Ein gutes, neues Malware-Jahr

16.01.2013
G DATA Blog

In der Weihnachtszeit gibt es doch nichts Schöneres, als den Lieben das zu schenken, was sie sich von Herzen gewünscht haben. Wir alle freuen uns sehr darüber, mal einige Tage frei zu haben. Doch die bösen Jungs nutzen diese Tage offenbar dazu, Exploit-Möglichkeiten und andere Bugs in der von uns genutzten Software zu finden und dafür zu sorgen, dass Nutzer in aller Welt ganz „spezielle“ Geschenke zum neuen Jahr bekommen. Sehen wir uns einmal an, wie das Jahr begonnen hat. Wir werden dabei eine Reihe von Bedrohungen aufzeigen, auf die wir in den vergangenen Wochen gestoßen sind.

Wir können Bedrohungen an zwei wichtigen Fronten erkennen: Ruby on Rails, Java und der Microsoft Internet Explorer sind das Ziel der ersten Front, bei der es sich um web-basierte Bedrohungen handelt. Dann sind da noch die Schwächen in Foxit Reader und Microsoft Windows RT, die ebenfalls in die Schusslinie gerieten.

1. Java

Die wichtigste Sicherheitslücke der letzten Wochen betrifft wohl Java von Oracle. Sie wird als CVE-2013-0422 bezeichnet. Diese Sicherheitslücke wird mit Hackertools wie etwa Cool Exploit Kit (CEK), Black Hole Exploit Kit (BHEK) und weiteren Hackertools angegriffen. Diese Tools verbreiten große Mengen an Malware und wurden in jüngster Zeit für verschiedene Erpressersoftware-Varianten genutzt.
Die gute Nachricht dabei ist Folgende: Oracle hat schnell reagiert, nachdem der Exploit-Code öffentlich bekannt gemacht wurde, und ein offizielles Update herausgegeben, um die in CVE-2013-0422 beschriebene Sicherheitslücke zu schließen. Das Update wurde am 13. Januar 2013 herausgegeben. Die aktuelle Java Version ist damit Version 7, Update 11.

Unsere Empfehlung

Wenn Sie das Update noch nicht heruntergeladen haben, holen Sie dies bitte schnellstmöglich nach. Wenn Sie sich nicht sicher sind, ob Sie das Update bereits installiert haben, können Sie dazu die G DATA Website zum Überprüfen der Java-Version verwenden, die Ihnen anzeigt, ob Sie bereits gegen diese Sicherheitslücke geschützt sind oder nicht.

Auch wenn es ein Java-Update gibt, empfehlen wir den Anwendern darüber nachzudenken, ob sie Java überhaupt auf ihrem Computer brauchen. Die im Web-Bereich früher üblichen Java-Inhalte wurden mittlerweile meist durch Flash oder HTML5 ersetzt. Somit benötigt der durchschnittliche Anwender Java wirklich nur dann, wenn er Java-basierte Software nutzt. Andernfalls besteht keinerlei Notwendigkeit für diese Software, die immer wieder für massive Probleme sorgt.

Wir empfehlen unbedingt, Java im Browser zu deaktivieren! Oracle bietet mit Java 7, Update 10, eine neue Funktion, die diesen Vorgang vereinfacht. Wenn Anwender also das Update installieren, sollten Sie diese Anweisungen befolgen. Alternativ können Sie die Webfunktionen von Java auch manuell und einzeln in jedem Browser deaktivieren. Nutzen Sie dazu die Informationen, die wir Ihnen bei der letzten großen Zero-Day-Bedrohung von Java geliefert haben.
 

2. Ruby On Rails

Sicherheitslücken wurden auch in Ruby on Rails bekannt, einem beliebten Framework für Web-Anwendungen, das von verschiedenen Websites genutzt wird. Die entsprechenden CVE-Meldungen sind CVE-2013-0156 und CVE-2013-0155. Die Ausnutzung der Sicherheitslücke bietet Möglichkeiten, Authentifizierungssysteme zu umgehen, eigenmächtig SQL-Code einzufügen, DoS-Angriffe durchzuführen und anderen Programmcode eigenmächtig auszuführen.
Die gute Nachricht lautet: Gegen diese Sicherheitslücke stehen Patches zur Verfügung. Es wurde jedoch der Exploit-Code für das Framework-Paket Metasploit bekanntgegeben. Ist ein Exploit-Code verfügbar, bedeutet dies ein höheres Angriffsrisiko bei dieser Sicherheitslücke, da mit dem veröffentlichten Code die Guten wie auch die Bösen die von der Sicherheitslücke betroffenen Websites ermitteln können. Anwender, die Ruby on Rails ausführen, sollten unverzüglich die Patches einspielen.

Internet Explorer

MS Internet Explorer in den Versionen 8, 7 und 6 enthielt eine neu erkannte Sicherheitslücke. Sie wird hier erläutert:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4792

Microsoft kündigte für den 14. Januar 2013 einen Patch außer der Reihe an. In den Hinweisen vor der Veröffentlichung wird nicht ausdrücklich darauf hingewiesen, dass die in Security Advisory 2794220 beschriebene Sicherheitslücke mit dem Patch behoben wird, doch mit dem veröffentlichten Update können wir eine weitere Bedrohung von der Liste streichen. Halten Sie Ihre Augen offen und spielen Sie den Patch ein, sobald er für Ihr System verfügbar ist.

Foxit Reader

Foxit Reader, eine sehr beliebte Alternative zu Adobe Reader, weist offenbar ebenfalls eine Sicherheitslücke auf. Foxit Corporation hat noch kein entsprechendes Update oder einen Patch veröffentlicht. Eine Schwachstelle im Browser-Plugin stellt ein Sicherheitsrisiko dar. Ein Angreifer kann eigenmächtig Programmcode ausführen, wenn der Anwender eine PDF-Datei aus dem Internet öffnet, die über eine sehr lange URL bereitgestellt wird, da diese nicht korrekt verarbeitet wird und zu einem stack-basierten Pufferüberlauf führt.
Laut der Website von Foxit nutzen „mehr als 130 Millionen Anwender“ die Produkte des Unternehmens. Ganz unabhängig davon, wie viele Anwender Foxit Reader auch nutzen mögen, besteht ihre einzige Option derzeit nur darin, das Webbrowser-Plugin zu deaktivieren. Alternativ könnten sie auf einen anderen kostenlosen PDF-Reader wie etwa Adobe Reader umsteigen.

Windows RT

Dieses Problem gestaltet sich etwas anders als die bisher erörterten Exploits, ist aber ebenfalls sehr interessant. Es handelt sich um einen Jailbreak für MS Windows RT, mit dem herkömmliche Desktop-Anwendungen unter dem Betriebssystem ausgeführt werden können. Die Jailbreak-Anleitung wurde von einer Person mit dem Spitznamen clrokr veröffentlicht. Die Anleitung enthält sehr detaillierte Informationen, ist aber auch sehr komplex für Personen, die sich mit Mobilgeräten nicht sehr gut auskennen.

Wir gingen davon aus, dass jemand ein Tool entwickeln würde, mit dem sich die Bemühungen von clrokr auch von Anwendern nutzen lassen, die nicht so versiert sind. Genau dieser Fall trat dann auch ein: Ein Programmierer mit dem Spitznamen Netham45 hat sein RT Jailbreak Tool veröffentlicht. Microsoft war laut Softpedia über den Windows RT Jailbreak natürlich nicht erfreut, zollte aber sehr wohl „dem Erfindungsgeist derjenigen, die dies entwickelt haben, und deren Fleiß bei der entsprechenden Dokumentationsarbeit Respekt.“ Es wird spekuliert, dass die Schwachstelle beim nächsten Update behoben sein wird. Verständlich. Wenn jedoch Jailbreaks bei Microsoft Tablets zu populären Werkzegen für die Nutzung gefälschter Apps würden, würden unserer Ansicht nach ganz bestimmt mehr Schadcode-Apps für RT auftauchen, wie dies auch beim Betriebssystem Android der Fall ist.

1 + 1 = viele mögliche Infektionen

Was uns wirklich Sorge bereitet, ist die Möglichkeit, dass einige der hier erwähnten Angriffsmethoden kombiniert werden können. So könnte ein sehr effizienter Verteilungsmechanismus für massenhafte Malware entstehen.
Ein sehr großer Teil der Online-Bedrohungen kann mithilfe umfassender Sicherheitspakete wie etwa der G DATA InternetSecurity 2013 blockiert werden, doch die Deaktivierung bzw. Deinstallation von Software (in diesem Fall Oracle Java) bzw. die Installation der erforderlichen Software- und Betriebssystem-Updates ist dennoch eine absolute Notwendigkeit!

Tja, vorbei ist's mit der Neujahrsruhe – alle Gegenmaßnahmen sind „baldmöglichst“, „unverzüglich“ bzw. „sobald verfügbar“ vorzunehmen. Und das ist nur der Anfang des Jahres 2013. Offenbar ist die Zahl veröffentlichter Exploits, Bugs und Sicherheitslücken in den vergangenen Wochen erneut angestiegen, und zwar stärker als in der übrigen Zeit des Jahres. Hacker und Entwickler von Malware haben offenbar die ruhige Urlaubszeit sehr produktiv genutzt. Wenn wir für die nächste Ferienzeit oder für einen beliebigen Zeitraum in der Zukunft einen Wunsch frei hätten, würden wir uns die verantwortungsbewusste Veröffentlichung von Sicherheitslücken wünschen.

Ihnen allen einen guten Start in der schnelllebigen Cyberwelt, alles Gute und ein sicheres Jahr 2013!

Die besten Beiträge per Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar