hinzu kam, dass den Betreibern nicht einmal auffiel, dass ihr System bereits versagt hatte. Eine Stunde lang soll die Kontrollstation veraltete Daten angezeigt haben. Bei auftretenden Störungen blieb zwangsläufig die Reaktion aus.

Normalerweise koppelt ein Stromerzeuger sein Netz bei größeren Ausfällen von den anderen Stromnetzen ab, um weitere Schäden durch Überlast zu vermeiden. Somit bleibt ein Problem regional begrenzt. Da die Alarme aber nicht registiert wurden, reagierten die Operatoren nicht.

FirstEnergy will nun seine XA/21-Systeme gegen die Produkte eines Wettbewerbers austauschen. Das North American Electric Reliability Council (NERC) hat eine Richtlinie herausgegeben, in der Maßnahmen beschrieben sind, Vorfälle wie am 14. August zu vermeiden. Unter anderem wird darin FirstEnergy aufgefordert, bis zum Austausch ihrer System alle notwendigen Patches für XA/21 zu installieren.

Da sich der Zeitpunkt des Blackouts und der Ausbruch des Wurms Lovsan/Blaster überschnitten, gab es Vermutungen, der Wurm könnte den Ausfall verursacht haben. Auch warnte das CERT/CC Anfang August davor, dass Lovsan Unix-Systeme mit Distributed Computing Environment (DCE) angreift und zum Absturz bringen kann. XA/21 ist ein EMS/SCADA-System (Supervisory Control and Data Acquisition), das auf Unix mit X-Windows basiert. Sicherheitslücken gibt es hier reichlich. Somit kann zukünftig nicht ausgeschlossen werden, dass Würmer, die den Weg in ein Kontrollzentrum gefunden haben, solche Systeme

HeiseLink

Sony Ericsson bestätigt Sicherheitslücke in Bluetooth-Handys

Einer Meldung des britischen Online-Newsdienstes ZDNet zufolge, hat ein Sprecher des Handy-Anbieters Sony Ericsson bestätigt, dass mehrere Mobiltelefone des Herstellers mit dem Kurzstreckenfunk Bluetooth anfällig gegen so genannte Snarf-Angriffe sind. Darüber kann ein Angreifer mit einem Bluetooth-Rechner und spezieller Snarfing-Software auf das Telefonbuch, den Terminkalender und andere Daten eines Sony-Ericsson-Handys zugreifen, ohne sich vorher mit einem PIN-Code anzumelden (Pairing). Der Besitzer des angegriffenen Handys bekommt von dem Vorgang nichts mit.

Von der Sicherheitslücke sollen nicht nur die älteren Ericsson-Handys R520, T39 und T68 betroffen sein, sondern auch die aktuellen Sony-Ericsson-Modelle T68i und T610. Sony Ericsson versicherte allerdings, die aktuell im Handel erhältlichen Modelle seien vor dem Snarf-Angriff sicher. Besitzern älterer Handys mit der Software-Version R1A081 wird empfohlen, die Firmware ihrer Telefone bei einem autorisierten Service-Center aktualisieren zu lassen. Die Firmware-Version lässt sich nach der Eingabe von >*<<*<* unter "ServiceInfo / SW" überprüfen. Vor der Eingabe sollte sich das Handy in der Bereitschafts-Anzeige befinden. Die spitzen Klammern geben eine Richtung des Joysticks oder der Richtungstasten an.

Die Snarf-Attacke geht auf Adam Laurie zurück, dem Sicherheitschef des britischen Unternehmens AL Digital. Dieser hatte die Bluetooth-Lücke bereits Ende 2003 veröffentlicht. Laurie demonstrierte den Lauschangriff mit einem Bluetooth-fähigen Dell-Notebook unter Linux und einem selbstgeschriebenen Snarf-Programm. Außer den genannten Sony-Ericsson-Handys sollen Laurie zufolge auch die Nokia-Modelle 6310i und 7650 anfällig sein. Sicherheit würde nur ein Abschalten der Bluetooth-Funktion bieten. Noch seien keine Hacker-Programme im Umlauf, doch sei dies nur eine Frage der Zeit, so Laurie.

HeiseLink

Exploits für Sicherheitslücken in Windows aufgetaucht [Update]

Für die am Dienstag in fast allen Windows-Versionen gemeldete Sicherheitslücke in der ASN.1-Bibliothek ist ein erster Exploit aufgetaucht. Bisher erhält man damit noch keine Shell zum Zugriff auf das System. Stattdessen kann man damit aber Server und Clients über das Netzwerk zum Neustart zwingen.

Erste Tests des Exploits in der heise-Security-Redaktion brachte auf ungepatchten deutschen W2K-Versionen mit Service Pack 4 das Local Security Authority Subsystem (lsass.exe) zum Absturz. In der Folge fuhr das NT-Autoritätssystem -- wie schon bei Angriffen des Wurms Lovsan/Blaster -- den Rechner runter. In einigen Fällen verbraucht lsass.exe fast hundert Prozent der Systemresourcen, womit der Rechner unbedienbar wird. Der Angriff erfolgt wahlweise über Port 139 oder 445, eventuell funktionieren auch andere NetBIOS-Ports wie 135, 137 und 138. Auf Full Disclosure gibt es Meldungen, dass auch Windows XP mit Service Pack 1 verwundbar sei. Ein ungepatches deutsches XP mit Service Pack 1 zeigte sich bei unseren Tests von dem Exploit aber unbeeindruckt.

Es ist sehr wahrscheinlich, dass der Code in den nächsten Tagen oder Wochen verfeinert wird, um ihn für verschiedene Zielplattformen einsatzfähig zu machen. Darüber hinaus ist auch bald mit ersten Versionen zu rechnen, mit denen der Zugriff über das Netzwerk auf angegriffene Systeme möglich ist. Im veröffentlichten Quellcode des Exploits sind zudem, anders als üblich bei solchen Programmen, keine aufwendigen Script-Kiddie-Sperren eingebaut, die das Kompilieren erschweren sollen. Sofern Anwender oder Administratoren ihre Systeme noch nicht aktualisiert haben, sollten sie dies jetzt schleunigst nachholen. Privat-Anwender sollten zusätzlich die Ports (UDP und TCP) 135, 137, 138, 139 und 445 auf ihren Systemen filtern beziehungsweise blockieren. Windows XP verfügt über einen eingebauten Filter, Windows-2000-Anwender benötigen entsprechende Zusatzsoftware, etwa Personal Firewalls.

Des Weiteren gibt es glaubhafte Meldungen, dass Exploits verfügbar sind, die auf Basis des veröffentlichten Windows-2000-Quellcodes programmiert wurden, mit denen sich beliebiger Code auf Windows-Systeme einschleusen und ausführen lässt. Durch die Analyse des Sourcecodes kann man erheblich schneller Sicherheitslücken identifizieren und passende Exploits programmieren.

Update
Auch in Windows 2000 lassen sich Ports unter /Netzwerkverbindungen/Einstellungen blockieren, allerdings gilt die Filterung dann für alle Netzwerkkarten und DFÜ-Interfaces. Ein Rechner ist dann nicht mehr im LAN erreichbar. Einzelne Ports für UDP und TCP können zwar wieder freigegeben werden, unerfahrende Anwender sollten sich hier allerdings unterstützen lassen, um nicht aus Versehen doch wieder alle Ports freizugeben. Auch die IPsec-Policies unter W2K lassen sich als Paketfiltern-Regeln einsetzen, zur richtigen Einstellung ist aber Netzwerkerfahrung erforderlich. Die in XP eingebaute Firewall ermöglicht die Konfiguration für jedes Interface einzeln und ist übersichtlicher zu konfigurieren. (dab/c't)

Zum Vergrößern anklicken....

Quelle

Das entsprechende Sicherheitsupdate kann hier heruntergeladen werden.

Belgische Studentin "Gigabyte" als Virusautorin verhaftet

Eine 19-jährige Informatik-Studentin ist von der belgischen Polizei in der vergangenen Woche als Autorin von Computerviren festgenommen worden. Der Frau werde Computersabotage vorgeworfen, berichtete La Libre Belgique am Wochenende in ihrer Onlineausgabe. Unterdessen sei die Studentin wieder auf freiem Fuß, ihre Website wurde von der Polizei geschlossen und ihre fünf Computer wurden beschlagnahmt. Im Falle einer Verurteilung drohen ihr bis zu drei Jahre Haft und bis zu 100.000 Euro Geldstrafe.

Die unter dem Spitznamen "Gigabyte" in einschlägigen Internet-Foren bekannte Frau habe sich schon seit geraumer Zeit mit ihren Fähigkeiten gebrüstet, sagte der Karlsruher Virenexperte Christoph Fischer der dpa. So soll sie bereits mit sechs Jahren ihr erstes Programm geschrieben haben. Der Sexismus in der von Männern dominierten Anti-Virenbranche hat sie nach eigenen Angaben bei ihrer Arbeit inspiriert. Zu diesem Thema trug sie im Netz auch ein ausgiebiges Privatgefecht mit dem international angesehenen Sicherheitsexperten Graham Cluley von der Firma Sophos aus.

HeiseLink

_____

Gefährliche Sicherheitslücke im Windows Media Player

[Microsoft Windows] Microsofts Sicherheitsstrategie wird zur reinen Farce (http://www.golem.de/0402/29707.html) Als Microsoft seinen Februar-Patch-Day am 11. Februar 2004 wiederholte, veröffentlichte der Konzern auch einen Patch für ein gefährliches Sicherheitsleck für alle Versionen des Windows Media Player. Allerdings geschah dies nicht – wie zu erwarten wäre – über das entsprechende Security Bulletin. Stattdessen veröffentlichte Microsoft alle Informationen darüber lediglich in einem Knowledge-Base-Artikel, womit die neue Sicherheitsstrategie von Microsoft jegliche Nachvollziehbarkeit verliert.

Das Sicherheitsleck in mehreren Versionen des Windows Media Player gestattet es einem Angreifer, in einen Audio- oder Video-Stream ausführbaren Script-Code in Form einer URL einzubinden, der dann in der lokalen Sicherheitszone des Opfers ausgeführt werden kann. Damit erlangt ein Angreifer umfassende Kontrolle über ein fremdes System, indem ein Opfer lediglich einen Audio- oder Video-Stream mit dem Windows Media Player empfängt.

In einem KB-Artikel begründet Microsoft das Verhalten damit, dass es sich dabei eigentlich gar nicht um einen Fehler handele, sondern dies eine extra implementierte Funktion darstelle. Dennoch sieht sich Microsoft veranlasst, für diese "Funktion" einen Patch anzubieten.

Mit dem 11. Februar 2004 hinterlässt Microsoft aber vor allem Verwirrung bei den Anwendern: Denn zum einen wurde das im Februar 2004 erschienene Security Bulletin eine Woche nach der ersten Veröffentlichung komplett umgekrempelt. Zum anderen enthält das entsprechende Dokument nicht alle veröffentlichten Sicherheits-Patches, wie das Sicherheitsloch im Windows Media Player belegt. Damit kann das Ziel der neuen Sicherheitsstrategie Microsofts in dem Punkt als gescheitert angesehen werden, dem Anwender mit einem monatlichen Patch-Day einen leichteren Überblick über Sicherheitslücken zu verschaffen.

Rotalarm.de

++++++++++++++
Sicherheitslücke verschleiert Dateiendung im Opera-Browser

[online/Browser/Email] Ähnliche Sicherheitslücke wie im Internet Explorer vom Januar 2004 (http://www.golem.de/0402/29723.html) Ein Ende Januar 2004 entdecktes Sicherheitsloch im Internet Explorer beim Umgang mit gefälschten CLASSIDs wurde nun auch in der Windows-Version des Opera-Browsers gefunden: Beiden Browsern können Dateien mit gefälschten Endungen untergeschoben werden, wie die Sicherheitsseite Secunia berichtet.

Dem Browser Opera lässt sich mindestens ab der Windows-Version 7.x über eine gefälschte CLASSID etwa eine vermeintlich ungefährliche PDF-Datei unterschieben, bei der es sich tatsächlich um eine HTML-Datei handelt. Derartig gefälschte Daten fängt Opera ebenso wenig wie der IE ab. Allerdings startet Opera im Unterschied zum IE in der Standard-Konfiguration in einem solchen Fall nicht den Acrobat Reader, sondern zeigt ein Windows-Dialogfeld zum Speichern oder Öffnen der Datei.

Entscheidet man sich in dem Opera-Dialog für das Öffnen der vermeintlichen PDF-Datei führt der Browser den HTML-Code aus, was einem Angreifer ermöglicht, gefährlichen Programmcode auf ein fremdes System zu laden. Als Abhilfe sollten derartige Dateien nicht im Browser geöffnet, sondern vorher lokal auf dem Rechner gespeichert und von dort ausgeführt werden, denn der Windows Explorer bemerkt dann die Fälschung und startet die Datei nicht.

Bislang bietet Opera keinen Patch zur Beseitigung der Sicherheitslücke an. Secunia berichtet, dass Opera ab der Windows-Version 7.x von dem Sicherheitsproblem betroffen ist; ob auch frühere Windows-Fassungen des Browsers dieses Sicherheitsleck aufweisen, wurde bislang nicht geprüft.

Auch Microsoft machte bisher keine Anstalten, das im Januar 2004 entdeckte Sicherheitsloch mit einem Patch zu bereinigen. Auch die ähnliche Sicherheitslücke in Windows XP vom Januar 2004 wurde bislang nicht von Microsoft repariert, auch wenn Microsoft seinen monatlichen Patch-Day im Februar 2004 bereits zwei Mal veranstaltete.

Rotalarm.de

++++++++++++++
Buffer Overflow in Oracle9i

[ASP, JSP, SQL, CGI, PHP...] (http://enterprisesecurity.symantec.de/symes569.cfm?JID=6&PID=10416651) Oracle9i-Datenbanken enthalten eine Reihe von Sicherheitslücken, durch die Angreifer einen Buffer Overflow verursachen und ihre Zugriffsrechte ausweiten oder das System zum Absturz bringen können.

Zwei der Lücken werden durch Begrenzungsfehler in zwei Funktionen zur Intervall-Umwandlung verursacht. Zwei weitere Sicherheitslücken beruhen auf Begrenzungsfehlern in der Funktion FROM_TZ sowie dem Parameter TIME_ZONE. Oracle hat die Lücken bestätigt und einen Patch zur Verfügung gestellt.

Rotalarm.de

++++++++++++++
mutt 1.4.2 behebt Pufferüberlaufschwachsstelle

[online/Browser/Email] CAN-2004-0078 (http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1181) Die neue Version 1.4.2 des Mail User Agents mutt behebt eine Schwachstelle, die beim Lesen einer speziell formulierten Mailnachricht zu einem Pufferüberlauf führen kann. Dieser Umstand kann mittels des Sendens einer solchen E-Mail-Nachricht von einem Angreifer möglicherweise dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des mutt-Prozesses (üblicherweise die Privilegien des aufrufenden Benutzers) auf dem beherbergenden Rechnersystem auszuführen.

Rotalarm.de

++++++++++++++

Meldungen vom 18.02.2004

Weitere Wurmwelle schwappt durchs Netz

Ein weiterer Wurm nutzt den Windschatten des am gestrigen Dienstag ausgebrochenen Mass-Mailing-Wurms Bagle.B: Moodown.B alias NetSky.B krabbelt bereits in nennenswerter Anzahl in E-Mails durchs Internet in die Postfächer. Auch die Mail-Server des Heise-Verlags registrierten in kuzer Zeit bereits mehr als hundert Exemplare von Moodown.B im Mailscanner. NAI hat den Threat-Level für den Schädling gerade auf Medium hochgesetzt.

Der Wurm verbreitet sich über eine eigene SMTP-Engine. Die Absenderadresse ist wie bei allen Mass-Mailing-Würmer stets gefälscht. Die Zieladressen zum Versand findet er in diversen Dateien auf dem System. Der Wurm versendet sich als Dateianhang der Mail. Die Dateinamen variieren dabei stark. Zusätzlich kopiert sich der Wurm in Verzeichnisse von Netzlaufwerken und legt mehrere ZIP-Dateien auf dem System ab. Ein Schadroutine hat er nicht.

Grundsätzlich gilt: Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender bekannt ist, kann die Mail den Wurm enthalten. Ohnehin sollten deutsche Anwender die -- allerdings stark variierenden -- englischen Betreffzeilen und Nachrichtentexte stutzig machen.

NAI und Symantec haben bereits aktuelle Virensignaturen zum Download bereit gestellt. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.

HeiseLink

____

Weiterer Fehler im Linux-Kernel

Paul Starzetz hat eine weitere Lücke in der do_mremap()-Funktion in den Linux-Kernel 2.2, 2.4 und 2.6 ausgemacht. Der Fehler stehe aber in keinerlei Zusammenhang mit dem Anfang Januar gefundenen Sicherheitsloch in der gleichen Funktion.

Das neue Problem besteht in der Unterfunktion do_munmap(), die potenziell belegte Speicherbereiche wieder freigibt. Der Rückgabewert der do_munmap()-Funktion wird nicht überprüft: Überschreitet die Anzahl der möglichen Virtual Memory Area Descriptors (VMAs) das standardmäßige Limit von 65.535, schlägt der Funktionsaufruf fehl, was zu einer Rechteausweitung genutzt werden kann. Da keine speziellen Privilegien benötigt werden, um die mremap-Funktion einzusetzen, kann jeder Prozess damit das Kernel-Memorysubsystem angreifen. Lokale Benutzer können so Root-Rechte erlangen oder das System lahm legen (Denial of Service). Starzetz hat einen Proof-of-Concept-Exploit entwickelt, den er nächste Woche veröffentlichen will -- Christophe Devine ist ihm allerdings zuvorgekommen und hat bereits einen eigenen Proof of Concept auf der Sicherheits-Mailingliste Full Disclosure veröffentlicht, mit dem Anwender überprüfen können, ob ihr System anfällig ist.

Starzetz hat noch zwei weitere ungeprüfte do_munmap()-Funktionsaufrufe gefunden, die möglicherweise ebenfalls ausnutzbar sind. Betroffen sind laut Starzetz die Kernel-Versionen 2.2.25 und älter, 2.4.24 und älter sowie 2.6.2 und älter. Da es bislang keine Patches für den Fehler gibt, sollten betroffene Anwender auf neuere Kernel ausweichen. Die Linux-Distributoren reagieren bereits, sowohl Red Hat, SuSE als auch Debian empfehlen in Advisories das Update auf die aktuellen Kernel 2.4.25 beziehungsweise den just veröffentlichten Kernel 2.6.3.

HeiseLink

___

Sicherheitsloch in Ipswitch Imail Server

Das Sicherheitsunternehmen iDefense meldet ein Sicherheitsloch im Messaging-Server Ipswitch Imail, durch das beliebiger Code ausführbar ist. Die Lücke findet sich in einem Buffer Overflow im LDAP-Deamon (iLDAP.exe) des Servers; ein Angreifer kann mit speziell manipulierten LDAP-Paketen anfällige Rechner von außen kompromittieren, indem er überlange LDAP-Tags übergibt. Betroffen ist IMail Server Version 8.03 unter Windows 2000 und XP, iDefense geht aber davon aus, dass auch ältere Versionen betroffen sind. Einen Patch stellt Ipswitch auf seinen Webseiten zur Verfügung. Alternativ kann als Workaround der LDAP-Service (TCP-Port 389) deaktiviert oder blockiert werden.

HeiseLInk

____

Nachfolger des Bagle-Wurms verbreitet sich rasant

[Trojaner & Backdoors] Bagle öffnet Hintertür auf befallenen Systemen (http://www.golem.de/0402/29800.html) Wie die Hersteller von Antiviren-Software berichten, verbreitet sich seit wenigen Stunden ein Nachfolger des Wurms Bagle besonders schnell im Internet, der ebenfalls eine Hintertür auf befallenen Systemen öffnet. Der Wurm-Code steckt dabei in einer exe-Datei, die in vielen E-Mail-Clients als Audio-Datei angezeigt wird, was offenbar viele Anwender dazu verleitet, den betreffenden Wurm-Anhang zu öffnen.

Der Wurm Bagle.B alias W32.Beagle.B@mm, W32.Alua@mm, Win32/Bagle.B.Worm, W32/Bagle.b@MM, W32/Bagle.B@mm, WORM_BAGLE.B, W32/Bagle.B.worm, W32/Tanx-A trägt eine gefälschte Absenderadresse, ist aber an der Betreffzeile mit dem Muster "ID [zufällige Buchstabenfolge]... thanks" zu erkennen. Der Wurm-Code befindet sich in einer an die E-Mail angehängten exe-Datei mit wechselndem Namen, die dem Icon nach dem Windows Sound Recorder zugeordnet ist. Mit dieser Tarnung versucht der Wurm Anwender dazu zu bewegen, den Wurm manuell zu öffnen. Bei der Dateiendung wurden hingegen keine Tricks angewendet, so dass die Datei auf .exe endet. Im Nachrichtentext steht Yours ID gefolgt von einer zufälligen Buchstabenreihenfolge sowie einem abschließenden Thank.

Wird der Wurm-Code ausgeführt, startet dies den Windows Sound Recorder, wodurch sich der Unhold in Form der Datei au.exe im Windows-System-Verzeichnis ablegt und sich so in die Registry einträgt, so dass der Schädling bei jedem Windows-Start geladen wird. Der Bagle-Wurm öffnet nach außen den Port 8866, worüber ein Angreifer Zugang zu dem betreffenden System erlangt. Eine Benachrichtigung über die Hintertür versendet der Wurm über den TCP-Port 80 an einen der Server www.47df.de, www.strato.de oder intern.games-ring.de.

Zur Verbreitung durchsucht Bagle.B alle Dateien mit den Endungen .wab, .htm, .html und .txt nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Wie auch der erste Bagle-Wurm ignoriert der Nachfolger einige E-Mail-Adressen für die Verbreitung, so dass Empfänger mit den Adressen @hotmail.com, @msn.com, @microsoft.com sowie @avp unberücksichtigt bleiben. Am 25. Februar 2004 stellt Bagle.B seine Aktivitäten ein und versendet sich nicht mehr weiter.

Rotalarm.de

####

Exploit für Sicherheitsloch in ASN-1-Library aufgetaucht

[Microsoft Windows] Exploit bringt Systeme ohne eingespielten Patch zum Neustart (http://www.golem.de/0402/29772.html) Wie auf der Mailingliste Full Disclosure zu erfahren ist, liegt ein erster Exploit für die am 11. Februar 2004 bekannt gewordene Sicherheitslücke in der ASN-1-Library vor, was die verschiedenen NT-basierten Windows-Versionen betrifft. Der aktuelle Exploit kann Clients und Server zum Neustart zwingen, sofern der bereitgestellte Patch nicht installiert wurde.

Wie die Mailingliste Full Disclosure zu berichten weiß, funktioniert der Exploit mit Windows 2000 und installiertem Service Pack 3 und 4 sowie Windows XP, indem auf diesen Systemen der Local Security Authority Service zum Absturz gebracht wird. Der Exploit greift Systeme über die Ports 135, 139 oder 445 an und kann auf diesem Weg entsprechende Rechner zu einem Neustart veranlassen, wenn der entsprechende Patch nicht installiert wurde. Weitere Schadfunktionen weist der bisher veröffentlichte Exploit nicht auf, allerdings ist zu befürchten, dass in Kürze weitere Exploits mit entsprechenden Schadroutinen erscheinen. Dies könnte dann noch verheerendere Folgen als der damalige Blaster-Wurm haben, der vor einigen Monaten die Sicherheitslücke im RPC-Protokoll ausnutzte, für die gleichfalls entsprechende Patches bereitstanden, die jedoch von vielen Anwendern nicht eingespielt wurden.

Anwendern von Windows NT 4.0, 2000 und XP sei hiermit nochmals eindringlich geraten, den Patch vom 11. Februar 2004 einzuspielen, um Systeme vor möglichen Angriffen zu schützen.

Rotalarm.de

####

Mydoom GmbH & Co. KG

[Trojaner & Backdoors] (http://www.heise.de/newsticker/meldung/44566) Nach Angaben des Bundesinnenministeriums wurden an den Gateways des Informationsverbundes Bonn-Berlin (IVBB) 475'000 infizierte E-Mails erkannt und ausgefiltert. In 320'000 davon fanden die Scanner Mydoom.A – MyDoom.B wurde ein einziges Mal registriert.

Im IVBB gibt es täglich 400'000 E-Mail-Bewegungen. Davon sind im Schnitt ein bis zwei Prozent infiziert. Durch den Wurm stieg die Zahl der befallenen E-Mails um das Zehnfache. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) blockte täglich 40'- bis 80'000 Wurm-Mails.

Am 12. Februar stoppte MyDoom.A nach Angaben der Hersteller von Antivirensoftware zwar seine Verbreitung, auf infizierten Systemen bleiben aber weiterhin die Hintertürchen offen. Darüber dringen die Würmer Deadhat, Doomjuice.A und neuerdings auch Doomjuice.B ein.

Mittlerweile kursieren auch schon die ersten Programme öffentlich, mit denen man Zugriff auf MyDoom-befallene Rechner erhält. Auf Bugtraq erschienen zwei Postings mit Links und Quellcode dafür. Damit ist es ein leichtes, weitere Würmer zu programmieren, die über die Backdoors eindringen können.

Anwender die bisher ihre Rechner noch nicht überprüft haben, sollten dies unbedingt nachholen. Entsprechende Removal-Tools zu Beseitigung des Wurms stellen die Hersteller bereit.

Rotalarm.de

#####

Sicherheitslücke in XFree86

[Unix] Pufferüberlauf gewährt Nutzern Root-Rechte (http://www.golem.de/0402/29728.html) Der IT-Sicherheits-Spezialist iDefense warnt vor einer Sicherheitslücke im freien X-Server XFree86. Angreifern ist es durch einen Pufferüberlauf möglich, Root-Rechte zu erlangen.

Durch die von iDefense entdeckte Sicherheitslücke können lokale Nutzer Root-Rechte erlangen. Ein entsprechender Exploit ist bereits im Umlauf.
Das Problem tritt beim Parsen der Datei font.alias auf. Wird dieses von einem Nutzer entsprechend präpariert, tritt ein Pufferüberlauf aus. Dies ist vor allem deshalb problematisch, da der X-Server mit Root-Rechten läuft.

Das Problem existiert laut iDefense in XFree86 4.1.0 bis 4.3.0, aber auch ältere Versionen sind möglicherweise nicht immun. Abhilfe schafft ein Patch, den die Xfree86-Entwickler anbieten.

Rotalarm.de

#####

Sony Ericsson bestätigt Sicherheitslücke in Bluetooth-Handys

[drahtlos & mobil] (http://www.heise.de/newsticker/meldung/44635) Einer Meldung des britischen Online-Newsdienstes ZDNet zufolge, hat ein Sprecher des Handy-Anbieters Sony Ericsson bestätigt, dass mehrere Mobiltelefone des Herstellers mit dem Kurzstreckenfunk Bluetooth anfällig gegen so genannte Snarf-Angriffe sind. Darüber kann ein Angreifer mit einem Bluetooth-Rechner und spezieller Snarfing-Software auf das Telefonbuch, den Terminkalender und andere Daten eines Sony-Ericsson-Handys zugreifen, ohne sich vorher mit einem PIN-Code anzumelden (Pairing). Der Besitzer des angegriffenen Handys bekommt von dem Vorgang nichts mit.

Von der Sicherheitslücke sollen nicht nur die älteren Ericsson-Handys R520, T39 und T68 betroffen sein, sondern auch die aktuellen Sony-Ericsson-Modelle T68i und T610. Sony Ericsson versicherte allerdings, die aktuell im Handel erhältlichen Modelle seien vor dem Snarf-Angriff sicher. Besitzern älterer Handys mit der Software-Version R1A081 wird empfohlen, die Firmware ihrer Telefone bei einem autorisierten Service-Center aktualisieren zu lassen. Die Firmware-Version lässt sich nach der Eingabe von >*<<*<* unter ServiceInfo / SW überprüfen. Vor der Eingabe sollte sich das Handy in der Bereitschafts-Anzeige befinden. Die spitzen Klammern geben eine Richtung des Joysticks oder der Richtungstasten an.

Die Snarf-Attacke geht auf Adam Laurie zurück, dem Sicherheitschef des britischen Unternehmens AL Digital. Dieser hatte die Bluetooth-Lücke bereits Ende 2003 veröffentlicht. Laurie demonstrierte den Lauschangriff mit einem Bluetooth-fähigen Notebook unter Linux und einem selbstgeschriebenen Snarf-Programm. Außer den genannten Sony-Ericsson-Handys sollen Laurie zufolge auch die Nokia-Modelle 6310i und 7650 anfällig sein. Sicherheit würde nur ein Abschalten der Bluetooth-Funktion bieten. Noch seien keine Hacker-Programme im Umlauf, doch sei dies nur eine Frage der Zeit, so Laurie.

Rotalarm.de

####

IDF: No-Execution-Speicherschutz kommt auch bei Desktop-Prozessoren

Intel will kommende CPU-Versionen für Desktop-Rechner mit einer Schutzfunktion ausstatten, die bestimmte Software-Attacken unterbinden kann. Von Adressbereichen, die mit "No Execution" (NX) markiert sind, führt der Prozessor keinen Programmcode aus. Diese Technik dient als Schutz vor Angriffen, bei denen beliebiger Code in ein System geschleust und ausgeführt wird, etwa Buffer- und Heap-Overflows. Diese Funktion stammt aus der Welt der 64-Bit-Serverprozessoren und schützt seit mehreren Jahren Solaris auf SPARC-Prozessoren. Bei Intels 64-Bit-Itanium-Familie und bei den AMD64-Prozessoren von AMD ist diese Funktion ebenfalls schon integriert. Ab dem kommenden Service Pack 2 für XP soll Windows die NX-Funktion der Prozessoren nutzen, um das System gegen Angriffe besser zu schützen.

Unklar ist bisher, ob die NX-Markierung unabhängig von den neuen Funktionen der LaGrande-Technik (LT) nutzbar sein wird. Beide sollen für "Client-Plattformen" und "in der zweiten Jahreshälfte 2004" eingeführt werden. Intel nannte aber keine konkreten Prozessortypen. Für Ende 2004 ist allerdings auch die Vorstellung eines neuen Pentium-4-Kernes namens "Tejas" geplant, der den kürzlich vorgestellten und ebenfalls in 90-Nanometer-Technik gefertigten "Prescott" ablöst. Ob NX auch für Mobilprozessoren und für Xeons (etwa den kommenden Nocona mit den AMD64-kompatiblen 64-Bit-Erweiterungen namens IA32e) geplant ist, ließ Intel bisher offen.

Intel verwies auch wieder auf die geplante Verzahnung von LaGrande, TCPA/TCG-kompatiblem TPM und Microsofts kommender Betriebssystemerweiterung Next-Generation Secure Computing Base (NGSCB (vormals Palladium) zur Steigerung der PC-Sicherheit durch Hardware-Verschlüsselung und eindeutige kryptografische Systemschlüssel. Auch die "Vanderpool"-Technik (VT) nannte Intel, ohne bisher genaueres zu dieser System-Partitionierung zu verraten.

HeiseLink

__

Mehrere Schwachstellen in Metamail

Ulf Härnhammar hat ein Security Advisory veröffentlicht, in dem mehrere Schwachstellen in Metamail beschrieben sind, mit denen ein Angreifer auf dem System beliebigen Code ausführen kann. Metamail ist als Paket in vielen Linux-Distributionen enhalten und wird von Newsreadern wie tin, slrn, nn, Mailreader wie elm und Antivirenprogrammen wie antimime und älteren Versionen von Amavis zur Verarbeitung von MIME-Mails verwendet.

Ingesamt zwei Format-String-Fehler und zwei Buffer Overflows lassen sich mit manipulierten E-Mails bei der Verarbeitung der MIME-Header provozieren. Im simpelsten Fall reicht dazu eine zu lange Betreffzeile aus. Härnhammer hat auch bereits Proof-of-Concept-Exploits entwickelt. Betroffen ist die Version 2.7 und vorhergehende. Einige Distributoren wie Red Hat, Mandrake und Slackware haben schon aktualisierte Pakete zu Verfügung gestellt.

HeiseLink


____


Fehler in ZoneAlarm

ZoneLabs meldet einen Fehler in der Personal Firewall ZoneAlarm, durch den Angreifer beliebigen Code ausführen können. Der Fehler tritt aber nur auf, wenn auf dem betroffenen System ein SMTP-Server läuft, was normalerweise nicht der Fall sein sollte. Im Advisory zur Sicherheitslücke rät ZoneLabs explizit davon ab, ZoneAlarm zur Absicherung von Serversystemen zu verwenden.

ZoneAlarm benutzt das SMTP-Protokoll für verschiedene Sicherheitsfunktionen; durch einen ungeprüften Puffer im SMTP-Processing könnte ein Angreifer das System lahm legen oder sogar beliebigen Code ausführen. Das wäre zum Beispiel möglich, wenn ein vom Anwender erlaubtes Programm auf dem SMTP-Port lauscht und Pakete entgegennimmt. Der Fehler betrifft ZoneAlarm und ZoneAlarm Pro, Anwender sollten auf die aktuelle Version 4.5.538.001 aktualisieren, bei der das Problem nicht mehr auftritt.

HeiseLink

____

Netsky.B verbreitet sich rasant

[Viren & Würmer] Wurm nutzt Neugierde der Anwender (http://www.golem.de/0402/29827.html) Nachdem der Wurm Bagle.B sich seit dem gestrigen 18. Februar 2004 massiv per E-Mail verbreitet, bekommt er nur einen Tag später Gesellschaft von dem Unhold Netsky.B alias W32.Netsky.B, W32/Netsky.b@MM, W32/Netsky.B.worm, WORM_NETSKY.B, Moodown.B, I-Worm.Moodown.b. Auch dieser Wurm hat sich bereits wenige Stunden nach Erscheinen massiv im Internet vermehrt. Offenbar scheinen die Anwender aus den jüngsten Erfahrungen wenig gelernt zu haben, da sich Netsky.B ohne die Neugierde der Anwender und aktuell installierten Virenscanner nicht verbreiten könnte.

Der Wurm Netsky.B verbreitet sich per E-Mail und trägt den Wurm-Code in einer an die Mail angehängten Datei, die entweder in einem Zip-Archiv steckt oder doppelte Dateiendungen aufweist. So kann der erste Teil der Endung txt, rtf, doc oder html lauten, während der zweite Teil auf exe, scr, com oder pif endet. Unter Umständen befindet sich der Wurm-Code auch in einem komprimierten Zip-Archiv. Wird die Wurm-Datei manuell geöffnet, erscheint eine fingierte Fehlermeldung, während sich der Schädling auf den Rechner kopiert.

Wie bereits der Wurm Bagle.B macht sich auch Netsky.B lediglich die Neugierde der Empfänger für seine Verbreitung zu Nutze und verwendet nicht etwa eine Sicherheitslücke in einem E-Mail-Client.

Eine von Netsky.B versendete E-Mail ist nicht ohne weiteres zu erkennen, da sowohl Betreffzeile als auch Nachrichtentext aus einem Fundus englischsprachiger Textteile zusammengestellt sind. Zudem wird eine gefälschte Absenderadresse verwendet, um die Herkunft des infizierten Systems zu verschleiern. Der Wurm kopiert sich unter anderem unter dem Namen services.exe in das Windows-Verzeichnis, legt sich dort aber auch unter 40 weiteren Namen als Zip-Archiv ab. Durch entsprechende Eintragung in die Registry sorgt der Wurm dafür, bei jedem Windows-Start automatisch geladen wird.

Auf einem befallenen System durchsucht der Wurm etliche lokale Dateien – wie etwa solche mit den Endungen html, htm, txt, adb, doc oder auch msg – nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese.

Als weitere Schadroutine kopiert Netsky.B sich selbst unter wechselnden Dateinamen in zahlreiche über den Rechner erreichbare Verzeichnisse, sofern diese den Namensteil "share" oder "sharing" tragen. Dabei geben die gewählten Dateinamen vor, dass es sich um sexuelle Inhalte oder Cracks von Software handele, um Nutzer dazu zu bringen, diese zu öffnen.

www.rotalarm.de

Oracle Datenbankprodukte mit Sicherheitslücken

Oracle hat drei Security Alerts mit den Nummern 63, 64 und 65 veröffentlicht, in denen mehrere Sicherheitslücken in Oracle9i Lite, Application und Database Server beschrieben sind. Zwei der Fehler kann ein Angreifer für Denial-of-Service-Angriffe ausnutzen, ein weiterer ermöglicht das Kapern von aktiven User Sessions. Zudem ist unter bestimmten Umständen der unautorisierte Zugriff auf den Database Server möglich. Eine der Lücken basiert auf der fehlerhaften Verarbeitung der Data Type Definitions (DTD) in XML-Dokumenten, wie sie für SOAP-Messages verwendet werden. Weitere Angaben zu den Fehlern macht der Hersteller nicht.

Einer der Angriffe funktioniert nach Angaben von Oracle ohne eine vorherige Authentifizierung. Bei allen anderen ist ein Benutzerkonto erforderlich. Von den Fehlern sind diverse Versionen betroffen:


Oracle9i Application Server Release 2, 9.0.3.0 und 9.0.3.1
Oracle9i Application Server Release 2, 9.0.2.1 und frühere
Oracle9i Application Server Release 1, 1.0.2.2
Oracle9i Database Server Release 2, 9.2.0.2 bis 9.2.0.4
Oracle9i Database Server Release 1, 9.0.1.4
Oracle9i Lite 5.0.0.0.0 bis 5.0.2.9.0
Oracle empfiehlt dringend die bereitgestellten Patches zu installieren. Für registrierte Kunden sind sie über Metalink verfügbar.

HeiseLink

++++

Pepsihack gegen Apples Musikshop

Manche Security-Postings bringen selbst ausgebuffte IT-Sicherheitsexperten zum Schmunzeln, obwohl sie eigentlich gar nicht richtig witzig sind: Da Pepsi-Flaschen nicht bis zum Rand befüllt werden, ist es möglich, Informationen auszuspähen und sich damit kostenlos Musikstücke von Apples iTunes Music Store zu erschleichen. Das eigentlich als Scherz auf mehreren Sicherheitsmailinglisten gepostete Security Advisory beschreibt die Möglichkeit, im Inneren der Flaschenverschlüsse eingeprägte Gewinncodes auszuspähen, ohne den Verschluss abzudrehen. So richtig witzig dürften aber zumindest die beiden Marketingpartner Apple und Pepsi das Ganze nicht finden: Spart man sich doch den Kauf der Flasche, kann aber den Gewinncode anschließend in Apples Online-Store eingeben, um aktuelle Songs herunterzuladen -- immerhin 99 Cent spart man dabei. Etwas mühselig, aber machbar scheint es zu sein, tatsächlich den vollständigen Code für einen Download herauszufinden -- sehr einfach ist es aber, den Kauf derjenigen Pepsi-Flaschen zu vermeiden, die keinen Gewinncode enthalten, sondern in deren Deckel lediglich "again" eingedruckt ist.

Anlass des auch auf CNet aufgegriffenen Themas war eine am vergangenen Super Bowl Sunday gemeinsam von Apple und Pepsi initiierte Kampagne zur Verlosung von 100 Millionen Songs. Hält man eine Pepsi-Flasche im Winkel von 25 Grad, so ist die Inschrift der Kappe lesbar -- wer hätte das gedacht. Derartige Social-Engineering-Attacken gab es laut Advisory schon bei ähnlichen Kampagnen des Herstellers Mountain Dew mit "Free Soda".

Der Hersteller ist von dem Problem bereits informiert, ein Patch oder Workaround gibt es nicht. In zukünftigen Versionen soll der Füllstand der Flasche erhöht werden. Die Entdecker der Sicherheitslücken haben bereits eine Anleitung veröffentlicht -- bei herkömmlichen Sicherheitslücken würde man so etwas Proof-of-Concept-Exploit nennen.

HeiseLink

____


Wieder kritischer Fehler im Internet Explorer

Thor Larholm hat auf Securityfocus einen Fehler im Internet Explorer gemeldet, mit dem sich schon beim Besuchen einer Webseite automatisch Malware auf dem PC installiert. Ursache ist ein Fehler bei der Verarbeitung von Hilfeseiten im CHM-Format (Compiled HTML), zu dem Larholm aber keine weiteren Angaben machte. Eine ähnliche Sicherheitslücke hatte Arman Nayyeri Ende vergangenen Jahres auf der Sicherheits-Mailingliste Bugtraq veröffentlicht. Bereits um Weihnachten 2003 nutzten Cracker eine Lücke im Internet Explorer aus, um heimlich Trojaner auf Windows-PCs zu installieren. Dazu knackten sie den Server des Landtags Mecklenburg-Vorpommern, um einen Exploit zu installieren, der Besuchern der Webseite den Schädling unterschieben sollte.

Ein Mitarbeiter des französischen Sicherheitsportals K-otik hat weitere Einzelheiten zu der neuen Lücke auf Bugtraq gepostet. Demnach sind neue Exploits im Internet aufgetaucht, die ebenfalls ohne Benutzerinteraktion im Hintergrund weitere Dateien nachladen und Trojaner installieren. Dazu reicht es offenbar aus, die CLASSID (CLSID) in HTML-Dokumenten zu manipulieren, um in CHM-Dateien eingebetteten HTML-Code in der lokalen Zone auszuführen und zusätzlichen Code nachzuladen. Weitere Einzelheiten dazu finden sich im Bugtraq-Posting. Der durch den Exploit installierte Trojaner "Ibiza" öffnet eine Backdoor auf Port 10002 und soll bereits einige tausend Windows-PCs infiziert haben.

Alle Versionen des Internet Explorer sollen von der Sicherheitslücke betroffen sein. Ein Patch für die Lücke gibt es derzeit nicht, als Workaround können Anwender die Ausführung von CHM-Dateien deaktivieren, indem sie die Verknüpfung im Windows Explorer lösen. Allerdings funktionieren dann die Hilfeseiten einiger Applikationen nicht mehr. Alternativ stehen andere kostenlose Browser zur Verfügung, die weniger beziehungsweise unkritischere Sicherheitslücken enthalten.

HeiseLink

News vom 23.02.04

Weiterer Fehler in XFree86

Debian hat zwei neue Fehler in XFree86 gemeldet, mit den es möglich ist, den X-Server über das Netzwerk zum Absturz zu bringen. Schuld sind eine GLX-Funktion (xf86dri.c) und eine Funktion der Direct Rendering Infrastructure Components (glxcmds.c), die benutzerdefinierte Screen Numbers nicht richtig überprüfen. In der Folge können manipulierte Parameter einen Array Index Overflow oder einen Integer Overflow provozieren. Es lässt sich kein Code über diese Schwachstellen einschleusen und ausführen.

Debian ist standardmäßig so konfiguriert, dass ein Windows Manager nur lokale Verbindungen zum X-Server zulässt. Debian hat aber neue Pakete bereitgestellt, die auch die kürzlich gefundenen Fehler in den Fonts.alias beseitigen. Andere Distributionen sind wahrscheinlich ebenfalls von den neuen Problemen betroffen. Auf xfree.org steht derzeit noch kein Patch zur Verfügung.

HeiseLink

____

Patch beseitigt Backdoor-Passwort bei USV

APC, Hersteller von unterbrechungsfreien Stromversorgungen (USVs), hat einen Patch veröffentlicht, um ein fest einprogrammiertes Passwort ("TENmanUFactOryPOWER ") aus den optional erhältlichen Netzwerk-Management-Karte zu entfernen. Dem vorangegangen war die Veröffentlichung eines Security Advisory auf Bugtraq, in dem auf das Backdoor-Passwort hingewiesen wurde, mit dem der unautorisierte Zugriff auf das Management möglich ist. Allerdings kann ein Anwender sich mit diesem Passwort nur über Telnet oder die serielle Konsole an der USV anmelden. Eine Authentifizierung gegenüber dem Webmanagement ist mit diesem Passwort nicht möglich, auch das Management mittels SNMP bleibt davon unberührt.

Auch wenn Telnet nur noch selten zur Administration eingesetzt wird, kann es doch aktiviert sein und bietet dann immerhin in Unternehmensnetzen einen Angriffspunkt. Der Hersteller hat in dem Advisory zum Patch eine Liste betroffener Management-Karten aufgeführt. Alternativ schlägt APC vor, Telnet zu deaktivieren. Einer Meldung zufolge soll dies aber nicht immer zuverlässig funktionieren.

HeiseLink

____

Patch me if you can

[online/Browser/Email] IE hat Probleme mit SSL-Seiten; zweite Nachbesserung des IE-Sicherheits-Patchs (http://www.golem.de/0402/29846.html) Wie der aktuelle Microsoft-Knowledge-Base-Artikel 831167 zu berichten weiß, hat ein aktueller Internet Explorer 6 Probleme mit SSL-Seiten. Das Problem soll nur den IE6 betreffen, sofern der Anfang Februar 2004 erschienene Sicherheits-Patch für den Browser eingespielt wurde. Damit muss Microsoft den betreffenden Patch bereits das zweite Mal nachbessern.

KB 831167 beschreibt, dass die im IE6 enthaltene Wininet-Funktion fehlerhaft arbeitet, wenn der Februar-2004-Patch für den Browser installiert wurde. Wird die Wininet-Funktion verwendet, um etwa Daten über eine SSL-verschlüsselte Webseite zu übertragen, sendet der datenliefernde Server womöglich eine Fehlermeldung, da das Versenden von HTML-POST-Formularen nicht mit dem IE6 funktioniert. Microsoft bietet einen Patch für den IE6 zum Download an.

Damit muss Microsoft den mit dem Security Bulletin MS04-004 veröffentlichten Patch für den IE bereits das zweite Mal nachbessern, weil der Patch neue Fehler in den Browser integriert hat. Nutzer, die erwarten, dass sich mit dem aktuellen Patch wieder Nutzername und Kennwörter in URLs einbinden lassen, müssen enttäuscht werden. Microsoft hatte mit dem am 3. Februar 2004 erschienenen Patch für den IE das Einbinden derartiger Informationen in URLs komplett abgeschaltet.

Das sorgte im Internet für einige Verärgerung, da sich Webseiten mit entsprechenden Adresskonstruktionen nicht mehr ohne weiteres mit dem IE aufrufen lassen. Andere Browser-Hersteller unterstützen diesen URL-Aufruf weiterhin, ohne dass Browser wie Firefox, Mozilla oder Opera mit den im IE aufgetretenen Sicherheitsproblemen konfrontiert sind.

rotalarm.de

#####


Lücke im entfleuchten Windows-Quelltext entdeckt

[Microsoft Windows] Modifizierte BMP-Datei erlaubt Angriff auf IE und OE (http://www.golem.de/0402/29777.html) Bislang versucht Microsoft noch in Bezug auf den im Internet veröffentlichten Windows-Quelltext zu beschwichtigen und schloss Konsequenzen für Windows-Nutzer aus. Doch für diese könnte der nun offen liegende Windows-Quelltext schon bald zusätzliche Patch-Arbeit mit sich bringen: Eine erste Sicherheitslücke im veröffentlichen Quelltext kam nun in der Mailingliste Full-Disclosure zum Vorschein.

Bereits seit dem Wochenende 14./15. Februar 2004 gibt es Gerüchte, dass erste Sicherheitslücken von Dritten im Windows-Quelltext gefunden wurden, der seit Ende letzter Woche im Internet kursiert. Auch Möglichkeiten, diese auszunutzen, so genannte Exploits, sollen bereits existieren, wie vereinzelt zu lesen ist. Auf eine Sicherheitslücke wurde konkret in Full-Disclosure hingewiesen.

Demnach wird in der Datei win2k/private/inet/mshtml/src/site/download/imgbmp.cxx eine Variable vom Typ Signed Integer für ein Offset benutzt, so dass sich mit einer entsprechend modifizierten Bitmap-Datei (.BMP) beispielsweise der Internet Explorer 5.0 unter Windows 98 zum Absturz bringen, möglicherweise aber auch eigener Code ausführen lässt. Auch Outlook Express 6.0 soll betroffen sein und sich zumindest zum Absturz bringen lassen.

Die beschriebene Sicherheitslücke ist Microsoft nach eigener Aussage bereits bekannt und mit dem Service Pack 1 für den IE6 beseitigt worden. Auch das Windows XP SP1 sowie Windows Server 2003 sollen die entsprechenden Änderungen enthalten.


rotalarm.de
###


Österreich: Rote Karte für militärische Lauscher

[eWar & eSpionage] Verfassungsgerichtshof hebt umstrittenes Militärbefugnisgesetz (http://www.telepolis.de/deutsch/inhalt/te/16788/1.html) Österreichs Datenschützer, Bürgerrechtler, Medienvertreter und Oppositionsparteien haben allen Grund zur Freude. Das mit Juli 2001 in Kraft getretene Militärbefugnisgesetz (MBG), welches den militärischen Nachrichtendiensten weitreichende Überwachungsbefugnisse eingeräumt hatte (Aushöhlung der Grundrechte), wurde jetzt vom österreichischen Verfassungsgerichtshof teilweise wieder aufgehoben. Insbesondere verwahrten sich die Richter gegen unverhältnismäßige Grundrechtsverletzungen.

"Im Bundesgesetz über Aufgaben und Befugnisse im Rahmen der militärischen Landesverteidigung (Militärbefugnisgesetz – MBG), BGB l. I Nr. 86/2000, werden 11 Abs. 1, §11 Abs. 5, §22 Abs. 3 Z3, §22 Abs. 4 Z3, §22 Abs. 5 Z3 und §57 Abs. 3 erster Satz als verfassungswidrig aufgehoben", richtet der österreichische Verfassungsgerichtshof (VfGH) der konservativen ÖVP-FPÖ-Regierung aus, mit deren Mehrheit im Parlament das Gesetz trotz schwerwiegender grundrechtlicher Bedenken im Jahr 2000 zustande gekommen war. Die Verfassungsrichter geben damit in weiten Teilen einer Beschwerde der oppositionellen Sozialdemokraten Recht.

Die SPÖ hatte unter anderem den Datenschutz verletzt gesehen. Das Gesetz sieht die Möglichkeit der vorsorglichen Ermittlung ohne konkreten Tatverdacht – im Klartext also auch die Überwachung unbescholtener Bürger, die sich vielleicht irgendwann einmal kritisch über das Militär geäußert haben – zur Wahrung der nationalen Sicherheit vor. §22 MBG , der die Befugnis zur Observation, verdeckten Ermittlung und zur Datenermittlung mit Bild- und Tonbandaufzeichnungsgeräten für Zwecke der nachrichtendienstlichen Aufklärung regeln sollte, fiel bei der rechtlichen Prüfung durch. Der VfGH sieht wie die SPÖ-Juristen einen Bruch des Datenschutzgesetzes gegeben und kritisiert zudem die Funktion des Rechtschutzbeauftragten, dessen weisungsfreie Prüftätigkeit nicht sicher gestellt sei.

Wörtlich heißt es in dem VfGH-Bescheid: §22 Abs. 3 bis 5, jeweils Z3 MBG verletzt die verfassungsgesetzlich gewährleisteten Rechte nach § 1 DSG 2000 auf Datenschutz und nach Art. 8 EMRK auf Achtung des Privat- und Familienlebens. Denn die in Beschwerde gezogenen Teile des § 22 ermächtigen in Zusammenhalt mit der ebenso unpräzisen wie weiten Aufgabenstellung des §20 Abs. 1 und der nur schwach ausgebildeten rechtlichen Kontrolle durch den Rechtsschutzbeauftragten die Organe der nachrichtendienstlichen Aufklärung in weitem (wenngleich unklarem) Umfang zu Eingriffen in die informationelle Selbstbestimmung und in die von Art. 8 EMRK gewährleistete Kommunikationsfreiheit. (...) Diese Eingriffe wiegen umso schwerer, als sie geheim erfolgen, sodass der Betroffene keine Möglichkeit hat, sich vor ihnen zu schützen.

Neben dem einfachen Bürger, dessen Grundrechte nun wieder hergestellt werden müssen, dürfen sich insbesondere noch Medienvertreter freuen. Ihnen wurde im Militärbefugnisgesetz besonders übel mitgespielt. Ein Gesetzesentwurf definierte nämlich die "Zielgruppe", die von den Geheimdiensten ins Visier genommen werden sollten oder konnten, folgendermaßen: So fällt darunter etwa 'die Auswertung von Zeitschriften, insbesondere das Ermitteln von Autoren, die sich kritisch bzw. teilweise negativ mit dem Bundesheer auseinandersetzen' (...) Weiters gehören zu der in Rede stehenden Teilaufgabe der militärischen Landesverteidigung auch sowohl die Beobachtung von einzelnen Aktivitäten als auch die Beobachtung von (politischen) Gruppierungen, die sich unter anderem gegen die militärische Landesverteidigung richten bzw. dieser kritisch gegenüberstehen.

Im Hinblick auf die Wahrung der Meinungsfreiheit und den Schutz von Medienvertretern lässt jetzt der Verfassungsgerichtshof kein gutes Haar am Gesetzgeber: Im Unterschied zur differenzierten Regelung technisch unterstützter Observationen im Kontext des Redaktionsgeheimnisses in den §§149a (...) nimmt das MBG auf die Rechte von MedienmitarbeiterInnen mit keinem Wort Bezug. Einmal mehr hat es sich der einfache Bundesgesetzgeber zu einfach gemacht, indem bundesverfassungsgesetzlich gebotene und im einzelnen schwierige Abwägungsentscheidungen übergangen worden sind, die in seine Verantwortung fallen.

Abgewiesen wurde allerdings die SPÖ-Beschwerde gegen die im Gesetz ihrer Ansicht nach unklare Trennung zwischen Militär und Polizei. Einige Punkte wurden auch aus formalen Gründen zurückgewiesen. In den wesentlichen Punkten zu Grundrechtsverletzungen bekam die SPÖ aber Recht. Das österreichische Parlament hat nun bis Jahresende Zeit, das Gesetz im Sinne des Verfassungsgerichtshofes zu reparieren. Der SPÖ-Wehrsprecher Anton Gaal erwartet nun eine "vernünftige rechtskonforme Reparatur" des Militärbefugnisgesetzes. "Es muss ausgeschlossen sein, dass die Bürgerrechte durch überbordende geheimdienstliche Begehrlichkeiten in irgendeiner Form verletzt werden."

rotalarm.de

####

FoeBuD ruft zur Demonstration gegen Metro-RFID auf

[Datenschutz] Aktion gegen den "unkontrollierten RFID-Testversuch" des Metro Future Store (http://www.golem.de/0402/29853.html) Verbraucher- und Datenschützer haben für den 28. Februar 2004 zur Demonstration gegen eine unkontrollierte RFID-Einführung (Radio Frequency Identification Devices) im Einzelhandel aufgerufen. Der Auslöser dafür sind trotz gestelltem Ultimatum weiter laufende RFID- und Kundenkarten-Tests im Metro Future Store.

Der "Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e.V." (FoeBuD) sowie die US-Verbraucherschützerorganisation CASPIAN hatten der Metro-Gruppe das Ultimatum gestellt, bis zum 16. Februar 2004 auf RFID- und Kundenkarten-Tests zu verzichten. Da es bisher keine Reaktion seitens der Metro-Verantwortlichen gegeben habe, wurde nun öffentlich zur Demonstration aufgerufen.

Die neue Technik werde laut FoeBuD der Überwachung und dem Ausspionieren von Kunden und Verbrauchern völlig neue Möglichkeiten eröffnen. Da es das langfristige Ziel sei, jeden Gegenstand auf der Welt mit einem RFID und damit dieser weltweit eindeutigen Nummer zu versehen, würde dies eine bisher einzigartige Identifizierung und Lokalisierung auch von Personen erlauben.

Durch Zufall fanden die Bielefelder Datenschützer des FoeBuD e.V. auch einen RFID-Chip in der Metro-/Payback-Kundenkarte und zeigten sich entsetzt über die dadurch mögliche "neue Dimension der Kundenüberwachung". Im Aufruf zur Demonstration gegen unkontrollierten RFID-Einsatz heißt es weiter: "Damit ist die rechtlich unzulässige Datensammlung und Verknüpfung der Einkaufsdaten mit einer bestimmten Person ohne Wissen der Betroffenen technisch möglich geworden. In Rheinberg ist ein Feldversuch außer Kontrolle geraten".

Die Demonstration soll am 28. Februar 2004 um 13 Uhr ab Rheinberg Bahnhof bis zum besagten Future-Store stattfinden. Eine halbstündige Kundgebung haben die Organisatoren für 14 Uhr geplant.

rotalarm.de

News vom 24.02.04

Sicherheits-Update für Mac OS X

Apple hat mehrere Versionen eines neuen Security-Updates für Mac OS X bereitgestellt. Das "Security Update 2004-02-23" für Mac OS X 10.3 (Client) ist 1,6 MByte groß und verbessert laut Apple die Sicherheit in mehreren Bereichen. Es enthält die Komponenten DiskArbitration, IPSec, Point-to-Point-Protocol und tcpdump. Die 5,6 MByte große Variante für Mac OS X 10.2.8 (Client) aktualisiert zusätzlich Apples kostenlosen Web-Browser Safari und enthält auch das Security-Update vom 19. November 2003. Die beiden um 200 KByte größeren Server-Versionen bringen außerdem ein Update für den QuickTime-Streaming-Server mit.

Das jeweils korrekte Update erhält man über die Software-Aktualisierung des Betriebssystems. Die separaten Downloads bekommt man auch auf Apples Website angeboten. Apple empfiehlt das Update allen Benutzern der jeweiligen Betriebssystemversionen. Auf der Support-Seite sind die aktuellen Fehlerbeschreibungen noch nicht aufgeführt oder verlinkt. Über die unten aufgeführten Links kommt man direkt zu den Advisories.

HeiseLink

__


Fehler in Verschlüsselungsprodukt ermöglicht Zugriff auf geheime Schlüssel

nCipher, Hersteller von Hardware-Verschlüsselungsprodukten, weist in einem Security Advisory darauf hin, dass es möglich ist, geheime Schlüssel des Hardware Security Modules (HSM) auszulesen. HSMs können zur Beschleunigung kryptografischer Funktionen an Server angeschlossen werden, etwa über PCI, SCSI oder ein Netzwerk. Durch einen Implementierungsfehler in der Firmware kann ein Angreifer mit einer bestimmten Folge von Kommandos auf den Speicher des Moduls zugreifen, in dem die Schlüssel abgelegt sind. Der Angreifer muss allerdings zuvor Zugriff auf den Host erhalten, also autorisierter Benutzer sein oder den Host kompromittiert haben.

Nach Angaben des Herstellers verfügen nicht alle HSM-Versionen über die erforderlichen Kommandos, eine Liste der betroffenen Versionen ist im Advisory aufgeführt. nCipher stellt einen Patch über den Support bereit.

HeiseLink

__

Wurm Bizex nutzt Lücke im Internet Explorer aus [Update]

Kaspersky warnt vor dem Wurm Win32.Bizex, der über eine Sicherheitslücke im Internet Explorer in Windows-PCs eindringt. Der Schädling macht sich einen Fehler bei der Behandlung von CHM-Dateien (kompilierte HTML-Hilfeseiten) im Browser zunutze, um beliebigen Code nachzuladen und auszuführen. Derzeit sind zwei CHM-Lücken im Internet Explorer bekannt -- für keine der beiden gibt es einen Patch. Der Besuch einer Webseite reicht dabei aus, um sich mit dem Wurm zu infizieren.

Der Angriff vollzieht sich in mehreren Schritten: Eine CHM-Datei auf der Webseite enthält eine weitere Datei iefucker.html, die wiederum ein als TrojanDropper bekanntes Skript beherbergt. Das Skript extrahiert die Datei WinUpdate.exe in mehrere Systemverzeichnisse. WinUpdate.exe lädt dann die Hauptkomponente des Wurms aus dem Netz nach und legt sie als aptgetupd.exe ab. Zusätzlich zum Angriff über CHM-Dateien probiert die Webseite auf dem PC Java-Archive abzulegen und auszuführen, in denen weitere so genannte TrojanDownloaders gespeichert sind.

Von befallenen PCs versucht Bizex ICQ-Nachrichten zu versenden, in dem ein Link auf die Seite www.jokeworld.xxx/xxx.html führt, über die der Angriff erfolgt. Nach Angaben von Kaspersky versucht der Wurm auf dem System Informationen auszuspähen. Windows-Anwender sollten nicht vertrauenswürdige Seiten mit alternativen Browsern wie Opera oder Mozilla besuchen, da mittlerweile seit mehreren Monaten teilweise ungepatchte Lücken im Internet Explorer bekannt sind, die das Laden und Ausführen von beliebigem Code ermöglichen.

Weitere Hinweise zu Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.

Update
Kaspersky hat seine Angaben zu dem Wurm in einer Pressemeldung präzisiert. Der Wurm sucht auf infizierten PCs nach Daten installierter Zahlungssysteme der Hersteller Wells Fargo, American Express UK, Barclaycard, Credit Lyonnais, Bred.fr, Lloyds und E-Gold und sendet diese an Server im Internet. Des Weiteren soll Bizex in der Lage sein, HTTPS-Verkehr mitzulesen und diese Daten ebenfalls zu versenden.

Obwohl die Webseite, die den Wurm verbreitet hat, mittlerweile geschlossen ist, sollen dennoch 50.000 Rechner infiziert worden sein. Zum Versenden der Nachrichten greift der Wurm auf Funktionsbibliotheken von ICQ-Clients zurück. Über Pager wie Miranda oder Trillian kann Bizex keine Nachrichten an andere Anwender verschicken.

HeiseLink

____

Betrüger starten neue Spam-Attacke zum Kreditkartennummern-Klau

Erneut versuchen Trickbetrüger, über das Internet an Visa-Kreditkartennummern zu gelangen. In gefälschten Mails auf englischer Sprache, die angeblich von der Visa-Sicherheitsabteilung kommen, behaupten die Versender, die Kreditkarte des Empfängers sei missbraucht oder gestohlen worden. Um weiteren Missbrauch zu verhindern, solle der Betroffene seine Daten auf einer Website eingeben.

Diese Website stellt freilich keineswegs eine offizielle Präsenz von Visa dar. "Es handelt sich vielmehr um einen erneuten Versuch des Identity-Theft", sagt Frank Scheidt vom Visa-Dienstleister für Sparkassen, Pluscard, gegenüber heise online. Er rät Kreditkartenkunden zu gesunder Vorsicht. Ein Anruf bei der eigenen Bank sei ein geeignetes Mittel, um die Echtheit von Mails des Kreditkarteninstituts zu überprüfen. "Rund 85 Prozent der Fälle von erfolgreichem Nummernklau gehen auf desinteressierte User zurück. Hier müssen wir die Kommunikation verbesssern", räumt er ein.

Grund zur Panik sieht er allerdings nicht, denn das Bezahlverfahren per Kreditkarte sei recht sicher. "Bis 30 Tage nach Erhalt der Abrechnung kann der Nutzer Widerspruch gegen Zahlungen einlegen, die er nicht in Auftrag gegeben hat", erklärte der Missbrauchs-Beauftragte. In den meisten Fällen müsse der Betrogene dann eine eidesstaatliche Erklärung abgeben und bekomme sein Geld zurück. Bei Einkäufen in der realen Welt, bei denen die Kreditkarte physisch vorgelegen hat, wird es dann allerdings komplizierter. "Es ist ausgeschlossen, dass irgendjemand aufgrund von im Internet abgefangenen Daten eine gefälschte Karte herstellen kann", beruhigt Scheidt.

Doch auch wenn im Augenblick kein Grund zur Sorge bestehe -- das Thema ID-Theft wird nach Ansicht des Missbrauchs-Spezialisten künftig mehr Aufmerksamkeit erfordern. "Diese Spam-Mails sind der erste Vorboten des Problems, das in den USA bereits stärker ausgeprägt ist", sagt er. Die Kreditkarteninstitute arbeiten deshalb an neuen Sicherheitskonzepten. Unter anderem strebe Visa eine neue Chipkarte an. Ähnliche Vorfälle wie bei Visa hatte es in jüngster Zeit auch immer wieder einmal bei Banken gegeben.

HeiseLink

____

Wieder kritischer Fehler im IE

[online/Browser/Email] K-OTiK Security: MSIE Unspecified CHM File Processing Arbitrary Code Execution Vulnerability (bid 9658) – Schlupfloch für Ibiza! (http://www.heise.de/newsticker/meldung/44848) Thor Larholm hat auf Securityfocus einen Fehler im Microsoft Internet Explorer gemeldet, mit dem sich schon beim Besuchen einer Webseite automatisch Malware auf dem PC installiert. Ursache ist ein Fehler bei der Verarbeitung von Hilfeseiten im CHM-Format (Compiled HTML), zu dem Larholm aber keine weiteren Angaben machte.

Eine ähnliche Sicherheitslücke hatte Arman Nayyeri Ende vergangenen Jahres auf der Sicherheits-Mailingliste Bugtraq veröffentlicht. Bereits um Weihnachten 2003 nutzten Cracker eine Lücke im IE aus, um heimlich Trojaner auf Windows-PCs zu installieren. Dazu knackten sie den Server des Landtags Mecklenburg-Vorpommern, um einen Exploit zu installieren, der Besuchern der Webseite den Schädling unterschieben sollte.

Ein Mitarbeiter des französischen Sicherheitsportals K-otik hat weitere Einzelheiten zu der neuen Lücke auf Bugtraq gepostet. Demnach sind neue Exploits im Internet aufgetaucht, die ebenfalls ohne Benutzer-Interaktion im Hintergrund weitere Dateien nachladen und Trojaner installieren.

Dazu reicht es offenbar aus, die Class-ID (CLSID) in HTML-Dokumenten zu manipulieren, um in CHM-Dateien eingebetteten HTML-Code in der lokalen Zone auszuführen und zusätzlichen Code nachzuladen. Weitere Einzelheiten dazu finden sich im Bugtraq-Posting. Der durch den Exploit installierte Trojaner "Ibiza" öffnet eine Backdoor auf Port 10002 und soll bereits einige tausend Windows-PCs infiziert haben.

Alle Versionen des IE sollen von der Sicherheitslücke betroffen sein. Ein Patch für die Lücke gibt es derzeit nicht, als Workaround können Anwender die Ausführung von CHM-Dateien deaktivieren, indem sie die Verknüpfung im Windows Explorer lösen. Allerdings funktionieren dann die Hilfeseiten einiger Applikationen nicht mehr. Alternativ stehen andere kostenlose Browser zur Verfügung, die weniger beziehungsweise unkritischere Sicherheitslücken enthalten.


rotalarm.de

####


Trojaner als Spam-Roboter

[Trojaner & Backdoors] (http://www.heise.de/newsticker/meldung/44869) c't ist der Nachweis gelungen, dass Virenschreiber die Adressen von mit Trojanern infizierten Rechnern gegen Bezahlung an Spammer weitergeben. Diese nutzen die befallenen Systeme, um – von den Besitzern der Rechner unbemerkt – illegal Werbemails zu verteilen. Außerdem haben die Virenverbreiter mit ihrem Netzwerk aus Trojanern eine wirkungsvolle Waffe in der Hand, um etwa verteilte DoS-Attacken zu fahren.

Ein Informatik-Student hat gemeinsam mit c't die Urheber eines Computer-Virus aufgespürt. Der Redaktion gelang es, mit den Virenverbreitern in Kontakt zu treten und IP-Adressen infizierter Rechner zu kaufen. Weil einer der Virenverbreiter in Großbritannien lokalisiert wurde, hat c't sämtliche Informationen an New Scotland Yard weitergeleitet. Mittlerweile ist es bereits in mehreren Ländern zu Festnahmen gekommen.

In dem Fall wurde mit Hilfe des Virus "Randex" ein Trojaner auf tausenden Rechnern installiert. Das kleine Programm nahm über das Chat-Protokoll IRC Kontakt zu seinem "Master" auf. Es empfing von ihm Befehle wie etwa, nach CD-Keys von Spielen zu suchen, SYN-Flood-Attacken vom infizierten System aus zu starten oder unbemerkt weitere Software nachzuladen. So installierte der Trojaner beispielsweise auch einen SOCKS-Proxyserver, der zur Weiterleitung von Spam über die befallenen PCs genutzt wurde. Der Virus verbreitet sich über den Windows-Verzeichnisdienst insbesondere in Sub-Netzen weiter.

Ein ermittelnder Beamter von Scotland Yard kommentierte im Gespräch mit c't: "Wir befürchten, dass dies erst der Anfang war. Schon im vorliegenden Fall verrichten die Autoren und Verbreiter der Viren ihr Werk längst nicht nur noch aus Spaß oder Geltungssucht. Die Szene professionalisiert sich und hat erkannt, wie viel Geld hier leicht zu ergaunern ist."

rotalarm.de

++++


Hacker-Angriffe meist Mittel zum Betrug

[Cyber-Crimes] (http://enterprisesecurity.symantec.de/symes576.cfm?JID=5&PID=10416651) Die meisten Hacker-Angriffe sind nicht wie oftmals behauptet Ausdruck technischen Sportsgeistes oder gar des Wunsches, die IT-Sicherheit zu verbessern – sondern Mittel zum Betrug. Das ist das Ergebnis einer aktuellen Studie von VeriSign.

Demnach stellten VeriSign-Mitarbeiter bei insgesamt 47 Prozent der von ihrem Unternehmen registrierten Attacken fest, dass die IP-Adressen, die in Betrugsversuche verwickelt waren, mit solchen übereinstimmten, die für Port-Scans mit Hack-Absicht genutzt wurden. So konnte etwa ein großangelegter Betrugsversuch im Zusammenhang mit Kreditkarten direkt auf eine Reihe von IP-Adressen bei einem ukrainischen Provider zurückverfolgt werden.

Die meisten Online-Betrügereien gingen laut VeriSign von den USA aus.

rotalarm.de

++++++


Oracle Datenbankprodukte mit Sicherheitslücken

[ASP, JSP, SQL, CGI, PHP...] Oracle Security Alert #63, #64, #65 (http://www.heise.de/newsticker/meldung/44834) Oracle hat drei Security Alerts mit den Nummern 63, 64 und 65 veröffentlicht, in denen mehrere Sicherheitslücken in Oracle9i Lite, Application und Database Server beschrieben sind.

Zwei der Fehler kann ein Angreifer für Denial-of-Service-Angriffe ausnutzen, ein weiterer ermöglicht das Kapern von aktiven User Sessions. Zudem ist unter bestimmten Umständen der unautorisierte Zugriff auf den Database Server möglich. Eine der Lücken basiert auf der fehlerhaften Verarbeitung der Data Type Definitions (DTD) in XML-Dokumenten, wie sie für SOAP-Messages verwendet werden. Weitere Angaben zu den Fehlern macht der Hersteller nicht.

Einer der Angriffe funktioniert nach Angaben von Oracle ohne eine vorherige Authentifizierung. Bei allen anderen ist ein Benutzerkonto erforderlich. Von den Fehlern sind diverse Versionen betroffen.

Oracle empfiehlt dringend die bereitgestellten Patches zu installieren. Für registrierte Kunden sind sie über Metalink verfügbar.


rotalarm.de

News vom 25.02.04

GMX-Virenschutz TÜV-zertifiziert [Update]

GMX hat den Virenschutz seines E-Mail-Dienstes vom TÜV Saarland zertifizieren lassen. Erstmals in Deutschland sei damit die Virenschutz-Funktion eines Internet-Dienstes vom TÜV bewertet worden, teilte das Unternehmen mit. Der GMX-Virenschutz basiert auf der Scan-Engine von Sophos. Als Gesamtergebnis habe er eine Erkennungsrate von 100 Prozent erreicht. Im Labor habe der Scanner mit den Standardeinstellungen unter FreeBSD alle 734 getesteten Dateien als infiziert erkannt. Zudem seien keine Fehlalarme durch Sophos Anti-Virus ausgelöst worden.

Im Test von c't allerdings (siehe Ausgabe 3/2004 der c't, S. 122) hat der Virenscanner von Sophos einen der "in the wild" auftretenden Viren nicht entdeckt, erst nach einem Update erkannte der Scanner alle Viren, die in freier Wildbahn vorkommen. Bei der Erkennung von Trojanischen Pferden und Backdoors erbrachte der Scanner im c't-Test nur eine durchschnittliche Leistung. Auch die Archiv-Unterstützung ist nach dem c't-Test nur Mittelmaß, ACE- oder CAB-Archive etwa durchsucht der Scanner nicht. Wer also Achive in seiner GMX-Mail findet, sollte genau prüfen, ob der Virenscanner diese tatsächlich untersucht hat.

Den TÜV-Test hat das TÜV-Tochterunternehmen tekit Consult durchgeführt. GMX ließ es sich nicht nehmen, auch die Virenschutz-Fähigkeiten von zwei anderen Anbietern mit zu testen. Dabei fiel die Wahl ausgerechnet auf Web.de und Freenet.de, die beide den bekannt schwachen Open-Source-Scanner Clam AntiVirus (ClamAV) einsetzen -- ein Schelm, wer Böses dabei denkt. Andere Unternehmen wie etwa Arcor oder Lycos, die ihre E-Mail-Nutzer ebenfalls vor Viren schützen, blieben außen vor.

Entsprechend fiel der Vergleichstest aus: Die Services von Web.de und Freenet.de erkannten jeweils nur 54 Prozent aller auf die Postfächer einprasselnden Schädlinge. Als Grundlage des Tests dienten infizierte Dateien aus der WildList-Virensammlung. GMX Geschäftsführer Joachim Hofmann sieht sich durch den Test in seiner Strategie bestätigt, "nur hochwertige Profi-Software mit nahezu hundertprozentiger Erkennungsrate einzusetzen. Die Qualität, die eine lizenzierte Software bietet, ist nur in kostenpflichtigen Premiumdiensten möglich". Es gebe zwar E-Mail-Dienste, so Hofmann, "die auf Basis dieser Technologie auch im Freemail-Bereich Virenschutz anbieten, aber wir sehen diese Entwicklung sehr kritisch. Ein derart löchriger Virenschutz täuscht die Anwender, da er nur vor etwa der Hälfte der Angriffe Schutz bietet."

Mit dieser Breitseite gegen Web.de und Freenet.de will GMX wohl mehr Kunden für seinen Bezahl-Service begeistern. heise online hatte bereits zur Einführung des Web.de-Virenschutzes bemängelt, dass der Dienst seine Nutzer in trügerischer Sicherheit wiegt. Bei Freenet gibt man sich gelassen: "Nach unseren eigenen Recherchen werden rund 85 Prozent aller angerichteten Schäden am PC durch E-Mail-Viren oder Würmer durch nur etwa 15 Prozent aller bekannten E-Mail-Viren oder Würmer angerichtet. Der von uns eingesetzte Virenscanner erkennt somit die größte Masse der Viren oder Würmer in E-Mails, also wird unseren Mitgliedern ein sehr hochwertiger Schutz kostenlos geboten", erklärte Firmensprecherin Elke Rüther.

Ein Verlierer der nun wohl neu aufflammenden Debatte um die Qualität von Open-Source-Virenscannern dürfte schon jetzt feststehen: ClamAV. Dieses Projekt befindet sich nach Angaben der Entwickler nach wie vor in einem frühen Stadium; es sollte besser noch nicht in Produktivumgebungen als einziger Virenscanner eingesetzt werden -- wenn öffentlich zugängliche Dienste die Software trotzdem jetzt schon nutzen, erweisen sie ihm möglicherweise einen Bärendienst.


HeiseLink

____


Bill Gates verspricht Besserung bei Sicherheit in Windows

Es geht voran, aber nur in kleinen Schritten: Diesen Eindruck bekamen die Zuhörer beim Sicherheitskongress von RSA Security durch Bill Gates' Keynote über die Sicherheitsinitiativen Microsofts. Der Chief Software Architect von Microsoft beteuerte einmal mehr, dass sich sein Konzern intensiv bemühe, das sicherheitsanfällige Windows-System endlich robuster gegenüber Virenattacken und anderen Einbrüchen zu machen. Die weitaus größte Teil des sechs Milliarden schweren Forschungsbudgets sei der Sicherheit der Software-Systeme gewidmet.

Die Auslieferung des Service Pack 2 für Windows XP steht noch in der ersten Jahreshälfte an. Es handele sich dabei praktisch ausschließlich um aktualisierte Sicherheitsfunktionen, betonte Gates. Seine Beschreibung und die Kurzvorführung eines Microsoft-Helfers beschränkte sich im Wesentlichen auf Funktionen, die bereits früher über das Service Pack 2 bekannt wurden: Firewall-Funktionen und Schutz vor ActiveX-Controls sind per Voreinstellung immer eingeschaltet; ein zentrales Security Center gibt Auskunft über die jeweiligen Sicherheitsmodi und deren Steuerung (bisher sind die Sicherheitsfunktionen auf verschiedene Bereiche des Betriebssystems verteilt); der Internet Explorer enthält einen Popup-Blocker für unerwünschte Anzeigen.

Die Steuerung der Firewall-Funktionen ist für Anwendungen abschaltbar, sodass Programme beispielsweise die Netzwerk-Ports nutzen können. ActiveX- und Script-Blocker sind ebenfalls für einzelne Websites per Befehl abstellbar, um beispielsweise Kalender- oder Buchungsfunktionen im Internet zu nutzen. All dies geschieht im normalen User-Modus, ohne dass einzelnen Anwendern dafür Administratorstatus eingeräumt werden muss.

Einen kurzen Ausblick gab Gates ferner auf das nächste Service Pack für den Windows Server 2003, das im zweiten Halbjahr fällig wird. Darin soll eine "Active Protection Technology" eine Schutzschicht für Betriebssystem und APIs bilden, um Viren oder Wurmprogramme unschädlich zu machen. Die Technik erkennt ein ungewöhnliches oder ein für Viren typisches Verhalten von Prozessen und soll potenzielle weitere Schädigungen verhindern. Wenn also ein Netzwerk bereits von einem Schädling befallen ist, wird die Öffnung weiterer Hintertüren (durch Herunterladen weiterer Programme) abgefangen. Änderungen in Registry oder Filesystem erzeugen ebenso Alarm wie die versuchte Selbstpropagation über E-Mail-Systeme.

Zuletzt erwähnte Gates noch einige zukünftige Initiativen. Dazu gehören eine Art "Rufnummererkennung" für eingehende E-Mails, die auf der DNS-Infrastruktur aufbaut, sowie ein Projekt mit dem US-staatlichen Forschungsinstitut NIST zur Vereinheitlichung von Public-Key-Systemen. (Erich Bonnert) /

HeiseLink

____

Schwachstellen in Instant Messenger Trillian

Nach Angaben des Sicherheitsspezialisten Stefan Esser sind im Windows-Messaging-Client Trillian zwei Schwachstellen vorhanden, mit denen sich über das Netzwerk beliebiger Code auf das System schleusen und ausführen lässt. Einer der Fehler ist allerdings nur über eine Man-in-the-Middle-Attacke auszunutzen -- in Unternehmensnetzen stellt dies in der Regel aber keine große Hürde dar.

Esser hatte die Lücken entdeckt, als er einen Exploit testete, der eigentlich Schwachstellen im Instant Messenger GAIM ausnutzt. Dabei stellte sich heraus, dass zwei Fehler weitgehend identisch sind. Betroffen ist Trillian 0.71 bis 0.74f sowie Trillian Pro 1.0, 2.0 und 2.01. Cerulean Studios, Hersteller von Trillian, hat bereits Patches zur Verfügung gestellt.

Eine Schwachstelle -- im Yahoo Packet Parser -- findet sich sowohl im freien GAIM als auch in Trillian, da der gleiche Code verwendet wird. Esser weist im Security Advisory darauf hin, dass GAIM-Code eigentlich unter der GPL steht. Auf der Mailingliste Full Disclosure diskutiert man bereits, wie der Code seinen Weg in Trillian gefunden hat. Für Aufklärung sorgte aber der GAIM-Supportmanager Luke Schierer: Die Entwickler der beiden Projekte hätten Programmteile untereinander getauscht.

HeiseLink

_____

Microsoft geht Sicherheitsallianz mit Providern ein

Microsoft hat auf dem Sicherheitskongress von RSA Security eine Allianz des Unternehmen mit Internet-Providern bekannt gegeben. Die Global Infrastructure Alliance for Internet Safety (GIAIS) will das Surfen der zusammengenommen 150 Millionen Kunden sicherer machen. Zur GIAIS gehören neben T-Online auch British Telecom (BT), Chunghwa Telecom, EarthLink, Korea Telecom, MSN, NTT Communications, TeliaSonera, Tiscali und Wanadoo.

Gemeinsam wollen die Unternehmen es den Kunden einfacher machen, ihre Systemsicherheit zu erhöhen. Sie wollen Werkzeuge und Hilfe bereit stellen, damit die Kunden besser mit den Herausforderungen zurecht kommen, heißt es in einer Mitteilung von Microsoft. Die GIAIS sei bereits bei der Arbeit, um den Wurm MyDoom und seine Varianten zu bekämpfen. Auch habe Microsoft zuvor mit Mitgliedern der Allianz ein Gegenmittel gegen den Wurm W32.Blaster entwickelt.

HeiseLink

---

Neuer Linux-Kernel 2.2.26 stopft Sicherheitslücke

Marc-Christian Petersen, Maintainer der 2.2er-Kernelserie, die oft noch in kritischen Produktionsumgebungen eingesetz wird, hat eine neue Version dieses Linux-Kernels veröffentlicht. 2.2.26 -- sinnigerweise auch als "2.2 is not dead"-Release bezeichnet -- beseitigt einige Sicherheitslücken, unter anderem auch den zweiten Fehler in der Speicherfunktion mremap()/do_munmap(). Auch ein Fehler im TCP/IP-Stack und ein Bug bei der Behandlung der Echtzeituhr /dev/rtc, der Teile des Kernelspeichers preisgibt, ist nunmehr behoben. Die neuen Sourcen und der Patch stehen zum Download bereits zur Verfügung. Anwender sollten auf die neue Version wechseln.

HeiseLink
____

MyDoom-Variante löscht Bilder und Videos

Eine weitere Variante des MyDoom-Wurms -- MyDoom.F -- ist im Netz unterwegs und löscht auf befallenen Windows-Rechnern unter Umständen Dateien mit den Endungen bmp, avi, jpg, sav, xls, doc und mdb. Zusätzlich öffnet er eine Backdoor auf Port 1080 und startet eine Denial-of-Service-Attacke gegen www.microsoft.com und www.riaa.com, zu Zeitpunkt und Dauer dieser Attacke machen die Hersteller der Antivirensoftware unterschiedliche Angaben.

Wie auch die anderen MyDoom-Würmer versendet sich die F-Variante mit gefälschter Absenderadresse über eine eigene SMTP-Engine. Die Hersteller haben ihre Signaturen größtenteils aktualisiert. Grundsätzlich gilt: Egal wie eine Datei in einem Mail-Anhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender vertraut erscheint, kann die Mail einen Wurm enthalten, da die jüngsten Schädlinge oft die Absenderadresse fälschen, sodass sie unter Umständen auf einen Bekannten des Empfängers verweist.

HeiseLink

----

BSI-Umfrage:
BSI-Umfrage:
Experten halten Wirtschaft durch mangelnde IT-Sicherheit für gefährdet


Bonn, 25. Februar 2004 - Jeder fünfte deutsche IT-Sicherheitsexperte hält die eigene Organisation durch unzureichende IT-Schutzvorkehrungen für gefährdet. Zu diesem Ergebnis kommt eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene Umfrage.

89 Prozent der Experten sehen sogar die Wirtschaft in Deutschland durch mangelnde IT-Sicherheit bedroht. "Diese Zahlen belegen den gestiegenen Stellenwert der IT-Sicherheit", wertet BSI-Präsident Dr. Udo Helmbrecht die Umfrageergebnisse. Auch in Bezug auf die Bedeutung der IT-Systeme für die eigene Organisation sind sich die IT-Sicherheitsexperten einig: 98 Prozent der Befragten gaben an, dass funktionierende IT-Systeme für den Arbeitsablauf der gesamten Organisation sehr wichtig sind.

Die üblichen Sicherheitsmaßnahmen wie Anti-Viren-Software und Firewalls sowie der Schutz durch Passwörter werden inzwischen fast überall eingesetzt. Jede dritte Organisation will in Zukunft verstärkt Open Source Produkte nutzen. "Der bloße Einsatz von Schutzsoftware reicht jedoch für einen völligen IT-Schutz nicht aus," stellt Helmbrecht fest. "Ein umfassendes IT-Sicherheitskonzept beginnt bei Administrationsrechten und endet bei Zutrittskontrollen."

Nach wie vor sind Computerviren das Top-Thema in der IT-Sicherheit, gefolgt von Hackern und Firewalls. Auf den hinteren Plätzen landen die Themen Spam, die Sicherheit von E-Mails sowie die Datensicherheit. Als Informationsquellen nutzen Experten Fachzeitschriften, Online-Services sowie die Internetseite des BSI.

Über die Studie
Die repräsentative Umfrage wurde im Zeitraum November bis Dezember 2003 von TNS Emnid durchgeführt. Befragt wurden 500 Experten in telefonischen Interviews: 298 IT-Sicherheitsbeauftragte/ IT-Verantwortliche und 152 Datenschutzbeauftragte aus Behörden, Unternehmen und Verbänden. Bezogen auf die Organisationsform heißt das: 175 Befragte stammen aus Behörden, 175 aus Unternehmen und 100 aus Verbänden. Darüber hinaus wurden bei einer Auswahl der Fragen auch 50 Journalisten interviewt.


BSI Link

______

Fortsetzung:


In ICQ ist der Wurm drin!

[Viren & Würmer] (http://www.kaspersky.com/de/news.html?id=3628571) Antivirus-Hersteller warnen Anwender des Internet-Pagers ICQ vor einem neuen Netzwurm: 'Bizex' alias W32.Bizex.Worm, Worm.Win32.Bizex. Daten über Infektionen mit dem Wurm gibt es bereits aus allen Ländern der Welt. Nach voläufigen Schätzungen beträgt die Infektionsrate rund 50'000.

Die Infektion geschieht beim Öffnen der Hacker WebSite, auf die über ICQ hingewiesen wird. Zur Maskierung wird beim Betrachten der WebSite dem Anwender der Inhalt der WebSite 'Joe Cartoon' (Autor der bekannten amerikanischen Zeichentrickfilme) vorgeführt. Unterdessen attackiert die Malware den Computer auf 2 Arten. Zunächst benutzt sie eine Schwachstelle im Microsoft Internet Explorer, zweitens benutzt sie eine Schwachstelle im Betriebssystem Windows.

Im Ergebnis wird für den Anwender unbemerkt eine spezielle Datei auf den Computer geladen, die von einer entfernten Netz-Schnittstelle die Trägerdatei "Bizex" (APTGETUPD.EXE) herunterlädt und sie ausführt.

Danach beginnt 'Bizex' mit der Prozedur zur Infektion des Computers. Hierzu erstellt er das Verzeichnis SYSMON im System Katalog von Windows und kopiert sich unter dem Namen SYSMON.EXE in ihn hinein und registriert die Datei im 'autoexe' System-Verzeichnis. Somit wird der Wurm bei jedem Starten des Betriebssystems in den Speicher des Computers geladen.

Nach diesem Prozess beginnt 'Bizex' seine weitere Verbreitung über ICQ. Dabei ist zu beachten, dass der Wurm nur originäre ICQ-Clients attackiert (ausgenommen Web ICQ), wohingegen alternative Pager wie Miranda oder Trillian gegen den Wurm immun sind.

'Bizex' enthält darüberhinaus eine reihe gefährlicher Nebeneffekte, die zum Entweichen vertraulicher Information führen können. Dabei scannt der Wurm den infizierten Computer, sammelt Daten über installierte Zahlungssysteme und versendet sie unbemerkt an einen anonymen Server.

Der Wurm fängt auch Informationen ab, die vom Computer über HTTPS übertragen werden sowie Codes zum Zugang zu verschiedenen eMail-Systemen (z.B. Yahoo Mail). Hier gesammelte Daten werden ebenfalls an einen anonymen Server verschickt. "Dies hat dem Wurm-Schreiber gewiss Nutzen eingebracht, obwohl die SchadensSite bereits 4 Stunden nach ihrem Erscheinen geschlossen wurde", so Eugene Kaspersky von Kaspersky Labs.

www.rotalarm.de

W32.Netsky.C@mm

InfoLink vom BSI

_____

Neue Industriekoalition für mehr Cyber-Sicherheit

Zwölf auf Sicherheit spezialisierte Unternehmen haben die Cyber Security Industry Alliance (CSIA) gegründet. Symantec, Computer Associates, RSA Security und die anderen wollen durch politische, didaktische und technische Initiativen Fortschritte bei der Cyber-Sicherheit erreichen. Direktor ist Paul Kurtz, der zuvor Direktor für Critical Infrastructure Protection im Homeland Security Council des Weißen Hauses war.

Die CSIA will die Arbeit der US-amerikanischen Gesetzgeber überwachen und auch darauf Einfluss nehmen. Zusammen mit Bildungsinstitutionen will sie Ausbildungsprogramme erarbeiten und in Kampagnen auch Verbrauchern und kleinen Unternehmen verdeutlichen, wie die Herausforderungen für die Cyber-Sicherheit aussehen. Außerdem sollen zusammen mit anderen Organisationen Industriestandards entwickelt werden.

HeiseLInk

____

Schwachstelle in Windows Explorer unter XP

Einem Posting auf Bugtraq zufolge sollen manipulierte Grafiken im EMF-Format (Enhanced Metafile) einen Heap Overflow im Windows Explorer unter XP provozieren, der in der Folge abstürzt. Potenziell kann ein Angreifer damit auch beliebigen Code auf das System schreiben und mit den Rechten des angemeldeten Benutzers ausführen. Der Fehler tritt sowohl bei der Vorschau in der Miniaturansicht auf -- wenn der Explorer die Grafik in einem Verzeichnis darstellt -- als auch bei der normalen Vorschau, etwa über die rechte Maustaste.

Schuld sind wahrscheinlich zwei Fehler in der Bibliothek shimgvw.dll, bei der die Größe der Datei (Total-Size-Feld) im Header vor dem Einlesen fehlerhaft überprüft wird. Der Autor des Postings weist darauf hin, dass der Explorer auch WMF-Dateien fehlerhaft verarbeitet. Ein Patch gibt es derzeit nicht. Als Workaround sollte man die Miniaturansicht abschalten und EMF/WMF-Dateien nicht in der Explorer-Vorschau ansehen, sondern mit einem anderen Bildbetrachtungsprogramm.

Einen ähnlichen Fehler bei der Verarbeitung von BMP-Dateien im Internet Explorer 5.x entdeckten vor kurzem Sicherheitsexperten nach der ungewollten Veröffentlichung des Windows-2000-Quellcodes. Manipulierte BMP-Dateien brachten aber nicht den Internet Explorer 6.0 zum Absturz, da Microsoft diesen Fehler dort bereits seit längerem behoben hatte. Anwendern älterer Versionen wurde aber bis dato kein Patch zu Verfügung gestellt.

HeiseLink
____


Sicherheitslücke in libxml2-Bibliothek

Red Hat hat einen Fehler in den Parsingfunktionen der Bibliothek libxml2 gemeldet, bei denen sehr lange URLs -- mehr als 4096 Bytes -- einen Buffer Overflow provozieren können. Findet ein Angreifer eine Applikation, welche die fehlerhaften Funktionen verwendet und in der sich die URLs manipulieren lassen, so kann er damit beliebigen Code in das System schleusen und im Sicherheitskontext der Anwendung ausführen. Betroffen sind die Versionen vor 2.6.6. Red Hat hat bereits neue Pakete zum Download bereitgestellt. Andere Distributionen sind wahrscheinlich ebenfalls betroffen. Die neue libxml2-Version 2.6.6 ist auch auf xmlsoft.org verfügbar

HeiseLink

____

Auch Wurm NetSky mutiert

Nachdem nun schon der Wurm MyDoom bis zur F-Variante mutiert ist, warnen die Hersteller von Antivirensoftware vor der C-Variante des NetSky-Wurms, auch bekannt als Moodown. Anders als noch im letzten Jahr geben die Hersteller mittlerweile fast täglich neue Warnungen vor Wurm-Ausbrüchen heraus. Allerdings ist trotzdem wohl nicht damit zu rechnen, dass der morgendliche Schädlingsbericht einen ähnlichen Stellenwert einnehmen wird wie der Wetterbericht.

Der Wurm verbreitet sich über eine eigene SMTP-Engine. Die Absenderadresse ist wie bei allen Mass-Mailing-Würmern stets gefälscht. Die Zieladressen zum Versand findet er in diversen Dateien auf dem System. Der Wurm versendet sich als Dateianhang der Mail. Die Dateinamen variieren dabei stark. Zusätzlich kopiert sich der Wurm mit interessant klingenden Dateinamen in lokale Verzeichnisse und Verzeichnisse von Netzlaufwerken, wenn deren Namen den String "shar" enthält, um sich über Tauschbörsen wie Kazaa und andere zu verbreiten.

Ein Schadroutine hat der Wurm nicht, am 26. Februar versucht er allerdings zwischen 6 und 8 Uhr morgens den PC-Lautsprecher zu Piepen zu bringen. Zur Entfernung des Wurms hat NAI sein kostenloses Tool Stinger aktualisiert.

Grundsätzlich gilt: Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender bekannt ist, kann die Mail den Wurm enthalten. Ohnehin sollten deutsche Anwender die -- allerdings stark variierenden -- englischen Betreffzeilen und Nachrichtentexte stutzig machen. Weitere Informationen zum Schutz vor Viren und Würmer finden sich auf den Antiviren-Seiten von heise Security.

HeiseLink

News vom 27.02.2004

MyDoom-Variante löscht Bilder und Videos

[Trojaner & Backdoors] (http://www.heise.de/newsticker/meldung/44984) Eine weitere Variante des MyDoom-Wurms – mit Namen MyDoom.F alias W32.Mydoom.F@mm, W32/Mydoom.f@MM, WORM_MYDOOM.F, W32/MyDoom-F, I-Worm.Mydoom.f, Win32.Mydoom.F – ist im Netz unterwegs und löscht auf befallenen Windows-Rechnern unter Umständen Dateien mit den Endungen bmp, avi, jpg, sav, xls, doc und mdb. Zusätzlich öffnet er eine Backdoor auf Port 1080 und startet eine Denial-of-Service-Attacke gegen www.microsoft.com und www.riaa.com, zu Zeitpunkt und Dauer dieser Attacke machen die Hersteller der Antivirensoftware unterschiedliche Angaben.

Wie auch die anderen MyDoom-Würmer versendet sich die F-Variante mit gefälschter Absenderadresse über eine eigene SMTP-Engine. Die Hersteller haben ihre Signaturen größtenteils aktualisiert. Grundsätzlich gilt: Egal wie eine Datei in einem Mail-Anhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender vertraut erscheint, kann die Mail einen Wurm enthalten, da die jüngsten Schädlinge oft die Absenderadresse fälschen, sodass sie unter Umständen auf einen Bekannten des Empfängers verweist.

rotalarm.de

++++++

Cross-Site-Scripting-Schwachstelle in Mozilla

Der Sicherheitsspezialist Andreas Sandblad hat im Web-Browser Mozilla eine Schwachstelle entdeckt, mit der sich Cross-Site-Scripting-Angriffe durch manipulierte HTML-Seiten durchführen lassen. Dabei wird Skript-Code nicht im Sicherheitskontext der Seite ausgeführt, von der er geladen wurde, sondern in dem einer anderen: Der Mozilla-Browser kann unter bestimmten Umständen Code einer vorhergehenden Seite beim Laden einer neuen Seite in deren Kontext ausführen. Wechselt ein Anwender beispielsweise von einer Internetseite, die Skript-Code enthielt, auf ein lokales Dokument, so ist bis zur vollständigen Anzeige der neuen Seite immer noch die Interaktion mit dem alten Skript möglich -- allerdings nun im Kontext der lokalen Zone mit mehr Zugriffsrechten auf das System.

Mozilla versucht mit mehreren Funktionen, Cross-Site-Scripting-Attacken zu verhindern. Sandblad hat jedoch einen Proof-of-Concept-Exploit veröffentlicht, der diesen Schutz umgeht. Betroffen sind die Versionen bis einschließlich 1.5. In Mozilla 1.6 ist der Fehler nicht mehr enthalten. In der noch nicht freigegebenen neuen Version 1.4.2, die die 1.4-Serie der Websuite mit unveränderten Funktionen und API fortsetzt, ist der Fehler dann ebenfalls beseitigt.

HeiseLink

____


Sicherheitsloch in Intrusion-Prevention-Produkten von ISS

Der Sicherheitsdienstleister eEye, Entdecker der zuletzt gemeldeten Sicherheitslöcher in Windows, berichtet über mehrere Fehler in Produkten des Herstellers Internet Security Systems (ISS) zur Erkennung und Abwehr von Angriffen auf Serversysteme und Netzwerke -- so genannte Intrusion Detection/Prevention Systeme (IDS/IPS). Ein Angreifer kann mit manipulierten SMB-Paketen einen Heap Overflow provozieren und damit eigenen Code in den Speicher schreiben und mit Systemrechten ausführen. Nach Angaben von eEye reicht dazu ein einziges spezielles "SMB Session Setup AndX request"-Paket mit einem zu langen Benutzernamen (>300 Bytes) aus, wie es zur Authentifizierung an Servern verwendet wird. Da SMB-Verkehr in der Regel von Firewalls geblockt wird, ist ein Angriff eigentlich nur innerhalb eines Unternehmensnetzes denkbar.

Betroffen sind folgende Produkte:

RealSecure Network 7.0, XPU 20.15 bis 22.9
Real Secure Server Sensor 7.0 XPU 20.16 bis 22.9
Proventia A Series XPU 20.15 bis 22.9
Proventia G Series XPU 22.3 bis 22.9
Proventia M Series XPU 1.3 bis 1.7
RealSecure Desktop 7.0 eba bis ebh
RealSecure Desktop 3.6 ebr bis ecb
RealSecure Guard 3.6 ebr bis ecb
RealSecure Sentry 3.6 ebr bis ecb
BlackICE PC Protection 3.6 cbr bis ccb
BlackICE Server Protection 3.6 cbr bis ccb

Der Hersteller ISS hat bereits Patches für die betroffenen Produkte zur Verfügung gestellt. In den dazugehörigen Change-Logs ist zur Beseitigung der Schwachstelle nur schlicht "Updated SMB Parser" eingetragen. In einem eigenen Advisory empfiehlt ISS seinen Kunden allerdings dringend die Updates zu installieren.

Ähnliche Schwachstellen in Netzwerksicherheitsprodukten hatte vor kurzem die Firma iDefense in der Firewall des Herstellers Checkpoint entdeckt, deren Application Intelligence eigentlich der erhöhten Sicherheit dienen sollte. Stattdessen war dort ein Fehler im HTTP-Parser enthalten, mit dem ein Angreifer beliebigen Code auf dem System ausführen konnte. Unter anderem mit den Gefahren durch Intrusion-Prevention-Funktionen auf Firewalls beschäftigt sich auch der heise-Security-Artikel: Besser vorbeugen.

HeiseLink

News vom 28.02.2004

Jails in FreeBSD nicht ausbruchsicher

Eigentlich sollen Jails in FreeBSD die Sicherheit erhöhen: Eingesperrte Prozesse können nur noch auf einen Teil des Dateisystems zugreifen, dürfen keine Kernel-Module nachladen und können einige weitere potenziell gefährliche Funktionen nicht nutzen. Selbst wenn ein Angreifer die volle Kontrolle über einen Prozess im Jail erlangt, kann er nur wenig Schaden anrichten, da es selbst mit Root-Rechten nicht möglich ist, aus dem Gefängnis auszubrechen.

Durch einen Fehler in FreeBSD 5 können Prozesse zwar ihr Jail nicht komplett verlassen, aber zumindest andere auf dieselbe Weise eingesperrte Prozesse in deren Zelle besuchen: Die Systemfunktion jail_attach() dient dazu, einen Prozess in das bestehende Jail eines anderen einzusperren – theoretisch allerdings nur, wenn er zuvor nicht in einem Jail lief. Der Fehler besteht nun darin, dass jail_attach() dies zu spät prüft und dadurch der aufrufende Prozess aus einem Jail auf die eigentlich unzugänglichen Dateien eines anderen Jails zugreifen kann. Die übrigen Einschränkungen kann er jedoch nicht aufheben.

Da die Funktion jail_attach() erst in FreeBSD 5 eingeführt wurde, sind nur die Release-Versionen 5.1 und 5.2 betroffen. Abhilfe schafft ein Kernel-Patch oder ein Update des Systems auf die jeweils aktuelle Version.

HeiseLInk

____


Neue Dateisystemverschlüsselung für Linux

Andrew Morton hat auf der Linux-Kernel-Mailingliste bekannt gegeben, dass die Standardmethode, um Dateisysteme unter Linux zu verschlüsseln (Cryptoloop), aus dem Kernel entfernt werden soll. Cryptoloop ist Bestandteil des CryptoAPI des Linux Kernel 2.6. Statt dessen hat Morton in seine -mm-Kernelpatches bereits das Modul dm-crypto aufgenommen. Morton begründet den Wechsel zum Device-Mapper damit, dass Cryptoloop bekannte Schwachstellen aufweise; selbst der Cryptoloop-Maintainer Fruhwirth Clemens hat eingeräumt, dass dm-crypto die bessere Lösung sei. Bereits im Januar gab es Diskussionen darüber, dass Cryptoloop anfällig gegen spezielle Wörterbuchattacken sei. Ersten Berichten zufolge arbeitet dm-crypto bereits stabil.

HeiseLink