Channel Security

Zur mit Microsofts Security-Bulletin MS08-068 behobenen Schwachstelle im SMB-Protokoll wurden weitere Informationen bekannt. Im Blog der Websense Security Labs wurde eine Beschreibung der Infektionswege mit Schadsoftware und eine Beschreibung der 'Phishing and Fraud Tricks in China' veröffentlicht, und Francisco Corella hat sein am Dienstag vorgestelltes Paper über den Schutz von Webanwendungen vor Angriffen über gemeinsam genutzte HTML-Dateien überarbeitet.

Weitere Informationen zu MS08-068

Zur mit Microsofts Security-Bulletin MS08-068 behobenen Schwachstelle im SMB-Protokoll wurden weitere Informationen veröffentlicht: Im Blog von Metasploit hat HD Moore einen Überblick über die Geschichte des SMB Relay Angriffs gegeben: MS08-068: Metasploit and SMB Relay. Und im Blog des Microsoft Security Response Center (MSRC) wurde ein Beitrag über die Gründe für das späte Patchen veröffentlicht: MS08-068 and SMBRelay. Es hat ganz einfach so lange (d.h. von 2001 bis 2008) gedauert, eine wirklich wirksame Gegenmaßnahme zu entwickeln, die mit allen beteiligten Komponenten ohne aufwendige Änderungen funktioniert.

Wie kommt der Schadcode auf den Rechner?

Im Blog der Websense Security Labs wurde eine Beschreibung der Infektionswege mit Schadsoftware veröffentlicht: Top To Bottom Breakdown: From Injected Code to Malcode Analysis. Angefangen vom JavaScript-Schadcode, der in eine harmlose Webseite eingeschleust wird, geht es über den Server mit den Payloads hin zum letztendlich auf dem Rechner des Opfers installierten Schädling.

'Phishing and Fraud Tricks in China'

Ebenfalls im Blog der Websense Security Labs wurde eine Beschreibung der 'Phishing and Fraud Tricks in China' veröffentlicht. Chinesische Schadsoftware ist auf den ersten Blick für Europa ziemlich uninteressant, aber da das Internet international ist und auch die Cyberkriminellen nicht an Staatsgrenzen stoppen, lässt sich daraus doch der eine oder andere Schluss auf hierzulande drohende Gefahren ziehen.

Paper überarbeitet: 'Protecting a Web Application Against Attacks Through HTML Shared Files'

Francisco Corella hat sein am Dienstag vorgestelltes Paper über den Schutz von Webanwendungen vor Angriffen über gemeinsam genutzte HTML-Dateien überarbeitet und um während der Diskussion über das Paper entstandene Verbesserungsvorschläge erweitert: 'Protecting a Web Application Against Attacks Through HTML Shared Files' (PDF).

Gefährliche Schwachstellen vom 12.11.2008

• ooVoo:
  Pufferüberlauf-Schwachstelle im URI-Handler erlaubt Ausführung beliebigen Codes
• Trend Micro ServerProtect:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes
• Joomla/Simple RSS Reader Component:
  Einbinden beliebiger Dateien über Parameter 'mosConfig_live_site' im Skript administrator/components/com_rssreader/admin.rssreader.php
• Pre Real Estate Listings:
  Heraufladen beliebiger Dateien durch authentifizierte Benutzer
• Adobe Reader:
  Mehrere Schwachstellen erlauben DoS-Angriffe, Privilegieneskalation und die Ausführung beliebigen Codes (vom 04.11.2008, aktualisiert)
  Kritisch, weil: Schwachstelle wird zur Zeit aktiv ausgenutzt
• SNMPc:
  Pufferüberlauf beim Verarbeiten von überlangen Community-Strings erlaubt Ausführung beliebigen Codes (vom 30.04.2008, aktualisiert)
• MemHT Portal:
  SQL-Injection-Schwachstelle erlaubt u.a. Einschleusen beliebigen PHP-Codes (vom 10.11.2008, aktualisiert)
• SAP GUI:
  Nicht näher beschriebene Schwachstelle im MDrmSap-ActiveX-Control (mdrmsap.dll) erlaubt Ausführung beliebigen Codes (vom 11.11.2008, aktualisiert)

Carsten Eilers