Gefährliche Windows-Lücke |
Willkommen, Gast ( Anmelden | Registrierung )
Gefährliche Windows-Lücke |
19.07.2010, 11:33
Beitrag
#1
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 422 Mitglied seit: 20.10.2009 Wohnort: Berlin Mitglieds-Nr.: 7.794 Betriebssystem: Linux Mint / Windows XP Virenscanner: - / Panda Cloud AV free |
http://www.heise.de/newsticker/meldung/Exp...ke-1039997.html
Nach meinem Verständnis sollte ein HIPS davor schützen können. Bin mir aber nicht sicher. |
|
|
19.07.2010, 12:32
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Funktioniert bei mir nicht der Exploit , weder im Vista noch im XP.
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Solaris_* |
19.07.2010, 16:24
Beitrag
#3
|
Gäste |
Hi
Jepp, das Ding ist schon ein hartes Stück. Da müssen wirklich Profis (eventuell ja sogar Geheimdienste, wie vermutet) hintergestanden haben. Je mehr ich mich in die ganze Geschichte einlese, desto mulmiger wird mir. Genau das ist das, was ich immer "gefürchtet" hatte. Weitere Links: http://www.f-secure.com/weblog/archives/00001989.html http://www.f-secure.com/weblog/archives/00001986.html http://www.f-secure.com/weblog/archives/00001987.html http://www.microsoft.com/technet/security/...ry/2286198.mspx Das benutzte Stuxnet Rootkit wurde übrigens von Spezialisten aus dem Hause VirusBlokAda (VBA) als erstes entdeckt: http://anti-virus.by/en/tempo.shtml http://www.wilderssecurity.com/showthread.php?t=276994 Gute Arbeit LG |
|
|
Gast_Solaris_* |
19.07.2010, 17:50
Beitrag
#4
|
Gäste |
Herrje...nun ist der Code für die Masse zugänglich:
ZITAT If you're not following Mikko's Twitter feed, you may have missed yesterday's news that public proof of concept exploit code for the Windows shortcut (.lnk) vulnerability has been released on exploit-db.com. This further escalates the danger of the shortcut vulnerability. So far, only the authors of the Stuxnet rootkit have utilized the flaw, but now there's just no doubt that other bad guys will soon follow. Weiterlesen... LG |
|
|
Gast_blueX_* |
19.07.2010, 17:59
Beitrag
#5
|
Gäste |
Na dann kommt hoffentlich bald ein Patch. Die Lücke war doch schon vor den letzten Patchday bekannt, wenn ich mich recht erinnere.
|
|
|
Gast_Solaris_* |
19.07.2010, 18:06
Beitrag
#6
|
Gäste |
Die Lücke war doch schon vor den letzten Patchday bekannt, wenn ich mich recht erinnere. Soweit ich weiß, wurde das Ganze am 14.07.2010 bekannt. Das Ausmaß dieses Exploits allerdings leider erst später. Eine Infizierung findet auch ohne das manuelle Ausführen einer entsprechenden Datei statt. Sie muss nichtmal auf der eigenen Festplatte liegen. Bin wirklich gespannt, wie das weitergeht. Ein vorläufiges "Workaround" wurde bereits von Microsoft bereitgestellt: http://www.microsoft.com/technet/security/...ry/2286198.mspx |
|
|
19.07.2010, 19:34
Beitrag
#7
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Von Symantec gibt es auch etwas zu lesen darüber.
http://www.symantec.com/connect/blogs/w32t...asked-questions |
|
|
19.07.2010, 20:13
Beitrag
#8
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
http://www.ivanlef0u.tuxfamily.org/?p=411
Schonma jemand den PoC probiert ? Hier tut sich garnichts oder ich weiss noch nicht wie man den zum laufen bekommt . in der VM beide Dateien auf C:/ und die lnk korrekt umbenannt.... Nothing ! -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
19.07.2010, 22:12
Beitrag
#9
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Bei mir funktioniert es unter XP SP3.
Damit bei MD eine Meldung kommt, muss man allerdings das Laden von DLLs für die explorer.exe überwachen lassen. MfG -------------------- |
|
|
19.07.2010, 22:43
Beitrag
#10
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.191 Mitglied seit: 07.08.2007 Mitglieds-Nr.: 6.352 Virenscanner: G DATA |
http://www.ivanlef0u.tuxfamily.org/?p=411 Schonma jemand den PoC probiert ? Hier tut sich garnichts oder ich weiss noch nicht wie man den zum laufen bekommt . in der VM beide Dateien auf C:/ und die lnk korrekt umbenannt.... Nothing ! Ich hab es auch nur auf Vista 32 Bit geschafft. Auf Windows 7 64 Bit passiert bei mir auch nichts. DebugView hattest du aber schon gestartet, oder? |
|
|
19.07.2010, 23:00
Beitrag
#11
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.191 Mitglied seit: 07.08.2007 Mitglieds-Nr.: 6.352 Virenscanner: G DATA |
Bin gerade dabei mir die lnk Datei etwas genauer anzusehen...
Die dll.dll muss auf jeden Fall direkt auf C:\ liegen und das Laufwerk muss auch C heißen, da das genau so in der lnk-Datei steht... |
|
|
Gast_Solaris_* |
20.07.2010, 14:58
Beitrag
#12
|
Gäste |
Es tauchen zur Zeit immer mehr Varianten des Stuxnet-Rootkits auf, die ebenfalls digital signiert sind. Diesmal aber nicht von (vermeintlich) Realtek, sondern von (vermeintlich) JMicron Technology Corporation.
ZITAT There's a couple of new developments in the Stuxnet rootkit case. Last night, the analysts in our Kuala Lumpur lab added detection for another digitally signed Stuxnet driver. This one uses a certificate from JMicron Technology Corporation. Quelle Da kommt wohl noch einiges auf uns zu . |
|
|
20.07.2010, 15:27
Beitrag
#13
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Und hier vom Siemens Support,
http://support.automation.siemens.com/WW/l...bjaction=csopen |
|
|
20.07.2010, 17:02
Beitrag
#14
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Klasse , ein 2 Jahre gültiger zertifizierter Rootkit von Jmicron. Die Zertifikate wurden wohl im Taiwan physisch gestohlen.
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
20.07.2010, 18:13
Beitrag
#15
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
|
|
|
21.07.2010, 00:30
Beitrag
#16
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 422 Mitglied seit: 20.10.2009 Wohnort: Berlin Mitglieds-Nr.: 7.794 Betriebssystem: Linux Mint / Windows XP Virenscanner: - / Panda Cloud AV free |
Vielleicht geht es nicht nur mir so: ich fühle mich nicht wirklich gut informiert. Und mich beschäftigen Fragen.
Kann sich der normale User infizieren, wenn er online im Netz unterwegs ist? (Vorausgesetzt, er lädt nichts runter) Schützen virtuelle Systeme vor einer Infektion? Kann jemand, der einen Plan von der Sachlage hat, vielleicht ein wenig Licht in`s Dunkel bringen? |
|
|
21.07.2010, 06:53
Beitrag
#17
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
So wie ich das bisher herausgelesen habe, funktioniert die Infizierung nur über *.lnk über externe Datenträger und nicht über's Netzwerk. Virtualisierung ist ganz nett und schützt auch weitehend (nicht immer) gegen Gefahren aus dem Netz, aber wie soll es das Stammsystem schützen, wenn zum Beispiel ein USB-Stick angeschlossen wird. Na, dann bleibt wenigstens die VM sauber <smile>
-------------------- Yours sincerely
Uwe Kraatz |
|
|
Gast_Solaris_* |
21.07.2010, 07:29
Beitrag
#18
|
Gäste |
Vielleicht geht es nicht nur mir so: ich fühle mich nicht wirklich gut informiert. Und mich beschäftigen Fragen. Hi Hab nur ganz wenig Zeit, deswegen auch nur eine kurze Antwort. In den Heise-Links steht der Infektionsweg nochmal genauer drin. McAfee hat derweil auch ein kleines FAQ veröffentlicht: http://www.avertlabs.com/research/blog/ind...-vulnerability/ LG |
|
|
21.07.2010, 08:20
Beitrag
#19
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Suxnet verbreitet sich über USB Stickst.
Aber der WebDAV Dienst und SMB sind ebenfalls angreifbar. Daher denke ich wird es leider nicht lange dauern bis auch dafür Malware geschrieben wird. Suxnet fängt man sich also nur über infizierte USB Sticks ein. Das allerdings auch ziemlich zuverlässig da selbst Systeme wie Appguard, die USB Infektionen vermeiden sollten diese neue Bedrohung noch nicht blocken können. Wie das mit HIPSen aussieht weiss ich nicht. Den WebDAV Dienst sollte man ohnehin abschalten. (Wie alle Dienste die man nicht braucht denn ein aktiver Dienst bedeutet immer einen offenen Port und damit einen offenen Angriffsvektor). PS: Ich habe grade die Information bekommen, dass zum Beispiel die OSSS in der Lage ist die Suxnet Infektion zu blocken. a) Weil die Aktion abgefangen wird über die Erstellung neuer ausführbarer Dateien (wahrscheinlich das .tmp file) sowie über die Integritätskontrolle des Explorers der ja das neue Modul läd und b) weil OSSS erfreulicher Weise sich nicht um Digitale Signaturen kümmert. Ich habe den Mist mit den digitalen Signautren schon immer für aüßerst fragwürdig und unsicher gehalten und nun ist endlich der Beweis da. Im Avast Forum hat mir einer der Entwickler mal gesagt: "Show me one such file..." (gemeint war eine schädliche, digital signierte Datei) Den Beweis hat er nun. Da werden sich viele Anbieter komplett neu aufstellen müssen. Glaube aber irgendwie nicht, dass bei allen was passiert. Generell würde ich also empfehlen, digital signierten Dateien nicht zu vertrauen, sie also nicht vom Scan auszuschließen. Der Beitrag wurde von Habakuck bearbeitet: 21.07.2010, 08:28 -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
21.07.2010, 08:40
Beitrag
#20
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 422 Mitglied seit: 20.10.2009 Wohnort: Berlin Mitglieds-Nr.: 7.794 Betriebssystem: Linux Mint / Windows XP Virenscanner: - / Panda Cloud AV free |
Ein großer Dank an alle, welche zur Erhellung beigetragen haben.
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.06.2024, 19:44 |