Oracle hat außer der Reihe eine Schwachstelle im WebLogic Server gepatcht. In zwei Firefox-Add-ons wurde Schadsoftware gefunden, und es gibt eine Reihe neuer Paper etc. und eine neue Version des Evtx Parser. F-Secure weist auf wichtige neue Datenschutz-Einstellungen bei Facebook hin, Jim Clausing befasst sich im Handler's Diary des ISC mit den eingeschleusten iframes in Wordpress, Peter Coogan von Symantec beschreibt in 'SpyEye Bot versus Zeus Bot' die Crimeware-Toolkits Zeus und Spy Eye, und Mark Hofman macht sich im Handler's Diary des ISC Gedanken über 'Dealing with User 2.0'.
Oracle patcht außer der Reihe
Oracle hat außer der Reihe einen Security Alert samt Patches für den WebLogic Server veröffentlicht, um eine Schwachstelle im Node Manager zu beheben, die die Ausführung beliebiger Befehle erlaubt. Unter Windows kann der Angreifer dabei die vollständige Kontrolle über das System erlangen, unter anderen Systemen immerhin noch die Rechte des WebLogic Servers. Die Schwachstelle war am 23. Januar von Intevydis veröffentlicht worden, die sie bereits im Oktober 2008 in ihre Exploit-Sammlung 'Vulndisco' aufgenommen hatten.
Mozilla verbreitet zwei infizierte Add-ons
Mozilla hat in zwei als experimentell gekennzeichneten Add-ons für Firefox Schadsoftware gefunden. Laut Bericht im Mozilla Add-ons Blog enthält Version 4.0 des Sothink Web Video Downloader Win32.LdPinch.gen (ein generisches Erkennungsmuster für eine Familie Zugangsdaten ausspähender Trojaner), alle Versionen des Master Filer Win32.Bifrose, einen Backdoor-Trojaner. Beide Schädlinge infizieren nur Windows-Systeme. Nach der Installation eines der infizierten Add-ons wird der enthaltene Schädling beim Start von Firefox ausgeführt und infiziert den Rechner. Benutzer, die ein betroffenes Add-on installiert haben, sollten es sofort deinstallieren und danach ihr System mit einem Virenscanner prüfen und den installierten Schädling entfernen.
Der Trojaner in Master Filer wurde vom ursprünglich für die Suche nach Schädlingen in neu heraufgeladenen Add-on eingesetzten Virenscanner nicht entdeckt. Nach der Entdeckung des Schädlings wurden zwei weitere Scanner eingesetzt, bei der Kontrolle der bereits zuvor heraufgeladenen Add-ons wurde dann der Trojaner in Version 4.0 des Sothink Web Video Downloader gefunden. Die infizierten Add-ons wurden von der Download-Seite entfernt, weitere Schädlinge wurden nicht gefunden.
Ob der Sothink Web Video Downloader wirklich einen Schädling enthält, ist zweifelhaft, da laut Versions-History Version 4.2 veröffentlicht wurde, weil manche Virenscanner in der Vorversion fälschlich einen Virus meldeten. In einem Eintrag im Forum von Sothink Media wird auf diesen False Positive bei Virustotal verwiesen: Gefunden wurde damals angeblich ein Schädling der Ldpinch-Familie. Da liegt der Verdacht nahe, dass es auch diesmal wieder ein False Positive ist, zumal gerade ein generisches Erkennungsmuster für diese Schädlingsfamilie fündig geworden ist.
Paper, Tools etc.
Bruce Schneier verweist in seinem Blog auf eine neue Cryptanalyse ("Rotational Cryptanalysis of ARX", PDF) des Threefish-Algorithmus.
Im Blog der Websense Security Labs wurde 'An In-Depth Exploit Analysis on Multilayer Obfuscations' veröffentlicht. Der auf einer Website mit einem Alexa-Ranking in den Top 10.000 eingeschleuste Schadcode für Drive-by-Infektionen wurde von den Cyberkriminellen sehr aufwendig getarnt.
Ein Eintrag im Blog des Metasploit-Projekts beschreibt Postgres Fingerprinting: Postgres ist mit der Preisgabe von Versionsinformationen sehr zurückhaltend, trotzdem kann die Version auch von nicht authentifizierten Benutzern ermittelt werden - indem die Fehlermeldung der fehlgeschlagenen Authentfizierung analysiert wird.
Das Kaspersky Lab hat seine Top-20-Listen der häufigsten Schädlinge für den Januar 2010 veröffentlicht. Zu den am weitesten verbreiteten Schädlingen gehört natürlich der RPC-Wurm Conficker/Downadup (bei Kaspersky 'Kido' genannt), am häufigsten haben sich die Rechner der Anwender mit JavaScript-Schädlingen infiziert. Da die nur eine Vorstufe einer Drive-by-Infektion sind, dürfte die eigentliche Infektion oft fehl geschlagen sein, sonst würde an dieser Stelle ja der eigentliche Schädling auftauchen.
Al Bessey, Ken Block, Ben Chelf, Andy Chou, Bryan Fulton, Seth Hallem, Charles Henri-Gros, Asya Kamsky, Scott McPeak und Dawson Engler haben ihre Erfahrungen mit statischer Code-Analyse mit Coverity, merkwürdigen Fehlern und noch merkwürdigeren Entwicklern zusammengefasst: 'A Few Billion Lines of Code Later: Using Static Analysis to Find Bugs in the Real World'.
Andreas Schuster hat eine neue Version seines Parsers für die binären, XML-basierten Ereignisprotokolle von Windows Vista, Evtx Parser (Download als .zip) veröffentlicht. In Version 1.0.2 wurden einige Fehler, z.B. im erzeugten XML, behoben.
Gefährliche Schwachstellen vom 05.02.2010
Carsten Eilers
Kommentare