Virus-Radar: Juni 2015 – Juli 2015

2015-07-23_16-47-57

Quelle: ESET

^SysOP

ESET schließt Sicherheitslücke – Informationen zu NOD32

Als ESET Partner informieren wir Sie über Änderungen und Probleme, auch über Lösungen und Presseartikel, wie im folgenden Fall:

 
Zitat aus einer eMail:
 

„Ihre Information ist uns wichtig. Aus gegebenem Anlass informieren wir Sie heute, dass für die durch das Google Project Zero Team am 23. Juni 2015 veröffentlichte Lücke bereits am 22. Juni 2015 ein Update veröffentlicht und damit die Lücke in der Code-Emulation der Scan-Engine geschlossen wurde. Die Lücke befand sich in der Emulationsroutine eines speziellen Scanners für eine bestimmte Malware-Familie. Sie betraf jedoch nicht die Kernkomponenten der Emulation.

ESET reagierte mit dem über das Wochenende veröffentlichten Update umgehend. Das Update wurde über das normale Signatur-Update auf den Systemen der Anwender eingespielt – gerade einmal drei Tage nach der Information seitens Google Project Zero und 87 Tage vor der standardmäßigen 90-Tage-Frist.

ESET führt fortlaufend Änderungen am Code der Produkte durch, um Effektivität und Qualität dieser stetig zu verbessern. Ein Ergebnis dieser Arbeit ist, dass bereits vor der Entdeckung über die Test-Updates diese Lücke schon geschlossen war.

Test-Updates sind eine Möglichkeit für alle Nutzer, bereits vorab Zugang zu den allerneuesten Erkennungsmethoden und Fixes zu bekommen.

Um maximale Zuverlässigkeit zu erreichen, nutzt ESET spezielle Tools, führt fortlaufende Code-Reviews durch und veröffentlicht ständig Verbesserungen, die den gesamten Code robuster machen.“
Quelle: ESET

^MPO

Trojaner-Angriff auf Bundestag: „Merkel-Mail“ leicht erkennbarer Fake

Bundestag Trojaner

Eine angeblich von der Bundeskanzlerin verschickte Mail verleitete Bundestagsabgeordnete dazu, auf einen Link zu klicken und ihren Rechner zu infizieren. Dabei war die Fälschung leicht zu durchschauen.

Ab dem 4. Mai 2015 zirkulierte eine merkwürdige E-Mail im Netz des deutschen Bundestages, in der Bundeskanzlerin Angela Merkel unter Verweis auf ein früheres Schreiben eine Telefonkonferenz ankündigte. Es gebe Diskussionsbedarf zum Thema „Paritätische Doppelresidenz“ (PDR), ließ die angebliche Kanzlerin die Parlamentarier wissen: „Im Anhang findet Ihr außerdem aktuelle PDR-Informationen.“ Wer auf diesen Anhang klickte, gelangte auf verschiedene Server und infizierte damit sein Windows-System mit einem Trojaner, der alle nach dem 1. Mai 2015 angelegten Word-Dokumente an einen Control Server schickte. Dabei war die Fälschung leicht als solche zu erkennen.

Unterschiedliche Einschätzungen
Auszug aus der gefälschten E-Mail

Auszug aus der gefälschten E-Mail Vergrößern Über die Folgen dieser Infektion der parlamentarischen IT kursieren sehr unterschiedliche Einschätzungen, was nicht nur Parlamentarier verärgert. Unterdessen laufen die Ermittlungen weiter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), ein „noch zu beauftragender externer Dienstleister“ und der Verfassungsschutz als „begleitende Behörde“ sind mit der Untersuchung des Angriffs beschäftigt. Parallel dazu müsse „rasch auch mindestens in Teilen mit einer Neuaufsetzung des IT-Systems des Deutschen Bundestages beginnen“, erklärt Bundestagspräsident Norbert Lammert in einem Rundschreiben an die Parlamentarier. „Nach derzeitigem Kenntnisstand ist das nicht mit einem Austausch von Hardware verbunden.“

Am Montag kamen in Berlin mehrere Spezialisten der Computer Emergency Response Teams zur FIRST-Konferenz zusammen. Die Experten halten die die Mail für einen leicht erkennbaren Fake. Auch Laien hätte eine „Angela Merkel“ mit der E-Mail-Adresse einer Gärtnerei unweit des G7-Gipfelschlosses Elmau auffallen müssen. Schwieriger sei schon der Download-Link mit der Adresse

http://eudoxap01.bundestag.btg:8080/eudox/20150608-PDRInformationen.pdf

zu enttarnen, der zu 12 verschiedenen infizierten Servern in Deutschland, Tschechien und der Schweiz führte. Schulungen und ständige Warnungen, nicht ohne Prüfung auf Links zu klicken, sowie Link-Verkürzer generell zu meiden, haben im Parlament offenbar wenig gefruchtet.

Getrolle oder Geheimdienste?
Die Fachleute in Berlin tippen auf einen Angreifer, der einmal zeigen wollte, wie fahrlässig mit Rechnern im Bundestag gearbeitet wird. Die Interpretation von Netzpolitik, dass US-Geheimdienste auf wenig subtile Weise zeigen wollte, wo der Hammer hängt, wird abgelehnt. Auch die Variante, das es sich um einem möglichen russischen Angriff handelt, wird von Experten skeptisch gesehen. Warum sollten Geheimdienste auf solch einer Ebene „trollen“ und den Angriffsvektor „verbrennen“, fragte ein BSI-Experte.

Quelle: HEISE

^MPO

ESETs Technologie: Anti-Phishing

11074364_908285585881163_7251774050719389487_o

Quelle: ESET

^MPO

ESETs Technologie: erweiterter Speicherscanner

ESET_Sicherheitsmerkmale

Quelle: ESET

^MPO

[UPDATE] Angreifer können aktuelle WordPress-Versionen kapern

Inzwischen stellt WordPress die Version 4.2.1 bereit, die den Fehler beheben soll. WordPress-Installationen mit aktiviertem automatischen Update haben mittlerweile begonnen, das Update herunterzuladen und zu installieren. Auch für ältere Versionen gibt es einen Fix: 4.1.4, 4.0.3, 3.9.6, 3.8.8 und 3.7.8. Zusätzlich ist in den Versionen 4.2.1 und 4.1.4 laut Github eine Funktion vorhanden, die bei der Installation ein Datenbank-Update vornimmt und dabei verdächtige Kommentare löscht. Die Fixes für ältere Branches enthalten diesen Patch (derzeit) nicht.

Quelle: heise.de

^MPO

Angreifer können aktuelle WordPress-Versionen kapern

Angreifer können aktuelle WordPress-Versionen kapern

Eine bisher unbekannte Sicherheitslücke gefährdet aktuelle WordPress-Installationen. Über die Kommentarfunktion können Angreifer Schadcode einbringen, der beim Anzeigen durch einen Admin dessen Konto und somit die Seite übernehmen kann.

In der aktuellen WordPress-Version 4.2 klafft eine Sicherheitslücke, die es Angreifern unter bestimmten Umständen erlaubt, die Webseite über die Kommentarfunktion zu übernehmen. Ältere Versionen sind ebenfalls angreifbar. Bei der Lücke handelt es sich um Stored Cross-Site Scripting (Stored XSS), da ein Angreifer Schadcode in einen Kommentar einbettet, der vom System gespeichert und wieder angezeigt werden muss, damit der Angriff wirksam ist. Schafft es der Angreifer, dass ein Administrator den Kommentar außerhalb der Admin-Seiten anschaut, kann er dessen Account kapern.

Da die Kommentar-Ansicht im Admin-Bereich den Schadcode erfolgreich filtert, muss der Angreifer unter Umständen erst einmal einen harmlosen Kommentar posten und diesen auf der Seite veröffentlicht bekommen. Viele WordPress-Installationen sind zum Kampf gegen Spam so konfiguriert, dass der erste Kommentar eines Nutzers manuell freigeschaltet werden muss – hier würde der Schadcode auffallen. Wird der böse Kommentar angenommen und über die öffentliche Seite angezeigt, können Besucher der Seite vom Angreifer ausspioniert werden. Dabei ist vor allem die Session des WordPress-Administrators interessant. Kann der Angreifer diese übernehmen, kann er die Webseite unter seine Kontrolle bringen.

Kommentarfunktion als Achillesferse
Die Sicherheitslücke ist ähnlich gelagert wie eine, die schon seit über einem Jahr bekannt war und gerade mit Sicherheitsupdates von WordPress geschlossen wurde: Wird der Kommentar aus irgendwelchen Gründen nur unvollständig angezeigt, kann ein Angreifer Code einbringen, die vom Browser des Besuchers ausgeführt werden. Das klappt, da der gesamte Kommentar von der Validierungsfunktion von WordPress für harmlos angesehen wird, die verkürzte Darstellung auf der Kommentarseite aber durchaus gefährlich ist. Bei der älteren Lücke geschieht dies, indem unerwartete Zeichen eingefügt werden, bei der aktuellen muss der Kommentar eine Länge von 64K überschreiten, damit er in abgekürzter Form ausgegeben wird. So kann der Angreifer bösartigen Code einschießen und zur Ausführung bringen, wenn ein Nutzer die Kommentar-Seite anzeigt.

Die Entdecker der Sicherheitslücke geben an, dass mindestens WordPress 4.2, 4.1.2, 4.1.1 und 3.9.3 mit MySQL 5.1.53 und 5.5.41 angreifbar sind. In eigenen Tests konnte heise Security das Problem mit WordPress 4.1.3 und 4.2, jeweils auf MySQL 5.5.41, bestätigen. Um sich zu schützen bis ein Patch verfügbar ist, können Administratoren entweder die Kommentarfunktion ganz deaktivieren oder alle Kommentare einzeln prüfen und manuell freischalten.

Quelle: heise.de

^MPO

SOPHOS UTM Update 9.310-011

SOPHOS UTM Update 9.310-011

Remarks:

System will be rebooted
Configuration will be upgraded
Connected Wifi APs will perform firmware upgrade

News:

Maintenance Update

Bugfixes:

Fix [22468]: HTML5 iptables rule doesn’t match for IPSec-routed hosts
Fix [23965]: Prevent removing default network objects
Fix [25191]: awed (awed_ng) fails on missing rrd-metadata file
Fix [27463]: Cablemodem interface does not renew interface address after modem reboot
Fix [27601]: error message: Netlink message type is not supported in ulogd
Fix [28261]: Allow ICMP Forward for incoming ICMP packets on uplink interfaces
Fix [28627]: Sender Blacklist works for Enduserportal but not for Webadmin -> SMTP -> Antispam -> Sender Blacklist
Fix [29326]: [BETA] rephrase notifications for APT/IPS events
Fix [30069]: Transparent authentication in cluster mode shouldn’t be balanced
Fix [30332]: Don’t let INVALID traffic FORWARD over utm
Fix [30770]: SMTP mailmanager hides filter summary and sorting text
Fix [30840]: Static route using a pptp RAS IP not set by middleware after connection is estalished
Fix [31000]: SMTP: different behavior for internal malware and spam dependent on scan outgoing setting
Fix [31160]: Mail manager language does not use webadmin language
Fix [31744]: Blacklisted(Mail) due to not working Mutlipath rule
Fix [31746]: Not downloadable Mails can be downloaded with the ‚Selcect action to apply on messages‘ dropdown
Fix [32631]: iptables-restore running with nearly 100% CPU (CVE-2014-9402)
Fix [32665]: memleak in afcd
Fix [32761]: Proxy cert for customized HTTPS enduser messages is not delivered with complete chain information
Fix [32880]: Cached user backend memberships won’t be updated
Fix [32960]: Tunnel traffic is counted twice by QoS
Fix [32996]: Authentication failed after I proceed with accepting warn- or quota page
Fix [33027]: Packetfilter numeration in webadmin does not match iptables
Fix [33149]: rrdcached exiting due to unknown reason
Fix [33228]: Remote access reporting incorrect in case openvpn gets a restart
Fix [33304]: SSL interception causing annoying pop-ups in Microsoft Outlook and other client software
Fix [33704]: lag2 interface will be lost after adding as HA interface
Fix [33709]: Logfile Search for pop3 proxy not working
Fix [33752]: Wifi: confd error after awe->device validation
Fix [33872]: Reporting for HTML5VPN connections didn’t work
Fix [33952]: Not possible to store comments for Vouchers
Fix [34009]: Bridge with a RED interface and some other Ethernet doesn’t work after Update to v9.3
Fix [34128]: vpn-reporter.pl invoked oom-killer
Fix [34156]: IPv6 network in „Block password guessing“ do not work
Fix [34180]: Duplicated HTML comments break the production web application
Fix [34225]: Authentication failed with a disabled remote user if user name is similar to a local user
Fix [34232]: Postgres died without any corefile
Fix [34236]: Endpoint Protection overview is not displayed in the webadmin
Fix [34263]: UMTS dongle shows up in webadmin twice
Fix [34315]: Ulogd is filling up the swap memory
Fix [34317]: websec-reporter segfaults in UPL_ParseLine
Fix [34320]: Proxy download patience page not displayed when using custom template
Fix [34330]: outdated SSL certificate for WebAdmin on fresh installations
Fix [34364]: ulogd segfaults and core dumps
Fix [34381]: Traffic shaping and throttleing is not possible from the web filtering dashboard
Fix [34394]: Commit issues with visio behind the WAF – Empty content length
Fix [34396]: LTE dongle (ACM modem) is not more working after update to v9.3
Fix [34413]: Bridge Interface are not available for QoS since v9.305
Fix [34414]: „Cannot allocate memory“ messages in the afc log
Fix [34416]: SSL VPN rekeying triggers a disconnect/reconnect of the whole tunnel
Fix [34438]: processing of new http profile blocks client requests
Fix [34452]: Authentication test incomplete when using custom group attributes
Fix [34458]: Kernel panic – not syncing: Fatal exception
Fix [34459]: Adobe Flash is not blocked by AFC
Fix [34470]: status code 407 messages are not logged anymore
Fix [34475]: Improve Firewall Rules search field behavior
Fix [34476]: First boot after installation stucks in „Starting ProgreSQL“
Fix [34491]: Web security search engine report shows every keytab from google search
Fix [34497]: Request body no files data length is larger than the configured limit
Fix [34498]: DNS Host still up in gui after change the hostname to a not existing name
Fix [34505]: Can’t enable L2TP profile anymore when the single user was deleted
Fix [34512]: malformed UTF-8 character in JSON string, at character offset 5502 (before „\x{0}uency“: 2304, „…“) at awed_ng.pl
Fix [34514]: [9.3] Availability Group object configured in active directory causes „malformed parameter setting precedes LDAP URL“
Fix [34534]: End-user Messages for „SPX – Internal error – sender notification“ cannot be changed
Fix [34541]: Shell access cannot be activated when ssh networks are empty
Fix [34543]: BGP: if „Install routes“ is unchecked bgd deamon will not start
Fix [34544]: HTML5 portal RDP login not possible if same user already logged in (smartcard required)
Fix [34570]: Various segfaults after 9.308
Fix [34697]: Import OpenSSL security updates from 1.0.1m

RPM packages contained:

glibc-2.11.3-17.74.13.1471.g013fd7c.rb1.i686.rpm
glibc-locale-2.11.3-17.74.13.1471.g013fd7c.rb1.i686.rpm
libaio-0.3.109-0.1.46.0.158166989.g501e311.rb2.i686.rpm
libffi43-4.3.4_20091019-0.37.28.0.181399820.gd4449b2.rb2.i686.rpm
libnavlextensions-9.30-8.g1259b29.rb1.i686.rpm
libnuma1-2.0.7-0.9.1.1399.g523ac2f.rb2.i686.rpm
libopenssl1_0_0-1.0.1k-0.192275047.ge01c4d7.rb2.i686.rpm
libopenssl1_0_0_httpproxy-1.0.1k-0.192275047.ge01c4d7.rb2.i686.rpm
libreadline5-5.2-147.22.1.1578.g15af9e0.rb2.i686.rpm
libyaml-0-2-0.1.4-1.2.0.137769063.g3c5fa36.i686.rpm
art-20140501-24.g68e47c9.i686.rpm
bash-3.2-147.22.1.1578.g15af9e0.rb2.i686.rpm
client-openvpn-9.30-4.g8e94aba.rb1.noarch.rpm
firmware-wifi-9300-0.191585072.ge7ff80b.rb1.i586.rpm
mdadm-3.2.6-0.19.9.0.158166782.g61b5131.rb2.i686.rpm
mkinitrd-2.4.2-0.80.1.1394.g3e48ee8.rb1.i686.rpm
numactl-2.0.7-0.9.1.1399.g523ac2f.rb2.i686.rpm
openssl-1.0.1k-0.192275047.ge01c4d7.rb2.i686.rpm
perf-tools-3.12.30-102.g530c8bd.i686.rpm
ruby-2.0-5.1.2.1256.g53c49d4f.rb7.i686.rpm
ruby20-2.0.0.p598-3.15.1.0.g95f3bed.rb3.i686.rpm
rubygem-aws-sdk-1.49.0-1.1.1351.gf335c1c.rb12.i686.rpm
rubygem-celluloid-0.15.2-1.5.1279.g210b4fc.rb9.i686.rpm
rubygem-nokogiri-1.5.5-4.2.1275.g53c49d4f.rb11.i686.rpm
rubygem-timers-1.1.0-2.1.0.177080875.g53c49d4f.rb7.i686.rpm
rubygem-uuidtools-2.1.4-2.2.1274.g53c49d4f.rb5.i686.rpm
sophos-wifi-0.1-1.0.191585790.gc516f28.rb1.i686.rpm
timezone-2014g-0.3.1.1584.g48e23fc.rb2.i686.rpm
ulogd-2.1.0-130.g1f8a83f.rb1.i686.rpm
uma-9.30-3.gcebe73c.rb1.i686.rpm
vineyard-plugin-4-58.g4f1552b.rb1.i686.rpm
vineyard-plugin-tib-4-58.g4f1552b.rb1.i686.rpm
ep-reporting-9.30-23.g8bf1428.rb4.i686.rpm
ep-reporting-c-9.30-35.gb363ca9.rb2.i686.rpm
ep-reporting-resources-9.30-23.g8bf1428.rb4.i686.rpm
ep-aua-9.30-26.g0c3a658.rb1.i686.rpm
ep-awed-9.30-29.g00b6077.rb1.i686.rpm
ep-branding-ASG-afg-9.30-22.g487ec1d.rb1.noarch.rpm
ep-branding-ASG-ang-9.30-22.g487ec1d.rb1.noarch.rpm
ep-branding-ASG-asg-9.30-22.g487ec1d.rb1.noarch.rpm
ep-branding-ASG-atg-9.30-22.g487ec1d.rb1.noarch.rpm
ep-branding-ASG-aug-9.30-22.g487ec1d.rb1.noarch.rpm
ep-confd-9.30-584.ge770a2c.i686.rpm
ep-confd-tools-9.30-378.gd117a86.rb1.i686.rpm
ep-ha-9.30-22.g516684c.rb1.i686.rpm
ep-ha-aws-9.30-0.191513233.g920d8cc.rb1.i686.rpm
ep-hardware-9.30-10.g97b83c1.rb1.i686.rpm
ep-ipsctl-0.5-0.191416553.gc46458b.rb1.noarch.rpm
ep-libs-9.30-12.g816eb13.rb1.i686.rpm
ep-localization-afg-9.30-55.g5d841b9.rb1.i686.rpm
ep-localization-ang-9.30-55.g5d841b9.rb1.i686.rpm
ep-localization-asg-9.30-55.g5d841b9.rb1.i686.rpm
ep-localization-atg-9.30-55.g5d841b9.rb1.i686.rpm
ep-localization-aug-9.30-55.g5d841b9.rb1.i686.rpm
ep-logging-9.30-23.g3f3a4b9.rb1.i686.rpm
ep-mdw-9.30-418.g1bd9edd.i686.rpm
ep-postgresql92-9.30-24.gd1aecc8.rb1.i686.rpm
ep-repctl-0.1-0.192033393.gd1aecc8.rb1.i686.rpm
ep-screenmgr-9.30-6.gfd56a27.rb2.i686.rpm
ep-tools-9.30-20.g6ac9035.rb1.i686.rpm
ep-u2d-download-9.30-0.190218485.ga937bb2.i686.rpm
ep-utm-watchdog-9.30-0.192389320.g7a7e446.rb1.i686.rpm
ep-webadmin-9.30-339.g3f32c12.rb1.i686.rpm
ep-webadmin-contentmanager-9.30-34.g48fa71f.rb1.i686.rpm
ep-webadmin-spx-9.30-15.g996d885.rb1.i686.rpm
ep-cloud-ec2-9.30-8.gf9376e9.rb2.i686.rpm
ep-chroot-dhcpc-9.30-11.g5a0d7e9.rb1.noarch.rpm
ep-chroot-httpd-9.30-19.gbbb9e2e.rb2.noarch.rpm
ep-chroot-smtp-9.30-65.ga577a12.rb1.i686.rpm
chroot-afc-9.30-2.g6b39d6c.rb1.i686.rpm
chroot-openvpn-9.30-2.gcb6b13b.rb1.i686.rpm
chroot-reverseproxy-2.4.10-150.gc44a536.rb1.i686.rpm
ep-httpproxy-9.30-154.g558545d.i686.rpm
net-snmp-chroot-5.6.2-810.gb8500d1.rb3.i686.rpm
kernel-smp-3.12.30-102.g530c8bd.i686.rpm
kernel-smp64-3.12.30-102.g530c8bd.x86_64.rpm
ep-release-9.310-11.noarch.rpm

^MPO

Wurden Ihre Passwörter schon verkauft ?

21-04-2015 13-37-55

 

Laut einer aktuellen Studie würde immerhin 1 Mitarbeiter von 7 seine Passwörter gegen Bares verkaufen. Wie stehen Sie dazu, kennen Sie Ihre Mitarbeiter, oder möchten Sie sich dagegen absichern ? Eine Absicherung ist in den meisten Fällen durch mehrere Faktoren machbar, z.B. durch eine 2-Faktor Authentisierung mit Passwort und Handytoken. Somit müsste ein Mitarbeiter auch sein Handy mitverkaufen und DAS können Sie unterbinden, bzw. im Notfall sperren lassen.

Fragen Sie uns, wir helfen Ihnen gerne und beraten Sie auch zu diesem Thema.

^SysOP

Trojanerinfektionen häufig unterschätzt

Viele denken, dass eine Infektion durch einen Trojaner nicht so einfach möglich wäre, täuschen Sie sich jedoch nicht, es ist einfacher als Sie denken. Ein falscher Klick im Internet und schon kann es passieren, Ihr Rechner wird infiziert und benutzt. Schützen Sie sich mit den aktuellen Produkten von ESET davor, wir beraten Sie gerne, welche Version die Richtige für Sie ist.

Trojanisches Pferd

Wenden Sie sich an unsere Hotline, oder an unser Security-Team.

^SysOP