Recent News Entries
31 Jul
Die LNK-Verwundbarkeit hält weiter Einzug in die Breite Masse der Malware. Mittlerweile wurde eine entsprechende neue Variante von Vobfus entdeckt, einem Wurm, der schon immer Verknüpfungen nutzt, bisher aber nur auf Social Engineering setzt. Auch der polymorphe Virus Sality und jetzt auch Zeus wurden entsprechend nachgerüstet.
Microsoft hat für die Nacht auf Montag einen Patch für alle unterstützten Systeme angekündigt.
LNK Vulnerability: Chymine, Vobfus, Sality and Zeus
Zeus bot latches onto Windows shortcut security hole
MS preps emergency patch for Windows shortcut peril
Wer ein WiFi-Netzwerk betreibt, kann dieses nun auch bei höchsten Sicherheitsmechanismen nur noch als begrenzt sicher bezeichnen. Eine entsprechende Problematik in IEEE 802.11 wurde auf der Black Hat vorgestellt. Basis ist, dass Group Temporal Keys, die für Broadcasts eingesetzt werden, keinen Schutz vor Spoofing und gefälschten Daten bieten. Die Problematik ist aber eher für Kryptographie-Experten interessant, als für einen tatsächlichen Angriff auf ein Netzwerk.
WPA2 Vulnerability Discovered – “Hole 196″ – A Flaw In GTK (Group Temporal Key)
Wireless network security weakness to demo at DEFCON
Weiteres von der Black Hat:
Armed with exploits, ATM hacker hits the jackpot
Cell phone eavesdropping enters script-kiddie phase
Delegate hacks into Black Hat streaming video
Quicklinks:
Battle joined for future of open source IPS
Mariposa mastermind arrested in Slovenia
Posted at 09:07 by Christopher Schramm
26 Jul
WikiLeaks hat heute einen Großteil von insgesamt 91000 Berichten und Dokumenten zum Afghanistan-Krieg veröffentlicht. Es handelt sich dabei um eine Zusammenstellung von Geheim-Dokumenten aus den USA. Woher die Daten kommen ist noch vollkommen unklar, die Medien halten sie aber jedenfalls für authentisch.
War Diary
90.000 Afghanistan-Geheimakten im Netz
Die Probleme mit Windows-Verknüpfungen haben es vor einigen Tagen in "Massen-Malware" geschafft. Eset entdeckte zum einen den neuen Wurm Chymine, der mittels der Lücke einen Keylogger installiert, sowie eine neue Variante des Autorun-VB-RP-Wurms, die mit dem Exploit als weitere Verbreitungsmethode nachgerüstet wurde.
Unterdessen warnt F-Secure vor einer entscheidenden Erweiterung in Microsofts Advisory. Dort wird beschrieben, dass das Problem auch in Dokumenten ausgenutzt werden kann, die das Einbetten von Verknüpfungen unterstützen, insbesondere also MS-Office-Dokumente.
Unpatched shortcut vuln exploited by mainstream malware
LNK Vulnerability: Embedded Shortcuts in Documents
Removing SCADA worm could disrupt power plants
Dell kämpft mit "Hardware-Problemen". Auf Ersatz-Server-Motherboard spukt ein Spybot-Wurm, der sich munter verbreitet, wenn die Platine ans Netz angeschlossen wird. Scheinbar ist intern bereits die Ursache gefunden, benannt wurde diese bisher aber nicht.
Dell warns on spyware infected server motherboards
Dell blames staff for malware infection
Ein höchst kritisches Problem birgt auch die Version 3.8.6 der vBulletin-Foren-Software. Sucht man in der FAQ nach "Database", so spuckt das System sämtliche Parameter für die Datenbankverbindung aus - Zugangsdaten eingeschlossen.
vBulletin vuln gifts admin credentials to unwashed masses
Quicklinks:
Adobe to fortify widely exploited Reader with security sandbox
Google Chrome bug bounty ups Mozilla's ante
iPhone thief nabbed by GPS, cops say
38 states grill Google on three-year Wi-Fi slurp
Mariposa botnet suspects quizzed in Slovenia
Posted at 07:07 by Christopher Schramm
20 Jul
Für Aufsehen sorgt seit einigen Tagen eine höchst kritische 0-day-Verwundbarkeit sämtlicher (noch unterstützter) Windows-Versionen. Zunächst wurde das Exploit vom weißrussischen Unternehmen VirusBlokAda entdeckt. Das Stuxnet getaufte Rootkit nutzt ein mittlerweile von Microsoft bestätigtes Problem in der Behandlung von .lnk-Dateien - den sogenannten Verknüpfungen -, das dazu führt, dass beim Anzeigen des zugehörigen Symbols eine referenzierte Binärdatei ausgeführt wird. Es genügt also, lediglich in ein entsprechendes Verzeichnis - z. B. auf einem Wechseldatenträger oder einer SMB-Freigabe - zu browsen.
Seit Sonntag ist der Exploit Code im Netz. Das Stuxnet-Rootkit ist aber nach wie vor die einzige (bekannte) Malware, die die Lücke nutzt. Interessant sind auch die Ziele, auf die es dieses Rootkit abgesehen hat: SCADA-Kontrollsysteme, die in Kraftwerken und Industrie eingesetzt werden.
Windows Shortcut Flaw underpins power plant Trojan
MS confirms Windows shortcut zero-day flaw
Code for Shortcut Zero-Day Exploit is Public
Eine komplexe DNS-Rebinding-Attacke, die angeblich Millionen von privater Router betrifft, will Craig Heffner, Berater bei Seismic, auf der Black-Hat-Konferenz in gut einer Woche vorstellen. Der Angriff besteht aus zwei Phasen: Zunächst wird auf einer Webseite JavaScript genutzt, um die IP-Adresse des Besuchers als eine Adresse der Webseite vorzugeben (DNS-Rebinding oder "Jedi-mind trick", wie El Reg es nennt). Anschließend greift diese Webseite offensichtlich den Router an, wobei sie bekannte Sicherheitsprobleme und schwache Passwörter ausnutzt.
Flaw could expose 'millions' of home routers
Der Blog-Dienst Blogetery ist am 9 Juli unerwartet mitsamt seiner rund 70000 Nutzer vom Netz gegangen. Hintergrund ist offensichtlich eine entsprechende Aufforderung nicht näher bekannter US-Behörden, nachdem dort angeblich Exekutionsziele und Bombenanleitungen von al-Qaida entdeckt wurden.
Der Fall ist nach IPBFree.com bereits das zweite mysteriöse Abschalten eines Online-Dienstes diesen Monat.
Blog service shut down by order of US law enforcement
Quicklink:
Mozilla sextuples bug bounty to $3,000
Posted at 12:07 by Christopher Schramm
14 Jul
Mit dem gestrigen Patch Tuesday hat Microsoft nicht nur die letzten Patches für Windows 2000 ausgeliefert, sondern ebenso für Windows XP mit Service Pack 2. Ein drastischer Schritt, wenn man einen Blick auf die Zahlen wirft: Von den Nutzern des mit über 50% nach wie vor mit großem Abstand weit verbreitetsten Betriebssystems betreibt ein etwa ebenso hoher Anteil noch SP2. Einige drängt der Schritt sicherlich zum Upgrade, die breite Masse wird dadurch aber wohl eher die nächsten Jahre zu Zombie-Futter.
Patch Tuesday sounds death knell for Win XP SP2
Beim Thema Statistiken ein interessantes Umfrageergebnis von F-Secure in Deutschland, England und Schweden: Rund die Hälfte der Befragten nutzt bestimmte Logiken, um Passwörter für Seiten zu erstellen und zu nutzen. Jeweils etwa 20% nutzen ein und dasselbe Passwort für alle Dienste bzw. notieren die genutzten Passwörter. Der Rest von etwa 10% - am Stärksten in England - verlässt sich auf die Passwort-Vergessen-Funktion.
Do you reuse your passwords?
Posted at 13:07 by Christopher Schramm
12 Jul
Einem Forschungsteam ist es jüngst gelungen den Überblick und die Implementierungsdetails der diversen von Skype verwendeten Verschlüsselungen zu erlangen. Das Gewirr aus AES auf Servern und Clients und drei zur Verschleierung verschieden modifizierten RC4-Codes auf Super Nodes und Clients wurde dabei durch Reverse Enginerring der Software untersucht.
Als wäre es nicht schon genug, auf Security by Obscurity zu vertrauen, feuert Skype nun natürlich fleißig in die Luft, diese Forschung würde die Nutzer gefährden und man prüfe rechtliche Schritte.
Reverse engineer extracts Skype crypto secret recipe
Secunia hat sich eine Reihe populärer Anwendungen angesehen und festgestellt, dass DEP und ASLR außerhalb Microsofts kaum genutzt werden. Obwohl beide Schutzmechanismen ein sinnvoller Zugewinn ohne großen Aufwand sind, findet sich z. B. in Java, Apple Quicktime, Foxit Reader, Google Picasa, OpenOffice.org, RealPlayer oder VLC Player keine der Techniken. Browser setzen meist zwar DEP, nicht aber ASLR ein.
Popular apps don't bother with Windows defences
Google hat seine chinesische Internetlizenz verlängert bekommen. Die grundsätzlich bis 2012 laufende Genehmigung muss jährlich verlängert werden, was nun passiert ist. Dass man von google.cn auf das nicht zensierte google.com.hk kommt, scheint die Regierung also akzeptiert zu haben.
Google bekommt von China neue Internetlizenz
Quicklinks:
Hacker swipes details of 4m Pirate Bay users
Oz privacy boss says Google Wi-Fi slurp breached law
Mother faked ID to 'disappear' child from school waiting list (sehr amüsant)
Posted at 09:07 by Christopher Schramm
