Trends & News | News

Ukash/Paysafe-Trojaner verschlüsselt Dateien

Der Ukash/Paysafe-Trojaner sperrt Windows-Rechner unter dem Vorwand, dass es sich um Raubkopien handle; für die Freigabe verlangen die unbekannten Täter zwischen 50 und 100 Euro. Doch anders als die Vorgänger verschlüsseln aktuelle Versionen des Trojaners Dateien, sodass deren Inhalt auch nach einer Reinigung des Rechners nicht ohne Weiteres wieder zugänglich ist. Diverse Tools helfen bei der Entschlüsselung.

Es handelt sich ganz offenbar um ein weit verbreitetes Problem; allein bei der Kreispolizeibehörde Rhein-Sieg-Kreis sind innerhalb weniger Tage über 30 Anzeigen zu diesem Lösegeld-Trojaner eingegangen – bundesweit dürften tausende Anwender betroffen sein.

Die verschlüsselten Dateien tragen einen Namen der Form locked-.<Dateiname>.<4 zufällige Zeichen>. Sie lassen sich zwar mit speziellen Tools wieder herstellen (siehe c’t-Link). Das Problem ist jedoch, dass es bereits mehrere Versionen des Schädlings gibt. Bis jetzt ist nicht ganz klar, welche Tools die Dateien welcher Trojaner-Versionen entschlüsseln können.

Der beste Tipp ist somit, die verschlüsselten Dateien zu sichern und anschließend zu versuchen, Kopien der Dateien zu entschlüsseln. Eventuell lohnt es sich auch zu warten, bis die AV-Hersteller komplette und einfach zu bedienende Tools für die Entschlüsselung der Dateien liefern. (ju)

Oracle patcht nicht

An seinem April-Patchday hatte sich Oracle bei dem Sicherheitsexperten Joxean Koret bedankt und die von ihm entdeckte Lücke auf Rückfrage für geschlossen erklärt. Koret veröffentlichte daraufhin konkrete Details. Zum Schutz empfahl er die Installation der aktuellen Patches. Allerdings stellte sich im Nachgang heraus, dass es für keine der aktuell verfügbaren Versionen der Oracle-Datenbank überhaupt Patches gibt. Die von Oracle referenzierten Sicherheits-Fixes bezogen sich ausschließlich auf das noch nicht verfügbare Oracle 12.

Wer mit der Datenbank „sprechen“ kann, kann dort einen neuen Cluster-Knoten registrieren – und zwar ganz ohne Zugangsdaten. Über diesen Knoten wird dann zur Lastverteilung ein Teil der Datenbankverbindungen umgeleitet. Ein Angreifer könnte also damit die Kommunikation zwischen Applikation und Datenbank beliebig belauschen und manipulieren.

Oracle hat mit einem Sicherheitsalarm (siehe c’t-Link) reagiert, der das Problem und die Schutzmöglichkeiten beschreibt. Sie laufen im Wesentlichen darauf hinaus, die Cluster-Verwaltung über die sogenannte Class of Secure Transports (COST) abzusichern.

Angesichts der akuten Gefahr hat der Hersteller seine Lizenzbestimmungen dazu so geändert, dass man die Komponente Oracle Advanced Security SSL/TLS umsonst benutzen darf. Einen Patch, der die Lücke in sämtlichen Versionen bis hin zu aktuellen schließt, hat Oracle bislang nicht in Aussicht gestellt. Einen solchen fordert die deutsche Oracle-Anwendergruppe, die den Umgang des Unternehmens mit der Schwachstelle als „Armutszeugnis“ bezeichnet. Auf Nachfrage von c’t verwies Oracle lediglich auf das vorgeschlagene Verfahren zur Umgehung des Bugs. (ju)

PHP patcht mehrmals

Das PHP-Entwicklerteam hat im zweiten Anlauf eine Sicherheitslücke behoben, durch die ein Angreifer den Quellcode eines PHP-Skripts anzeigen lassen und sogar Code auf dem Server ausführen kann. PHP interpretiert im CGI-Modus bestimmte URL-Parameter als Kommandozeilenbefehle, sodass etwa ein an die Webseitenadresse angehängtes ?-s auf betroffenen Servern zur Auslieferung des Quellcodes führt.

Nach dem versehentlichen Bekanntwerden des Problems veröffentlichten die Entwickler hastig eine neue PHP-Version. Im Nachhinein stellte sich jedoch heraus, dass das Update die Lücke nur unzureichend geschlossen hatte.

Auch der veröffentlichte Workaround ließ sich leicht austricksen. Rund eine Woche später haben die Entwickler schließlich die PHP-Versionen 5.3.13 und 5.4.3 herausgegeben, welche die Lücke nach derzeitigem Kenntnisstand vollständig abdichten. Darüber hinaus wurde im 5.4er-Zweig ein Buffer-Overflow in der Funktion apache_request_headers() behoben. (rei)

Adobe patcht widerwillig

Mit einem kleinen Detail sorgte Adobe an seinem Patchday für großen Unmut bei den Nutzern: Kritische Schwachstellen in den 5er-Versionen Photoshop, Illustrator und Flash Professional sollten nur durch das kostenpflichtige Upgrade auf die jüngst veröffentlichte Creative Suite 6 geschlossen werden. Das Upgrade schlägt allein bei Photoshop mit 273 Euro zu Buche.

Dabei haben es die Lücken durchaus in sich: Photoshop etwa enthält unter anderem eine Lücke in den TIFF-Funktionen, die zur unbemerkten Infektion eines Systems allein durch das Öffnen einer präparierten Datei führen kann. Bei Illustrator listet Adobe gleich fünf Sicherheitslücken auf, bei Flash Professional eine. In allen Fällen sind jeweils die Versionen für Windows und Mac OS anfällig.

Auf Rückfrage von heise Security erklärte das Unternehmen, dass „das reale Risiko für Anwender“ keine speziellen Updates rechtfertige. Offenbar beeinflusst von den daraufhin einsetzenden Nutzerprotesten zeigte sich Adobe einige Tage später schließlich doch noch einsichtig und kündigte Patches für die 5.er Versionen an – allerdings ohne ein Veröffentlichungsdatum zu nennen. (ju)

Sicherheits-Notizen

An seinem Mai-Patchday hat Microsoft zahlreiche Lücken in Windows, Office, Silverlight und dem .NET Framework geschlossen. Eine der Office-Lücken betrifft auch Office für Mac OS X.

Mit Opera 11.64 schließen die Entwickler eine kritische Lücke bei der URL-Verarbeitung, durch die Angreifer unter Umständen Schadcode ins System einschleusen können.

VMware hat kritische Lücken in seinen Virtualisierungs-Programmen geschlossen, durch die ein Angreifer unter Umständen Code auf dem Hostrechner ausführen kann.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige