Erhöhtes Sicherheitsrisiko: neue Viren-Generation gesichtet

Das Sicherheitsunternehmen Sophos schlägt vor, Viren-Angriffe wie Swen durch ein Programm abzuwehren, das E-Mail-Anhänge bereits auf dem Server blockiert. Zufälligerweise bietet Sophos genau ein solches Produkt an: MailMonitor for SMTP. Trotzdem ist dies ein vernünftiger Vorschlag. Da Swen und einige andere neue Viren sich vor allem über Kazaa verbreiten, sollten Unternehmen jegliche P2P-File-Sharing-Software von ihren Rechnern verbannen. Dies ist ohnehin empfehlenswert, da diese P2P-Anwendungen häufig zum Austausch von Pornographie oder illegalen Musikdateien genutzt werden, wogegen ihre wirklich sinnvolle Nutzung in einem Unternehmen jedoch eher selten ist. Auch bei Computer Associates findet sich ein detaillierter Bericht zu Swen.

Der Trojaner Qhosts, der Systeme über eine bösartige Bannerwerbung infiziert, nutzt einen fehlerhaften Sicherheitspatch aus, beziehungsweise einen, der nicht alle Sicherheitslücken stopfen konnte. Das Microsoft Security Bulletin MS03-032 berichtet von einem Risiko für den Internet Explorer im Zusammenhang mit einer Open Type-Sicherheitslücke. Leider musste Microsoft am 8. September das Bulletin vom 20. August dahingehend korrigieren, dass der beigefügte Patch nicht derartigen Sicherheitslücken im Internet Explorer stopft. Am 3. Oktober gab Microsoft einen aktualisierten Patch heraus (MS03-040), der die von Qhosts genutzte Lücke blockieren soll. Andere Malware bedroht aber immer noch all die Systeme, die den Patch aus MS03-032 noch nicht eingespielt haben.

Der Trojaner Qhosts leitet Suchanfragen von Google und anderen beliebten Suchmaschinen auf fremde Server um. Außerdem leitet er auch alle DNS-Anfragen an einen neuen Server um, einschließlich solcher, die lokal behandelt werden sollten, was auf einigen Systemen zu schwerwiegenden Problemen führen kann. Das Motiv hierfür besteht offensichtlich darin, von der Anzahl der Seitenbesuche bzw. den Klickraten zu profitieren.

Die CERT Vulnerability Note VU#865940 beschreibt das Vorgehen von Qhosts im Detail und berichtet, dass es bislang noch keinen 100-prozentigen Workaround für diese Sicherheitslücke gibt. Verwundbar sind IE, Outlook und Outlook Express sowie alle anderen Programme, die das Webbrowser-ActiveX-Control oder MSHTML verwenden (die HTML-Rendering-Engine des IE). Zumindest öffnen aktuelle Versionen von Outlook und Outlook Express E-Mails in der Zone für eingeschränkte Sites, die ActiveX standardmäßig deaktiviert.

Der mit MS03-032 bereitgestellte Patch verhindert das Ausführen von HTML-Anwendungen in einigen, aber nicht allen Fällen. CERT bestätigt Berichte, nach denen HTML-Anwendungen ausgeführt werden, wenn der erforderliche HTML-Code per Datenbindung erzeugt wurde. Obwohl der kumulative Patch in MS03-040 dieses Problem wahrscheinlich behebt, ist dies bereits der fünfte Patch in diesem Jahr, der ähnliche Probleme im IE behandelt (nach MS03-004, MS03-015, MS03-020 und MS03-032). Der Patch ist damit zwar notwendig, dürfte aber wahrscheinlich noch nicht der Weisheit letzter Schluss zu dieser Art von Fehlern im IE sein.

Darüber hinaus behauptet eEye Digital Security, dass diese Lücke im Grunde eine Data-Tag-Schwachstelle sei. eEye hat schon früher eine Open Type-Sicherheitslücke entdeckt und der weist IE ähnliche Sicherheitsmängel schon seit mehreren Jahren auf. Die einzige wirksame Lösung besteht darin, Versionen des IE ab Version 5 zu deaktivieren, ebenso Outlook und Outlook Express, oder die Unterstützung für Active Scripting abzuschalten.

Themenseiten: Security-Praxis, Symantec

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Erhöhtes Sicherheitsrisiko: neue Viren-Generation gesichtet

Kommentar hinzufügen
  • Am 15. Dezember 2003 um 10:43 von Thomas

    Symantec und Viren
    Jaja Symantec. Schon seltsam das ganze. Wenn ich ein Baumarkt wäre und Alarmanalagen verkaufen würde und die Möglichkeit hätte Einbrecher dazu zu bringen in Häuser einzubrechen dann würde ich das natürlich tun denn so verkaufe ich ja meine Alarmanlagen. Und zufällig passen meine Alarmanlagen ja immer genau in das Verhaltensmuster der Einbrecher. Tja so kann man auch reich werden. Symantec ist es offensichtlich egal was der User macht.. Hauptsache Profit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *