Gefährliche Windows-Lücke Einstellungen

[Lurchi]

http://www.heise.de/newsticker/meldung/Exp...ke-1039997.html

Nach meinem Verständnis sollte ein HIPS davor schützen können. Bin mir aber nicht sicher.

[Voyager]

Funktioniert bei mir nicht der Exploit , weder im Vista noch im XP.

[Gast_Solaris_*]

Hi

Jepp, das Ding ist schon ein hartes Stück. Da müssen wirklich Profis (eventuell ja sogar Geheimdienste, wie vermutet) hintergestanden haben. Je mehr ich mich in die ganze Geschichte einlese, desto mulmiger wird mir. Genau das ist das, was ich immer "gefürchtet" hatte.

Weitere Links:
http://www.f-secure.com/weblog/archives/00001989.html
http://www.f-secure.com/weblog/archives/00001986.html
http://www.f-secure.com/weblog/archives/00001987.html
http://www.microsoft.com/technet/security/...ry/2286198.mspx

Das benutzte Stuxnet Rootkit wurde übrigens von Spezialisten aus dem Hause VirusBlokAda (VBA) als erstes entdeckt:
http://anti-virus.by/en/tempo.shtml
http://www.wilderssecurity.com/showthread.php?t=276994

Gute Arbeit

LG

[Gast_Solaris_*]

Herrje...nun ist der Code für die Masse zugänglich:

If you're not following Mikko's Twitter feed, you may have missed yesterday's news that public proof of concept exploit code for the Windows shortcut (.lnk) vulnerability has been released on exploit-db.com.

This further escalates the danger of the shortcut vulnerability. So far, only the authors of the Stuxnet rootkit have utilized the flaw, but now there's just no doubt that other bad guys will soon follow.

Weiterlesen...

LG

[Gast_blueX_*]

Na dann kommt hoffentlich bald ein Patch. Die Lücke war doch schon vor den letzten Patchday bekannt, wenn ich mich recht erinnere.

[Gast_Solaris_*]

Die Lücke war doch schon vor den letzten Patchday bekannt, wenn ich mich recht erinnere.

Soweit ich weiß, wurde das Ganze am 14.07.2010 bekannt. Das Ausmaß dieses Exploits allerdings leider erst später. Eine Infizierung findet auch ohne das manuelle Ausführen einer entsprechenden Datei statt. Sie muss nichtmal auf der eigenen Festplatte liegen.

Bin wirklich gespannt, wie das weitergeht. Ein vorläufiges "Workaround" wurde bereits von Microsoft bereitgestellt:
http://www.microsoft.com/technet/security/...ry/2286198.mspx

[Rios]

Von Symantec gibt es auch etwas zu lesen darüber.
http://www.symantec.com/connect/blogs/w32t...asked-questions

[Voyager]

http://www.ivanlef0u.tuxfamily.org/?p=411

Schonma jemand den PoC probiert ? Hier tut sich garnichts oder ich weiss noch nicht wie man den zum laufen bekommt .
in der VM beide Dateien auf C:/ und die lnk korrekt umbenannt.... Nothing !

[subset]

Bei mir funktioniert es unter XP SP3.



Damit bei MD eine Meldung kommt, muss man allerdings das Laden von DLLs für die explorer.exe überwachen lassen.

MfG

[scu]

http://www.ivanlef0u.tuxfamily.org/?p=411

Schonma jemand den PoC probiert ? Hier tut sich garnichts oder ich weiss noch nicht wie man den zum laufen bekommt .
in der VM beide Dateien auf C:/ und die lnk korrekt umbenannt.... Nothing !

Ich hab es auch nur auf Vista 32 Bit geschafft. Auf Windows 7 64 Bit passiert bei mir auch nichts.

DebugView hattest du aber schon gestartet, oder?

[scu]

Bin gerade dabei mir die lnk Datei etwas genauer anzusehen...
Die dll.dll muss auf jeden Fall direkt auf C:\ liegen und das Laufwerk muss auch C heißen, da das genau so in der lnk-Datei steht...

[Gast_Solaris_*]

Es tauchen zur Zeit immer mehr Varianten des Stuxnet-Rootkits auf, die ebenfalls digital signiert sind. Diesmal aber nicht von (vermeintlich) Realtek, sondern von (vermeintlich) JMicron Technology Corporation.

There's a couple of new developments in the Stuxnet rootkit case. Last night, the analysts in our Kuala Lumpur lab added detection for another digitally signed Stuxnet driver. This one uses a certificate from JMicron Technology Corporation.

Quelle
Da kommt wohl noch einiges auf uns zu .

[Rios]

Und hier vom Siemens Support,
http://support.automation.siemens.com/WW/l...bjaction=csopen

[Voyager]

Klasse , ein 2 Jahre gültiger zertifizierter Rootkit von Jmicron. Die Zertifikate wurden wohl im Taiwan physisch gestohlen.

[citro]

heise.de hat auch nochmal was dazu geschrieben,

>Klick

[Lurchi]

Vielleicht geht es nicht nur mir so: ich fühle mich nicht wirklich gut informiert. Und mich beschäftigen Fragen.

Kann sich der normale User infizieren, wenn er online im Netz unterwegs ist? (Vorausgesetzt, er lädt nichts runter)

Schützen virtuelle Systeme vor einer Infektion?

Kann jemand, der einen Plan von der Sachlage hat, vielleicht ein wenig Licht in`s Dunkel bringen?

[Solution-Design]

So wie ich das bisher herausgelesen habe, funktioniert die Infizierung nur über *.lnk über externe Datenträger und nicht über's Netzwerk. Virtualisierung ist ganz nett und schützt auch weitehend (nicht immer) gegen Gefahren aus dem Netz, aber wie soll es das Stammsystem schützen, wenn zum Beispiel ein USB-Stick angeschlossen wird. Na, dann bleibt wenigstens die VM sauber <smile>

[Gast_Solaris_*]

Vielleicht geht es nicht nur mir so: ich fühle mich nicht wirklich gut informiert. Und mich beschäftigen Fragen.

Hi

Hab nur ganz wenig Zeit, deswegen auch nur eine kurze Antwort. In den Heise-Links steht der Infektionsweg nochmal genauer drin. McAfee hat derweil auch ein kleines FAQ veröffentlicht:
http://www.avertlabs.com/research/blog/ind...-vulnerability/

LG

[Habakuck]

Suxnet verbreitet sich über USB Stickst.

Aber der WebDAV Dienst und SMB sind ebenfalls angreifbar. Daher denke ich wird es leider nicht lange dauern bis auch dafür Malware geschrieben wird.

Suxnet fängt man sich also nur über infizierte USB Sticks ein. Das allerdings auch ziemlich zuverlässig da selbst Systeme wie Appguard, die USB Infektionen vermeiden sollten diese neue Bedrohung noch nicht blocken können.
Wie das mit HIPSen aussieht weiss ich nicht.

Den WebDAV Dienst sollte man ohnehin abschalten. (Wie alle Dienste die man nicht braucht denn ein aktiver Dienst bedeutet immer einen offenen Port und damit einen offenen Angriffsvektor).

PS: Ich habe grade die Information bekommen, dass zum Beispiel die OSSS in der Lage ist die Suxnet Infektion zu blocken. a) Weil die Aktion abgefangen wird über die Erstellung neuer ausführbarer Dateien (wahrscheinlich das .tmp file) sowie über die Integritätskontrolle des Explorers der ja das neue Modul läd und b) weil OSSS erfreulicher Weise sich nicht um Digitale Signaturen kümmert.
Ich habe den Mist mit den digitalen Signautren schon immer für aüßerst fragwürdig und unsicher gehalten und nun ist endlich der Beweis da.

Im Avast Forum hat mir einer der Entwickler mal gesagt: "Show me one such file..." (gemeint war eine schädliche, digital signierte Datei) Den Beweis hat er nun. Da werden sich viele Anbieter komplett neu aufstellen müssen. Glaube aber irgendwie nicht, dass bei allen was passiert.

Generell würde ich also empfehlen, digital signierten Dateien nicht zu vertrauen, sie also nicht vom Scan auszuschließen.

Der Beitrag wurde von Habakuck bearbeitet: 21.07.2010, 08:28

[Lurchi]

Ein großer Dank an alle, welche zur Erhellung beigetragen haben.