NEWS AUS DEM IT-SECURITY BEREICH

Mal eine Frage, ist die Diskussion der Sicherheitslücken in diesem Thread erwünscht? Wenn nicht, bitte löschen, wenn ja:

Das ist einfach schlampig von Apple. Natürlich ist Windows nicht wirklich besser, aber das ist imo einfach ein Konzeptionsfehler, wenn nicht-root-Benutzer Programme mit root-Rechten ausführen können, und sei es nur über diesen Umweg. Das Problem betrifft ja nicht nur die Installer, jeder User kann dort seinen Kram reinlegen, der dann beim nächsten Reboot als root ausgeführt wird. Ich hoffe, das ist auf den Servern von Apple nicht der Fall...auf Client-Rechnern haben die Leute _meist_ selbst das root-Passwort, sodass das nicht soo das Problem darstellt.

Sicherlich kann man diskutieren....aber besser wäre ja ein neuer Thread mit Link, auf den Teil, auf den man hier Bezug nimmt.

Beim nächsten mal halt.

Oder du modelst noch um.



Grüße

Dialer-Anbieter streitet mit Hersteller von Antiviren-Software



Der Dialer-Anbieter Online Ideas hat nach eigenen Angaben Antrag auf Erlass einer einstweiligen Verfügung gegen die Firma H+BEDV Datentechnik gestellt, Hersteller der Antiviren-Software Antivir. Auf eine Abmahnung hatte H+BEDV zuvor nicht reagiert. Demnach soll Antivir Dialer nicht mehr als "gefährlich" anzeigen dürfen. Durch die Dialer-Erkennung und Warnung des kostenlosen Antivirenprogramms sind nach Angaben des Online-Portals dialerschutz.de die Einwahlzahlen mehrerer Betreiber von Dialer-Seiten stark zurückgegangen.

Online Ideas verdient unter anderem auch mit Klingeltönen und Handylogos sein Geld. Die Geschäftsführerin des Dialer-Anbieters kritisierte gegenüber dialerschutz.de, dass Verbraucher zwar vor illegalen Dialern geschützt werden müssen, dies aber nicht dazu führen dürfe, dass von der Regulierungsbehörde für Post und Telekommunikation (RegTP) genehmigte gesetzeskonforme Dialer als "gefährlich" tituliert werden. Außerdem moniert Online Ideas, dass Antivir nicht alle Dialer erkenne, sondern nur die bekannteren Anbieter in der Virendefinitionsliste auftauchen. Zudem dürfe die Einwahl nicht, wie es im Fall Antivir geschehe, nahezu unmöglich gemacht werden.

Wie Antivir-Hersteller H+BEDV auf die rechtlichen Schritte reagieren wird, ist bisher noch nicht klar. Vor zwei Jahren erhielt H+BEDV schon einmal eine Abmahnung eines Dialer-Anbieters und stoppte daraufhin die Dialer-Erkennung von Antivir. Damals wurden Dialer von der Antivirensoftware als Virus tituliert. Heute meldet Antivir bei der Endeckung eines Dialers dagegen ein "kostenverursachendes Einwahlprogramm" -- und der Nutzer kann Dialer anders als damals auch erlauben.

http://www.heise.de/security/news/meldung/46420



#####

Angeblicher Mac-Trojaner sorgt für Wirbel



Die Firma Intego hat für einige Aufregung in der Mac-Community gesorgt: In einer am vergangenen Donnerstag verbreiteten Meldung behauptet der Hersteller von Antivirenprogrammen, den ersten Trojaner gefunden zu haben, der Mac OS X befällt. Getarnt als MP3-Datei sei der Übeltäter in der Lage, sämtliche Dateien des Anwenders zu löschen, sich per E-Mail zu verbreiten und andere MP3-, JPEG-, GIF- oder QuickTime-Dateien zu infizieren.

Tatsächlich handelt es sich bei der aufgetauchten Datei um eine Machbarkeitsstudie: Die MP3-Datei enthält in ihrem ID3-Tag Code, der eine Meldung auf dem Bildschirm anzeigt. Gleichzeitig startet er das Programm iTunes, das dann den MP3-Inhalt abspielt. Dass der Code überhaupt ausgeführt wird, liegt an der Art und Weise, wie Mac OS Programme erkennt: Die Datei enthält so genannte carb- und cfrg-Ressourcen; letztere zeigt auf den Code im ID3-Tag. Der Finder zeigt die Datei als normales MP3 an, weil sie die Dateiendung .mp3 trägt; ein Blick auf die erweiterten Dateiinformationen enttarnt sie aber als Programm.

Letztendlich ist der MP3Concept oder MP3Virus.Gen getaufte "Trojaner" also nichts anderes als ein als normale Datei getarntes Programm. Dass ein tatsächlicher, nach diesem Muster gestrickter Schädling sich per E-Mail oder über Tauschbörsen verbreiten könnte, ist unwahrscheinlich: Er müsste mit BinHex oder StuffIt komprimiert sein, weil sonst die zum Ausführen notwendigen Ressourcen verloren gehen.

Mittlerweile rudert auch Intego ein Stück weit zurück und erklärt auf einer FAQ-Seite, dass die vorliegende Datei tatsächlich harmlos ist. Allerdings wird betont, dass sich über den benutzten Mechanismus auch schädlicher Code ins System einschleusen ließe. Ob dagegen tatsächlich ein Antivirenprogramm hilft, ist aber fraglich: Zunächst einmal ist Apple gefordert, ein Update zu liefern, das Programme im Finder auch als solche anzeigt. Ein Allheilmittel wäre das aber auch nicht: Schließlich lassen sich Anwendungen mit beliebigen Icons verzieren. Letztendlich liegt es in der Verantwortung eines jeden Anwenders, beim Anklicken von Dateien zweifelhafter Herkunft eine gesunde Portion Misstrauen walten zu lassen.


http://www.heise.de/security/news/meldung/46430


####

Embedded-Systems-Entwickler: "Linux ist ein Sicherheitsrisiko"



Das zumindest behauptet Dan O'Dowd, CEO von Green Hills Software, Hersteller von Echtzeit-Betriebssystemen und Werkzeugen für die Embedded-Systems-Entwicklung. Auf dem NetCentric Operations 2004 Forum erläuterte O'Dowd seine Position: Linux und Open-Source-Software werde in immer mehr Verteidigungssystemen eingesetzt. Der Open-Source-Entwickungsprozess verstoße jedoch gegen alle Sicherheitsprinzipien, da er es jedermann erlaube, Code beizutragen.

"Feindliche Spionageorganisationen und Terroristen, die jetzt wissen, dass Linux unsere modernsten Verteidigungssysteme steuert, können ihre Identitäten fälschen und subversive Software beitragen", sagte O'Dowd. Schon jetzt käme Linux-Code aus Russland und China: MontaVista etwa betreibe ein Entwicklungszentrum in Moskau und habe gerade ein zweites in Beijing eröffnet. MontaVista ist eines der führenden Unternehmen im Bereich Embedded Linux.

Natürlich erntete O'Dowd sofort Widerspruch. Die EE Times zitiert Rick Lehrbaum, Betreiber von LinuxDevices.com, einer Anlaufstelle für Embedded-Linux-Interessierte: O'Dowd wolle lediglich Unsicherheit verbreiten. "Er macht sich Sorgen über absichtliche Hintertüren, dabei ist Linux das transparenteste Betriebssystem, das es gibt", so Lehrbaum gegenüber der EE Times. Auch MontaVista-Chef Jim Ready sieht in der weltweiten Entwicklergemeinde den entscheidenden Vorteil für Linux. "Deshalb setzt die NSA -- die sicherheitsbewussteste Organisation der Welt -- auf Linux." Das freie Betriebssystem sei seiner Stabilität, seiner Sicherheit und seiner niedrigen Kosten wegen eine Bedrohung für die Hersteller proprietärer Systeme.

http://www.heise.de/security/news/meldung/46444

#####


Microsoft stockt seine Sicherheitsabteilung auf



Microsoft hat zwei gestandene Mitarbeiter für sicherheitsrelevante Aufgaben berufen. Gordon Mangione und Rich Kaplan, die bisher als Vizepräsidenten in dem Unternehmen für SQL-Server beziehungsweise für "Content Development and Delivery" zuständig sind, bekommen Verantwortung im Bereich Sicherheitsinitiativen: Mangione als Vizepräsident für Sicherheitsprodukte, Kaplan in einer ähnlichen Position für Sicherheitsmarketing, heißt es in Medienberichten. Beide werden in Kürze Mike Nash unterstellt, der bei Microsoft für die Security Business and Technology Unit verantwortlich ist.

Mangione musste sich innerhalb seiner Abteilung Anfang vergangenen Jahres mit dem SQL-Wurm Slammer auseinander setzen. Kaplan hatte unter anderem seinerzeit mit dem Y2K-Problem zu tun. Die Versetzung der beiden gestandenen Microsoft-Mitarbeiter solle verdeutlichen, dass das Unternehmen Sicherheitsaspekten größere Bedeutung zuweist. Auch werde Personal von der Entwicklung des kommenden Windows abgezogen und dazu verpflichtet, sich bestehenden Sicherheitslücken in Windows XP zu widmen.

http://www.heise.de/security/news/meldung/46458


####

Exploit für eMule 0.42d aufgetaucht



Das Sicherheitsportal K-otik hat auf seinen Seiten einen Exploit für den Tauschbörsen-Client eMule bis einschließlich Version 0.42d veröffentlicht. Der Exploit ermöglicht den Zugriff auf das System im Kontext des angemeldeten Benutzers -- unter Windows leider oft Administrator.

Genutzt wird ein bereits veröffentlichter Fehler in der Funktion DecodeBase16() zur Dekodierung von hexadezimalen Zeichenketten, die unter anderem für den internen Webserver und den IRC-Client zum Einsatz kommen. Schon mit der Veröffentlichung der Fehlerbeschreibung war ein Proof-of-Concept-Exploit enthalten. Der nun in Perl geschriebene Exploit nutzt nur den Fehler im IRC-Client, um eine Remote-Shell zu öffnen. Anwender sollten so schnell wie möglich auf Version 0.42e wechseln.



Siehe dazu auch:

• Sicherheitsloch in P2P-Client eMule auf heise Security

http://www.heise.de/security/news/meldung/46457

###

Mehrere Sicherheitslücken in TikiWiki CMS



Im PHP-basierten Open-Source Content-Management-System TikiWiki sind mehrere Sicherheitslücken enthalten, die im schlimmsten Fall das Hochladen und Ausführen von Code im Kontext des Webservers ermöglichen. Betroffen sind alle Versionen bis einschließlich 1.8. In 1.8.2 (Polaris) sind die Fehler beseitigt. Derzeit ist die TikiWiki-Seite aber schwer zu erreichen.

Die vom Sicherheitspezialisten JeiAr gefundenen Fehler ermöglichen das Ausspähen von Pfadinformationen durch Angabe ungültiger Parameter oder durch das direkte Aufrufen von Skripten. Auf Grund der fehlenden Filterung einiger Skripte sind auch Cross-Site-Skripting-Attacken möglich. Außerdem lassen sich mit manipulierten Benutzereingaben Befehle an die SQL-Datenbank (SQL-Injection) übergeben. Mit manipulierten URLs (Directory Traversal) können Angreifer sogar den Root-Pfad der Applikation verlassen und auf weitere Verzeichnisse zugreifen. Einige Funktion ermöglichen das Einfügen von Skripten und URLs in Seiten, die bei Aufruf eines Administrator unter Umständen gestartet werden. Der Ordner "/img/wiki_up/" ermöglich gar das Hochladen beliebigen Codes.

Siehe dazu auch:

• Security Advisory auf Gulftech.com

http://www.heise.de/security/news/meldung/46451

####

Fehler in Cisco VPN-Modulen führt zum Absturz



Einem Security Advisory von Cisco zufolge können fehlerhafte IKE-Pakete (Internet Key Exchange) bei der Aushandlung einer IPSec-basierten VPN-Verbindung die Switches der Catalyst-Serie 6500 und die Internet-Router der Serie 7600 zum Absturz oder zum Neustart bringen. Schuld ist ein nicht näher bezeichneter Fehler im VPN Services Module (VPNSM). Angreifer können damit erfolgreich Denial-of-Service-Attacken durchführen. Betroffen sind Module mit IOS jeweils vor 12.2(17b)SXA, 12.2(17d)SXB und 12.2(14)SY03. Nach Angaben von Cisco existiert kein Workaround, Anwender sollten neue Softwareversionen installieren.

Siehe dazu auch:

• Security Advisory von Cisco

http://www.heise.de/security/news/meldung/46449


####

"They know where you are": Abonnenten im Fadenkreuz



[Datenschutz] (http://www.heise.de/newsticker/data/jk-06.04.04-005/) Die Juni-Ausgabe des amerikanischen Magazins Reason könnte der Postbote den 40'000 Abonnenten auch anhand des Titelbildes zustellen. Darauf wird nach einem Bericht der New York Times nicht nur der jeweilige Name des Empfängers, sondern auch ein Satellitenbild von seiner Wohngegend abgedruckt sein – mit eingezeichnetem Kreis um sein Haus und dem Hinweis "They know where you are!" Außerdem sollen mehrere Anzeigen auf den jeweiligen Leser abgestimmt sein.

Mit dem Gag möchte das Magazin nach Angabe von Chefredakteur Nick Gillespie den Schwerpunktartikel der Ausgabe über die Macht und die Bedeutung von Datenbanken illustrieren. Rodger Cosgrove, Mitglied im Vorstand der Zeitschrift und Präsident einer Direktmarketingagentur, war mit der Erstellung der Software zum Abgleich der Abonnentenliste mit Satellitenfotos befasst. Nach seinen Worten sollte die Möglichkeiten gezeigt werden, mit Hilfe von Datenbanken Informationen zu personalisieren. Nach Einschätzung von Gillespie könnte die Aktion mit den wachsenden Möglichkeiten von Datenbanken und Drucktechnik neue Wege aufzeigen. Er glaubt, dass jeder gerne eine Zeitschrift lesen wolle, die nur Artikel und Anzeigen von Interesse für den jeweiligen Leser enthält. Dass Datenbanken das moderne Leben sehr erleichtern, ist nach Aussage von Marc Rotenberg, Präsident des EPIC, offensichtlich. Das bedeute aber nicht, dass über Datenbanken der Regierung nicht noch ernsthafte Diskussionen geführt werden müssten. Dabei verweist er insbesondere auf die Überwachung der US-Öffentlichkeit in Folge der Anti-Terror-Pakete sowie die Passagierdaten-Erfassung.

http://www.rotalarm.de/
Perl – Pufferueberlauf in win32_stat



[ASP, JSP, SQL, CGI, PHP...] iDEFENSE SA 04.05.04: Perl win32_stat Function Buffer Overflow Vulnerability (http://www.tecchannel.de/sicherheit/reports/2557.html) iDEFENSE meldet eine Schwachstelle in Perl und ActivePerl, über die ein Angreifer das System kompromittieren kann.

Die Sicherheitslücke beruht auf einem Begrenzungsfehler in der Funktion win32_stat(). Dies kann der Angreifer ausnutzen, um einen Pufferüberlauf zu verursachen, indem er einen überlangen Dateinamen mit einem Backslash als letztem Zeichen an die Funktion übergibt.

Ein erfolgreicher Angriff erlaubt möglicherweise das Ausführen beliebigen Codes auf einem System, wo in Benutzer einen entsprechend vorbereiteten Dateinamen an ein Perl-Skript übergeben kann (etwa auf einem Webserver). Die Sicherheitslücke ist bestätigt für Perl 5.8.3 für Windows und niedriger.

http://www.rotalarm.de/
Schwachstelle bei der Verarbeitung von X.509-Zertifikaten



[Kryptographie & Authentizierung] CAN-2004-0155 (http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1190) Aufgrund eines Programmierfehlers prüft racoon, der IKE-Dämon von KAME, während der IKE-Phase 1 nicht, ob die übertragenen Pakete mit dem X.509-Zertifikat der Gegenstelle digital signiert wurden. Dadurch kann ein Angreifer allein mit einem Zertifikat (ohne Kenntnis des privaten Schlüssels) sich gegenüber der Gegenseite authentifizieren.

Ebenso sind Man-in-the-middle-Angriffe auf mit IPsec verschlüsselte Verbindungen denkbar. Damit sind IPsec-VPNs mit X.509-Authentifizierung der Gegenstellen, die mit KAME bzw. racoon in der verwundbaren Version betrieben werden, ungeschützt.
Von der Schwachstelle nicht betroffen sind IPsec-Konfigurationen, die allein Preshared Keys verwenden. Unter GNU/Linux existiert mittlerweile eine Reihe von Kernel- und Userspace-Implementierungen für IPsec. Die KAME-basierte Userspace-Komponente heißt dort oft ipsec-tools. FreeS/WAN ist eine weitere Implementierung, die entweder auf eigene Kernel-Patches aufsetzt oder inzwischen auch auf die offizielle Kernel-Implementierung von IPsec (die auch in Kernel 2.6 einfloss). FreeS/WAN und der enthaltene IKE-Dämon pluto sind nach gegenwärtigem Kenntnisstand von dieser Schwachstelle nicht betroffen.

http://www.rotalarm.de/

Panda ActiveScan Control: Heap-Überlauf



[Virus- & A/V-Software] (http://www.tecchannel.de/sicherheit/reports/2564.html) Über eine Schwachstelle in Panda ActiveScan Control kann ein Angreifer das System kompromittieren.

Das Panda ActiveScan Control wird von Panda ActiveScan auf dem System installiert, sobald der Anwender das erste Mal einen Online-Virenscan vornimmt. Die Sicherheitslücke beruht auf einem Begrenzungsfehler im Objekt ReportHebrew. Über diesen kann der Angreifer einen Pufferüberlauf verursachen, indem er eine überlange Zeichenkette an das Property Internacional übergibt.

Ein erfolgreicher Angriff ermöglicht das Ausführen beliebigen Codes auf dem attackierten System. Dazu muss der Angreifer den Benutzer beispielsweise zum Besuch einer entsprechend präparierten Website verleiten.

Laut dem Entdecker sollen ähnliche Schwachstellen auch in den ActiveX-Komponenten der Online-Virenscanner von Symantec und McAfee auftreten. Dies konnte bislang jedoch noch nicht bestätigt werden.

Das Secunia Research Team konnte in den Symantec- und McAfee-Produkten bislang ausschließlich eine NULL-Zeiger-Dereferenzierung reproduzieren, über die sich lediglich der Browser zum Absturz bringen lässt, die jedoch keinen Systemzugriff ermöglicht. Löschen Sie das ActiveX-Control ascontrol.dll von Systemen, bei denen Sie mit Active Scan einen Online-Virenscan vorgenommen haben.

http://www.rotalarm.de/
Googles GMail: Werbebanner dank Datenspionage?



[Datenschutz] (http://enterprisesecurity.symantec.de/symes617.cfm?JID=7&PID=10416651) Nachdem Google mit GMail beschlossen hat, in den Markt für Freemail-Anwendungen einzusteigen, haben Datenschützer das Unternehmen ins Visier genommen.

Anlass ist die so genannte Kontext-basierte Werbung: Kunden von Google-Mail sollen Werbebanner gezeigt werden, die inhaltlich zum Text der jeweils geöffneten Mail passen; zur Urlaubsnachricht aus Italien käme so etwa die Werbung eines Reisebüros auf den Bildschirm, das Banner einer Sprachschule oder der nächsten Pizzeria. Datenschützer dazu: "Das ist eine Hintertür, den Inhalt der E-Mails einzusehen, ohne die E-Mail selbst zu öffnen." In Deutschland verstößt GMail gegen Bestimmungen des Datenschutzes, so der Sprecher des Landes-Datenschutz-Beauftragten in Niedersachsen. "Das Fernmelde-Geheimnis wäre bei einem solchen Internet-Angebot verletzt."

http://www.rotalarm.de/
IGI 2: Covert Strike – Format-String-Lücke in RCON



[online/Browser/Email] (http://www.tecchannel.de/sicherheit/reports/2559.html) Über eine Schwachstelle in IGI 2: Covert Strike kann ein externer Angreifer das System kompromittieren.

Die Sicherheitslücke beruht auf einem Formatstring-Fehler in der Protokollfunktion bei der Verarbeitung von RCON-Befehlen. Dies kann der Angreifer durch Senden eines entsprechend präparierten Befehls an den RCON-Dienst (Voreinstellung Port 26001/udp) ausnutzen, der Formatangaben enthält. Die Sicherheitslücke ist bestätigt für Version 1.3 und niedriger. Lassen Sie Datenverkehr an den RCON-Dienst nur innerhalb vertrauenswürdiger Netzwerke zu.

http://www.rotalarm.de/
Warnung: Cisco-Produkte haben festes Namen-Kennwort-Paar



[Hardware] Patches bereinigen den Fehler (http://www.golem.de/0404/30748.html) Cisco veröffentlichte ein Security Advisory, wonach die Wireless LAN Solution Engine (WLSE) und die Hosting Solution Engine (HSE) ein fest einprogrammiertes Paar aus Anmeldenamen und Kennwort enthalten. Somit könnten Angreifer unautorisierten Zugriff mit allen Rechten auf ein System erlangen, sofern das Name-Passwort-Paar bekannt ist. Eine manuelle Deaktivierung ist nicht möglich, so dass die bereitgestellten Patches installiert werden müssen.

Das Problem betrifft die Wireless LAN Solution Engine (WLSE) in den Versionen 2.0, 2.0.2 und 2.5 sowie die Hosting Solution Engine (HSE) der Versionen 1.7, 1.7.1, 1.7.2 und 1.7.3. Die Software enthält ein Benutzerkonto, das sich nicht deaktivieren lässt und bei dem sich auch das Kennwort nicht ändern lässt. Daher hilft nur, die von Cisco angebotenen Patches für WLSE und HSE zu installieren. Während WLSE WLAN-Infrastrukturen von Cisco verwaltet und überwacht, kümmert sich HSE um das Netzwerk-Management von Cisco-Geräten.

http://www.rotalarm.de/


#####


Angriff der Mail-Bürokratie



Viele große E-Mail-Server lassen sich für eine neuartige Art von Denial-of-Service-Angriffen missbrauchen, bei denen das Opfer mit Nachrichten über fehlgeschlagene Zustellungsversuche überflutet wird. Sie beruhen auf der Tatsache, dass viele Server auf eine Mail mit vielen ungültigen Adressen jeweils einzelne Fehlermeldungen versenden.

Eine Untersuchung von über 12000 zufällig ausgewählten Mail-Servern hat ergeben, dass sich circa 5 Prozent aller Mail-Server derart missbrauchen lässt. Diese Server akzeptieren alle Mails für ihren Domainnamen, haben keine erkennbare Obergrenze der Empfängeranzahl pro Mail und generieren pro ungültigen Empfänger eine Fehler-Mail inklusive Kopie des Originals mit allen Attachments. Bei größeren Organisationen sieht das Verhältnis noch schlechter aus. So lassen sich sehr viele Mailserver namhafter staatlicher Behörden im In- und Ausland sowie circa 30 Prozent der Fortune-500-Firmen für solche Attacken missbrauchen.

In einem Experiment wurde an 105 Server je eine Mail mit 1000 ungültigen Adressen und einem 10-KByte-Attachment verschickt. Das Gesamtvolumen des Versands betrug 3,6 MByte. Innerhalb weniger Stunden generierten diese Server über 80.000 Mails mit einem Gesamtvolumen von über 1,2 GByte. Die Absenderadresse der ursprünglichen Mail war gefälscht, die 80.000 Antworten hätten damit einen beliebigen Anwender treffen können.



In einem Artikel auf heise Security beschreibt der Autor der Studie, Stefan Frei, die Ursachen des Problems und wie es sich beseitigen lässt:

• Angriff via Mail -- Mail-Server als Verstärker für DoS-Angriffe

http://www.heise.de/security/news/meldung/46514


###

20 auf einen Streich: Microsoft patcht RPC & Co [Update]



Mit den Sicherheits-Updates für April behebt Microsoft eine ganze Reihe von Schwachstellen: drei kritische und ein als wichtig eingestuftes Bulletins zählen insgesamt 19 Löcher in Windows und eins Outlook Express auf. Microsoft empfiehlt dringend, die Updates einzuspielen und veröffentlicht diesmal sogar direkte Download-Adressen für die einzelnen Patches.

Das Security Bulletin MS04-011 ist ein Sammel-Advisory und beschreibt allein schon 14 Schwachstellen, die von LSASS und LDAP über das Hilfe-Center und den Win-Logon-Dienst bis hin zu SSL und den ASN.1-Parser reichen. Etwas konkretere Details enthüllt nur das englische Bulletin. Viele der Schwachstellen sind Buffer-Overflows und ermöglichen das Ausführen von Code übers Netz. Die Liste der Entdecker, bei denen sich Microsoft bedankt, liest sich wie ein Who-is-Who der Security-Branche: ISS, iDefense, eEye und Foundstone sind vertreten, aber auch die niederländische Firma LogicaCMG, weil sie bei Arbeiten für das holländische Finanzamt eine Schwachstelle im Task-Management von Windows XP entdeckt und gemeldet hat.

Etwas überschaubarer ist das Bulletin MS04-012, das insgesamt vier Schwachstellen in RPC/DCOM benennt. Bereits kurz nach der Lovsan/Blaster-Epedemie im letzten Jahr wurde bekannt, dass dieser Dienst weitere Löcher aufwies. Der Patch enthält auch die bisherigen RPC-Updates und ist ebenfalls als kritisch eingestuft.

Das dritte kritsche Update beschreibt das Bulletin MS04-013. Es beschäftigt sich mit einer Schwachstelle in der Art wie Outlook Express MHTML-URLs für Hilfedateien behandelt. Diese kann durch HTML-Mails ausgenutzt werden, um Code mit den Rechten des angemeldeten Benutzers auszuführen. Bisher ist nicht klar, ob der Patch auch das MHTML-Problem des Internet-Explorer beseitigt, das der c't-Browsercheck demonstriert und das diverse Web-Seiten aktiv ausnutzen, um Trojaner zu installieren.

Security Bulletin MS04-014 befasst sich mit einem Buffer Overflow in Microsofts Jet-Datenbankmodul. Obwohl es ebenfalls das Ausführen von fremdem Code übers Netz ermöglicht, stuft Microsoft die Bedeutung wegen der geringeren Verbreitung nur als hoch ein. Wer das Modul einsetzt, sollte trotzdem unbedingt den Patch installieren.

Update
Das in MS04-013 beschriebene Update für Outlook Express stopft auch die MHTML-Lücke im Internet Explorer. Warum Microsoft in seinem Bulletin nicht erwähnt, dass der kumulative Patch auch diesen Fehler beseitigt ist unklar. Schließlich beschreibt auch der verlinkte Eintrag in der Schwachstellendatenbank CVE nur den Internet Explorer. Attacken von Trojanern wie Ibiza und Bugbear.e laufen zukünftig bei gepatchen Browsern ins Leere.

Nebenbei hat Microsoft auch das zwei Jahre alte Bulletin MS02-011 aktualisiert und einen Patch für Windows NT bereit gestellt -- bislang gab es den Patch nur für Windows 2000 und Exchange Server 5.5. Auf verwundbaren Servern mit laufenden SMTP-Dienst lässt sich nämlich die Authentifizierung des Dienstes austricksen.

Siehe dazu auch:

• Microsofts deutsche Übersicht zu den April-Updates
• Microsofts englische Übersicht zu den April-Updates

http://www.heise.de/security/news/meldung/46474

####

Cisco kündigt besseres Verfahren zum WLAN-Schutz an



Cisco hat die Verfügbarkeit des verbesserten Verfahrens EAP-FAST zur Authentifizierung in Wireless LANs angekündigt. Das bislang eingesetzte Lightweight Extensible Authentication Protocol (LEAP) basiert auf einem Challenge-Response-Verfahren, ähnlich MS-CHAP, bei dem Challenge und Response jeweils mit einem geheimen Passwort verschlüsselt werden. Solche Verfahren lassen sich aber mit einfachen Wörterbuchattacken knacken. Bereits im August 2003 hatte Joshua Wright auf der Defcon 9 das Tool Asleap vorgestellt, das mittels Brute Force das Passwort für mitgeschnittende Pakete ermittelt. Cisco wies seinerzeit darauf hin, dass LEAP bei der Wahl ausreichend komplexer Passwörter sicher sei.

Ganz so sicher scheint sich Cisco dabei doch nicht zu sein. Nachdem vergangene Woche Wright den Sourcecode für Asleap veröffentlicht hat, zog Cisco nun mit EAP -- Flexible Authentication via Secure Tunneling (EAP-FAST) nach, das nicht für Wörterbuchattacken verwundbar ist. EAP-FAST baut einen kryptographisch gesicherten Tunnel auf, in dem dann unsicherere Verfahren Authentifizierungsdaten austauschen können. Alternativ zu EAP-FAST können Anwender auch auf die bereits verfügbaren Protokolle PEAP und EAP-TLS zurückgreifen, die allerdings eine Public-Key-Infrastruktur (PKI) zum Betrieb erfordern.



Siehe dazu auch:

• Ankündigung von Cisco
• A Comprehensive Review of 802.11 Wireless LAN Security von Cisco

http://www.heise.de/security/news/meldung/46479


#####


Hochleistungsrechner der Stanford University geknackt



Die IT-Sicherheitsabteilung der Stanford University (ITSS) hat nun einen Bericht über Einbrüche in die eigenen Hochleistungsrechner und die angeschlossener Institute veröffentlicht. Demzufolge seien Unbekannte in mehrere über Highspeed-Netzwerke zusammengeschaltete Linux- und Solaris-Maschinen eingedrungen. Unklar sei, seit wann die Einbrüche stattgefunden hätten. Aufgefallen seien die Angriffe am 3. April. Den Angreifern sei offenbar zunächst durch das Ausspähen und Knacken der Passwörter nicht-privilegierter Konten der Zugang zu den Systemen gelungen. Dort hätten sie dann bekannte lokale Sicherheitslücken ausgenutzt, unter anderem do_brk() und mremap() auf Linux sowie sadmind, passwd und das unautorisierte Laden von Kernelmodulen unter Solaris, um Administratorprivilegien zu erhalten.

In den vergangenen Monaten wurden diverse Open-Source-Projekte ebenfalls Opfer solcher Einbrüche, zuletzt das GNOME-Projekt. Das ITSS hat der Meldung eine Anleitung beigefügt, wie Betroffene feststellen können, ob ihr System ebenfalls kompromittiert wurde und wie mögliche Spuren zu sichern sind. Welche Tools man zur Computer-Forensik verwenden kann, beschreibt auch der Artikel Digitale Autopsie auf heise Security.

Siehe dazu auch:

• Multiple UNIX compromises on campus (ITSS Stanford)

http://www.heise.de/security/news/meldung/46485

####

Weitere Details zu Microsofts Security Bulletins



Da die Fehlerbeschreibung in Microsofts Security-Bulletins zu den neusten Patches für Sicherheislücken etwas dürftig ausfällt, stellt heise Security eine Linkliste zu den entsprechenden Veröffentlichungen der Entdecker bereit. Allerdings existiert nicht für jede Lücke ein publiziertes Advisory. Dafür gibt es für manche Lücken sogar Meldungen verschiedener Sicherheitsdienstleister, die für sich beanspruchen, als Erster die Lücke entdeckt zu haben.

Interessant sind die Termine der Benachrichtigungen (Vendor Notification) von Microsoft. Diese reichen von April 2003 bis April 2004. Die Lücken im RPC-Dienst sind seit September vergangenen Jahres bekannt, der Bug in LSASS seit Oktober und der MHTML-Fehler seit dem 18. Februar 2004. Diese Daten stehen in krassem Gegensatz zur Forrester-Studie über die Sicherheit von Windows und Linux, in der man bei Microsoft einen Mittelwert von 25 Tagen zwischen Bekanntgabe und Fix ermittelt haben will. Bei den nun veröffentlichten Patches liegt allein der kürzeste Zeitraum bei fast zwei Monaten (Meldung von NS-Focus).

• DCOM RPC Memory Leak von eEye
• DCOM RPC Race Condition von eEye
• Local Security Authority Service Remote Buffer Overflow von eEye
• Expand-Down Data Segment Local Privilege Escalation von eEye
• VDM TIB Local Privilege Escalation von eEye
• Metafile Heap Overflow von eEye
• Help and Support Center Argument Injection Vulnerability von IDefense
• SSL Library Remote Compromise Vulnerability (PCT, Private Communications Technology) von ISS X-Force
• RPC Race Condition Denial of Service von ISS X-Force
• Active Directory Stack Overflow von Core-Security
• ASN.1 Double Free Vulnerability von Foundstone
• DoS Vulnerability in Microsoft Windows SPNEGO Protocol Decoding (SPPNego) von NS-Focus

Weitere Tests der Patches in der heise-Security-Redaktion haben gezeigt, dass das Update aus MS04-013 zwar ebenfalls den MHTML-Bug im Internet Explorer behebt, Angriffe über die showhelp()-Funktion funktionieren aber weiterhin. Diese Lücke ist seit Ende 2003 bekannt. Ob der eigene Browser verwundbar ist, können Anwender mit dem c't-Browsercheck überprüfen.

Die Update-Seiten von Microsoft sind derzeit stark überlastet. Der Seitenaufbau kann schon mal einige Minuten in Anspruch nehmen.

Siehe dazu auch:

• 20 auf einen Streich: Microsoft patcht RPC & Co auf heise Security

http://www.heise.de/security/news/meldung/46489

Pufferüberlaufschwachstelle in der Microsoft Jet Database Engine

[ASP, JSP, SQL, CGI, PHP...] MS04-014: Sicherheitsanfälligkeit im Microsoft Jet-Datenbankmodul kann die Ausführung von Programmcode ermöglichen (837001) (http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1194) Im Microsoft-Advisory MS04-014 wird eine Schwachstelle im Microsoft Jet-Datenbankmodul Version 4.0 beschrieben, durch die Angreifer über eine speziell formulierte Datenbankanfrage, die über eine Applikation, die das Jet-Datenbankmodul benutzt, an eine Datenbank geschickt wird, das beherbergende Rechnersystem kompromittieren können (remote system compromise).

http://www.rotalarm.de/
Schwachstelle bei der Verarbeitung von MHTML-URLs



[online/Browser/Email] MS04-013: Kumulatives Sicherheitsupdate für Outlook Express (837009) (http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1193) Im Microsoft-Advisory MS04-013 wird eine Schwachstelle bei der Verarbeitung von MHTML-URLs beschrieben und ein Patch zur Verfügung gestellt. Die Schwachstelle betrifft den Internet Explorer sowie Outlook Express und kann bei der Betrachtung einer von einem Angreifer entsprechend formulierten Webseite oder HTML-E-Mail-Nachricht zur Ausführung beliebigen Programmcodes mit den Privilegien des Benutzers ausgenutzt werden (remote user compromise).

http://www.rotalarm.de/
Kumulativer Patch für Microsoft RPC/DCOM

[Microsoft Windows] MS04-012: Kumulatives Update für Microsoft RPC/DCOM (828741) (http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1192) Im Microsoft-Advisory MS04-012 werden mehrere bislang nicht veröffentlichte RPC/DCOM-Schwachstellen beschrieben, über die z.T. die Kompromittierung betroffener Systeme möglich ist. Microsoft stellt einen kumulativen RPC/DCOM-Patch zur Verfügung.

http://www.rotalarm.de/
Sammelpatch behebt zahlreiche kritische Schwachstellen

[Microsoft Windows] MS04-011: Sicherheitsupdate für Microsoft Windows (835732) (http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1191) Im Microsoft-Advisory MS04-011 werden zahlreiche kritische Schwachstellen in Microsoft-Windows-Betriebssystemen beschrieben und ein Sammelpatch zur Verfügung gestellt. Einige der beschriebenen Schwachstellen erlauben einem Angreifer eine Kompromittierung des beherbergenden Rechnersystems: CAN-2003-0533, CAN-2003-0663, CAN-2003-0719, CAN-2003-0806, CAN-2003-0906, CAN-2003-0907, CAN-2003-0908, CAN-2003-0909, CAN-2003-0910, CAN-2004-0117, CAN-2004-0118, CAN-2004-0119, CAN-2004-0120, CAN-2004-0123.

http://www.rotalarm.de/###

Linux-Distributoren reagieren auf Kernel-Schwachstelle



Für das von iDefense gemeldete Sicherheitsloch im Linux-Kernel stellen die großen Linux-Distributoren Updates zur Verfügung. Über die Sicherheitslücke können Angreifer mit gültigem Benutzerkonto Root-Rechte erlangen. Für Debian, Suse, Fedora und Mandrake gibt es aktualisierte Kernel-Pakete, in denen der Fehler behoben ist. Laut iDefense erfolgte die erste Benachrichtigung der Distributoren am 20. Februar, das Advisory steht der Öffentlichkeit seit dem gestrigen Mittwoch zur Verfügung.



Siehe dazu auch:

• Advisory und Kernel-Updates von Debian
• Kernel-Updates von Fedora
• Advisory und Kernel-Updates von Mandrake
• Advisory und Kernel-Updates von Suse

http://www.heise.de/security/news/meldung/46539

++++


Der gläserne Web.de-Nutzer



Durch einen Fehler in einer Funktion zur Adressbuchverwaltung ließen sich beim Freemail-Provider Web.de die persönlichen Daten von registrierten Nutzern abrufen. Dazu genügte es, eine bestimmte URL aufzurufen und danach "Meine Daten" anzuwählen. Dabei landete man circa jedes dritte Mal im Verwaltungsmenü eines zufälligen Web.de-Nutzers. Dort konnte man dann persönliche Daten wie Adresse, Telefonnummer und -- falls vorhanden -- auch die Bankverbindung und Einkäufe bei Web.de einsehen. Änderungen konnte man allerdings nicht vornehmen; dazu wäre die Eingabe der Passworts erforderlich gewesen.



Der Fehler lag in einer Funktion zum Vervollständigen von Adressbucheinträgen, bei der ein Dritter seine eigene Adresse bei Web.de-Nutzern ergänzen kann. Der Bug ist mittlerweile beseitigt.

http://www.heise.de/security/news/meldung/46528

####

Sicherheitsloch in Linux-Kernel 2.4 und 2.6



Das Sicherheitsunternehmen iDefense berichtet über ein Sicherheitsloch im Linux-Kernel, durch dessen Ausnutzung Angreifer mit einem gültigen Benutzerkonto ihre Rechte ausweiten können. Das Problem besteht im ISO9660-Dateisystem bei der Behandlung von symbolischen Links, da deren Länge nicht überprüft wird.

Durch das Setzen von überlangen Links auf eine CD-ROM entsteht ein Buffer Overflow, über den die Angreifer Root-Rechte erlangen können. Betroffen sind Kernel 2.4.25 oder früher sowie 2.6.5 oder vorherige 2.6-Versionen. In den Kernel-Versionen 2.4.26 und 2.6.6-rc1 ist der Fehler bereits behoben. Ein zusätzlicher Workaround besteht darin, Nutzern das Mounten von CD-ROMs zu verbieten.

Dass auch lokale Sicherheitslücken gefährlich sein können, zeigte gerade wieder einmal der Vorfall an der Stanford University; Unbekannte hatten sich über Sicherheitlücken wie do_brk() und mremap() Administratorrechte auf dem Uni-Hochleistungsrechner verschafft.



Siehe dazu auch:

• Advisory von iDefense
• Aktuelle Kernel-Versionen von kernel.org

http://www.heise.de/security/news/meldung/46529

Onlinehändler Amazon liefert Informationen an US-Geheimdienste
Amazon --- bislang auch meine erste Wahl für Onlineshopping von Büchern und DVDs --- speichert einen Teil seiner Daten auf Servern in den USA. Obwohl die Datenschutzerklärungen für beide Länder, Deutschland und die US, ähnlich klingen, haben folgende Phrasen unterschiedliche Auswirkungen:

Amazon schrieb:

- Wir geben Kundenkonten und persönliche Daten über Kunden bekannt, wenn wir hierzu gesetzlich verpflichtet sind
- We release account and other personal information when we believe release is appropriate to comply with the law.

Zum Vergrößern anklicken....

In den USA können aufgrund des PATRIOT Acts die US-Geheimdienste (z.B. FBI, NSA) bei auch nur absurd vagem "Terrorismusverdacht" nach einer geheimen Gerichtsverhandlung ohne Revisionsmöglichkeit auf die Amazon-Daten zugreifen. Dabei wurde bereits einmal einer Frau die Einreise in die USA verweigert aufgrund dessen, was bei Amazon über sie in Erfahrung zu bringen war.
Wirklich kritisch wird das ganze durch die Suchmaschine, die Amazon z.Z. einführt. Diese speichert nämlich alle Suchen ab, damit später ein Dienst nach dem Motto "Leute, die danach gesucht haben, haben auch nach dem folgenden gesucht:..." angeboten werden kann. Die abgespeicherten Suchergebnisse stehen also ebenfalls den US-Geheimdiensten zur freien Verfügung, da auch sie in den USA gespeichert werden könnten. Ich kann es schon kommen sehen..."Tut mir leid, sie können nicht in die USA einreisen. Wir müssen sie ohne Gerichtsverhandlung nach Guantanamo schicken, da sie US-feindliche Websites besucht haben und somit ein potentieller Terrorist sind."
Zugegeben, das ist überzogen, aber das Konzept kann genau so ablaufen. Ich persönlich habe nicht vor, in nächster Zeit in die USA zu reisen, mir ist recht mulmig bei deren Gesetzgebung.

Quelle, ein Heise/Telepolis-Artikel mit vielen weiterführenden Informationen: http://www.heise.de/tp/deutsch/inhalt/te/17210/1.html

Studie: Spyware ist stark verbreitet



Der US-amerikanische Provider Earthlink und Webroot Software haben zum ersten Mal eine Spyware-Analyse erstellt. Dafür haben sie im vergangenen Quartal rund eine Million Computer gescannt und dabei etwa 29 Millionen Vorkommen von Spyware festgestellt. 23 Millionen davon seien allein Adware-Cookies gewesen, heißt es in einer Mitteilung. Für Earthlink-Manager Matt Cobb ist es beunruhigend, dass über 300.000 Fälle von Trojanern und Systemüberwachungsprogrammen gefunden wurden.

Experten vermuten laut Earthlink, dass 90 Prozent aller Computer, die mit dem Internet verbunden sind, mit Spyware infiziert seien. Der SpyAudit-Report soll künftig regelmäßig erstellt werden, damit Vergleichszahlen zur Verfügung stehen. Sinn der Sache ist laut Christine Stevenson, bei Webroot Software für Marketing zuständig, die steigende Verbreitung von Spyware aufzuzeigen und die Öffentlichkeit über die Risiken aufzuklären. Ein erwünschter Nebeneffekt dürfte sein, dass das Unternehmen mehr Anti-Spyware-Software verkauft.


http://www.heise.de/security/news/meldung/46576

####

Fehler im Concurrent Versions System gefährdet Clients



Im Concurrent Versions System (CVS) sind jeweils eine Sicherheitslücke im Server und im Client enthalten. Nutzt ein Server die Lücke im Client aus, kann er beliebige Dateien dort erzeugen oder überschreiben. Schuld ist die fehlerhafte Überprüfung der Pfadnamen beim Checkout oder Update über ein Netzwerk. Allerdings muss ein Anwender sich mit einem manipulierten Server verbinden.

Durch den Fehler im Server sind authentisierte Benutzer in der Lage, beliebige RCS-Dateien (Revision Control System) außerhalb des CVS-Wurzelverzeichnisses einzusehen. Betroffen sind alle Version von CVS. Die Fehler sind in der aktualisierten Version 1.11.15 stable sowie 1.12.7 development behoben. Die Linux-Distributoren und FreeBSD haben bereits aktuelle Pakete zum Download bereit gestellt. Allerdings ist laut Advisories in einigen Distributionen nur der Fehler im Client beseitigt worden.

CVS und RCS sind Systeme zum Bearbeiten und Verwalten verschiedener Versionsstände von Dateien und werden meist zur Entwicklung in Softwareprojekten eingesetzt. Ein Check-in/Check-out-System sorgt dabei für den kontrollierten Zugriff. Anders als RCS können bei CVS mehrere Benutzer gleichzeitig auf eine Datei zugreifen. CVS bietet zusätzlich eine direkte Netzwerkunterstützung an, die aber bei RCS über NFS oder Samba-Shares nachgebildet werden kann. CVS war in früheren Versionen ein Wrapper um RCS. Seit einigen Jahren ist CVS ein eigenständiges Projekt, benutzt aber immer noch eine RCS-Dateistruktur.

Siehe dazu auch:

• Security Advisory auf CVSHome.org

http://www.heise.de/security/news/meldung/46556

####

Mail-Wurm lädt Code über Lücke im Internet Explorer nach



Der Mail-Wurm Netsky.V nutzt eine Lücke im Internet Explorer aus, um Windows-Systeme zu infizieren. Anders als simpel gestrickte Mass-Mailing-Würmer versteckt er sich nicht im Anhang einer E-Mail, sondern lädt den Schädlingscode von anderen infizierten Rechnern aus dem Internet nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so reicht dazu das Ansehen der Mail aus.

Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und in dessen Kontext auszuführen. Bereits Bagle.Q griff auf diesen Trick zurück. Der Patch von Microsoft, um diese Lücke zu stopfen, steht seit Anfang Oktober 2003 zur Verfügung.

Auf befallenen Systemen installiert der Wurm einen HTTP-Server, der auf Port 5556 auf eingehende Verbindungen horcht sowie auf Port 5557 einen FTP-Server. Ruft ein System, auf dem gerade eine Netsky.V-Mail geöffnet ist, über einen versteckten Link (http://IP-Adresse-infizierter-PC:5557/index.html) die index.html ab, so sendet der HTTP-Server eine Seite mit manipuliertem Code, der den Windows-FTP-Client startet. Der lädt dann vom FTP-Server den eigentlichen Schädlingscode.

Zwischen dem 22. und 29. April startet der Wurm eine Denial-of-Service-Attacke gegen www.keygen.us, www.freemule.net, www.kazaa.com, www.emule.de und www.cracks.am. Schon die letzte DoS-Attacke von Netsky.Q gegen einige dieser Seiten zeigte ihre Wirkung.

Obwohl der Wurm bislang noch keine starke Verbreitung gefunden hat, sollten Anwender den erwähnten Patch einspielen. Die Hersteller von Antivirensoftware haben aktualisierte Signaturen bereitgestellt. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security



Siehe dazu auch:

• Wurmbeschreibung von CA
• Wurmbeschreibung von NAI
• Wurmbeschreibung von Symantec

http://www.heise.de/security/news/meldung/46563


###

Cisco weist auf Exploits für IPSec-Implementierungen hin



Cisco hat eine Security Notice herausgegeben, die auf veröffentlichten Proof-of-Concept-Code hinweist, mit dem sich Group Passwords bei Cisco-IPSec-VPN-Clients unter Linux und Windows ermitteln lassen. Die Passwörter sind zwar auf der Festplatte verschlüsselt abgelegt, nicht aber im Speicher. Außerdem ist Code aufgetaucht, der eine Schwachstelle in Ciscos IKE-Implementierung ausnutzt, um eine Man-in-the-Middle-Attacke (MITM) durchzuführen. Angreifer, die im Besitz eines gültigen Group Passwords sind, können sich als VPN-Server ausgeben, um Verbindungen über den eigenen Rechner umzuleiten. Group Passwords sind äquivalent zu Pre-Shared Secrets und ermöglichen die Autorisierung ohne Zertifikate. Zusätzlich unterstützt Cisco aber noch das XAUTH-Protokoll, um verschiedene Benutzer unterscheiden zu können.

Die Fehler sind bereits seit Dezember 2003 bekannt und wurden auf Bugtraq diskutiert. Eine Lösung für die Probleme existiert derzeit nicht, Cisco rät aber davon ab, Group Passwords zu verwenden. Stattdessen sollte in Szenarien mit mehreren Benutzern aus Sicherheitsgründen eine Public-Key-Infrastruktur zum Einsatz kommen. Cisco entwickelt nach eigenen Angaben aber bereits eine verbesserte Software für den VPN 3000 Concentrator, den VPN-Client und den VPN 3002 Hardware Client, die MITM-Attacken durch zusätzliche Secrets verhindern soll. Diese soll im dritten Quartal 2004 erhältlich sein.



Siehe dazu auch:

• Security Notice von Cisco
• Security Advisory auf Bugtraq

http://www.heise.de/security/news/meldung/46566

Förderpreis für IT-Sicherheit ausgelobt



Der Förderpreis des Darmstädter CAST-Forums ist dieses Jahr -- wie in den Vorjahren -- wieder mit insgesamt 18 000 Euro dotiert. Der Förderpreis wurde Ende 2000 ins Leben gerufen, um innovative Arbeiten von Studenten zu belohnen und das Interesse für das wichtige Thema IT-Sicherheit zu steigern. Das CAST-Forum (Competence Center for Applied Security Technology) ist beim Fraunhofer-Institut für Graphische Datenverarbeitung in Darmstadt angesiedelt und will mit dem Preis zielgerichtet den Nachwuchs fördern. Im Blickpunkt stehen wieder Schutzlösungen aus Opensource-Komponenten sowie Kryptografieanwendungen, wie bei den Preisträgern aus dem letzten Jahr.

http://www.heise.de/security/news/meldung/46605

[size=+1]IT-Grundschutzhandbuch
Oktober 2003[/size]







Das Grundschutzhandbuch hier als Word-Dokument (gezippte Versionen). Unterteilt in:
Anhang Bausteine Maßnahmen Gefährdungen Das Grundschutzhandbuch hier als PDF-Dokument (gezippte Versionen ca. 35 MB).





Fg

Förderpreis für IT-Sicherheit ausgelobt



Der Förderpreis des Darmstädter CAST-Forums ist dieses Jahr -- wie in den Vorjahren -- wieder mit insgesamt 18 000 Euro dotiert. Der Förderpreis wurde Ende 2000 ins Leben gerufen, um innovative Arbeiten von Studenten zu belohnen und das Interesse für das wichtige Thema IT-Sicherheit zu steigern. Das CAST-Forum (Competence Center for Applied Security Technology) ist beim Fraunhofer-Institut für Graphische Datenverarbeitung in Darmstadt angesiedelt und will mit dem Preis zielgerichtet den Nachwuchs fördern. Im Blickpunkt stehen wieder Schutzlösungen aus Opensource-Komponenten sowie Kryptografieanwendungen, wie bei den Preisträgern aus dem letzten Jahr.

(cm/c't)
http://www.heise.de/security/news/meldung/46605

''''

Microsoft-Patch verhindert Verschlüsselung des Internet Explorer



Auf der Sicherheitsmailingliste Full Disclosure gibt es mehrere Postings, die darauf hinweisen, dass der jüngst im Security Bulletin MS04-011 empfohlene Sammelpatch -- zum Stopfen mehrerer Sicherheitslücken in Windows -- die SSL-Verschlüsselung des Internet Explorer 6 unbrauchbar macht. In der Folge kann der Browser nicht mehr mit SSL-gesicherten Servern (https://) kommunizieren, da die Verschlüsselungsstärke nur mit 0 Bit verfügbar ist anstatt der nötigen 128 Bit.

Den Meldungen nach soll aber nur Windows Server 2003 von dem Problem betroffen sein. Der Knowledge Base Artikel 261328 widmet sich dem Problem, das in der Vergangenheit bereits unter Windows 95, 98 und ME aufgetreten ist. Die dort aufgeführte Lösung funktioniert allerdings nicht unter Windows Server 2003. Abhilfe schafft derzeit nur die De-Installation des kumulativen Patches. Allerdings bleiben dann 14 -- teilweise kritische -- Sicherheitslücken offen. Alternativ können Anwender auf andere Browser, etwa Mozilla oder Opera, zurückgreifen.

Auf Bugtraq ist derweil ein Proof-of-Concept-Exploit für die SSL-Sicherheitslücke unter Windows erschienen. Auf nicht gepatchte Rechner angewandt soll der Exploit zum Absturz des Systems führen. Insbesondere Microsofts Internet Information Server dürfte nun verstärktem Beschuss aus dem Internet ausgesetzt sein. Administratoren sollten, sofern noch nicht geschehen, den Patch aus MS04-011 installieren -- auch wenn das System Windows Server 2003 heißt.



Siehe dazu auch:

• Security Advisory auf Full Disclosure

http://www.heise.de/security/news/meldung/46620

''''''###

Sicherheitslücken in WebDAV-Clients neon und cadaver



Die Open-Source-WebDAV-Clients neon und cadaver enthalten Fehler, mit denen ein manipulierter WebDAV-Server beliebigen Code auf den Client schreiben und im Kontext des Client ausführen kann. Die Fehler basieren auf Format-String-Schwachstellen bei der Verarbeitung von bestimmten XML-Paketen, mit denen sich Daten einschleusen lassen. Betroffen sind neon bis einschließlich Version 0.24.4 und cadaver bis einschließlich 0.22.0. In Neon 0.24.5 in cadaver 0.22.1 sind die Fehler beseitigt.

WebDAV (Web-based Distributed Authoring and Versioning) erweitert das HTTP-Protokoll um Funktionen, mit denen Anwender gemeinsam auf Dateien auf einem Webserver zugreifen können, etwa zur Bearbeitung und Verwaltung.

Siehe dazu auch:

• Changelog zu neon
• Changelog zu cadaver

http://www.heise.de/security/news/meldung/46623


###

Superwurm mit öffentlichem Quelltext



Phatbot ist der Nachfolger zu Agobot, ein Schädling mit äußerst komplexen Funktionen. Er kann Rechner übernehmen und für quasi beliebige Zwecke missbrauchen. Phatbot kann in fremde Rechner über bekannte Sicherheitslücken wie die Windows RPC-Lücke eindringen, um Systeme ohne Zutun des Anwenders zu infizieren, sofern keine entsprechenden Sicherheitspatches installiert sind. Besonders problematisch: Der Quellcode wurde über ein Web-Forum veröffentlicht und steht als öffentlicher Download zur Verfügung.

Im Grunde kombiniert Phatbot alle typischen Funktionen aus vergangenen Schädlingen: Er verbreitet sich nicht nur über herkömmliche Verbreitungswege wie Netzwerkfreigaben, sondern vermag ebenso nach Hintertüren von den Mail-Würmern MyDoom und Bagle sowie dem Trojaner-Toolkit Optix Pro zu suchen, um anfällige Rechner darüber zu infizieren. Über einen umfangreichen Befehlssatz können durch den Bot infizierte Systeme ferngesteuert werden. Dabei benutzt er ein dynamisch erweiterbares Modell, um Befehle zu registrieren. Sollten neue Exploits auftauchen, können die Bot-Instanzen diese automatisch nachladen und installieren.

Die Liste der Features von Phatbot ist nahezu unüberschaubar: Er kann automatisch CD-Keys von populären Spielen extrahieren oder als Drohne in einem IRC-Botnetz eingesetzt werden. Phatbot bringt dabei Rootkit-Funktionen für Windows mit (Process Hide), um seine Existenz zu verbergen. Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig. Schließlich können sich die einzelnen Clients in einem Peer-to-Peer-Netzwerk organisieren und den Verkehr SSL-verschlüsselt übertragen.

Die Antiviren-Hersteller sehen das Hauptproblem aber weniger in der Komplexität des Schädlings als vielmehr in der Verfügbarkeit des Quellcodes. "Wir müssen befürchten, dass sich bald jedes Script-Kiddie eine eigene Variante des Phatbots zusammenklicken kann", sagte Eric Chien, Leiter der europäischen Zentrale des Security Response Center von Symantec, gegenüber heise Security. Da der Bot gleich ein grafisches Konfigurationstool mitbringt, ist das auch für unerfahrene Anwender mit wenig Aufwand zu realisieren.

Die Gefahr ist mehr als nur theoretisch: Schon bevor der Quellcode verfügbar war, sind binnen Wochen über 200 Agobot-Varianten in freier Wildbahn aufgetaucht. Sophos beispielsweise führt 221 Agobot-Varianten in seiner Datenbank. Geht man nach den Varianten-Bezeichnungen von Trend Micro, die mittlerweile bei Agobot.ZX angekommen sind, gibt es bereits 675 registrierte Varianten. Aufgrund des offenen Quellcodes ist jetzt zu befürchten, dass neue Varianten noch schneller und häufiger auftauchen werden.

Der Quellcode von Phatbot wurde letzte Woche über ein öffentliches Web-Forum der Virenszene veröffentlicht -- zweifellos war das aber nicht im Sinne der Programmierer. Der Quellcode ist auch nicht ganz sauber, er wurde offenbar leicht abgeändert, um eine Out-of-the-Box-Funktion zu verhindern. Für findige Bastler sollte es aber kein Problem sein, den Bot voll funktionsfähig zu machen.

Virenscanner mit aktuellen Signaturen erkennen zwar auch die aktuell bekannten Agobot-Varianten, jedoch ist es mit dem Quellcode kein größeres Problem, Varianten in beliebiger Menge zu erstellen, die von den Scannern nicht erkannt werden -- welcher Virenscanner kann schon ein ganzes Programm zerlegen?


http://www.heise.de/security/news/meldung/46634

Weitere Lücke in Linux-Kernel 2.4 und 2.6



Paul Starzetz und Wojciech Purczynski von ISEC Security Research haben am heutigen Dienstag ein Advisory veröffentlicht, in dem sie auf eine weitere Sicherheitslücke im Linux-Kernel der Versionen 2.4.22 bis einschließlich 2.4.25 und 2.6.1 bis einschließlich 2.6.3 hinweisen. Im Modul net/ipv4/ip_sockglue.c lässt sich in der Funktion ip_setsockopt() -- genauer MCAST_MSFILTER zur Übergabe von Multicast-Adressen -- ein Integer Overflow provozieren, mit dem Teile des Kernelspeichers überschrieben werden können. Nutzt ein Angreifer mit einem gültigen Benutzerkonto die Lücke erfolgreich aus, erhält er Root-Rechte. Ein fehlgeschlagener Angriff führt zum Absturz oder Reboot des Systems.

Der Fehler ist in den Versionen 2.4.26 und 2.6.4 des Linux-Kernels nicht mehr enthalten. Im Changelog zu 2.4.26 weist allerdings nur ein Eintrag auf eine Änderung im MSFILTER-Code hin: [IGMP/MLD] Verify MSFILTER option length. Auch die Linux-Distributoren haben in ihren kürzlich aktualisierten Kernel-Paketen nur den Fehler im ISO9660-Dateisystem aufgeführt.

Nach Aussage von Starzetz gegenüber heise Security waren sich die Kernel-Entwickler nicht darüber im Klaren, dass sich der Fehler durch Angreifer ausnutzen ließ. Laut ISEC-Advisory will Purczynski aber einen Exploit für die Lücke entwickelt haben -- ob damit Root-Rechte möglich sind, lässt das Advisory offen.



Siehe dazu auch:

• Security Advisory von ISEC

http://www.heise.de/security/news/meldung/46692


####

Betrügerische Mails auf dem Vormarsch



Nach Angaben von Messagelabs, Provider für sichere E-Mail, hat in den vergangenen Monaten die Zahl betrügerischer E-Mails sprunghaft zugenommen. So genannte Phishing-Mails ("Fishing" ausgesprochen) täuschen eine seriöse Herkunft vor -- meist von Banken, Kreditkarteninstituten, Online-Auktionshäusern- und Bezahldiensten -- und fordern den Empfänger zur Eingabe persönlicher Daten, Passwörter, Kreditkartennummern und PIN-Codes auf. Dazu wird der Anwender entweder auf eine präparierte Webseite geleitet oder ein entsprechendes HTML-Formular in der Mail nimmt die Daten auf.

Zur Tarnung bedienen sich die Betrüger unter anderem diverser Schwachstellen in Browsern, etwa dem URL-Spoofing oder speziellen JavaScripten. Die eingegebenen Daten landen dann natürlich nicht bei der Bank, sondern bei Kriminellen, die mit den Informationen auf Kosten des Opfers einkaufen gehen. Nach Angaben der Anti-Phishing Working Group (APWG) fielen bis zu fünf Prozent der Empfänger auf solche Tricks herein.

Zählte Messagelabs im September 2003 noch 279 deratige Mails, so waren es im Januar 2004 bereits 337.050. Mittlerweile seien diese auf 215.643 im März zurückgegangen, so der Dienstleister. Die im November 2003 gegründete APWG veröffentlicht regelmäßig Trends und Statistiken, welche gefälschten Mails unterwegs sind. Aktuell warnt die APWG vor gefälschten Mails, die vorgegeben, vom Dienstleister PayPal zu stammen.



Siehe dazu auch:

• März-Report der APWG

http://www.heise.de/security/news/meldung/46664


###


Schwachstellen in Fehlerdatenbank phpBugTracker



In der Fehlerdatenbank phpBugTracker sind mehrere Schwachstellen enthalten. Angreifer können eigene Kommandos an die Datenbank (SQL-Injection) übergeben, da die Module user.php, bug.php und query.php Benutzereingaben nicht richtig filtern. Des Weiteren ist laut Advisory des Sicherheitsspezialisten JeiAr auch das Einfügen von eigenen Skripten in erstellte Fehlerberichte möglich, die etwa beim Öffnen durch einen Administrator auf entsprechende administrative Funktionen zugreifen. Betroffen ist Version 0.9.1 und eventuell vorhergehende. Auf phpsecure ist ein Patch erschienen, der die Fehler beseitigt



Siehe dazu auch:

• Security Advisory auf Gulftech

http://www.heise.de/security/news/meldung/46654




####

Fehler in Plug-in für Webmailer Squirrelmail ermöglicht Systemzugriff



Aufgrund eines Fehlers im change_password-Plug-in des Webmailers Squirrelmail ist es lokalen Nutzern möglich, ihre Zugriffsrechte zu erhöhen. Zu lange Passworte provozieren einen Buffer Overflow im chpasswd-Binary des Moduls, mit dem Angreifer eigenen Code auf den Stack schreiben und ausführen können.

Ein Demo-Exploit ist dazu bereits auf Bugtraq erschienen. Zudem soll es eventuell möglich sein, diesen Fehler auch über das Webfrontend auszunutzen. Die Entwickler von Squirrelmail weisen darauf hin, dass das Plug-in nicht Bestandteil der Standardinstallation von Squirrelmail ist und auch nicht von ihnen betreut werde. Betroffen sind die aktuelle und vorherige Versionen des Plug-ins. Ein Patch existiert nicht, Anwender sollten das fehlerhafte Plug-in deinstallieren



Siehe dazu auch:

• Security Advisory auf Bugtraq

http://www.heise.de/security/news/meldung/46650

####

TCP-Schwachstelle ermöglicht Reset-Attacken auf Internet-Schaltstellen



Bekannte Schwachstellen im Transmission Control Protocol (TCP) lassen sich weit einfacher ausnutzen als bislang vermutet. Alle TCP-Implementationen, die sich an die RFC-Standards (darunter RFC 793, der Original-Standard für TCP, und RFC 1323) halten, sind davon betroffen.

Durch die Lücke lassen sich bei TCP-Verbindungen ein Reset auslösen -- eigentlich ein erwünschtes und definiertes Feature von TCP laut den Standard-Dokumenten. Die Pakete, die einen Reset der Verbindung auslösen, müssen dafür aber bei Ziel- und Absender-Adresse sowie bei Ziel- und Source-Port mit den Angaben der bereits bestehenden Verbindung übereinstimmen. Allerdings können dadurch, dass sich IP-Adresse des Senders und der TCP-Port fälschen lassen, Angreifer, die eigentlich keine Berechtigung für ein Reset-Packet haben, einen so genannten Reset-Angriff fahren. Dieser führt im schlimmsten Fall zu einen Denial-of-Service der zentralen Internet-Router.

Die Schwachstelle wird nun doch als schwerwiegend eingestuft, da sich einfacher als ursprünglich gedacht DoS-Attacken auf Geräte mit klassischer TCP-Implementation fahren lassen. Wie schwerwiegend sich das Problem bei Geräten einzelner Hersteller auswirkt, hängt allerdings von der genauen Umsetzung der jeweiligen Anwendung ab. Möglicherweise wird die Verbindung automatisch wieder aufgebaut, in anderen Fällen kann aber ein Eingriff eines Administrators dafür notwendig werden.

Details zu der Schwachstelle hat das britische National Infrastructure Co-ordination Center (NISCC) auf Basis eines Artikels von Paul A. Watson ("Slipping In The Window: TCP Reset Attacks") herausgegeben. Er schätzt die Wahrscheinlichkeit, eine für den Angriff notwendige Paket-Nummer in der zulässigen Sequenz zu erraten, weit höher als bislang angenommen ein. Da der empfangende TCP-Stack die Sequenz-Nummer (ein 32-Bit-Wert) des eingehenden Pakets überprüft, ging man bislang von einer Wahrscheinlichkeit von 1/232 aus, dass ein Angreifer die richtige Sequenznummer erraten kann. Watson weist aber darauf hin, dass der empfangende TCP-Stack jede Sequenz-Nummer in einem bestimmten Bereich akzeptiert. Ein Angreifer müsse daher lediglich 65.535 RST-Segmente erzeugen, um mit einer Attacke erfolgreich zu sein.

Von der Internet Engineering Task Force liegt bereits ein Draft vor, der einige kleinere Änderungen in der Methode vorschlägt, wie TCP eingehende Segmente behandelt. Auch Cisco hat bereits Dokumente für IOS- und Nicht-IOS-Produkte veröffentlicht, die die Schwachstelle beschreiben und Hinweise zur Behebung beziehungsweise auf in den nächsten Tagen verfügbare Software-Updates geben. Das Advisory des NISCC geht davon aus, dass Geräte, die das Border Gateway Protocol (BGP) einsetzen, am stärksten durch die Schwachstelle bedroht sind. BGP ist immer noch als eines der meistgenutzten Routing-Protokolle zwischen den zentralen Internet-Routern, es setzt eine persistente TCP-Verbindung zwischen den BGP-Kommunikationspartnern voraus.



Siehe dazu auch:

• Vulnerability Issues in TCP -- NISCC Vulnerability Advisory 236929
• Transmission Control Protocol security considerations -- IETF draft-ietf-tcpm-tcpsecure-00
• TCP Vulnerabilities in Multiple Non-IOS Cisco Products -- Cisco Security Advisory
• TCP Vulnerabilities in Multiple IOS-Based Cisco Products -- Cisco Security Advisory

http://www.heise.de/security/news/meldung/46706

Sicherheitslücke in Yahoo Mail gestopft



eEye Digital Security hat eine Sicherheitslücke in Yahoo Mail gemeldet, mit der sich die Anti-Scripting-Filter des Dienstes austricksen lassen. Angreifern ist es so möglich, in HTML-Mails eingebetteten Scripting-Code auf dem System eines Anwenders in dessen Kontext auszuführen, wenn dieser eine Mail anschaut und Scripting aktiviert ist. Nach Angaben von eEye ist damit der Zugriff auf Authentifizierungs-Cookies möglich, um die Identität des Opfers zu übernehmen. Ferner können auf diese Weise auch gefälschte E-Mails versandt werden.

Der Trick ist eigentlich recht simpel: Bei Mails, die größer als 100 KByte sind -- exklusive Attachment-- , versagt der Filter, der eigentlich HTML- und Scripting-Code blocken sollte. Drew Copley, Verfasser des Advisorys, findet es nach eigenen Angaben bemerkenswert, dass niemand diesen Fehler bisher entdeckt hat. Laut Copley sei Yahoo bereits über das Problem informiert und habe es mittlerweile beseitigt.



Siehe dazu auch:

• Security Advisory von eEye

http://www.heise.de/security/news/meldung/46749

###

Weitere Details und Schutzmaßnahmen zur TCP-Schwachstelle



Dass TCP ein unsicheres Protokoll ist und mehrere Schwachstellen enthält, ist nicht wirklich neu. TCP ordnet einzelne Pakete einer Verbindung aufgrund der Sequenznummern zu. So lassen sich Daten in bestehenden Verbindungen manipulieren, indem man denselben TCP-Header mit veränderten Nutzdaten sendet. Ein Angreifer muss dazu nur die initiale Sequenznummer -- also den Startwert der Sequenznummer (Initial Sequence Number ISN) -- der Verbindung erraten und davon ausgehend selbst eine aktuell gültige Sequenznummer errechnen. Frühere Implementierungen nach RFC 793 generierten ISNs durch das Erhöhen interner Zähler, womit sie leicht vorhersagbar waren. Hat man eine bestehende Verbindung zu einem Server, so kann man anhand seiner eigenen ISN die ISN anderer Verbindungen erraten. Die darauf basierenden TCP-Sequenznummerattacken sind seit 1985 bekannt. Um das Vorhersagen der Nummern zu erschweren, greift man heute auf Pseudo-Zufallszahlen-Generatoren zurück.

Allerdings wies schon im März 2001 CERT/CC auf die statistische Schwäche von TCP-Sequenznummern-Generatoren in der Implementierung einiger Hersteller hin: Mit statistischen Analysen ließen sich die ISNs trotzdem erraten. Paul Watson hat dazu nun weitergehende Untersuchungen angestellt und die TCP-Window-Size zur Vorhersage hinzugezogen. Ergebnis ist der Artikel "Slipping In The Window: TCP Reset Attacks" und ein Proof-of-Concept-Tool, um TCP-Verbindungen unautorisiert zu beenden. Allerdings sind RST-Attacken auch schon seit 1995 bekannt: Simple Active Attack Against TCP.

RST-Pakete zum Beenden einer Verbindung sind an sich nichts Schlimmes, lassen sich aber mit obigen Tricks für Denial-of-Service-Attacken verwenden. Meist sind die Auswirkungen gering: Wird eine Client-Server-Verbindung terminiert, so baut sie der Client automatisch wieder auf. Anders bei Verbindungen zwischen Internet-Routern die das Border Gateway Protocol (BGP) zur Übertragung von Routing-Informationen verwenden. BGP benutzt langlebige persistente Verbindungen, die oft nicht einmal kryptographisch geschützt sind. Nach dem Abbruch einer Verbindung nimmt der Router zwar sofort wieder Kontakt mit seinen Nachbarn auf, allerdings aktualisiert er erst einmal seine Routing-Tabelle -- und das kann dauern. In der Folge kann das Routing in Teilen des Internet für kurze Zeit zusammenbrechen.

Paul Watson hat eine Überschlagsrechnung angestellt, wie schnell ein solcher Angriff vonstatten geht: Mit einer DSL-Verbindung sei es möglich, alle 5 Minuten ein gültiges Paket zum Beenden einer BGP-Session zu verschicken, mit einer T1-Leitung (1,544 MBit/s) sogar alle 15 Sekunden. Setzt man Bot-Netze für solche Angriffe ein, verkürzt sich der Zeitraum noch weiter.

Über Angriffe gegen BGP und deren Abwehr wird seit langem diskutiert. Möglich ist es, BGP-Pakete nach RFC 2385 mit MD5-Hashes zu authentifizieren: Beide Peers sind im Besitz eines geheimen Schlüssels, um zu prüfen, ob die Pakete echt sind. Auch der Einsatz von IPSec zum Tunneln der BGP-Pakete ist denkbar, allerdings auf Kosten der Performance. SSL/TLS und SSH eignen sich nicht zum Schutz von BGP-Sessions, da sie selbst über TCP transportiert werden -- eine Reset ist weiterhin möglich. Am naheliegendsten ist es, seine Router zu schützen, in dem man RST-Pakete von außen gar nicht erst zum Router gelangen lässt. Paketfilter stellen sicher, dass nur definierte Router miteinander reden dürfen.



Siehe dazu auch:

• TCP-Schwachstelle ermöglicht Reset-Attacken auf Internet-Schaltstellen auf heise Security
• Vulnerabilities in TCP vom US-CERT
• RFC 1948 -- Defending Against Sequence Number Attacks
• The Border Gateway Protocol relies on persistent TCP sessions without specifying authentication requirements vom US-CERT

http://www.heise.de/security/news/meldung/46711


###


SNMP-Pakete bringen Ciscos Router zum Absturz



Cisco hat zeitgleich mit dem Advisory über die TCP-Schwachstelle in seinen Produkten ein weiteres Advisory über eine Schwachstelle in der Implementierung des SNMP-Protokolls unter IOS veröffentlicht. Ein manipuliertes SNMP-Paket bringt Router und Switches zum Rebooten. Angreifer können damit eine erfolgreiche Denial-of-Service-Attacke durchführen. Cisco unterstützt SNMPv1, v2 und v3. Bei v1 und v2 muss ein Angreifer authentisierte Pakete (gültige Community Strings) senden, bei v3 funktioniert der Angriff auch ohne Authentisierung.

Der fehlerhafte Code gelang nach Angaben von Cisco mit dem Change CSCeb22276 ins Betriebssystem. Betroffen sind die Versionszweige (Release Trains) 12.0S, 12.1E, 12.2, 12.2S, 12.3, 12.3B und 12.3T. Nähere Angaben dazu sind dem Original-Advisory zu entnehmen. Der Hersteller hat neue IOS-Images zur Verfügung gestellt. Alternativ können Anwender den ohnehin unsicheren SNMP-Dienst deaktivieren oder über die eingebauten Filter (Access Control Lists ACL) nur bekannte Verbindungen zulassen.

Siehe dazu auch:

• Security Advisory von Cisco

http://www.heise.de/security/news/meldung/46713



####

Microsoft-Patch KB835732 macht einige Systeme unbrauchbar



Nach der Installation des in MS04-011 beschriebenen Patches KB835732 kommt es auf einigen Windows-Systemen zu erheblichen Problemen. Mehrere heise-online-Leser berichten von einer hundertprozentigen Auslastung des Systems nach dem Reboot bis hin zum völligen Versagen des Bootvorganges auf Windows-NT- und -2000-Systemen. Auch auf Bugtraq gibt es einen Thread, der davon berichtet. heise Security hatte bereits über das Versagen der SSL-Browserverschlüsselung auf Windows Server 2003 nach der Installation des Patches berichtet.

Abhilfe schafft unter anderem die De-Installation des Patches im abgesicherten Modus. In der Windows-Eingabeaufforderung unter c:\winnt\$ntuninstallkb835732$\spuninst startet man die Datei spuninst.exe und folgt dem Dialog -- ein Reboot ist notwendig. Allerdings bleiben dann 14 Sicherheitslücken im System offen. Als Webserver sollte solch ein System nicht mehr eingesetzt werden. Falls Windows NT beim Booten abbricht, kann das Kopieren von ntoskrnl.exe und mssip232.dll vom $NtUninstallKB835732$-Verzeichnis nach \Winnt\System32 das Problem beseitigen.


http://www.heise.de/security/news/meldung/46716


###

Polyglotte Mail-Würmer mögen keine Bildung



Eingang in die Netsky-Fahndungsliste der Antivirenhersteller haben nun auch Netsky.X und .Y gefunden. Beide geben sich wenig innovativ, was Verbreitung und Hintertürchen angeht. Allerdings präsentieren sie Mail-Empfängern Betreffzeile und Texte in mehreren Sprachen, abhängig von der Länderdomain der Adresse. Deutsche dürfen sich auf ein "Bitte lesen Sie das Dokument." einstellen, während Italienern ein "Legga prego il documento." erwartet. Finnen fordert ein "Haluta kuulua dokumentoida." zum Öffnen des Anhangs auf. Auch Franzosen, Polen, Norweger, Portugiesen und Schweden bleiben nicht außen vor. Allerdings sollen die Texte reichlich fehlerhaft sein.

Auf befallenen Systemen starten die Schädlinge vom 28. bis 30. April Denial-of-Service-Attacken gegen die Webseiten ww.nibis.de, www.educa.ch und www.medinfo.ufl.edu -- erstere Portale für Schule und Bildung, letztere ein Informationsserver für Medizin. Symantec hat beide Würmer in die Bedrohungsstufe 3 eingeordnet. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.



Siehe dazu auch:

• Wurmbeschreibung des BSI
• Wurmbeschreibung von Symantec
• Wurmbeschreibung von TrendMicro

http://www.heise.de/security/news/meldung/46721


####

Erste Banküberweisung mit Quantenkryptographie



Das östereichische Projekt zur Quantenkryptographie meldet, man habe heute die weltweit erste quantenkryptographisch verschlüsselte Überweisung durchgeführt. Die neue Sicherheitstechnik wurde demonstriert von der Gruppe um Professor Anton Zeilinger in Zusammenarbeit mit der Arbeitsgruppe Quantentechnologien des Bereichs Informationstechnologien von Seibersdorf research GmbH. Als Auftraggeber der Transaktion fungierte Wiens Bürgermeister Michael Häupl, der Empfänger war der Vorstandsvorsitzende der Bank Austria Creditanstalt Erich Hampel.

Die Verschlüsselung erfolgte über ein sogenanntes One-Time-Pad -- das einzige bekannte Verschlüsselungsverfahren, das nachweislich nicht zu knacken ist. Es erfordert allerdings, dass Sender und Empfänger im Besitz eines geheimen Schlüssels sind, der genauso lang wie die eigentliche Nachricht ist und aus absolut zufälligen Zahlenfolgen besteht. Dieses One-Time-Pad darf dann auch nur einmal verwendet werden -- daher der Name. One-Time-Pads werden vor allem von Geheimdiensten für die Verschlüsselung höchst vertraulicher Nachrichten eingesetzt und gewöhnlich von Kurieren überbracht.

Das One-Time-Pad für die Überweisung erzeugten die Forscher mit Hilfe eines quantenphysikalischen Phänomens gleichzeitig beim Sender und Empfänger mit zwei quantenphysikalisch gekoppelten ("verschränkten") Lichtteilchen. Beide Teilchen befanden sich zu Beginn des Experiments in einem undefinierten Zustand, eines blieb beim Absender, das andere wurde über einen Lichtwellenleiter zum Empfänger geschickt. Nimmt man an einem der beiden Teilchen eine Messung vor, legt diese das Ergebnis einer anschließenden, gleichartigen Messung an seinem Partner fest -- auch wenn dieser weit entfernt ist. Aus den Messergebnissen konstruierten die Forscher das One-Time-Pad, mit dem anschließend Ver- und Entschlüsselung des Überweisungsaufrags erfolgte.

Albert Einstein hatte diesen Quanten-Effekt als "spukhafte Fernwirkung" bezeichnet und konstruierte daraus das sogenannte Einstein-Podolsky-Rosen Paradoxon. Mittlerweile ist der Effekt experimentell belegt; ihn zu verstehen hat allerdings schon viele Physik-Studenten an den Rand der Verzweiflung getrieben.


http://www.heise.de/security/news/meldung/46738

Symantecs Client-Firewall-Produkte anfällig für DoS-Attacken





In Symantecs Client-Firewall-Produkten für Windows ist ein Fehler enthalten, mit denen Angreifer von außen das System zum Stillstand bringen können. Laut Advisory des Herstellers hat der Sicherheitsdienstleister eEye die Schwachstelle während einiger Tests entdeckt. Nach einer nicht näher erläuterten TCP-Attacke sei ein Reboot erforderlich, um mit dem Rechner wieder arbeiten zu können. Betroffen sind:

• Symantec Norton Internet Security und Professional 2003, 2004
• Symantec Norton Personal Firewall 2003, 2004
• Symantec Client Firewall 5.01, 5.1.1
• Symantec Client Security 1.0 and 1.1

Symantec hat Patches für die Fehler entwickelt. Anwender, die ihr System regelmäßig über LiveUpdate aktualisieren, sollten nach Angaben von Symantec schon nicht mehr verwundbar sein. Benutzer der Corporate Versionen von Symantec Client Firewall und Symantec Client Security müssen sich die Patches manuell von Symantecs Website besorgen und installieren. http://www.heise.de/RealMedia/ads/adstream_lx.ads/www.heise.de/security/news/922921198/Middle1/he-test-contentads/zaehler.html/63306138316531383430383738623930?_RM_EMPTY_

eEye meldete den Fehler bereits am 19. März an Symantec weiter, die somit innerhalb von vier Wochen das Problem beseitigten. Auf den Seiten von eEye finden sich in der Rubrik Upcoming Advisories seit dem 19. April Hinweise auf vier Sicherheitslöcher in Norton Internet Security 2004, Norton Internet Security 2004 Professional und Norton Personal Firewall 2004, die teilweise das Einschleusen und Ausführen von beliebigem Code ermöglichen sollen. Wie schnell Symantec diesmal reagieren wird, ist offen.



Siehe dazu auch:

• Security Advisory von Symantec

http://www.heise.de/security/news/meldung/46753

####


Trojaner übers Web



Die Web-Site "Rekall Revealed" versuchte, Besuchern über den mhtml-Bug des Internet Explorer einen Trojaner unterzuschieben. Mittlerweile hat der Webmaster auf einer Mailing-Liste eingestanden, dass seine Seite gehackt wurde und die Code-Zeilen entfernt, die den Trojaner installieren. Er hielt es bisher allerdings nicht für nötig, seine Besucher zu informieren oder seine Web-Seite für eine detaillierte Analyse des Vorgangs und seiner Folgen offline zu nehmen.

Solche Schludrigkeit ist quasi eine Einladung, den Server wieder zu hacken -- und die wurde auch schon angenommen: Auf derselben Mailingliste ist nachzulesen, dass der Server bereits letzte Woche gehackt und wieder notdürftig geflickt wurde. Auf die Anfrage von heise Security, ob der Webmaster denn alle Dateien -- einschließlich der zum Download angebotenen Rekall-Sourcen -- auf mögliche Veränderungen geprüft habe, gab es bisher keine Antwort. Angesichts solcher Fahrlässigkeit können wir nur davon abraten, diese Site zu besuchen.

Dieser Vorfall zeigt aber auch, dass es nicht genügt, "beim Surfen vorsichtig zu sein". Die Access-ähnliche Software Rekall wird in dem iX-Artikel Assistenten allerorten vorgestellt. Dort fand sich auch kurzzeitig ein Link auf die scheinbar harmlose Seite mit Infos rund um Rekall. IE-Benutzer, die den Outlook-Express-Patch von letzter Woche (noch) nicht installiert und in dem iX-Artikel den Link zur Rekall-Revealed-Site angeklickt haben, müssen davon ausgehen, dass sie einen Trojaner auf dem System haben. Sie sollten ihr System mit einem aktuellen Virenscanner untersuchen. Kaspersky meldet die installierte Datei "exploit.exe" als TrojanDownloader.Win32.Small.f. Sie lädt eine zweite Datei namens "run32dlll.exe" nach, die zumindest F-Prot und Kaspersky bisher nicht als Virus identifizieren. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.

Und schließlich wirft dieser Hack auch ein Schlaglicht auf die (Un-)Sicherheit von PHP-Nuke. Das populäre Content Management System wird von vielen Projektseiten wie "Rekall Revealed" eingesetzt, da es einfach aufzusetzen und zu erweitern ist. Auf der anderen Seite fällt es immer wieder durch Sicherheitsprobleme auf, die die gesamte Bandbreite von SQL-Injection bis hin zum Hochladen und Ausführen beliebiger Dateien aufweisen. Des weiteren ist schon die Grundinstallation von PHP-Nuke nicht gerade als sicher zu bezeichnen. Der Webmaster von "Rekall Revealed" sucht jedenfalls jetzt nach einer sichereren Alternative.

http://www.heise.de/security/news/meldung/46757

Debian beseitigt Sicherheitslöcher



Nach Angaben von Debian ist in der Implementierung des ident-Protokolls (RFC 1413) -- ident2 -- ein Fehler enthalten, mit dem sich ein Buffer Overflow provozieren lässt. Angreifer sind damit in der Lage, über ein Netzwerk eigenen Code auf ein verwundbares System zu schreiben und im Kontext des ident2-Daemons auszuführen. Ursache ist die Funktion child_service, in der ein Puffer zu knapp bemessen ist. Nähere Angaben macht Debian in dem herausgegebenen Advisory nicht. Der Fehler ist in 1.03-3woody1 behoben. Ob andere Distributionen betroffen sind, ist nicht bekannt. Der ident-Dienst läuft auf einigen Distributionen schon in der Standardinstallation und wird zur Abfrage von Benutzerkennungen verwendet.

Des Weiteren hat Debian einen Fehler in XChat -- einem IRC-Client für X -- beseitigt, der ebenfalls das Ausführen von beliebigem Code ermöglichte. Dort war ein Buffer Overflow im Socks-5 Proxy des Clients enthalten, Version 1.8.9-0woody3 stopft das Loch.

Siehe dazu auch:

• Security Advisory ident2 von Debian
• Security Advisory XChat von Debian

http://www.heise.de/security/news/meldung/46793


###

Aus Network Associates wird McAfee



Ein altbekannter Name kehrt auch als Firmenname zurück: Aus Network Associates wird McAfee. Außerdem soll die Sniffer-Netzwerkanalysesoftware für 275 Millionen US-Dollar an zwei Investorengruppen verkauft werden. Man wolle sich ganz auf das Kerngeschäft der IT-Sicherheit konzentrieren, heißt es bei der zukünftigen McAfee Inc.

Die Namensänderung ist wohl ein Zugeständnis an den hohen Bekanntheitsgrad dieses ehemals eigenständigen Antiviren-Softwareherstellers. McAfee verschmolz 1997 mit der Firma Network General, deren Entwicklung unter anderem der jetzt verkaufte Sniffer war, zum Internet-Sicherheitsspezialisten Network Associates. Nach einiger Zeit relativer Selbstständigkeit ging auch der Online-Part von McAfee im Jahr 2002 vollständig in NAI auf.


http://www.heise.de/security/news/meldung/46802


####

Microsoft warnt vor Exploit-Code gegen Webserver



Nach Angaben von Microsoft gibt es Hinweise auf einen im Internet kursierenden Exploit, der versucht, die in MS04-011 beschriebene Schwachstelle im SSL/PCT-Dienst unter Windows auszunutzen, um beliebigen Code auf verwundbaren Systemen auszuführen. Der Exploit zielt speziell auf Internet Information Server (IIS), die auch Webseiten über SSL ausliefern. Hauptsächlich gefährdet ist der IIS unter Windows 2000 und Windows NT 4.0. Anwender, die Windows Server 2003 oder Windows XP in der Standardkonfiguration einsetzen, seien nicht gefährdet. Microsoft stuft die Hinweise als glaubwürdig ein und fordert Kunden derzeit auf, unverzüglich das Update MS04-011 sowie die anderen als kritisch eingestuften Updates vom 13. April 2004 zu installieren.

Anwender, die den Patch noch evaluieren oder testen, sollten den Workaround für die PCT/SSL-Schwachstelle einsetzen, bei der die PCT-Unterstützung deaktiviert wird. Eine Beschreibung ist auf der Webseite http://www.microsoft.com/germany/ms/security/pctdisable.mspx zu finden. Weitere Details zu SSL und der Deaktivierung von PCT liefert der Knowledge-Base-Artikel KB187498.

Ob es sich bei dem Code um einen der auf THC.org (The Hackers Choice) veröffentlichten Exploits gegen den IIS 5.0 unter Windows 2000 handelt, erklärt Microsoft nicht. Die Exploits waren in Binärform Mitte der Woche für kurze Zeit verfügbar. Ein Test der ersten Version des Exploits in der heise-Security-Redaktion gegen einen ungepatchten IIS 5.0 führte jedoch weder zum Absturz des Systems noch zu einer Shell. Seit dem gestrigen Donnerstag ist die Webseite von THC nicht mehr erreichbar, der Quelltext ist aber mittlerweile auf mehreren Webseiten im Internet veröffentlicht. Die Herausgabe der Binaries führte auf der Mailingliste Full Disclosure zu einem heftigen Schlagabtausch, ob die Hacker-Ethik es zulasse, kompilierte Exploits zur Verfügung zu stellen: Damit arbeite man nur Skript-Kiddies zu, die nicht in der Lage wären Quelltexte selbst zu kompilieren.


http://www.heise.de/security/news/meldung/46809



####

Schädlinge auf dem Radar



WormRadar, ein neues Projekt von Roger Thompson, misst die Aktivität von Cyber-Attacken und soll helfen, Angriffe zu identifizieren. Es bedient sich dazu verteilter Windows-Honeypots, die auf anfälligen Ports horchen und Scans oder andere auffällige Ereignisse aufzeichnen. Jedermann kann das Projekt unterstützen, indem er den Windows-Client herunterlädt und auf seinem PC startet.

Die Daten aller Clients sammelt WormRadar auf dem Server, der jede halbe Stunde eine Grafik der häufigsten Attacken generiert. Bekannte Probleme werden darin grün, bislang unbekannte Ereignisse rot gekennzeichnet. Derzeit finden sich zwei neue, als "u137unk" und "t80unk" bezeichnete Phänomene unter den drei am meisten registrierten Ereignissen. u steht dabei für UDP, T für TCP, die Zahl gibt jeweils den Port wieder.


http://www.heise.de/security/news/meldung/46822


##

Sicherheitslücke im Netegritys Affiliate Agent



Im Affiliate Agent der Netegrity-SiteMinder-Webportallösung ist ein Fehler enthalten, mit dem Angreifer eigenen Code auf ein verwundbares System schreiben und starten können. SiteMinder ist eine Lösung zur sicheren webbasierten Anbindung von Anwendern, anderen Websites und Kunden an ein Unternehmensportal.

Ursache der Sicherheitslücke ist die fehlende Überprüfung der Länge von Zeichenketten im so genannten SMPROFILE-Cookie. Damit kann festgestellt werden, ob eine Affiliate Site bereits auf dem Portal registriert ist. Zu lange Strings erzeugen einen Heap Overflow, der nach Angaben des Sicherheitsdienstleisters @stake zur Kompromittierung des Systems führen kann. Allerdings müsste dazu das Portal ein manipuliertes Cookie übermitteln. Betroffen ist SiteMinder Affiliate Agent 4.x unter Solaris, Windows und HP-UX. Netegrity hat den Patch "Web Agent 4QMR6 HF-016" für registrierte Kunden zur Verfügung gestellt.



Siehe dazu auch:

• Security Advisory von @stake

http://www.heise.de/security/news/meldung/46845


###

Windows Explorer stolpert über zu lange Verzeichnisnamen



Der Sicherheitsspezialist Rodrigo Gutierrez hat auf der Mailingliste Full Disclosure ein Advisory zu einem eigentlich bereits gestopften Sicherheitsloch veröffentlicht. Er weist darauf hin, dass im Windows Explorer eine Sicherheitslücke enthalten ist, die eigentlich mit Service Pack 1 für Windows XP und Service Pack 4 für Windows 2000 beseitigt sein sollte.

Beim Zugriff auf Netzwerk-Shares mit zu langen Namen -- mehr als 300 Zeichen -- stürzt der Windows Explorer ab. Dem Advisory zufolge kann ein Angreifer damit eventuell eigenen Code auf das verwundbare System schleusen und ausführen. Allerdings muss sich sein Opfer vorher mit dem Share verbinden. Da Windows-Server die Vergabe von derart langen Freigabenamen nicht unterstützen, muss die Freigabe beispielsweise auf einem Samba-Server angelegt werden. Betroffen sind Windows XP, 2000, 98 und ME. Ob Windows NT und 2003 Server verwundbar sind, ist derzeit noch unbestätigt.

Nach Angaben von Gutierrez kennt Microsoft den Fehler seit Anfang 2002, der auch im Knowledge-Base-Artikel KB 322857 beschrieben ist -- Gutierrez ist dort auch als Entdecker der Lücke erwähnt. Neuere Tests haben aber laut Gutierrez gezeigt, dass die Sicherheitslücke auf gepatchten Systemen immer noch vorhanden ist. Der Internet Explorer soll beim Verbinden mit Shares ebenfalls abstürzen. Als Workaround nennt das Advisory das Deaktivieren des "Client for Microsoft Networks" auf allen Netzwerkkarten.



Siehe dazu auch:

• Security Advisory von Gutierrez

http://www.heise.de/security/news/meldung/46858


####

Neue Version des DNS-Servers BIND verfügbar



Das Internet Systems Consortium (ISC) hat eine neue Version der Open-Source-DNS-Software BIND herausgegeben. BIND läuft nach Angaben des ISC auf 75 % der Nameserver im Internet.

Die Beta-Version 9.3 bringt eine Fülle neuer Funktionen mit, insbesondere ist auch der Entwurf der Internet Engineering Task Force (IETF) für die DNSSEC-Protokoll-Erweiterungen implementiert. Obwohl DNSSEC erst Draft-Status hat, glaubt das ISC damit Anwendern die Möglichkeit zu geben, die Erweiterungen schon jetzt testen zu können. DNS Security Extensions bieten Public-Key-Kryptografie zur Ende-zu-Ende-Authentifizierung und Integritätsschutz, um die Nameserver vor bestimmen Attacken im Internet schützen zu können, etwa Cache-Poisoning. Allerdings sind die Erweiterungen in 9.3 standardmäßig noch ausgeschaltet.

Darüber hinaus haben die Entwickler die Konfiguration und Bedienbarkeit verbessert. Auch soll BIND nun IPv6 besser unterstützen. ISC bietet nun auch kommerziellen Support an, den Anwender rund um die Uhr per Mail oder Telefon in Anspruch nehmen können.



Siehe dazu auch:

• Mitteilung des ISC

http://www.heise.de/security/news/meldung/46849

Microsoft wollte Veröffentlichung von Exploit gegen IIS verhindern



Microsoft hat vergangene Woche vergeblich versucht, die Veröffentlichung des Exploit-Codes für den Internet Information Server zu verhindern. Der Exploit nutzt eine Schwachstelle im SSL/PCT-Code unter Windows aus, mit der Angreifer den vollen Zugriff auf verwundbare Systeme erhalten. Die Redmonder gaben sogar eine Warnung heraus, in der sie Kunden aufforderten, Vorsichtsmaßnahmen zu ergreifen.

Der Exploit wurde von dem Sicherheitsspezialisten mit dem Pseudonym Johnny Cyberpunk, Mitglied der deutschen Gruppe "The Hackers Choice" (THC), erstellt und auf den Seiten von THC als Binary zum Download veröffentlicht. Nach einer heftigen Diskussion auf der Mailingliste Full Disclosure nahm man zwar das Binary von den Seiten, hielt aber weiterhin den Quellcode bereit.

Nach Angaben von THC setzte sich Microsoft daraufhin mit dem Provider Mesh-solutions, der die Seiten von THC hostet, in Verbindung und bat um ein Abschalten der Seiten. Der kam der Aufforderung nicht nach, da in Deutschland das Bereithalten derartigen Codes nicht verboten ist. Anders beispielsweise in den USA, dort versuchen einige Hersteller den Digital Millennium Copyright Act (DMCA) als Mittel gegen die Veröffentlichung von Informationen über Sicherheitslücken und Exploits zu benutzen. Allerdings war bereits Hewlett-Packard an solch einem Vorhaben gescheitert.

Auf Anfrage von heise Security konnte Microsoft Deutschland keine Auskunft über den Sachverhalt geben. Ob das Abschalten der Seite die Verbreitung des Quellcodes verhindert hätte, bezweifelt das THC-Mitglied Skyper, da dieser bereits von hunderten anderer Seiten ins Angebot übernommen wurde. Von jeglichem Missbrauch des Exploits distanziert sich zudem Johnny Cyberpunk. Gegenüber heise Security betonte er, der Exploit sei eigentlich als Tool für Administratoren gedacht, um zu testen, ob der Webserver abstürzt oder der Zugriff möglich ist. Deshalb sei auch nur ein einziger Offset enthalten, was den Proof-of-Concept-Status der Quellen bestätige. Damit funktioniere der Exploit nur eingeschränkt. THC besteht nach eigenen Angaben fast ausschließlich aus Penetration-Testern namhafter Sicherheitsdiensleister, die die Tools selbst bei der täglichen Arbeit verwenden.

Mittlerweile mehren sich aber Gerüchte, dass es einen Wurm gibt, der den Code zum Einbruch in Systeme benutzt. THC ist trotzdem nicht der Meinung, fahrlässig gehandelt zu haben, da der Patch für diese Schwachstelle (MS04-011) seit dem 13.4. verfügbar sei. Ohnehin verstehe man nicht, warum Microsoft gerade bei diesem Exploit so viel Aufhebens mache, schließlich würden ständig Exploits für Lücken in Windows veröffentlicht. Einer illegalen Handlung sei man sich nicht bewusst, da in Deutschland der DMCA nicht gültig sei. Joerg Heidrich, Justitiar des Heise-Verlags, gibt aber zu bedenken, dass der Autor der Quellen durchaus wegen Beihilfe belangt werden könne, sollten Dritte mit dem Code Schaden anrichten. THC erwägt nun in Zukunft keinen Quellcode für Exploits mehr zu veröffentlichen.

http://www.heise.de/security/news/meldung/46884

+++++

Fehler in TCP/IP-Stack bringt Solaris zum Absturz



Sun hat einen Security Alert veröffentlicht, in dem der Hersteller vor einer nicht näher bezeichneten Schwachstelle im TCP/IP-Stack von Solaris warnt. Anwender mit gültigem Benutzerkonto können das System zum Absturz bringen. Betroffen sind Solaris 8 und 9 sowohl auf SPARC- als auch auf x86-Maschinen, wenn bestimmte Patches nicht installiert sind; diese listet Sun im Advisory auf.



Siehe dazu auch:

• Security Alert von Sun

http://www.heise.de/security/news/meldung/46876
####

Telering offenbarte Kunden-Passwörter [Update]



Der österreichische Mobilfunk- und Festnetzanbieter tele.ring hat auf seiner Website jedermann den Zugriff auf die Passwörter seiner Mobilfunkkunden ermöglicht. In der "Passwort vergessen"-Funktion der Webmail-Applikation war lediglich die Angabe einer Rufnummer (0650-xxxxxxx) erforderlich, um das sechsstellige tele.ring-Passwort angezeigt zu bekommen, berichtet Futurezone. Mit Hilfe des Passwortes sowie der Rufnummer ist es möglich, auf Kosten des Anschlussinhabers SMS und MMS zu versenden sowie Klingeltöne und Hintergrundbilder an beliebige österreichische Handys zu schicken. Das tele.ring-Kundenkennwort ist nicht von dem Vorfall betroffen.

Unangenehm wird so manchem Kunden auch der mögliche Zugriff auf den Webmail-Account und den Webspace oder den Infomizer-Dienst sein. Am frühen Nachmittag hat tele.ring die inkriminierte Funktion vom Netz genommen. Davon ist allerdings auch die "Passwort ändern"-Applikation betroffen. Die dringend anzuratende Änderung des Passwortes ist somit derzeit nicht möglich. Der Netzbetreiber hat jedoch angekündigt, die Passwörter aller von einer Abfrage betroffenen Kunden zu ändern und entsprechend zu informieren. Zur Zeit funktionieren die alten und somit unsicher gewordenen Passwörter aber noch.

Wie tele.ring heise online am späten Nachmittag mitteilte, ist die Fehlfunktion um etwa 8 Uhr durch ein Update entstanden. Bis zur Abschaltung der Funktion um 14:15 Uhr seien 122 Passwörter abgefragt worden. Diese Kunden werden einzeln informiert und mit einem neuen Passwort versorgt. Außerdem erhalten sie eine Gutschrift über 10 Euro. (Daniel AJ Sokolov) /



http://www.heise.de/security/news/meldung/46909

McAfee VirusScan installiert unsichere ActiveX-Controls





McAfees Virenscanner VirusScan installiert auf Windows-Systemen unsichere ActiveX-Controls, mit denen Angreifer Zugriff auf die Registry erhalten und beliebige Schlüssel auslesen können. Dazu reicht es aus, dass ein Opfer mit dem Internet Explorer 6 -- und den Standard-Sicherheitseinstellungen -- ein HTML-Dokument aufruft, in dem entspechender Scripting-Code enhalten ist. Jonathan Payne, Entdecker der Lücke, hat dazu folgenden Code veröffentlicht, der zu Demonstrationszwecken Informationen zum Desktop-Hintergrundbild ausgibt: <html> <object classid="clsid:4C29D864-C55A-46DD-865C-17A1B7CC1A1A" id="gobjReg"style="display: none;"> </object> <h1>McAfee installer test



<script language="vbscript"> document.write( _ gobjReg.RegQueryValue( "HKCU\Control Panel\Desktop", "Wallpaper") _ ) </script></html>






Ersetzt man Schlüssel und Wert etwa durch "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters", "DhcpNameServer"
so lässt sich der Nameserver des Netzwerkes abfragen, an das der Client angeschlossen ist. Angreifer können somit Informationen über Zielsysteme zusammentragen.


Welche Versionen betroffen sind, gibt Payne nicht an. Bei Tests in der heise-Security-Redaktion war zumindest Version 8.0 des McAfee-Virenscanners verwundbar. Payne weist in seinem Advisory darauf hin, dass VirusScan weitere Controls installiert, mit denen der Zugriff auf das Dateisystem und die Konfiguration des Betriebssystems möglich ist. Eine Lösung für das Problem gibt es derzeit nicht. Anwender sollten ActiveX deaktivieren, dann allerdings gelingen zumindest die Aktualisierungen für die Virenscanner-Signaturen nicht mehr. Welche Auswirkungen eine Deaktivierung von ActiveX insgesamt auf den McAfee-Virenscanner hat, ist derzeit noch nicht letztlich geklärt.



Siehe dazu auch:

• Security Advisory auf Securitytracker

http://www.heise.de/security/news/meldung/46923

###

Neue Windows-Exploits treten vermehrt auf



Die jüngsten Sicherheitslöcher, für die Microsoft vor zwei Wochen Patches bereitgestellt hat, werden offenbar mittlerweile massiv und automatisch ausgenutzt, um Rechner zu kompromittieren. Anwender und Administratoren sollten daher schnellstmöglich die entsprechenden Patches einspielen.

Besonders betroffen ist der Fehler im Local Security Authority Subsystem (LSASS), über den Angreifer auf anfälligen Rechner beliebigen Code ausführen können. Analysen des SANS-Institut deuten darauf hin, dass in aktuellen Phatbot-Varianten bereits ein Exploit für den LSASS-Dienst implementiert wurde und darüber massiv Rechner infiziert werden. Diese Beobachtung passt dazu, dass auf dem Securityportal K-Otik am vergangenen Wochenende bereits Quellcode für einen LSASS-Exploit veröffentlicht wurde. Der Phatbot-Schädling ist so konzipiert, dass neue Exploits zum Infiltrieren weiterer Rechner ohne größeren Aufwand eingebaut werden können. Daher ist auch davon auszugehen, dass er demnächst noch weitere Sicherheitslücken ausnutzt. Denn auch der Exploit-Code für den Buffer Overflow im IIS wurde auf K-Otik veröffentlicht, es dürfte also nur eine Frage der Zeit sein, bis Phatbot auch diesen Fehler automatisiert ausnutzt.



Siehe dazu auch:

• 20 auf einen Streich: Microsoft patcht RPC & Co auf heise Security.
• Patch-Übersicht von Microsoft.
• Superwurm mit öffentlichem Quelltext auf heise Security

http://www.heise.de/security/news/meldung/46943

Mass-Mailing-Würmer nehmen kein Ende



Die Varianten des Mass-Mailing-Wurms Netsky notieren die Hersteller von Antivirensoftware mittlerweile im zweistelligen Bereich. Netsky.AA und AB stehen bei Symantec auf Risikostufe 3, Trendmicro klassifiert sie als mittelgefährlich, ebenso NAI. Eine Bagle-Variante hat auch schon die Hürde der zweistelligen Notation genommen: Bagle.AA. Allerdings scheinen sich hier die Hersteller nicht ganz einig, manche benennen sie noch als .Z.

Der Viren- und Würmerzoo wird generell immer unüberschaubarer, wozu sicherlich die vielen Varianten und deren unterschiedliche Namensgebung beitragen. Auch sind die Unterschiede der Schädlinge so marginal, dass tägliche oder gar stündliche Virenwarn-Meldungen kaum zu rechtfertigen sind und eher zur Verwirrung beitragen könnten.

Während Variante X versucht, an einem bestimmten Datum eine Denial-of-Service-Attacke (DoS) gegen eine Webseite durchzuführen, ist in Variante Y nur das Datum ausgetauscht, zusätzlich öffnet sich dann noch eine Hintertür auf irgendeinem Port. Das tat der Wurm aber schon in Version T. Aus technischer Sicht sind die Würmer ohnehin uninteressant: Eine eigene SMTP-Engine, um sich selbst per Mail zu versenden, eine Suchfunktion für Mailadressen, manchmal eine Backdoor, selten mit DoS-Funktion.

Besorgnis erregend ist eigentlich nur die hohe Zahl der im Moment zeitgleich kursierenden Würmer und die nervtötenden Auto-Notifications von Mailscannern, deren Administratoren immer noch nicht verstanden haben, dass Mail-Würmer den Absender fälschen: Mit der Zeit tritt bei Anwendern dann eine gewisse Abstumpfung ein, wenn morgens das Postfach voll von sinnlosen Warnmails ist, der Virenscanner eines Mail-Servers habe einen Schädling gefunden. Sinkt die Aufmerksamkeit des Anwenders, steigt aber die Gefahr, neue Angriffe oder technisch fortgeschrittenere Schädlinge nicht zu erkennen. Im Vergleich zu einem Phatbot sehen Netsky und Co nämlich wie Kinderspielzeug aus.

Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.



Siehe dazu auch:

• Liste aktueller Viren von Symantec
• Liste aktueller Viren von Trendmicro

http://www.heise.de/security/news/meldung/46957

+++++

Sicherheitslöcher in HPs Web JetAdmin 6.5



FX von Phenoelit hat auf Bugtraq ein Advisory über mehrere Sicherheitslücken in HPs Web JetAdmin 6.5 veröffentlicht. Das Advisory trägt zwar das Datum 28.10.2002 -- zu diesem Zeitpunkt wurde auch HP benachrichtigt --, ist aber erst jetzt veröffentlicht worden, um HP Gelegenheit zur Beseitigung der Fehler zu geben. 19 Monate des Wartens auf Reaktionen des Herstellers waren FX dann aber wohl doch zuviel, zudem bereits Advisories zu Sicherheitsproblemen in Version 7.5 erschienen sind.

Insgesamt elf Schwachstellen für alle Plattformen sind in der nun erschienenen Meldung aufgeführt, bei denen die kritischsten Lücken Angreifern das Ausführen von eigenem Code ermöglichen. Auf den Seiten von Phenoelit ist dazu bereits ein Remote-Root-Exploit erschienen. Einige der Lücken sind auch in der Version 7.0 enthalten.

Punkt zwölf der Liste im Advisory weist auf zwei versteckte Spiele in JetAdmin hin, was nach Meinung von FX darauf hindeute, dass mangelnde Entwicklungszeit nicht Ursache der vorhandenen Sicherheitslücken gewesen sein kann. Ein Wechsel auf Version 7.5 beseitigt zwar einige der Fehler, bringt aber aus oben genannten Gründen Neue mit. Sofern möglich, sollten Anwender -- bis zum Erscheinen von Patches -- den Zugriff über das Netzwerk auf JetAdmin beschränken.



Siehe dazu auch:

• Security Advisory von Phenoelit

http://www.heise.de/security/news/meldung/46961

+++++++



Java-API des Siemens S55 mit Schwachstelle



Die Java-API des Siemens Handys S55 ermöglicht es Applikationen, Anwendern beim Versenden von SMS falsche Meldungen unterzuschieben. Anwender könnten im Glauben, einem harmlosen Bildschirmdialog zu folgen, unter Umständen mehrere hundert SMS an beliebige Nummern verschicken. Versucht eine Java-Applikation eine Nachrichten zu senden, so fragt sie zunächst um Erlaubnis. Der Trick basiert auf dem Überlagern der Frage mit einer eigenen Grafik. Steht dort statt "Wollen Sie die SMS senden?" "Wollen Sie spielen?", führt der Klick auf "yes" zum ungewollten Senden.

Denkbar sind auch Geschicklichkeitsspiele mit Links-Rechts-Tasten zur Steuerung: Bei Vielspielern kann die Telefonrechnung schon mal etwas höher ausfallen. Eine Benutzerinteraktion ist aber auf jeden Fall notwendig. Ein Programm zu Demonstration der Schwachstelle ist im Original-Advisory aufgeführt. Eine Lösung gibt es für das Problem nicht. Anwender sollten nur Java-Applikationen aus vertrauenswürdigen Quellen auf dem S55 starten.

Siehe dazu auch:

• Security Advisory auf Full Disclosure

http://www.heise.de/security/news/meldung/46970

####


Symantec erhöht die Quartalsprognose



Der Spezialist für Internet-Sicherheit Symantec hat im vierten Quartal seines Geschäftsjahres, das am 2. April endete, einen Umsatz von 556 Millionen US-Dollar gemacht, 43 Prozent mehr als im Vorjahresquartal. Der Nettogewinn stieg von 68 Millionen auf 117 Millionen US-Dollar. Im gesamten Geschäftsjahr erzielte Symantec 1,87 Milliarden US-Dollar Umsatz, 33 Prozent mehr als im Vorjahr. Der Nettogewinn betrug 371 Millionen gegenüber 248 Millionen US-Dollar in 2003, teilt Symantec mit.

"Im vierten Quartal machte das weltweite Geschäft von Symantec mit Unternehmenslösungen -- hierin eingeschlossen sind IT-Sicherheitslösungen, Administrationslösungen und Dienstleistungen für Unternehmen -- 52 Prozent des Gesamtumsatzes aus und wuchs somit um 29 Prozent im Jahresvergleich," heißt es weiter. Das Endanwendergeschäft machte demnach 48 Prozent des Gesamtumsatzes aus; dieses wuchs um 62 Prozent.

Für das laufende erste Quartal erwartet Symantec einen Umsatz zwischen 525 Millionen und 555 Millionen US-Dollar. Das sei eine Steigerung von 40 Millionen US-Dollar gegenüber dem vorigen Geschäftsausblick. Der Gewinn pro Aktie werde etwa 0,30 US-Dollar betragen. Im gesamten Geschäftsjahr soll ein Umsatz von 2,335 Milliarden US-Dollar herausspringen. Diese Prognose liegt um 160 Millionen US-Dollar über der bisherigen.

http://www.heise.de/security/news/meldung/46980

Mehrere Sicherheitslücken in MPlayer und Xine



Im Open-Source-Media-Player MPlayer sind nach Angaben der Entwickler mehrere Sicherheitslücken enthalten, mit denen Angreifer über das Netzwerk beliebigen Code in verwundbare Systeme einschleusen und im Kontext des Anwenders ausführen können. Ursache sind unter anderem Fehler bei der Behandlung des Real-Time Streaming Protocols (RTSP). Hier können zu lange Real-Data-Transport-Pakete einen Buffer Overflow provozieren. Da die Projekte MPlayer und xine für den RTSP-Client die gleiche Codebasis verwenden, findet sich das Problem auch in xine. Betroffen sind die Versionen MPlayer 1.0pre1 bis pre3try2 und xine-lib 1-beta1 bis 1-rc3c. Nähere Informationen sind dem Original-Advisory zu entnehmen.

Anwender, die kein RTSP einsetzen, sind nicht verwundbar. Ohnehin müsste ein Angreifer einen Real-Streaming-Server unter seine Kontrolle bringen oder selbst betreiben. Der Fehler ist in MPlayer v1.0pre4 und xine-lib 1-rc4 behoben. xine-Anwender lösen mit dem Upgrade noch ein weiteres Problem: Mit manipulierten MRLs (Media Resource Locator) und Playlists war es möglich, beliebige Inhalte in beliebige Dateien zu schreiben, sofern die Benutzerrechte dies zuließen.



Siehe dazu auch:

• Security Advisory auf MPlayerHQ
• Security Advisory auf xinehq

http://www.heise.de/security/news/meldung/47000


###

Red Hats Enterprise Linux 3 für EAL2 zertifiziert



Version 3 von Red Hats Enterprise Linux hat die Zertifizierung für EAL2 (Evaluation Assurance Level 2) nach den international anerkannten Common Criteria erhalten. Damit genügt es den Anforderungen eines Einsatzes in Produktionsumgebungen mit niedrigem bis mittlerem Risiko. Bei einer Evaluierung für EAL2 muss ein Produkt formellen Anforderungen an Entwicklungsprozesse und Dokumentation genügen. Über die Widerstandsfähigkeit gegen Angriffe oder mögliche Sicherheitslöcher sagt ein EAL2-Zertifikat nichts aus. Bei einer EAL-Einstufung ist die Software mit einer Hardware-Plattform untrennbar verknüpft. Welche genau dies ist, gibt Red Hat nicht an.

EAL-Zertifizierungen sind nicht ganz billig, deshalb erhielt Red Hat finanzielle Unterstützung von Oracle. Auch SuSE Linux, das nun zu Novell gehört, bekam Schützenhilfe von IBM beim Erhalt der strengeren EAL3-Zertifizierung. Um SuSE einzuholen, will Red Hat die Unterstützung für das von der National Security Agency (NSA) entwickelte Security-Enhanced Linux (SELinux) implementieren. SELinux bietet eine erweiterte Kontrolle und Definiton der Zugriffsrechte von Prozessen und Anwendern. Allerdings soll SELinux-Support erst mit Enterprise Linux 4, also Anfang 2005, verfügbar sein. Auch in Fedora Core 2 soll SELinux unterstützt werden.

Siehe dazu auch:

• Mitteilung von Red Hat

http://www.heise.de/security/news/meldung/47008

###

Wurm Sasser dringt über Windows-Sicherheitslücke ein



Man musste kein Prophet sein, um nach den letzten Veröffentlichungen von Security Advisories zu Sicherheitslücken in Windows einen Wurm vorauszusagen, der genau über diese Lücken in Systeme eindringt. Solch ein Wurm ist nun aufgetaucht. Der Schädling, den die Hersteller von Antivirensoftware Sasser nennen, nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme.

Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen.

Siehe dazu auch:

• Beschreibung von NAI
• Beschreibung von Symantec

http://www.heise.de/security/news/meldung/47037