Trends & News | News

Verwundbare Router ohne Ende

Scan-Ergebnisse des CZ.NIC-Mitarbeiters Tomáš Hlaváček zeigen das ganze Ausmaß der in c’t 9/14 geschilderten Router-Lücke, die vor allem ältere Router-Modelle von D-Link, LevelOne, TP-Link und Zyxel betrifft. Ein Scan von Hlaváček über das gesamte Internet ergab, dass im Mai weltweit über 1,2 Millionen Heim-Router anfällig waren. Ende Oktober sei die Rate allerdings auf etwa die Hälfte zurückgegangen.

In Deutschland sind die Zahlen inzwischen mit knapp 1200 Exemplaren offenbar überschaubar – noch im April verzeichnete c’t hierzulande rund 100 000 potenziell anfällige Geräte. Jedoch zeigen die monatlichen Messungen, dass in einzelnen Ländern die Zahlen sogar steigen. In Indien etwa gab es im Oktober fast doppelt so viele offene Router wie noch im Mai.

Über das Muster http://Router-IP-Adresse/rom0 lässt sich die Konfiguration von betroffenen Geräten herunterladen – dazu gehört auch das Router-Passwort. Durch den Aufruf der Adresse kann man leicht überprüfen, ob das eigene Modell verwundbar ist. (Monika Ermert/dz)

WireLurker springt vom Rechner aufs Smartphone

Das Sicherheitsunternehmen Palo Alto Networks hat einen Schädling entdeckt, der zunächst PC oder Mac infiziert und dann darauf lauert, dass man ein iOS-Gerät anschließt. Der Schädling versucht, auf dem iOS-Gerät einen Trojaner zu installieren – unabhängig davon, ob es einen Jailbreak hat oder nicht.

Die Infektion von Geräten ohne Jailbreak erfolgt durch ein Enterprise-Zertifikat, das Apple für Firmen ausstellt, die Apps am App Store vorbei installieren möchten. Damit die bösartigen Apps auf dem Gerät landen, muss der Nutzer das missbrauchte Zertifikat einmalig akzeptieren. Welchen Schaden die Apps anrichten, ist bisher nicht bekannt. Möglicherweise handelt es sich um einen Testballon der Virenschreiber.

Auf ein per Jailbreak entsperrtes Gerät kopiert WireLurker einen Trojaner, der iOS-Nutzer ausspähen kann. Dabei werden unter anderem Adressbuch, iMessage-Datenbank sowie weitere private Daten abgegriffen. Der Schädling steckt in geklauter Software, die über den chinesischen „Maiyadi App Store“ vertrieben wird. Palo Alto Networks will ihn in 467 OS-X- und 180 Windows-Programmen entdeckt haben. Um unter OS X zu zünden, benötigt WireLurker Root-Rechte. Apple blockiert in OS X inzwischen mehrere hundert Programme, die WireLurker mit sich führen. (bsc)

Trojaner ohne Datei-Spuren

Cyber-Kriminelle verteilen einen Windows-Schädling, der nicht – wie üblich – als Datei auf dem Rechner gespeichert wird, sondern komplett in der Registry. So ist er für Virenscanner schwerer zu entdecken. Virenforscher berichten, dass der auf den Namen Poweliks getaufte Schädling bereits als Angriffsmodul für das Exploit-Kit „Angler“ angeboten wird. Damit können auch durchschnittlich begabte Cyber-Kriminelle eigene Webseiten bauen, die den Schädling über Sicherheitslücken in die Systeme der Besucher einzuschleusen versuchen.

Der Schädling ist in einem Schlüssel unterhalb von \HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ gespeichert. Dessen Name ist ein Schriftzeichen, das nicht in den ASCII-Bereich gehört. Der Schädling besteht aus zwei Registry-Werten: Einer davon beinhaltet die eigentliche, kodierte Payload, der andere – welcher bei jedem Systemstart ausgeführt wird – nutzt rundll32.exe, um die Payload zu dekodieren und auszuführen. Aktuell handelt es sich dabei um einen Bot, der Befehle von einem Command-and-Control-Server entgegennimmt. (rei)

c’t Security 2014

Daten verschlüsseln, Surf-Risiken minimieren, Passwörter verwalten und mehr: Das neue Sonderheft c’t Security 2014 hilft, sich sicherer im Netz zu bewegen. Es erläutert auf 172 Seiten, wie man Gefahren im Netz erkennt und minimiert – etwa in der Cloud, im heimischen Router oder auf dem eigenen PC. Zahlreiche Artikel liefern sofort umsetzbares Know-how. Beigelegt ist außerdem eine Doppel-Live-DVD mit c’t Bankix und dem Forensik-System DEFT. Außerdem können Leser eine 1-Jahres-Lizenz der Virenschutz-Software Eset NOD32 Antivirus 7 für Windows erhalten.

c’t Security 2014 liegt aktuell am Kiosk, kann aber auch über den heise Shop bestellt werden. Die Lieferung erfolgt in Deutschland, Österreich und der Schweiz bis zum 31.12.2014 portofrei. (keh)

Sicherheits-Notizen

Mit wget 1.16 dichten die Entwickler eine Lücke ab, durch die man sich Schadcode einfangen kann. Sie betrifft den rekursiven Modus, den etwa der Schalter -m aktiviert. Alle älteren Versionen sind anfällig.

Microsoft hat für den November-Patchday 16 Sicherheits-Updates angekündigt. Fünf davon schließen kritische Windows-Lücken, weitere Updates soll es für Internet Explorer, Office sowie SharePoint Server und Exchange Server geben.

Die Entwickler des quelloffenen Universal-Messengers Pidgin haben mit dem Update auf Version 2.10.10 fünf Sicherheitsprobleme beseitigt. Unter anderem war der Client anfällig für Man-in-the-Middle-Angriffe auf SSL.

Cyber-Kriminelle nutzen die in c’t 24/14 erwähnte Lücke in dem Content-Management-System Drupal 7 massiv aus. Die Entwickler empfehlen, jede Installation, die nicht am 15. Oktober abgesichert wurde, als kompromittiert zu betrachten.

Der NAS-Hersteller Synology führt mit der neuen Firmware-Version DiskStation Manager (DSM) 5.1 eine Auto-Update-Funktion ein, die regelmäßig nach Sicherheits-Updates sucht und auch diese einspielen kann.

Version 2.1.0 der Mail-Verschlüsselungs-Software GnuPG führt viele neue Funktionen wie die Unterstützung von Elliptic Curve Cryptography (ECC) ein. Für den alltäglichen Einsatz soll man vorerst noch zum Versionszweig 2.0 greifen.

Der Kommandozeilen-FTP-Client tnftp, der zum Lieferumfang von Mac OS X sowie diversen BSD-Derivaten und Linux-Distributionen gehört, führt unter Umständen Schadcode aus. Abhilfe schafft Version 20141031.

Kaspkersky Lab warnt vor einer Angriffsserie auf Hotelbesucher, die sich vor Ort ins WLAN einbuchen. Die Angreifer versuchen, ihren Opfern in spe gefälschte Software-Updates unterzujubeln.

Artikel kostenlos herunterladen

weiterführende Links