Angriffe auf Word weiten sich aus - Microsoft patcht anderes

[Christoph]

Zitat:

Insgesamt acht Sicherheits-Updates will Microsoft nächsten Dienstag veröffentlichen - drei davon kritisch. Die kürzlich bekannt gewordene Lücke bei der Darstellung von TIFF-Bildern in Word-Dateien wird zwar mittlerweile von mehreren Gangs unter anderem auch zum Online-Banking-Betrug genutzt; ein Patch ist jedoch noch nicht in Sicht.

Die Sicherheitsfirma Fireeye berichtet von zwei weiteren Gangs, die die Zero-Day-Lücke mit dem Bezeichner CVE-2013-3906 nutzen, um Windows-Systeme zu infizieren. Während Hangover sich auf gezielte Angriffe auf Organisationen in Pakistan konzentriert, nutzt Arx einen verwandten Exploit um den Online-Banking-Trojaner Citadel zu verbreiten. Das ist ein Ableger des bekannten Zeus-Baukasten-Trojaners. Dabei wird der Windows-Rechner bereits beim Öffnen eines als E-Mail-Anhang verschickten Word-Dokuments infiziert. Auch hier liegt der Schwerpunkt der Kampagnen derzeit in Pakistan und Indien; von deutschen Versionen liegen noch keine Berichte vor.

Für nächsten Dienstag stehen jedoch erst Mal andere Patches an, die Lücken in Internet Explorer, Windows und MS Office schließen sollen. Microsofts verspricht, den TIFF-Patch zu veröffentlichen, "wenn er fertig ist" – also wohl auch außer der Reihe der regulären Patchdays. Wer nicht bis dahin warten will und sich gleich schützen will, sollte Microsofts Fix-It anwenden, das die Anzeige von TIFF-Dateien komplett abschaltet. (ju)

Quelle: http://www.heise.de/newsticker/meldu...s-2042139.html

[Christoph]

Windows TIFF-Lücke bereits seit Juli ausgenutzt - Patch Fehlanzeige

Zitat:

Bei einer Analyse der archivierten Schädlingsexemplare fand AV-Test Word-Dateien, die die erst kürzlich öffentlich bekannt gewordene Sicherheitslücke in der Darstellung von TIFF-Dateien unter Windows bereits im Juli ausnutzten. Mittlerweile kommen täglich etwa ein bis zwei neue Schad-Dateien hinzu, erklärt Andreas Marx von AV-Test gegenüber heise Security. Einen Patch von Microsoft gibt es jedoch immer noch nicht.

Anfang November wurde bekannt, dass Angreifer gezielt Mails verschicken, die beim Öffnen des angehängten Word-Dokuments Windows-Systeme mit Spionage-Software infizieren. Nachdem die Versuche, diese Lücke (CVE-2013-3906) auszunutzen, mittlerweile einigermaßen zuverlässig von Antiviren-Software erkannt werden, scannte das Testlabor AV-Test rückwirkend seinen kompletten Schädlingsbestand aus diesem Jahr. Dabei wurden die Scanner jetzt im Nachhinein bei Dateien vom Juli 2013 fündig, die damals noch unbeanstandet durchrutschten. Einige der damals verschickten Mails enthielten weitere Word-Dateien, die Alarm auslösten, weil sie ältere Lücken ausnutzten (CVE-2012-1856, CVE-2012-0158). So waren dann auch die damals noch nicht als schadhaft erkannten TIFF-Exploits im Giftschrank der AV-Tester gelandet.

Die Angriffe erfolgen primär über E-Mails, die in Englisch oder Chinesisch verfasst sind. Es handelt sich laut AV-Test immer noch um recht gezielte Angriffe, die sich vor allem auf Firmen und nicht gegen Privatanwender richten. Es wurden dabei auch schon Exemplare bei deutschen Firmen entdeckt.

Antiviren-Software erkennt den Exploit in Word-Dateien zwar im Allgemeinen, doch rutschen immer wieder einzelne der mittlerweile täglich neu eintreffenden Exemplare bei einzelnen Viren-Wächtern durch, erklärt Marx die Gefahr. Besonders im Firmenumfeld, wo die Wächter oft keine Verhaltensüberwachung aufweisen, können somit noch immer Rechner infiziert werden, wenn ein unvorsichtiger Mitarbeiter die angehängte Office-Datei öffnet. Die bei AV-Software im Privatbereich mittlerweile übliche Verhaltensüberwachung kann zwar als letzte Verteidigungslinie erfolgreiche Exploits stoppen – etwa wenn Word eine EXE-Datei auf die Platte schreiben und starten will. Allerdings produziert sie auch häufiger unnötige oder verwirrende Alarmmeldungen, was für AV-Software im Firmenumfeld wegen der dadurch entstehenden Kosten ein Ausschlusskriterium ist.

Microsofts Workaround schaltet die Anzeige von TIFF-Dateien ganz ab, was in vielen Fällen auch keine Option ist. Richtige Abhilfe schaffte erst ein Patch vom Hersteller – doch der ist nicht in Sicht. Zum bislang letzten Patchday hieß es aus Redmond, Microsoft liefere den immunisierenden Patch "sobald er fertig ist". Mittlerweile sind wieder fast drei Wochen vergangen und die Wahrscheinlichkeit für ein Notfall-Update vor dem nächsten Patchday am 10. Dezember ist gering. (ju)

Quelle: http://www.heise.de/newsticker/meldu...e-2058019.html

[Christoph]

Microsoft kündigt Patch für TIFF-Lücke an

Zitat:

Am kommenden Dienstag will Microsoft im Rahmen seines Patch Days elf Lücken in Windows, dem Internet Explorer, Exchange und der Grafikbibliothek GDI schließen. Fünf davon sind als "kritisch" deklariert, sechs sind "wichtig". Unter anderem hat die Firma angekündigt, die TIFF-Lücke in der Grafikbibliothek GDI vollständig schließen zu wollen.

Das GDI-Problem (CVE-2013-3906) und fünf weitere Schwachstellen erlauben es, Schadcode aus dem Netz auszuführen können. Betroffen sind Windows, Office, Exchange und der Internet Explorer. Die restlichen Lücken ermöglichen es Angreifern, ihre Rechte zu erweitern oder Sicherheitsvorkehrungen zu umgehen.

Die Zero-Day-Lücke in Windows XP und Server 2003, die von Angreifern momentan ebenfalls aktiv genutzt wird, um Systeme zu übernehmen, soll laut Angaben der Firma am Dienstag nicht geschlossen werden. Diese Lücke in einem Windows Telefonie-Treiber eignet sich selbst nicht zur Ausführung von Schadcode, die aktuellen Exploits nutzen sie aber in Zusammenhang mit einer Lücke in Adobe Reader um sich Systemrechte zu verschaffen. Microsoft empfiehlt Nutzern nach wie vor, die betroffene Telefonie-Schnittstelle NDPROXY vorbeugend abzuschalten. (fab)

Quelle: http://www.heise.de/newsticker/meldu...n-2061757.html