Updates von www.CERT.at

(Warnungen/Warnungen) - Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenützt

2013-05-11T19:31:23Z

Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenützt

6. Mai 2013
Update am 10. Mai

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Microsoft hat ein Security Advisory zu einer schwerwiegenden Sicherheitslücke in Internet Explorer 8 veröffentlicht. Da die Schwachstelle bereits aktiv ausgenützt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten.

Die auf einem Use-After-Free-Error basierende Browserschwachstelle kann dazu benutzt werden, auf den PCs von Besuchern einer präparierten Webseite Malware zu installieren. Die Opfer können per Mail/Spam zu diesen Seiten gelockt werden; alternativ können die Angreifer versuchen, in legitime Seiten einzubrechen und diese zu manipulieren.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer Version 8 installiert ist.

Abhilfe

Microsoft empfiehlt ein Upgrade auf IE 9 oder 10. Wo dies nicht möglich ist (z.B. Windows XP), rät man bis zum Erscheinen eines Patchs zu folgenden temporären Maßnahmen:

Das Enhanced Mitigation Experience Toolkit (EMET) für den IE aktivieren.
Die Sicherheitseinstellungen für "Internet" und "Lokales Intranet" auf "Hoch" setzen, um ActiveX Controls und Active Scripting abzuschalten.
Den IE so konfigurieren, dass er vor dem Ausführen von aktiven Inhalten eine Bestätigung erwartet.

Eine genaue Beschreibung samt möglicher Nebenwirkungen enthält das Advisory.

Update (2013-05-10):
Microsoft hat eine Fix it Solution bereitgestellt, mit der dieses Problem temporär behoben werden kann.

Es wird daran gearbeitet, die Sicherheitslücke im Rahmen des kommenden Patchdays zu schliessen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Advisory 2847140 (en)
http://technet.microsoft.com/en-us/security/advisory/2847140
Bericht auf Ars Technica (en)
http://arstechnica.com/security/2013/05/internet-explorer-zero-day-exploit-targets-nuclear-weapons-researchers/
MS TechNet Blog (en)
http://blogs.technet.com/b/msrc/archive/2013/05/03/microsoft-releases-security-advisory-2847140.aspx
CVE-2013-1347 MSHTML Shim Workaround (en)
http://support.microsoft.com/kb/2847140
Advance Notification Service for the May 2013 Security Bulletin Release (en)
https://blogs.technet.com/b/msrc/archive/2013/05/09/advance-notification-service-for-the-may-2013-security-bulletin-release.aspx

(Warnungen/Warnungen) - Kritische Sicherheitslücke in IBM Lotus Notes

2013-05-02T16:35:55Z

Kritische Sicherheitslücke in IBM Lotus Notes

2. Mai 2013

Angesichts der Schwere der Lücke und der hohen Verbreitung des Mail- und Workgroup-Systems Lotus Notes von IBM bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie cxsecurity meldet, akzeptiert der E-Mail Client von Lotus Notes JavaScript-Code und <applet>-Tags im HTML-Code, wodurch es einem Angreifer ermöglicht wird, JavaScript-Code direkt auszuführen oder Java-Applets von externen Quellen nachzuladen.
Gepaart mit einem Ausbruch aus der Java-Sandbox, der mit der standardmäßig mitinstallierten Version 6 von Oracle Java auch trivial möglich sein sollte (vergleiche z.B.: Warnungen von CERT.at bezüglich Oracle Java), könnte somit das gesamte System mit bösartiger Software verseucht werden.
IBM hat dazu bereits ein Security Bulletin veröffentlicht.

Betroffene Systeme

IBM Lotus Notes 8.0.x
IBM Lotus Notes 8.5.x
IBM Lotus Notes 9.0

Abhilfe

Bis ein Patch für diese Lücke zur Verfügung gestellt wird, empfehlen wir die Ausführung von JavaScript und Java händisch zu unterbinden. Dies kann man durch Setzen der folgenden Optionen in der Konfigurationsdatei notes.ini erreichen:

EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0

Allgemeiner Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei cxsecurity (Englisch)
http://cxsecurity.com/wlb/WLB-2013050001
IBM Security Bulletin (Englisch)
http://www-01.ibm.com/support/docview.wss?uid=swg21633819

(Warnungen/Warnungen) - Sicherheitslücken in TYPO3

2013-04-15T14:16:03Z

Sicherheitslücken in TYPO3

6. März 2013

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

TYPO3 Core enthält Bugs die zu SQL Injection und Open Redirection führen können.

SQL Injection in der Subkomponente Extbase Framework

Wegen unzureichender Behandlung von Benutzereingaben ist der Extbase Database Abstraction Layer anfällig für SQL Injection. TYPO3-Seiten, auf denen keine Extbase Extensions installiert sind, sind nicht betroffen. Wie dem TYPO3 Security Team berichtet wurde, wird die Schwachstelle bereits aktiv ausgenützt.

Open Redirection in der Subkomponente Access Tracking Mechanism

Aufgrund ungenügender Überprüfung von Benutzereingaben ermöglicht der Access Tracking Mechanism (Jumpurl Feature) Redirects zu beliebigen URLs.

Betroffene Systeme

Alle TYPO3-Installationen mit entsprechender Konfiguration bis einschließlich der Versionen

4.5.23
4.6.16
4.7.8
6.0.2

Abhilfe

Upgrade auf die entsprechend angepassten Versionen

4.5.24
4.6.17
4.7.9
6.0.3

Allgemeiner Hinweis zur Hebung der Systemsicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von TYPO3 (Englisch)
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2013-001/

(Warnungen/Warnungen) - Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

2013-04-15T14:16:03Z

Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

1. März 2013

Wie der Security-Dienstleister FireEye berichtet, gibt es eine neue Zero-Day-Schwachstelle in den aktuellen Versionen von Oracle Java.

Das Java Browser-Plugin war schon 2012 der häufigste Grund für die Infektion von PCs. Die aktuelle Welle an weiteren Sicherheitsproblemen zwingt CERT.at, jetzt nicht nur vor der derzeit verwundbaren Version von Java zu warnen, sondern generell die grossflächige Verbreitung und Aktivierung des Java-Plugins in Frage zu stellen.

Beschreibung

Besucht ein User eine speziell präparierte Webseite ("Exploit-Pack") mit aktiviertem Java-Plugin, so lädt diese Schadcode nach und führt diesen aus. Entsprechender Exploit-Code ist bereits verbreitet, allerdings noch nicht sehr effizient - es ist aber zu erwarten, dass sich das bald ändert und "besserer" Exploit-Code bald grossflächig auf Webseiten verteilt wird.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Den aktuellen Meldungen nach ist Java 7 bis incl. Update 15 betroffen, und Java 6 bis inkl. Update 41.

Da die Java Runtime auf diversen Plattformen läuft, ist das Problem nicht auf Windows-PCs beschränkt, sondern trifft genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.

Abhilfe

Die sicherste Möglichkeit, einen PC/Mac vor dieser Serie an Schwachstellen in der Java Runtime zu schützen ist eine komplette Deinstallation von Java. Siehe dazu auch die Links/Tips in unserem letzten Warning bezüglich Oracle Java: https://www.cert.at/warnings/all/20130118.html.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Blog-Eintrag bei FireEye (englisch)
http://blog.fireeye.com/research/2013/02/yaj0-yet-another-java-zero-day-2.html

(Warnungen/Warnungen) - Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)

2013-04-15T14:16:03Z

Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)

14. Februar 2013

Beschreibung

Aktuell wird eine Schwachstelle in Adobe Reader und Acrobat aktiv für Angriffe ausgenützt. Adobe hat dazu ein als "kritisch" eingestuftes Security Bulletin veröffentlicht.

Auswirkungen

Mit speziell präparierten PDF-Dateien, die etwa über Webseiten oder per Email verteilt werden, können Angreifer Systeme zum Absturz bringen oder potentiell auch beliebigen Schadcode auf diesen ausführen.

Betroffene Systeme

Systeme mit Microsoft Windows oder Apple Macintosh Betriebssystemen, die folgende Versionen von Adobe Reader bzw. Adobe Acrobat installiert haben:

Adobe Reader XI bis inkl. Version 11.0.01
Adobe Reader X bis inkl. Version 10.1.5
Adobe Reader 9 bis inkl. Version 9.5.3
Adobe Acrobat XI bis inkl. Version 11.0.01
Adobe Acrobat X bis inkl. Version 10.1.5
Adobe Acrobat 9 bis inkl. Version 9.5.3

Abhilfe

Adobe arbeitet laut eigenen Angaben bereits an einer entsprechend fehlerbereinigten Version.

Bis dahin können Benutzer von Adobe Reader XI die "geschützte Ansicht" aktivieren, die PDF-Dokumente in einer Sandbox anzeigt - dies sollte laut Adobe vor den aktuellen Attacken schützen.

Wir empfehlen, wo möglich auf die aktuelle Version XI upzudaten, und diese "geschützte Ansicht" zu aktivieren oder bis zur Veröffentlichung einer gefixten Version einen anderen PDF-Reader zu verwenden (eine Liste ist beispielsweise bei Wikipedia zu finden).

Hinweise

Adobe hat im Advisory auch eine fertige Anleitung, wie die "geschützte Ansicht" in Microsoft Windows-Umgebungen per Group Policy aktiviert werden kann.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa13-02.html
Meldung bei Heise (deutsch)
http://www.heise.de/newsticker/meldung/Soforthilfe-gegen-kritische-Reader-Luecken-1803086.html

(Warnungen/Warnungen) - Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)

2013-04-15T14:16:03Z

Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)

8. Februar 2013

Beschreibung

Adobe hat eine neue Version des Flash Player Plugins ausserhalb des monatlichen Patch-Zyklus veröffentlicht, die bereits aktiv ausgenützte Sicherheitslücken schliesst.

Auswirkungen

Es werden mindestens die folgenden 2 Sicherheitslücken aktiv ausgenützt:

CVE-2013-0633: ein Microsoft-Word Dokument mit eingebettetem Adobe Flash-Objekt (SWF) wird als Attachment per Email versandt, und der Empfänger aufgefordert, dieses zu öffnen. Damit wird das ActiveX-Plugin des Adobe Flash Players für Microsoft Windows angegriffen.
CVE-2013-0634: wie oben; diese Lücke wird zusätzlich auch durch eingettete Adobe Flash-Objekte in Webseiten ausgenützt, dabei werden speziell Macintosh- Rechner mit Apple Safari und Mozilla Firefox Browsern attackiert.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player für Microsoft Windows und Apple Macintosh, bis einschliesslich Version 11.5.502.146
Adobe Flash Player für Linux, bis einschliesslich Version 11.2.202.261
Adobe Flash Player für Android 4.x, bis einschliesslich Version 11.1.115.36
Adobe Flash Player für Android 3.x und 2.x, bis einschliesslich Version 11.1.111.31

Abhilfe

Installation des bereitgestellten Updates.

Da Adobe mit der auf der üblichen Downloadseite bereitgestellten Version auch potentiell unerwünschte andere Software mitinstalliert, empfehlen wir, die aktualisierte Version von hier zu beziehen: https://www.adobe.com/products/flashplayer/distribution3.html.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Security Bulletin von Adobe (englisch)
https://www.adobe.com/support/security/bulletins/apsb13-04.html
Meldung von Brian Krebs (englisch)
https://krebsonsecurity.com/2013/02/critical-flash-player-update-fixes-two-zero-days/

(Warnungen/Warnungen) - Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

2013-04-15T14:16:03Z

Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

24. Jänner 2013

CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult Vulnerability Lab meldet, gibt es in fast allen Barracuda Networks Produkten mehrere kritische Schwachstellen.

CERT.at bittet Benutzer dieser Produkte um Beachtung dieser Meldung. Wir empfehlen, Patches von Barracuda Networks zeitnah einzuspielen (Security Definition Version 2.0.5.) und diese Security Appliances durch eine extra Firewall abzusichern.

Beschreibung

Backdoor Accounts und SSH Backdoor

Auf den betroffenen Systemen (siehe unten) gibt es mehrere undokumentierte Benutzeraccounts mit schwachen Passwörtern, die Zugang zum System verschaffen können. Diese Accounts können ohne weitere Tricks nicht deaktiviert werden.
Weiters gibt es auf den betroffenen Systemen zu unscharfe Firewall Regeln, die es einem größeren Netzwerkbereich erlauben, oben genannte Backdoor Accounts zu verwenden ("Remote Wartung"). Diese Netzwerkbereiche sind: 216.129.105.0/24 und 205.158.110.0/24. Dort befinden sich einerseits Remote Wartungs Server von Barracuda Networks aber auch andere Firmen, die nicht mit Barracuda Networks in Verbindung stehen. Diese Kombination erlaubt es unberechtigten Benutzern aus diesen Bereichen, all diese Appliances zu kontrollieren.

Für Details zu den unsicheren Passwörtern möchten wir den Leser auf den Bericht von SEC Consult Vulnerability Lab verweisen. SEC Consult Vulnerability Lab geht davon aus, dass diese Lücke schon seit langem existiert hat.

Barracuda Networks SSL VPN Authentication Bypass

Weiters berichtet SEC Consult Vulnerability Lab, dass es eine Server-seitige "authentication bypass" Schwachstelle gibt. Dabei kann ein Angreifer ohne Anmeldung System-Parameter ändern und sich somit weitern Zugang zum System verschaffen. Diese Schwachstelle betrifft jedoch nur Barracuda SSL VPN.

Auswirkungen

Ein Angreifer kann die betroffenen Barracuda Network Produkte beliebig kontrollieren. Da diese oft an kritischen Stellen im Unternehmen installiert sind (z.B. SSL VPN Zugang), ist Angreifern damit Tür und Tor in das Unternehmen geöffnet.

Betroffene Systeme

Barracuda Spam and Virus Firewall
Barracuda Web Filter
Barracuda Message Archiver
Barracuda Web Application Firewall
Barracuda Link Balancer
Barracuda Load Balancer
Barracuda SSL VPN (alle inklusive der virtual "Vx" Version)
Verwundbare Versionen: jeweils alle bis Security Definition 2.0.5

Nicht betroffen sind: Barracuda Backup Server, Barracuda Firewall und die Barracuda NG Firewall.

Das Problem ist ab Version Security Definition 2.0.5 laut Hersteller behoben.

Abhilfe

Barracuda Networks stellt ein Update zur Verfügung. Details siehe: Barracuda Networks tech alerts

CERT.at empfiehlt dringend, die betroffenen Systeme hinter eine Firewall zu stellen und Zugang zum Port 22 (SSH) nur für ausgewählte IP Adressen zu erlauben.

Credits

S. Viehböck, SEC Consult Vulnerability Lab. Wir danken Johannes Greil für die gute Zusammenarbeit.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. Dies gilt genauso für Appliances wie für PCs oder Server.

Informationsquelle(n):

SEC Consult Vulnerability Lab SSL VPN Schwachstelle
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-1_Barracuda_SSL_VPN_Authentication_Bypass_wo_poc_v10.txt
SEC Consult Vulnerability Lab SSH backdoor
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt

(Warnungen/Warnungen) - Erneute Schwachstelle in Oracle Java 7

2013-04-15T14:16:03Z

Erneute Schwachstelle in Oracle Java 7

18. Jänner 2013

Nur vier Tage, nachdem Oracle mit Java 7u11 kritische Fehler gefixt hat, wurde die nächste Schwachstelle in Java 7 bestätigt. Es ist davon auszugehen, dass diese bereits für Angriffe auf Webbrowser eingesetzt wird. Eine Reaktion von Oracle steht noch aus.

Das Java Browser-Plugin war schon 2012 der häufigste Grund für die Infektion von PCs. Die aktuelle Welle an weiteren Sicherheitsproblemen zwingt CERT.at, jetzt nicht nur vor der derzeit verwundbaren Version von Java zu warnen, sondern generell die großflächige Verbreitung und Aktivierung des Java-Plugins in Frage zu stellen.

Beschreibung

Besucht ein User eine speziell präparierte Webseite ("Exploit-pack") mit aktiviertem Java-Plugin, so lädt diese Schadcode nach und führt diesen aus. Der Exploit-Code wird bereits in Untergrund-Foren gehandelt. Es steht zu erwarten, dass er bald auch in die üblichen Exploit-Packs integriert wird.

Auswirkungen

Betroffene Systeme

Den aktuellen Meldungen nach ist Java 7 bis incl. Update 11 betroffen. Ob das auch für Java 6 gilt, ist uns derzeit nicht bekannt.

Da die Java Runtime auf diversen Plattformen läuft, ist das Problem nicht auf Windows-PCs beschränkt, sondern trifft genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.

Abhilfe

Die sicherste Möglichkeit, einen PC/Mac vor dieser Serie an Schwachstellen in der Java Runtime zu schützen, ist eine komplette Deinstallation von Java.
Benötigt ein lokales Programm Java (etwa lokale Business-Applikationen, OpenOffice, diverse Fotobuch-Software, ...), dann kann man immer noch das Browser-Plugin nicht aktivieren. Detaillierte Hinweise und Anleitungen dazu findet man bei:
- heise.de
- Sophos
- Brian Krebs
- Infoworld
Wenn man auf das Java-Plugin wirklich angewiesen ist, so gibt es zwei Varianten, es trotzdem einigermaßen sicher zu verwenden:
- Zwei-Browser Strategie: Ein Browser (etwa Chrome) wird für das normale Webbrowsen im Internet benutzt, in diesem wird das Java-Applet deaktiviert. Braucht man -- etwa für firmeninterne Applikationen -- das Plugin, so nimmt man dafür einen anderen Browser (etwa den IE), in dem das Plugin aktiv ist.
- Manuelle Freigabe: Manche Browser lassen sich (zum Teil mittels Erweiterungen) so konfigurieren, dass sie Java-Applets erst nach einer Nachfrage beim Benutzer starten.
Im Kontext von Firmennetzen kann man sich auch überlegen, wie sehr man nicht am Proxy/ContentFilter den Download von Java-Applets generell unterbindet. Eine Whitelist von unbedingt nötigen externen Seiten, die Java brauchen, lässt sich dort auch meist einrichten.

Kontext

In der internationalen IT Sicherheits-Community hat sich ein Konsens herausgebildet, dass es nicht mehr tragbar ist, dass das Java-Applet per Default in allen Browsern aktiv ist. Siehe dazu etwa:

US-CERT: This and previous Java vulnerabilities have been widely targeted by attackers, and new Java vulnerabilities are likely to be discovered. To defend against this and future Java vulnerabilities, consider disabling Java in web browsers until adequate updates are available. As with any software, unnecessary features should be disabled or removed as appropriate for your environment.
CERT-CC: Unless it is absolutely necessary to run Java in web browsers, disable it as described below, even after updating to 7u11. This will help mitigate other Java vulnerabilities that may be discovered in the future.
BSI (noch bzgl. des letzten Bugs): Das BSI steht bezüglich der aktuellen Schwachstelle in Kontakt mit der Firma Oracle, dem Hersteller der Java-Laufzeitumgebung. Ein Sicherheitsupdate des Herstellers liegt derzeit nicht vor. Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für die Arbeit am Rechner tatsächlich benötigt wird. Ist dies nicht der Fall, sollte Java über die Systemsteuerung deinstalliert werden, bis ein Sicherheitsupdate vorliegt. Wird Java außerhalb des Browsers dringend benötigt, sollten zumindest die Java Browser-Plugins für das Surfen im Internet deaktiviert und nur zeitweise für die Durchführung einzelner Anwendungen aktiviert werden.
Infoworld: Gruman suggests one step in weaning our current operating systems and apps off Java is for the feds to designate non-Java-free operating systems as noncompliant with security standards for gaining or renewing government contracts. "Loss of income is the motivation that vendors and developers need," he writes. Hit 'em in the bottom line. We can't afford to tolerate the Java problem anymore.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Java 7 Update 11 confirmed to be vulnerable
http://seclists.org/fulldisclosure/2013/Jan/142
New Java Exploit Fetches \$5,000 Per Buyer
https://krebsonsecurity.com
Yet ANOTHER Java zero-day claimed - but this time you're laughing, right?
http://nakedsecurity.sophos.com/

(Warnungen/Warnungen) - Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

2013-04-15T14:16:03Z

Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

10. Jänner 2013
Update: 14. Jänner 2013

Ein Malware-Forscher mit dem Pseudonym kafeine hat einen Exploit entdeckt, der eine bislang unbekannte Schwachstelle in Oracle Java ausnutzt. CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Der Exploit-Code wurde auf Pastebin veröffentlicht und es existieren bereits entsprechende Module für die Exploit-Kits Blackhole und Nuclear Pack.

Auswirkungen

Betroffene Systeme

Derzeit ist noch nicht klar, welche Systeme wirklich betroffen sind. Laut heise.de sind alle Versionen von Java 7 einschliesslich der aktuellen Version Update 10 betroffen. Die Researcher von AlienVault demonstrierten das auf einem vollständig gepatchten Windows-System.
Ob auch Java 6 betroffen ist, ist uns derzeit nicht bekannt.

Abhilfe

Bis ein Patch zur Verfügung gestellt wird, empfiehlt CERT.at, soweit möglich die Oracle Java-Plugins in allen Browsern zu deaktivieren.

Update:
Oracle hat mittlerweile Java 7 Update 11 veröffentlicht.
CERT.at empfiehlt, dieses Update so schnell wie möglich einzuspielen.

Download: http://www.java.com/de/download/manual.jsp
Oracle Security Alert: http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Malware don't need Coffee
malware.dontneedcoffee.com/
Exploit-Code auf Pastebin
pastebin.com/7R8XWq3d
Heise Security Meldung
www.heise.de/security/meldung/Gefaehrliche-Luecke-in-aktueller-Java-Version-1780850.html
Krebs on Security: How to Unplug Java from the Browser
krebsonsecurity.com/how-to-unplug-java-from-the-browser/
Download Java 7 Update 11
www.java.com/de/download/manual.jsp
Oracle Security Alert CVE-2013-0422
www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

(Warnungen/Warnungen) - Lücke in Microsoft Internet Explorer

2013-04-15T14:16:03Z

Lücke in Microsoft Internet Explorer

20. Dezember 2012
Update: 22. Dezember 2012

Beschreibung

Wie diverse Quellen melden, hat ein Security-Researcher ein Stack Overflow-Problem in aktuellen Versionen von Microsoft Internet Explorer gefunden, welches sich unter Umständen für Remote Code Execution ausnützen lassen könnte.

Wir erwarten, dass gegebenenfalls entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Update (22.12.2012):
Inzwischen liegt uns eine (leider auf keiner offiziellen Webseite verlinkbare) Stellungnahmen von Microsoft vor: Der Bug ist ein Überlauf der Stack-Größe, nicht aber ein Buffer-Overflow im Stack. Diese Art von Crash eignet sich rein für einen Denial-of-Service, aber nicht für einen remote code execution Exploit.

Wir können daher hier Entwarnung geben, dieser Fehler im IE lässt sich nicht für Einbrüche nutzen.

Auswirkungen

Da der Angreifer - falls ein Ausnutzen der Lücke tatsächlich möglich ist - beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Microsoft Internet Explorer 7, 8 und 9 unter Windows XP, Vista und 7

Abhilfe

Die Faktenlage ist bis dato noch relativ dünn, und Aussagen zur Ausnutzbarkeit der Lücke für praktische Angriffe widersprüchlich. Eine offizielle Stellungnahme von Microsoft steht noch aus, und es ist aktuell kein Patch verfügbar.

Wir empfehlen daher, zumindest bis zur Verfügbarkeit einer offiziellen Empfehlung von Microsoft, nach Möglichkeit auf alternative Browser (zum Beispiel Mozilla Firefox, Google Chrome, Opera) auszuweichen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei Security Focus (englisch)
http://www.securityfocus.com/archive/1/525086/30/0/threaded
Diskussion auf Full Disclosure (Englisch)
http://seclists.org/fulldisclosure/2012/Dec/224

(Warnungen/Warnungen) - Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

2013-04-15T14:16:03Z

Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

18. Dezember 2012

Beschreibung

Das US-CERT meldet mehrere Schwachstellen in Adobe Shockwave Player:

Shockwave Player anfällig für Downgrade-Attacken
Wenn eine Webseite nicht angibt, die aktuelle Shockwave-Version 11 zu benötigen, dann wird die alte Version 10 installiert. Diese enthält mehrere bekannte Schwachstellen, für die auch teilweise Exploits verfügbar und verbreitet sind.
Shockwave Player installiert alte Version von Flash Player
Shockwave Player benutzt nicht die systemweit installierte Version des Flash Players, sondern bringt eine "eingebaute" mit - diese ist allerdings veraltet und es existieren eine Reihe von bekannten Verwundbarkeiten für diese (Meldungen von CERT.at zu Adobe Flash Player).
Shockwave Player installiert "Xtras" ohne Rückfrage
Wenn Shockwave-Content Funktionen aus sogenannten "Xtras" benutzt, die noch nicht am System vorhanden sind, so werden diese automatisch nachinstalliert, wenn sie signiert sind. Der Ort, von dem diese "Xtras" heruntergeladen werden, ist allerdings im Shockwave Inhalt definiert - ein Angreifer kann so unter Umständen dafür sorgen, dass alte Versionen dieser "Xtras" installiert werden und dann deren Verwundbarkeiten ausnutzen.

Auswirkungen

Für alte Versionen von Adobe Flash Player sind eine ganze Reihe an bekannten Verwundbarkeiten und darauf aufbauenden Exploits für unter anderem Remote Code Execution bekannt. Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen Adobe Shockwave Player (Version 11.6.8.368 oder früher) installiert oder installierbar ist, auf Microsoft Windows und Apple Betriebssystemen.

Abhilfe

Bis zum Erscheinen entsprechend gefixter Versionen von Adobe Shockwave Player können die folgenden Massnahmen helfen, die Auswirkungen dieser Schwachstellen zu begrenzen:

Limitieren von Shockwave Inhalten
Deaktivieren des Shockwave Player ActiveX Controls (für Nutzer von Microsoft Internet Explorer) durch das Setzen des sog. "Kill Bits" für folgende CLSIDs in der Windows Registry: {166B1BCA-3F9C-11CF-8075-444553540000} und {233C1507-6A77-46A4-9443-F871F945D258}. Nähere Informationen dazu gibt es direkt von Microsoft: http://support.microsoft.com/kb/240797
Weiters können die allgemeinen Hinweise zu Mitigation-Technologien wie DEP und ASLR hilfreich sein: http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx
Auch die allgemeinen Hinweise des US-CERT zur Absicherung von Web-Browsern verdienen in diesem Kontext spezielle Beachtung: http://www.us-cert.gov/reading_room/securing_browser/

Detailliertere Beschreibungen finden sich in den Meldungen des US-CERT (englisch, Links s.u.).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des US-CERT zum Downgrade-Problem (englisch)
http://www.kb.cert.org/vuls/id/546769
Meldung des US-CERT zum Problem mit veralteter Flash Player-Version (englisch)
http://www.kb.cert.org/vuls/id/323161
Meldung des US-CERT zum Problem mit veralteten "Xtras" (englisch)
http://www.kb.cert.org/vuls/id/519137

(Warnungen/Warnungen) - Sicherheitslücke in Adobe Flash Player

2013-04-15T14:16:03Z

Sicherheitslücke in Adobe Flash Player

17. Dezember 2012

Beschreibung

Wie cxsecurity berichtet, gibt es anscheinend einen aktuellen Bug in Adobe Flash Player, mit dem Memory Corruption ausgelöst werden kann. Dies geschieht über FLV (Flash Video) Dateien, die sehr weit verbreitet sind, und daher von den üblichen Web-Filtern kaum generell gesperrt werden.

Zu FLV generell siehe auch https://en.wikipedia.org/wiki/Flv.

Auswirkungen

Es ist davon auszugehen, dass an entsprechenden Exploits bereits gearbeitet wird, und, falls diese möglich sind, Links auf entsprechend präparierte Webseiten etwa per Spam-Mail verbreitet werden. Der Bug wurde laut cxsecurity mit der aktuellen Version 11,5,502,135 auf Microsoft Windows 7 / Internet Explorer 8 getestet - ob und welche anderen Kombinationen von Flash Player, Betriebssystem und Web-Browser auch betroffen sind, ist momentan noch nicht bekannt, ein kurzer Test lässt jedoch vermuten, dass auch Flash Player unter Internet Explorer 9 betroffen ist.

Aktuell gibt es zu diesem Problem noch keine Stellungnahme von Adobe.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player, in der aktuellen Version 11,5,502,135

Abhilfe

Bis zu einer Verfügbarkeit eines entsprechenden Fixes empfehlen wir, FLV/SWF Dateien auf Web-Filtern/-Proxies zu blocken, Adobe Flash Player zu deaktivieren, oder je nach Möglichkeiten des Browsers zumindest nicht automatisch zu starten (etwa mittels des "Flashblock"-Plugins für Mozilla Firefox).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei cxsecurity (englisch)
http://cxsecurity.com/issue/WLB-2012120127

(Warnungen/Warnungen) - Sicherheitsupdate für Adobe Shockwave Player

2013-04-15T14:16:03Z

Sicherheitsupdate für Adobe Shockwave Player

23. Oktober 2012

Beschreibung

Adobe stellt eine neue Version des Shockwave Players zur Verfügung. Da diese Software weit verbreitet ist, ersuchen wir um Beachtung der folgenden Warnung.

Auswirkungen

Adobe weist darauf hin, dass sich mehrere der behobenen Fehler für Remote Code Execution ausnutzen lassen, auch wenn bislang noch keine fertigen Exploits dafür bekannt sind.

Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Shockwave Player vor Version 11.6.8.638, für Windows und Macintosh

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte dem Warning von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb12-23.html.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb12-23.html

(Warnungen/Warnungen) - Update - Zero Day Exploit für Microsoft Internet Explorer

2013-04-15T14:16:03Z

Update - Zero Day Exploit für Microsoft Internet Explorer

17. September 2012
Update am 18. September
2. Update am 20. September

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Seit kurzem gibt es, wie unter anderem im Blog von Rapid7 berichtet wird, eine remote ausnützbare Sicherheitslücke in Internet Explorer 7, 8 und 9. Da bereits ein Modul für das Metasploit Framework verfügbar ist, und die Sicherheitslücke auch schon aktiv ausgenützt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten.

Eine solche Browserschwachstelle kann dazu benutzt werden, auf den PCs von Besuchern einer präparierten Webseite Malware zu installieren. Die Opfer können per Mail/Spam zu diesen Seiten gelockt werden; alternativ können die Angreifer versuchen, in legitime Seiten einzubrechen und diese zu manipulieren.

Auswirkungen

Betroffene Systeme

Die ersten Meldungen haben nur von Windows XP und IE 7/8 gesprochen, aktuell muss aber davon ausgegangen werden, dass alle Systeme, auf denen Microsoft Internet Explorer Version 7, 8 oder 9 installiert ist, betroffen sind.
Das Metasploit Modul funktioniert laut Screenshots für:

Microsoft Internet Explorer 7, 8 und 9 unter Windows XP, Vista und 7

Abhilfe

Die Faktenlage ist bis dato noch relativ dünn. Es erreichen uns zum Teil widersprüchliche Meldungen. Eine Stellungnahme von Microsoft steht noch aus, und es ist aktuell kein Patch verfügbar.
Wir empfehlen daher, zumindest bis zu einer Klärung Sachverhalts, nach Möglichkeit auf alternative Browser auszuweichen.

Update (2012/09/18):
Microsoft hat ein Advisory publiziert. Ein Zeitpunkt für die Verfügbarkeit eines Patches wurde noch nicht angekündigt, es ist aber ein out-of-band Release zu erwarten.

Als temporäre Maßnahmen empfiehlt Microsoft drei Varianten:

Das Enhanced Mitigation Experience Toolkit (EMET) für den IE aktivieren
Die Sicherheitseinstellungen für "Internet" und "Lokales Intranet" auf "Hoch" setzen, um ActiveX Controls und Active Scripting abzuschalten.
Den IE so konfigurieren, dass er vor dem Ausführen von aktiven Inhalten eine Bestätigung erwartet.

Eine genaue Beschreibung mit den zu erwartenden negativen Seiteneffekten enthält das Advisory.

Update (2012/09/20):
Microsoft hat ein FixIT Tool bereitgestellt, mit dem dieses Problem temporär behoben werden kann.

Für Freitag, 21. September 2012 hat Microsoft die Publikation des offiziellen Updates für den Internet Explorer angekündigt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Eric Romang Blog (en)
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
Rapid7 Security Street (en)
https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit
Meldung von Heise (de)
http://www.heise.de/security/meldung/Angreifer-nutzen-ungepatchte-Internet-Explorer-Luecke-aus-1709371.html
Microsoft Security Advisory 2757760 (en)
https://technet.microsoft.com/en-us/security/advisory/2757760

(Warnungen/Warnungen) - Schwachstelle in Nameserversoftware BIND 9

2013-04-15T14:16:03Z

Schwachstelle in Nameserversoftware BIND 9

13. September 2012 CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der weit verbreiteten Nameserver-Software BIND ein Problem, das zum Absturz des Dienstes "named" führen kann. Es kann nicht ausgeschlossen werden, dass diese Schwachstelle auch zum Einbruch in den Nameserver genutzt werden kann.

Durch speziell präparierte Resource Records bei welchen RDATA-Felder länger als 65535 Bytes sind, können rekursive BIND-Nameserver zum Absturz gebracht werden. Weiters können auch autoritative Server betroffen sein, wenn eine Zone mit solchen Resource Records geladen wird, zum Beispiel durch übertragen von Zonen-Dateien.

CVE Referenz-Nummer:

CVE-2012-4244

Details

Durch manigfaltige Möglichkeiten von "deflection attacks", reicht es nicht, wenn der rekursive Nameserver nach Aussen hin abgeschottet wird. Denn ein Angreifer kann mittels "deflection" über interne Server wiederum den rekursiven Nameserver zum Absturz zu bringen.
Beispiel: der Angreifer schickt eine Mail an den Mailserver, der Mail Header löst eine Anfrage an den rekursiven Nameserver aus und somit kam die Anfrage von innen.

Es gibt zum derzeitigen Wissensstand keine Möglichkeiten der Risikoreduzierung ausser ein Upgrade auf die gepatchte Version.

Auswirkungen

Da DNS für die Auflösung von Domain-Namen in IP-Adressen zuständig ist, kann ein Ausfall eines rekursiven Nameservers für Endbenutzer bedeuten, dass ihre Internetverbindung nicht mehr "funktioniert".

Es gibt schon Berichte, dass diese Schwachstelle zu ungewollten Dienstunterbrechungen geführt hat. Noch gibt es keine Berichte, dass dieser Fehler auch zum Einschleusen und Ausführen von Schadsoftware genutzt wurde.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:

BIND 9.0.x bis 9.6.x
BIND 9.4-ESV bis 9.4-ESV-R5-P1
BIND 9.6-ESV bis 9.6-ESV-R7-P2
BIND 9.7.0 bis 9.7.6-P2
BIND 9.8.0 bis 9.8.3-P2
BIND 9.9.0 bis 9.9.1-P2

Abhilfe

Upgrade auf die zur Verfügung gestellte Version 9.7.7, 9.7.6-P3, 9.6-ESV-R8, 9.6-ESV-R7-P3, 9.8.4, 9.8.3-P3, 9.9.2 oder 9.9.1-P3.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

ISC Knowledge Base (en)
https://kb.isc.org/article/AA-00778/74

(Warnungen/Warnungen) - Update - Zero-Day Schwachstelle in Oracle Java 7

2013-04-15T14:16:03Z

Update - Zero-Day Schwachstelle in Oracle Java 7

27. August 2012
Update: 30. August 2012

Der Sicherheitsexperte Atif Mushtaq von FireEye hat eine Zero-Day Sicherheitslücke in Oracle Java entdeckt, welche auch bereits aktiv ausgenutzt wird. CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Anfangs wurden nur gezielte Angriffe festgestellt, mittlerweile existiert auch ein ensprechendes Modul für das Metasploit Framework.

Auswirkungen

Betroffene Systeme

Derzeit ist noch nicht klar, welche Systeme wirklich betroffen sind. Laut heise.de sind alle Versionen von Java 7 bis Update 6 auf Windows 7 (inkl. SP1) betroffen.
Andere Quellen hingegen sprechen nur von folgenden Systemen:

Mozilla Firefox auf Ubuntu Linux 10.04
Internet Explorer / Mozilla Firefox / Chrome auf Windows XP
Internet Explorer / Mozilla Firefox auf Windows Vista
Internet Explorer / Mozilla Firefox auf Windows 7

Abhilfe

Bis ein Patch zur Verfügung gestellt wird, empfiehlt CERT.at, soweit möglich die Java-Plugins in allen Browsern zu deaktivieren.

Update:
Wie soeben bekannt wurde, hat Oracle nun anscheinend doch auf die aktuellen Probkeme mit Java reagiert, und Java 7 Update 7 veröffentlicht.
CERT.at empfiehlt, dieses Update so schnell wie möglich einzuspielen.

Download: http://www.java.com/de/download/manual.jsp
Oracle Security Alert: http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

FireEye Blog
blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
Heise Security Meldung
www.heise.de/security/meldung/Warnung-vor-kritischer-Java-Luecke-1675454.html
US-CERT HowTo Browser-Security
www.us-cert.gov/reading_room/securing_browser/
Download Java 7 Update 7
http://www.java.com/de/download/manual.jsp
Oracle Security Alert CVE-2012-4681
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html

(Warnungen/Warnungen) - Remote-Code-Execution in Cisco's AnyConnect Secure Mobility Client

2013-04-15T14:16:03Z

Remote-Code-Execution in Cisco's AnyConnect Secure Mobility Client

23. August 2012

CERT.at ersucht um Beachtung der folgenden Meldung.
Wie cxSecurity meldet, exisitiert in Cisco's AnyConnect Secure Mobility Client eine Schwachstelle, welche Remote Code Execution ermöglicht.

Beschreibung

Mittels Umlenken eines Users auf eine speziell präparierte Webseite, ist es für einen Angreifer möglich, beim Benutzer Active-X oder Java Komponenten zu starten, welche eigentlich für die Weblaunch-Funktionalität des Cisco AnyConnect Secure Mobility Client notwendig sind. In Kombination mit fehlender Input-Validierung ist es dem Angreifer damit möglich, beliebigen Code mit den Rechten der Browser-Session auf dem Client auszuführen.

Auswirkungen

Da je nach Angriffs-Szenario ein Angreifer beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet. Weiters ist es möglich, die Installation des Cisco AnyConnect Secure Mobility Client zu modifizieren und durch ältere bzw. verseuchte Versionen zu ersetzen.

Betroffene Systeme

Cisco AnyConnect Secure Mobility Client 3.0.629
Cisco AnyConnect Secure Mobility Client 3.0
Cisco AnyConnect Secure Mobility Client 2.5.3046
Cisco AnyConnect Secure Mobility Client 2.5.3041
Cisco AnyConnect Secure Mobility Client 2.5

Abhilfe

Cisco hat bereits einen Patch veröffentlicht, der diese Probleme behebt.

Hinweise

Diese Schwachstelle kann nur durch Ausführen von ActiveX-Steuerelementen oder Java-Applets ausgenützt werden, daher empfehlen wir die Sicherheitseinstellungen des Browsers so zu wählen, dass der Benutzer immer gefragt wird ob er das wirklich tun möchte.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

cxSecurity
http://cxsecurity.com/wlb/WLB-2012080192
Cisco Security Advisory
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac

(Warnungen/Warnungen) - Cross-Site-Scripting Schwachstelle in e-Learning Plattform Moodle

2013-04-15T14:16:03Z

Cross-Site-Scripting Schwachstelle in e-Learning Plattform Moodle

22. August 2012

CERT.at ersucht um Beachtung der folgenden Meldung.

Aufgrund der hohen Verbreitung der e-Learning Plattform Moodle haben wir uns entschlossen folgende Warnung herauszugeben.

Beschreibung

Wie z.B. auch SecurityFocus berichtet, wurde eine Sicherheitslücke in der e-Learning Plattform Moodle entdeckt, welche zumindest in der Version 2.2.1 existiert. Es handelt sich um eine Cross-Site-Scripting (XSS) Schwachstelle, welche u.a. zum Stehlen von Cookies genützt werden kann oder um (meist bösartige) Scripts von externen Seiten nachzuladen.

Auswirkungen

Ein Angreifer könnte durch das Ausnutzen dieser Schwachstelle die Cookies eines angemeldeten Benutzers ausspähen und unter Umständen Administrationsrechte erlangen. Weitere Szenarien, wie z.B. das Umleiten auf speziell präparierte Webseiten, sind auch denkbar.

Abhilfe

Die Entwickler von Moodle haben, für die mittlerweile veraltete Version 2.2.x, bereits einen Patch veröffentlicht (das aktuelle stable-Release von Moodle trägt die Versionsnummer 2.3.1).

Hinweis

Generell empfiehlt CERT.at, wo möglich ein Update von veralteten Versionen (<=2.2.x) auf das aktuellste stable-Release.

Informationsquelle(n):

Moodle Webseite
http://moodle.org/
Moodle Download
http://download.moodle.org/
SecurityFocus BugTraq
http://www.securityfocus.com/archive/1/523949

(Warnungen/Warnungen) - Kritische Schwachstelle in Zend Framework

2013-04-15T14:16:03Z

Kritische Schwachstelle in Zend Framework

27. Juni 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Wie SEC Consult bekanntgegeben hat, wurde eine Sicherheitslücke im weit verbreiteten PHP-Framework ZEND festgestellt.

Beschreibung

Durch eine Lücke im XML-RPC Paket ist das ZEND-Framework anfällig auf XML eXternal Entity Injections (XXE), diese Schwachstelle betrifft sowohl Clients als auch Server. Durch unsicheres Parsen mittels SimpleXML PHP-Erweiterung können spezielle DOCTYPE-Elemente via XML-RPC (Extensible Markup Language - Remote Procedure Call) hinzugefügt werden.

Auswirkungen

Durch das Ausnutzen dieser Schwachstelle können Angreifer (insbesondere bei Servern, die das ZEND Framework verwenden) beliebige Dateien des Betriebssystems auslesen oder TCP-Verbindungen öffnen.

Betroffene Systeme

ZEND Framework 1.11.11
ZEND Framework 1.12.0 RC1
ZEND Framework 2.0.0beta4

Weiters sind auch zahlreiche Webanwendungen, welche auf das ZEND Framework aufbauen potentiell gefährdet. Einige der bekanntesten Anwendungen sind:

Abhilfe

Der Hersteller des Frameworks hat bereits Patches bereitgestellt, welche sich dieses Problems annehmen

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Kritische Schwachstelle in Zend Framework
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt

(Warnungen/Warnungen) - Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin

2013-04-15T14:16:03Z

Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin

20. Juni 2012

CERT.at ersucht um Beachtung der folgenden Meldung.

Aufgrund der hohen Verbreitung der Forensoftware vBulletin in Öerreich haben wir uns entschlossen folgende Warnung herauszugeben.

Beschreibung

In der Kalenderfunktion der Forensoftware vBulletin, zumindest in der aktuellen Version 4.2.0, kann eine Cross-Site-Scripting (XSS) Schwachstelle ausgenutzt werden, die u.a. zum Stehlen von Cookies führen kann.

Auswirkungen

Abhilfe

Die Entwickler haben bereits einen Patch(Patchseite, Hinweis auf den Patch) veröffentlicht, der sich dieser Lücke annimmt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

VBulletin Webseite
https://www.vbulletin.com/
Patchseite VBulletin
https://members.vbulletin.com/patches.php
Hinweis von VBulletin auf den Patch
https://www.vbulletin.com/forum/showthread.php/403211-vBulletin-Security-Patch-for-vBulletin-4-2-%28Suite-amp-Forum%29-Only-06-18-2012?p=2306251#post2306251

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Microsoft Windows

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Microsoft Windows

13. Juni 2012

CERT.at ersucht um Beachtung der folgenden Meldung.
Eine Schwachstelle in Microsoft Windows ermöglicht Remote Code Execution, welche nicht durch den gestrigen Patch-Tuesday behoben wurde.

Beschreibung

Microsoft hat ein Security Advisory veröffentlicht, das vor einer Schwachstelle in allen aktuell unterstützten Microsoft Windows Versionen warnt. Eine kritische Lücke in den Microsoft XML Core Services, die sich via Internet Explorer und Office-Dokumenten ausnutzen lässt, ermöglicht es einem Angreifer beliebigen Code auszuführen. Laut Microsoft wird dieser Bug bereits aktiv von Angreifern ausgenützt.

Auswirkungen

Da je nach Angriffs-Szenario (z.B.: über speziell präparierte Webseiten oder Office-Dokumente) ein Angreifer beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Windows 7 (alle Versionen, inkl. SP1)
Windows Server 2008 R2 (alle Versionen)
Windows Server 2008 (alle Versionen)
Windows Vista (alle Versionen, bis inkl. SP2)
Windows Server 2003 (alle Versionen, bis inkl. SP2)
Windows XP (alle Versionen, bis inkl. SP3)
Microsoft Office 2003 (bis inkl. SP3)
Microsoft Office 2007 (bis inkl. SP2)

Abhilfe

Zur Überbrückung bis zum offiziellen Patch bietet Microsoft ein sogenanntes FixIt-Tool Workaround an.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory von Microsoft (englisch)
http://technet.microsoft.com/en-us/security/advisory/2719615
FixIt Workaround von Microsoft (englisch)
http://support.microsoft.com/kb/2719615

(Warnungen/Warnungen) - Mehr als 6 Millionen LinkedIn Passwörter öffentlich einsehbar

2013-04-15T14:16:03Z

Mehr als 6 Millionen LinkedIn Passwörter öffentlich einsehbar

6. Juni 2012

Aufgrund der Beliebtheit der Webseite LinkedIn haben wir uns entschlossen, folgende Warnung herauszugeben.

Beschreibung

CERT.at wurde am 6.6.2012 informiert, dass ungefähr 6,5 Millionen gehashte Passwörter von LinkedIn Benutzern öffentlich im Internet einsehbar sind. An sich handelt es sich hierbei um gehashte ("verschlüsselte") Passwörter, da es aber mittlerweile relativ einfach geworden ist, von einem gehashtem Passwort auf den Klartext zurückzurechnen, empfehlen wir dringend, das eigene Passwort zu ändern. In den veröffentlichten Dateien sind nur (unsaltet) SHA1 Passwörter. Das heisst, dass dieses Zurückrechnen noch einfacher ist. In diversen Foren werden schon die ersten unverschlüsselten Passwörter gepostet.

Dimension des Problems

Laut blogaboutjob.de hatte LinkedIn im August 2011 2 Millionen Benutzer im deutschsprachigen Raum (versus 4,9 Millionen von XING).

Auswirkungen

CERT.at geht davon aus, dass die Angreifer nicht nur im Besitz der gehashten Passwörter sind, sondern auch die zugehörigen Benutzernamen kennen. Betroffen sind potentiell viele LinkedIn Benutzer, deren Passwort in der Liste ist. Allerdings sehen wir einen langanhaltenden Trend, dass viele Passwörter auf unterschiedlichsten Diensten wiederverwendet werden. Somit sind auch diese Accounts gefährdet. Weiters gehen wir davon aus, da die Hashes öffentlich bekannt sind, dass diverse Passwort-Cracking Tools verbessert werden.

Empfehlungen

Wir raten somit, erstens einmal das eigene LinkedIn Passwort zu ändern als auch im eigenen Unternehmen entsprechende Schritte zu setzen. Ebenso sollte das Passwort auf allen anderen Seiten / Services geändert werden, auf welchen es wiederverwendet wurde.

Hinweise

Generell empfiehlt CERT.at, nicht überall das selbe Passwort zu verwenden.

Informationsquelle(n):

The Verge: 6.46 Million hashed LinkedIn passwords
http://www.theverge.com/2012/6/6/3067523/linkedin-password-leak-online

(Warnungen/Warnungen) - Microsoft Windows Digital Certificates Spoofing Schwachstelle

2013-04-15T14:16:03Z

Microsoft Windows Digital Certificates Spoofing Schwachstelle

04. Juni 2012

Microsoft warnt [1] vor Angriffen, die mit Hilfe von unautorisierten digitalen Zertifikaten, die von einer Microsoft Certificate Authority (CA) abgeleitet wurden, durchgeführt werden können. Im Zuge dessen zieht Microsoft 2 digitale Zertifikate zurück.

Hintergrund und Dimensionen

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab.

Beschreibung

Microsoft veröffentlicht ein Security Advisory, das vor Angriffen warnt, die mit Hilfe von unautorisierten digitalen Zertifikaten durchgeführt werden. Das Terminal Server Licensing Service [2] nutzte einen alten kryptographischen Algorithmus und stellte Zeritifkate zur Verfügung, die das Signieren von Code ermöglichten.

Auswirkungen

Ein unautorisiertes Zeritifikat kann dazu verwendet werden, um Spoofing, Phishing oder man-in-the-middle Attacken durchzuführen.

Abhilfe

Microsoft nimmt folgende Schritte[2], um das Risiko einzugrenzen:

1. Schritt: Security Advisory wird veröffentlicht [1]

2. Schritt: Update wird veröffentlicht, das die betroffenen Zertifikate zurückzieht. Die Updates sind bereits verfügbar. Diese empfiehlt CERT.at möglichst zeitnahe einzuspielen. Folgende Zeritifkate sind betroffen:

Certificate	Issued by	Thumbprint
Microsoft Enforced Licensing Intermediate PCA	Microsoft Root Authority	2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
Microsoft Enforced Licensing Intermediate PCA	Microsoft Root Authority	3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Microsoft Enforced Licensing Registration Authority CA (SHA1)	Microsoft Root Certificate Authority	fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

3. Schritt: Das Terminal Licensing Service ermöglicht es nicht mehr Zeritifkate abzuleiten, mit denen Code signiert werden kann.

Betroffene Systeme

Operating System
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Server Core installation option
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Affected Devices
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Microsoft Security Advisory (2718704)
[1] http://technet.microsoft.com/en-us/security/advisory/2718704
Blog entry - Microsoft releases Security Advisory 2718704
[2] http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx

(Warnungen/Warnungen) - Update: wetter.com verteilte Malware

2013-04-15T14:16:03Z

Update: wetter.com verteilte Malware

16. Mai 2012
Update am 21. Mai

Achtung vor Drive-by-Downloads von wetter.com in den vergangenen Tagen.

Aufgrund der Beliebtheit der Webseite - geschätzte 10% der PCs einer größeren Organisation surften die Seite wetter.com im Zeitraum 14.5.-15.5. an - haben wir uns entschlossen, folgende Warnung herauszugeben.

Beschreibung

Wie heise.de berichtet hat, ist über eine Lücke der OpenX Werbebanner Software auf der Webseite www.wetter.com zuletzt am 15.5.2012 Schadsoftware verteilt worden. Der genaue Anfangszeitpunkt ist uns nicht bekannt. Eine Stellungnahme von wetter.com bezüglich des tatsächlichen Anfangszeitpunktes steht noch aus.

Soweit uns bekannt ist, wurde Besuchern der Seite, die keine Adblock Software installiert hatten unter Umständen ohne ihr Wissen Schadsoftware installiert. CERT.at ist bekannt, dass es verschiedene Varianten von Schadsoftware gab, eine davon ist ein fake-BKA Trojaner.

Auswirkungen

Betroffene Systeme

Potentiell betroffen waren Rechner, welche die Seite im relevanten Zeitraum angesurft hatten und die

keinen AdBlocker (bzw. NoScript) installiert hatten und
Browser verwendet haben, die nicht das Safe-Browsing-API nutzen

Empfehlungen

Für Systemadministratoren

CERT.at empfiehlt, daß Systemadministratoren ihre Proxy-Logs beziehungsweise Firewall-Logs ansehen, um festzustellen, welche PCs im relevanten Zeitraum die Seite www.wetter.com angesurft haben. Anschließend könnte es sich auszahlen, diese PCs mit aktuellester Antivirensoftware zu scannen beziehungsweise deren Aktivitäten unter genauerere Beobachtung zu stellen.

Update:
Wie wir mittlerweile erfahren haben, wurden (beim Browsen von wetter.com) attackierte Clients auf die Domains

futurela.info
votofak.ru

weitergeleitet. Beide Domains lösten zum jeweils relevanten Zeitpunkt auf die IP-Adresse 85.17.122.246 auf.

Laut Passive-DNS scheint diese IP-Adresse auch noch mit anderen uns bislang in der Causa wetter.com unbekannten Domains in Verbindung gestanden zu sein.
Hier die gesamte Liste inklusive der beiden oben genannten:

botsdarehere.com
newadultgamers.com
futurela.info
medppc.info
metaafe.info
openx-google.info
ads-com.info
billabon.info
advertingresolution.info
osnovoispanio.info
ads-yahoo.info
openx-master.info
advertmasters.info
openxmasters.info
ads-net.info
master-openx.info
youropenx.info
hisopenx.info
freeuseonly.info
moneyonly.info
blackdomaingood.net
trafficcompanygood.net
usforsale.ru
euforsale.ru
money-moneyblog.ru
votofak.ru

Entsprechende Suchen in Logs sollten sich mit diesen Informationen gezielter bewerkstelligen lassen.

Anmerkung: Ob und inwiefern auch noch andere Domains/IP-Adressen beteiligt waren, ist bislang unbekannt.

Für Endbenutzer

Wir raten dazu, den eigenen PC mit Antiviren Software zu scannen beziehungsweise sogar mit offline Antivirus Software (von CD bootbar) zu überprüfen.

Hinweise

Bei Unternehmen mit mehreren PCs empfiehlt es sich, Proxy-Logs oder Firewall-Logs für den Fall bereit zu haben.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Weiterhin Virenalarm auf Wetter.com
http://www.heise.de/security/meldung/Weiterhin-Virenalarm-auf-Wetter-com-1576132.html

(Warnungen/Warnungen) - Sicherheitslücken in Symantec pcAnywhere

2013-04-15T14:16:03Z

Sicherheitslücken in Symantec pcAnywhere

26. Jänner 2012

Der Software-Hersteller Symantec warnt vor Sicherheitslücken in der Fernwartungssoftware pcAnywhere.

Da diese Software auch Teil der Client-Management-Lösungen der Altiris-Reihe ist, und diese in vielen Unternehmen eingesetzt wird, bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

pcAnywhere nimmt auf TCP-Port 5631 Anfragen zur Fernsteuerung des PCs entgegen. In der Authentisierung dieser Verbindungen wurde ein Fehler (mangelnde Eingabeprüfungen) gefunden, der es einem Angreifer erlaubt, Code einzuschleusen und auszuführen. (CVE-2011-3478, CVSS2: 8.3)

Es existiert auch eine Lücke in Bezug auf Local Access File Tampering, die sich jedoch deutlich schwieriger ausnützen lassen sollte. (CVE-2011-3479, CVSS2: 6.8)

Wie Symantec weiters berichtet, wurde vor einigen Jahren Quellcode für diverse Produkte gestohlen, darunter auch für pcAnywhere. Es ist daher anzunehmen, dass damit die in pcAnywhere verwendeten Verschlüsselungs- und Authentisierungsalgorithmen analysiert werden und deren Schwachstellen auch bald publik werden.

Symantec weist darauf hin, dass ein Angreifer mit Kenntnis der Algorithmen weitere Angriffsvektoren hat (Man-in-the-middle, Abhören, ...) und rät daher zu weiteren Vorsichtsmaßnahmen beim Einsatz von pcAnywhere.

Symantec hat sowohl eine Warnung zu den Problemen mit pcAnywhere als auch ein allgemeineres Whitepaper dazu herausgegeben.

Auswirkungen

Betroffene Systeme

Laut Symantec sind folgende Softwareprodukte/-suiten betroffen:

pcAnywhere 12.5.x und älter
IT Management Suite 7.0 pcAnywhere Solution 12.5.x und älteru
IT Management Suite 7.1 pcAnywhere Solution 12.6.x und älter

Weiters ist pcAnywhere auch in folgenden Produkten der Altiris-Reihe enthalten:

Altiris Client Management Suite
Altiris IT Management Suite ab Version 7.0
Altiris Deployment Solution with Remote 7.1

Abhilfe

Installation der bereitgestellten Updates, wo verfügbar, etwa per LiveUpdate. Weitere empfohlene Maßnahmen sind im Whitepaper angegeben.

Insbesondere weist Symantec darauf hin, dass in Firmennetzen die pcAnywhere-Installationen nicht von außen erreichbar sein sollen und der Dienst nur dann laufen soll, wenn er gerade gebraucht wird. Dazu enthält das Whitepaper entsprechende Skripte.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Security Advisory von Symantec zu pcAnywhere (englisch)
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00
Whitepaper von Symantec zu empfohlenen Massnahmen im Zusammenhang mit diesen Lücken (englisch, PDF)
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf
Erster Artikel bei Heise Security
http://www.heise.de/security/meldung/pcAnywhere-laesst-auch-Angreifer-ans-Steuer-1421170.html
Zweiter Artikel bei Heise Security
http://www.heise.de/security/meldung/Symantec-warnt-nach-Quelltext-Klau-vor-pcAnywhere-1422561.html

(Warnungen/Warnungen) - Oracle Critical Patch Update für Jänner 2012

2013-04-15T14:16:03Z

Oracle Critical Patch Update für Jänner 2012

18. Jänner 2012

Es wurden Updates für kritische Sicherheitslücken in diversen Produkten von Oracle, darunter unter anderen Oracle Database, Oracle MySQL Server, Solaris, Oracle Fusion Middleware und Oracle Application Server veröffentlicht.

Angesichts der hohen Verbreitung der Software von Oracle bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Im Rahmen eines "Critical Patch Update" warnt Oracle vor diversen, zum Teil schweren (CVSS Score bis zu 7.8) Sicherheitslücken in Software von Oracle.

Eine Sicherheitslücke im Produkt Oracle Database betrifft die Teilkomponente "listener program", welche remote Befehle akzeptiert. Das Ausnutzen der Sicherheitslücken kann im schlimmsten Fall dazu führen, dass ein Zugriff auf die Datenbank nicht mehr möglich ist.

Oracle stellt Patches für Solaris zur Verfügung, welche kritische Sicherheitslücken im Betriebssystem beseitigen. CVE-2012-0094 betrifft Solaris 9, 10, 11 Express und kann zu einem Absturz des Betriebssystems führen.

Andere Patches adressieren Sicherheitslücken in der MySQL Server Software, wobei das Ausnutzen zumindest einer Sicherheitslücke zu einer signifikanten Einschränkung der Verfügbarkeit führen bzw. die Vertraulichkeit der Daten in der Datenbank beeinträchtigen kann.

Weiters warnt Oracle vor diversen HTTP-basierten Sicherheitslücken in den Produkten Oracle Fusion Middleware, Oracle E-Business Suite, and Oracle Supply Chain Products Suite. Eine Sicherheitslücke in Oracle Fusion kann unter Umständen dazu führen, dass Daten vom System gelesen oder auf das System geschrieben werden können.

Eine Auflistung aller Sicherheitslücken und die dazugehörende detaillierte Beschreibung (inklusive CVE und Einstufungen nach CVSS) veröffentlichte Oracle als "Oracle Critical Patch Update Advisory - January 2012".

Auswirkungen

Unter Umständen kann das Ausnutzen der Sicherheitslücken zu einem Teil- bzw. Gesamtverlust der Vertraulichkeit, Integrität oder Verfügbarkeit der Softwareprodukte führen.

Betroffene Systeme

Laut Oracle sind folgende Versionen betroffen:

Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, version 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
Oracle Database 10g Release 1, version 10.1.0.5
Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
Oracle Application Server 10g Release 3, version 10.1.3.5.0
Oracle Outside In Technology, versions 8.3.5, 8.3.7
Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, version 11.5.10.2
Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2
Oracle PeopleSoft Enterprise CRM, version 8.9
Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1
Oracle PeopleSoft Enterprise PeopleTools, version 8.52
Oracle JDEdwards, version 8.98
Oracle Sun Product Suite
Oracle VM VirtualBox, version 4.1
Oracle Virtual Desktop Infrastructure, version 3.2
Oracle MySQL Server, versions 5.0, 5.1, 5.5

Abhilfe

Installation der bereitgestellten Updates. Siehe dazu die Links im Advisory von Oracle.

Hinweise

Oracle hat sich mit dem Critical Patch Updates Programm vorgenommen, jedes Quartal gebündelt Patches für (fast) alle Produkte herauszugeben. Wir empfehlen daher dringend jedem Kunden von Oracle, sich -- analog zum monatlichen Patch-Day von Microsoft -- auf diese Updates vorzubereiten und einen Prozess zur geordneten Behandlung zu implementieren.

Wir weisen weiters darauf hin, dass die Java Runtime für Clients unabhängig von diesen "CPUs" Updates von Oracle bekommt. Ein veraltetes Java-Plugin in Browsern ist aktuell ein häufiges Einfallstor für Schadsoftware. Ob ein Browser die aktuelle Version verwendet, lässt sich leicht über java.com überprüfen. Alte Versionen der JRE sollten deinstalliert werden.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Oracle Critical Patch Update Advisory - January 2012 (Englisch)
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
Orcale Blog zum Patch Update (Englisch)
http://blogs.oracle.com/security/entry/january_2012_critical_patch_update
ars technica (Englisch)
Oracle drops a pile of critical patches in 78-update release

(Warnungen/Warnungen) - "Out-of-band"-Patch für Microsoft ASP.NET Problem

2013-04-15T14:16:03Z

"Out-of-band"-Patch für Microsoft ASP.NET Problem

29. Dezember 2011

Microsoft veröffentlicht einen "Out-of-band" Patch für mehrere Bugs in ASP.NET.

Hintergrund und Dimension

Beschreibung

Laut Microsoft behebt der gegenständliche Patch

eine Denial-of-Service (DOS) Möglichkeit - bereits durch vergleichsweise wenige speziell präparierte Anfragen an einen betroffenen Webserver, kann dessen Leistung derart beeinträchtigt werden, dass legitime Anfragen kaum noch abgearbeitet werden können.
Dies wird von Microsoft als "wichtig" eingestuft.
ein Privilege Elevation-Problem, das nur unter bestimmten Umständen augenützt werden kann.
Dies ist laut Microsoft "kritisch".

Während die Lücke auch in allen aktuellen Client-Versionen von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur ausgenutzt werden, wenn der Internet Information Server (IIS) auf dem System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall sein.

Betroffene Software

Windows XP
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
Windows Server 2008
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
- Windows 7 for 32-bit Systems
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems
- Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems
- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Abhilfe

Installation des bereitgestellten Updates, zum Beispiel über das Microsoft Download Center (http://www.microsoft.com/downloads/en/default.aspx).

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Vulnerability in ASP.NET Could Allow Denial of Service (englisch)
http://technet.microsoft.com/en-us/security/advisory/2659883
Microsoft Security Bulletin MS11-100 - Critical (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
Microsoft Security Bulletin Summary for December 2011 (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec

(Warnungen/Warnungen) - Sicherheitslücke in Microsoft Windows 7 64bit

2013-04-15T14:16:03Z

Sicherheitslücke in Microsoft Windows 7 64bit

23. Dezember 2011

Eine Schwachstelle in Microsoft Windows 7 64bit in Kombination mit älteren Versionen des Internet Explorer ermöglicht System-Abstürze - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Microsoft konnte eine bislang ungepatchte Sicherheitslücke in der sogenannten "win32k.sys"-Komponente, die erst nur im Kombination mit dem Apple Safari Browser aufgetaucht war, nun auch mit älteren Versionen des Microsoft Internet Explorer nachvollziehen.

Es ist davon auszugehen, dass an entsprechendem Exploit-Code bereits intensiv gearbeitet wird.

Auswirkungen

Da je nach Angriffs-Szenario (z.B. Links auf präparierte Webseiten werden per Email verschickt) ein Angreifer zumindest System-Abstürze provozieren, und möglicherweise auch beliebigen Code auf betroffenen Systemen ausführen, kann, sind alle Daten auf diesen Systemen gefährdet.

Betroffene Systeme

Laut Aussagen von Microsoft sind 64bit-Versionen von Microsoft Windows 7 betroffen.
Es ist auch davon auszugehen, dass ein Ausnützen auch mit anderen Web-Browsern als Apple Safari und Microsoft Internet Explorer möglich ist.

Abhilfe

Zur Überbrückung bis zum offiziellen Patch emfehlen wir, auf betroffenen 64bit Windows 7 Systemen auf die aktuelle Version (9) von Microsoft Internet Explorer umzusteigen, da ein Ausnützen der Lücke damit nach derzeitigem Wissensstand nicht möglich ist.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Blog-Eintrag bei Microsoft
http://blogs.technet.com/b/michaelkranawetter/archive/2011/12/23/update-windows-7-64-bi-version-amp-apple-safari-details-zur-schwachstelle.aspx

(Warnungen/Warnungen) - Schwachstelle in Adobe Reader und Acrobat

2013-04-15T14:17:04Z

Schwachstelle in Adobe Reader und Acrobat

7. Dezember 2011

Beschreibung

Aktuell wird eine Schwachstelle in Adobe Reader und Acrobat aktiv für Angriffe ausgenutzt. Adobe hat dazu ein als "kritisch" eingestuftes Security Bulletin veröffentlicht.

CVE Referenz-Nummer: CVE-2011-2462

Auswirkungen

In den Versionen 9.x von Adobe Reader und Acrobat ermöglicht diese Schwachstelle das Ausführen von Code, die Version X (10.x) enthält zwar auch den Fehler, dort verhindert dies aber der "Geschützter Modus", sofern dieser eingeschaltet ist.

Betroffene Systeme

Betroffen sind die Versionen 10.1.1, bzw. 9.4.6 und ältere von Adobe Reader und Acrobat.

Abhilfe

Eine korrigierte Version für die 9.x Version für Windows ist für die Woche des 12. Dezember angekündigt, die neue 10er Version wird im Rahmen des quartalsweisen Updates am 10. Jänner 2012 veröffentlicht werden.

Hinweise

Die Version X von Adobe Reader / Acrobat enthält mit dem "Geschützten Modus" ("Protected Mode" bzw. "Protected View") ein Verfahren, um die Auswirkungen einer Schwachstelle auf einen engen Bereich ("Sandbox") einzuschränken. Wie sich auch in diesem Fall gezeigt hat, kann dieses zusätzliche Sicherheitsnetz zwar Fehler nicht verhindern, aber die Folgen begrenzen.

CERT.at empfiehlt daher wie Adobe -- so möglich -- von der Version 9.x gleich auf die Version X umzusteigen, und sicher zu stellen, dass dort die Einstellungen ("Bearbeiten" -> "Voreinstellungen") entsprechend gesetzt sind (hier für den Reader in der deutschen Version):

Unter "Allgemein" den geschützten Modus einschalten.
Unter "JavaScript" dieses ausschalten.
Unter "Updater" die Autoupdate-Funktion einschalten.
Generell unbenötigte Funktionen auszuschalten.

Ob der geschützte Modus aktiv ist, sieht man unter "Datei"->"Eigenschaften" im Reiter "Erweitert".

Von Adobe selber gibt es ausgiebige Informationen zu den Sicherheitsfeatures dieser Produkte, inbesondere einen Leitfaden für Unternehmensnetze.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
https://www.adobe.com/support/security/advisories/apsa11-04.html
Hintergrundinformationen dazu von Adobe (englisch)
http://blogs.adobe.com/asset/2011/12/background-on-cve-2011-2462.html
Meldung von Brian Krebs zu Adobe Reader Auto-Updates (englisch)
http://krebsonsecurity.com/2011/06/adobe-ships-security-patches-auto-update-feature/
Sicherheit in Adobe Acrobat und Adobe Reader
https://www.adobe.com/de/security/acrobat_reader/
Enterprise Administration for the Acrobat Family of Products
http://learn.adobe.com/wiki/download/attachments/64389123/AcrobatApplicationSecurity.pdf

(Warnungen/Warnungen) - Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash und AIR

2013-04-15T14:16:03Z

Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash und AIR

11. November 2011

Beschreibung

Wie Adobe berichtet, gibt es ein außerplanmäßiges Update für den Adobe Flash Player, welches mehrere kritische Sicherheitslücken behebt.

CVE Referenz-Nummern:

CVE-2011-2445
CVE-2011-2450
CVE-2011-2451
CVE-2011-2452
CVE-2011-2453
CVE-2011-2454
CVE-2011-2455
CVE-2011-2456
CVE-2011-2457
CVE-2011-2458
CVE-2011-2459
CVE-2011-2460

Auswirkungen

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 11.0.1.152 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 11.0.1.153 und älter für Android
Adobe AIR 3.0 und ältere Versionen für Windows, Macintosh und Android
Adobe Flash Player 10, alle unterstützten Betriebssysteme, vor Version 10.3.183.11

Abhilfe

Die Version der aktuell installierten Flash-Software kann zB über folgende Webseite herausgefunden werden: http://www.adobe.com/software/flash/about/.

Installation des bereitgestellten Updates für Windows, Macintosh, Linux und Solaris, z.B. über das Adobe Flash Player Download Center.
Benutzer des Adobe Flash Players, Version 10.3.183.7 und neuer, unter Windows und Macintosh können das Update auch durch Verwenden des Auto-Update-Mechanismus installieren.

Android Benutzer finden das Update im Android Market Place.

Die neueste Version von Adobe AIR kann über das "AIR Download Center" bezogen werden: http://get.adobe.com/air/, für Android über den Android Marketplace..

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (Englisch)
http://www.adobe.com/support/security/bulletins/apsb11-28.html

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Microsoft Windows

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Microsoft Windows

4. November 2011

Eine Schwachstelle in Microsoft Windows ermöglicht Remote Code Execution mit Kernel Rechten - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Microsoft hat ein Security Advisory veröffentlicht, das vor einer kritischen Schwachstelle in allen aktuell unterstützten Microsoft Windows Versionen warnt. Ein Bug im TrueType Font Parser ermöglicht es einem Angreifer beliebigen Code mit Kernel Rechten auszuführen. Laut Microsoft wird dieser Bug bereits aktiv von Schadsoftware ausgenützt.

Auswirkungen

Da je nach Angriffs-Szenario (zB präparierte Dateien werden per Email verschickt) ein Angreifer beliebigen Code mit Kernel Rechten auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Versionen (32/64 Bit) von Microsoft Windows inklusive der Windows Server Versionen.

Abhilfe

Zur Überbrückung bis zum offiziellen Patch bietet Microsoft eine temporäre, manuelle Lösung an.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory von Microsoft (englisch)
https://technet.microsoft.com/en-us/security/advisory/2639658
Temporärer Fix von Microsoft (englisch)
http://support.microsoft.com/kb/2639658

(Warnungen/Warnungen) - Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

2013-04-15T14:16:03Z

Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

22. September 2011

Beschreibung

Wie Adobe berichtet, gibt es ein außerplanmäßiges Update für den Adobe Flash Player, welches mehrere kritische Sicherheitslücken behebt. Zumindest eine der Schwachstellen wird bereits aktiv ausgenützt.

CVE Referenz-Nummern:

CVE-2011-2426
CVE-2011-2427
CVE-2011-2428
CVE-2011-2429
CVE-2011-2430
CVE-2011-2444

Auswirkungen

Die bereits aktiv ausgenützte Lücke betrifft Cross-Site-Scripting, und wird in gezielten Attacken durch Links auf entsprechend präparierte Webseiten, die per Email verschickt werden, benützt.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.3.183.7 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.3.186.6 und älter für Android

Abhilfe

Android Benutzer finden das Update im Android Market Place.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (Englisch)
http://www.adobe.com/support/security/bulletins/apsb11-26.html

(Warnungen/Warnungen) - Kritische Schwachstellen in Apple QuickTime für Windows und Mac OS X

2013-04-15T14:16:03Z

Kritische Schwachstellen in Apple QuickTime für Windows und Mac OS X

17. August 2011

Kritische Sicherheitslücken in Apple QuickTime Versionen vor 7.7

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime vor der Version 7.7 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden. Apple listet in dem kumulativen Patch vom 12. August 2011 mehrere Remote Code Execution Möglichkeiten auf, die auf die jeweilige technische Implementierung verschiedener Dateiformate (Video, Bild, Audio) anwendbar sind.

Auswirkungen

Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie wo möglich das Apple Software Update Programm.

Alternativ können Sie die Auto-Update Funktion des QuickTime Players nutzen: (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie die aktuelle Version direkt von Apple.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT4826
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime

(Warnungen/Warnungen) - Schwachstellen im Apple Betriebssystem iOS

2013-04-15T14:16:03Z

Schwachstellen im Apple Betriebssystem iOS

7. Juli 2011

Beschreibung

Das Betriebssystem Apple iOS, das in Geräten zur mobilen Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod touch eingesetzt wird, enthält in der zur Betrachtung von PDF-Dateien verwendeten Bibliothek kritische Schwachstellen.

Bereits das Anklicken eines manipulierten PDF-Dokuments oder das Ansurfen einer mit PDF-Dokumenten versehenen Webseite reichen aus, um das mobile Gerät ohne Wissen des Nutzers mit Schadsoftware zu infizieren.

Die Schwachstellen ermöglichen es potenziellen Angreifern, Zugriff mit Administratorrechten auf das komplette System zu erlangen. Bislang steht noch kein Patch für diese Sicherheitslücken zur Verfügung.

Auswirkungen

Verlust vertraulicher Informationen möglich

Die Schwachstellen sind öffentlich bekannt und Exploit-Code zu deren Ausnutzung ist verfügbar. Zwar wurden noch keine Angriffe beobachtet, es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen zeitnah ausnutzen werden.
Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem das Auslesen von vertraulichen Informationen (Passwörtern, Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder Kontaktdaten), der Zugriff auf eingebaute Kameras, das Abhören von Telefongesprächen sowie die GPS-Lokalisierung des Nutzers.

Aufgrund der Popularität der iOS-Geräte werden diese häufig auch im beruflichen Umfeld genutzt. Nach Kenntnis des BSI werden insbesondere iPhone und iPad auch im höheren Management eingesetzt. Daher ist es möglich, dass die Schwachstellen auch für gezielte Angriffe auf Führungskräfte ausgenutzt werden, beispielsweise um an vertrauliche Unternehmensinformationen zu gelangen.

Betroffene Systeme

Folgende Geräte von Apple mit dem Betriebssystem iOS:

Von den Schwachstellen betroffen sind die Betriebssysteme:

Apple iOS für iPhone 3GS und iPhone 4 bis einschließlich Version 4.3.3
Apple iOS für iPad und iPad 2 bis einschließlich Version 4.3.3 sowie
Apple iOS für iPod touch bis einschließlich Version 4.3.3

Derzeit ist nicht auszuschließen, dass auch weitere Versionen des Betriebssystems iOS von der Schwachstelle betroffen sind.

Abhilfe

Bis zur Veröffentlichung eines Software-Updates des Herstellers empfehlen wir:

PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf iOS-Geräten zu öffnen. Dies gilt sowohl für PDFs, die im Rahmen von Webseiten bereitgestellt werden, als auch für PDFs in E-Mails oder anderen Applikationen.
Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf vertrauenswürdige Webseiten beschränkt werden.
Hyperlinks in E-Mails oder auf Webseiten sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammen.
Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen in der Trefferliste darauf achten, nicht ein PDF-Dokument anzuklicken.

Das BSI steht in Kontakt mit dem Hersteller Apple und wird über neue Sicherheitsinformationen berichten.
Ähnliche Schwachstellen sind bereits im August 2010 bekannt geworden und innerhalb kurzer Zeit geschlossen worden. Es ist auch diesmal davon auszugehen, dass Apple zeitnah ein Sicherheits-Update veröffentlichen wird, das die Schwachstellen schließt.

Diese Warnung basiert großteils auf dem entsprechenden Bericht der Kollegen des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI).

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des BSI
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Schwachstelle-im-Apple-Betriebssystem-iOS-06072011.html
Meldung bei Heise
http://www.heise.de/security/meldung/Website-Jailbreak-auch-fuer-das-iPad-2-1274131.html

(Warnungen/Warnungen) - Updates für kritische Sicherheitslücken in Adobe Produkten (inkl. Flash, Acrobat und Reader) - aktiv ausgenützt

2013-04-15T14:16:03Z

Updates für kritische Sicherheitslücken in Adobe Produkten (inkl. Flash, Acrobat und Reader) - aktiv ausgenützt

15. Juni 2011

Beschreibung

Adobe hat als "kritisch" eingestufte Security Updates für mehrere kritische Schwachstellen in Adobe Produkten (Adobe Flash Player, Reader, Acrobat, Shockwave Player) veröffentlicht.
Weitere als "wichtig" eingestufte Updates sind für ColdFusion sowie LiveCycle Data Services, LiveCycle ES, und BlazeDS verfügbar.

CVE Referenz-Nummern:

Flash
- CVE-2011-2110
Reader / Acrobat
- CVE-2011-2094
- CVE-2011-2095
- CVE-2011-2096
- CVE-2011-2097
- CVE-2011-2098
- CVE-2011-2099
- CVE-2011-2100
- CVE-2011-2101
- CVE-2011-2102
- CVE-2011-2103
- CVE-2011-2104
- CVE-2011-2105
- CVE-2011-2106
Shockwave Player
- CVE-2011-0317
- CVE-2011-0318
- CVE-2011-0319
- CVE-2011-0320
- CVE-2011-0335
- CVE-2011-2108
- CVE-2011-2109
- CVE-2011-2111
- CVE-2011-2112
- CVE-2011-2113
- CVE-2011-2114
- CVE-2011-2115
- CVE-2011-2116
- CVE-2011-2117
- CVE-2011-2118
- CVE-2011-2119
- CVE-2011-2120
- CVE-2011-2121
- CVE-2011-2122
- CVE-2011-2123
- CVE-2011-2124
- CVE-2011-2125
- CVE-2011-2126
- CVE-2011-2127

Auswirkungen

Die als "kritisch" angegebenen Lücken bieten laut Adobe die Möglichkeit, die betroffenen Produkte zum Absturz zu bringen. Potentiell bieten diese Fehler auch die Möglichkeit zu Remote Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Laut aktuellen Aussagen von Adobe wird zumindest eine der Lücken in Flash Player (CVE-2011-2110) bereits aktiv durch entsprechend präparierte Webseiten ausgenützt.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player
- Adobe Flash Player 10.3.181.23 und älter für Windows, Macintosh, Linux und Solaris
- Adobe Flash Player 10.3.185.23 und älter für Android
Adobe Reader / Reader X / Acrobat / Acrobat X
- Adobe Reader X 10.0.1 und ältere 10.x Versionen für Windows
- Adobe Reader X 10.0.3 und ältere 10.x Versionen für Macintosh
- Adobe Reader 9.4.4 und ältere 9.x Versionen für Windows und Macintosh
- Adobe Reader 8.2.6 und ältere 8.x Versionen für Windows und Macintosh
- Adobe Acrobat X 10.0.3 und ältere 10.x Versionen für Windows und Macintosh
- Adobe Acrobat 9.4.4 und ältere 9.x Versionen für Windows and Macintosh
- Adobe Acrobat 8.2.6 und ältere 8.x Versionen für Windows and Macintosh
Shockwave Player
- Shockwave Player 11.5.9.620 und ältere Versionen für Windows und Macintosh

Abhilfe

Installation der bereitgestellten Updates, für Flash zum Beispiel über das Flash Player Download Center.

Wie andere Quellen berichten, wird sich Adobe Reader ab der nun zur Verfügung gestellten Version übrigens automatisch auf die jeweils neueste Version aktualisieren.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://blogs.adobe.com/psirt/2011/06/adobe-product-security-updates-available.html
Meldung von Brian Krebs zu Adobe Reader Auto-Updates (englisch)
http://krebsonsecurity.com/2011/06/adobe-ships-security-patches-auto-update-feature/

(Warnungen/Warnungen) - Update für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

2013-04-15T14:16:03Z

Update für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

6. Juni 2011

Beschreibung

Wie Adobe berichtet, gibt es ein Update für Adobe Flash Player, welches eine kritische Sicherheitslücke behebt.

CVE Referenz-Nummern:

CVE-2011-2107

Auswirkungen

Diese "universelle" Cross-Site-Scripting Lücke bietet laut Adobe die Möglichkeit, die Kontrolle über personalisierte Webseiten des Anwenders (etwa Webmail-Zugänge) zu übernehmen.

Laut Aussage von Adobe wird diese Lücke bereits aktiv ausgenützt. Hierbei werden - momentan angeblich nur in gezielten, sog. "Spear-Phishing"-Attacken - Links auf entsprechend präparierte Webseiten mittels Spam-Mails verbreitet. Es ist zu erwarten, dass diese Attacken bald grossflächig stattfinden werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.3.181.16 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.3.185.22 für Android

Abhilfe

Installation des bereitgestellten Updates für Windows, Macintosh, Linux und Solaris, zB über das Adobe Flash Player Download Center.
Ein Update für die Android-Version ist für später diese Woche angekündigt.

Weiters weisen wir darauf hin, dass das Flash-Player-ActiveX-Plugin für Microsoft Internet Explorer eventuell getrennt aktualisiert werden muss, Details bitte dem Warning von Adobe zu entnehmen.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-13.html
Meldung bei Heise.de
http://www.heise.de/security/meldung/Adobe-patcht-Zero-Day-Luecke-in-Flash-1255438.html

(Warnungen/Warnungen) - Schwachstelle in Nameserversoftware BIND 9

2013-04-15T14:16:03Z

Schwachstelle in Nameserversoftware BIND 9

27. Mai 2011

Schwachstelle in Nameserversoftware BIND 9

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der verbreiteten Nameserver-Software BIND ein Problem, das für Denial-of-Service (DoS) Attacken ausgenützt werden kann. Es kann nicht ausgeschlossen werden, dass diese Schwachstelle auch zum Einbruch in den Nameserver genutzt werden kann.

Das Problem liegt in der Behandlung von native Caching in Verbindung mit DNS Antworten, die viele RRSIG Records enthalten.

CVE Referenz-Nummern:

CVE-2011-1910

CVSS Score: Base 7.8

Auswirkungen

Da DNS für die Auflösung von Namen in IP-Adressen zuständig ist, ist ein Nicht-Funktionieren dieses Dienstes für Endbenutzer oft von einem Nicht-Funktionieren des Internets an sich oder anderen Problemen nicht zu unterscheiden.

Es gibt schon Berichte, dass dieser Schwachstelle zu ungewollten Dienstunterbrechungen geführt hat. Noch gibt es keine Berichte, dass diese Fehler auch zum Einschleusen und Ausführen von Schadsoftware genutzt wurde.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:

BIND 9.4 ab ESV-R3
BIND 9.6 ab ESV-R2
BIND 9.6.3
BIND 9.7.x ab 9.7.1
BIND 9.8.x ab 9.8.0

Abhilfe

Upgrade auf die zur Verfügung gestellte Version 9.4-ESV-R4-P1, 9.6-ESV-R4-P1, 9.7.3-P1 oder 9.8.0-P2.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Meldung des ISC (englisch)
http://www.isc.org/software/bind/advisories/cve-2011-1910

(Warnungen/Warnungen) - Update für mehrere kritische Sicherheitslücken in Adobe Flash (aktiv ausgenützt)

2013-04-15T14:16:03Z

Update für mehrere kritische Sicherheitslücken in Adobe Flash (aktiv ausgenützt)

13. Mai 2011

Beschreibung

Wie Adobe berichtet, gibt es ein Update für Adobe Flash Player, welches mehrere kritische Sicherheitslücken behebt.

CVE Referenz-Nummern:

CVE-2011-0589
CVE-2011-0619
CVE-2011-0620
CVE-2011-0621
CVE-2011-0622
CVE-2011-0623
CVE-2011-0624
CVE-2011-0625
CVE-2011-0626
CVE-2011-0627

Auswirkungen

Diese Lücken bietet laut Adobe die Möglichkeit, Flash zum Absturz zu bringen, aber potentiell auch zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Laut aktuellen Aussagen von Adobe wird zumindest eine der Lücken (CVE-2011-0627) bereits aktiv ausgenützt. Hierbei wird ein entsprechend präpariertes Flash-Objekt eingebettet in eine Microsoft Word oder Excel Datei als Email-Attachment verschickt.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.2.159.1 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.2.154.28 und älter für Chrome
Adobe Flash Player 10.2.157.51 und älter für Android

Abhilfe

Installation des bereitgestellten Updates.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-12.html

(Warnungen/Warnungen) - Update 2: Erneut kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat (aktiv ausgenützt)

2013-04-15T14:16:03Z

Update 2: Erneut kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat (aktiv ausgenützt)

Update 2 am 22. April 2011
Update am 18. April 2011
12. April 2011

Beschreibung

Wie Adobe berichtet, wurde erneut eine Lücke in Adobe Flash Player gefunden.
Dies betrifft auch wieder (vgl. CERT.at Warnings vom 29. 10. 2010 und vom 15. 3. 2011) die AuthPlay.dll Komponente, die mit Adobe Reader und Adobe Acrobat mitgeliefert wird.

CVE Referenz-Nummer: CVE-2011-0611.

Auswirkungen

Diese Lücke bietet laut Adobe die Möglichkeit, Flash zum Absturz zu bringen, aber auch zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Laut aktuellen Aussagen von Adobe wird die Lücke bereits aktiv für Flash ausgenützt.

Adobe berichtet von aktiven Attacken mittels Email-Anhängen, bei denen eine Flash-Datei (.swf) in eine Microsoft Word-Datei (.doc) eingebettet ist.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.2.153.1 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.2.154.25 und älter für Chrome
Adobe Flash Player 10.2.156.12 und älter für Android
die Authplay.dll-Komponente, die mit Adobe Reader und Acrobat X (10.0.2) und früheren 10.x und 9.x Versionen für Windows und Macintosh, mitgeliefert wird

Adobe Reader 9.x für UNIX, Adobe Reader für Android, und Adobe Reader sowie Acrobat 8.x sind nicht von diesem Problem betroffen.

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software, es wird jedoch an einem entsprechenden Fix gearbeitet.

Da das Problem bei Adobe Reader X durch den "Protected Mode" mitigiert werden sollte, wird es hierfür voraussichtlich erst zum nächsten geplanten Quartals-Update einen Fix geben.

Da es bei Flash derzeit kaum Alternativen gibt, empfiehlt CERT.at Add-ons wie zum Beispiel Flashblock für Mozilla Firefox oder ähnliche Tools für andere Browser zu verwenden. Flashblock unterbindet ein automatisches Ausführen von Flash-Inhalten auf Webseiten, ausser der Benutzer klickt diese explizit an.

Update:
Adobe hat die neue Version des Flash Players 10.2.159.1 für Windows, Macintosh, Linux, und Solaris bereitgestellt, für Google Chrome die Version 10.2.154.27.
Adobe empfiehlt Benutzern von Adobe AIR, auf die zur Verfügung stehende Version 2.6.19140 umzusteigen.
Nähere Informationen finden sich im Adobe security bulletin APSB11-07.

Update 2:
Adobe hat mittlerweile auch ein entsprechendes Update für Adobe Reader und Acrobat herausgebracht:

Adobe Reader X 10.0.3 für Macintosh
Adobe Reader 9.4.4 für Windows und Macintosh
Adobe Acrobat X 10.0.3 für Windows und Macintosh
Adobe Acrobat 9.4.4 für Windows und Macintosh

Nähere Informationen finden sich im Adobe security bulletin APSB11-08.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa11-02.html
Update: Adobe Security Bulletin APSB11-07 (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-07.html
Update2: Adobe Security Bulletin APSB11-08 (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-08.html

(Warnungen/Warnungen) - Update: Erneut kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat (aktiv ausgenützt)

2013-04-15T14:16:03Z

Update: Erneut kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat (aktiv ausgenützt)

15. März 2011
Update am 23. März 2011

Beschreibung

Wie Adobe berichtet, wurde erneut eine Lücke in Adobe Flash Player gefunden. Dies betrifft wieder die AuthPlay.dll Komponente, die mit Adobe Reader und Adobe Acrobat mitgeliefert wird. Diese Schwachstelle wurde entdeckt, da sie bei aktiven Attacken gefunden wurde.

CVE Referenz-Nummer: CVE-2011-0609

Auswirkungen

Diese Lücke bietet laut Adobe die Möglichkeit, Flash zum Absturz zu bringen aber auch zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Laut aktuellen Aussagen von Adobe wird die Lücke bereits aktiv für Flash ausgenützt.

Ein infiziertes .SWF Flash File wird hierbei an eine Excel Datei angehängt und per Mail verschickt. Wegen der starken Verbreitung von Flash (vor allem bei Internet Videos), geht CERT.at davon aus, dass die Sicherheitslücke bald nicht nur per Email ausgenutzt werden wird.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player bis inkl. Version 10.2.152.33 für Windows, Apple Macintosh, Linux und Solaris
Adobe Flash Player bis inkl. Version 10.2.154.18 für Chrome
Adobe Flash Player bis inkl. Version 10.1.106.16 für Android Smartphones
die Authplay.dll Datei, die mit Adobe Reader, Adobe Acrobat X (10.0.1) und früheren 10.x und 9.x Versionen für Windows und Apple Systeme mitgeliefert wurde.

Adobe Reader 9.x für Unix, Adobe Reader für Android und Acrobat 8.x Versionen sind nicht betroffen.

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software. Adobe wird - laut eigenen Angaben - in Kürze einen Patch für Flash anbieten, wohingegen die Patches für Adobe Reader X erst am 14. Juni erscheinen werden.

Da es bei Flash derzeit kaum Alternativen gibt, empfiehlt CERT.at Add-ons wie zum Beispiel Flashblock für Mozilla Firefox oder ähnliche Tools für andere Browser zu verwenden. Flashblock erlaubt kein automatisches Ausführen von Flash Inhalten auf Webseiten, ausser der Benutzer klickt diese explizit an.

Update:
Adobe hat sowohl die neue Version 10.2.153.1 für Adobe Flash Player als auch die neue Version 10.2.156.12 für Adobe Flash Player für Android bereitgestellt. Nähere Informationen finden sich im Adobe security bulletin.
Wir weisen nochmals darauf hin, dass das Update für Adobe Reader X erst am 14. Juni erscheinen soll.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa11-01.html

(Warnungen/Warnungen) - Schwachstelle in DNS-Software BIND 9

2013-04-15T14:16:03Z

Schwachstelle in DNS-Software BIND 9

24. Februar 2011

Denial-of-Service möglich mit BIND 9.7 - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der verbreiteten Nameserver-Software BIND ein Problem, das für Denial-of-Service (DoS) Attacken ausgenützt werden kann.

Konkret besteht nach dem erfolgreichen Abarbeiten von IXFR-Anfragen bzw. dynamischen Updates ein kurzes Zeitfenster in dem ein Deadlock ausgelöst werden kann, wodurch BIND dann bis zu einem Neustart keine Anfragen mehr beantwortet.

Auswirkungen

Wir erwarten, dass entsprechende Schadsoftware bzw. Proof-of-Concept - Exploits bald in Umlauf gebracht werden.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:

BIND 9.7.1-9.7.2-P3

Versionen 9.4.x, 9.6.x und 9.8.x sind nicht von diesem Problem betroffen.

Abhilfe

Upgrade auf die zur Verfügung gestellte Version 9.7.3 oder eine der nicht betroffenen Versionen (siehe http://www.isc.org/software/bind/advisories/cve-2011-0414).

Sollte ein Upgrade nicht oder nicht zeitnahn möglich sein, kann auch temporär nur ein einzelner Thread (Option -n 1) benutzt werden, dies kann allerdings die Performance beeinträchtigen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des ISC (englisch)
http://www.isc.org/software/bind/advisories/cve-2011-0414

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Microsoft Windows XP/Server 2003 Dateifreigaben (SMB)

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Microsoft Windows XP/Server 2003 Dateifreigaben (SMB)

16. Februar 2011

Potentiell Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Auf der Security-Mailingliste Full Disclosure wurde ein Bug in der Microsoft Windows Dateifreigabe bekanntgegeben, und auch entsprechender Beispielcode dazu veröffentlicht.

Die Sicherheitsdienstleister Secunia und Vupen bestätigen diese Lücke.

Auswirkungen

Durch Ausnutzen dieses Fehlers kann ein Angreifer bereits durch blosses Senden entsprechend präparierter Pakete an Windows-Rechner mit aktivierter Dateifreigabe diese zum Absturz bringen und möglicherweise auch beliebigen Code ausführen. Eine erfolgreiche Anmeldung ist hierzu nicht erforderlich.

Systeme von Heim-Anwendern werden grossteils von diesem Problem nicht betroffen sein, da die per Default aktive Firewall Zugriffe von aussen auf Dateifreigaben unterbindet. Speziell gefährdet sind jedoch Fileserver in Firmennetzen, falls die Möglichkeit besteht, dass entsprechende Schadsoftware zum Beispiel via Notebook in das interne Netzwerk gebracht wird.

Da der Angreifer dadurch eventuell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Wir erwarten, dass entsprechende Schadsoftware bald in Umlauf gebracht werden wird.

Betroffene Systeme

Laut den bisher vorliegenden Informationen sind zumindest folgende Versionen von Microsoft Windows betroffen:

Windows XP SP3
Windows Server 2003 SP 2

Ob auch andere Versionen davon betroffen sind, ist noch nicht bekannt, wir können es jedoch nicht ausschliessen.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann nur versucht werden, die Auswirkungen zu begrenzen, etwa indem betroffene Dateiserver wo möglich durch etwa Firewalls geschützt werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei Heise Security
http://www.heise.de/security/meldung/Neue-Luecke-in-Windows-Dateifreigaben-1190797.html
Blog-Eintrag von Microsoft
http://blogs.technet.com/b/michaelkranawetter/archive/2011/02/16/microsoft-untersucht-m-246-gliche-l-252-cke-in-windows-smb.aspx

(Warnungen/Warnungen) - Adobe veröffentlicht kumulative kritische Sicherheitsupdates für Adobe Reader, Acrobat und Flash

2013-04-15T14:16:03Z

Adobe veröffentlicht kumulative kritische Sicherheitsupdates für Adobe Reader, Acrobat und Flash

10. Feb 2011

Beschreibung

Sicherheitsupdates von Adobe Reader, Acrobat und Flash ab sofort verfügbar.

Auswirkungen

Adobe veröffentlichte kumulative Sicherheitsupdates für die eigenen Produkte, die eine Reihe von kritischen Sicherheitslücken (Remote Code Execution, etc) beheben. Remode Code Execution ermöglicht einem Angreifer, ein System zu übernehmen.

Für Flash steht eine komplett neue Version 10.2 zur Verfügung, die ebenfalls 13 Remote Code Execution Lücken schliesst.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.1.102.64 und vorhergehende Versionen für Windows, Macintosh, Linux und Solaris
Adobe Reader 9 bis inkl. Versionen 9.4.1, für Windows, Macintosh und Unix
Adobe Acrobat X (10.0) und vorhergehende Versionen für Windows und Macintosh
Adobe Reader X (10.0) für Windows und Macintosh

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte der Meldung von Adobe zu entnehmen:

(Aktuell sind diese Seiten bei Adobe noch nicht auf Deutsch verfügbar).

Bitte beachten Sie, das ältere PowerPC-basierte Apple Computer nicht auf den neuesten Flash Player und Acrobat Reader upgedated werden können, da Adobe nur noch Intel-basierte Apple Computer unterstützt. Für PowerPC-basierte Systeme stehen somit nur alternative PDF Reader zur Verfügung. Allgemein empfiehlt CERT.at, Acrobat Reader Version 9.x durch Version 10 zu ersetzen, soferne dies möglich ist.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (Flash)
http://www.adobe.com/support/security/bulletins/apsb11-02.html
Meldung von Adobe (Acrobat, Reader)
http://www.adobe.com/support/security/bulletins/apsb11-03.html

(Warnungen/Warnungen) - Java (JRE/JDK) Schwachstelle kann zur Endlosschleifen (DOS) führen

2013-04-15T14:16:03Z

Java (JRE/JDK) Schwachstelle kann zur Endlosschleifen (DOS) führen

9. Februar 2011

Sicherheitslücke in Sun/Oracle Java (JRE/JDK) führt zu Endlosschleifen und ermöglicht somit einen Denial of Service (DOS) Angriff - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Oracle warnt vor einer kritischen Sicherheitslücke in Java (JRE/JDK), die es Angreifern erlaubt, Java-basierte Programme in eine Endlosschleife zu manövrieren.
Durch Eingabe von "2.2250738585072012e-308" und anschliessendem Konvertieren in einen double Wert kann ein Java-basiertes Programm in eine Endlosschleife gelangen. Die CPU ist in diesem Fall dann vollkommen ausgelastet und das Programm bleibt effektiv aus Benutzersicht "stehen".

Besonders leicht läßt sich dies auf Java-basierten Servern (Tomcat, JBoss) erreichen, indem man von einem beliebigen Rechner am Internet eine entsprechend präparierte HTTP Anfrage sendet.

Mittlerweile ist bekannt, dass die Verwundbarkeit mit einigen Varianten der Zahl auftritt:

0.00022250738585072012e-304 (Dezimalpunkt)
00000000002.2250738585072012e-308 (führende Nullen)
2.225073858507201200000e-308 (Nullen am Ende)
2.2250738585072012e-00308 (führende Nullen im Exponenten)
2.2250738585072012997800001e-308 (extra Ziffern nach Ziffer #17)

Es ist nicht ausgeschlossen, daß es nicht noch andere Varianten gibt.

Hintergrund

Bei der Konvertierung des Zeichestrings "2.2250738585072012e-308" (und obiger Varianten) gerlangt Java in eine Endlosschleife und die Konvertierung oszilliert zwischen 0x1p-1022 (DBL_MIN) und 0x0.fffffffffffffp-1022.

Zum ersten Mal ist das Problem bei PHP bekannt geworden, anschliessend entdeckte Konstantin Preißer, dass die Verwundbarkeit auch auf Java funktioniert.

Auswirkungen

Jedes Java-basierte Programm als auch das Java Development Kit (JDK), das Double Werte extern einliest (z.B.: Internet User Input) und verarbeitet, kann in eine Endlosschleife gelangen (Denial Of Service Attacke).

Betroffene Systeme

Es sind sowohl Java-basierte Server (Tomcat, JBoss) als auch Java Desktop Applikationen betroffen.

Java SE

JDK und JRE 6 Update 23 und vorhergehende Versionen für Windows, Solaris und Linux
JDK 5.0 Update 27 und vorhergehende Versionen für Solaris 9
SDK 1.4.2_29 und vorhergehende Versionen für Solaris 8

Java for Business
- JDK und JRE 6 Update 23 und vorhergehende Versionen für Windows, Solaris und Linux
- JDK und JRE 5.0 Update 27 und vorhergehende Versionen für Windows, Solaris und Linux
- JDK und JRE 1.4.2_29 und vorhergehende Versionen für Windows, Solaris und Linux

Die Sicherheitslücke betrifft sowohl 32-bit als auch 64-bit Systeme.

CERT.at vermutet, daß Java-basierte Smartphones genauso von der Sicherheitslücke betroffen sind.

Abhilfe

Oracle bietet einen Hotfix an. Ein reguläres Update soll laut Oracle am 15.Februar erscheinen.

CERT.at empfiehlt Webserver-Betreibern auch in der Zwischenzeit - soferne möglich - mittels Regular Expressions am Webserver nach HTTP "Accept-Language .*;q=2.225073858507.*" zu filtern und entsprechende HTTP Anfragen an Java-basierte Server (Tomcat, JBoss) zu blockieren. Unter Apache geht dies zum Beispiel mit mod_header. Dieser (mod_header) Filter mittels Regular Expressions ist allerdings nur als schnelle Lösung gegen automatisierte Angriffe zu sehen. Java sollte trotz Regular Expression Filtern gepatcht werden.

mod_header Filter

Mod_header Dokumentation

Einschalten von mod_header: LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so

In der VirtualHosts Konfiguration:

(...)
RequestHeader edit Accept-Language 5073858507 5073858508 early
RequestHeader edit Accept-Charset 5073858507 5073858508 early
RequestHeader edit Accept-Encoding 5073858507 5073858508 early
RequestHeader edit Accept 5073858507 5073858508 early
(...)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Warnung von Oracle
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-4476-305811.html
Hotfix von Oracle
http://www.oracle.com/technetwork/java/javase/fpupdater-tool-readme-305936.html
Original-Post von Konstantin Preisser
http://www.exploringbinary.com/why-volatile-fixes-the-2-2250738585072011e-308-bug/comment-page-1/#comment-4645
Meldung bei Heise
http://www.heise.de/security/meldung/Oracle-warnt-vor-Java-Schwachstelle-1185967.html

(Warnungen/Warnungen) - Schwachstelle in der Verarbeitung von MHTML-Dateien in Microsoft Internet Explorer

2013-04-15T14:16:03Z

Schwachstelle in der Verarbeitung von MHTML-Dateien in Microsoft Internet Explorer

30. Jänner 2011

Die Sicherheitslücke ermöglicht das Ausführen von bösartigen Scripts - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Microsoft warnt vor einer kritischen Sicherheitslücke in Internet Explorer, die beim Verarbeiten von MHTML (MIME Encapsulation of Aggregate HTML) Dateien auftritt.
Dabei lassen sich durch entsprechend präparierte Dateien unberechtigt Informationen auslesen oder auch Webseiten spoofen, teilweise analog zu den bekannten XSS (Cross Site Scripting) Attacken..

Auswirkungen

Benutzern von Microsoft Internet Explorer können rein durch das Aufrufen entsprechend präparierter Webseiten unbeabsichtigt entsprechenden Code zur Ausführung bringen.
Benutzer von alternativen Internet-Browsern (etwa Mozilla Firefox, Opera, Safari) sind nicht betroffen.

Betroffene Systeme

Alle aktuellen Versionen von Microsoft Internet Explorer auf allen aktuell unterstützten Versionen von Microsoft Windows:

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

Abhilfe

Microsoft hat ein "Fix it"-Tool zur Verfügung gestellt, das die Verarbeitung von MHTML-Dateien in Internet Explorer temporär unterbindet, siehe http://support.microsoft.com/kb/2501696.
Sobald eine endgültige Lösung des Problems zur Verfügung steht, sollte dies wieder rückgängig gemacht werden.

Alternativ kann bis zu einer finalen Lösung auch ein alternativer Internet-Browser (zum Beispiel Mozilla Firefox, Opera, Apple Safari) verwendet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory von Microsoft (englisch)
https://www.microsoft.com/technet/security/advisory/2501696.mspx
"Fix it"-Tool von Microsoft (englisch)
http://support.microsoft.com/kb/2501696
Meldung bei The Register (englisch)
http://www.theregister.co.uk/2011/01/28/windows_vuln_fixit/
Meldung bei Futurezone
http://www.futurezone.at/stories/1665553/

(Warnungen/Warnungen) - Schwachstelle bei der Anzeige von Thumbnails in Microsoft Windows

2013-04-15T14:16:03Z

Schwachstelle bei der Anzeige von Thumbnails in Microsoft Windows

5. Jänner 2011
Update am 11. Jänner 2011

Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Microsoft warnt vor einer kritischen Sicherheitslücke in Windows, die bei der Anzeige von Thumbnail-Bildern zum Tragen kommt. Dabei lässt sich durch entsprechend präparierte Bilder ein Stacküberlauf erzielen, der als Basis für eine anschließende Remote Code Execution genutzt werden kann. Weitere technische Details sind den Unterlagen zweier Sicherheitsexperten zu entnehmen, die bereits im vergangenen Dezember im Zuge eines Vortrages auf diese Lücke aufmerksam gemacht haben.

Update (11. Jänner 2011):
Es ist momentan unklar, ob die Microsoft Windows Bild- und Faxanzeige auch von dem gegenständlichen Problem betroffen ist - letztere bedient sich ebenso der betroffenen Bibliothek (shimgvw.dll). Seitens Microsoft gibt es diesbezüglich noch keine Aussage. CERT.at empfiehlt daher, diesen Umstand zu berücksichtigen und bei der Anzeige von Grafiken (Bilder, Fotos, ...) aus nicht vertrauenswürdigen Quellen entsprechend Vorsicht walten zu lassen.

Als Infektionsszenario skizziert Microsoft den Verbreitungsweg über Email - das Öffnen eines angehängten Word- oder Powerpoint-Dokuments, das ein solches Bild enthält, wäre bereits ausreichend. Aber auch der Besuch eines Netzwerk-Shares, eines UNC- oder WebDAV-Pfades, oder auch eines USB-Sticks würde durch ein entsprechendes, dort hinterlegtes Bild, zu einer Infektion führen.

Auswirkungen

Ein entsprechendes Exploit-Modul ist via Metasploit bereits beziehbar. Es ist demnach zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Alle Versionen von Microsoft Windows mit Ausnahme von Windows 7 und Server 2008 R2.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung. Microsoft empfiehlt in seinem Advisory die Zugriffsberechtigungen der betroffenen Bibliothek (shimgvw.dll) entsprechend einzuschränken. Dies hat aber auch zur Folge, dass Vorschauen legitimer Bilder nicht mehr funktionieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2490606.mspx
Vortragsunterlagen der Entdecker
http://www.exploit-db.com/author/?a=3094
Metasploit-Modul
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11466/entry/modules/exploits/windows/fileformat/ms11_xxx_createsizeddibsection.rb
Update: Warnung von Bürger-CERT
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plf547PoiK%2fv5g%253d%253d
Update: Advisory von Microsoft (deutsch)
http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/2490606.mspx

(Warnungen/Warnungen) - Schwachstelle in Microsoft Internet Explorer - Remote Code Execution

2013-04-15T14:16:03Z

Schwachstelle in Microsoft Internet Explorer - Remote Code Execution

22. Dezember 2010
Update am 5. Jänner 2011

Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Bereits Anfang Dezember wurde ein Fehler in der CSS-Verarbeitung im Internet Explorer gemeldet, damals waren aber die Details noch unter Verschluss. Am 20. 12. wurde ein Demo-exploit in das Metasploit Framework aufgenommen, es ist daher nun damit zu rechnen, dass dieser Fehler aktiv ausgenützt wird.

~~Von Seiten Microsofts liegt noch keine Stellungnahme vor.~~

Update (5. Jänner 2011):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.

Auswirkungen

Dieses Problem kann bereits durch bloßes Aufrufen einer entsprechend präparierten Webseite ausgenützt werden.

Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird, und Links auf entsprechend präparierte Webseiten etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Alle Benutzer von Microsoft Internet Explorer der folgenden Versionen:

Internet Explorer 6
Internet Explorer 7
Internet Explorer 8

auf den Plattformen Windows XP, Vista, 7, Server 2003 und Server 2008.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann momentan nur versucht werden, die Auswirkungen zu begrenzen, oder einen alternativen Browser (zB Mozilla Firefox, Opera, Google Chrome) zu verwenden.

Folgende Security-Features erschweren das Ausnützen des Fehlers. es ist jedoch zu beachten, dass auch diese noch keinen vollständigen Schutz vor dieser Lücke bieten:

Data Execution Prevention (DEP), per Default in Internet Explorer 8 auf Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 und Windows 7 aktiv
Protected Mode in Internet Explorer auf Windows Vista und Windows 7, siehe http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do, per Default für die "Internet Zone" aktiv.

Das deutsche Buerger-CERT empfiehlt daher die Internet Explorer Sicherheitseinstellungen so hoch zu setzen, dass ActiveX Controls und Active Scripting nicht für alle Webseiten aktiv sind.

Update (5. Jänner 2011):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben. Darin wird ebenso empfohlen, bis zum Erscheinen eines entsprechenden Updates, als Workaround eine höhere Sicherheitseinstellung (lt. Advisory dezidiert "Hoch") im Internet Explorer zu wählen.
Microsoft empfiehlt darin weiters, den Internet Explorer durch Einsatz ihres Tools EMET akut zu "härten".

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

US-CERT Meldung
http://www.kb.cert.org/vuls/id/634956
Full Disclosure Post
http://seclists.org/fulldisclosure/2010/Dec/110
ThreatPost Meldung
http://threatpost.com/en_us/blogs/new-remotely -exploitable-bug-found-internet-explorer-121010
BreakingPoint Artikel
http://www.breakingpointsystems.com/community/ blog/ie-vulnerability/
Metasploit
Metasploit Proof-of-Concept Code
ComputerWorld
http://www.computerworld.com/s/article/9202001/ Researchers_reveal_attack_code_for_new_IE_zero_day
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2488013.mspx
Update: Informationen zu Microsoft's Security-Tool EMET
http://support.microsoft.com/kb/2458544

(Warnungen/Warnungen) - Adobe veröffentlicht "Out-of-band" Sicherheitsupdates für Adobe Reader und Acrobat

2013-04-15T14:16:03Z

Adobe veröffentlicht "Out-of-band" Sicherheitsupdates für Adobe Reader und Acrobat

17. November 2010

Beschreibung

Sicherheitsupdates von Adobe Reader und Acrobat für Windows und Macintosh ab sofort verfügbar.

Auswirkungen

Zumindest eine der behobenen Lücken bietet laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Laut Aussagen von Adobe wird diese Lücke aktiv für Adobe Reader und Acrobat ausgenützt. Siehe auch unsere Meldung vom 29. Oktober 2010.

Auch die in Adobe Reader und Acrobat integrierten Komponenten von Adobe Flash Player werden mit diesem Update auf aktuellen Stand gebracht.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Reader 9 bis inkl. Versionen 9.4, für Windows, Macintosh und Unix
Adobe Acrobat 9 bis inkl. Version 9.4 für Windows und Macintosh

Das Update von Adobe Reader für Unix wird voraussichtlich erst am 30. November veröffentlicht.

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte der Meldung von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb10-28.html

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe zu Reader und Acrobat (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-28.html

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Microsoft Internet Explorer (aktiv ausgenützt)

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Microsoft Internet Explorer (aktiv ausgenützt)

3. November 2010

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Microsoft berichtet, gibt es aktuell ein Problem mit Microsoft Internet Explorer, das zu Remote Code Execution führen kann, und auch bereits zumindest für gezielte Attacken missbraucht wird.

Auswirkungen

Dieses Problem kann bereits durch bloßes Aufrufen einer entsprechend präparierten Webseite ausgenutzt werden.

Betroffene Systeme

Alle Benutzer von Microsoft Internet Explorer der folgenden Versionen:

Internet Explorer 6
- Windows XP
- Windows Server 2003
Internet Explorer 7
- Windows XP
- Windows Server 2003
- Windows Vista
Internet Explorer 8
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows Server 2008
- Windows 7

Eine detaillierte Liste inkl. der jeweils betroffenen Service Packs kann dem Security Advisory von Microsoft entnommen werden.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann nur versucht werden, die Auswirkungen zu begrenzen, oder einen alternativen Browser zu verwenden.

Laut Microsoft stehen zur Problembegrenzung folgende Security Features zur Verfügung:

Data Execution Prevention (DEP), per Default in Internet Explorer 8 auf Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 und Windows 7 aktiv
Protected Mode in Internet Explorer auf Windows Vista und Windows 7, siehe http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do, per Default für die "Internet Zone" aktiv.

Details bitte der Meldung von Microsoft zu entnehmen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2458511.mspx
Erklärung zu Internet Explorer "Protected Mode" (englisch)
http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do

(Warnungen/Warnungen) - Wieder kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat

2013-04-15T14:16:03Z

Wieder kritische Sicherheitslücke in Adobe Flash, Reader und Acrobat

29. Oktober 2010

Beschreibung

Wie Adobe berichtet, wurde eine weitere Lücke in Adobe Flash Player und Adobe Flash Player für Android gefunden. Dies betrifft genauso die AuthPlay.dll Komponente, die mit Adobe Reader und Adobe Acrobat mitgeliefert wird. Diese Lücke wird bereits unter Windows aktiv ausgenützt.

CVE Referenz-Nummer: CVE-2010-3654

Auswirkungen

Diese Lücke bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Laut aktuellen Aussagen von Adobe wird die Lücke derzeit schon aktiv für Adobe Reader und Acrobat ausgenützt. Aktive Attacken gegen Flash sind derzeit noch keine bekannt.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player bis zur Version 10.1.85.3 für Windows, Macintosh, Linux und Solaris
Adobe Flash Player bis zur Version 10.1.95.2 für Android Smartphones
Adobe Reader 9.4 und frühere 9.x Versionen für Windows, Macintosh und UNIX
Adobe Acrobat 9.4 und frühere 9.x Versionen für Windows und Macintosh OS X

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software. Es gibt allerdings derzeit eine Abhilfe:
Betroffene Benutzer können die Zugriffsrechte der Datei "authplay.dll" einschränken (alle Rechte entfernen) oder die Datei umbenennen. Alternativ können Benutzer natürlich auch alternative PDF-Viewer verwenden.

Adobe wird Updates am 15. November veröffentlichen.

Da es bei Flash derzeit kaum Alternativen gibt, empfiehlt CERT.at besorgten PC-Benutzern Tools wie zum Beispiel Flashblock für Mozilla Firefox oder ähnliche Tools für andere Browser zu verwenden. Flashblock erlaubt kein automatisches Ausführen von Flash Inhalten auf Webseiten, ausser der Benutzer klickt diese explizit an.

Hinweis

An dieser Stelle möchte CERT.at Benutzer von Shockwave Player bis Version 11.5.9.615 erinnern, dass Adobe heute neue Updates zur Verfügung gestellt hat, die eine weitere kritische Lücke in Shockwave beheben.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-05.html

(Warnungen/Warnungen) - Sicherheitsupdate für TYPO3 ab 6. Oktober 2010 verfügbar

2013-04-15T14:16:03Z

Sicherheitsupdate für TYPO3 ab 6. Oktober 2010 verfügbar

5. Oktober 2010

Beschreibung

Wie die TYPO3-Entwickler melden (http://lists.typo3.org/pipermail/typo3-announce/2010/000167.html), wird ab morgen, 6. 10. 2010, eine neue Version des Content Management Systems zur Verfügung gestellt, die eine Sicherheitslücke behebt. Details zu dieser Lücke wird es ebenfalls erst morgen geben.
Die Entwickler ersuchen, sich darauf vorzubereiten, direkt nach Veröffentlichung der neuen Version alle TYPO3-Installationen entsprechend upzudaten, da die behobene Sicherheitslücke als kritisch eingestuft wird.

Ein Security Bulletin wird entsprechend auf http://typo3.org/teams/security/security-bulletins/ veröffentlicht werden.

Auswirkungen

Da noch keine Details zur behobenen Lücke bekannt sind, kann hier noch keine Aussage gemacht werden.
Es ist jedoch angesichts der Umstände davon auszugehen, dass die Lücke für unprivilegierte Benutzer ausnutzbar ist.

Betroffene Systeme

Systeme, auf denen das Content Management System TYPO3 installiert ist:

TYPO3 der Reihe 4.2, 4.3 und 4.4, einschliesslich nicht mehr offiziell unterstützter Versionen

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, sobald zur Verfügung gestellt, Download via http://typo3.org/download/packages/.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

TYPO3 Security Bulletins
http://typo3.org/teams/security/security-bulletins/
TYPO3 Security Bulletin Pre-Announcement
http://lists.typo3.org/pipermail/typo3-announce/2010/000167.html

(Warnungen/Warnungen) - "Out-of-band"-Patch für Microsoft ASP.NET Problem

2013-04-15T14:16:03Z

"Out-of-band"-Patch für Microsoft ASP.NET Problem

28. September 2010

Microsoft veröffentlicht einen "Out-of-band" Patch für den aktuellen Bug in ASP.NET.

Hintergrund und Dimension

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesem Patch behobenen Lücke als zumindest teilweise kritisch ein.

Microsoft weist auch ausdrücklich darauf hin, dass zumindest vereinzelt bereits aktiv versucht wird, diese Lücke auszunutzen.

Beschreibung

Durch den Fehler können gewisse Statusinformationen (ViewStates) und Cookies ausgelesen und unberechtigt Dateien vom Server heruntergeladen werden. Es kann auch möglich sein, durch gefälschte Authentication Tickets administrativen Zugriff auf Applikationen zu erlangen (siehe http://ekoparty.org/juliano-rizzo-2010.php).

Während die Lücke auch in allen aktuellen Client-Versionen von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur ausgenutzt werden, wenn ein Webserver (IIS) auf dem System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall sein.

Betroffene Software

Windows XP
- Windows XP Media Center Edition 2005
- Windows XP Tablet PC Edition 2005
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista
- Windows Vista Service Pack 1
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1
- Windows Vista x64 Edition Service Pack 2
Windows Server 2008
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems
- Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
Windows Server 2008 R2
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based systems

Abhilfe

Microsoft stellt den Patch momentan nur über das Microsoft Download Center (http://www.microsoft.com/downloads/en/default.aspx) bereit, einen Zugriff über die gewohnte "Automatische Updates"-Funktion soll es erst später geben.

CERT.at rät daher dazu, diesen Patch "händisch" herunterzuladen und zeitnah auf entsprechenden Server Systemen zu testen/installieren.
Client-PCs ohne aktiven Webserver können auf die Verfügbarkeit via "Automatische Updates" warten.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Vulnerability in ASP.NET Could Allow Information Disclosure (englisch)
http://www.microsoft.com/technet/security/advisory/2416728.mspx
Microsoft Security Bulletin MS10-070 (englisch)
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Microsoft Download Center (englisch/deutsch)
http://www.microsoft.com/downloads/en/default.aspx
Padding oracles everywhere (englisch)
http://ekoparty.org/juliano-rizzo-2010.php

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücke in Adobe Flash und Reader

2013-04-15T14:16:03Z

Erneut kritische Sicherheitslücke in Adobe Flash und Reader

14. September 2010

Beschreibung

Wie Adobe berichtet, wurde eine weitere Lücke in Adobe Flash Player (bis Version 10.1.82.76) und Adobe Reader bis inklusive Version 9.3.4 gefunden. Diese wird bereits unter Windows aktiv ausgenützt.

Auswirkungen

Diese Lücke (CVE-2010-2884) bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Da in Webseiten integrierte Flash Inhalte am Internet äußerst beliebt sind (Videoportale wie etwa YouTube, Werbung, Spiele, etc.) und meist auch durch jede Firewall durchgelassen werden, erwartet CERT.at, dass bald entsprechend präparierte Flash Dateien und Links etwa per Spam-Mail aktiv beworben werden.

Betroffene Systeme

Betroffen sind alle Versionen von Adobe Flash Player bis zur aktuellen Version 10.1.82.76 auf den Plattformen Windows, Unix, Apple, Solaris und sogar Android Smartphones. Laut Adobe lässt sich die Lücke genauso im Adobe Reader bis zur Version 9.3.4 auf Windows, Apple und Unix als auch auf Adobe Acrobat bis zur Version 9.3.4 auf Windows und Apple ausnützen.

Publik gewordenen sind derzeit nur erfolgreiche Angriffe auf Adobe Flash Player für Windows.

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software. Ob ein Abschalten von JavaScript im Reader hilft, ist nicht bestätigt. Adobe wird Updates am 27. September und am 4.Oktober veröffentlichen. Bis dahin empfiehlt CERT.at, alternative Software zum Öffnen von PDF Dateien zu verwenden.

Da es bei Flash derzeit kaum Alternativen gibt, empfiehlt CERT.at besorgten PC Benutzern Tools wie zum Beispiel Flashblock für Mozilla Firefox oder ähnliche Tools für andere Browser zu verwenden. Flashblock erlaubt kein automatisches Ausführen von Flash Inhalten auf Webseiten, ausser der Benutzer klickt diese explizit an.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-03.html
Meldung auf Heise
http://www.heise.de/security/meldung/Angreifer-nutzen-weitere-Zero-Day-Luecke-in-Adobe-Flash-und-Reader-Update-1078219.html
Warning von AusCERT
http://www.auscert.org/render.html?it=13330

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Reader und Acrobat

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Adobe Reader und Acrobat

9. September 2010

Beschreibung

Wie Adobe berichtet, wurde eine weitere Lücke in Adobe Reader / Acrobat bis inklusive jeweils Version 9.3.4 gefunden. Diese wird bereits aktiv ausgenützt.

Auswirkungen

Diese Lücke bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.

Da sich PDF-Dateien auch einfach in Webseiten integrieren lassen, und meist auch von Mailfiltern akzeptiert werden, erwartet CERT.at, dass bald entsprechend präparierte Dateien und Links etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Betroffen sind alle Versionen von Adobe Reader und Acrobat jeweils bis inklusive Version 9.3.4 auf den Plattformen Windows, Unix und Macintosh.

Publik gewordenen sind derzeit nur erfolgreiche Angriffe auf Adobe Reader/Acrobat für Windows. Diese nutzen signierte PDFs und funktionieren trotz Datenausführungsverhinderung (DEP) und Speicherverwürfelung (ASLR) auch auf Windows 7.

Abhilfe

Derzeit gibt es von Adobe noch keine korrigierte Software. Ob ein Abschalten von JavaScript im Reader hilft, ist nicht bestätigt.

Aktuell empfiehlt CERT.at daher, alternative Software zum Öffnen von PDFs zu verwenden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-02.html
Meldung auf Heise
http://www.heise.de/security/meldung/Adobe-warnt-vor-Zero-Day-Luecke-in-Reader-und-Acrobat-1075700.html
Secunia
http://secunia.com/advisories/41340/
SecureList Blog
http://www.securelist.com/en/blog/2287/Adobe_Reader_zero_day_attack_now_with_stolen_certificate
Sophos Blog
http://www.sophos.com/blogs/chetw/g/2010/09/08/adobe-advises-reader-acrobat-vulnerability/

(Warnungen/Warnungen) - Sicherheitsupdate für Adobe Shockwave Player

2013-04-15T14:16:03Z

Sicherheitsupdate für Adobe Shockwave Player

25. August 2010

Beschreibung

Adobe stellt nun auch eine neue Version des Shockwave Players zur Verfügung. Da diese Software weit verbreitet ist, ersuchen wir um Beachtung der folgenden Warnung.

Auswirkungen

Adobe weist darauf hin, dass sich mehrere der behobenen Fehler für Remote Code Execution ausnutzen lassen.

Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Shockwave Player bis inkl. Version 11.5.7.609, für Windows und Macintosh

Wir möchten in diesem Kontext auch nochmals auf unsere Warnungen vom 18. August (http://www.cert.at/warnings/all/20100818.html, Updates für Adobe Reader und Acrobat) und vom 11. August (http://www.cert.at/warnings/all/20100811.html, Updates für Adobe Flash Player, AIR, ColdFusion und Flash Media Server) aufmerksam machen.

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, sobald von Adobe zur Verfügung gestellt, Details bitte dem Warning von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb10-20.html

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-20.html

(Warnungen/Warnungen) - Sicherheitsupdates für Adobe Reader und Acrobat ab 19. August 2010 verfügbar

2013-04-15T14:16:03Z

Sicherheitsupdates für Adobe Reader und Acrobat ab 19. August 2010 verfügbar

18. August 2010

Beschreibung

Adobe meldet, dass morgen, 19. August 2010, Sicherheitsupdates für Reader und Acrobat zur Verfügung gestellt werden.

Auswirkungen

Adobe weist darauf hin, dass sich zumindest eine der zu schließenden Lücken fuer Remote Code Execution ausnutzen lässt.

PDF-Dateien lassen sich einfach in Webseiten integrieren, und auch per etwa Spam-Mail verteilen, wir erwarten daher, dass bald entsprechend präparierte Webseiten und Spam-Mails in Umlauf gebracht werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Reader 9 bis inkl. Versionen 9.3.3, für Windows, Macintosh und UNIX
Adobe Acrobat 9 bis inkl. Version 9.3.3 für Windows und Macintosh
Adobe Reader 8 bis inkl. 8.2.3 für Windows und Macintosh
Adobe Acrobat 8 bis inkl. 8.2.3 für Windows und Macintosh

Wir möchten in diesem Kontext auch nochmals auf unser Warning vom 11. August aufmerksam machen (http://www.cert.at/warnings/all/20100811.html), in dem wir auf Updates zu anderen Adobe-Produkten (Flash Player, AIR, ColdFusion, Flash Media Server) hinweisen.

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, sobald von Adobe zur Verfügung gestellt, Details bitte dem Warning von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb10-17.html

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe zu Reader und Acrobat (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-17.html

(Warnungen/Warnungen) - Mehrere kritische Sicherheitslücken in Adobe Flash Player, AIR, Flash Media Server und ColdFusion

2013-04-15T14:16:03Z

Mehrere kritische Sicherheitslücken in Adobe Flash Player, AIR, Flash Media Server und ColdFusion

11. August 2010

Beschreibung

Wie Adobe berichtet, gibt es eine ganze Reihe an sicherheitsrelevanten Lücken in den aktuellen Versionen von Flash Player, AIR und Flash Media Server, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen, sowie ein Problem mit Directory Traversal und dem unbeabsichtigten Preisgeben von Informationen mit ColdFusion.

Auswirkungen

Mehrere dieser Lücken bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Die beschriebene Lücke in ColdFusion bezieht sich auf Directory Traversal und das unbeabsichtigte Preisgeben von Informationen.

Speziell, da sich Flash-Dateien auch einfach in Webseiten integrieren lassen, erwartet CERT.at, dass bald entsprechend präparierte Webseiten und Links darauf etwa per Spam-Mail verteilt werden. Flash Player verfügt zwar über eine automatische Update-Funktion, diese sucht in der Default-Einstellung allerdings nur alle 7 Tage, ob etwaige neue Versionen zur Verfügung stehen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player bis inkl. Version 10.1.53.64, für Windows, Macintosh, Linux und Solaris
Adobe AIR bis inkl. Version 2.0.2.12610, fü Windows, Macintosh und Linux
Adobe Flash Media Server bis inkl. Version 3.5.3 bzw. 3.0.5, fü Windows und Unix
Adobe ColdFusion bis inkl. Versionen 8.0, 8.0.1, 9.0 bzw. 9.0.1

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte den jeweiligen Warnings von Adobe zu entnehmen:

Flash Player/AIR: http://www.adobe.com/support/security/bulletins/apsb10-16.html
Flash Media Server: http://www.adobe.com/support/security/bulletins/apsb10-19.html
ColdFusion: http://www.adobe.com/support/security/bulletins/apsb10-18.html

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe zu Flash Player und AIR (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-16.html
Meldung von Adobe zu Flash Media Server (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-19.html
Meldung von Adobe zu ColdFusion (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-18.html

(Warnungen/Warnungen) - "Out-of-band"-Patch für Microsoft Windows Shell (".LNK-Problem") ab Montag, 2. 8. 2010, verfügbar

2013-04-15T14:16:03Z

"Out-of-band"-Patch für Microsoft Windows Shell (".LNK-Problem") ab Montag, 2. 8. 2010, verfügbar

30. Juli 2010

Angesichts der Schwere der Sicherheitslücke, der hohen Verbreitung von Microsoft Software sowie der besonderen Umstände ("Out-of-band"-Patch) ersucht CERT.at um Beachtung der folgenden Meldung:

Microsoft hat soeben angekündigt, am Montag, 2. August 2010, um etwa 19.00 Uhr MESZ (10am PDT) einen "Out-of-band"-Patch zu veröffentlichen, der das aktuelle Problem mit Windows Shell (sogenanntes ".LNK-Problem", vgl. http://www.cert.at/warnings/all/20100720.html) beheben soll.

Hintergrund und Dimension

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesen Patch behobenen Lücke als zumindest teilweise kritisch ein.
Es wird auch ausdrücklich davor gewarnt, dass momentan vermehrt Schadsoftware in Umlauf gebracht wird, die dieses Problem ausnützt.

Beschreibung

Der Fehler ist in der Windows Shell, und damit überalll relevant, wo Icons zu .LNK Files angezeigt werden. Dies trifft beispielsweise zu auf:

Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server können aber auch per Email verschickt werden.
gewisse Dokumenttypen, die eingettete Shortcuts unterstützen, als Email-Attachment

Betroffene Software

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

Es sind auch nicht mehr offiziell von Microsoft unterstützte Betriebssystemversionen wie Windows 2000 oder Windows XP Service Pack 2 betroffen.

Abhilfe

Zeitnahe Installation des von Microsoft ab Montag zur Verfügung gestellten Patches.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Out of Band Release to address Microsoft Security Advisory 2286198 (englisch)
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx
Microsoft Security Advisory 2286198 (englisch) - Vulnerability in Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2286198.mspx
CERT.at-Warnung vom 20. Juli 2010 - Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows
http://www.cert.at/warnings/all/20100720.html

(Warnungen/Warnungen) - Sicherheitslücken in Typo3

2013-04-15T14:16:03Z

Sicherheitslücken in Typo3

28. Juli 2010

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Typo3 enthät Bugs die zu SQL Injection, Arbitrary Code Execution und Cross-Site-Scripting führen können sowie Probleme mit Information Disclosure, unsicheren Zufallszahlen und Authentication/Session Management.

SQL Injection

Benutzer, die das Recht haben, Records zu editieren, die eine bestimmte WHERE-Klausel enthalten bzw. das Auto-Suggest-Feature benutzen, können diesen Bug ausnutzen.

Arbitrary Code Execution

In gewissen Webserver-Setups ist es für gültige Benutzer möglich, Dateien hochzuladen, die dann als PHP mit den Rechten des Webservers selbst ausgeführt werden.

Cross Site Scripting

Für gültige Backend-Benutzer ist es möglich, durch unzureichende Prüfung von Benutzereingaben, XSS-Bugs an mehreren Stellen auszunützen.

Information Disclosure, Insecure Randomness und Authentication/Session Management

Details siehe das Advisory von Typo3.org.

Auswirkungen

Betroffene Systeme

Alle Typo3-Installationen mit entsprechender Konfiguration bis einschliesslich der Versionen

4.1.13
4.2.12
4.3.3
4.4

Abhilfe

Upgrade auf die entsprechend angepassten Versionen

4.1.14
4.2.13
4.3.4
4.4.1

Allgemeiner Hinweis zur Hebung der Systemsicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Typo3 (Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/

(Warnungen/Warnungen) - Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows

2013-04-15T14:16:03Z

Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows

20. Juli 2010

Fehler in der Windows Shell bei der Verarbeitung von .LNK Dateien wird aktiv ausgenutzt.

Beschreibung

Praktisch alle Versionen von Microsoft Windows enthalten eine Sicherheitslücke in der Behandlung von .LNK Files, durch die schon beim Anzeigen des Icons (etwa im Explorer-Fenster) Schadcode gestartet werden kann. Microsoft hat dazu ein Advisory veröffentlicht; korrigierte Versionen der fehlerhaften Windows-Komponente sind noch nicht verfügbar.

Der Fehler wurde von VirusBlokAda im Kontext einer Analyse einer Schadsoftware (Stuxnet) entdeckt. Diese enthält Root-Kit Komponenten (interessanterweise als korrekt signierte Treiber) und scheint es primär auf Siemens SCADA Systeme abgesehen zu haben. Die Verbreitung betrifft vor allem Iran und Indonesien. Diese Schadsoftware wird mittlerweilen gut von AV-Software erkannt.

Inzwischen sind Details zu dieser Schwachstelle allgemein bekannt und Demo Exploits sind verfügbar (sogar schon als Metasploit-Modul). Daher ist schon weitere Malware im Umlauf, die diese Lücke aktiv ausnutzt.

Details

Der Fehler ist in der Windows Shell, und damit überall relevant, wo Icons zu .LNK Files angezeigt werden. Das trifft etwa zu auf:

Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server könnten aber auch per Email verschickt werden.
.LNK-Files als Email-Attachments

Aktuell sehen wir keine Massenausbreitung von Malware, diese Lücke könnte aber durchaus von einem aggressiven Wurm zur Verbreitung ausgenutzt werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunutzende Schwachstelle schon bald in großem Stil ausgenutzt wird.

Betroffene Systeme

Praktisch alle Microsoft Windows Systeme. Zu beachten ist im Microsoft Advisory, dass Windows XP SP2 und Windows 2000 nur deswegen dort nicht angeführt werden, da diese nicht mehr offiziell von Microsoft unterstützt werden.

Abhilfe

Das Microsoft Advisory beschreibt unter "Workarounds", wie das Anzeigen von Icons von .LNK Files und das Webclient Service abgeschalten werden kann.

Laut Sophos hilft es auch, per Gruppenrichtlinien das Ausführen von Programmen auf lokale Datenträger einzuschränken.

Diese Maßnahmen haben potentiell unerwünschte Seiteneffekte (im besten Fall nur die Verwirrung von Usern durch ungewohnte Icons), und sollten daher vor einem Ausrollen getestet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/2286198.mspx
US-CERT Vulnerability Note VU#940193
http://www.kb.cert.org/vuls/id/940193
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.html
Demo Exploit
http://www.exploit-db.com/exploits/14403/
Metasploit
Metasploit Modul
Sophos Blog
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/
F-Secure Blog
http://www.f-secure.com/weblog/archives/00001987.html

(Warnungen/Warnungen) - Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter

2013-04-15T14:16:03Z

Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter

10. Juni 2010
Update am 11. Juni 2010

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Heise Security berichtet, gibt es aktuell ein Problem mit dem Microsoft Windows Hilfe- und Supportcenter, speziell mit der Funktion des Nachladens von Hilfedokumenten aus dem Internet per hcp://-URLs.
Dieses Problem kann dazu benutzt werden kann, durch Betrachten einer entsprechend präparierten Webseite beliebigen Code mit den Rechten des Benutzers auszuführen.

Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Alle Systeme, auf denen das Microsoft Hilfe- und Supportcenter installiert ist. Dies werden vermutlich alle Systeme von Windows XP/Server 2003 aufwärts sein, wir können nicht ausschliessen, dass dies auch ältere Windows-Versionen (etwa Windows 2000) betrifft.

Der Beispiel-Exploit funktioniert derzeit auf einem vollständig gepatchten System mit

Microsoft Windows XP SP3, Internet Explorer 8, Media Player 9

Der Author des Beispiel-Exploits gibt jedoch an, dass eine Portierung auf andere Konstellationen trivial sein sollte.

Update (11. Juni 2010):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.
Laut diesem soll das Problem auf Windows 2000, Vista, 7 und Server 2008 nicht auftreten, es sind nur Windows XP und Server 2003 betroffen.

Abhilfe

Bis ein Patch seitens Microsoft zur Verfügung steht, kann das Nachladen von Hilfe-Dokumenten durch Entfernen des Registry-Keys "HKEY_CLASSES_ROOT/HCP/shell/open" deaktiviert werden.
Sollte eine Organisation auf diese Funktionalität angewiesen sein, stellt der Author auch dafür einen Hotfix bereit, den wir jedoch nicht getestet haben und daher keine Aussage darüber machen können.

Update (11. Juni 2010):
Laut dem mittlerweile vorliegenden Advisory von Microsoft reicht es nicht, den oben angeführten Registry-Key zu entfernen, es muss der komplette Sub-Tree "HKEY_CLASSES_ROOT/HCP" gelöscht werden, Details bitte dem Advisory von Microsoft zu entnehmen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei Heise Security
http://www.heise.de/security/meldung/Windows-Hilfe-als-Einfallstor-fuer-Angreifer-1018965.html
Originales Advisory von Tavis Ormandy (englisch)
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/ADVISORY
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2219475.mspx

(Warnungen/Warnungen) - Update: Kritische Sicherheitslücke in Adobe Flash Player, Reader und Acrobat - aktiv ausgenützt

2013-04-15T14:16:03Z

Update: Kritische Sicherheitslücke in Adobe Flash Player, Reader und Acrobat - aktiv ausgenützt

7. Juni 2010
Update am 16. Juni 2010

Beschreibung

Wie Adobe berichtet, gibt es eine kritische Lücke in aktuellen Versionen von Flash Player (10.0.x, 9.x), die auch Reader und Acrobat betrifft, und die es einem Angreifer ermöglichen kann, ein System zu übernehmen.
Weiters warnt Adobe davor, dass diese Lücke bereits aktiv ausgenutzt wird.

Auswirkungen

Diese Lücke ermöglicht es einem Angreifer, ein System zum Absturz zu bringen und zu übernehmen.

Mit der Verteilung entsprechend präparierter Links und PDF-Dateien, etwa per Spam-Mail, ist zu rechnen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Flash Player für Windows, Macintosh und UNIX, Version 9.x bis inkl. Version 10.0.45.2
Reader and Acrobat für Windows, Macintosh und UNIX, Version 9.3.2 und früher

Abhilfe

Upgrade von Flash Player, Reader und Acrobat auf eine entsprechend nachgebesserte Version, sobald Adobe diese zur Verfügung stellt.
Upgrade auf den "Release Candidate" von Flash Player 10.1 (siehe http://labs.adobe.com/technologies/flashplayer10/).
Weiters kann das Problem für Reader und Acrobat (nicht jedoch für Flash Player) durch Löschen/Verschieben einer bestimmten Datei (authplay.dll) mitigiert werden, Details siehe Meldung von Adobe.

Update (16. Juni 2010):
Adobe hat nun Version 10.1 von Flash Player (sowie AIR) herausgebracht, das dieses und mehrere andere Probleme behebt, siehe http://www.adobe.com/support/security/bulletins/apsb10-14.html.

Wir empfehlen, dieses Update so zeitnah wie möglich einzuspielen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-01.html
Update: Meldung von Adobe zu Flash Player 10.1 (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-14.html

(Warnungen/Warnungen) - Erneut mehrere kritische Sicherheitslücken in Adobe Reader und Acrobat

2013-04-15T14:16:03Z

Erneut mehrere kritische Sicherheitslücken in Adobe Reader und Acrobat

14. April 2010

Beschreibung

Wie Adobe berichtet, gibt es eine ganze Reihe an sicherheitsrelevanten Lücken in den aktuellen Versionen von Reader und Acrobat bis inkl. Version 9.3.1, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen.

Auswirkungen

Mehrere dieser Lücken bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.
Da sich PDF-Dateien auch einfach in Webseiten integrieren lassen, und meist auch von Mailfiltern akzeptiert werden, erwartet CERT.at, dass bald entsprechend präparierte Dateien und Links etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Reader:
- für Windows bis inkl. Version 9.3.1
- für Unix bis inkl. Version 9.3.1
- für Macintosh bis inkl. Version 9.3.1
Acrobat:
- für Window bis inkl. Version 9.3.1
- für Macintosh bis inkl. Version 9.3.1

Abhilfe

Upgrade von Reader und Acrobat auf die aktuelle Version 9.3.2, etwa über die in den Produkten integrierte Update-Funktionalität (Hilfe -> Nach Updates suchen).

Wir weisen darauf hin, dass es für User, die aus verschiedenen Gründen nicht auf die aktuelle Version 9.3.2 upgraden können, auch ein Update für die 8.2 Versionsreihe gibt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-09.html

(Warnungen/Warnungen) - Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern

2013-04-15T14:16:03Z

Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern

31. März 2010

Kritische Design-Sicherheitslücken in PDF Viewern

Beschreibung

Wie Didier Stevens in seinem Blogeintrag berichtet, gibt es eine sicherheitsrelevante Design-Lücke im PDF Format, welche bei aktuellen Versionen von Adobe Reader und Acrobat bis inkl. 9.3 und anderen alternativen PDF Viewern, wie z.B. Foxit, ausnützbar ist. Ein Angreifer kann hierbei aus dem PDF Viewer eines Benutzers beliebige Kommandos starten und somit auch Schadcode auf den Rechner des Benutzers kopieren und installieren. Es reicht dabei, dass der Benutzer ein entsprechend modifiziertes PDF Dokument ansieht. Üblicherweise reicht es sogar, wenn das PDF nur auf einer Website liegt.

Da PDF in Unternehmen sehr weit verbreitet ist, schätzt CERT.at diese Bedrohung als kritisch ein. Zusätzlich ist mittlerweile Beispielcode aufgetaucht. Somit kann die Lücke via Internet leicht ausgenutzt werden.

Auswirkungen

Die Lücke ist an sich eine Design Schwachstelle im PDF Format. Mit der Option "Launch Actions/Launch File" ist es laut PDF Spezifikation möglich, beliebige Programme aus dem PDF Viewer zu starten. Dieser Umstand läßt sich aber auch zum Nachladen und Installieren von Schadsoftware ausnützen. Im Adobe Reader ist zwar die Möglichkeit vorhanden, den Benutzer vor der Ausführung von Programmen mit einem Popup Fenster zu fragen, ob er dies will, doch dies läßt sich leicht umgehen.

Betroffene Systeme

Systeme, auf denen folgende PDF Viewer installiert sind:

Adobe Reader: für Windows alle Versionen bis zur aktuellen Version 9.3
Adobe Acrobat: für Windows alle Versionen bis zur Version 9.3
Foxit Reader: alle Versionen

Es sind vermutlich noch weitere PDF Viewer auf verschiedenen Betriebsystemen betroffen.

Nicht betroffen ist das Preview Programm auf Mac OS X.

Update (6.4.2010):
Mittlerweile steht eine neue Version 3.2.1.0401 von Foxit Reader zur Verfügung, die diese Sicherheitslücke behebt.

Abhilfe

Da es sich um eine Design Schwachstelle im PDF Format handelt, läßt sich die Option zum Starten externer Programme nur deaktivieren. Dies kann auf folgenden zwei Wegen erreicht werden:

in den Einstellungen von Adobe Reader: Einstellungen/Berechtigungen -> "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" deaktivieren
Unternehmensweit per Windows Registry: HKEY_CURRENT_USER\\Software\\Adobe\\Acrobat Reader\\9.0\\Originals\\bAllowOpenFile auf "0" setzen. Sollte dieser Registry Key nicht existieren, kann er einfach angelegt werden (bitte beachten sie, den aktuellen Pfad gegebenenfalls an die Version des installierten Readers anzupassen).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Heise
http://www.heise.de/security/meldung/PDF-Exploit-funktioniert-ohne-konkrete-Sicherheitsluecke-968031.html
Originalbericht von Didier Stevens
http://blog.didierstevens.com/2010/03/29/escape-from-pdf/

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

2013-04-15T14:16:03Z

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

11. März 2010
Update am 15. März 2010

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer 6 und 7

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Seit kurzem gibt es eine Remote-exploitable Sicherheitslücke in Internet Explorer 6 und 7. Da nun aber seit kurzem Sample Code öffentlich für das Metasploit Framework verfügbar ist, und die Sicherheitslücke auch schon aktiv ausgenutzt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten und entsprechend die eigenen Systeme zu überprüfen und zu reagieren. Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunützende Schwachstelle schon bald in goßem Stil ausgenützt wird.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer Version 6 oder 7 installiert ist und benutzt wird.
Der Metasploit Sample Code funktioniert derzeit auf:

Microsoft Internet Explorer 7 unter Windows Vista SP2
Internet Explorer 7 unter Windows XP SP3
Internet Explorer 6 unter Windows XP SP3

Abhilfe

Update (15.3.2010):
Microsoft hat mittlerweile ein Fix-It Tool herausgegeben, mit dem die unten beschriebenen Schritte durchgeführt werden können.

Umgehen kann man das Problem weiters (bzw. werden die Auswirkungen einer Attacke abgeschwächt), indem man:

Data Execution Prevention (DEP) aktiviert: siehe die Empfehlung von Microsoft
die Zugriffsrechte auf die Datei iepeers.dll restrikiver setzt: Details siehe Empfehlung von Microsoft
ActiveScripting (JavaScript) im Internet Explorer abdreht (dies kann aber Auswirkungen auf die Verfügbarkeit von Webseiten haben)

Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft
http://www.microsoft.com/technet/security/advisory/981374.mspx
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-fuer-neue-IE-Luecke-952065.html

(Warnungen/Warnungen) - Sicherheitslücken in Typo3

2013-04-15T14:16:03Z

Sicherheitslücken in Typo3

24. Februar 2010

Sicherheitslücken in Typo3

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Typo3 enthät Bugs im Bereich Authentication, sowie Probleme mit Cross-Site-Scripting und Information Disclosure.

Information Disclosure

Wenn ein neuer Backend-User angelegt wird, kann der ausführende Benutzer alle persönlichen Daten aller existierenden Backend-User (ausser Passwörtern) auslesen.

Cross-Site-Scripting via Backend

Benutzer mit gültigem Backend-Account können aufgrund mangelhafter Prüfung von Usereingaben Cross-Site-Scripting an mehreren Stellen auslösen

Cross-Site-Scripting via Frontend

Wird Typo3 unter PHP als CGI betrieben, kann unter Umständen durch Übergabe eines URL-Parameters ein Fehler ausgelöst werden und dadurch beliebiges HTML angezeigt werden.

Authentication Bypass

Wir in Typo3 in Version 4.3.x die Erweiterung "saltedpasswords" verwendet, ist es unter Ümständen möglich, ohne Kenntnis des tatsächlichen Passworts, nur mit dem Salted/Hashed Passwort, gegen das System zu authentisieren.
Diese Erweiterung ist per Default allerdings nicht aktiv.

Auswirkungen

Vor allem das Problem mit Cross-Site-Scripting via Frontend wird wohl bald für Defacements ausgenützt werden.
Weitere Details können dem Advisory von Typo3 entnommen werden.

Betroffene Systeme

Alle Typo3-Versionen mit entsprechender Konfiguration vor Version 4.2.12 bzw. 4.3.2.

Abhilfe

Upgrade auf aktuelle Version 4.2.12 bzw. 4.3.2.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-004/

(Warnungen/Warnungen) - Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

2013-04-15T14:16:03Z

Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

17. Februar 2010

Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

Mehrere Sicherheitslücken - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Adobe berichtet, gibt es zwei sicherheitsrelevante Lücken in aktuellen Versionen von Reader und Acrobat bis inkl. 9.3, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen.

Auswirkungen

Eine der Lücken betrifft unauthorisierte Cross-Domain-Requests, über die andere hat Adobe noch keine Details bekanntgegeben, ausser dass diese potentiell einem Angreifer erlauben könnte, die Kontrolle über ein System zu übernehmen.

Wir weisen darauf hin, dass es zu Cross-Domain-Requests am 11. Februar eine Meldung von Adobe bezüglich Flash Player und AIR gab, und empfehlen, auch diese Updates zu installieren.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Reader:
- für Windows Version 9.3
- für Unix Version 9.3
- für Macintosh Version 9.3
Acrobat:
- für Window Version 9.3
- für Macintosh Version 9.3
- für Windows Version 8.2
- für Macintosh Version 8.2
Flash Player bis inkl Version 10.0.42.34
AIR bis inkl. Version 1.5.3.9120

Abhilfe

Upgrade von Reader und Acrobat auf die aktuelle Version 9.3.1 bzw. 8.2.1, Flash Player auf Version 10.0.45.2 sowie AIR auf Version 1.5.3.9130.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-07.html
Meldung von Adobe zu Flash Player/AIR (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-06.html

(Warnungen/Warnungen) - Mehrere Sicherheitslücken in OpenOffice.org

2013-04-15T14:16:03Z

Mehrere Sicherheitslücken in OpenOffice.org

15. Februar 2010

Mehrere Sicherheitslücken in OpenOffice.org

Mehrere Sicherheitslücken - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Debian-Projekt berichtet, gibt es eine Reihe von sicherheitsrelevanten Lücken in allen OpenOffice.org-Versionen bis inkl. 3.1, die Auswirkungen bis hin zu Code Execution haben können.

Auswirkungen

Da je nach Angriffs-Szenario (zB präparierte Dateien werden per Email verschickt) ein Angreifer möglicherweise beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Systeme, auf denen das OpenOffice.org-Paket installiert ist und benutzt wird.

Abhilfe

Upgrade von OpenOffice.org auf die aktuelle Version 3.2 bzw. entsprechend angepaßter Versionen (etwa bei Debian).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Debian-Projekts (englisch)
http://www.debian.org/security/2010/dsa-1995
Security Bulletin von OpenOffice.org (englisch)
http://www.openoffice.org/security/bulletin.html

(Warnungen/Warnungen) - Sicherheitslücke in Microsoft Internet Explorer

2013-04-15T14:16:03Z

Sicherheitslücke in Microsoft Internet Explorer

4. Februar 2010

Sicherheitslücke in Microsoft Internet Explorerr

Information Disclosure - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Microsoft berichtet, gibt es eine Lücke in allen aktuellen Internet Explorer - Versionen, mittels welcher es einem Angreifer möglich ist, Dateien auszulesen, sofern deren Dateinamen bekannt sind - was zB bei Konfigurationsdateien regelmässig der Fall sein wird.
Auch gezieltes Auslesen von etwa den Dateien, in denen gängige Browser Passwörter speichern, ist in diesem Szenario denkbar.

Auswirkungen

Da der Angreifer prinzipiell beliebige Dateien auf betroffenen Systemen auslesen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.

Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer ab Version 5.01

Abhilfe

Microsoft empfiehlt, die Sicherheitseinstellungen in Internet Explorer auf "Hoch" zu setzen, damit vor dem Ausführen von ActiveX und Active Scripting (JavaScript) beim Benutzer nachgefragt wird, Details siehe Microsoft-Meldung.
Auf Windows Vista und später wird Internet Explorer per Default im "Protected Mode" betrieben, was die Auswirkungen dieses Fehlers limitieren sollte.
Für Windows XP - Systeme wird empfohlen, das "Internet Protocol Lockdown"-Feature zu aktivieren, Details siehe wiederum Microsoft-Meldung.

Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/980088.mspx

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

2013-04-15T14:16:03Z

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

15. Jänner 2010, Updates am 19. und 21. Jänner.

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

Potentielle Remote Code Execution - wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Wie Microsoft berichtet, gibt es aktuell eine Lücke in allen aktuellen Internet Explorer - Versionen, mittels welcher Remote Code Execution möglich ist. Laut anderen Meldungen (zB bei Heise Security) wurde diese Lücke bereits für gezielte Attacken eingesetzt, und es ist durch das allgemeine Bekanntwerden nun damit zu rechnen, dass breiter angelegte Angriffe bald auftauchen werden.

Update
Code zum Ausnützen dieser Schwachstelle wurde bereits in das Metasploit Framework integriert.

Auswirkungen

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.

Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer ab Version 6

Update
Die Versionen 7 und 8 des Microsoft Internet Explorers enthalten zwar auch den Fehler, dieser gilt aber wegen weiterer Schutzmaßnahmen als nicht so leicht ausnutzbar.

Es ist aber zu erwarten, dass bald auch funktionierende Exploits für diese Versionen geschrieben und publiziert werden.

Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) sind auch folgende Windows-Programme potentiell verwundbar, da sie auf die gleiche Codebasis zum Anzeigen von HTML-Dokumenten zurückgreifen:

Microsoft Outlook (bis einschließlich Outlook 2003)
Microsoft Outlook Express
Microsoft Windows Mail
Microsoft Windows Live Mail
Microsoft Hilfesystem
Microsoft Sidebar

Details stehen in der technischen Warnung des BSI.

Abhilfe

Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting für Internet-Zone deaktivieren), da die aktuell bekannten Exploits JavaScript verwenden. Allerdings werden ohne JavaScript viele Webseiten nicht mehr wie gewohnt funktionieren. Microsoft empfiehlt auch, für die Versionen 6 und 7 DEP (Data Execution Prevention) zu aktivieren, Details siehe Microsoft-Meldung.

Update
In den oben genannten Mailprogrammen sollte für die Anzeige von Mails die höchsten Sicherheitseinstellungen gelten ("Eingeschränkte Zone", kein HTML). Details siehe Meldung des BSI.

Microsoft arbeitet mit Hochdruck an einem Out-of-band Bugfix. Wir empfehlen, diesen möglichst zeitnah einzuspielen, sobald er verfügbar ist.

Update
Eine korrigierte Version des Internet Explorers ist jetzt erhältlich und wird über Windows Update verteilt. Details stehen in Microsofts Security Bulletin MS10-002.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/979352.mspx
Hintergrundinformationen von Microsoft (englisch)
http://blogs.technet.com/srd/archive/2010/01/15/assessing-risk-of-ie-0day-vulnerability.aspx
Technische Warnung des BSI
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfLqIWJ5YT%2fUA%253d%253d
Microsoft Security Bulletin MS10-002
http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx

(Warnungen/Warnungen) - Updates für Adobe Reader, Acrobat und Flash 6 (Windows XP)

2013-04-15T14:16:03Z

Updates für Adobe Reader, Acrobat und Flash 6 (Windows XP)

13. Januar 2010

CERT.at warnte am 15. Dezember 2009 vor einer kritischen Sicherheitslücke in Acrobat/Adobe Reader und Adobe Flash 6 (Standardversion von Windows XP). Hierfür gibt es seit heute Updates von Adobe.

Beschreibung

Im Dezember gab es eine bis jetzt ungepatchte Sicherheitslücke in Adobe Acrobat und Adobe Reader. Dabei war es möglich, unbemerkt Schadcode via PDF Dokumenten auszuführen. CERT.at hat hierzu im Dezember schon eine Warnung geschrieben. Bis heute war die einzige Abhilfe, Javascript zu deaktivieren.

Weiters gibt es eine zweite Warnung von Microsoft (im Rahmen des Patch Tuesdays), dass die Version 6 von Adobe Flash Player, die mit Windows XP standardmäßig mitgeliefert wurde, mehrere Verwundbarkeiten hat. Siehe die Meldung von Microsoft hierzu.

Weitere Details siehe: CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959, CVE-2009-4324

Betroffene Systeme

Windows Flash Player 6 Problem:

Windows XP Service Pack 2 und Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2

Adobe Reader and Acrobat:

Adobe Reader 9.2 und frühere Versionen für Windows, Macintosh und UNIX
Adobe Acrobat 9.2 und frühere Versionen für Windows und Macintosh

Abhilfe

CERT.at empfiehlt, Adobe Acrobate und Adobe Reader und Adobe Flash zu aktualisieren. Adobe stellt hierzu Downloads bereit.

Adobe Reader and Acrobat:

Flash Player 6:

Beim Flash Player 6 Problem empfiehlt Microsoft, direkt eine neuere Version von Flash bei Adobe zu installieren.

Hinweis

Sowohl Acrobat/Adobe Reader als auch Adobe Flash sind sehr verbreitet. Sicherheitslücken in dieser Software sind daher als ähnlich schwerwiegend anzusehen wie Fehler in Microsoft Windows oder Office.

JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von dem aktuellen Problem empfehlenswert.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe
http://www.adobe.com/support/security/bulletins/apsb10-02.html
Meldung von Microsoft
http://www.microsoft.com/technet/security/advisory/979267.mspx

(Warnungen/Warnungen) - Kritische Lücken und Sicherheitsupdates für Oracle

2013-04-15T14:16:03Z

Kritische Lücken und Sicherheitsupdates für Oracle

13. Januar 2010

Wegen der Dringlichkeit, dem weit verbreiteten Einsatz von Oracle in Unternehmen und der grossen Zahl an potentiell ausnützbaren Sicherheitslücken bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Diverse Oracle Produkte sind derzeit, laut Angaben des Herstellers, für verschiedene Angriffe anfällig. In dem Critical Patch Update für Jänner 2010 listet Oracle 24 dieser Sicherheitslücken auf und empfiehlt ein Update. Hierbei verteilen sich die Sicherheitslücken auf :

10 Oracle Database
3 Oracle Application Server
3 Oracle Applications Suite
1 PeopleSoft und JD Edwards Suite
5 BEA Products Suite
2 Oracle Primavera Products Suite

Auswirkungen

Da der Angreifer unter anderem via Oracle Net und der Listener Komponente prinzipiell direkt beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, die Inhalte der Datenbank sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Viele der Sicherheitslücken erlauben aber auch - als authentifizierter Benutzer - über das Netzwerk, beliebigen Schadcode auszuführen. Es ist also denkbar, dass ein Angriff genauso über einen authentifizierten (Webfrontend-) Benutzer erfolgen kann.

Betroffene Systeme

Oracle Database 11g, Version 11.1.0.7
Oracle Database 10g Release 2, Versionen 10.2.0.3, 10.2.0.4
Oracle Database 10g, Version 10.1.0.5
Oracle Database 9i Release 2, Versionen 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), Versionen 10.1.3.4.0, 10.1.3.5, 10.1.3.5.1
Oracle Application Server 10g Release 2 (10.1.2), Version 10.1.2.3.0
Oracle Access Manager Versionen 7.0.4.3, 10.1.4.2
Oracle E-Business Suite Release 12, Versionen 12.0.4, 12.0.5, 12.0.6, 12.1.1 und 12.1.2
Oracle E-Business Suite Release 11i, Version 11.5.10.2
PeopleSoft Enterprise HCM (TAM), Versionen 8.9 und 9.0
Oracle WebLogic Server 10.0 bis MP2, 10.3.0 und 10.3.1
Oracle WebLogic Server 9.0 GA, 9.1 GA und 9.2 bis 9.2 MP3
Oracle WebLogic Server 8.1 bis 8.1 SP6
Oracle WebLogic Server 7.0 bis 7.0 SP7
Oracle JRockit R27.6.5 und frühere (JDK/JRE 6, 5, 1.4.2)
Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 und 7.0
Primavera P6 Web Services 6.2.1, 7.0 und 7.0SP1

Abhilfe

Oracle stellt eine genaue Beschreibung und Updates zur Verfügung. Evtentuell müssen ältere kritische Updates vorher eingespielt werden. Details sind der Oracle Seite zu entnehmen.

CERT.at empfiehlt Administratoren, obige Beschreibung genau anzusehen und entsprechende Updates nach Massgabe der Möglichkeiten und sobald als möglich einzuspielen. Auf jeden Fall sollten Administratoren ihre Firewall Regeln genau überprüfen, sodass Oracle Net und Oracle nur von autorisierten und sicheren Rechnern über das Netzwerk erreichbar sind.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

US-CERT Warnung
http://www.us-cert.gov/current/index.html#oracle_releases_critical_patch_update9
Oracle
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Microsofts IIS

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Microsofts IIS

28. Dezember 2009

Kritische Sicherheitslücke in Microsofts IIS.

Wegen der Dringlichkeit und der zu erwartenden Tragweite des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Laut Angaben eines unabhängigen IT Sicherheitsexperten sind Microsofts Internet Information Services (IIS) aktuell von einer gravierenden Verwundbarkeit betroffen.

Ein Angreifer könnte sich den Umstand unterschiedlicher Ansätze der Namensverifikation von hochzuladenden bzw. auszuführenden Dateien zwischen (typischen) Webapplikationen und den IIS, zum Einschleusen von Schadcode auf dem betroffenen Server, zu Nutze machen.
Beispielsweise wird ein Dateiname wie "beispiel.asp;.jpg" üblicherweise von Webapplikationen aufgrund des abschließenden Suffixes ".jpg" zum Upload akzeptiert. Seitens der IIS würde diese Datei allerdings als ASP angesehen und bei Abruf ausgeführt werden.

Auswirkungen

Es ist zu erwarten, dass diese einfachst auszunützende Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle älteren Versionen des IIS bis inklusive Version 6 betroffen. Eine Überprüfung der Version 7 ist noch ausständig. Die Version 7.5 ist laut Information des Entdeckers (Stand vom 25. Dezember) nicht betroffen.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

Über die Rechte des Upload-Verzeichnisses kann die Ausführung von Code in selbigem unterbunden werden. Dies ist über die Eigenschaften des betreffenden Vezeichnisses im IIS Manager zu erreichen.

Grundsätzlich ist es empfehlenswert, Upload-Verzeichnissen keinerlei Ausführungsrechte zu gewähren.

Da die Behebung dieses riskanten Zusammenspiels auf beiden Seiten, also auf IIS, wie auch Webapplikationen zu erwarten ist, sollte unbedingt auch mit Updates etwaiger CMS-Lösungen gerechnet werden.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Bericht des Entdeckers
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
Stellungnahme vom Microsoft Security Response Center (Englisch)
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx
Meldung auf Heise
http://www.heise.de/security/meldung/Sicherheitsluecke-in-Microsoft-IIS-892828.html
Meldung des Internet Storm Center (ISC) von SANS (Englisch)
http://isc.sans.org/diary.html?storyid=7816

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Reader und Acrobat

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Adobe Reader und Acrobat

15. Dezember 2009

Da Acrobat/Adobe Reader sehr verbreitet ist, diese Schwachstelle bereits für gezielte Angriffe benutzt wird und der Schutz durch Antiviren-Software noch sehr mangelhaft ist, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Das Adobe Product SIRT warnt vor einer gravierenden Verwundbarkeit in Adobe Reader und Acrobat die auch schon aktiv ausgenützt wird. Das Öffnen eines präparierten PDF-Dokuments startet den dort verstecken Schadcode. Ein solches Dokument kann etwa direkt per Email, oder auch als Link in Emails, Webseiten und anderen Internetdiensten verbreitet werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Da typische Schadsoftware weiteren Code nachlädt, kann nichts ausgeschlossen werden.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle Systeme, auf denen Adobe Reader oder Acrobat installiert ist und benutzt wird, betroffen.

Seit 11. Dezember sind Angriffe, die die Lücke aktiv ausnützen, bekannt. Es dürfte sich hierbei laut Shadowserver primär um gezielte Attacken handeln.

Abhilfe

Der Fehler scheint in der JavaScript-Verarbeitung zu liegen. Da Adobe noch keinen Patch anbietet, ist derzeit die einzige Möglichkeit das Abschalten von JavaScript. Dies geht zu Beispiel mit:

Bearbeiten – Voreinstellungen – JavaScript – Häkchen bei "Acrobat JavaScript aktivieren" entfernen

Für das simple Anzeigen von PDF-Dokumenten gibt es auch Alternativen zur Software von Adobe.

Derzeit wird der Schadcode nur von 5 aus 41 AV-Herstellern (laut Virustotal) erkannt, was sich aber relativ rasch bessern sollte.

Hinweis

JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von dem aktuellen Problem empfehlenswert.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe
http://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html
Analyse von Shadowserver
http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214
Meldung bei Heise
http://www.heise.de/security/meldung/Angriffe-auf-ungepatche-Luecke-in-Adobe-Reader-und-Acrobat-885980.html

(Warnungen/Warnungen) - Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

2013-04-15T14:16:03Z

Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

23. November 2009

Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Wie auf der Sicherheits-Mailingliste Bugtraq gemeldet wurde, scheint es aktuell ein gravierendes Problem mit einer Komponente des Microsoft Internet Explorer zu geben. Der veröffentlichte Exploit-Code ist noch instabil, es ist aber damit zu rechnen, dass in den nächsten Tagen stabiler funktionierende Exploits auftauchen werden.

Auswirkungen

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.
Laut den diversen Meldungen konnte das Problem bereits in den Versionen 6 und 7 des Internet Explorer auf Windows XP SP3-Systemen bestätigt werden, ob die aktuelle Version 8 des Internet Explorer bzw. Internet Explorer auf anderen Microsoft Windows Betriebssystemen auch betroffen sind, steht noch nicht fest, vor allem, da es noch kein Statement von Microsoft hierzu gibt.

Update
Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer 6 Service Pack 1 auf Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 auf Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008
Internet Explorer 7 auf Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008

Abhilfe

Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting für Internet-Zone deaktivieren). Allerdings werden ohne JavaScript viele Webseiten nicht mehr wie gewohnt funktionieren.

Da der Fehler in der Komponente mshtml.dll vermutet wird, die von anderen Browsern wohl nicht benutzt wird, ist auch die Benutzung alternativer Browser, etwa Mozilla Firefox oder Opera, ein gangbarer Weg.

Update
Microsoft empfiehlt betroffenen Benutzern, auf Internet Explorer Version 8 upzugraden.
Auch das Aktivieren von "DEP" für Internet Explorer 6 Service Pack 2 oder Internet Explorer 7 soll helfen: siehe http://support.microsoft.com/kb/977981

Weitere Informationen entnehmen sie bitte der mittlerweile vorliegenden Meldung von Microsoft: http://www.microsoft.com/technet/security/advisory/977981.mspx.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung auf Bugtraq
http://www.securityfocus.com/archive/1/507984/30/0/threaded
Meldung von VUPEN
http://www.vupen.com/english/advisories/2009/3301
Meldung bei Heise
http://www.heise.de/security/meldung/Neue-kritische-Luecke-im-Internet-Explorer-aufgetaucht-865897.html

(Warnungen/Warnungen) - Kritische Sicherheitslücken in Adobe Shockwave Player

2013-04-15T14:16:03Z

Kritische Sicherheitslücken in Adobe Shockwave Player

3. November 2009

Kritische Sicherheitslücken in Adobe Shockwave Player

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Mehrere Sicherheitslücken im Adobe Shockwave Player, die auch für Remote Code Execution und möglicherweise Drive-by Attacken ausgenützt werden können.

Auswirkungen

Betroffene Systeme

Shockwave ist eine verbreitete Methode zur Einbindung von Multimedia-Inhalten in Webseiten, daher wird sich der entsprechende Player auf vielen Arbeitsplatzrechnern befinden, und auch auf manchen Servern, die eine graphische Benutzeroberfläche und einen Internet-Browser installiert haben.

Laut der Meldung von Adobe sind folgende Versionen betroffen:

Adobe Shockwave Player 11.5.1.601 und älter

Abhilfe

Updates stehen für Windows und Macintosh-Systeme zur Verfügung.

Da die Software für andere Betriebssysteme (etwa Linux, Solaris) nicht zur Verfügung steht, sind diese auch nicht von dem Problem betroffen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Security Bulletin von Adobe
http://www.adobe.com/support/security/bulletins/apsb09-16.html

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

09. Oktober 2009

Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

Beschreibung

Eine Sicherheitslücke in einer Komponente des Adobe Readers und Acrobat, jeweils Version 9.1.3 und älter, wird bereits aktiv, zumindest für gezielte Attacken, ausgenutzt.

Auswirkungen

Da noch nicht bekanntgegeben wurde, wie genau sich dieser Angriff auswirken kann, muß davon ausgegangen werden, daß der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, daher sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme potentiell gefährdet.

Betroffene Systeme

Da PDF eine beliebte und sehr weit verbreitete Technik ist, wird sich zumindest der entsprechende Acrobat Reader auf fast allen Arbeitsplatzrechnern befinden, und auch auf vielen Servern mit graphischer Benutzeroberfläche.

Systeme, die Adobe Reader bzw. Acrobat, in Version 9.1.3 oder älter installiert haben.
Laut der Meldung des Adobe PSIRT sind folgende Betriebssysteme betroffen: :

Windows (ausser Windows Vista mit aktiviertem DEP)
Macintosh
Unix

Abhilfe

Ein entsprechendes Update von Adobe ist noch nicht verfügbar, jedoch für 13. Oktober geplant.
Für die aktuell bekannten Exploits hilft es auch, JavaScript abzuschalten, es sind jedoch auch Varianten denkbar, die ohne JavaScript auskommen.

Es sollte daher bis zur Verfügbarkeit & Installation der Patches speziell PDF-Dateien in Email-Attachments oder auf Webseiten mit Vorsicht begegnet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Adobe Product Security Incident Response Team
http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.html
Adobe Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-15.html

(Warnungen/Warnungen) - Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

2013-04-15T14:16:03Z

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

10. September 2009

Kritische Sicherheitslücke in Apple QuickTime Versionen vor 7.6.4

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime vor der Version 7.6.4 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden. Apple listet in dem kumulativen Patch vom 9. Sept 2009 vier remote code execution Möglichkeiten auf, die auf H.264 oder FlashPix in Quicktime anwendbar sind.

Auswirkungen

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie das Apple Software Update Programm. CERT.at empfiehlt, dort automatische Updates zu aktivieren (Bearbeiten->Einstellungen).

Alternativ können Sie die Auto-Update Funktion des QuickTime Players nutzen: (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie das Update direkt von Apple:

Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT3859
Meldung bei Heise Security
http://www.heise.de/security/Vier-kritische-Luecken-in-QuickTime-geschlossen--/news/meldung/145148
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime

(Warnungen/Warnungen) - Lücke in SMB ermöglicht DOS / remote code execution in Windows

2013-04-15T14:16:03Z

Lücke in SMB ermöglicht DOS / remote code execution in Windows

9. September 2009

Lücke in SMB ermöglicht DOS / remote code execution in Windows

Da schon sehr einfach zu bedienende Programme existieren, die die folgende Denial of Service (DOS) Schwachstelle von Windows ausnutzen können, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Im SMB2.0 Code von Windows Vista / Windows Server 2008 / Windows 7 wurde eine Schwachstelle entdeckt, die im harmlosesten Fall einen Absturz des Betriebsystems zur Folge haben kann, im schlimmsten Fall sogar remote Code Execution erlaubt.

Durch Senden eines speziell geformten Packets kann ein beliebiger Angreifer am lokalen Netzkwerk oder am Internet den Rechner zum Absturz bringen oder sogar Schadcode einschleusen.

Windows Vista und Windows 7 / Server 2008 werden mit dem neuen SMB2.0 Protokoll ausgeliefert. Windows XP ist hiervon nicht betroffen.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows Vista, Windows Vista Service Pack 1, und Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, und Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems und Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems und Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems und Windows Server 2008 for Itanium-based Systems Service Pack 2

Im Labor konnte die RTM (Build 7600) Version von Windows 7 nicht zum Absturz gebracht werden, Evaluationsversionen von Windows 7 allerdings schon.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.
Microsoft hat ein paar Empfehlungen in einem Security Advisory zusammengefasst.

CERT.at empfiehlt in der Zwischenzeit:

Port 445 und Port 139 per Firewall zu sperren, soferne möglich.
Wenn möglich SMB2 abzuschalten.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7093
Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/975497.mspx
Demoexploit
http://securitynightmares2.blogspot.com/2009_09_01_archive.html
CVE Referenz
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3103
Post auf Full-Disclosure
http://archives.neohapsis.com/archives/fulldisclosure/2009-09/0090.html

(Warnungen/Warnungen) - Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

2013-04-15T14:16:03Z

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

1. September 2009

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

Da diese Schwachstelle über das Netz ausgenützt werden kann, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Es wurde Code zur Ausnutzung eines Fehlers im FTP-Modul des Internet Information Servers (IIS) veröffentlicht. Dieser Exploit basiert auf einem Buffer Overflow beim Ausführen des NLST Kommandos in einem speziell angelegtem Verzeichnis.

Auswirkungen

Über diesen Fehler kann beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Beispielcode, der neue User anlegt oder einen Fernzugriff erlaubt, wurde bereits im Internet publiziert. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Auf jeden Fall betroffen ist der IIS in der Version 5, so wie er auf Windows 2000 zu finden ist.

Die in IIS 5.1 und 6 verwendete "stack cookie protection" erschwert das Ausnützen dieser Schwachstelle deutlich. Ein Denial-of-Service Angriff auf den FTP-Dienst ist leicht möglich, eine Komprommitierung des Rechners ist hingegen deutlich schwieriger zu erreichen. Code dazu wurde noch nicht publiziert.

Für einen erfolgreichen Angriff ist es nötig, dass sich der Angreifer per FTP einloggen kann und danach die Rechte hat um Verzeichnisse anzulegen. Ersteres ist oft durch den Standardaccount für anonymen FTP-Zugang ("anonymous") möglich.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

CERT.at empfiehlt in der Zwischenzeit:

Das FTP-Modul des IIS zu deaktivieren, wenn dieser Dienst nicht bewusst eingeschalten und auch benötigt wird.
Den anonymen FTP-Zugang abzudrehen, so dieser nicht gewünscht wird.
Die Schreibrechte für alle Benutzer, insbesondere "anonymous", so weit wie möglich zu limitieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7039
Demoexploit
http://milw0rm.com/exploits/9541
Meldung bei Heise
http://www.heise.de/security/
US-CERT Alert
http://www.kb.cert.org/vuls/id/276653
Advisory von Microsoft
http://www.microsoft.com/technet/security/advisory/975191.mspx
Secunia Klarstellung
http://secunia.com/blog/62/

(Warnungen/Warnungen) - Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

2013-04-15T14:16:03Z

Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

29. Juli 2009

Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

Angesichts der Schwere der Lücke und der großen Bedeutung der DNS-Software BIND für das Internet bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

In der, vor allem bei Internet Providern, weit verbeiteten DNS-Software BIND gibt es eine Lücke im Zusammenhang mit "Dynamic Update Messages", die sich zumindest fuer Denial-of-Service - Attacken durch Software-Absturz ausnützen läßt.
Es ist zum Ausnutzen dieses Problems nicht notwendig, Dynamic Updates nur in der Softwarekonfiguration abzuschalten.

Organisationen, die BIND 9 im Einsatz haben, sollten sobald als möglich das Update auf die neueste Versionen einspielen.

Auswirkungen

Da diese Lücke ersten Berichten zufolge bereits aktiv ausgenutzt wird, können Angreifer beliebig mit BIND betriebene DNS-Server zum Absturz bringen, was zumindest Endbenutzern betroffener ISPs das Besuchen von Webseiten und Nutzen diverser anderer Internet-Angebote (etwa Email, Chat etc.) unmöglich machen würde.
Auch Kunden von Organisationen/Firmen, die ihre Nameserver mit BIND betreiben, können ähnliche Schwierigkeiten haben.

Betroffene Systeme

BIND 9 (alle Versionen)

Abhilfe

Update auf die aktuelle Version, siehe https://www.isc.org/node/474.
Manche Firewalls haben auch Funktionalität, mit der entsprechende "nsupdate"-Messages gefiltert werden können. Dies kann als Workaround bis zur Installation einer aktuellen Softwareversion genutzt werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Software Consortiums (ISC)
https://www.isc.org/node/474

(Warnungen/Warnungen) - "Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

2013-04-15T14:16:03Z

"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

29. Juli 2009

"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

Angesichts der Schwere der Sicherheitslücken, der hohen Verbreitung von Microsoft Software sowie der besonderen Umstände ("out-of-band"-Patches) ersucht CERT.at um Beachtung der folgenden Meldung:

Microsoft hat soeben 2 "Out-of-band"-Patches für Visual Studio/C++ und Internet Explorer veröffentlicht.

Hintergrund und Dimension

Microsoft veröffentlich üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesen Patches behobenen Lücken als zumindest teilweise "kritisch" ein.

Microsoft weist weiters darauf hin, daß beide Patches Probleme mit Remote Code Execution beheben (teils in Internet Explorer, teils in Programmen, die mit Visual Studio entwickelt wurden), damit wären alle Daten auf betroffenen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systemen gefährdet.

Wir machen ausdrücklich darauf aufmerksam, daß Entwickler, die die "Active Template Library" (ATL) von Visual Studio in ausgelieferten Programmen verwenden, nicht nur den Patch installieren, sondern auch selbst entsprechend angepaßte neue Programmversionen ausliefern sollten.

Beschreibung

Das behobene Problem in Visual Studio/C++ betrifft die "Active Template Library" (ATL), welche in Visual Studio inkludiert ist, und betrifft eine Lücke, die in Programmen, die in Visual Studio und mit dieser Library entwickelt und ausgeliefert wurden, auftritt bzw. auftreten kann.
Nochmals besonders hervorzuheben ist hier, daß nicht nur Entwickler, die diese Library benutzen, diesen Fix installieren sollten, sondern diese auch neue, speziell angepaßte Versionen der entsprechenden Programme ausliefern sollten.
Weitere Details siehe http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx (englisch).
In Internet Explorer wiederum wurden 3 Sicherheitsprobleme behoben, die jeweils nur durch das Aufrufen speziell präparierter Webseiten für Remote Code Execution benutzt werden können. Da diese Informationen nun öffentlich sind, ist mit dem baldigen Auftreten entsprechender Webseiten (und der Verbeitung entsprechender Links, zum Beispiel via Spam-Mails) zu rechnen.
Weiters wurden Probleme in Zusammenhang mit der oben angeführten "Active Template Libary" behoben.
Im Prinzip sind die Versionen 5, 6, 7 und 8 von Internet Explorer betroffen, Details finden sich unter http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx (englisch).

Betroffene Software

Microsoft Visual Studio .NET 2003
Microsoft Visual Studio 2005
Microsoft Visual Studio 2008
Microsoft Visual C++ 2005
Microsoft Visual C++ 2008
Internet Explorer auf:
- Windows 2000
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows Server 2008

Abhilfe

Entwickler: Installation der von Microsoft zur Verfügung gestellten Patches, Auslieferung entsprechend angepaßter neuer Programmversionen
Endbenutzer: Installation des Patches für Internet Explorer, und gegebenenfalls Anforderung neuer Programmversionen beim Hersteller

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Bulletin MS09-035 (englisch) - Visual Studio/C++, Active Template Library
http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
Microsoft Security Bulletin MS09-034 (englisch) - Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

23. Juli 2009

Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Eine Sicherheitslücke iin einer Komponente des Adobe Flash Players, die auch von Adobe Reader und Acrobat benutzt wird, wird bereits aktiv zur Remote Code Execution und für Drive-by Attacks ausgenutzt.

Auswirkungen

Betroffene Systeme

Da Flash eine beliebte und sehr weit verbreitete Technik auf Webseiten ist, wird sich der entsprechende Player auf fast allen Arbeitsplatzrechnern befinden, und auch auf vielen Servern, die eine graphische Benutzeroberfläche und einen Internet-Browser installiert haben.
Zusätzlich ist es möglich, Flash in PDF-Dateien einzubetten, und so PDF als Angriffsvektor zu benutzen (etwa als Attachment in Emails). Laut der Meldung des Internet Storm Centers sind folgende Versionen betroffen:

Adobe Flash Player Version 9 und 10
Adobe Acrobat Version 9.1.2

Abhilfe

Ein entsprechendes Update von Adobe ist noch nicht verfügbar.

Momentan sind keine anderen Möglichkeiten zur Abhilfe bekannt, auch ein Deaktivieren von JavaScript im Adobe Reader ist nicht ausreichend.
Laut verschiedenen Meldungen ist die Erkennungsrate von Virenscannern noch sehr niedrig (erst 7/41 getesten Virenscannern erkennen wenigstens einen der entsprechenden im Umlauf befindlichen Trojaner).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=6847
Blog-Eintrag des Adobe Product Security Incident Response Team (PSIRT)
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html

(Warnungen/Warnungen) - Sicherheitslücke im Web-Browser Mozilla Firefox

2013-04-15T14:16:03Z

Sicherheitslücke im Web-Browser Mozilla Firefox

14. Juli 2009

Sicherheitslücke im Web-Browser Mozilla Firefox

Angesichts der Schwere der Lücke und der großen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation berichtet, daß eine schwere Sicherheitslücken im Just-In-Time (JIT) JavaScript Compiler gefunden wurde. Dieser kann es Angreifern ermöglichen, über speziell präparierte Webseiten beliebigen Schadcode auf dem System auszuführen.

Auswirkungen

Da über diese Lücke bereits öffentlich berichtet wird, ist zu erwarten, daß bald die ersten entsprechend präparierten Webseiten auftauchen und zB per Spam-Mail verbreitet werden.

Betroffene Systeme

Firefox-Browser Version 3.5

Abhilfe

Update auf die aktuelle Version, sobald verfügbar.
Als Workaround kann die JIT-Komponente des JavaScript-Compilers vorübergehend deaktiviert werden, jedoch mit negativen Auswirkungen auf die JavaScript-Performance.
Weiters besteht natürlich auch die Möglichkeit, JavaScript komplett zu deaktivieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Mozilla Security Blog
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
Meldung beim Internet Storm Center, isc.sans.org
http://isc.sans.org/diary.html?storyid=6796

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücken in Microsoft Office ActiveX (wird aktiv ausgenützt)

2013-04-15T14:16:03Z

Erneut kritische Sicherheitslücken in Microsoft Office ActiveX (wird aktiv ausgenützt)

13. Juli 2009

Erneut kritische Sicherheitslücke in Microsoft Office ActiveX (Excel)

Angesichts der Schwere der Lücke, der hohen Verbreitung von Windows und der Tatsache, dass diese laut Microsoft schon aktiv ausgenutzt wird, bittet CERT.at um Beachtung folgenden Hinweises.

Beschreibung

Mittels eines speziell präparierten Excel-Dateien ist es möglich, den folgenden Versionen von Microsoft Windows beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen:

Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2006
Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

Auswirkungen

Die starke Verwendung von Excel-Dateien im Geschäftsalltag macht diesen Angriffsweg besonders effizient. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Siehe oben.

Abhilfe

Es gibt derzeit kein Update, da Microsoft einen Patch noch testet. Allerdings hilft ein Quick Fix, den Microsoft bereitgestellt hat - der Quick Fix löscht Registry-Keys. Systemadministratoren, die diesen Schritt lieber selber machen wollen, können dies wie unter Suggested Actions beschrieben mittels Group-Policy im Unternehmen machen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash). Durch diese Vorgehensweise kann die Zeitspanne zwischen der Verfügbarkeit und Installation eines Updates minimiert werden.

Informationsquelle(n):

Microsoft Security Advisory (973472)
http://www.microsoft.com/technet/security/advisory/973472.mspx
Microsoft Fix It For Me Workaround
http://support.microsoft.com/kb/972890

(Warnungen/Warnungen) - Kritische Sicherheitslücken in Microsoft ActiveX (wird aktiv ausgenützt)

2013-04-15T14:16:03Z

Kritische Sicherheitslücken in Microsoft ActiveX (wird aktiv ausgenützt)

7. Juli 2009

Kritische Sicherheitslücken in Microsoft ActiveX

Angesichts der Schwere der Lücken, der hohen Verbreitung von Windows und der Tatsache, dass diese Security Lücke in kurzer Zeit auf einschlägigen Hackerforen aufgetaucht ist und schon aktiv ausgenutzt wird, bittet CERT.at um Beachtung folgenden Hinweises.

Beschreibung

Mittels eines speziell präparierten Videos ist es möglich, Windows XP und Windows Server 2003 beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen.

Auswirkungen

Das hohe Verbreitungspotential von Videos am Internet macht diesen Angriffsweg besonders effizient. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows XP, Windows Server 2003. Windows Vista und Windows Server 2008 sind nicht betroffen. Allerdings empfiehlt Microsoft auch dort, den Quick Fix einzusetzen.

Abhilfe

Es gibt derzeit kein Update, da Microsoft einen Patch noch testet. Allerdings hilft ein Quick Fix den Microsoft bereitgestellt hat. Der Quick Fix löscht Registry-Keys. Systemadministratoren, die diesen Schritt lieber selber machen wollen, können dies wie unter Suggested Actions beschrieben mittels Group-Policy im Unternehmen machen. Eine weitere Abhilfe stellt das Abschalten von Javascript dar, allerdings werden hierbei viele Webseiten unbenutzbar.

Hinweis

Informationsquelle(n):

Microsoft Security Advisory (972890)
http://www.microsoft.com/technet/security/advisory/972890.mspx
Microsoft Fix It workaround
http://support.microsoft.com/kb/972890

(Warnungen/Warnungen) - Kritische Sicherheitslücken in Microsoft DirectShow (wird aktiv ausgenützt)

2013-04-15T14:16:03Z

Kritische Sicherheitslücken in Microsoft DirectShow (wird aktiv ausgenützt)

29. Mai 2009

Kritische Sicherheitslücken in Microsoft DirectShow

Angesichts der Schwere der Lücken, der hohen Verbreitung von Windows und damit von DirectShow und der Tatsache, dass die Lücke schon aktiv ausgenützt wird, bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Mittels eines speziell präparierten Videos ist es möglich, Windows XP, Windows Server 2003 und Windows 2000 beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen.

Auswirkungen

Die aktuellen Schwachstellen beruhen auf einem Fehler in den Parsing Routinen von Quicktime. Dieser Exploit erlaubt es dem Angreifer, beliebigen Code beim client auszuführen. Das hohe Verbreitungspotential von Videos am Internet macht diesen Angriffsweg besonders stark. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows XP, Windows Server 2003, Windows 2000. Vista ist nicht betroffen.

Abhilfe

Es gibt derzeit kein Update. Allerdings hilft ein quick fix. Microsoft empfiehlt, den Registry Key

HKEY_CLASSES_ROOT\\CLSID\\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

zu löschen, um das Lesen von Quicktime Videos zu unterbinden.

Hinweis

Informationsquelle(n):

Microsoft Security Advisory 971778 Blog Artikel
http://blogs.technet.com/msrc/archive/2009/05/28/microsoft-security-advisory-971778-vulnerability-in-microsoft-directshow-released.aspx
Microsoft Security Advisory 971778
http://www.microsoft.com/technet/security/advisory/971778.mspx

(Warnungen/Warnungen) - Mehrere kritische Sicherheitslücken in Adobe Acrobat Reader

2013-04-15T14:16:03Z

Mehrere kritische Sicherheitslücken in Adobe Acrobat Reader

29. April 2009

Kritische Sicherheitslücken in Acrobat Reader

Angesichts der Schwere der Lücken, der hohen Verbreitung von Acrobat Reader und dem Fehlen von Updates seitens Adobe bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Mittels JavaScript ist es möglich, Acrobat Reader beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen. Der Angriffsvektor sind speziell präparierte PDF-Dateien. Da Adobe derzeit kein Update bereitstellt, hilft nur ein Abschalten von JavaScript im Acrobat Reader.

Auswirkungen

Die aktuellen Schwachstellen beruhen auf dem Missbrauch von JavaScript, um beliebigen Schadcode auszuführen. Dies kann in gezielten Attacken durchgeführt werden, indem einem Adressaten per Mail eine solche PDF-Datei geschickt wird. Der Betroffene öffnet das PDF und der Rechner führt somit den Schadcode aus. Allerdings ist sich die IT Security Gemeinde einig, dass es ein kleiner Schritt ist, eine grosse Zahl von Benutzern anzugreifen (PDFs auf Webseiten, Spam Mail).

Betroffene Systeme

Betroffen sind die Versionen 7.0 bis einschließlich 9.1 unter allen Betriebsystemen.

Abhilfe

Da es derzeit keine Patches gibt, wird empfohlen, JavaScript in Acrobat Reader abzuschalten. Man muss dazu in die Einstellungen von Acrobat Reader gehen und dort JavaScript deaktivieren. (Windows: Bearbeiten -> Grundeinstellungen -> JavaScript -> Acrobat JavaScript aktivieren, Mac: Einstellungen -> JavaScript -> JavaScript aktivieren)

Des weiteren besteht auch die Möglichkeit, alternative Software zum Anzeigen von PDF-Dateien zu verwenden.

Hinweis

Informationsquelle(n):

SecurityFocus Meldungen (englisch)
http://www.securityfocus.com/bid/34736/info
http://www.securityfocus.com/bid/34740/info
F-Secure Meldung (englisch)
http://www.f-secure.com/weblog/archives/00001671.html
Heise Meldung
http://www.heise.de/security/Demo-Exploits-fuer-neue-Schwachstellen-im-Adobe-Reader--/news/meldung/136958
Bestätigung von Adobe (englisch)
http://blogs.adobe.com/psirt/2009/04/potential_adobe_reader_issue.html

(Warnungen/Warnungen) - Kritische Schwachstelle in Microsoft Powerpoint

2013-04-15T14:16:03Z

Kritische Schwachstelle in Microsoft Powerpoint

3. April 2009

Kritische Schwachstelle in Microsoft Powerpoint

CERT.at ersucht um Beachtung der folgenden Hinweise.

Beschreibung

Durch einen Fehler in Microsoft Powerpoint ist es Angreifern möglich, durch speziell präparierte Dateien beliebigen Code mit den Rechten des Anwenders auszuführen. Es ist nach derzeitigem Wissensstand nicht möglich, solche Attacken ohne Benutzer-Interaktion durchzuführen, dh. ein Angreifer muss den Benutzer dazu bringen, eine speziell präparierte Datei zu öffnen.

Auswirkungen

Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut Microsoft sind folgende Produkte betroffen:

Microsoft Office PowerPoint 2000 Service Pack 3
Microsoft Office PowerPoint 2002 Service Pack 3
Microsoft Office PowerPoint 2003 Service Pack 3
Microsoft Office 2004 for Mac

Abhilfe

Da es noch keine Patches für dieses Problem gibt, emfpiehlt Microsoft, Office-Dateien aus nicht vertrauenswürdigen Quellen bzw. unerwartet zugesandte (etwa per Email) Office-Dateien nicht zu öffnen.

Eine andere Möglichkeit ist es, MOICE (Microsoft Office Isolated Conversion Environment) zu verwenden, eine Software von Microsoft, die es ermöglicht, "alte" Dateiformate in einer sicheren Sandbox-Umgebung in aktuelle zu konvertieren. Details siehe das Advisory von Microsoft.

Weiters ist es möglich, das Öffnen von "alten" Office-Dateien generell zu deaktivieren, Details bitte wieder dem Advisory von Microsoft zu entnehmen.

Microsoft hat bisher keine Aussagen zu Patches für dieses Problem gemacht. Bitte beachten sie hierzu auch den entsprechenden Punkt unter "Hinweise"!

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Im Fall von Microsoft-Produkten weisen wir darauf hin, dass es in vielen Fällen notwendig ist, zumindest ein Mal manuell die Microsoft-Update-Website zu besuchen, um automatische Updates auch für Microsoft-Produkte ausser dem Betriebssystem Windows - wie Microsoft Office - zu aktivieren.

Informationsquelle(n):

Microsoft Security Advisory (969136) (englisch)
http://www.microsoft.com/technet/security/advisory/969136.mspx
Microsoft-Update Website
http://www.update.microsoft.com/

(Warnungen/Warnungen) - Sicherheitslücken im Web-Browser Mozilla Firefox

2013-04-15T14:16:03Z

Sicherheitslücken im Web-Browser Mozilla Firefox

27. März 2009

Sicherheitslücken im Web-Browser Mozilla Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation plant, in einigen Tagen folgende schwere Sicherheitslücken zu beheben:

Fehler in der XSLT-Komponente
der bei der CanSecWest 2009 - Konferenz entdeckte sog. "pwn2own"-Bug

Auswirkungen

Es existiert bereits Proof-of-Concept - Code für den XSLT-Fehler, der den Browser abstürzen lässt, vermutlich kann diese Lücke zum Ausführen beliebigen Schadcodes ausgenutzt werden.
Der sog. "pwn2own"-Bug wurde bei der CanSecWest 2009 - Konferenz benutzt, um Code in den Browser einzuschleusen und in dessen Kontext auszuführen.

Betroffene Systeme

Laut dem Bug-Tracking-System der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox 3.0.x bis inkl. Version 3.0.7

Abhilfe

Update auf die aktuelle Version 3.0.8, sobald verfügbar - voraussichtlich um den 31.3./1.4. herum

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Bug bei der Mozilla Foundation
https://bugzilla.mozilla.org/show_bug.cgi?id=485217
Proof-of-Concept
http://milw0rm.com/exploits/8285
Mozilla Security Blog
http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own-exploit-and-xsl-transform-vulnerability/
Meldung bei Heise Security (deutsch)
http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284

(Warnungen/Warnungen) - Patch für Adobe Acrobat ist verfügbar

2013-04-15T14:16:03Z

Patch für Adobe Acrobat ist verfügbar

11. März 2009

Für die aktuelle Schwachstelle von Acrobat - CERT.at berichtete am 20. Februar 2009 - sind jetzt Updates verfügbar. Da die ursprüngliche Verwundbarkeit sich als noch tückischer als vermutet herausgestellt hat, raten wir dazu, die von Adobe zur Verfügung gestellten Updates ehebaldigst zu installieren.

Updates für Adobe Reader 9 und Acrobat 9: http://www.adobe.com/support/security/bulletins/apsb09-03.html

Für die Versionen 7 bzw. 8 hat Adobe das Update für die nächste Woche angekündigt. Linux-User müssen sich noch 2 Wochen gedulden.

Informationsquelle(n):

Adobe
http://www.adobe.com/support/security/bulletins/apsb09-03.html
Heise
http://www.heise.de/security/Adobe-schliesst-kritische-Luecke-in-Reader-und-Acrobat--/news/meldung/134366
CERT.at-Warnung vom 20. März 2009
http://cert.at/warnings/all/20090220.html

(Warnungen/Warnungen) - Sicherheitslücken im Web-Browser Mozilla Firefox

2013-04-15T14:16:03Z

Sicherheitslücken im Web-Browser Mozilla Firefox

5. März 2009

Sicherheitslücken in Web-Browser Mozilla Firefox

Angesichts der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:

URL spoofing with invisible control characters
memory safety hazards in PNG library
XML data theft via RDFXMLDataSource and cross-domain redirect
Mozilla Firefox XUL Linked Clones Double Free Vulnerability
MFSA 2009-07 Crashes with evidence of memory corruption

Auswirkungen

Die Auswirkungen dieser Bugs sind teilweise noch nicht bekannt, speziell aber die Speicherprobleme könnten prinzipiell auch zum Ausführen von von beliebigem Code benutzt werden. Mit URL-Spoofing kann dem Anwender vorgetäuscht werden, sich auf einer vermeintlich bekannten und sicheren Seite zu befinden.

Betroffene Systeme

Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox vor Version 3.0.7

Auch von Firefox abgeleitete Email-Programme wie Mozilla Thunderbird sind von manchen der behobenen Bugs betroffen, sollten jedoch in der Standard-Einstellung sicher sein.

Abhilfe

Update auf die aktuelle Version 3.0.7.

Hinweis

Generell empfiehlt CERT.at, wo möglichh die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory der Mozilla Foundation
http://www.mozilla.com/en-US/firefox/3.0.7/releasenotes
Meldung des SANS Internet Storm Centers
http://isc.sans.org/diary.html?storyid=5965

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücke in Adobe Flash-Player

2013-04-15T14:16:03Z

Erneut kritische Sicherheitslücke in Adobe Flash-Player

26. Februar 2009

Erneut kritische Sicherheitslücke in Adobe Flash-Player bis einschliesslich Version 10.0.12.36.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Flash-Player bis einschliesslich 10.0.12.36 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann.

Auswirkungen

Betroffene Systeme

10.0.12.36 und früher
10.0.15.3 und früher für Linux

Abhilfe

Update des Flash Players auf aktuelle Versionen oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://get.adobe.com/de/flashplayer/ verfügbar.

CERT.at weist weiters darauf hin, dass mit den Standard-Einstellungen des Adobe Flash Players ein Check auf neuere Versionen nur alle 30 Tage stattfindet.

Dieses Update behebt natürlich nicht das aktuelle Problem mit dem Adobe Acrobat Reader - dieses ist weiterhin ungepatched und hat grosses Schadpotential, siehe http://www.cert.at/warnings/all/20090220.html.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb09-01.html
Heise Meldung (deutsch)
http://www.heise.de/security/Adobe-stopft-Flash-Luecke-PDF-Loch-weiterhin-offen-2-Update--/news/meldung/133493

(Warnungen/Warnungen) - Kritische Schwachstelle in Microsoft Excel

2013-04-15T14:16:03Z

Kritische Schwachstelle in Microsoft Excel

25. Februar 2009

Kritische Schwachstelle in Microsoft Excel

CERT.at ersucht um Beachtung der folgenden Hinweise.

Beschreibung

Durch einen Fehler in Microsoft Excel ist es Angreifern möglich, durch speziell präparierte Dateien beliebigen Code mit den Rechten des Anwenders auszuführen. Es ist nach derzeitigem Wissensstand nicht möglich, solche Attacken ohne Benutzer-Interaktion durchzuführen, dh. ein Angreifer muss den Benutzer dazu bringen, eine speziell präparierte Datei zu öffnen.

Auswirkungen

Betroffene Systeme

Laut Microsoft sind folgende Produkte betroffen:

Microsoft Office Excel 2000 Service Pack 3
Microsoft Office Excel 2002 Service Pack 3
Microsoft Office Excel 2003 Service Pack 3
Microsoft Office Excel 2007 Service Pack 1
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac

Abhilfe

Weiters ist es möglich, das Öffnen von "alten" Office-Dateien generell zu deaktivieren, Details bitte wieder dem Advisory von Microsoft zu entnehmen.

Microsoft hat noch keinen Termin für entsprechende Patches genannt, wir erwarten diesen aber spätestens zum nächsten "Patch-Day" im März - dieses Update sollte dann natürlich sobald wie möglich installiert werden. Bitte beachten sie hierzu auch den entsprechenden Punkt unter "Hinweise"!

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Advisory (968272)
http://www.microsoft.com/technet/security/advisory/968272.mspx
Microsoft-Update Website
http://www.update.microsoft.com/

(Warnungen/Warnungen) - Kritische Schwachstelle in Adobe Acrobat Reader (Updated)

2013-04-15T14:16:03Z

Kritische Schwachstelle in Adobe Acrobat Reader (Updated)

20. Februar 2009

Kritische Schwachstelle in Adobe Reader

Angesichts der Schwere der Lücke und der hohen Verbreitung von Adobe Acrobat Reader und dem Fehlen von Updates seitens Adobe bittet CERT.at um Beachtung der folgenden Hinweise.

Update 2009/02/25

Laut Informationen von Secunia kann diese Lücke auch ohne Javascript ausgenutzt werden. Die hier (und auch von Adobe) empfohlene Abhilfe bietet daher keinen umfassenden Schutz.

Beschreibung

Mittels Javascript ist es möglich, Adobe Acrobat Reader beliebigen Programmcode unterzuschieben und somit remote code execution zu erzielen. Der Angriffsvektor sind speziell präparierte PDF Dateien. Da Adobe derzeit kein Update bereitstellt, hilft nur ein Abschalten von Javascript im Adobe Acrobat Reader (Bearbeiten -> Grundeinstellungen -> Javacript -> Acrobat JavaScript aktivieren ).

Auswirkungen

CERT.at hat von Attacken erfahren, die derzeit aktiv ausgenutzt werden. Sie beruhen auf Javascript und Heap Spraying, um beliebigen Schadcode auszuführen. Meist wird dies in gezielten Attacken durchgeführt, indem einem Adressaten per Mail eine solche PDF Datei geschickt wird. Der Betroffene öffnet das PDF und der Rechner führt somit den Schadcode aus. Allerdings ist sich die IT Security Gemeinde einig, dass es ein kleiner Schritt ist, eine grosse Zahl von Benutzern anzugreifen (PDFs auf Webseiten, Spam Mail).

Betroffene Systeme

Laut Adobe sind Versionen 9 und darunter betroffen. Die Schwachstelle betrifft alle Betriebsysteme

Abhilfe

Da es derzeit keine Patches gibt, wird empfohlen, Javascript in Adobe Acrobat Reader abzuschalten. Man muss dazu in die Einstellungen von Adobe Acrobat Reader gehen und dort Javascript deaktivieren. (Windows: Bearbeiten -> Grundeinstellungen -> Javacript -> Acrobat JavaScript aktivieren
Mac: Einstellungen -> Javascript -> Javascript aktivieren )

Informationsquelle(n):

Heap Spraying
http://en.wikipedia.org/wiki/Heap_spraying
Meldung von Adobe
http://www.adobe.com/support/security/advisories/apsa09-01.html
Meldung von Heise
http://www.heise.de/security/Zero-Day-Luecke-in-Adobe-Reader-und-Acrobat--/news/meldung/133225
Blogpost von Secunia
http://secunia.com/blog/44/

(Warnungen/Warnungen) - Erneut kritische Schwachstelle in Typo3

2013-04-15T14:16:03Z

Erneut kritische Schwachstelle in Typo3

10. Februar 2009

Erneut kritische Schwachstelle in Typo3

Angesichts der Schwere der Lücke und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Praktisch alle Versionen von Typo3 enthalten einen Information-Disclosure Fehler, der es Angreifern erlaubt, beliebige Dateien mit den Rechten des Typo3-Users zu lesen - dies betrifft unter Anderem auch die Datei "localconf.php", welche das Passwort des Installations-Tools sowie den Datenbank-Usernamen/-Passwort enthält.

Auswirkungen

Angreifer können alle Dateien mit den Rechten des Typo3-Users lesen, gegegenfalls in diesen Dateien enthaltene Informationen wie Passwörter, sind daher potentiell als kompromittiert zu betrachten.

Mit Hilfe der so erhaltenen Zugangsdaten kann der Angreifer potentiell auch die Kontrolle über die gesamte Typo3-Installation an sich erlangen und entsprechend Daten verändern bzw. zerstören.

Betroffene Systeme

Laut dem Advisory von Typo3 sind folgende Versionen betroffen:

3.3.x
3.5.x
3.6.x
3.7.x
3.8.x
4.0 bis inklusive 4.0.11
4.1.0 bis inklusive 4.1.9
4.2.0 bis inklusive 4.2.5
4.3alpha1

Abhilfe

Upgrade auf aktuelle Versionen:

4.0-Serie: 4.0.12
4.1-Serie: 4.1.10
4.2-Serie: 4.2.6

Patches für ältere Versionen sind zumindest teilweise auch verfügbar.

Informationsquelle(n):

Meldung von Typo3
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/

(Warnungen/Warnungen) - Kritische Sicherheitslücken im Web-Browser Firefox

2013-04-15T14:16:03Z

Kritische Sicherheitslücken im Web-Browser Firefox

04. Februar 2009

Kritische Sicherheitslücken im Web-Browser Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:

Local File Stealing
Arbitrary Code Execution
Cookie Stealing
Privilege Escalation via .desktop Files

Auswirkungen

Da Angreifer dadurch potentiell nicht nur lokale Dateien stehlen, sondern wahrscheinlich auch beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox vor Version 3.0.6

Vermutlich treffen diese Sicherheitslücken auch von Mozilla/Firefox abgeleitete Produkte wie Thunderbird und SeaMonkey - für diese stehen allerdings noch keine Updates zur Verfügung.

Abhilfe

Firefox: Update auf die aktuelle Version 3.0.6
Thunderbird/SeaMonkey: noch keine Updates verfügbar, daher erhöhte Aufmerksamkeit sowie sicherstellen, dass JavaScript nicht fuer Mails aktiviert ist (diese Einstellung ist Default)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldungen der Mozilla Foundation
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
Meldung auf Heise Security
http://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855

(Warnungen/Warnungen) - Kritische Sicherheitslücken im Content-Management-System Typo3

2013-04-15T14:16:03Z

Kritische Sicherheitslücken im Content-Management-System Typo3

23. Jänner 2009

Kritische Sicherheitslücken in Typo3

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Versionen von Typo - 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7, 4.2.0 bis 4.2.3 - enthalten Bugs im Bereich Authentication and Session Management, sowie Probleme mit Cross-Site-Scripting, ungenügende Zufallszahlengenerierung und Remote Command Execution. Besonders das letztere Problem ist besonders schwerwiegend, da es einem Angreifer erlaubt, beliebige System-Kommandos auf betroffenen Systemen auszuführen, meist mit den Rechten des Webserver- bzw. Typo3-Benutzeraccounts.

Auswirkungen

Betroffene Systeme

Laut dem Advisory von Typo3 sind folgende Versionen betroffen:

4.0.0 bis 4.0.9
4.1.0 bis 4.1.7
4.2.0 bis 4.2.3

Abhilfe

Upgrade auf aktuelle Versionen:

4.0-Serie: 4.0.10
4.1-Serie: 4.1.8
4.2-Serie: 4.2.4

Informationsquelle(n):

Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
Meldung bei TecChannel.de
http://www.tecchannel.de/sicherheit/news/1782988/hoch_kritische_schwachstellen_in_typo3_ausgebessert/

(Warnungen/Warnungen) - Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

2013-04-15T14:16:03Z

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

22. Jänner 2009

Kritische Sicherheitslücke in Apple QuickTime vor Version 7.6.

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime älter als 7.6 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden.

Auswirkungen

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie die Auto-Update Funktion des QuickTime Players (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie das Update direkt von Apple:

Anmerkung für Windows-User: Die Autoupdate Funktion scheint noch nicht verlässlich das Update anzubieten. Überprüfen sie daher Ihre Version mit Hilfe->"Über QuickTime Player".

Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT3403
Meldung bei Heise Security
http://www.heise.de/security/Update-fuer-QuickTime-schliesst-zahlreiche-Luecken--/news/meldung/122139
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime

(Warnungen/Warnungen) - Update: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

2013-04-15T14:16:03Z

Update: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

14. Jänner 2009

CERT.at Empfehlungen zur Abwehr des Wurms Conficker

Aufgrund des Auftretens des Conficker.B/Downadup Wurms in teilweise kritischen Umgebungen wie Behörden und Spitälern empfiehlt CERT.at dringend die Beachtung der folgenden Hinweise, die unsere Warnung vom 10. Jänner 2009 (http://www.cert.at/warnings/all/20090110.html) ergänzen:

Generell gilt, dass ein Einspielen des Patches zu MS08-067 vom Oktober 2008 keinen ausreichenden Schutz darstellt, da der Wurm auch andere Methoden zur Ausbreitung nutzt.

CERT.at empfiehlt folgende präventive Maßnahmen:

Aktuelle Patches einspielen, insbesondere das Update zu MS08-067 http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
Sorgen Sie für eine aktuelle Antivirensoftware.
Abdrehen von Autorun für alle externen Datenträger http://support.microsoft.com/kb/953252/de
Shares sollten dringend mit nicht-trivialen Passwörtern gesichert sein
Aktivieren Sie Password Complexity für lokale Accounts http://technet.microsoft.com/de-de/library/cc786468.aspx

Mittlerweile haben mehrere Hersteller von Antivirensoftware nicht nur ihre Erkennungssoftware aktualisiert, sondern stellen auch Tools zur Entfernung des Wurms zum Download bereit.

Microsoft hat ein Update des "Malicious Software Removal Tools" MSRT publiziert, das auch über Windows Update verteilt wird. Da der Wurm diesen Mechanismus unterbindet empfiehlt CERT.at, dieses Tool von Hand zu laden und zu starten.

Siehe http://www.microsoft.com/austria/security/malwareremove/default.mspx

Das MSRT sollte insbesondere auf private PCs ausgeführt werden, und zwar unabhängig vom Lizenzstatus der Windowsinstallation.

Falls Ihr Firmennetz betroffen ist:

Deaktivieren Sie die automatische Benutzerkontensperre bei Login-Fehlversuchen, um das Aussperren von Benutzern zu verhindern.
Loggen Sie sich auf keinen Fall als Domain Administrator auf einem infizierten PC ein, da der Wurm dann Ihre Credentials zur Ausbreitung nutzen kann.
Scheuen Sie sich nicht, den Hersteller ihres Antivirenproduktes zu kontaktieren und um Hilfe zu bitten. Die Entwurmung von größeren Netzen ist nicht trivial.
Betreiber von kritischer Infrastruktur können sich bei Bedarf auch an CERT.at wenden; wir können Experten vermitteln.

Allgemeine Lage in Österreich

Die finnische Security-Firma F-Secure hat den Algorithmus geknackt, nach dem der Wurm die Domains berechnet, von denen er weiteren Code nachlädt. Diese Liste ist auf http://www.f-secure.com/weblog/archives/00001578.html verfügbar. Mit Hilfe dieser Liste können Systemverwalter a) das Nachladen von Schadcode verhindern, und b) Infektionen innerhalb des eigenen Netzes schnell erkennen.

F-Secure hatte am Wochenende einige der berechneten Domain selber registriert und so gesehen, von welchen IP-Adressen aus infizierte PCs Software nachladen wollten. Siehe http://www.f-secure.com/weblog/archives/00001579.html

Die Zahlen belegen, dass es sich um ein globales Phänomen handelt, und nicht um eine auf österreich (oder gar auf Kärnten) gerichtete Kampagne.

Symantec hat vergleichbares für die Conficker.A Variante gemacht und die Windows-Versionen aufgeschlüsselt. Siehe https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/224 und https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/225

Nach den vorliegenden Informationen enthält der Wurm aktuell keine direkten Schadensroutinen, sondern versucht weiteren Code nachzuladen. Es ist derzeit nirgendwo publiziert, was da eigentlich nachgeladen wird, primär weil die Webadressen, die probiert werden, schlicht (noch) nichts liefern.

Für die Schreiber des Wurms ist es damit möglich, zeitgesteuert beliebigen Code nachladen zu lassen. Was dieser dann tun wird, kann nicht vorhergesagt werden.

Informationsquelle(n):

Technet
http://blogs.technet.com/kfalde/archive/2009/01/08/malware-win32-conficker-b-w32-downadup-b.aspx
Technet
http://blogs.technet.com/rhalbheer/archive/2009/01/13/additional-information-on-conficker-msrt-removing-conficker.aspx
Technet
http://blogs.technet.com/gerhardg/archive/2009/01/14/entfernen-von-conficker-b.aspx
F-Secure
http://www.f-secure.com/weblog/archives/00001580.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

(Warnungen/Warnungen) - Computerwurm bedroht Behörden- und Firmennetzwerke

2013-04-15T14:16:03Z

Computerwurm bedroht Behörden- und Firmennetzwerke

10. Jänner 2009

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung.

Computerwurm bedroht Behörden- und Firmennetzwerke

CERT.at bittet um erhöhte Vorsicht, auch wenn der Patch zu MS08-067 eingespielt wurde.

Beschreibung

Die im November von Microsoft gefundene und gepatchte Schwachstelle im RPC-Dienst von Microsoft Windows wird aktiv von Schadsoftware ausgenutzt. Innerhalb eines LANs nutzt der Wurm dann auch andere Methoden zur Weiterverbreitung.

Auf diese Art wurden in der letzten Woche die IT mehrerer grösserer österreichischer Organisationen lahmgelegt.

Einschätzung

Risiko: steigend
Potential: sehr hoch

Hintergrund

Microsoft hatte schon im initialen Advisory im Oktober darauf hingewiesen, dass diese Schwachstelle das Potential hat, von einem Wurm zur Verbreitung genutzt zu werden. Es ist daher kein Fehlverhalten von Benutzern nötig, damit der Wurm weitere PCs infiziert.

Die aktuell im Umlauf befindlichen Würmer kombinieren die Ausnutzung von MS08-067 mit traditionellen Fortpflanzungstechniken wie das Durchprobieren von Passwörtern oder das Ablegen von Kopien in Shares.

Diese Kombination von Verbreitungsmethoden hat dazu geführt, dass es der Wurm geschafft hat, sich auch in geschützten Umgebungen auszubreiten. Dazu ist es nur nötig, dass ein einziges infiziertes System innerhalb des LANs aktiv wird.

Eine reine Sicherung der Netzwerkgrenzen ist daher nicht genug, wenn Laptops oder alternative Netzzugänge (UMTS, ...) Löcher in diesen Verteidigungsring brechen.

Auswirkungen

Der Wurmcode selber enthält (nach den bislang bekannten Information) keine Schadfunktion, er lädt aber aus dem Internet Programme nach und startet diese. Schadfunktion (z.B. Keylogger, Spamversand, ...) können daher nicht ausgeschlossen werden.

Als Seiteneffekt der Fortplanzungsversuche kann es auch zu gesperrten Accounts (wegen des Passwortratens) und hoher Last auf den internen Servern kommen.

Empfehlungen

Aktualisieren Sie Ihre Windows-Installationen, insb. sollte MS08-067 eingespielt sein.
Überprüfen Sie den Stand Ihrer Antiviren-Software. Insbesondere ist es wichtig, dass auch das RAM gescannt wird, da bei der Ausbreitung per RPC Dienst der Wurm gar nicht auf die Platte geschrieben wird.
Sorgen sie für nicht-triviale Passwörter.
Achten Sie darauf, dass mobile Geräte (z.B. Laptops) oder Datenträger (z.B. USB-Sticks) nicht den Wurm in Ihr Netz tragen.
Deaktivieren Sie Autorun für externe Datenträger.
Erhöhtes Monitoring Ihres Netzes, etwa:
- Beobachten Sie die Namensauflösungen der Clients: der Wurm frägt bestimmte Domains ab. (Siehe Links)
- Beachten Sie Meldungen zu fehlgeschlagenen Logins
- Beobachten Sie ihrer Proxy-logs: die nachgeladene Software kommt derzeit von bekannten Domainnamen.

Informationsquelle(n):

Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.A
Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.B
F-Secure
http://www.f-secure.com/weblog/archives/00001574.html
F-Secure
http://www.f-secure.com/weblog/archives/00001576.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
Internet Storm Center (SANS)
http://isc.sans.org/diary.html?storyid=5653
Computer Associates (CA)
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911
Computer Associates (CA)
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1

(Warnungen/Warnungen) - Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution

2013-04-15T14:16:03Z

Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution

12. Dezember 2008

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

UPDATE (17.12.2008): Out of Band Patch von Microsoft

Microsoft hat am Mittwoch, 17.12.2008 einen Patch veröffentlicht. Man beachte den Microsoft technet blog für Updates. CERT.at empfiehlt, den Patch per Autoupdate einzuspielen.

Beschreibung

In Versionen des Internet Explorers bis einschliesslich Beta 8 existiert eine Sicherheitslücke beim Parsen von XML Texten, die dazu führen kann, daß beliebiger Code beim Besuch von präparierten Webseiten mit den Rechten des angemeldeten Benutzers ausgeführt wird (CVE-2008-4844) und die Kontrolle über den Rechner erlangt werden kann. Microsoft hat hierzu eine Warnung herausgegeben.

Einschätzung

Risiko: steigend
Potential: sehr hoch

Hintergrund und Dimension

Eine Schwachstelle im Verarbeiten von XML Texten erlaubt es einem Angreifer, Code in den Rechner einzuschleusen. Sobald ein Benutzer auf eine manipulierte Webseite geht, wird ohne Vorwarnung der Schadcode durch die bekannt gewordene Lücke im Internet Explorer auf dem Rechner des Opfers ausgeführt. Meist wird dabei als erster Schritt andere Schadsoftware nachgeladen.

CERT.at weist darauf hin, dass bei ähnlichen Schwachstellen in der Vergangenheit die Angreifer auf verschiedenen Wege versucht haben, Nutzer auf ihre Seiten zu locken. Weiters wurde verstärkt versucht, über Schwachstellen in populären seriösen Webseiten (etwa per SQL-Injection oder Cross-Site Scripting) entsprechende Code-Fragmente einzubauen.

Obwohl die Sicherheitslücke gestern schon bekannt war, hat sich CERT.at entschlossen, gestern noch keine Warnung herauszugeben da nach allen bekannten Analysen nur chinesische Webseiten betroffen waren. Es wurde hierbei nur ein Gamekeylogger installiert. Durch das Auftauchen des Codes auf milw0rm.com sieht CERT.at allerdings die Gefährdung akut gesteigert. Wir erwarten in Zukunft somit Attacken auch ausserhalb Chinas.

Auswirkungen

Betroffene Systeme

Alle üblicherweise verwendete Versionen des Internet Explorers

Abhilfe

Es wird empfohlen, die Sicherheitsstufe im Internet Explorer auf "Hoch" zu setzen und die Schritte in der Microsoft Warnung zu befolgen. Da dies allerdings die Bedienbarkeit bestehender Webseiten, die Javascript verwenden, massiv beeinträchtigen kann, empfiehlt CERT.at bis zur Bereitstellung eines Patches seitens Microsoft, alternative Browser zu verwenden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Warnung
http://www.microsoft.com/technet/security/advisory/961051.mspx
ISC Internet Storm Center SQL Injection code
http://isc.sans.org/diary.html?storyid=5464
ISC Internet Storm Center SQL IE6 und IE8 betroffen
http://isc.sans.org/diary.html?storyid=5470

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Reader und Acrobat Professional

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Adobe Reader und Acrobat Professional

5. November 2008

Kritische Sicherheitslücke in Adobe Reader bis einschliesslich Version 8.1.2.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Reader bis einschliesslich 8.1.2 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann (CVE-2008-4812, CVE-2008-4813, CVE-2008-2992, CVE-2008-4817) und die Kontrolle über den Rechner erlangt werden kann. Diese Lücke betrifft genauso Adobe Acrobat Professional (Professional, 3D, and Standard) bis zur Version 8.1.2 . Adobe hat eine detaillierte Warnung herausgegeben.

Auswirkungen

Betroffene Systeme

PDF und damit Adobe Acrobat und Reader sind häufig verwendete Formate und Programme für den elektronischen Schriftverkehr. Adobe stellt Updates für Mac OS X und Windows Systeme zur Verfügung.

Abhilfe

Update des Adobe Readers oder Adobe Acrobat auf Version 8.1.3 oder 9 oder Blockieren von PDF Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/support/security/bulletins/apsb08-19.html verfügbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash). Falls Sie das Update manuell downloaden, empfehlen wir, ausschließlich den oben angegebenen Link zu verwenden!

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb08-19.html
Heise Meldung (deutsch)
http://www.heise.de/security/Mehrere-kritische-Luecken-im-Adobe-Reader-8-und-Acrobat-8-geschlossen--/news/meldung/118413
US-CERT Meldung zu APSB08-19
http://www.kb.cert.org/vuls/byid?searchview&query=APSB08-19

(Warnungen/Warnungen) - Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

2013-04-15T14:16:03Z

Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

24. Oktober 2008

Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

Wegen des Schadens-Potentials des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In den aktuellen Versionen von Microsoft Windows (Details siehe Meldung von Microsoft) gibt es eine Sicherheitslücke, die sich durch präparierte RPC-Requests von aussen ausnutzen lässt, und durch die potentiell beliebiger Code in das System eingeschleust werden kann.

Es gibt auch erste Hinweise darauf, dass versucht wird, diese Lücke aktiv auszunutzen.

Auswirkungen

Microsoft weist auch darauf hin, dass diese Lücke theoretisch das Potential hat, von einem Wurm wie "MSBlaster" (Wikipedia-Eintrag) ausgenutzt zu werden, und hat deshalb entsprechende Patches ausserhalb des gewohnten Update-Zyklus zur Verfügung gestellt.

Betroffene Systeme

Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

Details zu verwundbaren Patch-Levels/Service-Packs siehe www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Hinweis

Es sollte beachtet werden, dass auch hinter Firmen-Firewalls befindliche Systeme bzw. solche, die die Default-Firewall aktiv haben, nicht unbedingt auf Dauer sicher sind, da es durchaus vorstellbar ist, dass entsprechend präparierte Angriffe auf anderen Wegen als direkt über das Internet eingeschleust werden können.

Abhilfe/Workarounds

Einspielen der von Microsoft zur Verfügung gestellten Patches.
Dies geschieht für Windows-Systeme am einfachsten über einen Besuch der "Windows Update"-Webseite unter: windowsupdate.microsoft.com.

Als Erst-Massnahme (bis etwa die aktuellen Patches auf Betriebssicherheit getestet wurden) kann auch sichergestellt werden, dass der RPC-Dienst nicht von aussen erreichbar ist, dies ist jedoch keine dauerhafte Lösung des Problems.

Weiters kann der "Computer Browser Service" deaktiviert werden, Details siehe Meldung von Microsoft. Dies kann jedoch je nach Setup Auswirkungen auf die gewünschte Funktionalität des Systems bzw. der Umgebung haben.

Allgemeiner Hinweis zu Updates

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

CERT.at-Policy zu Warnungen

Wir weisen darauf hin, dass CERT.at nur vor besonders kritischen Sicherheitslücken warnt, die ernsthafte Auswirkungen auf das Internet bzw. grosse Teile der in Österreich installierten Systeme haben können. Reguläre Updates - etwa von Microsoft jeden 2. Dienstag im Monat (sog. "Patch Tuesday") zur Verfügung gestellt - werden von uns nicht extra aufgeführt.

Informationsquelle(n):

Microsoft Advisory
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Heise Meldung (deutsch)
http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst--/news/meldung/117867
SANS Internet Storm Center Meldung
http://isc.sans.org/diary.html?storyid=5227

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Flash-Player

2013-04-15T14:16:03Z

Kritische Sicherheitslücke in Adobe Flash-Player

17. Oktober 2008

Kritische Sicherheitslücke in Adobe Flash-Player bis einschliesslich Version 9.0.124.0.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Flash-Player bis einschliesslich 9.0.124.0 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann. Weiters wurden mit der aktuellen Version 10.0.12.36 auch Bugs bez. ClickJacking und einer potentiellen Port-scanning Lücke behoben.

Auswirkungen

Betroffene Systeme

Abhilfe

Update des Flash Players auf Version 10.0.12.36 oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash verfügbar.

ACHTUNG

Sucht man derzeit mit Google nach "flash player", so führt einer der angebotenen Links (www.flash-player-10.com) zu Downloads, die Schadsoftware enthalten. Nutzen Sie daher bitte den oben angegebenen Link!

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb08-18.html
Heise Meldung (deutsch)
http://www.heise.de/security/Kritische-Sicherheitsluecken-in-Adobe-Flash-9--/news/meldung/117496
Informationen zur ClickJacking-Lücke
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4503
Informationen zur Port-scanning - Lücke
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-4324

(Warnungen/Warnungen) - CERT.at publiziert DNS Bericht zur Lage in Österreich bzgl. Cache Poisoning.

2013-04-15T14:16:03Z

CERT.at publiziert DNS Bericht zur Lage in Österreich bzgl. Cache Poisoning.

24. Juli 2008 Angriffscode wurde veröffentlicht -- CERT.at publiziert Bericht zur DNS-Sicherheitslage in Österreich

Zusammenfassung

Schwerwiegende Sicherheitslücke im Domain Name System (DNS) des Internets entdeckt und automatisiert angreifbar geworden. CERT.at empfiehlt, rekursive DNS Server jetzt zu aktualisieren.

Die Diskussion um Dan Kaminsky's Entdeckung einer schwerwiegenden Schwachstelle im DNS System hat eine neue Wendung bekommen: während noch vor kurzem davon auszugehen war, dass Internet Service Provider (ISPs) und Firmen bis zum 6.August Zeit hatten, ihre rekursiven DNS Server zu patchen, verkürzte sich diese Zeitspanne nunmehr auf "bis gestern" nachdem Matasano die Details zu dem Angriff veröffentlichte. Wenig später nur war der Angriff schon automatisiert in Metasploit implementiert.

Untersuchungen von CERT.at zeigen, dass etwa 2/3 der aller rekursiven DNS Server in Österreich derzeit verwundbar sind.

Update, 28. 7. 2008:
Aktuelle Daten zeigen zwar leichte Fortschritte, es sind aber immer noch mehr als die Hälfte aller Server verwundbar.

Hintergrund

DNS (Domain Name System) ist das zentrale System im Internet, um eine Zuordnung von domains (wie zB www.google.com) zu IP Adressen (Internet Adressen) zu gewährleisten.

Die Schwachstelle im DNS System attackiert über sogenanntes "cache poisoning" zentrale DNS Server. Angreifern ist es somit möglich, eine gefälschte Antwort für DNS Anfragen in zentrale DNS Server einzuschmuggeln.

Während ein Internet Bentuzer einfach nur auf die Seite "www.meinebank.at" gehen will, kann der DNS Server schon eine falsche Antwort in seinem Zwischenspeicher ("cache") haben und in Wirklichkeit auf "www.boesercracker.com" zeigen. Der Internet Benutzer merkt hiervon nichts.

CERT.at hat die Situation aller DNS Server in Österreich untersucht und kommt zu dem Ergebniss, dass mind. zwei drittel aller DNS Server in Österreich angreifbar sind.

Im Zusammenspiel mit der mittlerweile automatisierbarene Angriffsmöglichkeit via Metasploit, möchten wir die Öffentlichkeit eindringlich erinnern, sämtliche DNS Server auf neuere Versionen aktualisieren.

Es wurde daher notwendig, alle verfügbaren Verteidigungsmechanismen einzusetzen, dazu gehört auch Source Port Randomization. Dieses Feature wurde in der letzten Zeit in Nameserversoftware eingebaut.

Abhilfe

Was kann gegen das Problem unternommen werden?

Überprüfen Sie, ob der DNS Server, den Sie verwenden angreifbar ist. (Linux Benutzer können dies auch mit dig +short porttest.dns-oarc.net TXT machen)
Falls Ihr DNS Server verwundbar ist, aktualisieren Sie ihn jetzt.
Falls Sie den DNS Server nicht updaten können, informieren Sie ihren Systemadministrator.

Informationsquelle(n):

CERT.at advisory
http://cert.at/warnings/all/20080708.html
BIND Nameserver
http://www.isc.org/index.pl
Leak pastebin
http://amd.co.at/dns.htm
Exploit veroeffentlicht
http://blogs.zdnet.com/security/?p=1545
CERT report
http://www.cert.at/
Cache poisoning
http://de.wikipedia.org/wiki/Cache_Poisoning
Bind updates
http://www.isc.org/sw/bind/
Dan Kaminksy's DNS checker test
http://www.doxpara.com/
Dan Kaminsky's initialer Bericht
http://www.doxpara.com/?p=1162
CERT.org Bericht
http://www.kb.cert.org/vuls/id/800113
Leak pastebin
http://amd.co.at/dns.htm
exploit published
http://blogs.zdnet.com/security/?p=1545
Dan Kaminsky's test
http://www.doxpara.com/
background on hackers finding out *everything* if they want to
http://searchsecurity.techtarget.com.au/articles/25718-What-we-can-all-learn-from-how-the-DNS-flaw-was-handled

(Warnungen/Warnungen) - Sun Java Remote Vulnerabilities

2013-04-15T14:16:03Z

Sun Java Remote Vulnerabilities

13. Juli 2008 Sun Java Remote Vulnerabilities

Zusammenfassung

US-CERT berichtet von neuen schwerwiegenden Schwachstellen in Sun Java, die es Angreifern ermoeglicht, mittels speziellen Websites, Untrusted Java Applets auf eine lokale Maschine einzuschleusen, dort ungehindert Netzwerkverbindungen zu oeffnen und Dateien zu lesen, zu schreiben und evt. auch auszufuehren.

Laut US-CERT wird ein Upgrade dringend empfohlen.

Auswirkungen

Mittels spezieller Websites ist es moeglich, Java Applets mit Schadcode auf den lokalen Rechner zu installieren, der ohne Sicherheitscheck lesend und schreibend auf Dateien und Netzwerkressourcen zugreifen darf.

Betroffene Systeme

Ein Grossteil aller installierten Client-Systeme mit Webbrowser hat auch Sun JRE installiert, im geschaeftlichen Umfeld aus Kompatibilitaetsgruenden mit geschaeftlichen Anwendungen oft veraltete Versionen.

Sun JDK und JRE 6 Update 6 und fruehere
Sun JDK und JRE 5.0 Update 16 und fruehere
Sun SDK und JRE 1.4.2_17 und fruehere
Sun SDK und JRE 1.3.1_22 und fruehere

Java Implementationen / JREs anderer Hersteller sind hiervon nicht betroffen.

Abhilfe

US-CERT empfiehlt, folgende Patches einzuspielen oder Java zumindest im Webbrowser komplett zu deaktivieren.

Java im Webbrowser deaktivieren: http://www.us-cert.gov/reading_room/securing_browser/

Patches von Sun:

JDK and JRE 6 Update 7
JDK and JRE 5.0 Update 16
SDK and JRE 1.4.2_18
SDK and JRE 1.3.1_23

http://java.sun.com/javase/downloads/index.jsp

Informationsquelle(n):

US-CERT Advisory
http://www.us-cert.gov/cas/techalerts/TA08-193A.html

(Warnungen/Warnungen) - Angriffe auf die Caches von DNS Resolvern.

2013-04-15T14:16:03Z

Angriffe auf die Caches von DNS Resolvern.

8. Juli 2008 Angriffe auf die Caches von DNS Resolvern.

Zusammenfassung

Es wurde ein neuer Angriff auf die Integrität von Caches von Nameservern bekannt, der das Einschleusen von falschen Daten deutlich vereinfacht.

Für die meiste Nameserversoftware haben die Hersteller Updates herausgegeben, die mittels "Source Port Randomization" die Erfolgswahrscheinlichkeit dieses Angriffs minimieren.

Es wird dringend empfohlen, diese Updates einzuspielen. Details zu dem Angriff werden in den nächsten Wochen publik, und dann ist mit massiven Angriffsversuchen zu rechnen.

Autoritative Nameserver sind davon nicht betroffen.

Beschreibung

Das Domain Name System sorgt für die Auflösung von Domainnamen zu IP Adressen und anderen Adressierungsinformationen im Internet.

Recursive (Caching) Nameserver ("Resolver") nehmen Anfragen von Clients entgegen, fragen die relevanten autoritativen Nameserver und leiten die Antworten an die Kunden weiter. Antworten werden auch zwischengespeichert und für andere Anfragen wiederverwendet.

Es ist seit längerem bekannt, dass sich diese Caches durch gezieltes Fälschen von Antwortpaketen manipulieren lassen. Siehe etwa draft-ietf-dnsext-forgery-resilience.

Das neu entdeckte Angriffsmuster reduziert den Aufwand für einen erfolgreichen Angriff signifikant. Damit ist dies keine theoretische Schwachstelle mehr; "cache poisoning" ist somit machbar geworden.

Auswirkungen

Ein erfolgreichen Cache Poisoning Angriff führt dazu, dass der Nameserver falsche Daten an seine Clients liefert. Ist der Nameserver der eines grossen ISPs oder einer grösseren Organisation, so kann ein einzelner erfolgreicher Angriff viele Clients betreffen.

Falsche DNS Antworten bewirken typischerweise, dass falsche IP Adressen für nachfolgenden Verbindungen verwendet werden. Das kann unter anderem folgende Auswirkungen haben:

Denial of Service
Webbrowser werden auf falsche Webserver geleitet.
Ausgehende Mail wird an falsche Mailserver übergeben.
Webbrowser nutzen auf falsche Proxyserver
...

Betroffene Systeme

Direkt alle recursive Nameserver, indirekt alle deren Clients da diese den Antworten ihrer Nameserver vertrauen.

Abhilfe

Aktuelle Versionen von Nameserversoftware minimieren die Chancen eines Angreifers. Ein Upgrade und das Aktivieren von Source Port Randomization ist daher dringend angeraten.

Für BIND siehe:
http://www.isc.org/index.pl?/sw/bind/bind-security.php
http://www.debian.org/security/2008/dsa-1603

Für Microsoft siehe:
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

Für Nominum CNS siehe:
http://nominum.com/asset_upload_file741_2661.pdf

Bei PowerDNS, MaraDNS und Unbound ist das schon jetzt Standard, es sind keine Updates nötig.

Update (2008/07/24)

Details zu diesem Angriff sind jetzt publik geworden, und Code zum Ausnutzen der Schwachstelle wurde auch schon publiziert. Wir raten daher dringendst, die empfohlenden Updates einzuspielen.

CERT.at hat einen Report über den Status der Absicherung der Nameserver veröffentlicht.

Informationsquelle(n):

US-CERT Advisory
http://www.kb.cert.org/vuls/id/800113
Securosis Blog
http://securosis.com/2008/07/08/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-released/

(Warnungen/Warnungen) - Kritische Schwachstelle in Adobe Flash Player vor Version 9.0.124.0

2013-04-15T14:16:03Z

Kritische Schwachstelle in Adobe Flash Player vor Version 9.0.124.0

30. Mai 2008

Kritische Sicherheitslücke in Adobe Flash Player vor Version 9.0.124.0.

Die einschlägigen Medien haben schon ausführlich berichtet, ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at nochmals um Beachtung der folgenden Hinweise:

Beschreibung

In Versionen des Adobe Flash Player älter als 9.0.124.0 wird eine Lücke im Adobe Flash Player aktiv ausgenutzt, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann.

Auswirkungen

Betroffene Systeme

Abhilfe

Update des Flash Players auf Version 9.0.124.0 oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash verfügbar

Informationsquelle(n):

Meldung des Adobe PSIRT
http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue.html
Meldung bei Heise Security (Deutschsprachig)
http://www.heise.de/security/Kritische-Schwachstelle-im-Flash-Player-wird-aktiv-ausgenutzt-Update--/news/meldung/108560

(Warnungen/Warnungen) - Sicherheitsproblem mit OpenSSL/OpenSSH

2013-04-15T14:16:03Z

Sicherheitsproblem mit OpenSSL/OpenSSH

15. Mai 2008

Das Debian Projekt hat eine Warnung zu einem Sicherheitsproblem mit OpenSSL/OpenSSH veröffentlicht.

Die einschlägigen Medien haben schon ausführlich berichtet, ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at nochmals um Beachtung der folgenden Hinweise:

Beschreibung

Die unter Debian erzeugten OpenSSH und OpenSSL Keys waren verwundbar, da die vom Pseudo Random Number Generator erzeugten Zufallszahlen nicht wirklich zufällig waren.

Auswirkungen

Dies bedeutet, dass gewisse SSH Keys und OpenSSL Zertifikate für einen Angreifer erratbar und die damit verschlüsselten Nachrichten entschlüsselbar sind.

Damit ist die Serverauthentizitätsprüfung mittels Hostkeys und die Userauthentisierung durch SSH Authorized Keys nicht mehr sicher.

Betroffene Systeme

Der Fehler betrifft OpenSSL ab Version 0.9.8c-1, diese wurde 17. 9. 2006 von Debian veröffentlicht und auch von abgeleiteten Linux-Distributionen wie Ubuntu oder Knoppix übernommen. Die alte "stable" Version "sarge" ist nicht betroffen.

Der Fehler betrifft die Erzeugung von Schlüsseln: wo diese dann eingesetzt werden spielt keine Rolle. Ein simpler Update der Software löst das Problem daher nicht: es müssen auch alle mit den besagten Versionen erstellten Schlüssel ersetzt werden!

Abhilfe

Es wird dringend empfohlen, die von Debian und Ubuntu bereitgestellten Patches zu installieren.
Siehe http://www.debian.org/security/2008/dsa-1571, http://www.debian.org/security/2008/dsa-1576 und http://www.ubuntu.com/usn/usn-612-1.

Hintergrund

Ursprünglich haben die Debian Entwicker einen Funktionsaufruf in OpenSSL entfernt, der die Zufallszahlen durchmischen sollte, weil das Analysetool 'valgrind' ziemlich viele Warnungen wegen nicht initialisierter Variablen aufwarf. Das hat zur Folge dass der Zuffallszahlengenerator nur noch die PID (ProzessID) als Grundlage der Zufallszahl heranzieht: also eine Zahl zwischen 0 und 32768.

Nach Bekanntwerden der Sicherheitslücke hatte Debian zuerst ein Vulnerability Check Tool bereitgestellt (http://security.debian.org/project/extra/dowkd/dowkd.pl.gz), welches eine Liste aller verwundbaren Schlüssel in allen ihren gängigen Kombinationen (also Format wie OpenSSL, OpenSSH, OpenVPN ... , Bit-Breite wie 1024, 2048... Typ RSA, DSA, etc..) enthält.

Diese Liste aller möglichen Schlüsselpaare ist auch schon in automatisierten Test- aber auch Angriffstools eingebaut worden. Dies bedeutet, dass auch technisch wenig versierte Angreifer ("script kiddies") diese Lücke trivial ausnützen können.

Was bedeutet dies in der Praxis?

Überall, wo die Schlüssel direkt zur Authentisierung verwendet werden, kann ein Attacker mittels Durchprobieren der entsprechenden Schlüssel in das System eindringen. (z.b.: authorized_keys bei SSH)

Jede aufgezeichnete Kommunikation, die mit diesen Schlüsseln gesichert war, ist innerhalb kurzer Zeit entschlüsselbar.

Überall, wo Schlüssel, Signaturen oder Zertifikate zur Verifikation des Gegenübers oder der Nutzdaten eingesetzt werden, ist eine Verfälschung dieser Informationen möglich.

Das betrifft auch gekaufte (HTTPS-) Zertifikate oder CACert-Zertifikate, wenn sie vom User mit OpenSSL direkt erstellt wurden und nur zur Signierung an die CA geschickt wurden.

Bei Fragen: Kontakt

Quellen: Debian, Ubuntu, ISC, Adrian Dabrowski

(Warnungen/Spezielles) - Special Report: Der Spamhaus/CloudFlare/Stophaus Denial of Service Angriff

2013-05-24T23:51:49Z

Special Report: Der Spamhaus/CloudFlare/Stophaus Denial of Service Angriff

8. April 2013

Über den Denial-of-Service Angriff auf Spamhaus war in den Medien in den letzten Wochen viel zu lesen. Auch für CERT.at als nationales CERT von Österreich war das eine interessante Zeit.

Wir wollen in dem jetzt vorliegenden Bericht die Fakten zusammenfassen und vor allem darstellen, welche Lehren Österreich aus diesem Vorfall ziehen sollte.

Der österreichische Kaiser soll, nachdem er von den Vorgängen im Paris der französischen Revolution erfahren hat, angeordnet haben in der Wiener Innenstadt die Kopfsteinpflaster durch größere Steinplatten zu ersetzen. Er wollte nicht, dass das Material für Angriffe sprichwörtlich auf Strasse liegt. Die gleiche Situation haben wir auch hier: Aktuell haben uns die Angriffe nicht getroffen, aber wir haben gelernt, wie viele Plastersteine (hier jetzt "offene rekursive Nameserver") in unseren Netzen herumliegen.

Wir sollten diese dringend wegräumen.

Zusammenfassung

In der zweiten Märzhälfte 2013 kam es zu einer Serie von heftigen Denial-of-Service Angriffen auf "Spamhaus", einem Anbieter von Anti-Spam Blocklisten. In manchen Medien wurde dieser als Gefahr für die Stabilität des Internets beschrieben.

Das war weit übertrieben: weder war die Angriffsmethode neu, noch war die Angriffsstärke um Größenordnungen höher als das bisher gesehene. Die Kollateralschäden für unbeteiligte Dritte blieben auf wenige Punkte im Netz beschränkt: die überwiegende Mehrheit der Internet-Nutzer blieb von dem Ereignis völlig unberührt.

Sowohl die Angreifer als auch die Verteidiger haben während des Angriffs ihre Strategien flexibel an die Reaktion des Gegners angepasst, letztlich war aber die gut eingespielte Kooperation der Betriebsführungsteams der Netzbetreiber erfolgreich und diese konnten die Attacken gemeinsam abwehren. CERT.at als das österreichische nationale CERT ist in diese globale Zusammenarbeit eingebunden.

Dennoch hat der Angriff einige Probleme aufgedeckt, die behoben werden sollten:

Fehler in der Absicherung der Internet-Basisinfrastruktur (Filter in Routing-Protokollen, Control-Plane Protection, …)
Mangelnder Schutz gegen das Einspeisen von gefälschten IP-Paketen
Fehlkonfiguration bei Nameservern, die sich dadurch als Angriffs-Verstärker ausnutzen lassen

Informationsquelle(n):

Report
http://www.cert.at/static/downloads/specials/20130408-cert.at-report-ddos.pdf

(Warnungen/Spezielles) - Special Report: "Hacktivism" - Vorbereitung auf den Ernstfall

2013-03-20T11:05:16Z

Special Report: "Hacktivism" - Vorbereitung auf den Ernstfall

29. März 2012

Die Sicherheitslage in Österreich kann aktuell als angespannt bezeichnet werden. AnonAustria hat angekündigt gegen die Einführung Vorratsdatenspeicherung mittels Netz-Aktivismus vorzugehen. Hierbei ist dezidiert mit Hackingangriffen unterschiedlicher Ausprägungen zu rechnen.

CERT.at bietet hiermit eine Zusammenstellung einiger nützlicher Tipps zur kurzfristigen Vorbereitung sowie Reaktion für alle potentiell gefährdeten und betroffenen Organisationen. Diese Liste erhebt keinerlei Anspruch auf Vollständigkeit.

Wichtig: Dieser Leitfaden enthält primär Empfehlungen hinsichtlich der Reaktion auf Angriffe die mediale Breitenwirksamkeit und demonstrative Absichten als Hintergrund haben. Solch geartete Angriffe sind auch unter den Begriffen "Netz-Aktivismus" und "Hacktivism" bekannt.

Know your enemy!

Erst wenn eine Organisation verstanden hat, aus welchen Motiven heraus sie Opfer werden könnte oder bereits geworden ist, kann sie sich entsprechend richtig vorbereiten und/oder im Ernstfall korrekt reagieren.

Was ist das Ziel von "Netz-Aktivismus"?

Netz-Aktivismus ist eine moderne Form der Demonstration. Vermeintlich ungehörte Meinungen sollen durch Erregung von öffentlicher Aufmerksamkeit mit entsprechendem Nachdruck kundgetan werden.

Dabei zeigt die Vergangenheit, dass nahezu jedes Mittel recht scheint - zumindest, solange sich ein Bezug zur eigentlichen Botschaft herstellen lässt.

Der wichtigste Aspekt hinter derartigen Angriffen ist demnach die öffentliche Wirkung. Dieses Bewusstsein ist für die richtige Bewältigung solcher Vorfälle maßgeblich entscheidend: der Schwerpunkt liegt auf der Öffentlichkeitsarbeit.

Neben den ebenso wichtigen technischen Agenden entscheiden die öffentlichen Statements über die für die betroffene Organisation positive oder negative Bewältigung eines etwaigen Angriffs.

Ich bin gefährdet. Was kann ich tun? Wie kann ich mich vorbereiten?

Eine erfolgreiche Bewältigung eines bereits eingetretenen Ernstfalles steht und fällt mit den entsprechend getroffenen Vorkehrungen. Hierzu sei erwähnt, dass dieser Leitfaden nicht mehr nur von einer fiktiven Bedrohung ausgeht, sondern von dem Szenario, dass ein Angriff gerade bevorsteht. Etwaige langfristige technische Sicherheitsvorkehrungen sind somit nicht mehr umsetzbar.

"Hau-Ruck"-Aktionen

Kurzschlussreaktionen sind fehl am Platz. Ungetestete Maßnahmen zum Beheben bereits bekannter Schwachstellen stellen dann eventuell erst recht die Ursache für Systemprobleme dar. Sämtliche Maßnahmen müssen auch in diesem Fall durchdacht, getestet und geprüft werden.

Erreichbarkeit

Ein Ernstfall - "ich wurde gehackt!" - ist für die meisten Betroffenen ein Schockerlebnis. Es ist essentiell zu wissen, WER für WAS zuständig ist und WIE und WO handlungsfähige Personen erreicht werden können.

Dies betrifft in erster Linie folgende Aufgabenbereiche:

Treffen unternehmensrelevanter Entscheidungen
Kontakt zu Kollateral-Geschädigten (Kunden, Geschäftspartner)
Kontakt zur Presse
Prüfung auf rechtliche Konsequenzen und Pflichten
Technische Schadensbegrenzung

Organisationen mit einem existierenden Krisenmanagement sollten dies hinsichtlich der Brauchbarkeit bei IT-Sicherheitsvorfällen überprüfen und gegebenenfalls adaptieren.

Backups

Immer wenn ungewollte Datenveränderungen auftreten, wird der Ruf nach Backups laut. Selbiger verstummt aber recht schnell bzw. ändert sich in einen Aufschrei der Empörung, sollten diese beispielsweise

veraltet
beschädigt
nicht zugreifbar
nicht (vollständig) vorhanden

sein.

Stellungnahme

Die vergangenen Ereignisse zeigten nachhaltig, dass Vertuschung nicht hilfreich ist. Gerade im Kontext von Netz-Aktivismus, kann der Versuch, etwas zu verschweigen, sehr rasch aus einer "kleinen Meldung" ein PR-Desaster entstehen lassen.

Eine transparente Stellungnahme, mit entsprechend realistischer und konstruktiver Betrachtungsweise, kann bereits initial die gröbsten Wogen glätten.

Tatsächlich könnte es sogar eine Überlegung wert sein, als Erster an die Öffentlichkeit zu gehen - sozusagen ein "medialer Erstschlag". Dies kann dem Angreifer weiteren Wind aus den Segeln nehmen und man hat zudem gewisse Kontrolle, auf welche Art und Weise der Vorfall in der Öffentlichkeit bekannt wird.

Falschmeldungen können in Extremfällen sogar zu weiteren Angriffen führen.

In dieser Hinsicht kann es durchaus Sinn machen, eine entsprechende Stellungnahme bereits im Vorfeld auszuarbeiten. Im Ernstfall kann man sich dann auf eine fertig vorbereitete und durchdachte Stellungnahme verlassen. Diese muss danach nur mehr adaptiert werden, was den Stressfaktor wesentlich reduziert. Somit macht es (je nach Organisation) Sinn, eine oder auch mehrere der folgenden Stellungnahmen, nach Adressaten (Stakeholdern) unterschieden, vorzubereiten:

Mitarbeiter
Presse
Kunden
Geschäftspartner
Datenschutzkommission
...

Erhöhte Sensibilisierung

Wenn abzusehen ist, dass in naher Zukunft Angriffsversuche bevorstehen, kann es durchaus Sinn machen, entsprechende Monitoring-Systeme wie Logging, IDS, IPS, maximale Anzahl an Login-Fehlversuchen ... wo möglich temporär in einen sensibleren oder auch "gesprächigeren" Modus zu versetzen. Insbesondere letzteres kann eine eventuell angestrebte Beweissicherung deutlich unterstützen und aufwerten.

Rechtliche Folgen

Sollte es bei einer eventuellen Attacke nicht "bloß" bei einem der "Klassiker", wie die Veränderung der Website (Defacement) oder einem Denial of Service (DOS) bleiben, sondern auch sensible Daten abhanden gekommen sein, so kann das durchaus rechtliche Konsequenzen haben. Laut österreichischem Datenschutzgesetz besteht eine Informationspflicht der betroffenen Personen bei Verlust der Vertraulichkeit. Entsprechende Abklärung bereits im Vorfeld, wie hier die rechtlichen Verpflichtungen aussehen erleichtert es im Ernstfall die hierfür vorgegebenen Prozesse einzuhalten.

Ich bin Opfer. Was kann ich tun? Wie soll ich mich verhalten?

Keep cool!

Von Anfang an Marketing/PR und Technik einbinden
Problem nicht gleich zu Beginn herunterspielen
- Nichts ist peinlicher, als Zug um Zug in der Presse immer größere Probleme eingestehen zu müssen
Keine Zahlen nennen, die nicht gesichert sind
- Wenn überhaupt
Bestehen eines Problems nicht verleugnen
Keine Zeitspannen nennen, die nicht gesichert sind

Auf gar keinen Fall sollten Sie sich zu aus dem ersten Schock resultierenden Kurzschlusshandlungen hinreißen lassen.

Dazu gehören zum Beispiel folgende:

Server vom Stromnetz nehmen
Ad-hoc-Presseaussagen
Presseaussagen mit unklaren Daten

Solche überhasteten Aktionen können sehr rasch zum Verlust von Beweisen wie auch zu eventuell noch viel größeren Kollateralschäden führen.

Aktualität der gefundenen Hinweise

Handelt es sich wirklich um einen aktuellen Angriff oder wurden nur Spuren einer alten Attacke aufgestöbert?

Unsere Erfahrungen zeigen, dass Systeme oftmals Spuren von bereits vor geraumer Zeit stattgefundenen Einbrüchen/Einbruchsversuchen aufweisen.

Professionelle Hilfe - CERT.at kontaktieren

Generell empfiehlt es sich, CERT.at bei IT-Sicherheitsvorfällen aller Art, vor allem im Bereich der kritischen Infrastrukturen, zu kontaktieren (bzw. GovCERT.gv.at falls der Vorfall mit einer Behörde oder Organisation der öffentlichen Hand in Verbindung steht).

CERT.at hilft bei der Bewältigung von Vorfällen im IT-Security-Bereich durch entsprechende Vermittlung an Behörden, Branchen sowie Organisationen bzw. in speziellen Fällen durch Task Forces vor-Ort weiter.

Weiters überprüft CERT.at inwiefern eventuell auch noch Dritte betroffen sein könnten und schickt in einem solchen Fall entsprechende Warnungen und weiterführende Informationen aus.

CERT.at nimmt bei größeren Ereignissen die Rolle der Informationsdrehscheibe und Koordinationsstelle war. Ziel ist die Schadensprävention bzw. Schadensminimierung und eine bestmögliche, effiziente Abwicklung.

Vertraulichkeit: CERT.at behandelt generell jegliche übermittelte Information als vertraulich, und wird diese nicht ohne Zustimmung weitergeben, ausser dies ist implizit zur Bearbeitung eines Vorfalls nötig, siehe auch http://cert.at/about/scope/scope.html.

Externe Hilfe

Betroffene Organisationen sollten sich frühzeitig an den IT-Dienstleister Ihres Vertrauens wenden. Weiters gibt es am österreichischen Markt auch eine Vielzahl an spezialisierten IT-Sicherheits-Dienstleistern, die mit ihrer Erfahrung bei der erfolgreichen und richtigen Bewältigung professionelle Unterstützung leisten können.

Mediale Stellungnahme

Jede mediale Stellungnahme - ob vorbereitet oder nicht - sollte auf jeden Fall von Marketing/PR und Technik vor Veröffentlichung geprüt werden.
Je nachdem, wie die Organisation positioniert ist, wird früher oder später eine solche auch aktiv von den Medien eingefordert werden.

Wir verweisen an dieser Stelle noch einmal explizit auf das Konzept eines "medialen Erstschlages" ... siehe oben.

Einschalten der Exekutive

Falls der Verdacht besteht, dass der Einbruch in Zusammenhang mit Anonymous/AnonAstria steht, ersucht das in diesem Zusammenhang ermittelnde BVT (Bundesamt für Verfassungsschutz und Terrorismusbekämpfung) um Meldung an post@bvt.gv.at.

Wurde in ein IT-System wie auch immer geartet eingebrochen und eventuell sogar Daten verändert und/oder gestohlen, so kann es sich hierbei durchaus um eine strafrechtlich relevante Tat handeln. Im Zweifelsfall empfehlen wir eine Abklärung mit der Exekutive - das Bundesministerium für Inneres (BMI) hat hierfür eine Erstanlaufstelle (und zwar nicht wie angegeben "nur" für Internetbetrug) eingerichtet. Nähere Informationen hierzu finden Sie unter
http://www.bmi.gv.at/cms/BK/meldestellen/internetkrimina/start.aspx.

Gerne stellen wir auch als CERT.at den Kontakt zu entsprechenden Behörden her.

Rechtliche Konsequenzen und Pflichten der betroffenen Organisation

Wie bereits bei den Vorbereitungsmaßnahmen erwähnt, können Einbrüche auch rechtliche Konsequenzen für die betroffene Institution selbst haben und mit gesetzlichen Pflichten einhergehen. Als Beispiel hierfür ist der Verlust von persönlichen Daten der Kunden und die daraus resultierende Informationspflicht zu nennen (Datenschutzgesetz).

(Warnungen/Spezielles) - Special Report: Erfahrungswerte aus den Webserver‐Sicherheitsvorfällen von 2011

2013-03-20T11:05:16Z

Special Report: Erfahrungswerte aus den Webserver‐Sicherheitsvorfällen von 2011

22. November 2011

Zusammenfassung

Im Sommer und Herbst 2011 kam es zu diversen Einbrüchen bei bekannten Webseiten in Österreich. Es wurden sensible Daten kopiert und auszugsweise veröffentlicht, was zu einem erheblichen materiellen und auch immateriellen Schaden geführt hat. Das Team von CERT/GovCERT und Fachleute des BVT waren an der Vorfallsbehandlung und Analyse aktiv beteiligt. Dabei stellte sich heraus, dass eine Reihe von Fehlern in der Betriebsführung diese Einbrüche begünstigt hatte.

Gemeinsam wurde daher ein Erfahrungsbericht erstellt, der jetzt auch in einer öffentlichen Version vorliegt.

Dieses Dokument basiert auf den bei diesen Einsätzen gesammelten Erfahrungen und will diese Lehren an alle Betreiber von Webservern in Österreich weitergeben, damit diese die Sicherheit ihrer Infrastruktur verbessern können. Die hier vorliegende Liste mit Empfehlungen ist kein umfassendes Handbuch und erhebt keinen Anspruch auf Vollständigkeit. Für eine erschöpfende Behandlung des Themas Sicherheit von Onlinediensten siehe etwa https://www.sicherheitshandbuch.gv.at/ oder andere entsprechende Fachliteratur.

Die im Bericht enthaltene Punkte sind daher primär als Denkanstoß und als Checkliste für Sofortmaßnahmen zu sehen, damit aus den Fehlern dieses Jahres gelernt werden kann und so weitere Einbrüche vermieden werden können.

Informationsquelle(n):

Erfahrungsbericht
http://www.cert.at/static/downloads/specials/20111122-cert.at-report-websicherheit-public.pdf

(Warnungen/Spezielles) - Special Report: Einbruch bei DigiNotar

2013-03-20T11:05:16Z

Special Report: Einbruch bei DigiNotar

8. September 2011

Zusammenfassung

Anfang September wurde bekannt, dass ein Angreifer in die niederländische Certification Authority (CA) "DigiNotar" eingebrochen hatte und sich unbefugt Zertifikate für diverse Domains (u.A. google.com) ausgestellt hatte. Diese wurden für Abhörangriffe auf Iranische Bürger benutzt.

Die betroffenen CAs wurden inzwischen von einigen Browser- und Betriebssystemherstellern aus deren Systemen gestrichen, dadurch werden auch legitime Zertifikate von DigiNotar nicht mehr als gültig anerkannt.

Da Zertifikate von DigiNotar in den Niederlanden für die staatlichen Public-Key-Infrastructure benutzt werden, hat dieser Angriff ernste Folgen für die dortige IT-Infrastruktur.

Der vorliegende Bericht von CERT.at dokumentiert den Vorfall, untersucht die Auswirkungen auf Österreich und zeigt auf, welche Lehren daraus für die Zukunft gezogen werden können.

Informationsquelle(n):

CERT.at Zwischenbericht zum Einbruch bei DigiNotar
http://www.cert.at/static/downloads/specials/CERT.at_report_DigiNotar_Breach_public.pdf
Factsheets von GOVCERT.NL
https://www.govcert.nl/english/service-provision/knowledge-and-publications/factsheets
Timeline (SANS Storm Center)
https://isc.sans.edu/diary.html?date=2011-09-01

(Warnungen/Spezielles) - Special Report: Erkennung von Stuxnet

2013-03-20T11:05:16Z

Special Report: Erkennung von Stuxnet

27. September 2010

Zusammenfassung

Aktuell kursiert Schadsoftware, die die Manipulation von industriellen Steuerungsanlagen der Marke Siemens SIMATIC zum Ziel hat. Die aktuelle Schadsoftware ("Malware") verbreitet sich über mehrere Schwachstellen in Microsoft Windows und infiziert, über die zur Steuerung und Programmierung der Anlagen (SIMATIC, WinCC, PCS7) verwendeten Windows PCs, die industriellen Anlagen selbst. Die Auswirkungen können von Industriespionage, über sicherheitsrelevante Fehlfunktionen in den Steuerungssystemen bis zu Systemausfällen führen. Es sind daher entsprechende Maßnahmen zur Erkennung von Infektionen und Absicherung der Anlagen zu treffen.

Der Hersteller Siemens stellt eine Anleitung zur Kontrolle und Bereinigung der Systeme zur Verfügung.

Der vorliegende Bericht von CERT.at zeigt auf, wie man lokal und mittels Netzwerkmonitoring feststellen kann, ob potentiell eine Infektion im eigenen Unternehmen stattgefunden hat.

Ergänzend hat Ikarus einen informativen und detaillierten Bericht über Stuxnet verfasst.

Informationsquelle(n):

CERT.at Bericht zur Erkennung von Stuxnet
http://www.cert.at/static/downloads/specials/stuxnet-report_public.pdf
Siemens Informationsseite zu Stuxnet (englisch)
http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view
Ikarus Report zu Stuxnet (lesenswert!)
http://www.ikarus.at/de/business/community/blog/index.html?blog=/blog/2010-10/2010_10_08_stuxnet_kurzbericht.html&action=detail

(Warnungen/Spezielles) - Status zu Conficker und 1. April 2009

2013-03-20T11:05:16Z

Status zu Conficker und 1. April 2009

31. März 2009

Anlässlich der Aufmerksamkeit, die das Thema Conficker/Downadup und 1. April momentan in den Medien erfährt, hat CERT.at hier die wichtigsten Fragen&Antworten zusammengefasst.

Was passiert am 1. April 2009?

Basierend auf verschiedenen technischen Analysen wurde herausgefunden, dass Systeme, die mit dem aktuellen Conficker-Wurm infiziert sind, versuchen werden, über einen neuen Algorithmus Code aus dem Internet nachzuladen. Bisher wurden keine anderen Hinweise auf Aktivitäten des Wurms, die den 1. April betreffen, gefunden.

Wird es am 1. April 2009 eine neue Version des Conficker-Wurms geben?

Es ist durchaus möglich, dass Systeme, die vom aktuellen Conficker-Wurm befallen sind, am 1. April neuen Code über den neuen Domainnamen-Algorithmus nachladen werden. Diese Systeme konnten aber auch schon bisher über eine Peer-to-Peer - Methode von den Wurm-Autoren mit neuem Code versorgt werden.

Sollte die Öffentlichkeit besorgt sein?

Nein, die Öffentlichkeit sollte nicht besorgt sein. Die meisten Privatbenutzer sind bereits durch die automatische Installation des Microsoft-Patches MS08-067 vor dem Wurm geschützt.

Wie kann ich herausfinden, ob mein PC befallen ist, und was soll ich dann tun?

Unter http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools (englisch) befindet sich eine Liste an Tools, mit denen befallene Systeme erkannt und gegebenenfalls gesäubert werden können.
Auch Microsoft bietet via http://safety.live.com/ Möglichkeiten zur Analyse/Entfernung.

Diese Seiten sind aber gerade von befallenen Systemem aus oft nicht erreichbar.

Ist das Entfernungs-Tool XYZ geeignet, um befallene Systeme zu erkennen und zu reparieren?

Wir warnen ausdrücklich vor sogenannten "Trittbrettfahrern", die momentan versuchen, mit falschen Entfernungs-Tools noch mehr PCs unter ihre Kontrolle zu bringen, und ersuchen, nur die von der Conficker Working Group oder anderen seriösen Institutionen empfohlenen Entfernungs-Tools zu verwenden.

Empfehlungen

Wir empfehlen, dass Benutzer, die automatische Updates noch nicht aktiviert haben, dies tun, und sicherstellen, dass die installierte Sicherheitssoftware (Firewall, Anti-Viren-Software) immer auf aktuellem Stand ist, vgl. auch http://www.microsoft.com/germany/athome/security/viruses/conficker.mspx.

Firmen wird empfohlen, sicherzustellen, dass der Microsoft-Patch MS08-067 auf allen System installiert ist, von Conficker (egal welcher Version) befallene Systeme zu säubern, die Signaturen der Anti-Viren-Software aktuell zu halten und zusätzliche Sicherheitsmassnahmen - wie zB von Microsoft in http://technet.microsoft.com/de-de/security/dd452420(en-us).aspx (englisch) vorgeschlagen - zu evaluieren.

Informationsquelle(n):

Wikipedia-Eintrag zu Conficker
http://de.wikipedia.org/wiki/Conficker
Liste von Repair Tools (englisch)
http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools

(Services/Services) - Services

2013-03-20T11:05:17Z

Services

Neben den Warnungen und den Downloads bietet CERT.at noch einige Services direkt über diese Webseite an.

(Services/Feeds) - Feeds

2013-03-20T11:05:17Z

Feeds

Wenn Sie neue Meldungen von CERT.at in ihrem RSS/Atom Feed Reader lesen wollen, dann wählen Sie bitte aus den folgenden Feeds aus:

Warnungen

Alle Warnungen von www.CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.warnings.all.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.warnings.all.atom_1.0.xml

Spezielles

Spezielle Themen von www.CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.warnings.specials.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.warnings.specials.atom_1.0.xml

www.CERT.at gesamt

Der gesamte deutschsprachige HTML-Content von www.CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.atom_1.0.xml

CERT.at Downloads

Alle Downloads von CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.downloads.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.downloads.atom_1.0.xml

Blog

Der deutschsprachige Blog von CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.services.blog.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.services.blog.atom_1.0.xml

(Services/Links) - Links

2013-03-20T11:05:17Z

Links

	Meldungen des BSI über diverse aktuelle Schwachstellen (deutsch)
	Meldungen über diverse aktuelle Schwachstellen aus Sicht des US-Certs (englisch)

	IT-Security-Meldungen mit spezieller Kennzeichnung von Alerts (deutsch)
	Meldungen über diverse aktuelle Schwachstellen mit Kennzeichnung bezüglich deren Dringlichkeit (deutsch)
	Meldungen über diverse aktuelle Schwachstellen mit einer Einschätzung des aktuellen globalen Sicherheitslevels (englisch)
	Meldungen über diverse aktuelle Schwachstellen (englisch)

	Meldungen über diverse aktuelle Schwachstellen in Microsoft-Produkten (englisch)
	Meldungen über diverse aktuelle Schwachstellen in Apple-Produkten (deutsch)
	Meldungen über diverse aktuelle Schwachstellen in Software, die im Zusammenhang mit Debian GNU/Linux steht (englisch)
	Meldungen über diverse aktuelle Schwachstellen in Software, die im Zusammenhang mit Red Hat steht (englisch)
	Meldungen über diverse aktuelle Schwachstellen in Software, die im Zusammenhang mit SUSE Linux Enterprise steht (englisch)

(Services/Vorfall melden) - Einen Vorfall melden

2013-03-20T11:05:17Z

Einen Vorfall melden

CERT.at nimmt Meldungen über IT-Sicherheitsvorfälle per Telefon (+43 1 5056416-78) und Email (reports@cert.at) entgegen.

Wir empfehlen Ihnen, folgendes Formular als Anhaltspunkt zu nehmen, welche Information bei einer Meldung relevant sein könten.

(Services/Statistiken) - Statistiken

2013-03-20T11:05:17Z

Statistiken

CERT.at Statistiken

CERT.at gibt pro-aktiv Warnungen und Know-How an KMUs (kleine und mittlere Unternehmen) und die breite Öffentlichkeit weiter, um so insgesamt ein sichereres Internet in Österreich zu schaffen. Diese Seite illustriert diverse Statistiken über die in der Vergangenheit bearbeiteten Meldungen.

Incidents und Incident Reports

Ein Incident Report ist eine Meldung, die bei CERT.at eingegangen und durch ihren sicherheitsrelevanten Inhalt charakterisiert ist. Es kann sich u.a. um eine sicherheitsrelevante Anfrage, Defacement Meldung, Cross-Site-Scripting Meldung, Phishing Meldung, Malware Meldung bzw. eine Google Conditional Hack Meldung handeln. Ein Incident ist ein Vorfall, der von CERT.at behandelt wurde. Einem Incident können mehrere Incident Reports zugeordnet sein.

Incidents und Incident Reports gegenübergestellt - wöchentlich summiert.

Incidents und Incident Reports gegenübergestellt - monatlich summiert.

(Downloads/Summary) - Downloads

2013-03-20T11:05:16Z

Downloads

In diesem Bereich unserer Homepage bieten wir Ihnen relevantes Material zum freien Download an. Bitte lesen Sie die mit den Downloads verbundenen Lizenzbestimmungen.

Downloads, die lediglich in englischer Sprache zur Verfügung stehen, werden zwar auch im deutschen Bereich kurz erwähnt, umfangreichere Informationen sowie der eigentliche Download-Link finden sich dann aber im englischen Bereich.

Folgende Downloadkategorien bieten wir an:

Papers

Dieser Bereich umfasst alle von CERT.at bislang veröffentlichen Publikationen.

Software

Jegliche im Rahmen von CERT.at's täglicher Arbeit entstandene und für die allgemeine Verwendung freigegebene Software ist hier mit entsprechenden Beschreibungen aufgeführt.

Daten

In diesem Bereich finden sich Informationen in Form von Dateien, die für den Einsatz in maschineller Verarbeitung gedacht sind (z.B.: Konfigurationsdateien).

Presse

Hier finden sich presserelevante Unterlagen sowie offiziel verwendbare Materialien wie z.B. das CERT.at-Logo.

(Downloads/Berichte) - Jahresbericht Internet-Sicherheit Österreich 2012

2013-03-20T11:05:17Z

Jahresbericht Internet-Sicherheit Österreich 2012

5. Juli 2012

Download

Publikationsdatum

5. Juli 2012

Sprache

Deutsch

(Downloads/Berichte) - Jahresbericht Internet-Sicherheit Österreich 2010

2013-03-20T11:05:17Z

Jahresbericht Internet-Sicherheit Österreich 2010

23. Sept 2010

Download

Publikationsdatum

23.Sept. 2010

Sprache

Deutsch

(Downloads/Papers) - Analyse des Skype Instant Messsenger Bots

2013-03-20T11:05:17Z

Analyse des Skype Instant Messsenger Bots

15. April 2010

Analyse des Skype Instant Messsenger Bots

Download

Publikationsdatum

15. April 2010

Autor

Christian Wojner, L. Aaron Kaplan

Sprache

Deutsch

Historie

Diese deutsche Version (Download im pdf Format) ist eine Kurzfassung des vollen Reports in Englisch.

Inhalt

Dank der fortschreitenden Vernetzung bedrohen Viren, Trojaner, Würmer und andere Schadsoftware ("Malware") vermehrt das Internet, Unternehmens- und Regierungsnetze als auch den privaten Bereich und nicht zuletzt den Bereich der kritischen Infrastrukturen. Der vorliegende Bericht dokumentiert einen bestimmten Trojaner ("Skype Instant Messenger Bot"), der sich, wie viele anderen ähnliche Trojaner, über Instant Messenger Netzwerke (Skype, ICQ, AIM, MSN Messenger) verbreitet. Während Instant Messenger Netzwerke als Verbreitungsmechanismus für Trojaner nicht gänzlich neu sind, hoffen wir doch, dass die detaillierte Analyse des Skype IMBots Einsichten in die Funktionsweise als auch potentielle Abwehrstrategien liefert.

CERT.at hat den Skype IMBot weitgehend reverse engineered (Assembler Code analysiert) und ist auf einige interessante Aspekte gestoßen, die in diesem Bericht analysiert werden. Der Bericht schließt mit allgemeinen Überlegungen, wie sich Instant Messenger Bots weiterentwickeln werden.

Die ausführliche, englische Version dieses Berichtes ist hier abrufbar.

(Downloads/Papers) - Mass Malware Analysis: A Do-It-Yourself Kit

2013-03-20T11:05:17Z

Mass Malware Analysis: A Do-It-Yourself Kit

14. Oktober 2009

Theorie, Praxis und eine Bauanleitung einer automatisierten Analysestation für Schadsoftware mit einfachen, freien Mitteln.

Download

Publikationsdatum

14. Oktober 2009

Autor

Christian Wojner

Sprache

Englisch

Historie

Das Paper im pdf Format steht hier zum Download bereit.

Inhalt

Eine kurze Zusammenfassung des Inhaltes findet sich im englischsprachigen Bereich.

(Downloads/Papers) - Detecting Conficker in your Network

2013-03-20T11:05:17Z

Detecting Conficker in your Network

11. Februar 2009

Beschreibung einer Methode zur Früherkennung einer Infektion durch den Wurm Conficker durch Blocklisten für Klein- und Mittelbetriebe.

Download

Publikationsdatum

11. Februar 2009

Autor

Adi Kriegisch

Sprache

Englisch

Download

Das Paper im pdf Format steht hier zum Download bereit.

Inhalt

Eine kurze Zusammenfassung des Inhaltes findet sich im englischsprachigen Bereich.

(Downloads/Papers) - Patching Nameservers: Austria reacts to VU#800113

2013-03-20T11:05:17Z

Patching Nameservers: Austria reacts to VU#800113

24. Juli 2008

Ein Bericht über den Status der österreichischen Nameserver nach der Veröffentlichung der Cache-Poisoning Schwachstelle.

Download Original

Download Update

Publikationsdatum

24. Juli 2008

Autoren

Otmar Lendl und L. Aaron Kaplan

Sprache

Englisch

Historie

Der originale Report im pdf Format steht hier zum Download bereit.

Am 28. Juli haben wir auch noch ein kurzes Update publiziert.

Inhalt

Eine kurze Zusammenfassung des Inhaltes findet sich im englischsprachigen Bereich.

(Downloads/Software) - Bytehist

2013-03-20T11:05:16Z

Bytehist

Dieses Tool erstellt ein Byte-Verteilungs-Histogramm zu einer beliebigen Datei, bzw. bei Windows-Executables (PE) zu jeder enthaltenen Section.

aktuelle Windows-Version downloaden

aktuelle Linux-Version downloaden

Autor

Christian Wojner

Sprache

Englisch

Lizenz

ISCL

Versionen	Änderungen
1.0 beta 1	-			x

Beschreibung

Eine detaillierte Beschreibung mit Beispielen und Screenshots findet sich im englischsprachigen Bereich.

(Downloads/Software) - DensityScout

2013-03-20T11:05:16Z

DensityScout

Dieses Tool berechnet für Dateien eines beliebigen Dateisystempfades deren Dichte (vgl. Entropie) und gibt diese in einer entsprechend absteigend sortierten Liste abschließend aus. Dadurch lässt sich auf einem potentiell infizierten Microsoft Windows System sehr schnell und einfach (auch unbekannte) Schadsoftware auffinden.

aktuelle Windows-Version downloaden

aktuelle Linux-Version downloaden

Autor

Christian Wojner

Sprache

Englisch

Lizenz

ISCL

Versionen	Änderungen
Build 42	-			x

Beschreibung

Eine detaillierte Beschreibung mit Beispielen und Screenshots findet sich im englischsprachigen Bereich.

(Downloads/Software) - Minibis

2013-03-20T11:05:16Z

Minibis

Software und Tips zur einfachen Erstellung einer automatisierten Malware-Analysestation basierend auf dem im Paper "Mass Malware Analysis: A Do-It-Yourself Kit" vorgestellten Konzept.

aktuelle Release downloaden

Autor

Christian Wojner

Sprache

Englisch

Lizenz

ISCL

Versionen	Änderungen	Download
2.1 (201106011616)	Neu compilierte Researcher Executables wegen Crashes durch massiven Bug im aktuellen Compiler
2.1 (201104201820)	Finale Version 2.1, siehe Readme-File für Details
2.1 beta (20101203_1)	Zweite offene Beta der Version 2.1, siehe readme.txt für Details
2.1 beta (20101029_1)	Erste offene Beta der Version 2.1, siehe readme.txt für Details
2.0 (29/29)	Release 2.0
2.0 beta (28/29)	Erzwingbares Programmende / Erholt sich nach Abstürzen
2.0 beta (27/29)	Check auf Internetverbindung / Exit nur wenn Analyse pausiert
2.0 beta (25/29)	-

Beschreibung

Eine detaillierte Beschreibung mit Beispielen und Screenshots findet sich im englischsprachigen Bereich.

(Downloads/Software) - ProcDOT

2013-06-18T08:17:46Z

ProcDOT

Dieses Tool verarbeitet Sysinternals Process Monitor (Procmon) Logfiles und PCAP-Dateien (Windump, Tcpdump) und generiert aus diesen mittels der GraphViz-Suite einen Graphen. Dieser Graph visualisiert alle als relevant angesehenen (konfigurierbar) Aktivitäten und kann interaktiv analysiert werden.

aktuelle Windows-Version downloaden

aktuelle Linux-Version downloaden

Autor

Christian Wojner

Sprache

Englisch

Lizenz

Ansehen ...

Donationware

Das ProcDOT Projekt unterstützen ...

Neuigkeiten auf Twitter

https://twitter.com/ProcDOT

Forum

https://groups.google.com/forum/#!forum/procdot

Versionen	Änderungen
1.0 (Build 31)	-	x
1.0 RC 3 (Build 29)	-	x
1.0 RC 2 (Build 28)	-	x
1.0 RC 1 (Build 26)	-	x

Beschreibung

Eine detaillierte Beschreibung findet sich im englischsprachigen Bereich.

(Downloads/Daten) - Conficker Wurm

2013-03-20T11:05:16Z

Conficker Wurm

9. Februar 2009

Diverse Dateien den Wurm "Conficker" betreffend.

alle domains	... praktisch, um RBLs (blacklistings) für Proxies oder ähnliches zu erzeugen.
DNS named.conf file	... Bind named.conf Datei die alle Conficker Domains für das nächste Jahr beinhaltet.
bind zone file	... eine beispielhafte Bind Zone Datei, die von named.conf benötigt wird.

(Downloads/Pressematerial) - CERT.at Logo

2013-03-20T11:05:16Z

CERT.at Logo

CERT.at Logos in verschiedenen Größen

CERT.at-Logo PNG-File small

CERT.at-Logo PNG-File medium

CERT.at-Logo PNG-File big

CERT.at-Logo PNG-File transparent

(Downloads/Pressematerial) - HiRes Teamphotos

2013-03-20T11:05:17Z

HiRes Teamphotos

Hochauflösende Fotos des CERT.at-Teams

(Über uns/Leitbild) - Leitbild

2013-03-20T11:05:17Z

Leitbild

CERT.at ist das österreichische nationale CERT (Computer Emergency Response Team).

Als solches ist CERT.at der Ansprechpartner für IT-Sicherheit im nationalen Umfeld. Es vernetzt andere CERTs und CSIRTs (Computer Security Incident Response Teams) aus den Bereichen kritische Infrastruktur, IKT (Informations- und Kommunikationstechnik) und gibt Warnungen, Alerts und Tipps für KMUs (kleine und mittlerere Unternehmen) heraus.

Bei Angriffen auf Rechner auf nationaler Ebene koordiniert CERT.at und informiert die jeweiligen Netzbetreiber und die zuständigen lokalen Security Teams.

Gesammelte Information zu CERT.at sind im RFC 2350 Format abrufbar.

Warum?

Weil IT-Sicherheit einen ganzheitlichen Ansatz braucht! Dank der immer stärker voranschreitenden Vernetzung gibt es immer mehr Abhägigkeiten zwischen den Systemen. Analog zur Eindämmung von Seuchen gesehen - es braucht eine unabhängige Koordinierungsplattform, die Sicherheitsvorfälle professionell koordinieren, andere Netze warnen und somit die "Seuchenausbreitung" eindämmen kann.

Nur durch die Koordination der Einzelbestrebungen kann in Summe mehr Sicherheit in der IT erreicht werden.

(Über uns/Zuständigkeit) - Zuständigkeit

2013-03-20T11:05:17Z

Zuständigkeit

Zielgruppe

Zielgruppe sind österreichische IT-Security-Teams und lokale CERTs.

Weiters geben wir pro-aktiv Warnungen und Know-How an KMUs (kleine und mittlere Unternehmen) und die breite Öffentlichkeit weiter, um so insgesamt ein sichereres Internet in Österreich zu schaffen.

Im Rahmen einer Kooperation mit dem Government Computer Emergency Response Team für die öffentliche Verwaltung und die kritische Informations-Infrastruktur (KII) in Österreich stellt CERT.at seine Ressourcen für die Behandlung sicherheitsrelevanter Vorfälle im diesem Bereich zur Verfügung.

Zugehörigkeit

CERT.at ist eine Initiative von nic.at, der österreichischen Domain-Registry und wird von nic.at gesponsert.

Autorität

Die Hauptaufgabe von CERT.at ist das Koordinieren der Reaktion auf IT-Security-Incidents (Vorfälle). Wir beraten lokale CERTs und haben keine Weisungsgewalt über den österreichischen IP-Adressraum. Es gibt jedoch starke Kontakte zu allen großen ISPs und dem ACOnet (ACOnet CERT).

Vertraulichkeit

CERT.at behandelt generell jegliche übermittelte Information als vertraulich, und wird diese nicht ohne Zustimmung weitergeben, ausser dies ist implizit zur Bearbeitung eines Vorfalls nötig.
Ein Beispiel: eingehende Meldung "Malware auf www.foo.invalid/malware, bitte kümmern sie sich darum". Hier würden wir die Information ausschließlich an die jeweils Betroffenen (Domain-Inhaber, Hoster/ISP) weitergeben, damit diese das Problem möglichst rasch beheben können.

Insbesondere wird CERT.at nicht ohne vorherige ausdrückliche Zustimmung des Übermittlers Informationen über etwaige Vorfälle an Behörden oder Presse weiterleiten.

(Über uns/Das Team) - Das Team

2013-03-20T11:05:17Z

Das Team

Name	PGP ID	Fingerprint
Matthias Fraidl	56136FEF	D844 E1E7 ED02 FD43 3058 E6E2 8EEC 6DF2 5613 6FEF
Leon Aaron Kaplan	CDAE4DB6	BC3E 553E 102F 214F C59A 4A0C 2D7A 997A CDAE 4DB6
Team lead: Otmar Lendl	835E0B34	BE4E 1E48 E0F6 6987 181B 0D27 754E 9F02 835E 0B34
Stefan Lenzhofer	3D6AA815	4F37 B11E EAF7 E023 A248 0BFA 28B4 010C 3D6A A815
Christian Proschinger	E7E0609A	0336 1535 BD5F 9496 A7C5 DCBA 8929 9FA2 E7E0 609A
Stephan Richter	1108BB79	6CA0 8887 E397 6BA4 99EA D9D7 193D 08A6 1108 BB79
Robert Schischka	A2FD9DBC	9C27 EB2A 901F 95AD 5C3E 3F6A 537D F15D A2FD 9DBC
Robert Waldner	C33A2BC0	401B 4257 4D23 3DFD 8E09 C1B5 B327 48AD C33A 2BC0
Christian Wojner	770B4617	EFB8 1496 3DAA F632 7A89 0F20 6635 B222 770B 4617

(Über uns/Kontakt) - Kontakt

2013-03-20T11:05:17Z

Kontakt

CERT.at nimmt Meldungen über IT-Sicherheitsvorfälle per Email (reports@cert.at) oder Telefon (+43 1 5056416-78) entgegen, wobei wir Email bevorzugen. Wir empfehlen Ihnen, folgendes Formular als Anhaltspunkt zu nehmen, welche Information bei einer Meldung relevant sein könnten.

Bitte beachten Sie, dass CERT.at kein allgemeiner IT-Helpdesk ist! CERT.at kann daher bei Fragen der Art "Ist mein PC verwurmt?" nur auf im Netz vorhandene Leitfäden oder kommerzielle IT-Dienstleister verweisen.

Wir sind erreichbar von Montag bis Freitag (wenn Werktag, ausgenommen 24. und 31. Dezember), jeweils von 8 bis 18 Uhr.

CERT.at:	Computer Emergency Response Team Austria
Adresse:	nic.at Karlsplatz 1/2/9 A-1010 Wien Austria
Telefon:	+43 1 5056416 78
Fax:	+43 1 5056416 79

Email

Security Incident Reports sind an reports@cert.at zu richten. Für alle anderen Mails: team@cert.at.

PGP Verschlüsselung

Um sicher zu gehen, dass ausgehende Mails von CERT.at stammen und nicht gefälscht wurden, signieren wir unsere offiziellen Mails immer mit folgendem PGP Schlüssel:

pub 1024D/5C384328 2008-02-13
     Key fingerprint = 740C 68EC B6B6 2060 48A5 D49A 02FB C1EF 5C38 4328
     uid reports@cert.at (general communication key. For incident reports)
     sub 4096g/D7071014 2008-02-13

Mail an reports@cert.at kann natürlich auch mit diesem Schlüssel verschlüsslt werden.

Alle Schlüssel von CERT.at finden sich gesammelt unter http://www.cert.at/static/pgpkeys.asc

(Über uns/RFC 2350) - RFC 2350

2013-03-20T11:05:17Z

RFC 2350

1. Document Information

This document contains a description of CERT.at according to RFC 2350. It provides basic information about the CERT, the ways it can be contacted, describes its responsibilities and the services offered. 1.1 Date of Last Update

This is version 0.6 as of 2008/06/23.

1.2 Distribution List for Notifications

There is no distribution list for notifications as of 2008/02.

1.3 Locations where this Document May Be Found

The current version of this document can always be found at http://www.cert.at/about/rfc2350/. For validation purposes, a GPG signed ASCII version of this document is located at http://www.cert.at/static/rfc2350.txt. The key used for signing is the CERT.at key as listed under 2.8.

2. Contact Information

2.1 Name of the Team

CERT.at

2.2 Address

CERT Team nic.at Karlsplatz 1/2/9 1010 Wien Austria

2.3 Time Zone

We are located in the central European timezone (CET) which is GMT+0100 (+0200 during day-light saving time).

2.4 Telephone Number

+43 1 5056416 78

2.5 Facsimile Number

+43 1 5056416 79

2.6 Other Telecommunication

None.

2.7 Electronic Mail Address

Please send incident reports to reports@cert.at.

Non-incident related mail should be addressed to team@cert.at.

2.8 Public Keys and Encryption Information

CERT.at uses a master signing key to sign all keys used for operational purposes. This trust anchor is:

pub   1024D/242EFA2F 2008-02-12 [expires: 2013-02-10]
      Key fingerprint = 0F71 E5DB 5A23 22AE D6A3  5706 A5A2 AC28 242E FA2F
uid                  cert.at master key <cert@cert.at>
sub   4096g/BA63C2F4 2008-02-12 [expires: 2013-02-10]

and can be found on most key-servers. Please do not use this key for communications with us.

All official communication by CERT.at will be signed by the current operations key, which is as of 2008/02:

pub   1024D/5C384328 2008-02-13
uid   team CERT.at (general communications) <team@cert.at>
uid   reports@cert.at (general communication key. For incident reports) <reports@cert.at>
sub   4096g/D7071014 2008-02-13

Encrypted communications with CERT.at should use this operational key.

All keys (including the keys of individual team members) can be found http://www.cert.at/static/pgpkeys.asc

2.9 Team Members

The CERT team leader is Otmar Lendl. Other team members, along with their areas of expertise and contact information, are listed in the CERT.at web pages, at Das Team.

Management, liaison and supervision are provided by Robert Schischka, Technical Manger of nic.at.

2.10 Other Information

2.11 Points of Customer Contact

The preferred method for contacting CERT.at is via e-mail. For incident reports and related issues please use reports@cert.at. This will create a ticket in our tracking system and alert the human on duty.

For general inquiries please send e-mail to team@cert.at.

If it is not possible (or advisable due to security reasons) to use e-mail, you can reach us via telephone at +43 1 5056416 700.

CERT.at's hours of operation are generally restricted to regular business hours.

Please use our incident reporting form (or if you prefer there is also a german one).

3. Charter

3.1 Mission Statement

The purpose of CERT.at is to coordinate security efforts and incident response for IT-security problems on a national level in Austria.

3.2 Constituency

The constituency are IT-security teams and local CERTs in Austria.

Pro-active and educational material will be provided for SMEs and the general public as well.

3.3 Sponsorship and/or Affiliation

CERT.at is an initiative of nic.at, the Austrian domain registry.

Funding is provided by nic.at

3.4 Authority

CERT.at's main purpose in incident handling is the coordination of incident response. As such, we only advise local CERTs and have no authority to demand certain actions. We have indirect authority over AS35492 and are in very close contact with the ACONet CERT.

4. Policies

4.1 Types of Incidents and Level of Support

CERT.at is authorized to address all types of computer security incidents which occur, or threaten to occur, in our Constituency (see 3.2) and which require cross-organizational coordination.

The level of support given by CERT.at will vary depending on the type and severity of the incident or issue, the type of constituent, the size of the user community affected, and CERT.at's resources at the time. Special attention will be give to issues affecting critical infrastructure.

Note that no direct support will be given to end users; they are expected to contact their system administrator, network administrator, or department head for assistance. CERT.at will support the latter people.

CERT.at is committed to keeping its constituency informed of potential vulnerabilities, and where possible, will inform this community of such vulnerabilities before they are actively exploited.

4.2 Co-operation, Interaction and Disclosure of Information

CERT.at will cooperate with other Organisations in the Field of Computer Security. This Cooperation also includes and often requires the exchange of vital information regarding security incidents and vulnerabilities. Nevertheless CERT.at will protect the privacy of their customers, and therefore (under normal circumstances) pass on information in an anonymized way only unless other contractual agreements apply.

CERT.at operates under the restrictions imposed by Austrian law. This involves careful handling of personal data as required by Austrian Data Protection law, but it is also possible that - according to Austrian law - CERT.at may be forced to disclose information due to a Court's order.

4.3 Communication and Authentication

For normal communication not containing sensitive information CERT.at will use conventional methods like unencrypted e-mail or fax.

For secure communication PGP-Encrypted e-mail or telephone will be used. If it is necessary to authenticate a person before communicating, this can be done either through existing webs of trust (e.g. FIRST, TI, …) or by other methods like call-back, mail-back or even face-to-face meeting if necessary.

5. Services

5.1 Incident Response

CERT.at will assist IT-security team in handling the technical and organizational aspects of incidents. In particular, it will provide assistance or advice with respect to the following aspects of incident management:

5.1.1. Incident Triage

Determining whether an incident is authentic.
Assessing and prioritizing the incident.

5.1.2. Incident Coordination

Determine the involved organizations.
Contact the involved organizations to investigate the incident and take the appropriate steps.
Facilitate contact to other parties which can help resolve the incident.
Send reports to other CERTs

5.1.3. Incident Resolution

Advise local security teams on appropriate actions.
Follow up on the progress of the concerned local security teams.
Ask for reports.
Report back.

CERT.at will also collect statistics about incidents within its constituency.

5.2 Proactive Activities

CERT.at tries to raise security awareness in its constituency.
Collect contact information of local security teams.
Publish announcements concerning serious security threats.
Observer current trends in technology and distribute relevant knowledge to the constituency.
Provide fora for community building and information exchange within the constituency.

6. Incident Reporting Forms

If possible, please make use of the Incident Reporting Form, the current version is available from: http://www.cert.at/static/form.txt (also available in German: http://www.cert.at/static/form_de.txt).

7. Disclaimers

While every precaution will be taken in the preparation of information, notifications and alerts, CERT.at assumes no responsibility for errors or omissions, or for damages resulting from the use of the information contained within.

(Über uns/Circa) - Circa

2013-03-20T11:05:17Z

Circa

Was war CIRCA (Computer Incident Response Coordination Austria)?

CIRCA war eine Initiative der ISPA und des Bundeskanzleramtes, eine Kommunikationsinfrastruktur für die Netzwerk- und Sicherheitsverantwortlichen von IP-Netzbetreibern aufzubauen. Seit 2003 standen zwei Server zur Verfügung, um eine vertrauliche und geschützte elektronische Kommunikation zwischen den Teilnehmern zu ermöglichen. Der Server des privaten Sektors (ISPs und IP-Netzbetreiber) wurde von der ISPA betrieben, während der des öffentlichen Bereiches vom BKA (Bundeskanzleramt und Krisenmanagement) betreut wurde.

Neben der elektronischen Kommunikationsplattform in der Form von sicheren Mailinglisten gab es auch regelmäßige Arbeitstreffen (im Rahmen von 2 Arbeitsgruppen, einer im Bundeskanzleramt und einer bei der ISPA).

Ziel dieses österreichischen Sicherheitsnetzes war es, ein landesweites Frühwarnsystem gegen Würmer, Viren, DDOS-Attacken und andere Bedrohungsszenarien zu schaffen, welche die ISP-Infrastruktur ebenso wie andere IP-Netze und Kunden gefährden. Dies sollte sowohl aktiv (rechtzeitige Warnungen, Informationen, Beurteilung von Risiken, Information über mögliche Gegenmaßnahmen, internationale Verflechtung etc.) als auch reaktiv (Erkennen von versuchten Angriffen, Koordination von Gegenmaßnahmen, schneller Informationsaustausch und Alerts, etc.) geschehen.

Erfahrungen aus CIRCA

Die Initiative zu CIRCA im Jahre 2002 war innovativ und führte durch den Einsatz der Mitglieder zu einer Vernetzung der Sicherheitsverantwortlichen im Internetbereich. Auch abgesehen von den konkreten Ergebnissen war es sehr hilfreich, die relevanten Personen regelmäßig an einen Tisch zu bringen.

CIRCA war somit ein wichtiger und richtiger erster Schritt für die IT-Sicherheit in Österreich.

Aufbauend auf diesen wertvollen Erkenntnissen wollen wir nun einen nächsten Schritt wagen. Da CERT.at als Team schon existiert und für das zeitnahe und professionelle Reagieren auf IT-Security-Vorfälle zuständig ist, will CERT.at nun auch den Themen von CIRCA dedizierte Ressourcen zukommen lassen. Daher wurden sowohl von Seiten der ISPA, als auch des BKA die Agenden von CIRCA Mitte 2008 an CERT.at übergeben. Interimsmäßig wurde die CIRCA-Infrastruktur von CERT.at betrieben, mit Ende 2008 werden die Services (v.a. Mailinglisten) in das CERT.at-Portfolio integriert.

Kommunikation

Eine weitere Lektion aus CIRCA ist, dass der starke Fokus auf eine verschlüsselte Kommunikation den Zielen von CIRCA in der Praxis nicht dienlich war. Die Schlüsselverwaltung und die Konfiguration des Mailclients waren komplex, sowie der bürokratische Prozess der Zertifizierung hoch. Der Grad der Vertraulichkeit der de facto ausgetauschten Informationen stand in keinem Verhältnis zum Aufwand.

Die Organisation der Mailinglisten von CERT.at basiert somit auf den Erfahrungen von CIRCA:

Informationen signiert aber unverschlüsselt verteilen
Cleartext-Signaturen behindern nicht das Lesen einer Nachricht, auch wenn es Probleme mit dem Kryptografie gibt
anstatt die Mailinglisten nach Ernsthaftigkeit des Vorfalles einzuteilen ("info", "warning", "alert") und deren Empfängerkreis stark einzuschränken, betreibt CERT.at offene Mailinglisten für technische und administrative Ankündigungen. CERT.at will damit die Einstiegshürde für den Empfang von Sicherheitswarnungen (die auch auf www.cert.at publiziert werden) möglichst weit senken.

Für Diskussionen steht weiterhin eine unmoderierte Liste mit eingeschränktem Teilnehmerkreis zur Verfügung.

Vertrauliche Nachrichten können dem CERT.at-Team direkt, und selbstverständlich auch verschlüsselt, übermittelt werden. CERT.at seinerseits kommuniziert, auch mit CIRCA-Teilnehmern, anderen CERTs und internationalen Partnerorganisationen, vornehmlich verschlüsselt und stellt so fallbezogen die jeweils notwendige Vertraulichkeit und Integrität sicher.

CERT.at als neutraler Nicht-Marktteilnehmer hofft, hiermit die Ideen von CIRCA mit neuem Leben zu füllen und sich auch einem weiteren Publikum zu öffnen.

(Über uns/Partner) - Partner

2013-03-20T11:05:17Z

Partner

	CERT.at ist ein Kooperationspartner des Government Computer Emergency Response Teams für die öffentliche Verwaltung und die kritische Informations-Infrastruktur (KII) in Österreich.
	CERT.at wird von CERT-CC, dem Ur-CERT der Carnegie Mellon University, als legitimes Computer Emergency Response Team anerkannt, und darf daher die Trademark "CERT" nutzen.
	CERT.at ist akkreditiertes Mitglied bei Trusted Introducer.
	CERT.at ist Mitglied bei FIRST.

(Über uns/Impressum) - Firmendaten und Impressum

2013-03-20T11:05:17Z

Firmendaten und Impressum

CERT.at ist eine Initiative von nic.at, der österreichischen Domainregistry.

nic.at GmbH
Jakob-Haringer-Straße 8/V
5020 Salzburg
Austria

Telefon:	+43/662/46 69-0
Fax:	+43/662/46 69-29
E-Mail:	service[at]nic.at
Webseite:	www.nic.at
Firmenbuchnummer:	FN 172568b
Firmenbuch Gericht:	Landesgericht Salzburg
DVR:	0968935
UID-Nr.:	ATU45305101
Aufsichtsbehörde:	Magistrat der Stadt Salzburg
Kammerzugehörigkeit:	Wirtschaftskammer Österreich
Gewerberechtliche Vorschriften:	Gewerbeordnung
Unternehmensgegenstand:	Vergabe und Verwaltung von .at, .co.at und .or.at Domains
Bankverbindung in Österreich:	Bank Austria, Am Hof 2, A-1010 Wien
Konto-Nr.:	660 497 942, BLZ: 12000
BIC:	BKAUATWW
IBAN:	AT52 1200 0006 6049 7942
lautend auf:	nic.at GmbH
Bankverbindung in Deutschland:	Bayerische Hypo Vereinsbank, Bayerstraße 16, D-80335 München
Konto-Nr.:	930 41 50 BLZ: 710 200 72
BIC:	HYVEDEMM 410
IBAN:	DE58 7102 0072 0009 3041 50
lautend auf:	nic.at GmbH

(Über uns/Haftungsausschluss) - Haftungsausschluss

2013-03-20T11:05:17Z

Haftungsausschluss

Die bereitgestellten Informationen wurden entweder von CERT.at selbstständig und sorgfältig, d.h. nach bestem Wissen und Gewissen erhoben, oder stammen nicht von CERT.at selbst, es handelt sich dann aber um Informationen bzw. Empfehlungen, die von einer grundsätzlich vertrauenswürdigen Stelle stammen und von CERT.at lediglich veröffentlicht werden. Durch das Bereitstellen der Informationen seitens CERT.at entsteht kein Vertrag. Soferne Sie nicht selbst über die erforderliche Fachkenntnis zur Beurteilung der Sie interessierenden Informationen verfügen, empfehlen wir Ihnen, Ihren EDV-Administrator zu befragen.

CERT.at übernimmt keinerlei Gewähr für die Richtigkeit, Aktualität, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen CERT.at, nic.at oder einzelne Mitarbeiter, die sich auf Nachteile oder Schäden irgendwelcher Art beziehen, welche durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und/oder unvollständiger Informationen verursacht werden, sind ausgeschlossen.

(Über uns/Austrian Trust Circle) - Austrian Trust Circle

2013-03-20T11:05:17Z

Austrian Trust Circle

Der Austrian Trust Circle ist eine Initiative von CERT.at und dem österreichischen Bundeskanzleramt und besteht aus Security Information Exchanges in den einzelnen Bereichen der strategischen Informationsinfrastruktur (CIIP).

CERT.at bietet hier in Kooperation mit GovCERT Austria und dem österreichischen Bundeskanzleramt einen formellen Rahmen für praxisnahen Informationsaustausch und gemeinsame Projekte im Sicherheitsbereich.

Ziele des Austrian Trust Circles sind

Unterstützung der Selbsthilfe in den Sektoren im Bereich Sicherheit
Operative Kontakte für CERT.at bei der Information über und Behandlung von Sicherheitsvorfällen in den Organisationen
Operative Experten für das Bundeskanzleramt im Krisenfall
Das Schaffen einer Vertrauensbasis um im Ernstfall gemeinsam agieren zu können
Vernetzung und Informationsaustausch in und zwischen den Sektoren der strategischen Infrastruktur

(FAQ/FAQ) - FAQ

2013-05-06T09:04:12Z

FAQ

Wer steckt hinter CERT.at

CERT.at ist eine Initiative von nic.at, der österreichischen Domainregistry.

Warum gerade nic.at?

nic.at hat durch die Verwaltung der .at Domain eine besondere Stellung im österreichischen Internet: nic.at ist eine neutrale Instanz, die Basisdienste für die Internetbranche anbietet. Genau so, wie nic.at keine Konkurrenz zu Internet Service Providern (ISPs) ist, so wird CERT.at auch nicht in Konkurrenz zu bestehenden IT-Sicherheitsfirmen auftreten, sondern nur koordinierend wirken.

Für den Betrieb des nationalen CERTs durch die Domainregistry gibt es einige Rollenvorbilder in Europa (.ch, .pl, .fi, ...).

Was sind die Aufgaben eines CERTs?

Die klassischen Aufgaben eines Computer Emergency Response Teams sind mit denen der Feuerwehr vergleichbar: Es geht primär um "Incident-handling" (Triage, Analyse, Gegenmassnahmen, Nachbereitung), aber auch um vorbeugende Massnahmen wie Früherkennung, Vorbereitung für Notfälle, Öffentlichkeitsarbeit und Beratungen.

Als nationales CERT hat CERT.at kein Durchgriffsrecht auf die Netzwerkinfrastruktur Österreichs, und kann daher bei Security Incidents nur koordinierend und beratend aktiv werden.

Ziele des nationalen CERTs

CERT.at wird Österreich nach aussen vertreten und als zentraler Ansprechpartner für die CERTs anderer Länder fungieren. Die effektive Behandlung von so eingehenden Meldungen wird den jeweils lokalen Sicherheitsteams von ISPs und Firmen überlassen, wobei natürlich CERT.at diesen gerne beratend zur Seiten stehen wird.
Die Rolle von CERT.at ist hier primär die einer Informationsdrehscheibe.
CERT.at wird Kontaktpunkt für sicherheitsrelevant eIKT-Ereignisse in Österreich, und koordiniert betreiberübergreifend die Antwort auf Security Incidents.

Internationale Vernetzung

CERT.at soll der international sichtbare Partner für ausländische CERTs sein. Dazu wird CERT.at in den relevanten internationalen Organisationen vertreten sein, wie etwa Trusted Introducer, FIRST und TF-CSIRT.

Was kann man von CERT.at erwarten?

CERT.at begann am 3. März 2008 den Probebetrieb, seither nehmen wir gerne Meldungen entgegen.

CERT.at ist kein allgemeiner IT-Helpdesk und kann daher bei Fragen der Art "Ist mein PC verwurmt?" nur auf im Netz vorhandene Leitfäden oder kommerzielle IT-Dienstleister verweisen.

Updates von www.CERT.at

(Warnungen/Warnungen) - Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenützt

Update - Zero-Day-Sicherheitslücke in Microsoft Internet Explorer 8 - aktiv ausgenützt

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweis

(Warnungen/Warnungen) - Kritische Sicherheitslücke in IBM Lotus Notes

Kritische Sicherheitslücke in IBM Lotus Notes

Beschreibung

Betroffene Systeme

Abhilfe

Allgemeiner Hinweis

(Warnungen/Warnungen) - Sicherheitslücken in TYPO3

Sicherheitslücken in TYPO3

Beschreibung

SQL Injection in der Subkomponente Extbase Framework

Open Redirection in der Subkomponente Access Tracking Mechanism

Betroffene Systeme

Abhilfe

Allgemeiner Hinweis zur Hebung der Systemsicherheit

(Warnungen/Warnungen) - Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweise

(Warnungen/Warnungen) - Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)

Kritische Schwachstellen in Adobe Reader und Acrobat (aktiv ausgenützt)

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweise

(Warnungen/Warnungen) - Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)

Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenützt)

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweis

(Warnungen/Warnungen) - Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

Mehrere kritische Schwachstellen in Barracuda Networks Produkten (SSH Backdoor)

Beschreibung

Backdoor Accounts und SSH Backdoor

Barracuda Networks SSL VPN Authentication Bypass

Auswirkungen

Betroffene Systeme

Abhilfe

Credits

Hinweise

(Warnungen/Warnungen) - Erneute Schwachstelle in Oracle Java 7

Erneute Schwachstelle in Oracle Java 7

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Kontext

Hinweise

(Warnungen/Warnungen) - Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweise

(Warnungen/Warnungen) - Lücke in Microsoft Internet Explorer

Lücke in Microsoft Internet Explorer

Beschreibung

Auswirkungen

Betroffene Systeme

Abhilfe

Hinweis

(Warnungen/Warnungen) - Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

Beschreibung

Shockwave Player anfällig für Downgrade-Attacken

Shockwave Player installiert alte Version von Flash Player