http://www.a-net.ch Neuigkeiten rund um die Netzwerksicheherheit de www.anettgmbh.ch http://www.a-net.ch/a-net_blue186.png http://www.a-net.ch [13.5.2007] Diesmal haben die Hacker in den Office-Produkten zugeschlagen. Ausserdem sind auch Exchange, Internet Explorer und der DNS - Server betroffen. Alle diese Fehler werden von Microsoft als kritisch eingestuft. Damit sind einige Patches einzuspielen. http://www.microsoft.com/technet/security/Bulletin/MS07-may.mspx [8.8.2006] Wieder einmal hat ein Buffer Overflow ein Sicherheitsloch aufgemacht: Eine entsprechend gemachte Webseite kann dieses Loch benutzen, um die komplette Kontrolle über das System zu erhalten. Es genügt, die Hilfe aufzurufen. Betroffen sind alle neueren Windows-Versionen von Windows Server 2003, Windows XP und Windows 2000, auch mit den aktuellen ServicePaks. Flicken dazu finden Sie unter dem Link: http://www.microsoft.com/technet/security/Bulletin/MS06-046.mspx [7.7.2006] Mindestens waren Sie dies einmal. Jahrelang funktionierten die Bankomaten unter OS/2 und es wurde nie eine Schwäche bekannt. Seit diese Systeme vermehrt auf Windows umgestellt werden, werden zunehmend Verletzlichkeiten bekannt. Lesen Sie mehr dazu im folgenden Artikel (auf Englisch). Interessant ist die Aussage im 7. Abschnitt, gemacht von der Verantwortlichen für 107'000 ATMs, Sandra Jones von der MAX Federal Credit Union: "When MAX moved from the OS/2 operating system to the advanced technology of Windows, we quickly realized that the system required closer management than our previous systems". Die Betreuung der neuen Systeme ist wesentlich aufwendiger, als diejenige der alten. Ist das "advanced technology?" http://finanzen.net/news/news_detail.asp?NewsNr=412026 [12.5.2006] Wer glaubt, dass ein Kalender ohne Gefahren ist, der irrt. Ueber die iCal-Schnittstelle kann ein Angreifer durch den Versand einer speziell geformten eMail mit iCal/vCal Eintrag die vollständige Kontrolle über das System erlangen. Es wird empfohlen, die aktuellen Flicken einzuspielen. http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-019.mspx [24.3.2006] Im Internet wurde Code veröffentlicht, der es erlaubt, das System nach dem Besuch einer Website zu übernehmen. Da der Code im Internet publiziert wurde, ist damit zu rechnen, dass viele Seiten versuchen werden, dies auszunützen. Unser Rat: vergessen Sie den IE, die Löcher haben kein Ende! www.computerbase.de/news/software/browser/2006/maerz/exploit_sicherheitsluecke_internet_explorer/ [31.1.2006] Der Wurm Small.Kl@mm kommt via eMail und verbreitet sich dann übers interne Netzwerk weiter. Er hat eine gefährliche Eigenart: Er löscht alle Dokumente (.doc, .xls, .ppt, .mdb, .pdf etc.) und tut dies auch auf den Netzwerkfreigaben. So wird mann rasch alle seine Texte, Tabellen, Access-Datenbanken usw. los! Sichern Sie Ihre Daten auf ein externes Medium wie Tape und CD-ROM. Ausserdem sollte das Antivirenprogramm aktuell sein (neuer als 28.1.2006). Auf der Platte nistet sich der Wurm als scanregw.exe und rundll16.exe (Hidden Datei) ein. Falls Sie mit dem Befehl dir \scanregw.exe /s diese Datei finden, haben Sie den Wurm! Ausserdem schaltet er diverse Antivirenprogramme aus. http://www.norman.com/Virus/Virus_descriptions/28031/ [4.12.2005] Ein Loch wurde von MicroSoft als undramatisch eingestuft. Man glaubte, nur der Internet Explorer gelange zum Absturz. Nun wird klar, das Loch ist weit gefährlicher: Schon der Besuch einer Website infisziert den Computer! Ein Patch steht immer noch aus, lediglich Windows 2003 Server ist sicher, falls Active Scripting deaktiviert ist. Es bleibt wohl wirklich nur der Umstieg auf einen sicheren Browser, IE MUSS man schlicht vergessen. http://www.computerbase.de/news/software/browser/2005/dezember/schwere_sicherheitsluecke_internet_explorer/ [24.11.2005] Der Wurm aus der MYTOB-Familie kommt via e-Mail daher und verbreitet sich mit einer Auswahl von Texten wie "MEMBERS SUPPORT" und "You have successfully updated your password". Wenn man auf den Anhang klickt, wird der Wurm installiert als syst.exe. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYTOB.MX [21.11.2005] Wenn Sie unerwartet Post vom FBI bekommen, stammt die Nachricht eher vom Wurm SOBER.AB. Im Anhang File-packed_dataInfo.exe steckt die ungesunde Fracht. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.AG [7.10.2005] Diese Variante von Sober kommt als Klassenfoto.zip daher und wird nur mit den neuesten Antiviren Signaturen vom 6.10.2005 erkannt. Geben Sie in einem Befehlsfenster folgenden Befehl ein: [dir c:\services.exe /s]. Wenn die Datei auch IM VERZEICHNIS \Windows\ConnectionStatus\services.exe gefunden wird, (in den Verzeichnissen \Windows\System32 und \Windows\System32\dllcache ist sie normal) und ein Datum ab 6.10.2005 hat, dann ist Ihr Sytem befallen. Heise hat eine Anleitung, wie man das Ding wieder los wird. Löschen Sie im abgesicherten Modus im Verzeichnis C:\Windows\ConnectionStatus die Dateien serverice.exe und netslot.nst. Ausserdem im Verzeichnis C:\Windows\System32 die Dateien bbvmwxxf.hml, gdfjgthv.cvq, nonrunso.ber, rubezahl.rub und sepplemx.smx. http://www.heise.de/security/news/meldung/64627 [6.10.2005] Die neue Variante kommt als Anhang per e-Mail. Wenn man den Anhang aufmacht, erscheint eine Fehlermeldung und er installiert er ein paar Datein. Damit wird der PC zur eigenen Mailschleuder mit SMTP. Diese Funktion belastet auch die Bandbreite und Sie bemerken eine Verlangsamung des Internetzugriffs. Seine Meldungen sind teilweise auch in Deutsch! http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.AC [19.9.2005] Das Rollup1 für Windows 2000 fasst alle Sicherheitsrelevanten Patches zusammen und ist so etwas wie der Ersatz des ServicePak5 (das es nicht mehr geben wird). Die erste Version führte (wie wir bereits erwähnten) auf gewissen Systemen zu Problemen. So konnten einige Systeme nach der Installation nicht mehr booten (Stop 0x000001E), MS Officeprogramme konnten nicht mehr auf Disketten schreiben, Systeme hatten zwei Systemlaufwerke, Citrix-Server waren nicht mehr erreichbar, etc. Nun liegt die Version 2 vor, die alle diese Probleme beheben soll. Wir haben es kurz getestet und es hat bei uns funktioniert. Trotzdem ist eine Sicherung der Daten vor der Installation dringend zu empfehlen. Leider ist auch hier wieder der unsinnige Zwang vorhanden, den Patch auf einem Windows 2000 System herunterzuladen und einen Test über sich ergehen zu lassen, der ActiveX benötigt. Wir haben es hier in der Deutschen Version heruntergeladen, damit Sie auch mit Firefox usw. die Datei erhalten können. Benutzen Sie den Link, um direkt bei der Microsoft den Patch auch in anderen Sprachen zu erhalten oder um mehr Informationen zu den korrigierten Fehlern zu erhalten. Erfreulich: Die Besucher unserer Website zeigen sich sicherheitsbewusst, über 50% arbeiten mit Firefox/Mozilla! http://www.anetgmbh.ch/rollup-w2k.html [12.9.2005] Skrupellose "Phisher" versuchen sogar vom Unglück des Hurrikans Katrina zu profitieren. Mit e-Mails werden die Opfer auf echt aussehende Seiten von caritativen Organisationen gelockt. Dort versucht man nicht nur eine Spende zu ergaunern, sondern gleich noch die Kontodaten des unaufmerksamen Benutzers zu erhalten. So lassen sich ausser der abgezweigten Spende noch weitere "Bezüge" einfädeln. Achten Sie deshalb auf Phishing Attacken. Ein Hilfsmittel ist ein Plugin für den Firefox: Es sperrt bekannte Phishing Sites und zeigt an, ob eine bekannte NewYorker Seite z.B. aus China stammt. (s. Firefox-Menu: Tools --> Extensions --> Get More Extensions --> Privacy and Security -- > FraudEliminator 2.3.4, nur für Windows). http://www.us-cert.gov/current/current_activity.html#kat [16.8.2005] Der Wurm Zotob ist für Windows 2000 gefährlich. Er holt sich den schädlichen Code von einem befallenen System über irgend einen Port. Dann versucht er, sich weiter zu verbreiten. Seine Opfer findet er über den Port 445 (Microsoft DS). Ursache ist ein Buffer Overflow in der Plug + Play Komponente ausschliesslich von Windows 2000. (So war Plug + Play eigentlich nicht gedacht). Wer den Patch von MS06-039 bereits installiert hat, ist sicher. Bei Befall kann der Angreifer beliebigen Code ausführen. http://www.microsoft.com/security/incident/zotob.mspx [9.8.2005] Microsoft stellt Patches für Windows und den Internet Explorer zur Verfügung. Da so ein Angreifer das Opfer auf eine Webseite mit bösartigem Code locken und anschliessend die Kontrolle über das ganze System erlangen kann, wird der Patch als sehr wichtig eingestuft. Leider muss zur Installation der Internet Explorer benutzt werden. Es ist nicht gerade sinnvoll, die Benutzer zum Verwenden des unsichersten Browsers zu zwingen! Verwenden Sie sonst möglichst Firefox oder Opera. http://www.microsoft.com/security/bulletins/200508.mspx [12.7.2005] Das Color-Management der Windows-Systeme kann missbraucht werden mit präparierten Bildern auf Webseiten und in e-Mails. Der Angreifer kann so die Kontrolle über das ganze System erlangen. Es wird empfohlen, einen Patch einzuspielen (s. Link) http://www.microsoft.com/technet/security/bulletin/ms05-036.mspx [12.7.2005] Via Word kann ein Angreifer beliebigen Code ausführen. Falls ein Benutzer als Administrator auf einem Windows System arbeitet, kann ein Angreifer via Word die totale Kontrolle über das System erlangen. Lösung: OpenOffice verwenden oder Patch einspielen (s. Link) http://www.microsoft.com/technet/security/bulletin/ms05-035.mspx [6.7.2005] Die Internet Explorer Versionen 5.01, 5.5 und 6.0 erlauben die Ausführung von beliebigem Code. Im Microsoft Advisory 903144 wird empfohlen, die Sicherheit im IE auf hoch zu stellen und Javaprxy.dll zu deaktivieren. So wird vor jeder Ausführung von ActiveX gewarnt. http://www.microsoft.com/technet/security/advisory/903144.mspx [2.7.2005] Die Zeiten von Windows 2000 gehen zu Ende! Microsoft plant, den Support für Windows 2000 diesen Sommer einzustellen. Damit wird wohl kein ServicePack 5 mehr erscheinen. Offen bleibt, was Benutzer bei später entdeckten Exploits tun sollen (ausser einem Upgrade auf XP oder Linux). Das Security Rollup enthält alle Patches seit dem Erscheinen des ServicePack4 und kann in einem Rutsch und mit einem Reboot installiert werden. http://www.a-net.ch/rollup-w2k.html [18.6.2005] Bei der in Tucson ansässigen Firma CardSystems Solutions Inc. konnten Hacker offenbar etwa 40 Millionen Kartenummern klauen. Dabei scheinen auch etwa 6'000 Nummern von Schweizer Karten betroffen zu sein. Laut 20 minuten sind dies Karten von Viseca und Swisscard. Es empfiehlt sich, die Abrechnungen in nächster Zeit besonders genau zu kontrollieren. http://www.msnbc.msn.com/id/8260050/ [5.6.2005] Der Wurm BOBAX.P verbreitet sich wiederum mit einer eigenen, kleinen SMTP Engine. Die Mails versuchen den Benutzer zum Oeffnen des Attachments zu bewegen. Dazu dienen Betreffzeilen wie "Sadam Hussein - Attempted Escape, Shot dead" oder "Osama Bin Laden Captured" und "Remember this?". Wird das Attachment aktiviert, wird der Wurm automatisch nachgeladen und startet seine SMTP Engine. Achten Sie auf aktuelle Antiviren Signaturen. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BOBAX.P [1.6.2005] Laut Trendmicro treibt eine neue Variante von MYTOB sein Unwesen auch in Belgien und Deutschland. Mit einer eigenen SMTP-Engine versendet er sich als Anhang von 29'868 B an Adressen auf dem befallenen System. Er hinterlässt eine Datei LIEN VAN DER KELDERRR.EXE im Windows Systemordner. Er behauptet, dass der e-Mail Account gesperrt wird und verlangt Angaben. Er öffnet einen Port und wartet auf fremde Befehle! http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYTOB.BI [12.5.2005] Trendmicro beschreibt einen neuen Wurm, der die Eingaben der Tastatur aufzeichnet und so an vertrauliche Informationen gelangen kann (z.B. Benutzerkennungen und Passwort). Die Verbreitung ist momentan noch klein, das Schadenspotential ist jedoch gross. Aktuelle Updates der Antiviren Software sollten das Ding im Griff haben. Das Auffinden gestaltet sich schwierig, da der Name der Dateien per Zufall generiert wird. http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM_WURMARK.J [3.5.2005] Symantec meldet, dass eine neue Wurm-Variante namens W32.sober.O die Menschheit mit Massenmails "beglückt". Er versendet sich von befallenen Systemem an Adressen, die er in verschiedenen Dateien auf dem PC findet. Die Texte sind deutsch und englisch: # Ihr Passwort # Mail-Fehler! # Ihre E-Mail wurde verweigert # Ich bin's, was zum lachen ;) # Glueckwunsch: Ihr WM Ticket # WM Ticket Verlosung # WM-Ticket-Auslosung # Fussball Fan's sollten also aufpassen. Auf dem System werden folgende Dateien angelegt: # csrss.exe # packed1.sbr # packed2.sbr # packed3.sbr # services.exe # smss.exe http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.o@mm.html [2.5.2005] Auf der CERT-Datenbank sind Anleitungen zum Abdichten neuer Löcher: 3 betreffen den Internet Explorer (DHTML, URL Checker, Content Advisor), je eines den Mail Server Exchange, den MSN Messenger (GIF) und den Windows TCP/IP Protocol Stack. Alle erlauben dem Angreifer das Ausführen von beliebigen Programmen. http://www.us-cert.gov/cas/techalerts/TA05-102A.html [24.4.2005] Ein neuer Wurm treibt sein Unwesen. Er verteilt sich via Peer-to-Peer Netzwerke. Den Benutzer lockt er als Crack für ein DVD-Kopierprogramm. Wird ein System befallen, sucht er alle MP3-Dateien und löscht sie. Ausserdem verhindert er, dass die Systemsteuerung geöffnet werden kann und blockert auch den Task-Manager. http://www.sophos.de/virusinfo/articles/nopirb.html [22.4.2005] Die neue Variante von Netsky verbreitet sich via HTML und befällt Systeme mit Internet Explorer 5.01 und 5.5. Dabei benutzt er die automatische Ausführung von MIME-Typen. Benutzer von Firefox, Mozilla und Opera sind nicht betroffen. http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?VName=HTML_NETSKY.P [18.4.2005] Eine neue Version 1.0.3 des immer beliebteren Browsers Firefox behebt 9 Fehler und schliesst Lücken. Es wird empfohlen auf die neue Version umzusteigen, um weiterhin von der grossen Sicherheit des Browsers zu profitieren. Immer wichtiger ist die Unterstützung von CSS Version 2.0, die der Firefox bereits beherrscht. http://www.mozilla.org [9.4.2005] Die Bundesanwaltschaft Osnabrück ermittelt gegen zwei Betrüger-Firmen "Liquid Inc." und "DYI Media Inc.", die mit Dialer-Programmen tausende von Internet-Benutzern betrogen haben. Dabei erreicht der Schaden jeweils zwischen etwa 200.- und 5'000.- Franken. Falls Sie davon betroffen sind, sollten Sie mit dem PC zur Polizei gehen, ohne (!) das Programm zu löschen. Nur so kann der Betrug bewiesen werden und Sie haben eine Chance, Ihr Geld zurück zu bekommen. Auch in der Schweiz waren die Programme aktiv mit folgenden 906-Telefon-Nummern: 906-636465, 666935, 666937, 666938, 750046 http://www.polizei.niedersachsen.de/dst/brwe/pi_osnabrueckstadt/Fahndung/dialer_os/dialer_os.htm [31.3.2005] Der Internet Explorer ist seit Jahren eines der "beliebtesten" Einfallstore für Viren und Würmer. Der Heise Verlag (publiziert unter anderem die Zeitschrift c't) hat auf seiner Website verschiedene Tests für IE 5.x und 6.x bereitgestellt. Machen Sie die Tests indem Sie jeweils auf [Test] klicken oder - besser - wechseln Sie zu einem sichereren Browser der auch CSS 2 beherrscht: den Firefox. http://www.heise.de/security/dienste/browsercheck/demos/ie/ [28.3.2005] Wer will denn nicht noch schneller im Internet sein. Hüten Sie sich jedoch vor falschen Beschleunigern! Verschiedene Websites bieten Surf-Turbos zum Herunterladen an. Dabei werden alle Ihre Anfragen via einen Proxy-Server umgeleitet. Das mag mit Hilfe eines Caches einen geringen Geschwindigkeitsvorteil bringen, man muss sich aber bewusst sein, dass alle Ihre Anfragen von diesem Proxy aufgezeichnet werden können. Dabei werden nicht nur Ihre "normalen" Surf-Gewohnheiten erfasst, sonder auch gleich ein "vertrauenswürdiges" Zertifikat auf Ihrem PC gespeichert. Wenn Sie nun eine verschlüsselte Anfrage starten, werden die Daten zum Proxy verschlüsselt, beim Proxy aber (dank Zertifikat) wieder entschlüsselt und vom Proxy neu verschlüsselt weitergereicht. Dabei ist es ein leichtes, Ihre "geheimen" Daten aufzuzeichnen. http://www.bsi-fuer-buerger.de/abzocker/05_09.htm [21.3.2005] Der Wurm win32.Bagle.bb befällt Windows-Systeme und sendet in rauhen Mengen Spam-Mails an die geplagten Benutzer. Er verbreite sich in verschlüsselter Form und ist daher schwer zu entdecken. Er installiert sich als winshost.exe und deaktiviert gemeinerweise Virenscanner und Software-Firewalls auf dem PC. Dadurch ist das System ohne Schutz allen anderen Viren ausgeliefert. Wir empfehlen, nicht auf Software-Firewalls unter Windows alleine zu vertrauen, sondern eine externe Firewall (ohne Windows) einzusetzen. http://www.computerbase.de/news/internet/hacker_sicherheit/2005/maerz/neue_variante_bagle-wurms/ [11.3.2005] Traditionsgemäss ist etwa alle 6 Monate ist eine neue Linux Version von SuSE/Novell zu erwarten. Scheinbar ist es im April wieder soweit und es sollte die Version 9.3 kommen. Neben der bereits etablierten 64-bit Version ist auch eine Vorabversion von OpenOffice 2.0 enthalten. Auch VoIP ist mit von der Partie und Gimp 2.2. Betont wird auch die Sicherheit mit aktuellem Kernel 2.6.11 und eingebauter Firewall. http://www.novell.com/de-de/products/linuxprofessional/preview/ [9.3.2005] Wie im Schweizer Fernsehen SF1 gestern berichtet wurde, schlug ein Virus beim Migros Genossenschaftsbund zu. Dies geschah, obwohl mit Antiviren SW und einem guten Patch-Management oft bis zu 4 Updates pro Tag verteilt wurden! http://www.sfdrs.ch/system/frames/news/index.php [8.3.2005] Der Wurm KELVIR.B verbreitet sich via MSN Netzwerk. Dabei wird eine Datei link.net/gallery10/omg.pif verbreitet. Statt zum Lachen (lol! see it! u'll like it!) lädt das Programm eine Datei SDBOT.AUI herunter. Damit versendet sich der Wurm an alle Kontakte im MSN-Verzeichnis. Achten Sie auf aktuelle Antiviren-SW. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_KELVIR.B [8.3.2005] Der Wurm FATSO.A verbreiten sich via MSN Netzwerk und auch via eMule. Sonst verhält er sich wie sein Kollege KELVIR.B: Infizierte Systeme versenden den Wurm an alle Kontakte im MSN-Verzeichnis. http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_FATSO.B [4.3.2005] Allfällige Veränderungen in der WEB-Statistik können ein Hinweis auf Angriffe aus dem WEB sein. Gerade ein sprunghafter Anstieg der Anzahl der Zugriffe wird oft durch flächendeckende Attacken mit Roboter-Programmen verursacht. In einer WEB-Statistik kann dies leicht erkannt werden. http://www.a-net.ch/statistics/ [2.3.2005] Die Status-Seite eines Apache WEB-Servers zeigt die momentane Belastung des Servers an. Damit kann leichter abgeschätzt werden, ob die Anzahl paralleler Threads erhöht werden sollte. http://www.a-net.ch/server-status/