Trends & News | News

Virenbremse EMET einsteigerfreundlicher

Microsoft hat das Windows-Härtungs-Tool EMET in Version 4 mit weiteren Funktionen ausgestattet, die vor Cyber-Angriffen und staatlicher Spionage schützen sollen. Die wichtigste Änderung liegt in der Oberfläche: Das Schutzprogramm, das sich eigentlich an Admins richtet, bringt nun einen Einrichtungsassistenten mit, der die wichtigsten Schutzprofile mit wenigen Mausklicks aktiviert. Offenbar sollen dadurch auch Nutzer von dem Plus an Schutz profitieren, die bislang von der recht komplexen Bedienoberfläche abgeschreckt wurden. Die Grundkonfiguration bringt Schutzprofile für verbreitete Programme wie Java, Adobe Reader und Office mit. Dadurch werden Exploit-Bremsen aktiv, die viele Cyber-Angriffe selbst dann verhindern können, wenn es für die ausgenutzte Lücke noch keinen Patch gibt.

Außerdem soll die neue Version besser vor sogenannten ROP-Exploits (Return Oriented Programming) schützen. Darüber hinaus kann EMET das sogenannte SSL Certificate Pinning für den Internet Explorer aktivieren. Dadurch wird man beim Aufruf einer HTTPS-Seite gewarnt, wenn ihr SSL-Zertifikat von einem anderen Herausgeber als üblich ausgestellt wurde. Dies kann ein Indiz dafür sein, dass der verschlüsselte Datenverkehr auf dem Transportweg ent- und anschließend mit einem anderen Zertifikat wieder verschlüsselt wurde – etwa wenn ein Staat versucht, seine Bürger zu überwachen. (rei)

Sicherheitsfalle beim Smartphone-Tethering

Wer die Internetfreigabe seines Smartphones nutzt, sollte unbedingt das vorgegebene Standardpasswort ändern, da es sich bei einigen Systemen schnell erraten lässt. Ein Angreifer kann mit Kenntnis des Passworts, dem sogenannten Pre-Shared-Key, nicht nur die Internetverbindung mitnutzen, sondern auch den Datenverkehr entschlüsseln.

Die Sicherheitsexperten Andreas Kurtz, Felix Freiling und Daniel Metz von der Universität Erlangen-Nürnberg haben herausgefunden, dass etwa das vorgegebene Passwort vom „Persönlichen Hotspot“ unter iOS aus einer Wortliste mit lediglich 1842 Einträgen abgeleitet wird. Das Wort wird um vier zufällige Ziffern ergänzt, wodurch sich etwa 18,4 Millionen Kombinationen ergeben. Bestimmte Wörter wie suave, subbed und header benutzt iOS laut den Forschern allerdings besonders gerne, was die Knackdauer verkürzt: Eine moderne Grafikkarte soll das Passwort unter Berücksichtigung der bevorzugten Wörter durchschnittlich binnen 52 Sekunden erraten. Aber auch die von Windows Phone vorgegebenen acht Zufallsziffern lassen sich schnell knacken. Die 100 Millionen Varianten soll ein Angreifer in nur fünf Minuten durchprobieren können. Android generiert eigentlich starke Passwörter, angepasste Android-Systeme, wie etwa von HTC, werden aber laut den Forschern mit leicht zu erratenden Default-Passwörtern wie „1234567890“ ausgestattet. (Louis-F. Stahl/rei)

BSI untersucht Sicherheit von Content-Management-Systemen

In einer über 160 Seiten starken Studie hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die gängigen Web-CMS-Lösungen Drupal, Joomla!, Plone, Typo3 und WordPress genauer unter die Lupe genommen (siehe c’t-Link). Untersucht wurden unter anderem die Lebenszyklen der Software, vorhandene Protokollierungseinstellungen und der gebotene Datenschutz.

Dabei kam unter anderem heraus, dass im Verhältnis ungleich mehr Schwachstellen in Plug-ins gefunden werden als in der Basissoftware des CMS selbst. Im Fall von WordPress beispielsweise entfallen 20 Prozent aller Bugs auf das CMS, 80 Prozent hingegen auf Add-Ons. Bei Drupal ist das Verhältnis mit fünf Prozent (CMS) zu 95 Prozent (Erweiterungen) noch erheblich eindeutiger.

Grundsätzlich bescheinigen die Autoren der Studie den CMS ein gutes Sicherheitsniveau und zeigen sich zufrieden mit den sicherheitsrelevanten Prozessen der einzelnen Anbieter. Gleichzeitig empfehlen sie Betreibern, einige grundlegende Sicherheitstipps zu befolgen. Dazu gehören unter anderem nicht-standardisierte Admin-Accounts, automatische Updates sowie HTTPS-Verschlüsselungen. CMS haben eine besonders exponierte Stellung und dienen Angreifern oft als Sprungbrett ins Firmennetz. (Uli Ries/rei)

Tarnkappen-Trojaner für Android

Die Virenforscher von Kaspersky Lab haben einen Android-Trojaner entdeckt, der sich ungewöhnlich viel Mühe gibt, sein Tun zu verschleiern. Der auf den Namen Obad.a getaufte Schädling registriert sich als Geräteadministrator, wodurch er an erweiterte Rechte gelangt. Die Trojaner-App nutzt eine zuvor unbekannte Android-Schwachstelle aus, um nicht in der Liste der Geräteadministratoren aufzutauchen, weshalb sie sich nach der Infektion nicht mehr entfernen lässt. Die erweiterten Rechte kann der Schädling nutzen, um den Smartphone-Bildschirm bis zu zehn Sekunden zu sperren. Laut Kaspersky tut er dies, um seine Aktivitäten vor dem Besitzer des Smartphones zu verstecken.

Obad.a holt seine Einsatzbefehle online von einem Command-and-Control-Server ab und ruft auf Befehl etwa teure Premium-Rufnummern an oder lädt Code aus dem Internet nach. Der Schädling soll sogar die Umgebung nach Bluetooth-Geräten absuchen und Dateitransfers zu diesen initiieren können. Nicht nur Smartphone-Nutzern, sondern auch Virenforschern macht der Schädling das Leben schwer: Die Entwickler haben den Schädling so präpariert, dass man seinen Code nicht ohne Weiteres mit dem Analysetool dex2jar untersuchen kann. Die gute Nachricht ist, dass der Trojaner bislang keine nennenswerte Verbreitung genießt. Und wer sich an das App-Angebot von Google Play hält, hat ohnehin wenig zu befürchten – das Gros der Schädlinge lauert in alternativen App-Katalogen, Foren und Tauschbörsen. (kbe/rei)

Sicherheits-Notizen

Oracle hat mit Java 7 Update 25 insgesamt 40 Sicherheitslücken geschlossen, die sich zumeist aus der Ferne ausnutzen lassen. Java 5 und 6 sind ebenfalls betroffen, deren Nutzer erhalten den Security-Patch jedoch nur, wenn sie einen Wartungsvertrag besitzen. Apple bietet Mac-Nutzern eine abgesicherte Version 6 gratis über seinen App Store an.

Cyber-Ganoven versenden derzeit Virenmails, die als Inkassoschreiben getarnt sind. Der Mailempfänger wird dabei häufig persönlich angesprochen.

Das Update auf WordPress 3.5.2 schließt einige kritische Sicherheitslücken.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige