c't 13/2017
S. 38
News
Security

Kritische Lücke in Microsofts Virenjäger

Eine ungepatchte Malware Protection Engine kann als Einfallstor für Malware missbraucht werden.

Sicherheitsforscher von Googles Project Zero haben einen weiteren Weg gefunden, wie ein Angreifer Dateien so manipulieren kann, dass sie beim Scannen Schwachstellen in Microsofts Malware Protection Engine ausnutzen – von einer ähnlichen Lücke haben wir bereits in c’t 12/17 berichtet. Damit kann ein Angreifer ohne Zutun des Nutzers einen Windows-Rechner aus der Ferne komplett übernehmen: Es reicht, eine infizierte Datei etwa als Mail-Anhang auf den Rechner zu bugsieren und zu warten, dass der Echtzeitschutz oder ein Hintergrund-Scan des Antivirenprogramms sie erwischt.

Die Malware Protection Engine ist zentraler Bestandteil des in Windows 7 bis 10 eingebauten Antivirenprogramms Defender, aber auch zahlreicher Sicherheitsprodukte von Microsoft für Unternehmen. Microsoft schätzt die Sicherheitslücke als kritisch ein und hat bereits Updates außerhalb des normalen Patch-Zyklus veröffentlicht. Windows-Anwender sollten über die automatischen Updates einen Patch erhalten haben. Überprüfen lässt sich das im Windows Defender: Unter „Hilfe/Info“ muss die „Modulversion“ mindestens 1.1.13804.0 lauten. (fab@ct.de)

Ransomware Jaff kommt per PDF-Datei

In Deutschland infizieren sich vermehrt Windows-Computer mit dem Erpressungstrojaner Jaff. Der Schädling verschlüsselt Daten und verlangt für die Freigabe ein Lösegeld in Höhe von rund 2 Bitcoin (etwa 4200 Euro). Befallene Dateien weisen die Namenserweiterung .wlu auf und lassen sich nicht mehr öffnen: Ein Foto heißt dann etwa „Urlaub.jpg.wlu“.

Opfer sollten die unter ct.de/yzdjverlinkte Webseite ID-Ransomware im Blick haben: Dort kann man regelmäßig prüfen, ob es ein kostenloses Entschlüsselungs-Tool gibt – bislang scheint Jaff noch nicht geknackt zu sein.

Wie bei Ransomware üblich setzen die Drahtzieher hinter Jaff auf gefälschte E-Mails, die eine vermeintliche, noch nicht bezahlte Rechnung mitbringen. Doch im Unterschied zu anderen Kampagnen befindet sich hier statt eines präparierten Word-Dokuments eine manipulierte PDF-Datei im Anhang. Wer sie öffnet, muss in der PDF-Anwendung noch eine Sicherheitswarnung abnicken. Daraufhin wird ein Word-Dokument mit Makros aus dem PDF extrahiert und geöffnet. Erst nachdem das Opfer auch dort noch die Makros aktiviert, findet die Infektion mit Jaff statt. (des@ct.de)

SambaCry bedroht Linux-Dateiserver

Eine kürzlich entdeckte Lücke im Linux-Datenaustauschdienst Samba ab Version 3.5.0 erlaubt Angreifern das Ausführen von beliebigem Schadcode (CVE-2017-7494). Da eine ähnliche Lücke im Windows-Pendant der Software maßgeblich an der Ausbreitung des Verschlüsselungstrojaners WannaCry beteiligt war, hat die Internetgemeinde die aktuelle Lücke SambaCry getauft. Sie ist nach Expertenmeinung relativ einfach für Angriffe ausnutzbar. Es ist zu vermuten, dass sie bereits im großen Stil für Angriffe missbraucht wird: Gerade Dateiserver stellen die perfekten Angriffsziele für Verschlüsselungstrojaner dar.

Administratoren sollten deshalb so schnell wie möglich alle Samba-Installationen in ihren Netzen auf den aktuellen Stand bringen: Für viele Linux-Distributionen werden bereits Updates verteilt. Embedded-Systeme und NAS-Geräte, für die es keine Patches gibt, sollte man besser aus dem Netz entfernen.

Sicherheitsforscher arbeiten bereits mit Hochdruck an Tools, um verwundbare Systeme in den eigenen Netzen aufzuspüren. Unter ct.de/yzdj können sich Administratoren ein Nmap-Skript herunterladen, das verwundbare Samba-Versionen identifiziert. Der Entwickler arbeitet nach eigener Aussage bereits an einer verbesserten Version, die per Metasploit-Modul prüft, ob ein identifizierter Samba-Server auch wirklich angreifbar ist. (fab@ct.de)

Kommentieren