Thema: Trojaner verbreitet sich über neue Windows-Lücke

[SiLæncer]

Berichten von Antivirenspezialisten zufolge verbreitet sich ein neuer Trojaner über USB-Sticks und nutzt dabei offenbar eine bislang unbekannte Lücke in Windows aus.

Laut Analysen des weißrussischen AV-Herstellers VirusBlokAda schafft es der Trojaner, ein vollständig gepatchtes Windows-7-System (32 Bit) zu infizieren, ohne auf übliche Autostart-Hilfsmittel beim Anstecken des Sticks wie autorun.inf  zurückgreifen zu müssen. Vielmehr nutzt der Schädling einen Fehler in der Verarbeitung von Verknüpfungen (.lnk-Dateien): Bei der Anzeige des dazugehörigen Icons etwa im Windows Explorer startet ohne weiteres Zutun des Anwenders Schadcode.

Der Trojaner nutzt dies, um zwei Treiber mit Rootkit-Funktionen im System zu installieren, die anschließend seine weiteren Tätigkeiten im System verbergen sollen. Interessanterweise sind beide Treiber mit einem Code-Signing-Key des Herstellers RealTek unterschrieben und lassen sich so ohne Warnung im System installieren. Erst kürzlich hatte der AV-Hersteller F-Secure darauf hingewiesen, dass immer mehr digital signierte Malware für Windows kursiert. Teilweise werden Entwicklern dafür sogar die digitalen Schlüssel gestohlen.

Der Trojaner ist mit einer gültigen, digitalen Unterschrift von "Realtek" versehen.

Untersuchungen des Malware-Analysten Frank Boldewin zufolge handelt es sich jedoch nicht um einen Allerweltstrojaner, der irgendwelche Passwörter von Anwendern sammeln soll. Vielmehr spioniert der Schädling offenbar gezielt Systeme für Prozessleittechnik und deren Visualisierung aus. Vermutlich dürfte er deshalb auch keine größere Verbreitung finden.

Boldewin stieß bei seiner Untersuchung auf Datenbankabfragen des Trojaners, die auf das SCADA-System WinCC von Siemens deuten. Ein "normaler" Malware-Programmierer hätte solch eine Leistung nicht zustande gebracht, erläuterte Boldewin in einer E-Mail an heise Security. "Da sehr viele Regierungen und Industrieunternehmen dieses SCADA-System von Siemens weltweit einsetzen, ist davon auszugehen, dass die Angreifer Industriespionage und möglicherweise sogar Spionage im Regierungsumfeld beabsichtigten", so Boldewin weiter. Frank Boldewin ist auch der Autor des Artikel "Zeig mir das Bild vom Tod" im Rahmen der Reihe "Tatort Internet".

Microsoft ist über die Schwachstelle informiert, hat aber offenbar noch Probleme, es nachzuvollziehen. Nach Angaben von Andreas Marx von AV-Test ist nämlich jede .lnk-Datei mit der ID des gerade infizierten USB-Sticks verknüpft. Somit lassen sich die bislang gefundenen Samples des Trojaners nicht ohne Weiteres auf einem Windows-System zum Laufen bringen – erst im Debugger OllyDbg und mit einigen Änderungen des Codes startet die Malware.

Quelle : www.heise.de

[SiLæncer]

Die am gestrigen Donnerstag gemeldete  Sicherheitslücke in Windows bei der Verarbeitung von lnk-Dateien schlägt Wellen, weil der damit in Zusammenhang stehende Trojaner eine Vielzahl weitere Fragen aufwirft. Bislang hat sich der Trojaner laut Kaspersky offenbar nur im Iran, Indien und Indonesien nennenswert verbreitet, wobei in jedem Land zirka 5000 Rechner-Infektionen registriert wurden. 150 Infektionen hat Kaspersky in Russland und nur 5 in China gezählt.

Warum die Verbreitung des speziell zum Ausspähen von Prozessleittechniksystemen des Herstellers Siemens programmierten Schädlings so regional begrenzt ist, ist nicht bekannt. Auch ist unklar, wie Teile des für Industriespionage eingesetzten Trojaners in den Besitz einer gültigen (aber mittlerweile abgelaufenen) digitalen Signatur des Herstellers Realtek kam. Anfragen von heise Security an Realtek und an den Zertifikatsaussteller VeriSign blieben bislang unbeantwortet.

Es gibt aber bereits Spekulationen, dass ein ausgelagerter Softwarehersteller, der für Realteks Hardware die Treiber programmiert, die Software im Herstellungsprozess fälschlicherweise signierte oder ein dortiger Entwickler bestochen wurde. Da gerade Indien für viele internationale Unternehmen die Softwareentwicklung übernommen hat, könnte die regionale Verbreitung des Trojaners diese These stützen.

Auch wird in diversen Foren darüber diskutiert, ob das SCADA-Visualisierungssystem WinCC von Siemens möglicherweise standardmäßige Zugangsdaten für die zugrunde liegende MS-SQL-Datenbank verwendet. Auslöser der Vermutung war eine Analyse des Malware-Spezialisten Frank Boldewin, der Teile der vom Trojaner getätigten Datenbankabfrage veröffentlicht hat. Darin steckten auch die Variablen UID=WinCCConnect und PWD. Nach Angaben des Antivirenherstellers F-Secure sollen WinCC-Anwender angehalten sein, diese Daten nicht zu ändern. Dies würde bedeuten, dass möglicherweise weltweit zahlreiche Systeme dieselben Zugangsdaten zur Datenbank aufweisen. Eine Antwort von Siemens auf eine Anfrage von heise Security steht noch aus.

Microsoft hat die lnk-Lücke bislang noch nicht offiziell bestätigt. Derzeit gibt es weder einen Patch noch einen funktionierenden Workaround. Das US-CERT schlägt immerhin vor, mit dem Abschalten von Autorun die notwendigen Schritte einer Interaktion des Anwenders nach dem Anschließen eines präparierten USB-Sticks zu erhöhen. Nach dem Abschalten fragt Windows dann noch, ob es das Verzeichnis des Sticks öffnen soll. Mittlerweile erkennen aber auch zahlreiche Antivirenprogramme die Trojanerkomponenten als Win32/Stuxnet.

Quelle : www.heise.de

[SiLæncer]

In einer Sicherheitsnotiz bestätigt Microsoft eine Sicherheitslücke bei der Anzeige von LNK-Dateien. Diese kann unter anderem ausgenutzt werden, um Windows-Systeme schon beim Öffnen eines USB-Sticks zu infizieren. Bereits vor einigen Tagen wurde bekannt, dass ein Wurm diese Lücke offenbar für Spionage-Aktivitäten ausgenutzt hat.

Betroffen sind alle noch unterstützten Windows-Versionen seit Windows XP. Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer eigenen Code ausführen lassen kann. Dies geschieht etwa dann, wenn der Anwender einen USB-Stick im Explorer öffnet. Das Microsoft Security Response Center warnt jedoch, dass sich die Lücke via WebDAV oder Netzwerkfreigaben auch übers Netz ausnutzen ließe.

Einen Patch, der die Lücke schließt, gibt es derzeit noch nicht. Microsoft lässt sich auch nicht über einen möglichen Veröffentlichungstermin aus. Somit ist man derzeit auf Workarounds angewiesen, um sich zu schützen. Das Microsoft-Sicherheitsteam empfiehlt, die Anzeige von Icons für LNK-Dateien durch eine Änderung am Registrywert HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler abzuschalten. Allerdings sollte man zuvor ein Backup der bisherigen Einstellung anlegen. Darüber hinaus könne man den Web-Client-Dienst abschalten, um Angriffe via WebDAV zu verhindern.

Die bislang bekannt gewordenen Angriffe sind hochprofessionell gemacht; sie enthalten unter anderem ein Rootkit, das sich als digital signierter Realtek-Treiber im System einnistet, und spionieren anscheinend Prozessleitsysteme aus (SCADA, Supervisory Control and Data Acquisition). Sicherheitsexperten spekulieren, dass es sich um einen gezielten Spionage-Angriff etwa durch Geheimdienste handelt.

Das Gute daran ist, dass die Angriffe offenbar recht gezielt durchgeführt wurden und die Schadsoftware somit keine allzu große Verbreitung gefunden hat. Es ist allerdings damit zu rechnen, dass nachdem das Problem nun bekannt ist, andere auf den Zug aufspringen und die Lücke in großem Stil ausnutzen, um Bot-Netz-Clients und Spionage-Software zu verbreiten. Das bedeutet, dass man seine Windows-Systeme umgehend absichern sollte. Es ist zu hoffen, dass Microsoft möglichst bald einen Quickfix bereitstellt.

Quelle : www.heise.de

[SiLæncer]

Seit dem gestrigen Sonntag ist ein Proof-of-Concept-Exploit im Umlauf, der die bislang ungepatchte Windows-Lücke  bei der Anzeige von LNK-Dateien ausnutzt. Auch der Quellcode scheint bereits im Umlauf zu sein. Sobald die Windows-Shell versucht, das Icon der manipulierten LNK-Datei zu laden, sendet der Exploit die Meldung "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!" an den Windows-Debugger, um den Erfolg der Operation zu verkünden.

Angreifer können an dieser Stelle beliebigen Programmcode ausführen, ohne dass das Opfer eine verdächtig wirkende EXE-Datei ausführen muss. Der Schadcode lässt sich auch via WebDAV oder Netzwerkfreigaben über das Netz ausführen, er muss sich hierzu nicht auf einem lokalen Datenträger befinden.

Mit der Veröffentlichung des Exploits wächst der Druck auf Microsoft, die seit rund einer Woche bekannte Sicherheitslücke zu schließen. Verwundbar sind alle noch unterstützten Windows-Versionen seit Windows XP. Während die bisherigen Angriffe noch sehr nach professioneller Industriespionage aussahen, dürften Kriminelle mittlerweile längst großflächig angelegte Attacken vorbereiten und dabei wenig wählerisch bei der Wahl ihrer Opfer sein.

Als Schutzmaßnahme empfiehlt Microsoft, die Anzeige von Icons für LNK-Dateien durch eine Änderung am Registrywert HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler abzuschalten. Allerdings sollte man zuvor ein Backup der bisherigen Einstellung anlegen. Darüber hinaus könne man den Web-Client-Dienst abschalten, um Angriffe via WebDAV zu verhindern.

Quelle : www.heise.de

[SiLæncer]

Während Microsoft noch an einem Patch arbeitet, spitzt sich die Lage weiter zu: Aufgrund der kritischen LNK-Sicherheitslücke  in den meisten Windows-Versionen hat das Internet Storm Center (ISC) nun die Gefahrenwarnstufe von Grün auf Gelb erhöht. Hiermit will das ISC der zu erwartenden Angriffswelle zuvorkommen und Anwender auf die drohende Gefahr aufmerksam machen. Weil das Security-Framework Metasploit nun ein entsprechendes Angriffsmodul enthält, das die Schwachstelle über WebDAV ausnutzt, kann sich im Prinzip jeder seinen eigenen Exploit bauen.

Derzeit kann man sich nur durch eine Registry-Modifikation schützen, welche Windows an der Darstellung von Verknüpfungs-Icons hindert. Die Navigation durch Startmenü, Desktop und Taskleiste wird dadurch allerdings zum Blindflug. Darüber hinaus soll man den WebClient-Dienst beenden, wodurch man nicht länger auf WebDAV-Freigaben zugreifen kann.

Blindflug: Wer den Workaround von Microsoft anwendet, verliert schnell den Überblick.

 

Der prominenteste Schädling, der sich über die LNK-Lücke Zugriff zum System verschafft, ist derzeit noch Win32/Stuxnet. Dieser scheint in erster Linie der professionellen Industriespionage zu dienen; konkrekt hat er es auf das SCADA-Prozessleitsystem WinCC von Siemens abgesehen, das etwa in Kraftwerken zum Einsatz kommen. Im Schadcode sind sogar fest eingestellte Zugangsdaten enthalten, mit denen sich der Trojaner Zugriff auf die Microsoft -SQL-Datenbank des WinCC-Systems verschafft. Siemens bestätigte gegenüber heise Security, dass "systeminterne Authentifizierung von WinCC zur Microsoft SQL-Datenbank [..] mit fest vorgegebenen Zugangsdaten" erfolgt. Ändern darf man diesen jedoch nicht, da sonst die Kommunikation zwischen WinCC und der Datenbank fehlschlage. Nach eigenen Aussagen prüfe man gerade eine "Verschärfung der Authentifizierung".

Wer bislang davon ausging, signierte Dateien seien weitgehend vertrauenswürdig, sollte zukünftig zwei Mal hinschauen. Denn der Profi-Spion Stuxnet ist mit einem Realtek-Zertifikat signiert. Verisign hat mittlerweile gegenüber heise Security bestätigt, dass das Zertifikat tatsächlich Realtek gehört. Allerdings hat es Verisign widerrufen, sodass eine Überprüfung der Signatur eine Warnung erzeugen sollte. Der Antiviren-Hersteller Eset hat schon jedoch einen Nachfolger gesichtet: Ein artverwandter Trojaner jüngeren Datums ist mit enem noch gültigen Zertifikat des Chipherstellers JMicron Technology signiert.

Der Trojaner ist mit einer gültigen, digitalen Unterschrift von "Realtek" versehen.

Wie genau sich die Kriminellen Zugriff auf die geheimen Zertifikatsschlüssel verschafft haben, ist der derzeit noch unklar. Möglicherweise wurden ausgelagerte Softwarehersteller bestochen oder signierten den Schadcode unwissentlich. Costin Raiu von Kaspersky spekuliert, dass die Unternehmen Opfer eines Trojaners wie Zeus geworden sein könnten, der auch digitale Zertifikate klaut. Vielleicht haben sich die Virenbauer aber auch physischen Zugriff zu den Systemen der beiden Unternehmen verschafft. Immerhin unterhält JMicron ein Büro im Hsinchu Science Park in Taiwan, in dem auch Realtek Büroräume angemietet hat.

Quelle : www.heise.de

[Jürgen]

Wozu in aller Welt muss es überhaupt möglich sein, über ein LNK-Icon irgendwelchen Code zu starten, statt nur über die Kommandozeile des Links?
Das entspricht in keiner Weise der ureigenen Aufgabe eines solchen Objekts.
Der Betriebssystemhersteller muss sich m.e. insofern zumindest leichtsinnigen Pfusch / grobe Fahrlässigkeit vorhalten lassen.

Nun frage ich mich, ob von solchen Gefahren auch Win2kPro betroffen ist. Da es keine allgemeinverfügbaren Sicherheitspatches mehr dafür geben soll, wäre das Ganze, M$ sicher nicht unwillkommen, ein wirklich wichtiger Grund, auf dieses System sofort zu verzichten, bezahlt oder nicht.
Man könnte aufgrund des zeitlichen Zusammenhangs mit dem Support-Ende wortwörtlich naheliegend auf Verschwörungs-Ideen kommen...

Jürgen
 

[SiLæncer]

Microsoft bietet auf seiner Supportseite seit dem heutigen Mittwoch Fix-it-Buttons an, über die man den Workaround, der die Nutzer vor den Folgen der ungepatchten LNK-Lücke  sämtlicher Windows-Versionen bewahrt, assistentengesteuert aktivieren und wieder rückgängig machen kann. Nach dem Eingriff ignoriert Windows die Icons von Programmverknüpfungen, wodurch die Navigation durch Startmenü, Desktop und Taskleiste zum Blindflug wird. Wer bislang sein System absichern wollte, musste händisch einen Wert in der Registry ändern, was zumindest grundlegende Computerkenntnisse erfordert.

Unterdessen kursieren verschiedene Lösungsansätze, welche die kritische Lücke unter Erhalt der Verknüpfungs-Icons schließen sollen. So klemmt sich etwa die Shell-Erweiterung LinkIconShim vor den verwundbaren LNK-Handler und soll die potenziell verdächtigen Icon-Verweise zur Systemsteuerung abfangen. Bei der Installation auf einem Testsystem erhielten wir jedoch eine Fehlermeldung, dass sich die DLL nicht registrieren ließe. Auch die Filtersoftware Ariad von Didier Stevens soll LNK-Dateien an der Ausführung von Schadcode auf einem 32-bittigen Windows hindern können. Der Autor weist jedoch ausdrücklich auf den Betastatus seiner Software hin und warnt vor dem produktiven Einsatz.

In Firmenumgebungen können auch Software Restriction Policies in einem gewissen Maße die Angriffsfläche reduzieren, wie Stevens in seinem Blog berichtet. Die Richtlinien sorgen dafür, dass nur noch Programmcode von bestimmten Laufwerken ausgeführt wird – befindet sich der Schadcode auf einem Wechseldatenträger oder einer Netzwerkfreigabe, wird er geblockt. Entpackt man jedoch ein ZIP-Archiv mit infizierten Dateien nach dem Download auf die Systemplatte, greifen die Richtlinien nicht.

Nachdem das Internet Storm Center (ISC) die Gefahrenwarnstufe aufgrund der LNK-Lücke am gestrigen Dienstag von Grün auf Gelb erhöht hatte, gibt die Website inzwischen wieder grünes Licht. Man habe das Ziel der Erhöhung, auf die drohende Angriffswelle aufmeksam zu machen, erreicht und werde die Warnstufe bei Sichtung eines größeren Angriffs unter Umständen wieder erhöhen, kommentiert das ISC.

Quelle : www.heise.de

[SiLæncer]

Die kritische LNK-Lücke  in Windows ist nach wie vor ungepatcht und ruft zunehmend Kriminelle auf den Plan: Inzwischen haben mindestens zwei weitere Schädlinge die Schwachstelle adoptiert. Die Dunkelziffer dürfte deutlich höher sein. Während der erste LNK-Trojaner Stuxnet noch nach dem Ergebnis professioneller Industriespionage aussieht, sind die neuen Würmer bei der Wahl ihrer Opfer nicht wählerisch.

Eset hat den Schädling Win32/TrojanDownloader.Chymine.A in freier Wildbahn entdeckt, der Kontakt mit einem US-Server aufnimmt und von dort den Keylogger Win32/Spy.Agent.NSO nachlädt. Außerdem soll nun auch der Wurm Win32/Autorun.VB.RP die LNK-Lücke als adäquaten Verbreitungsweg für sich entdeckt haben. Dabei wird der Schädling sogar selbst aktiv und produziert neue verseuchte LNK-Dateien zum Zwecke der raschen Fortpflanzung.

Dabei ist der volle Umfang des Problems noch längst nicht überschaubar. Klar ist, dass alle Windows-Versionen seit XP betroffen sind. In den letzten Tagen hat Microsoft außerdem die Information nachgeliefert, dass man auch in Office-Dokumente präparierte Verknüpfungen einbetten und zur Ausführung von Schadcode missbrauchen kann. Und nicht nur LNK-Dateien sind verwundbar: Laut dem aktualisiertem Advisory geht von PIF-Dateien die gleiche Gefahr aus. Einen Weg, die Lücke auch via E-Mail auszunutzen, will Core Security gefunden haben. Details nannte das Sicherheitsunternehmen jedoch nicht.

Auch das BSI warnt mittlerweile vor der Bedrohung: Bis die Lücke gepatcht ist, solle man die im Microsoft Security Advisory beschriebenen Schritte umsetzen. In der Tat ist das Fix It von Microsoft die einfachste Methode, einen Rechner schnell vor den drohenden Angriffen abzusichern. Allerdings muss man dabei Komforteinbußen in Kauf nehmen, denn Windows zeigt danach alle Verknüpfungen nur noch mit einem einheitlichen Icon an.

Im Übrigen hat Microsoft die offizielle Dokumentation des LNK-Dateiformats ("[MS-SHLLINK]: Shell Link (.LNK) Binary File Format") kommentarlos vom Server entfernt.

Böse Zungen spotten, das sei wegen der Beschreibung der Sicherheit des Formats auf Seite 48 geschehen.

Quelle : www.heise.de

[SiLæncer]

Angesichts sich ausbreitender LNK-Schädlinge ist es allerhöchste Zeit sich zu schützen. Mit G Data und Sophos springen gleich zwei AV-Hersteller in die Lücke, die der ausbleibende Patch von Microsoft hinterlässt.

Microsoft empfiehlt bisher als Schutz ein so genanntes Fix-it, das die Anzeige aller Link-Icons abschaltet. Damit wird die Arbeitsumgebung aber an einigen Stellen reichlich unübersichtlich. Deshalb gehen die Tools der Antiviren-Hersteller selektiver zu Werke. Sie installieren einen eigenen Icon-Handler für LNK-Dateien, der die Anzeige nur bei gefährlichen Links blockiert.


Das G-Data-Tool ersetzt das Icon gefährlicher LNK-Dateien.

Beim G Data LNK-Checker funktionierte dies in unseren Kurztests zuverlässig. Bei allen getesteten Demo-Exploits erschien ein Einbahnstraßenschild als Icon, während die normalen Verweise auch ganz normal funktionierten. Allerdings ist es auch weiterhin möglich, bösartige LNK-Dateien anzuklicken und den Schädling damit manuell zu starten. Das muss dann ein Virenwächter blockieren.

Das Shortcut Exploit Protection Tool von Sophos versucht ebenfalls, bösartige LNK-Dateien abzufangen und präsentiert statt dem Icon ein Warnfenster mit dem Text:

Potential exploit found in shortcut [name.lnk].
Prevented launching file [name.lnk]

Das Sophos-Tool schützt nicht in allen Fällen. Hier startet eine LNK-Datei auf einem USB-Stick ein Programm.

Allerdings schützt dieses Tool nur begrenzt. So springt es laut Dokumentation  grundsätzlich nicht auf Dateien an, die sich auf lokalen Festplatten befinden. Dies erlaubt es weiterhin, sich etwa durch das Auspacken eines ZIP-Archivs zu infizieren. Außerdem konnte im Kurztest ein Demo-LNK-Exploit auf einem USB-Stick weiterhin Programme auf der lokalen Festplatte starten, was ebenfalls ein unnötiges Risiko darstellt. Graham Cluley von Sophos bestätigte dieses Verhalten auf Nachfragen als konzeptbedingt.

Beide Tools arbeiten unabhängig von der installierten AV-Software. Sie ließen sich reibungslos installieren und durch einen zweiten Aufruf des Installers auch wieder entfernen. Nach Einschätzung von heise Security ist damit derzeit das G-Data-Tool als Alternative zu Microsofts Fix-it klar vorzuziehen.

Dass man sich schützen sollte, machen auch die langsam bekannt werdenden Fälle mit konkreten Infektionen deutlich. So bestätigte die Pressesprecherin Helen Däuwel der Daimler AG gegenüber heise Security Berichte über Viren-Probleme im Firmennetz des Autobauers. Die Ausbreitung eines Virus namens W32.Changeup führte letzte Woche zur Abschaltung mehrerer File-Server. In wenigen Fällen – Däuwel sprach von weniger als 1 Prozent – sei dabei auch die Variante W32.Changeup.C gesichtet worden, die unter anderem die LNK-Lücke ausnutzt. Wie der Wurm ins Netz kam, wollte die Sprecherin nicht kommentieren, die Situation sei aber mittlerweile wieder unter Kontrolle.

Quelle : www.heise.de

[SiLæncer]

Das Zeus-Botnetz nutzt neuerdings die bereits bekannte Sicherheitslücke im Iconhandler von Windows aus um sich zu verbreiten. Dazu verschickt das Netzwerk laut Trend Micro und F-Secure gepackte Dateien, in denen sich Dateien befinden, die die Sicherheitslücke ausnutzen.

Per Social Engineering wird der Nutzer aufgefordert, sich den Inhalt genauer anzuschauen. Mitunter mit dem perfiden Hinweis, dass diese E-Mail von Microsoft stamme und mit einem Passwort-geschützten Anhang versehen sei. Der Inhalt des Archivs solle die Sicherheitslücke schließen, die ausgenutzt wird. So werden ausgerechnet die Nutzer zu Opfern, die von der Sicherheitslücke am Rande etwas mitbekommen haben, aber nicht vollständig informiert sind.

Wie gehabt genügt das reine Betrachten des Inhalts einer solchen Datei. Damit ist der Angriff gefährlicher als typische Angriffe mit gepackten Dateien, die ein Anklicken des Inhalts erfordern. Der ein oder andere Nutzer wird möglicherweise glauben, dass das reine Entpacken zur Kontrolle keinen Schaden auslösen kann.Der Umstand, dass sich das Zeus-Botnetz der Sicherheitslücke angenommen hat, sollte Sorge bereiten. Das Netzwerk ist groß genug, um etwa mit Leichtigkeit auch angeschlossene USB-Sticks oder SD-Karten in Massen zu verseuchen und sich so weiterzuverbreiten.

Derweil berichten mehrere Antiviren-Hersteller, dass sie Versuche, die Sicherheitslücke auszunutzen, erkennen können. Damit dürften auch neue Angriffe ihre Wirkung verfehlen. Grundsätzliche Vorsicht ist aber dennoch geboten, da noch nicht jede Software den Angriff erkennt.
Interessanter Nebenaspekt der Sicherheitslücke: Verschiedene Antiviren-Hersteller zitieren sich in ihren Blogs gegenseitig und machen auf die Erkenntnisse anderer aufmerksam. Sie vergessen ausnahmsweise, dass sie eigentlich Konkurrenten sind.

Ein Patch von Microsoft ist in Arbeit, allerdings ist noch nicht bekannt, wann dieser erscheint.

Quelle : www.golem.de

[SiLæncer]

Microsoft kündigt für Montag ein außerplanmäßiges Update für die LNK-Lücke an. Durch einen Fehler in Windows  können LNK- und PIF-Dateien beliebige Programme starten. Dazu genügt es, dass der Anwender den Ordner öffnet, der den Link enthält – also etwa einen infizierten USB-Stick oder eine Netzwerkfreigabe. Dies wurde in den letzten Tagen vermehrt ausgenutzt, um Systeme mit Schadsoftware zu infizieren.

Das bisher verfügbare Fix-it von Microsoft verhindert die Anzeige von Icons für diese Link-Dateien komplett und machte damit den Desktop in vielen Fällen recht unübersichtlich. Die von Antiviren-Herstellern bereitgestellten Tools kämpfen ebenfalls mit Problemen. Das Microsoft-Update soll Montag Abend gegen 19:00 Uhr nach deutscher Zeit erscheinen und wird danach über die automatische Update-Funktion von Windows verteilt.

Quelle : www.heise.de

[SiLæncer]

Microsoft hat wie angekündigt das außerplanmäßige Update MS10-046 für die LNK-Lücke in Windows bereitgestellt. Der Softwarehersteller behebt damit einen Fehler in der Windows Shell bei der Auswertung von Parametern von LNK- und PIF-Dateien. Die Lücke lässt sich ausnutzen, um beim Anzeigen der Icons beliebige Programme zu starten. Dazu genügt es, dass ein Anwender einen Ordner mit präparierten Dateien öffnet, beispielsweise auf einem infizierten USB-Stick, einer Netzwerkfreigabe oder einem WebDAV-Ordner.

Betroffen sind alle von Microsoft unterstützten Betriebssysteme von Windows XP (SP3) bis Windows 7 und Server 2008 R2. Anwender, die bereits das Fix-it-Tool als temporäre Lösung verwendet haben, müssen den Vorgang nach der Installation des Updates rückgängig machen, um die Icons der Verknüpfungen wieder sehen zu können.

Kriminelle haben bereits Schädlinge in Umlauf gebracht, die die Lücke zur Infektion von PCs ausnutzen. Unter anderem verbreitete sich ein Trojaner über die LNK-Lücke auch im Netz der Daimler AG.

Quelle : www.heise.de

[SiLæncer]

Ein Registry-Eingriff ermöglicht es Nutzern von Windows XP SP2, die kritische LNK-Lücke mit dem offiziellen Patch zu schließen, wie F-Secure berichtet. Microsoft hat den Support für das Service Pack 2 am 13. Juni eingestellt und bietet den LNK-Patch nur für Windows-Versionen ab XP SP3 an. Ändert man aber in der Registry den Wert HKLM\System\CurrentControlSet\Control\Windows\CSDVersion  von 200 auf 300 und führt anschließend einen Neustart durch, kann man die Versionsabfrage des Installers offenbar austricksen und den Patch trotzdem installieren.

Ersten Tests von F-Secure zufolge haben die LNK-Exploits so auch unter SP2 keine Chance mehr, das System zu unterwandern. Den Einsatz des Tricks in einer Produktivumgebung empfiehlt der Antivirenspezialist dennoch nicht, da er die Stabilität des Systems beeinflussen könne. Das SP3 ebnet mit über 1000 Fixes den Weg für zukünftige Patches und enthält aktualisierte Versionen von Systemkomponenten wie den Core XML Services und dem Background Intelligent Transfer Service (BITS). Auch an Windows Installer und Management-Konsole (MMC) hat Microsoft im SP3 gefeilt.

Man sollte daher nicht auf Biegen und Brechen versuchen, Patches für das Service Pack 3 auf ein SP2-System zu installieren, da man eventuelle Abhängigkeiten zu SP3-Aktualisierungen nicht ausschließen kann. Wer auf Nummer sicher gehen und auch zukünftig mit frischen Updates versorgt werden will, sollte gleich das Service Pack 3 installieren. Den Support für das SP3 stellt Microsoft erst am 8. April 2014 ein.

Quelle : www.heise.de

[SiLæncer]

US-Medienberichten zufolge hat der in Zusammenhang mit der LNK-Lücke  bekannt gewordene Stuxnet-Wurm weltweit 14 Industrieanlagen in den USA, Südkorea, UK und dem Iran befallen, auf denen die zur Anlagensteuerung eingesetzte SCADA-Software WinCC von Siemens läuft. Stuxnet ist speziell darauf ausgerichtet, Systeme mit dieser Software zu manipulieren. Laut Symantec ist der Wurm sogar in der Lage, die etwa zur Pumpen- oder Ventilsteuerung vor Ort eingesetzten speicherprogrammierbaren Steuerungen (SPS) über das WinCC-System zu infizieren.

Der Analyse zufolge kann Stuxnet einzelne Codeblöcke in den SPS gegen neue austauschen oder hinzufügen – insgesamt soll er 70 solcher (verschlüsselter) Blöcke mitbringen, um neue Funktionen zu implementieren. Der Schädling macht sich sogar die Mühe, seine Manipulationen auf der SPS zu verschleiern: Ruft ein WinCC-Anwender die Codeblöcke ab, so sollen die vom Wurm hinzugefügten Blöcke des Wurms nicht sichbar sein. Symantec spricht in diesem Zusammenhang vom weltweit ersten bekannten Rootkit für SPS.

Stuxnet agiert allerdings nicht autonom, vielmehr verschafft er seinen Schöpfern einen Fernzugriff auf WinCC-Systeme, die dann einzelne SPS selektieren und deren Verhalten ändern können. Unklar ist bislang aber, welche Funktionen der neue Code enthält und ob er nur zur Überwachung durch gegnerische Kräfte dient oder gar Störungen verursachen soll. Symantec erwähnt in seinem Blog einen historischen Fall, bei dem durch eine trojanisierte Ventilsteuerung der Druck in einer Pipeline bis zum Bersten erhöht worden sein soll. Selbst wenn Anlagenbetreiber ihre WincCC-Systeme vom Stuxnet-Wurm gesäubert haben, können Teile der speicherprogrammierbaren Steuerung noch betroffen sein.

Bei den Analysen des Wurms war man auch auf weitere, bis dato unbekannte Sicherheitslücken in Windows gestoßen, die der Wurm zu Weiterverbreitung über das Netz und zur Erhöhung der Rechte auf infizierten Systemen ausnutze. Eine der Lücken hat Microsoft am vergangenen Patchday geschlossen.

Der Wurm macht sich zudem die von Siemens fest programmierten Zugangsdaten für die zugrundeliegene MS-SQL-Datenbank zunutze, um Zugriff auf Daten des SCADA-Systems zu erhalten.

Quelle : www.heise.de

[SiLæncer]

Nach Angaben von Siemens hat der Stuxnet-Wurm auch Industrieanlagen in Deutschland befallen. Rund ein Drittel der 15 dem Hersteller bekannten Infektionen in Anlagen entfallen laut Wieland Simon, Pressesprecher von Siemens, auf deutsche Anlagen in der Prozessindustrie. Siemens-eigene Anlagen sollen nicht betroffen sein.

Siemens bestätigte, dass Stuxnet laut eigener Analysen theoretisch in der Lage ist, speicherprogrammierbare Steuerungen (SPS) zu manipulieren. Allerdings habe man dieses Verhalten bislang nicht in der Praxis beobachtet. Laut Simon untersucht Stuxnet die Konfiguration eines befallenen WinCC- oder PC7-Systems auf vorhandene Datenbausteine. Findet er die gewünschten, so wird er aktiv und modifiziert den Code in den Steuerungen. Findet er sie nicht, bleibt er inaktiv. Offenbar ist der Wurm auf der Suche nach bestimmten Anlagentypen, um sie zu manipulieren. Angaben dazu, welche Typen betroffen sind, machte Siemens nicht. Konzernangaben zufolge wurde noch kein System beobachtet, auf dem er aktiv wurde.

Der auf Sicherheit für Automatisierungssysteme spezialisierte Anbieter Langner hat auf seinen Seiten eine genauere Analyse veröffentlicht, wie Stuxnet welche SPS-Module manipuliert. Demzufolge schleust er bei der Übertragung von Codeblöcken in die SPS eigenen Code ein. Um die Übertragung zu manipulieren, lenkt er die Daten über eine Wrapper-DLL um, bevor sie durch die originale Bibliothek s7otbxdx.dll des SIMATIC Device Operating System weiterverarbeitet werden.

Quelle : www.heise.de