Neue Locky-Variante mit .aesir-Endung aufgetaucht

Eine neue Variante des Verschlüsselungstrojaners Locky ist laut den Experten von Bleepingcomputer.com unterwegs und verschlüsselt die betroffenen Benutzerdateien mit der Endung .aesir

Verschlüsselte Dateien mit .aesir-Erweiterung (Bild: bleepingcomputer.com)

Die neue Variante von Locky greift auf ein bewährtes Verfahren zurück - wird der Schadcode ausgeführt, so verschlüsselt der Trojaner die Dateien, auf die der Benutzer Zugriff hat und zeigt eine Aufforderung zur Lösegeldzahlung an. Da es für diese Variante kein Entschlüsselungstool gibt, ist die Gefahr erneut als sehr hoch anzusehen.

Laut Meldungen von Bleepingcomputer.com kommt die neue Variante hauptsächlich als gefälschte Mails von Providern daher und informiert den Benutzer darüber, dass über den eigenen PC illegal Spam-Mails versendet wurden. Im Anhang befindet sich eine Zip-Datei mit einer ausführbaren Javascript-Datei, welche die Infektion  auslöst.

Betroffene Benutzer sollten unter keinen Umstellen den Anhang öffnen, auch wenn die Mail täuschend echt aussehen sollten. Im Zweifelsfall können Sie uns gerne kontaktieren, wir analysieren die Mails für Sie und lassen Sie wissen, ob es sich hier um legitime Nachrichten ihres Providers handelt oder nicht.

Parallel wird die neue Variante auch über gekaperte Accounts im Facebook-Chat an die eigenen Kontakte versendet. Bei dieser Infektionsvariante wird eine SVG versendet, die einen Verweis auf verseuchte Webseiten enthalten. Besucht man die Webseite, infiziert man sich über diesen Weg.

Weitere Informationen gibt es bei Bleepingcomputer.com

Android MMS-Sicherheitslücke Stagefright: Was Sie zum eigenen Schutz tun können

Stagefright heisst die neuste und mutmaßlich schwerste Sicherheitslücke, die Androi-Benutzer heimsucht, von bis zu 95% betroffenen Geräten spricht Zimperium zLabs, welche die Lücke gemeldet haben.

Durch einen Fehler in der Media-Library, die zum Beispiel zur Anzeige von PDF-Dateien genutzt wird, kann es Angreifern möglich sein, entsprechenden Code auf dem verwundbaren Gerät auszuführen. Alle Bugs, die in Verbindung stehen und von Zimperium gemeldet wurden, haben CVE Nummern erhalten und werden unter  CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 und CVE-2015-3829 gelistet (https://cve.mitre.org/).

Die Lücke betrifft laut Aussage von Zimperium alle Android-Geräte ab Version 2.2 und somit laut Schätzungen rund 950 Millionen Geräte. Zimperium meldete den Bug bereits im April an Google, welche zusicherten, den Herstellern einen Patch zur Verfügung zu stellen - welche Hersteller ihre eigenen Geräte und besonders, die älteren Geräte, patchen werden, ist den Herstellern überlassen. Aktuell haben lediglich Blackphone und Cyanogenmod bereits Patches für ihre Geräte/Software bereitgestellt, HTC habe seit Anfang July angefangen die Patches in ihre Entwicklung einzubauen, von anderen Herstellern fehlt zum Zeitpunkt des Artikels leider eine öffentliche Reaktion.

Die Ausnutzung der Sicherheitslücke ist recht einfach und nutzt eine Bequemlichkeitsfalle bei der MMS-Nutzung, denn hier ist häufig der automatische Download der MMS als Standardaktion gesetzt (auf aktuellen Androidgeräten und der Nutzung von Hangouts kann man dies unter "Einstellungen > SMS > Erweitert" deaktivieren). Findet kein automatischer Download der MMS statt, muss man die entsprechend manipulierte MMS lediglich anschauen, daher empfiehlt es sich für alle Benutzer in der SMS/MMS-App die entsprechenden Einstellungen zu überprüfen und zu deaktivieren.

Android Hangouts MMS automatischer MMS Download deaktiviert

Natürlich muss dem Angreifer die Mobilnummer des Gerätes bekannt sein, damit eine MMS gesendet werden kann, es ist allerdings davon auszugehen, dass Angreifer ganze Nummernblöcke angreifen werden. Dies könnte der bisher schlimmste Bug für Android sein, da bei automatischem Download der MMS eine Löschung der MMS durch den Angreifer geschehen könnte, bevor dieser überhaupt davon erfährt, man weiss im schlimmsten Falle gar nicht, dass das eigene Gerät befallen ist, der Angreifer hat aber Zugriff auf Kamera, Mikrofon und könnte Code ausführen, um sich tieferen Zugriff auf das Gerät zu verschaffen.

Laut Aussage eines Google Sprechers habe man bereits einen Patch im Nexus 6, welches im letzten Update enthalten war. Aktuelle Androidversionen bieten zudem verschiedene Mechanismen, die eine unerlaubte Rechtenutzung und das Ausnutzen von Sicherheitslücken eindämmen sollen, er bestätigte aber auch, dass Versionen vor Android 4.1 Jelly Bean über keine wirksamen Mittel gegen die Sicherheitslücke verfügen und spricht hier von rund 100 Millionen stark gefährdeten Geräten.

Es empfiehlt sich also dringt das eigene Gerät mit eventuell verfügbaren Updates zu versehen und sicherzustellen, dass der automatische Download von MMS deaktiviert ist.

Informationen zum OpenSSL Heartbleed Bug

Ein schwerwiegender Fehler in der OpenSource Bibliothek OpenSSL gefährdet die Sicherheit vieler weltweiter Systeme und kann dem Angreifer Zugriff auf Systemdaten, inklusive der privaten Schlüssel von SSL Zertifikaten erlauben.

Wer ist betroffen?

OpenSSL wird als Bibliothek auf vielen Systemen weltweit eingesetzt und ist die Standardimplementation bei Webservern wie Apache und nginx, welche laut Netcraft-Report auf aktuell knapp 70% der weltweiten Systeme eingesetzt werden. Allerdings sind nicht nur Webserver betroffen, sonder auch VPN Verbindungen, Instant Messaging oder E-Mail Server. Betroffen sind die Versionen 1.0.1 bis 1.0.1f von OpenSSL. Ältere Versionen, sowie die weitverbreitete Version 0.9.8 sind nicht betroffen.

Was bedeutet der Bug?

Der Heartbleed Bug zielt auf den Heartbeat ab, welcher sicherstellt, dass die verschlüsselte Verbindung noch aktiv ist. Zu diesem Zwecke werden Statusinformationen ausgetauscht, die bidirektional überprüfen ob der entsprechende Kommunikationspartner noch Teil der Verbindung ist. Über diesen Heartbeat können aufgrund des Bugs allerdings Systemdaten ausgelesen werden, mit einer maximalen Größe von bis zu 64kb pro Verbindung. Man konnte auf diese Weise an Benutzernamen, Passwörter, sowie private Schlüssel (ist der private Schlüssel eines Zertifikates bekannt, kann die Verbindung entschlüsselt werden) oder Inhalte aus der verschlüsselten Kommunikation allgemein gelangen.

Die Angriffe konnten aufgrund des Bugs ohne zusätzliche Rechte durchgeführt werden und sind als höchst kritisch einzustufen, da ein kompromittierter privater Schlüssel die Verschlüsselung faktisch nutzlos macht. Ist man in Besitz des privaten Schlüssels, kann man sich als Zielserver ausgeben und mit einem eigenen Server im Kommunikationsweg selbst die Daten abfangen und entschlüsseln.

Ist der Heartbleed Bug nur ein Problem für SSL und Zertifikate?

Der Bug betrifft nicht nur Zertifikate, diese sind zwar betroffen, weil sie kompromittiert werden können, die wirkliche Problematik liegt aber beim Abfluss von System- und Benutzerdaten. Ist ein System vom Bug betroffen können Benutzer und Passwortkombinationen recht einfach ausgelesen werden. Ist also ein Dienst, den man nutzt, Opfer des Bugs, besteht die Möglichkeit, dass die eigenen Benutzerdaten einem Angreifer bekannt geworden sind. Ein umgehender Passwortwechsel ist daher angeraten! Betrachten wir in diesem Zusammenhang die Anzahl der potenziell betroffenen Systeme, so liegen wir in einem hohen Millionenbereich. Verrechnet man diese Anzahl mit Benutzern die für unterschiedliche Dienste die gleiche Benutzer/Passwort-Kombination nutzen, so dürfte sich die Zahl vervielfachen!

Was sollte man als Betroffener tun?

Patchen Sie ihr System! OpenSSL steht seit dem 8. Januar in Version 1.0.1g zur Verfügung und ist in den meisten Systemen über die Paketverwaltung der Distribution bereits verfügbar. Erst nachdem das System auf dem aktuellen Stand ist, sollte ein neuer privater Schlüssel erstellt und das Zertifikat ausgetauscht werden! Ein Austausch empfiehlt sich dringend, da nicht nachweisbar ist ob der eigene Schlüssel bereits ausgelesen wurde, denn die Ausnutzung des Bugs hinterlässt keinerlei Spuren auf dem System.

Wir empfehlen daher allen bisherigen Nutzern einer OpenSSL Version zwischen 1.0.1 und 1.0.1f dringend zur Erstellung neuer Schlüssel und dem damit einhergehenden Austausch der Zertifikate!

Noch wichtiger ist die Änderung aller Passwörter bei genutzen Diensten, angefangen bei den kritischen wie primäres Mailkonto und allen Diensten, auf denen Geldbeträge abfließen können (Amazon, eBay, PayPal uws.). Sofern verfügbar sollte man eine Zwei-Faktor-Authentifizierung beim genutzten Dienst aktivieren (Google, Microsoft, PayPal und viele mehr bieten es bereits lange Zeit an). Nutzen Sie unterschiedliche Passwörter für unterschiedliche Dienste, es ist besser sich diese zu notieren, als aus Bequemlichkeit das gleiche Passwort bei 20 Diensten zu nutzen, denn ist eines befallen, öffnet dies Tür und Tor zu den anderen!

Wo kann ich weitergehende Informationen zum Heartbleed Bug erhalten?

• Heartbleed.com (stellt alle Infos zum Bug in englischer Sprache zusammen)
• Security Advisory auf OpenSSL.org
• Heartbleed Test (Überprüfen Sie ob ihr System betroffen ist)

Windows XP nach dem Supportende durch Microsoft weiternutzen?

Der Support für Windows XP wird am 8.4.2014, nach nunmehr 12 Jahren, durch Microsoft eingestellt.

Windows XP ist auch weiterhin in vielen Haushalten und Unternehmen noch aktiv im Einsatz und wird sehr wahrscheinlich nach dem 8. April zu einem beachtlichen Sicherheitsproblem. Wir gehen davon aus, dass Angreifer bereits die fertigen Kits, Würmer und Trojaner in der Schublade haben, aber auf das Supportende warten, denn ab diesem Tag gibt es durch Microsoft keinerlei Support mehr, weder kostenlos, noch bezahlt. Es werden ab diesem Zeitpunkt keinerlei Sicherheitsupdates mehr zur Verfügung gestellt, sprich Sicherheitslücken, die ab dem 9. April entdeckt werden, bleiben offen! 

Zwar ist dieses Risiko im Moment nur in der Theorie existent, aber wir gehen davon aus, dass es nur kurze Zeit dauern wird, bis die noch über 20% Windows XP Installationen (Stand Ende September 2013), die Microsoft auf immernoch hohe 13% bis zum Stichtag drücken will, Ziel von massive Angriffen werden. Bedenkt man dass sich Microsoft offizieller Zahlen bedient und Windows XP eines der beliebtesten Betriebssysteme des Schwarzmarktes war, dürfte die Zahl der Installationen sicher immernoch bei rund 20% liegen - für Angreifer ist dies eine Goldgrube, denn ihre Schadsoftware fällt im Idealfall nicht mal auf, da die meisten Hersteller von Anti-Viren Software den Support für XP-Installationen bereits eingestellt haben oder zum Microsoft-Stichtag ebenfalls einstellen.

Sollten Sie im Unternehmensumfeld XP-Installationen betreiben, so ist es allerhöchste Zeit aktiv zu werden und die Systeme zu migrieren oder stillzulegen, um nicht grob fahrlässig Opfer eines Angriffes zu werden, bei dem ihn niemand mehr helfen kann, weil es keine Patches für entdeckte Lücken geben wird!

Microsoft stellt betroffenen Anwendern und Administratoren eine Informationesseite zur Verfügung, auf der man die möglichen Optionen sowohl für Windows XP, als auch für Office 2003, welches zum gleichen Zeitpunkt eingestellt wird, nachlesen kann.

Gerade im privaten Umfeld lohnt sich bei einem Rechner, der noch mit Windows XP läuft, ein Blick über den Tellerrand. Auf der tendenziell älteren Hardware könnte eine geeignete Linux-Distribution mit schlankem Window-Manager zu einem zweiten Leben als Surf-PC verhelfen. Eine Übersicht über beliebte Distributionen findet man auf Distrowatch.com.