Ihr Partner
in Sachen EDV


Hardware
Software
Netzwerktechnik

Aktuelle Meldungen

 

Sicherheitslücke in Windows geschlossen

Microsoft hat eine schwerwiegende Lücke in der Antiviren-Engine von Windows beseitigt. Angreifer können verwundbare Systeme durch die Lücke auf vielfältige Weise infizieren. Betroffen sind alle Windows-Versionen sowie die Microsoft Security Essentials.
Mit einem Notfall-Patch schließt Microsoft eine hochkritische Sicherheitslücke in fast allen Windows-Versionen (einschließlich Server). Angreifer können die Lücke ausnutzen, um die Kontrolle über ein System zu übernehmen. Die Google-Forscher Tavis Ormandy und Natalie Silvanovich hatten die Schwachstelle entdeckt und vergangenen Freitag an Microsoft gemeldet. Über Twitter kündigten sie an, auf eine "unfassbar schlimme" Windows-Lücke gestoßen zu sein – wie die veröffentlichten Details zeigen, hatten die Forscher damit nicht übertrieben.
Lücke klafft in Virenschutz-Engine
Die Lücke klafft in Micosofts Virenscanner-Engine, die seit Windows 8 in Form des Defender fester Bestandteil des Betriebssystems ist. In älteren Windows-Versionen ist sie Teil des gleichnamigen Antispyware-Programms sowie in der kostenlosen Virenschutz-Software Microsoft Security Essentials (MSE) erhalten. Die Engine untersucht vom System verarbeitete Daten vor der Ausführung auf Schadcode. Hält die Engine den Inhalt von Netzwerkpaketen oder Dateien etwa für JavaScript-Code, führt sie ihn zu Analysezwecken aus.

Ormandy hat die Entdeckung der Lücke vergangenen Freitag über Twitter bekannt gegeben. Dabei leistet sich die Microsoft Malware Protection Engine (MsMpEn) allerdings einen fatalen Fehler, wie der Bericht der Google-Forscher offenlegt: Es kommt dabei unter bestimmten Umständen zu einer sogenannten Type Confusion. Eine Funktion des JavaScript-Interpreters überprüft die Eingabewerte nicht ausreichend, was letztlich dazu führt, dass ein Angreifer die Kontrolle über den Prozess übernehmen kann. Fatalerweise läuft dieser Prozess mit SYSTEM-Rechten und wird nicht von einer Sandbox geschützt. Der Angreifer erlangt also höchstmögliche Rechte über das verwundbare System.
Vielfältige Angriffswege
Um die Lücke auszunutzen, muss der Angreifer die Malware Protection Engine dazu bringen, den Angriffscode zu verarbeiten. Und das ist einfach, da sie an vielen Stellen aktiv wird. Es genügt zum Beispiel, dem Opfer eine Mail zu schicken. Sobald die Nachricht vom Mail-Client abgerufen wurde, wird der Schadcode ausgeführt – es ist nicht notwendig, dass das Opfer eine Mail oder gar einen Anhang öffnet.
Genauso gut könnte der Angreifer sein Opfer auf eine angriffslustige Website locken. Auch Instant-Messenger-Nachrichten können für das Opfer fatale Folgen haben. Windows-Server sind gleichermaßen gefährdet: Hier kann ein Angreifer den verwundbaren Prozess etwa durch das Hochladen von Dateien in Gang setzen. Kurzum: Die verwundbare Engine ist omnipräsent, der Kreativität des Angreifers sind keine Grenzen gesetzt.
Betroffen sind laut Microsoft die folgenden Produkte:
• Windows 8 bis 10 (einschließlich RT)
• Microsoft Security Essentials
• Windows Defender for Windows 7 - 8.1 (einschließlich RT)
• Microsoft Forefront Endpoint Protection 2010
• Microsoft Endpoint Protection
• Microsoft Forefront Security for SharePoint Service Pack 3
• Microsoft System Center Endpoint Protection
• Windows Intune Endpoint Protection
In allen Fällen bewertet der Hersteller das Sicherheitsproblem mit dem höchstmöglichen Schweregrad "kritisch".
Angriffscode ist öffentlich – jetzt Versionsstand prüfen!
Für Abhilfe sorgt ein Update der Microsoft Malware Protection Engine, das laut Microsoft automatisch installiert wird. Die abgesicherte Version lautet Microsoft Malware Protection Engine 1.1.13704.0. Unser Testsystem mit Standardeinstellungen war am Dienstagvormittag allerdings noch auf dem Stand vom Vortag. Wer auf Nummer sicher gehen möchte, sollte den Update-Vorgang also besser von Hand anstoßen. Unter Windows 10 (Creators Update) finden Sie den Update-Knopf durch eine Startmenü-Suche nach "Defender", "Windows Defender Security Center", "Viren- & Bedrohungsschutz" und schließlich "Schutzupdates".
Für Angreifer ist die Lücke hochinteressant, da sie extrem viele Systeme betrifft. Ferner ist sie leicht ausnutzbar und vielfältig einsetzbar. Es ist daher wahrscheinlich nur eine Frage von Stunden, bis sie für echte Infektionen ausgenutzt wird.

(Quelle: https://www.heise.de/security/meldung/Dramatische-Sicherheitsluecke-in-Virenschutz-Software-von-Wind[..]

 

Firmware-Status von AVM-Routern checken

Kritisches Sicherheitsloch in Fritzbox-Firmware gestopft
Durch eine kritische Sicherheitslücke in FritzOS könnten Angreifer beliebte Fritzbox-Modelle wie die 7490 aus der Ferne kapern. AVM hat die Lücke in den Routern bereits mit Firmware-Version 6.83 geschlossen – allerdings ohne es zu wissen.
Die kürzlich ausgespielte Fritzbox-Firmware 6.83 stopft ein kritisches Sicherheitsloch, durch das Angreifer die volle Kontrolle über die AVM-Router hätten übernehmen können. Betroffen sind die Fritzbox-Modelle 7390, 7490 und 7580. AVM hatte das FritzOS-Update ursprünglich nicht als Sicherheits-Update gekennzeichnet.
Code-Ausführung als root
heise Security stieß auf eine Schwachstelle in den Internettelefonie-Funktionen (VoIP) der Fritzbox, die es in sich hat: Durch eine fehlerhafte Längenprüfung kann es zu einem Pufferüberlauf auf dem Heap kommen. Ein Angreifer kann solche Lücken fast immer ausnutzen, um über das Netz beliebige Befehle auf den anfälligen Geräten auszuführen. Da der betroffene Dienst als root läuft, hat er dann sehr weitreichende Möglichkeiten, das System zu manipulieren. Ein Angreifer könnte etwa den Datenverkehr mitlesen oder den VoIP-Anschluss seines Opfers für kostenpflichtige Anrufe missbrauchen. An der Entdeckung der Lücke war maßgeblich der Ulmer Security-Experte Hanno Heinrichs beteiligt, der im Auftrag von heise Security eine Analyse der Fritzbox-Firmware vorgenommen hat.

Mit einem Proof-of-Concept-Exploit konnte heise Security demonstrieren, dass sich die Lücke eignet, um Code übers Netz auszuführen. heise Security informierte AVM über die Existenz der Sicherheitslücke im März; in der Folge bemühten sich AVM und heise Security gemeinsam um ein genaueres Verständnis des Sachverhalts. Schließlich konnte heise Security das Einschleusen und Ausführen von Code mit einem von Heinrichs zusammen mit Robert Femmer und Kristoffer Janke entwickelten Proof-of-Concept-Exploit nachvollziehen und hat AVM über die Details in Kenntnis gesetzt. AVM konnte das Einschleusen und Ausführen von Code übers Netz nicht nachstellen. Nach Einschätzung des Herstellers wäre dies insbesondere "bei kundenüblichem Einsatz der Produkte praktisch unmöglich". Heinrichs hingegen ist der Überzeugung, man könnte seinen nur als Machbarkeits-Studie entworfenen Exploit durchaus mit überschaubaren Aufwand zu einem zuverlässigen Angriffswerkzeug weiterentwickeln.
Andere von heise Security befragte Experten auf dem Gebiet sehen das ähnlich: "Nach meiner Erfahrung lässt sich die große Mehrzahl aller Pufferüberläufe auf dem Heap letztlich zum Einschleusen und Ausführen von Schadcode eskalieren", erklärt Gregor Kopf gegenüber heise Security. Kopf arbeitet bei der auf IT-Sicherheitsuntersuchungen spezialisierten Firma Recurity Labs und hat im Rahmen seiner Tätigkeit bereits dutzende von Remote-Code-Execution-Exploits realisiert. Es tauchen dabei zwar immer wieder besondere Hürden auf; letztlich lassen sich die jedoch fast immer irgendwie umgehen, so Kopf.
Betroffene Fritzboxen
Betroffen sind die Fritzbox-Modelle 7390, 7490 und 7580 mit den Firmware-Versionen 6.80 oder 6.81. Für Abhilfe sorgt FritzOS 6.83, das AVM seit März an seine Kunden verteilt. Im Changelog der Version geht der Hersteller nicht auf die kritische Schwachstelle ein, er verspricht lediglich ganz allgemein "ein Plus an Sicherheit und Netzanpassungen". Der Grund dafür ist laut AVM, dass die Existenz der Lücke vor der Kontaktaufnahme durch heise Security nicht bekannt war. Die Lücke wurde nach Unternehmensangaben ohne gezielte Absicht im Rahmen von Änderungen am Code beseitigt.
Die gute Nachricht ist, dass die verwundbaren Firmware-Versionen laut AVM kaum noch im Einsatz sind. Die meisten Kunden sollen inzwischen über die automatische Update-Funktion der Fritzbox eine abgesicherte Firmware erhalten haben. Die Fritzbox-Varianten für Kabel-Breitbandanschlüsse sind laut AVM ohnehin nicht betroffen.
Auf Nummer sicher gehen – Firmware-Version checken!

Steht der Auto-Updater auf der mittleren oder untersten Einstellung, ist man auf der sicheren Seite. Die Fritzbox installiert in diesem Fall sicherheitsrelevante Firmware-Updates automatisch. Wer einen der betroffenen AVM-Router einsetzt, sollte zum einen sicherstellen, dass die aktuelle Firmware-Version 6.83 installiert ist und zum anderen, dass die Fritzbox mindestens jene Updates automatisch installiert, welcher der Hersteller für "notwendig" hält. Sie finden die Versionsnummer der derzeit genutzten Firmware unter http://fritz.box rechts oben (etwa FRITZ!OS: 06.83).
Die Einstellungen des automatischen Updaters finden Sie, indem Sie im Menü auf der linken Seite auf System, Update und Auto-Update klicken. Damit Sie sicherheitsrelevante Updates automatisch erhalten, sollte entweder "Über neue FRITZ!OS-Versionen informieren und notwendige Updates automatisch installieren (Empfohlen)" oder "Über neue FRITZ!OS-Versionen informieren und neue Versionen automatisch installieren" eingestellt sein.
(Quelle: https://www.heise.de/security/meldung/Firmware-Status-von-AVM-Routern-checken-Kritisches-Sicherheits[..]

 

Support-Ende erreicht: Tschüss, Vista

Am heutigen 11. April endet der Support für Windows Vista. Eine Träne wird deswegen wohl kaum jemand vergießen, dabei steckten viele tolle Neuerungen darin.
Als vor drei Jahren der Support für Windows XP endete, war das Geschrei groß; Bis heute hat XP viele Fans. Anders bei Vista, dessen Support am heutigen 11. April endet: Sein Marktanteil wird längst nur noch unter "Sonstiges" geführt. Dabei war es trotz seines schlechten Rufs ein echter Meilenstein in Microsofts Windows-Geschichte: Viele der Eigenschaften von Windows 7, 8.1 und 10 hat Vista eingeführt.

So war Vista die erste Windows-Version, die von Anfang an für 64-Bit-Systeme geeignet und lieferbar war. Die "Benutzerkontensteuerung" (User Account Control, UAC) vereinfachte dramatisch das Arbeiten ohne Administratorrechte. Mit dem Defender wurde eine Software zum Schutz vor Schädlingen mitgeliefert, auch wenn sie damals noch nicht den Anspruch erhob, einen Virenscanner ersetzen zu können – sie wurde dementsprechend nur als "Antispyware" bezeichnet. Die bordeigene Firewall konnte auch ausgehenden Verkehr überwachen. Bitlocker verschlüsselte die komplette Windows-Partition, "Vorherige Versionen" sicherte Dateien beispielsweise auf externe Festplatten. Die Spracherkennung konnte nun Windows steuern. Der Setup-Prozess war komplett neu: Seit Vista wird nur noch ein Image auf die Platte gespielt und mit einem Bootloader versorgt. Das mit Vista eingeführte Startmenü mit dem Suchfeld schließlich hatte so viele Fans, dass das Fehlen dieses Menüs in Windows 8 und 8.1 seinerzeit zu einem Riesen-Theater führte. Auch der Explorer bot erstmals ein Suchfeld.
Viel Getöse
Dementsprechend selbstbewusst gab Microsoft den Startschuss für Vista mit dem üblichen Riesengetöse. Das Motto der offiziellen Feier am 31. Januar 2007 lautete "The 'Wow' starts now". Vista sei eben "großartige Sache", etwas Tolles und werde bestimmt ein Bombenerfolg.

Wenn der Windows-Kalender nicht automatisch beim Hochfahren mitstartet, versuchte Vista daran zu erinnern, stürzt anfangs dabei jedoch ab. Das Getöse sollte allerdings auch davon ablenken, dass die Entwicklung von Windows Vista (Codename "Longhorn") von so manchen Rückschlägen und Peinlichkeiten begleitet war. Ständig musste der Veröffentlichungstermin nach hinten geschoben werden. Das lag auch daran, dass die massiven Sicherheitsprobleme von Windows XP immer größere Aufmerksamkeit erregten und es schließlich sogar in die Hauptnachrichtensendungen im Fernsehen schafften. Microsoft sah sich daher genötigt, erst Mal statt des eigentlich geplanten kostenpflichtigen XP-Nachfolgers das kostenlose Service Pack 2 für XP zu entwickeln. Später floppte dann das geplante Dateisystem namens WinFS, das den Umgang mit Daten revolutionieren sollte, aber nicht aus dem Prototypenstadium herauskam. Jim Allchin, als Windows-Chef für die Vista-Entwicklung verantwortlich, räumte nach der Veröffentlichung von Vista seinen Stuhl.

Mit den Service Packs 1 und 2 wurde zwar vieles besser und Vista so langsam nutzbar, aber im Grunde gelang es Microsoft erst 2009, Vista so zu reparieren, dass der Einsatz wirklich Spaß machte. Diese fertig reparierte Version hieß dann allerdings nicht mehr Vista, sondern Windows 7.
Ausblick
Das nächste Support-Ende einer Windows-Version wird wohl wieder mehr Menschen bewegen: Am 14. Januar 2020 endet der Support für Windows 7. Dass das dann mehr Auswirkungen haben wird als jetzt das Vista-Ende, ist auch Microsoft klar: Die erste Abschiedskampagne wurde bereits gestartet.
(Quelle: https://www.heise.de/newsticker/meldung/Support-Ende-erreicht-Tschuess-Vista-3675983.html)

 

Microsoft veranstaltet zwei Patchdays an einem Tag

Im März holt Microsoft den aus unbekannten Gründen verschobenen Patchday aus dem Februar nach, stellt zudem die Patches für den aktuellen Monat bereit und schließt insgesamt 140 Sicherheitslücken.
Mit achtzehn Patches schließt Microsoft 140 Sicherheitslücken in Edge, Exchange Server, Internet Explorer, Office, Silverlight und diversen Windows-Versionen (Client und Server). Jeweils neun Sicherheitsptaches stuft der Konzern mit dem Schweregrad "kritisch" und "hoch" ein – Windows Nutzer sollten diese zügig installieren.
In vielen Fällen können Angreifer ohne Authentifizierung und mit vergleichsweise wenig Aufwand Schadcode auf gefährdete Computer schieben und ausführen. In einem derartigen Fall sind Geräte in der Regel kompromittiert.
Hat es ein Angreifer etwa auf die Lücken in den Webbrowsern Edge und Internet Explorer abgesehen, muss er sein Opfer für einen erfolgreichen Übergriff lediglich auf eine präparierte Webseite locken. In anderen Fällen reicht das Öffnen eines manipulierten Office- oder PDF-Dokumentes aus. Nutzt ein Angreifer die mit dem Schwergrad "hoch" eingestuften Lücken aus, kann er sich höhere Rechte erschleichen oder Informationen abziehen, erläutert Microsoft.
Kritische Lücken einen Monat lang offen
Im Februar lies Microsoft den Patchday aus unbekannten Gründen ausfallen und verschob die Veröffentlichung der für diesen Monat geplanten Sicherheitsupdates in den März. Einzig Adobes Flash Player für Edge und Internet Explorer wurde im Februar mit einem Sicherheitsupdate versorgt. Windows-Computer mussten demzufolge einen Monat ohne Sicherheitsupdates auskommen.
Das prekäre dabei: Zu diesem Zeitpunkt war bereits eine Zero-Day-SMB-Lücke bekannt, die Microsoft, wie erst jetzt kommuniziert, als kritisch einstuft. Zwischenzeitlich waren sich Sicherheitsforscher uneinig, ob Angreifer die Schwachstelle für das Einschleusen von Schadcode missbrauchen können: Dies hat Microsoft nun bestätigt.
Googles Security-Einheit Project Zero förderte in der Zwischenzeit zwei weitere, mittlerweile als kritisch bewertete Schwachstellen zutage. Alle bereits im Februar bekannten Lücken hat Microsoft nun geschlossen. Die Webbrowser Edge und Internet Explorer 11 für Windows 8.1 und Windows 10 bekommen das Flash-Update für diesen Monat wie gewohnt automatisch serviert.
• MS17-006 Kumulatives Sicherheitsupdate für Internet Explorer (4013073) Kritisch
• MS17-007 Kumulatives Sicherheitsupdate für Microsoft Edge (4013071) Kritisch
• MS17-008 Sicherheitsupdate für Windows Hyper-V (4013082) Kritisch
• MS17-009 Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek (4010319) Kritisch
• MS17-010 Sicherheitsupdate für Microsoft Windows SMB-Server (4013389) Kritisc h
• MS17-011 Sicherheitsupdate für Microsoft Uniscribe (4013076) Kritisch
• MS17-012 Sicherheitsupdate für Microsoft Windows (4013078) Kritisch
• MS17-013 Sicherheitsupdate für Microsoft-Grafikkomponente (4013075) Kritisch
• MS17-023 Sicherheitsupdate für Adobe Flash Player (4014329) Kritisch
• MS17-014 Sicherheitsupdate für Microsoft Office (4013241) Hoch
• MS17-015 Sicherheitsupdate für Microsoft Exchange Server (4013242) Hoch
• MS17-016 Sicherheitsupdate für Windows IIS (4013074) Hoch
• MS17-017 Sicherheitsupdate für Windows Kernel (4013081) Hoch
• MS17-018 Sicherheitsupdate für Windows-Kernelmodustreiber (4013083) Hoch
• MS17-019 Sicherheitsupdate für Active Directory-Verbunddienste (4010320) Hoch
• MS17-020 Sicherheitsupdate für Windows DVD Maker (3208223) Hoch
• MS17-021 Sicherheitsupdate für Windows DirectShow (4010318) Hoch
• MS17-022 Sicherheitsupdate für Microsoft XML Core Services (4010321) Hoch
Auch Adobe veröffentlichte Patches:
• Patchday: Adobe umsorgt Flash und Shockwave Player

(Quelle: https://www.heise.de/newsticker/meldung/Sicherheitsupdates-Microsoft-veranstaltet-zwei-Patchdays-an-[..]

 

BIOS/UEFI mit Ransomware infiziert

Ein Proof-of-Concept belegt, dass auch das Rechner-BIOS einer Ransomware zum Opfer fallen kann.
Sicherheitsforscher haben gezeigt, dass sich das BIOS/UEFI eines Computers trotz aktuellem Windows 10 und diversen aktivierten Sicherheitsmechanismen mit einem Erpressungstrojaner infizieren lässt.
Die diesjährige Ausgabe der seit Jahren während der RSA Conference dargebrachten Präsentation "Hacking Exposed" füllten Cylance-Boss Stuart McClure und seine Mitstreiter unter anderem mit zwei Hacks der außergewöhnlicheren Art: In einer der Live-Demos infizierten sie das Unified Extensible Firmware Interface (UEFI) eines aktuellen Gigabyte-Mainboards (Intel Skylake) mit einem Verschlüsselungstrojaner. Laut McClure sind auch Mainboards anderer Hersteller angreifbar, man müsse lediglich die Payload an die UEFI-Variante anpassen.
Zwar sind BIOS- beziehungsweise UEFI-Schädlinge an sich nichts Neues: Lösegeld-Malware wurde in diesem Bereich bisher aber weder gesichtet, noch demonstriert.
BIOS-UEFI-Lücken
Der zur Demo verwendete Computer lief den Sicherheitsforschern zufolge mit einem vollständig gepatchten Windows 10 – die Schutzmechanismen Device Guard, Secure Boot und Virtual Secure Mode sollen ebenfalls aktiv gewesen sein. Wie Angreifer diese Sicherheitsmechanismen umgehen können, beschrieben andere Sicherheitsforscher bereits Anfang 2015. Die Ansätze fußen auf BIOS-UEFI-Lücken.
Die Infektion in der Live-Demo begann mit einem präparierten Word-Dokument, das per Makros und Powershell einen Dropper herunterlud. Dieser wiederum zog den BIOS-Updater des Mainboard-Herstellers aus dem Netz und installierte ihn. An dieser Stelle wäre es in der Realität aber knifflig geworden, da ein potentielles Opfer die Installation bestätigen muss.
Digitale Signatur? Fehlanzeige
Mit nicht näher genannten Exploits umgingen die Sicherheitsforscher den Schreibschutz des Flash-Speichers und konnten so ihre um die Ransomware erweiterte Variante der Firmware auf das Mainboard flashen. An dieser Stelle machte es ihnen der Mainboard-Hersteller unnötig leicht: Die Flasher-Software überprüft das Update nicht auf Integrität, keine der Komponenten ist McClure zufolge digital signiert.
Nach einem Neustart des Computers erschien umgehend der Sperrhinweis. Ein Aufruf der UEFI-Einstellungen wird ebenso unterbunden wie ein Start des Betriebssystems. Laut McClure können nur die Mainboard- und UEFI-Hersteller eine derartige Attacke verhindern. Entweder durch digitale Signaturen oder einen Check des BIOS beim Start durch ein zweites BIOS, wie es etwa Dell anbietet. Fallen hier Ungereimtheiten auf, überschreibt der Prozess die manipulierte Firmware mit einer intakten.
(Quelle: https://www.heise.de/newsticker/meldung/BIOS-UEFI-mit-Ransomware-infiziert-3630662.html)

 
1 2 3 4 5 6 7 8 9 10 Next
 
Netzwerk | Viren Problem | Microsoft | Avira | Nürnberg | Server | Exchange | Typo3 | Office | Fujitsu | Fürth | EDV Problem | Netzwerktechnik | Datensicherung | Datenrettung | Erlangen | EDV Hilfe | Notebook | Hyper-V | Virtualisieren | Suchmaschinenoptimierung | Acronis | Schwabach | Webdesign | Outlook | Windows 8 |
Eibach Reichelsdorf Katzwang Schweinau Gartenstadt Stein Sündersbühl Schwabach Roth Erlangen Fürth Kornburg Wendelstein Zirndorf Mühlhof Regelsbach Büchenbach Gerasmühle Johannis Langwasser Neusses