Updates von www.CERT.at

(Warnungen/Warnungen) - Sicherheitsupdate für Adobe Shockwave Player

CERT.at — Wed, 25 Aug 2010 15:43:49 GMT

Sicherheitsupdate für Adobe Shockwave Player

25. August 2010

Beschreibung

Adobe stellt nun auch eine neue Version des Shockwave Players zur Verfügung. Da diese Software weit verbreitet ist, ersuchen wir um Beachtung der folgenden Warnung.

Auswirkungen

Adobe weist darauf hin, dass sich mehrere der behobenen Fehler für Remote Code Execution ausnutzen lassen.

Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Shockwave Player bis inkl. Version 11.5.7.609, für Windows und Macintosh

Wir möchten in diesem Kontext auch nochmals auf unsere Warnungen vom 18. August (http://www.cert.at/warnings/all/20100818.html, Updates für Adobe Reader und Acrobat) und vom 11. August (http://www.cert.at/warnings/all/20100811.html, Updates für Adobe Flash Player, AIR, ColdFusion und Flash Media Server) aufmerksam machen.

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, sobald von Adobe zur Verfügung gestellt, Details bitte dem Warning von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb10-20.html

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-20.html

(Warnungen/Warnungen) - Sicherheitsupdates für Adobe Reader und Acrobat ab 19. August 2010 verfügbar

CERT.at — Wed, 18 Aug 2010 11:31:34 GMT

Sicherheitsupdates für Adobe Reader und Acrobat ab 19. August 2010 verfügbar

18. August 2010

Beschreibung

Adobe meldet, dass morgen, 19. August 2010, Sicherheitsupdates für Reader und Acrobat zur Verfügung gestellt werden.

Auswirkungen

Adobe weist darauf hin, dass sich zumindest eine der zu schließenden Lücken fuer Remote Code Execution ausnutzen lässt.

PDF-Dateien lassen sich einfach in Webseiten integrieren, und auch per etwa Spam-Mail verteilen, wir erwarten daher, dass bald entsprechend präparierte Webseiten und Spam-Mails in Umlauf gebracht werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Reader 9 bis inkl. Versionen 9.3.3, für Windows, Macintosh und UNIX
Adobe Acrobat 9 bis inkl. Version 9.3.3 für Windows und Macintosh
Adobe Reader 8 bis inkl. 8.2.3 für Windows und Macintosh
Adobe Acrobat 8 bis inkl. 8.2.3 für Windows und Macintosh

Wir möchten in diesem Kontext auch nochmals auf unser Warning vom 11. August aufmerksam machen (http://www.cert.at/warnings/all/20100811.html), in dem wir auf Updates zu anderen Adobe-Produkten (Flash Player, AIR, ColdFusion, Flash Media Server) hinweisen.

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, sobald von Adobe zur Verfügung gestellt, Details bitte dem Warning von Adobe zu entnehmen: http://www.adobe.com/support/security/bulletins/apsb10-17.html

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe zu Reader und Acrobat (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-17.html

(Warnungen/Warnungen) - Mehrere kritische Sicherheitslücken in Adobe Flash Player, AIR, Flash Media Server und ColdFusion

CERT.at — Wed, 11 Aug 2010 12:02:03 GMT

Mehrere kritische Sicherheitslücken in Adobe Flash Player, AIR, Flash Media Server und ColdFusion

11. August 2010

Beschreibung

Wie Adobe berichtet, gibt es eine ganze Reihe an sicherheitsrelevanten Lücken in den aktuellen Versionen von Flash Player, AIR und Flash Media Server, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen, sowie ein Problem mit Directory Traversal und dem unbeabsichtigten Preisgeben von Informationen mit ColdFusion.

Auswirkungen

Mehrere dieser Lücken bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Die beschriebene Lücke in ColdFusion bezieht sich auf Directory Traversal und das unbeabsichtigte Preisgeben von Informationen.

Speziell, da sich Flash-Dateien auch einfach in Webseiten integrieren lassen, erwartet CERT.at, dass bald entsprechend präparierte Webseiten und Links darauf etwa per Spam-Mail verteilt werden. Flash Player verfügt zwar über eine automatische Update-Funktion, diese sucht in der Default-Einstellung allerdings nur alle 7 Tage, ob etwaige neue Versionen zur Verfügung stehen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player bis inkl. Version 10.1.53.64, für Windows, Macintosh, Linux und Solaris
Adobe AIR bis inkl. Version 2.0.2.12610, fü Windows, Macintosh und Linux
Adobe Flash Media Server bis inkl. Version 3.5.3 bzw. 3.0.5, fü Windows und Unix
Adobe ColdFusion bis inkl. Versionen 8.0, 8.0.1, 9.0 bzw. 9.0.1

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte den jeweiligen Warnings von Adobe zu entnehmen:

Flash Player/AIR: http://www.adobe.com/support/security/bulletins/apsb10-16.html
Flash Media Server: http://www.adobe.com/support/security/bulletins/apsb10-19.html
ColdFusion: http://www.adobe.com/support/security/bulletins/apsb10-18.html

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe zu Flash Player und AIR (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-16.html
Meldung von Adobe zu Flash Media Server (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-19.html
Meldung von Adobe zu ColdFusion (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-18.html

(Warnungen/Warnungen) - "Out-of-band"-Patch für Microsoft Windows Shell (".LNK-Problem") ab Montag, 2. 8. 2010, verfügbar

CERT.at — Fri, 30 Jul 2010 18:54:47 GMT

"Out-of-band"-Patch für Microsoft Windows Shell (".LNK-Problem") ab Montag, 2. 8. 2010, verfügbar

30. Juli 2010

Angesichts der Schwere der Sicherheitslücke, der hohen Verbreitung von Microsoft Software sowie der besonderen Umstände ("Out-of-band"-Patch) ersucht CERT.at um Beachtung der folgenden Meldung:

Microsoft hat soeben angekündigt, am Montag, 2. August 2010, um etwa 19.00 Uhr MESZ (10am PDT) einen "Out-of-band"-Patch zu veröffentlichen, der das aktuelle Problem mit Windows Shell (sogenanntes ".LNK-Problem", vgl. http://www.cert.at/warnings/all/20100720.html) beheben soll.

Hintergrund und Dimension

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesen Patch behobenen Lücke als zumindest teilweise kritisch ein.
Es wird auch ausdrücklich davor gewarnt, dass momentan vermehrt Schadsoftware in Umlauf gebracht wird, die dieses Problem ausnützt.

Beschreibung

Der Fehler ist in der Windows Shell, und damit überalll relevant, wo Icons zu .LNK Files angezeigt werden. Dies trifft beispielsweise zu auf:

Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server können aber auch per Email verschickt werden.
gewisse Dokumenttypen, die eingettete Shortcuts unterstützen, als Email-Attachment

Betroffene Software

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

Es sind auch nicht mehr offiziell von Microsoft unterstützte Betriebssystemversionen wie Windows 2000 oder Windows XP Service Pack 2 betroffen.

Abhilfe

Zeitnahe Installation des von Microsoft ab Montag zur Verfügung gestellten Patches.

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Out of Band Release to address Microsoft Security Advisory 2286198 (englisch)
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx
Microsoft Security Advisory 2286198 (englisch) - Vulnerability in Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2286198.mspx
CERT.at-Warnung vom 20. Juli 2010 - Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows
http://www.cert.at/warnings/all/20100720.html

(Warnungen/Warnungen) - Sicherheitslücken in Typo3

CERT.at — Wed, 28 Jul 2010 13:54:49 GMT

Sicherheitslücken in Typo3

28. Juli 2010

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Typo3 enthät Bugs die zu SQL Injection, Arbitrary Code Execution und Cross-Site-Scripting führen können sowie Probleme mit Information Disclosure, unsicheren Zufallszahlen und Authentication/Session Management.

SQL Injection

Benutzer, die das Recht haben, Records zu editieren, die eine bestimmte WHERE-Klausel enthalten bzw. das Auto-Suggest-Feature benutzen, können diesen Bug ausnutzen.

Arbitrary Code Execution

In gewissen Webserver-Setups ist es für gültige Benutzer möglich, Dateien hochzuladen, die dann als PHP mit den Rechten des Webservers selbst ausgeführt werden.

Cross Site Scripting

Für gültige Backend-Benutzer ist es möglich, durch unzureichende Prüfung von Benutzereingaben, XSS-Bugs an mehreren Stellen auszunützen.

Information Disclosure, Insecure Randomness und Authentication/Session Management

Details siehe das Advisory von Typo3.org.

Auswirkungen

Betroffene Systeme

Alle Typo3-Installationen mit entsprechender Konfiguration bis einschliesslich der Versionen

4.1.13
4.2.12
4.3.3
4.4

Abhilfe

Upgrade auf die entsprechend angepassten Versionen

4.1.14
4.2.13
4.3.4
4.4.1

Allgemeiner Hinweis zur Hebung der Systemsicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Typo3 (Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/

(Warnungen/Warnungen) - Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows

CERT.at — Tue, 20 Jul 2010 13:03:23 GMT

Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows

20. Juli 2010

Fehler in der Windows Shell bei der Verarbeitung von .LNK Dateien wird aktiv ausgenutzt.

Beschreibung

Praktisch alle Versionen von Microsoft Windows enthalten eine Sicherheitslücke in der Behandlung von .LNK Files, durch die schon beim Anzeigen des Icons (etwa im Explorer-Fenster) Schadcode gestartet werden kann. Microsoft hat dazu ein Advisory veröffentlicht; korrigierte Versionen der fehlerhaften Windows-Komponente sind noch nicht verfügbar.

Der Fehler wurde von VirusBlokAda im Kontext einer Analyse einer Schadsoftware (Stuxnet) entdeckt. Diese enthält Root-Kit Komponenten (interessanterweise als korrekt signierte Treiber) und scheint es primär auf Siemens SCADA Systeme abgesehen zu haben. Die Verbreitung betrifft vor allem Iran und Indonesien. Diese Schadsoftware wird mittlerweilen gut von AV-Software erkannt.

Inzwischen sind Details zu dieser Schwachstelle allgemein bekannt und Demo Exploits sind verfügbar (sogar schon als Metasploit-Modul). Daher ist schon weitere Malware im Umlauf, die diese Lücke aktiv ausnutzt.

Details

Der Fehler ist in der Windows Shell, und damit überall relevant, wo Icons zu .LNK Files angezeigt werden. Das trifft etwa zu auf:

Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server könnten aber auch per Email verschickt werden.
.LNK-Files als Email-Attachments

Aktuell sehen wir keine Massenausbreitung von Malware, diese Lücke könnte aber durchaus von einem aggressiven Wurm zur Verbreitung ausgenutzt werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunutzende Schwachstelle schon bald in großem Stil ausgenutzt wird.

Betroffene Systeme

Praktisch alle Microsoft Windows Systeme. Zu beachten ist im Microsoft Advisory, dass Windows XP SP2 und Windows 2000 nur deswegen dort nicht angeführt werden, da diese nicht mehr offiziell von Microsoft unterstützt werden.

Abhilfe

Das Microsoft Advisory beschreibt unter "Workarounds", wie das Anzeigen von Icons von .LNK Files und das Webclient Service abgeschalten werden kann.

Laut Sophos hilft es auch, per Gruppenrichtlinien das Ausführen von Programmen auf lokale Datenträger einzuschränken.

Diese Maßnahmen haben potentiell unerwünschte Seiteneffekte (im besten Fall nur die Verwirrung von Usern durch ungewohnte Icons), und sollten daher vor einem Ausrollen getestet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/2286198.mspx
US-CERT Vulnerability Note VU#940193
http://www.kb.cert.org/vuls/id/940193
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.html
Demo Exploit
http://www.exploit-db.com/exploits/14403/
Metasploit
Metasploit Modul
Sophos Blog
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/
F-Secure Blog
http://www.f-secure.com/weblog/archives/00001987.html

(Warnungen/Warnungen) - Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter

CERT.at — Fri, 11 Jun 2010 06:52:54 GMT

Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter

10. Juni 2010
Update am 11. Juni 2010

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Heise Security berichtet, gibt es aktuell ein Problem mit dem Microsoft Windows Hilfe- und Supportcenter, speziell mit der Funktion des Nachladens von Hilfedokumenten aus dem Internet per hcp://-URLs.
Dieses Problem kann dazu benutzt werden kann, durch Betrachten einer entsprechend präparierten Webseite beliebigen Code mit den Rechten des Benutzers auszuführen.

Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Alle Systeme, auf denen das Microsoft Hilfe- und Supportcenter installiert ist. Dies werden vermutlich alle Systeme von Windows XP/Server 2003 aufwärts sein, wir können nicht ausschliessen, dass dies auch ältere Windows-Versionen (etwa Windows 2000) betrifft.

Der Beispiel-Exploit funktioniert derzeit auf einem vollständig gepatchten System mit

Microsoft Windows XP SP3, Internet Explorer 8, Media Player 9

Der Author des Beispiel-Exploits gibt jedoch an, dass eine Portierung auf andere Konstellationen trivial sein sollte.

Update (11. Juni 2010):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.
Laut diesem soll das Problem auf Windows 2000, Vista, 7 und Server 2008 nicht auftreten, es sind nur Windows XP und Server 2003 betroffen.

Abhilfe

Bis ein Patch seitens Microsoft zur Verfügung steht, kann das Nachladen von Hilfe-Dokumenten durch Entfernen des Registry-Keys "HKEY_CLASSES_ROOT/HCP/shell/open" deaktiviert werden.
Sollte eine Organisation auf diese Funktionalität angewiesen sein, stellt der Author auch dafür einen Hotfix bereit, den wir jedoch nicht getestet haben und daher keine Aussage darüber machen können.

Update (11. Juni 2010):
Laut dem mittlerweile vorliegenden Advisory von Microsoft reicht es nicht, den oben angeführten Registry-Key zu entfernen, es muss der komplette Sub-Tree "HKEY_CLASSES_ROOT/HCP" gelöscht werden, Details bitte dem Advisory von Microsoft zu entnehmen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung bei Heise Security
http://www.heise.de/security/meldung/Windows-Hilfe-als-Einfallstor-fuer-Angreifer-1018965.html
Originales Advisory von Tavis Ormandy (englisch)
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/ADVISORY
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2219475.mspx

(Warnungen/Warnungen) - Update: Kritische Sicherheitslücke in Adobe Flash Player, Reader und Acrobat - aktiv ausgenützt

CERT.at — Wed, 16 Jun 2010 15:10:07 GMT

Update: Kritische Sicherheitslücke in Adobe Flash Player, Reader und Acrobat - aktiv ausgenützt

7. Juni 2010
Update am 16. Juni 2010

Beschreibung

Wie Adobe berichtet, gibt es eine kritische Lücke in aktuellen Versionen von Flash Player (10.0.x, 9.x), die auch Reader und Acrobat betrifft, und die es einem Angreifer ermöglichen kann, ein System zu übernehmen.
Weiters warnt Adobe davor, dass diese Lücke bereits aktiv ausgenutzt wird.

Auswirkungen

Diese Lücke ermöglicht es einem Angreifer, ein System zum Absturz zu bringen und zu übernehmen.

Mit der Verteilung entsprechend präparierter Links und PDF-Dateien, etwa per Spam-Mail, ist zu rechnen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Flash Player für Windows, Macintosh und UNIX, Version 9.x bis inkl. Version 10.0.45.2
Reader and Acrobat für Windows, Macintosh und UNIX, Version 9.3.2 und früher

Abhilfe

Upgrade von Flash Player, Reader und Acrobat auf eine entsprechend nachgebesserte Version, sobald Adobe diese zur Verfügung stellt.
Upgrade auf den "Release Candidate" von Flash Player 10.1 (siehe http://labs.adobe.com/technologies/flashplayer10/).
Weiters kann das Problem für Reader und Acrobat (nicht jedoch für Flash Player) durch Löschen/Verschieben einer bestimmten Datei (authplay.dll) mitigiert werden, Details siehe Meldung von Adobe.

Update (16. Juni 2010):
Adobe hat nun Version 10.1 von Flash Player (sowie AIR) herausgebracht, das dieses und mehrere andere Probleme behebt, siehe http://www.adobe.com/support/security/bulletins/apsb10-14.html.

Wir empfehlen, dieses Update so zeitnah wie möglich einzuspielen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/advisories/apsa10-01.html
Update: Meldung von Adobe zu Flash Player 10.1 (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-14.html

(Warnungen/Warnungen) - Erneut mehrere kritische Sicherheitslücken in Adobe Reader und Acrobat

CERT.at — Wed, 14 Apr 2010 10:40:18 GMT

Erneut mehrere kritische Sicherheitslücken in Adobe Reader und Acrobat

14. April 2010

Beschreibung

Wie Adobe berichtet, gibt es eine ganze Reihe an sicherheitsrelevanten Lücken in den aktuellen Versionen von Reader und Acrobat bis inkl. Version 9.3.1, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen.

Auswirkungen

Mehrere dieser Lücken bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen.
Da sich PDF-Dateien auch einfach in Webseiten integrieren lassen, und meist auch von Mailfiltern akzeptiert werden, erwartet CERT.at, dass bald entsprechend präparierte Dateien und Links etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Reader:
- für Windows bis inkl. Version 9.3.1
- für Unix bis inkl. Version 9.3.1
- für Macintosh bis inkl. Version 9.3.1
Acrobat:
- für Window bis inkl. Version 9.3.1
- für Macintosh bis inkl. Version 9.3.1

Abhilfe

Upgrade von Reader und Acrobat auf die aktuelle Version 9.3.2, etwa über die in den Produkten integrierte Update-Funktionalität (Hilfe -> Nach Updates suchen).

Wir weisen darauf hin, dass es für User, die aus verschiedenen Gründen nicht auf die aktuelle Version 9.3.2 upgraden können, auch ein Update für die 8.2 Versionsreihe gibt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-09.html

(Warnungen/Warnungen) - Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern

CERT.at — Tue, 06 Apr 2010 09:28:12 GMT

Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern

31. März 2010

Kritische Design-Sicherheitslücken in PDF Viewern

Beschreibung

Wie Didier Stevens in seinem Blogeintrag berichtet, gibt es eine sicherheitsrelevante Design-Lücke im PDF Format, welche bei aktuellen Versionen von Adobe Reader und Acrobat bis inkl. 9.3 und anderen alternativen PDF Viewern, wie z.B. Foxit, ausnützbar ist. Ein Angreifer kann hierbei aus dem PDF Viewer eines Benutzers beliebige Kommandos starten und somit auch Schadcode auf den Rechner des Benutzers kopieren und installieren. Es reicht dabei, dass der Benutzer ein entsprechend modifiziertes PDF Dokument ansieht. Üblicherweise reicht es sogar, wenn das PDF nur auf einer Website liegt.

Da PDF in Unternehmen sehr weit verbreitet ist, schätzt CERT.at diese Bedrohung als kritisch ein. Zusätzlich ist mittlerweile Beispielcode aufgetaucht. Somit kann die Lücke via Internet leicht ausgenutzt werden.

Auswirkungen

Die Lücke ist an sich eine Design Schwachstelle im PDF Format. Mit der Option "Launch Actions/Launch File" ist es laut PDF Spezifikation möglich, beliebige Programme aus dem PDF Viewer zu starten. Dieser Umstand läßt sich aber auch zum Nachladen und Installieren von Schadsoftware ausnützen. Im Adobe Reader ist zwar die Möglichkeit vorhanden, den Benutzer vor der Ausführung von Programmen mit einem Popup Fenster zu fragen, ob er dies will, doch dies läßt sich leicht umgehen.

Betroffene Systeme

Systeme, auf denen folgende PDF Viewer installiert sind:

Adobe Reader: für Windows alle Versionen bis zur aktuellen Version 9.3
Adobe Acrobat: für Windows alle Versionen bis zur Version 9.3
Foxit Reader: alle Versionen

Es sind vermutlich noch weitere PDF Viewer auf verschiedenen Betriebsystemen betroffen.

Nicht betroffen ist das Preview Programm auf Mac OS X.

Update (6.4.2010):
Mittlerweile steht eine neue Version 3.2.1.0401 von Foxit Reader zur Verfügung, die diese Sicherheitslücke behebt.

Abhilfe

Da es sich um eine Design Schwachstelle im PDF Format handelt, läßt sich die Option zum Starten externer Programme nur deaktivieren. Dies kann auf folgenden zwei Wegen erreicht werden:

in den Einstellungen von Adobe Reader: Einstellungen/Berechtigungen -> "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" deaktivieren
Unternehmensweit per Windows Registry: HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals\bAllowOpenFile auf "0" setzen. Sollte dieser Registry Key nicht existieren, kann er einfach angelegt werden (bitte beachten sie, den aktuellen Pfad gegebenenfalls an die Version des installierten Readers anzupassen).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Heise
http://www.heise.de/security/meldung/PDF-Exploit-funktioniert-ohne-konkrete-Sicherheitsluecke-968031.html
Originalbericht von Didier Stevens
http://blog.didierstevens.com/2010/03/29/escape-from-pdf/

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

CERT.at — Mon, 15 Mar 2010 17:28:07 GMT

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

11. März 2010
Update am 15. März 2010

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer 6 und 7

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Seit kurzem gibt es eine Remote-exploitable Sicherheitslücke in Internet Explorer 6 und 7. Da nun aber seit kurzem Sample Code öffentlich für das Metasploit Framework verfügbar ist, und die Sicherheitslücke auch schon aktiv ausgenutzt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten und entsprechend die eigenen Systeme zu überprüfen und zu reagieren. Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunützende Schwachstelle schon bald in goßem Stil ausgenützt wird.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer Version 6 oder 7 installiert ist und benutzt wird.
Der Metasploit Sample Code funktioniert derzeit auf:

Microsoft Internet Explorer 7 unter Windows Vista SP2
Internet Explorer 7 unter Windows XP SP3
Internet Explorer 6 unter Windows XP SP3

Abhilfe

Update (15.3.2010):
Microsoft hat mittlerweile ein Fix-It Tool herausgegeben, mit dem die unten beschriebenen Schritte durchgeführt werden können.

Umgehen kann man das Problem weiters (bzw. werden die Auswirkungen einer Attacke abgeschwächt), indem man:

Data Execution Prevention (DEP) aktiviert: siehe die Empfehlung von Microsoft
die Zugriffsrechte auf die Datei iepeers.dll restrikiver setzt: Details siehe Empfehlung von Microsoft
ActiveScripting (JavaScript) im Internet Explorer abdreht (dies kann aber Auswirkungen auf die Verfügbarkeit von Webseiten haben)

Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft
http://www.microsoft.com/technet/security/advisory/981374.mspx
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-fuer-neue-IE-Luecke-952065.html

(Warnungen/Warnungen) - Sicherheitslücken in Typo3

CERT.at — Wed, 24 Feb 2010 08:35:12 GMT

Sicherheitslücken in Typo3

24. Februar 2010

Sicherheitslücken in Typo3

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Typo3 enthät Bugs im Bereich Authentication, sowie Probleme mit Cross-Site-Scripting und Information Disclosure.

Information Disclosure

Wenn ein neuer Backend-User angelegt wird, kann der ausführende Benutzer alle persönlichen Daten aller existierenden Backend-User (ausser Passwörtern) auslesen.

Cross-Site-Scripting via Backend

Benutzer mit gültigem Backend-Account können aufgrund mangelhafter Prüfung von Usereingaben Cross-Site-Scripting an mehreren Stellen auslösen

Cross-Site-Scripting via Frontend

Wird Typo3 unter PHP als CGI betrieben, kann unter Umständen durch Übergabe eines URL-Parameters ein Fehler ausgelöst werden und dadurch beliebiges HTML angezeigt werden.

Authentication Bypass

Wir in Typo3 in Version 4.3.x die Erweiterung "saltedpasswords" verwendet, ist es unter Ümständen möglich, ohne Kenntnis des tatsächlichen Passworts, nur mit dem Salted/Hashed Passwort, gegen das System zu authentisieren.
Diese Erweiterung ist per Default allerdings nicht aktiv.

Auswirkungen

Vor allem das Problem mit Cross-Site-Scripting via Frontend wird wohl bald für Defacements ausgenützt werden.
Weitere Details können dem Advisory von Typo3 entnommen werden.

Betroffene Systeme

Alle Typo3-Versionen mit entsprechender Konfiguration vor Version 4.2.12 bzw. 4.3.2.

Abhilfe

Upgrade auf aktuelle Version 4.2.12 bzw. 4.3.2.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-004/

(Warnungen/Warnungen) - Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

CERT.at — Wed, 17 Feb 2010 09:29:37 GMT

Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

17. Februar 2010

Sicherheitslücken in Adobe Reader, Acrobat und Flash Player/AIR

Mehrere Sicherheitslücken - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Adobe berichtet, gibt es zwei sicherheitsrelevante Lücken in aktuellen Versionen von Reader und Acrobat bis inkl. 9.3, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen.

Auswirkungen

Eine der Lücken betrifft unauthorisierte Cross-Domain-Requests, über die andere hat Adobe noch keine Details bekanntgegeben, ausser dass diese potentiell einem Angreifer erlauben könnte, die Kontrolle über ein System zu übernehmen.

Wir weisen darauf hin, dass es zu Cross-Domain-Requests am 11. Februar eine Meldung von Adobe bezüglich Flash Player und AIR gab, und empfehlen, auch diese Updates zu installieren.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Reader:
- für Windows Version 9.3
- für Unix Version 9.3
- für Macintosh Version 9.3
Acrobat:
- für Window Version 9.3
- für Macintosh Version 9.3
- für Windows Version 8.2
- für Macintosh Version 8.2
Flash Player bis inkl Version 10.0.42.34
AIR bis inkl. Version 1.5.3.9120

Abhilfe

Upgrade von Reader und Acrobat auf die aktuelle Version 9.3.1 bzw. 8.2.1, Flash Player auf Version 10.0.45.2 sowie AIR auf Version 1.5.3.9130.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-07.html
Meldung von Adobe zu Flash Player/AIR (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-06.html

(Warnungen/Warnungen) - Mehrere Sicherheitslücken in OpenOffice.org

CERT.at — Mon, 15 Feb 2010 07:57:26 GMT

Mehrere Sicherheitslücken in OpenOffice.org

15. Februar 2010

Mehrere Sicherheitslücken in OpenOffice.org

Mehrere Sicherheitslücken - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Debian-Projekt berichtet, gibt es eine Reihe von sicherheitsrelevanten Lücken in allen OpenOffice.org-Versionen bis inkl. 3.1, die Auswirkungen bis hin zu Code Execution haben können.

Auswirkungen

Da je nach Angriffs-Szenario (zB präparierte Dateien werden per Email verschickt) ein Angreifer möglicherweise beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Systeme, auf denen das OpenOffice.org-Paket installiert ist und benutzt wird.

Abhilfe

Upgrade von OpenOffice.org auf die aktuelle Version 3.2 bzw. entsprechend angepaßter Versionen (etwa bei Debian).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Debian-Projekts (englisch)
http://www.debian.org/security/2010/dsa-1995
Security Bulletin von OpenOffice.org (englisch)
http://www.openoffice.org/security/bulletin.html

(Warnungen/Warnungen) - Sicherheitslücke in Microsoft Internet Explorer

CERT.at — Thu, 04 Feb 2010 08:01:18 GMT

Sicherheitslücke in Microsoft Internet Explorer

4. Februar 2010

Sicherheitslücke in Microsoft Internet Explorerr

Information Disclosure - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Microsoft berichtet, gibt es eine Lücke in allen aktuellen Internet Explorer - Versionen, mittels welcher es einem Angreifer möglich ist, Dateien auszulesen, sofern deren Dateinamen bekannt sind - was zB bei Konfigurationsdateien regelmässig der Fall sein wird.
Auch gezieltes Auslesen von etwa den Dateien, in denen gängige Browser Passwörter speichern, ist in diesem Szenario denkbar.

Auswirkungen

Da der Angreifer prinzipiell beliebige Dateien auf betroffenen Systemen auslesen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.

Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer ab Version 5.01

Abhilfe

Microsoft empfiehlt, die Sicherheitseinstellungen in Internet Explorer auf "Hoch" zu setzen, damit vor dem Ausführen von ActiveX und Active Scripting (JavaScript) beim Benutzer nachgefragt wird, Details siehe Microsoft-Meldung.
Auf Windows Vista und später wird Internet Explorer per Default im "Protected Mode" betrieben, was die Auswirkungen dieses Fehlers limitieren sollte.
Für Windows XP - Systeme wird empfohlen, das "Internet Protocol Lockdown"-Feature zu aktivieren, Details siehe wiederum Microsoft-Meldung.

Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/980088.mspx

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

CERT.at — Tue, 26 Jan 2010 14:30:46 GMT

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

15. Jänner 2010, Updates am 19. und 21. Jänner.

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

Potentielle Remote Code Execution - wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Wie Microsoft berichtet, gibt es aktuell eine Lücke in allen aktuellen Internet Explorer - Versionen, mittels welcher Remote Code Execution möglich ist. Laut anderen Meldungen (zB bei Heise Security) wurde diese Lücke bereits für gezielte Attacken eingesetzt, und es ist durch das allgemeine Bekanntwerden nun damit zu rechnen, dass breiter angelegte Angriffe bald auftauchen werden.

Update
Code zum Ausnützen dieser Schwachstelle wurde bereits in das Metasploit Framework integriert.

Auswirkungen

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.

Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer ab Version 6

Update
Die Versionen 7 und 8 des Microsoft Internet Explorers enthalten zwar auch den Fehler, dieser gilt aber wegen weiterer Schutzmaßnahmen als nicht so leicht ausnutzbar.

Es ist aber zu erwarten, dass bald auch funktionierende Exploits für diese Versionen geschrieben und publiziert werden.

Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) sind auch folgende Windows-Programme potentiell verwundbar, da sie auf die gleiche Codebasis zum Anzeigen von HTML-Dokumenten zurückgreifen:

Microsoft Outlook (bis einschließlich Outlook 2003)
Microsoft Outlook Express
Microsoft Windows Mail
Microsoft Windows Live Mail
Microsoft Hilfesystem
Microsoft Sidebar

Details stehen in der technischen Warnung des BSI.

Abhilfe

Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting für Internet-Zone deaktivieren), da die aktuell bekannten Exploits JavaScript verwenden. Allerdings werden ohne JavaScript viele Webseiten nicht mehr wie gewohnt funktionieren. Microsoft empfiehlt auch, für die Versionen 6 und 7 DEP (Data Execution Prevention) zu aktivieren, Details siehe Microsoft-Meldung.

Update
In den oben genannten Mailprogrammen sollte für die Anzeige von Mails die höchsten Sicherheitseinstellungen gelten ("Eingeschränkte Zone", kein HTML). Details siehe Meldung des BSI.

Microsoft arbeitet mit Hochdruck an einem Out-of-band Bugfix. Wir empfehlen, diesen möglichst zeitnah einzuspielen, sobald er verfügbar ist.

Update
Eine korrigierte Version des Internet Explorers ist jetzt erhältlich und wird über Windows Update verteilt. Details stehen in Microsofts Security Bulletin MS10-002.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/979352.mspx
Hintergrundinformationen von Microsoft (englisch)
http://blogs.technet.com/srd/archive/2010/01/15/assessing-risk-of-ie-0day-vulnerability.aspx
Technische Warnung des BSI
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfLqIWJ5YT%2fUA%253d%253d
Microsoft Security Bulletin MS10-002
http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx

(Warnungen/Warnungen) - Updates für Adobe Reader, Acrobat und Flash 6 (Windows XP)

CERT.at — Wed, 13 Jan 2010 16:10:59 GMT

Updates für Adobe Reader, Acrobat und Flash 6 (Windows XP)

13. Januar 2010

CERT.at warnte am 15. Dezember 2009 vor einer kritischen Sicherheitslücke in Acrobat/Adobe Reader und Adobe Flash 6 (Standardversion von Windows XP). Hierfür gibt es seit heute Updates von Adobe.

Beschreibung

Im Dezember gab es eine bis jetzt ungepatchte Sicherheitslücke in Adobe Acrobat und Adobe Reader. Dabei war es möglich, unbemerkt Schadcode via PDF Dokumenten auszuführen. CERT.at hat hierzu im Dezember schon eine Warnung geschrieben. Bis heute war die einzige Abhilfe, Javascript zu deaktivieren.

Weiters gibt es eine zweite Warnung von Microsoft (im Rahmen des Patch Tuesdays), dass die Version 6 von Adobe Flash Player, die mit Windows XP standardmäßig mitgeliefert wurde, mehrere Verwundbarkeiten hat. Siehe die Meldung von Microsoft hierzu.

Weitere Details siehe: CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959, CVE-2009-4324

Betroffene Systeme

Windows Flash Player 6 Problem:

Windows XP Service Pack 2 und Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2

Adobe Reader and Acrobat:

Adobe Reader 9.2 und frühere Versionen für Windows, Macintosh und UNIX
Adobe Acrobat 9.2 und frühere Versionen für Windows und Macintosh

Abhilfe

CERT.at empfiehlt, Adobe Acrobate und Adobe Reader und Adobe Flash zu aktualisieren. Adobe stellt hierzu Downloads bereit.

Adobe Reader and Acrobat:

Flash Player 6:

Beim Flash Player 6 Problem empfiehlt Microsoft, direkt eine neuere Version von Flash bei Adobe zu installieren.

Hinweis

Sowohl Acrobat/Adobe Reader als auch Adobe Flash sind sehr verbreitet. Sicherheitslücken in dieser Software sind daher als ähnlich schwerwiegend anzusehen wie Fehler in Microsoft Windows oder Office.

JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von dem aktuellen Problem empfehlenswert.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe
http://www.adobe.com/support/security/bulletins/apsb10-02.html
Meldung von Microsoft
http://www.microsoft.com/technet/security/advisory/979267.mspx

(Warnungen/Warnungen) - Kritische Lücken und Sicherheitsupdates für Oracle

CERT.at — Wed, 13 Jan 2010 15:22:38 GMT

Kritische Lücken und Sicherheitsupdates für Oracle

13. Januar 2010

Wegen der Dringlichkeit, dem weit verbreiteten Einsatz von Oracle in Unternehmen und der grossen Zahl an potentiell ausnützbaren Sicherheitslücken bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Diverse Oracle Produkte sind derzeit, laut Angaben des Herstellers, für verschiedene Angriffe anfällig. In dem Critical Patch Update für Jänner 2010 listet Oracle 24 dieser Sicherheitslücken auf und empfiehlt ein Update. Hierbei verteilen sich die Sicherheitslücken auf :

10 Oracle Database
3 Oracle Application Server
3 Oracle Applications Suite
1 PeopleSoft und JD Edwards Suite
5 BEA Products Suite
2 Oracle Primavera Products Suite

Auswirkungen

Da der Angreifer unter anderem via Oracle Net und der Listener Komponente prinzipiell direkt beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, die Inhalte der Datenbank sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Viele der Sicherheitslücken erlauben aber auch - als authentifizierter Benutzer - über das Netzwerk, beliebigen Schadcode auszuführen. Es ist also denkbar, dass ein Angriff genauso über einen authentifizierten (Webfrontend-) Benutzer erfolgen kann.

Betroffene Systeme

Oracle Database 11g, Version 11.1.0.7
Oracle Database 10g Release 2, Versionen 10.2.0.3, 10.2.0.4
Oracle Database 10g, Version 10.1.0.5
Oracle Database 9i Release 2, Versionen 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), Versionen 10.1.3.4.0, 10.1.3.5, 10.1.3.5.1
Oracle Application Server 10g Release 2 (10.1.2), Version 10.1.2.3.0
Oracle Access Manager Versionen 7.0.4.3, 10.1.4.2
Oracle E-Business Suite Release 12, Versionen 12.0.4, 12.0.5, 12.0.6, 12.1.1 und 12.1.2
Oracle E-Business Suite Release 11i, Version 11.5.10.2
PeopleSoft Enterprise HCM (TAM), Versionen 8.9 und 9.0
Oracle WebLogic Server 10.0 bis MP2, 10.3.0 und 10.3.1
Oracle WebLogic Server 9.0 GA, 9.1 GA und 9.2 bis 9.2 MP3
Oracle WebLogic Server 8.1 bis 8.1 SP6
Oracle WebLogic Server 7.0 bis 7.0 SP7
Oracle JRockit R27.6.5 und frühere (JDK/JRE 6, 5, 1.4.2)
Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 und 7.0
Primavera P6 Web Services 6.2.1, 7.0 und 7.0SP1

Abhilfe

Oracle stellt eine genaue Beschreibung und Updates zur Verfügung. Evtentuell müssen ältere kritische Updates vorher eingespielt werden. Details sind der Oracle Seite zu entnehmen.

CERT.at empfiehlt Administratoren, obige Beschreibung genau anzusehen und entsprechende Updates nach Massgabe der Möglichkeiten und sobald als möglich einzuspielen. Auf jeden Fall sollten Administratoren ihre Firewall Regeln genau überprüfen, sodass Oracle Net und Oracle nur von autorisierten und sicheren Rechnern über das Netzwerk erreichbar sind.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

US-CERT Warnung
http://www.us-cert.gov/current/index.html#oracle_releases_critical_patch_update9
Oracle
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Microsofts IIS

CERT.at — Mon, 28 Dec 2009 12:17:48 GMT

Kritische Sicherheitslücke in Microsofts IIS

28. Dezember 2009

Kritische Sicherheitslücke in Microsofts IIS.

Wegen der Dringlichkeit und der zu erwartenden Tragweite des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Laut Angaben eines unabhängigen IT Sicherheitsexperten sind Microsofts Internet Information Services (IIS) aktuell von einer gravierenden Verwundbarkeit betroffen.

Ein Angreifer könnte sich den Umstand unterschiedlicher Ansätze der Namensverifikation von hochzuladenden bzw. auszuführenden Dateien zwischen (typischen) Webapplikationen und den IIS, zum Einschleusen von Schadcode auf dem betroffenen Server, zu Nutze machen.
Beispielsweise wird ein Dateiname wie "beispiel.asp;.jpg" üblicherweise von Webapplikationen aufgrund des abschließenden Suffixes ".jpg" zum Upload akzeptiert. Seitens der IIS würde diese Datei allerdings als ASP angesehen und bei Abruf ausgeführt werden.

Auswirkungen

Es ist zu erwarten, dass diese einfachst auszunützende Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle älteren Versionen des IIS bis inklusive Version 6 betroffen. Eine Überprüfung der Version 7 ist noch ausständig. Die Version 7.5 ist laut Information des Entdeckers (Stand vom 25. Dezember) nicht betroffen.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

Über die Rechte des Upload-Verzeichnisses kann die Ausführung von Code in selbigem unterbunden werden. Dies ist über die Eigenschaften des betreffenden Vezeichnisses im IIS Manager zu erreichen.

Grundsätzlich ist es empfehlenswert, Upload-Verzeichnissen keinerlei Ausführungsrechte zu gewähren.

Da die Behebung dieses riskanten Zusammenspiels auf beiden Seiten, also auf IIS, wie auch Webapplikationen zu erwarten ist, sollte unbedingt auch mit Updates etwaiger CMS-Lösungen gerechnet werden.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Bericht des Entdeckers
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
Stellungnahme vom Microsoft Security Response Center (Englisch)
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx
Meldung auf Heise
http://www.heise.de/security/meldung/Sicherheitsluecke-in-Microsoft-IIS-892828.html
Meldung des Internet Storm Center (ISC) von SANS (Englisch)
http://isc.sans.org/diary.html?storyid=7816

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Reader und Acrobat

CERT.at — Tue, 15 Dec 2009 10:32:57 GMT

Kritische Sicherheitslücke in Adobe Reader und Acrobat

15. Dezember 2009

Da Acrobat/Adobe Reader sehr verbreitet ist, diese Schwachstelle bereits für gezielte Angriffe benutzt wird und der Schutz durch Antiviren-Software noch sehr mangelhaft ist, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Das Adobe Product SIRT warnt vor einer gravierenden Verwundbarkeit in Adobe Reader und Acrobat die auch schon aktiv ausgenützt wird. Das Öffnen eines präparierten PDF-Dokuments startet den dort verstecken Schadcode. Ein solches Dokument kann etwa direkt per Email, oder auch als Link in Emails, Webseiten und anderen Internetdiensten verbreitet werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Da typische Schadsoftware weiteren Code nachlädt, kann nichts ausgeschlossen werden.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle Systeme, auf denen Adobe Reader oder Acrobat installiert ist und benutzt wird, betroffen.

Seit 11. Dezember sind Angriffe, die die Lücke aktiv ausnützen, bekannt. Es dürfte sich hierbei laut Shadowserver primär um gezielte Attacken handeln.

Abhilfe

Der Fehler scheint in der JavaScript-Verarbeitung zu liegen. Da Adobe noch keinen Patch anbietet, ist derzeit die einzige Möglichkeit das Abschalten von JavaScript. Dies geht zu Beispiel mit:

Bearbeiten – Voreinstellungen – JavaScript – Häkchen bei "Acrobat JavaScript aktivieren" entfernen

Für das simple Anzeigen von PDF-Dokumenten gibt es auch Alternativen zur Software von Adobe.

Derzeit wird der Schadcode nur von 5 aus 41 AV-Herstellern (laut Virustotal) erkannt, was sich aber relativ rasch bessern sollte.

Hinweis

JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von dem aktuellen Problem empfehlenswert.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe
http://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html
Analyse von Shadowserver
http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214
Meldung bei Heise
http://www.heise.de/security/meldung/Angriffe-auf-ungepatche-Luecke-in-Adobe-Reader-und-Acrobat-885980.html

(Warnungen/Warnungen) - Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

CERT.at — Tue, 24 Nov 2009 12:22:39 GMT

Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

23. November 2009

Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Wie auf der Sicherheits-Mailingliste Bugtraq gemeldet wurde, scheint es aktuell ein gravierendes Problem mit einer Komponente des Microsoft Internet Explorer zu geben. Der veröffentlichte Exploit-Code ist noch instabil, es ist aber damit zu rechnen, dass in den nächsten Tagen stabiler funktionierende Exploits auftauchen werden.

Auswirkungen

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.
Laut den diversen Meldungen konnte das Problem bereits in den Versionen 6 und 7 des Internet Explorer auf Windows XP SP3-Systemen bestätigt werden, ob die aktuelle Version 8 des Internet Explorer bzw. Internet Explorer auf anderen Microsoft Windows Betriebssystemen auch betroffen sind, steht noch nicht fest, vor allem, da es noch kein Statement von Microsoft hierzu gibt.

Update
Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:

Internet Explorer 6 Service Pack 1 auf Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 auf Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008
Internet Explorer 7 auf Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008

Abhilfe

Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting für Internet-Zone deaktivieren). Allerdings werden ohne JavaScript viele Webseiten nicht mehr wie gewohnt funktionieren.

Da der Fehler in der Komponente mshtml.dll vermutet wird, die von anderen Browsern wohl nicht benutzt wird, ist auch die Benutzung alternativer Browser, etwa Mozilla Firefox oder Opera, ein gangbarer Weg.

Update
Microsoft empfiehlt betroffenen Benutzern, auf Internet Explorer Version 8 upzugraden.
Auch das Aktivieren von "DEP" für Internet Explorer 6 Service Pack 2 oder Internet Explorer 7 soll helfen: siehe http://support.microsoft.com/kb/977981

Weitere Informationen entnehmen sie bitte der mittlerweile vorliegenden Meldung von Microsoft: http://www.microsoft.com/technet/security/advisory/977981.mspx.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung auf Bugtraq
http://www.securityfocus.com/archive/1/507984/30/0/threaded
Meldung von VUPEN
http://www.vupen.com/english/advisories/2009/3301
Meldung bei Heise
http://www.heise.de/security/meldung/Neue-kritische-Luecke-im-Internet-Explorer-aufgetaucht-865897.html

(Warnungen/Warnungen) - Kritische Sicherheitslücken in Adobe Shockwave Player

CERT.at — Tue, 03 Nov 2009 22:06:03 GMT

Kritische Sicherheitslücken in Adobe Shockwave Player

3. November 2009

Kritische Sicherheitslücken in Adobe Shockwave Player

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Mehrere Sicherheitslücken im Adobe Shockwave Player, die auch für Remote Code Execution und möglicherweise Drive-by Attacken ausgenützt werden können.

Auswirkungen

Betroffene Systeme

Shockwave ist eine verbreitete Methode zur Einbindung von Multimedia-Inhalten in Webseiten, daher wird sich der entsprechende Player auf vielen Arbeitsplatzrechnern befinden, und auch auf manchen Servern, die eine graphische Benutzeroberfläche und einen Internet-Browser installiert haben.

Laut der Meldung von Adobe sind folgende Versionen betroffen:

Adobe Shockwave Player 11.5.1.601 und älter

Abhilfe

Updates stehen für Windows und Macintosh-Systeme zur Verfügung.

Da die Software für andere Betriebssysteme (etwa Linux, Solaris) nicht zur Verfügung steht, sind diese auch nicht von dem Problem betroffen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Security Bulletin von Adobe
http://www.adobe.com/support/security/bulletins/apsb09-16.html

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

CERT.at — Thu, 08 Oct 2009 23:04:18 GMT

Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

09. Oktober 2009

Kritische Sicherheitslücke in Adobe Reader/Acrobat 9.1.3 und älter (aktiv ausgenützt)

Beschreibung

Eine Sicherheitslücke in einer Komponente des Adobe Readers und Acrobat, jeweils Version 9.1.3 und älter, wird bereits aktiv, zumindest für gezielte Attacken, ausgenutzt.

Auswirkungen

Da noch nicht bekanntgegeben wurde, wie genau sich dieser Angriff auswirken kann, muß davon ausgegangen werden, daß der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, daher sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme potentiell gefährdet.

Betroffene Systeme

Da PDF eine beliebte und sehr weit verbreitete Technik ist, wird sich zumindest der entsprechende Acrobat Reader auf fast allen Arbeitsplatzrechnern befinden, und auch auf vielen Servern mit graphischer Benutzeroberfläche.

Systeme, die Adobe Reader bzw. Acrobat, in Version 9.1.3 oder älter installiert haben.
Laut der Meldung des Adobe PSIRT sind folgende Betriebssysteme betroffen: :

Windows (ausser Windows Vista mit aktiviertem DEP)
Macintosh
Unix

Abhilfe

Ein entsprechendes Update von Adobe ist noch nicht verfügbar, jedoch für 13. Oktober geplant.
Für die aktuell bekannten Exploits hilft es auch, JavaScript abzuschalten, es sind jedoch auch Varianten denkbar, die ohne JavaScript auskommen.

Es sollte daher bis zur Verfügbarkeit & Installation der Patches speziell PDF-Dateien in Email-Attachments oder auf Webseiten mit Vorsicht begegnet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Adobe Product Security Incident Response Team
http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.html
Adobe Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-15.html

(Warnungen/Warnungen) - Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

CERT.at — Fri, 18 Sep 2009 09:11:40 GMT

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

10. September 2009

Kritische Sicherheitslücke in Apple QuickTime Versionen vor 7.6.4

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime vor der Version 7.6.4 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden. Apple listet in dem kumulativen Patch vom 9. Sept 2009 vier remote code execution Möglichkeiten auf, die auf H.264 oder FlashPix in Quicktime anwendbar sind.

Auswirkungen

Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie das Apple Software Update Programm. CERT.at empfiehlt, dort automatische Updates zu aktivieren (Bearbeiten->Einstellungen).

Alternativ können Sie die Auto-Update Funktion des QuickTime Players nutzen: (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie das Update direkt von Apple:

Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT3859
Meldung bei Heise Security
http://www.heise.de/security/Vier-kritische-Luecken-in-QuickTime-geschlossen--/news/meldung/145148
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime

(Warnungen/Warnungen) - Lücke in SMB ermöglicht DOS / remote code execution in Windows

CERT.at — Wed, 09 Sep 2009 15:32:17 GMT

Lücke in SMB ermöglicht DOS / remote code execution in Windows

9. September 2009

Lücke in SMB ermöglicht DOS / remote code execution in Windows

Da schon sehr einfach zu bedienende Programme existieren, die die folgende Denial of Service (DOS) Schwachstelle von Windows ausnutzen können, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Im SMB2.0 Code von Windows Vista / Windows Server 2008 / Windows 7 wurde eine Schwachstelle entdeckt, die im harmlosesten Fall einen Absturz des Betriebsystems zur Folge haben kann, im schlimmsten Fall sogar remote Code Execution erlaubt.

Durch Senden eines speziell geformten Packets kann ein beliebiger Angreifer am lokalen Netzkwerk oder am Internet den Rechner zum Absturz bringen oder sogar Schadcode einschleusen.

Windows Vista und Windows 7 / Server 2008 werden mit dem neuen SMB2.0 Protokoll ausgeliefert. Windows XP ist hiervon nicht betroffen.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows Vista, Windows Vista Service Pack 1, und Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, und Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems und Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems und Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems und Windows Server 2008 for Itanium-based Systems Service Pack 2

Im Labor konnte die RTM (Build 7600) Version von Windows 7 nicht zum Absturz gebracht werden, Evaluationsversionen von Windows 7 allerdings schon.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.
Microsoft hat ein paar Empfehlungen in einem Security Advisory zusammengefasst.

CERT.at empfiehlt in der Zwischenzeit:

Port 445 und Port 139 per Firewall zu sperren, soferne möglich.
Wenn möglich SMB2 abzuschalten.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7093
Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/975497.mspx
Demoexploit
http://securitynightmares2.blogspot.com/2009_09_01_archive.html
CVE Referenz
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3103
Post auf Full-Disclosure
http://archives.neohapsis.com/archives/fulldisclosure/2009-09/0090.html

(Warnungen/Warnungen) - Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

CERT.at — Thu, 03 Sep 2009 13:40:48 GMT

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

1. September 2009

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

Da diese Schwachstelle über das Netz ausgenützt werden kann, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Es wurde Code zur Ausnutzung eines Fehlers im FTP-Modul des Internet Information Servers (IIS) veröffentlicht. Dieser Exploit basiert auf einem Buffer Overflow beim Ausführen des NLST Kommandos in einem speziell angelegtem Verzeichnis.

Auswirkungen

Über diesen Fehler kann beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Beispielcode, der neue User anlegt oder einen Fernzugriff erlaubt, wurde bereits im Internet publiziert. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Auf jeden Fall betroffen ist der IIS in der Version 5, so wie er auf Windows 2000 zu finden ist.

Die in IIS 5.1 und 6 verwendete "stack cookie protection" erschwert das Ausnützen dieser Schwachstelle deutlich. Ein Denial-of-Service Angriff auf den FTP-Dienst ist leicht möglich, eine Komprommitierung des Rechners ist hingegen deutlich schwieriger zu erreichen. Code dazu wurde noch nicht publiziert.

Für einen erfolgreichen Angriff ist es nötig, dass sich der Angreifer per FTP einloggen kann und danach die Rechte hat um Verzeichnisse anzulegen. Ersteres ist oft durch den Standardaccount für anonymen FTP-Zugang ("anonymous") möglich.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

CERT.at empfiehlt in der Zwischenzeit:

Das FTP-Modul des IIS zu deaktivieren, wenn dieser Dienst nicht bewusst eingeschalten und auch benötigt wird.
Den anonymen FTP-Zugang abzudrehen, so dieser nicht gewünscht wird.
Die Schreibrechte für alle Benutzer, insbesondere "anonymous", so weit wie möglich zu limitieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7039
Demoexploit
http://milw0rm.com/exploits/9541
Meldung bei Heise
http://www.heise.de/security/
US-CERT Alert
http://www.kb.cert.org/vuls/id/276653
Advisory von Microsoft
http://www.microsoft.com/technet/security/advisory/975191.mspx
Secunia Klarstellung
http://secunia.com/blog/62/

(Warnungen/Warnungen) - Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

CERT.at — Tue, 28 Jul 2009 23:33:18 GMT

Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

29. Juli 2009

Sicherheitslücke in BIND 9 (aktiv ausgenutzt)

Angesichts der Schwere der Lücke und der großen Bedeutung der DNS-Software BIND für das Internet bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

In der, vor allem bei Internet Providern, weit verbeiteten DNS-Software BIND gibt es eine Lücke im Zusammenhang mit "Dynamic Update Messages", die sich zumindest fuer Denial-of-Service - Attacken durch Software-Absturz ausnützen läßt.
Es ist zum Ausnutzen dieses Problems nicht notwendig, Dynamic Updates nur in der Softwarekonfiguration abzuschalten.

Organisationen, die BIND 9 im Einsatz haben, sollten sobald als möglich das Update auf die neueste Versionen einspielen.

Auswirkungen

Da diese Lücke ersten Berichten zufolge bereits aktiv ausgenutzt wird, können Angreifer beliebig mit BIND betriebene DNS-Server zum Absturz bringen, was zumindest Endbenutzern betroffener ISPs das Besuchen von Webseiten und Nutzen diverser anderer Internet-Angebote (etwa Email, Chat etc.) unmöglich machen würde.
Auch Kunden von Organisationen/Firmen, die ihre Nameserver mit BIND betreiben, können ähnliche Schwierigkeiten haben.

Betroffene Systeme

BIND 9 (alle Versionen)

Abhilfe

Update auf die aktuelle Version, siehe https://www.isc.org/node/474.
Manche Firewalls haben auch Funktionalität, mit der entsprechende "nsupdate"-Messages gefiltert werden können. Dies kann als Workaround bis zur Installation einer aktuellen Softwareversion genutzt werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Software Consortiums (ISC)
https://www.isc.org/node/474

(Warnungen/Warnungen) - "Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

CERT.at — Tue, 28 Jul 2009 22:59:26 GMT

"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

29. Juli 2009

"Out-of-band"-Patches für Microsoft Visual Studio/C++ und Internet Explorer

Angesichts der Schwere der Sicherheitslücken, der hohen Verbreitung von Microsoft Software sowie der besonderen Umstände ("out-of-band"-Patches) ersucht CERT.at um Beachtung der folgenden Meldung:

Microsoft hat soeben 2 "Out-of-band"-Patches für Visual Studio/C++ und Internet Explorer veröffentlicht.

Hintergrund und Dimension

Microsoft veröffentlich üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesen Patches behobenen Lücken als zumindest teilweise "kritisch" ein.

Microsoft weist weiters darauf hin, daß beide Patches Probleme mit Remote Code Execution beheben (teils in Internet Explorer, teils in Programmen, die mit Visual Studio entwickelt wurden), damit wären alle Daten auf betroffenen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systemen gefährdet.

Wir machen ausdrücklich darauf aufmerksam, daß Entwickler, die die "Active Template Library" (ATL) von Visual Studio in ausgelieferten Programmen verwenden, nicht nur den Patch installieren, sondern auch selbst entsprechend angepaßte neue Programmversionen ausliefern sollten.

Beschreibung

Das behobene Problem in Visual Studio/C++ betrifft die "Active Template Library" (ATL), welche in Visual Studio inkludiert ist, und betrifft eine Lücke, die in Programmen, die in Visual Studio und mit dieser Library entwickelt und ausgeliefert wurden, auftritt bzw. auftreten kann.
Nochmals besonders hervorzuheben ist hier, daß nicht nur Entwickler, die diese Library benutzen, diesen Fix installieren sollten, sondern diese auch neue, speziell angepaßte Versionen der entsprechenden Programme ausliefern sollten.
Weitere Details siehe http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx (englisch).
In Internet Explorer wiederum wurden 3 Sicherheitsprobleme behoben, die jeweils nur durch das Aufrufen speziell präparierter Webseiten für Remote Code Execution benutzt werden können. Da diese Informationen nun öffentlich sind, ist mit dem baldigen Auftreten entsprechender Webseiten (und der Verbeitung entsprechender Links, zum Beispiel via Spam-Mails) zu rechnen.
Weiters wurden Probleme in Zusammenhang mit der oben angeführten "Active Template Libary" behoben.
Im Prinzip sind die Versionen 5, 6, 7 und 8 von Internet Explorer betroffen, Details finden sich unter http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx (englisch).

Betroffene Software

Microsoft Visual Studio .NET 2003
Microsoft Visual Studio 2005
Microsoft Visual Studio 2008
Microsoft Visual C++ 2005
Microsoft Visual C++ 2008
Internet Explorer auf:
- Windows 2000
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows Server 2008

Abhilfe

Entwickler: Installation der von Microsoft zur Verfügung gestellten Patches, Auslieferung entsprechend angepaßter neuer Programmversionen
Endbenutzer: Installation des Patches für Internet Explorer, und gegebenenfalls Anforderung neuer Programmversionen beim Hersteller

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Bulletin MS09-035 (englisch) - Visual Studio/C++, Active Template Library
http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx
Microsoft Security Bulletin MS09-034 (englisch) - Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

CERT.at — Thu, 23 Jul 2009 06:32:47 GMT

Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

23. Juli 2009

Kritische Sicherheitslücke in Adobe Flash-Player/Acrobat/Reader (aktiv ausgenützt)

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Eine Sicherheitslücke iin einer Komponente des Adobe Flash Players, die auch von Adobe Reader und Acrobat benutzt wird, wird bereits aktiv zur Remote Code Execution und für Drive-by Attacks ausgenutzt.

Auswirkungen

Betroffene Systeme

Da Flash eine beliebte und sehr weit verbreitete Technik auf Webseiten ist, wird sich der entsprechende Player auf fast allen Arbeitsplatzrechnern befinden, und auch auf vielen Servern, die eine graphische Benutzeroberfläche und einen Internet-Browser installiert haben.
Zusätzlich ist es möglich, Flash in PDF-Dateien einzubetten, und so PDF als Angriffsvektor zu benutzen (etwa als Attachment in Emails). Laut der Meldung des Internet Storm Centers sind folgende Versionen betroffen:

Adobe Flash Player Version 9 und 10
Adobe Acrobat Version 9.1.2

Abhilfe

Ein entsprechendes Update von Adobe ist noch nicht verfügbar.

Momentan sind keine anderen Möglichkeiten zur Abhilfe bekannt, auch ein Deaktivieren von JavaScript im Adobe Reader ist nicht ausreichend.
Laut verschiedenen Meldungen ist die Erkennungsrate von Virenscannern noch sehr niedrig (erst 7/41 getesten Virenscannern erkennen wenigstens einen der entsprechenden im Umlauf befindlichen Trojaner).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=6847
Blog-Eintrag des Adobe Product Security Incident Response Team (PSIRT)
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html

(Warnungen/Warnungen) - Sicherheitslücke im Web-Browser Mozilla Firefox

CERT.at — Tue, 14 Jul 2009 21:44:02 GMT

Sicherheitslücke im Web-Browser Mozilla Firefox

14. Juli 2009

Sicherheitslücke im Web-Browser Mozilla Firefox

Angesichts der Schwere der Lücke und der großen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation berichtet, daß eine schwere Sicherheitslücken im Just-In-Time (JIT) JavaScript Compiler gefunden wurde. Dieser kann es Angreifern ermöglichen, über speziell präparierte Webseiten beliebigen Schadcode auf dem System auszuführen.

Auswirkungen

Da über diese Lücke bereits öffentlich berichtet wird, ist zu erwarten, daß bald die ersten entsprechend präparierten Webseiten auftauchen und zB per Spam-Mail verbreitet werden.

Betroffene Systeme

Firefox-Browser Version 3.5

Abhilfe

Update auf die aktuelle Version, sobald verfügbar.
Als Workaround kann die JIT-Komponente des JavaScript-Compilers vorübergehend deaktiviert werden, jedoch mit negativen Auswirkungen auf die JavaScript-Performance.
Weiters besteht natürlich auch die Möglichkeit, JavaScript komplett zu deaktivieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Mozilla Security Blog
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
Meldung beim Internet Storm Center, isc.sans.org
http://isc.sans.org/diary.html?storyid=6796

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücken in Microsoft Office ActiveX (wird aktiv ausgenützt)

CERT.at — Mon, 13 Jul 2009 14:42:15 GMT

Erneut kritische Sicherheitslücken in Microsoft Office ActiveX (wird aktiv ausgenützt)

13. Juli 2009

Erneut kritische Sicherheitslücke in Microsoft Office ActiveX (Excel)

Angesichts der Schwere der Lücke, der hohen Verbreitung von Windows und der Tatsache, dass diese laut Microsoft schon aktiv ausgenutzt wird, bittet CERT.at um Beachtung folgenden Hinweises.

Beschreibung

Mittels eines speziell präparierten Excel-Dateien ist es möglich, den folgenden Versionen von Microsoft Windows beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen:

Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2006
Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

Auswirkungen

Die starke Verwendung von Excel-Dateien im Geschäftsalltag macht diesen Angriffsweg besonders effizient. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Siehe oben.

Abhilfe

Es gibt derzeit kein Update, da Microsoft einen Patch noch testet. Allerdings hilft ein Quick Fix, den Microsoft bereitgestellt hat - der Quick Fix löscht Registry-Keys. Systemadministratoren, die diesen Schritt lieber selber machen wollen, können dies wie unter Suggested Actions beschrieben mittels Group-Policy im Unternehmen machen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash). Durch diese Vorgehensweise kann die Zeitspanne zwischen der Verfügbarkeit und Installation eines Updates minimiert werden.

Informationsquelle(n):

Microsoft Security Advisory (973472)
http://www.microsoft.com/technet/security/advisory/973472.mspx
Microsoft Fix It For Me Workaround
http://support.microsoft.com/kb/972890

(Warnungen/Warnungen) - Kritische Sicherheitslücken in Microsoft ActiveX (wird aktiv ausgenützt)

CERT.at — Tue, 07 Jul 2009 15:40:15 GMT

Kritische Sicherheitslücken in Microsoft ActiveX (wird aktiv ausgenützt)

7. Juli 2009

Kritische Sicherheitslücken in Microsoft ActiveX

Angesichts der Schwere der Lücken, der hohen Verbreitung von Windows und der Tatsache, dass diese Security Lücke in kurzer Zeit auf einschlägigen Hackerforen aufgetaucht ist und schon aktiv ausgenutzt wird, bittet CERT.at um Beachtung folgenden Hinweises.

Beschreibung

Mittels eines speziell präparierten Videos ist es möglich, Windows XP und Windows Server 2003 beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen.

Auswirkungen

Das hohe Verbreitungspotential von Videos am Internet macht diesen Angriffsweg besonders effizient. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows XP, Windows Server 2003. Windows Vista und Windows Server 2008 sind nicht betroffen. Allerdings empfiehlt Microsoft auch dort, den Quick Fix einzusetzen.

Abhilfe

Es gibt derzeit kein Update, da Microsoft einen Patch noch testet. Allerdings hilft ein Quick Fix den Microsoft bereitgestellt hat. Der Quick Fix löscht Registry-Keys. Systemadministratoren, die diesen Schritt lieber selber machen wollen, können dies wie unter Suggested Actions beschrieben mittels Group-Policy im Unternehmen machen. Eine weitere Abhilfe stellt das Abschalten von Javascript dar, allerdings werden hierbei viele Webseiten unbenutzbar.

Hinweis

Informationsquelle(n):

Microsoft Security Advisory (972890)
http://www.microsoft.com/technet/security/advisory/972890.mspx
Microsoft Fix It workaround
http://support.microsoft.com/kb/972890

(Warnungen/Warnungen) - Kritische Sicherheitslücken in Microsoft DirectShow (wird aktiv ausgenützt)

CERT.at — Fri, 29 May 2009 00:55:47 GMT

Kritische Sicherheitslücken in Microsoft DirectShow (wird aktiv ausgenützt)

29. Mai 2009

Kritische Sicherheitslücken in Microsoft DirectShow

Angesichts der Schwere der Lücken, der hohen Verbreitung von Windows und damit von DirectShow und der Tatsache, dass die Lücke schon aktiv ausgenützt wird, bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Mittels eines speziell präparierten Videos ist es möglich, Windows XP, Windows Server 2003 und Windows 2000 beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen.

Auswirkungen

Die aktuellen Schwachstellen beruhen auf einem Fehler in den Parsing Routinen von Quicktime. Dieser Exploit erlaubt es dem Angreifer, beliebigen Code beim client auszuführen. Das hohe Verbreitungspotential von Videos am Internet macht diesen Angriffsweg besonders stark. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Windows XP, Windows Server 2003, Windows 2000. Vista ist nicht betroffen.

Abhilfe

Es gibt derzeit kein Update. Allerdings hilft ein quick fix. Microsoft empfiehlt, den Registry Key

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

zu löschen, um das Lesen von Quicktime Videos zu unterbinden.

Hinweis

Informationsquelle(n):

Microsoft Security Advisory 971778 Blog Artikel
http://blogs.technet.com/msrc/archive/2009/05/28/microsoft-security-advisory-971778-vulnerability-in-microsoft-directshow-released.aspx
Microsoft Security Advisory 971778
http://www.microsoft.com/technet/security/advisory/971778.mspx

(Warnungen/Warnungen) - Mehrere kritische Sicherheitslücken in Adobe Acrobat Reader

CERT.at — Wed, 29 Apr 2009 10:43:42 GMT

Mehrere kritische Sicherheitslücken in Adobe Acrobat Reader

29. April 2009

Kritische Sicherheitslücken in Acrobat Reader

Angesichts der Schwere der Lücken, der hohen Verbreitung von Acrobat Reader und dem Fehlen von Updates seitens Adobe bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Mittels JavaScript ist es möglich, Acrobat Reader beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen. Der Angriffsvektor sind speziell präparierte PDF-Dateien. Da Adobe derzeit kein Update bereitstellt, hilft nur ein Abschalten von JavaScript im Acrobat Reader.

Auswirkungen

Die aktuellen Schwachstellen beruhen auf dem Missbrauch von JavaScript, um beliebigen Schadcode auszuführen. Dies kann in gezielten Attacken durchgeführt werden, indem einem Adressaten per Mail eine solche PDF-Datei geschickt wird. Der Betroffene öffnet das PDF und der Rechner führt somit den Schadcode aus. Allerdings ist sich die IT Security Gemeinde einig, dass es ein kleiner Schritt ist, eine grosse Zahl von Benutzern anzugreifen (PDFs auf Webseiten, Spam Mail).

Betroffene Systeme

Betroffen sind die Versionen 7.0 bis einschließlich 9.1 unter allen Betriebsystemen.

Abhilfe

Da es derzeit keine Patches gibt, wird empfohlen, JavaScript in Acrobat Reader abzuschalten. Man muss dazu in die Einstellungen von Acrobat Reader gehen und dort JavaScript deaktivieren. (Windows: Bearbeiten -> Grundeinstellungen -> JavaScript -> Acrobat JavaScript aktivieren, Mac: Einstellungen -> JavaScript -> JavaScript aktivieren)

Des weiteren besteht auch die Möglichkeit, alternative Software zum Anzeigen von PDF-Dateien zu verwenden.

Hinweis

Informationsquelle(n):

SecurityFocus Meldungen (englisch)
http://www.securityfocus.com/bid/34736/info
http://www.securityfocus.com/bid/34740/info
F-Secure Meldung (englisch)
http://www.f-secure.com/weblog/archives/00001671.html
Heise Meldung
http://www.heise.de/security/Demo-Exploits-fuer-neue-Schwachstellen-im-Adobe-Reader--/news/meldung/136958
Bestätigung von Adobe (englisch)
http://blogs.adobe.com/psirt/2009/04/potential_adobe_reader_issue.html

(Warnungen/Warnungen) - Kritische Schwachstelle in Microsoft Powerpoint

CERT.at — Fri, 03 Apr 2009 11:07:55 GMT

Kritische Schwachstelle in Microsoft Powerpoint

3. April 2009

Kritische Schwachstelle in Microsoft Powerpoint

CERT.at ersucht um Beachtung der folgenden Hinweise.

Beschreibung

Durch einen Fehler in Microsoft Powerpoint ist es Angreifern möglich, durch speziell präparierte Dateien beliebigen Code mit den Rechten des Anwenders auszuführen. Es ist nach derzeitigem Wissensstand nicht möglich, solche Attacken ohne Benutzer-Interaktion durchzuführen, dh. ein Angreifer muss den Benutzer dazu bringen, eine speziell präparierte Datei zu öffnen.

Auswirkungen

Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut Microsoft sind folgende Produkte betroffen:

Microsoft Office PowerPoint 2000 Service Pack 3
Microsoft Office PowerPoint 2002 Service Pack 3
Microsoft Office PowerPoint 2003 Service Pack 3
Microsoft Office 2004 for Mac

Abhilfe

Da es noch keine Patches für dieses Problem gibt, emfpiehlt Microsoft, Office-Dateien aus nicht vertrauenswürdigen Quellen bzw. unerwartet zugesandte (etwa per Email) Office-Dateien nicht zu öffnen.

Eine andere Möglichkeit ist es, MOICE (Microsoft Office Isolated Conversion Environment) zu verwenden, eine Software von Microsoft, die es ermöglicht, "alte" Dateiformate in einer sicheren Sandbox-Umgebung in aktuelle zu konvertieren. Details siehe das Advisory von Microsoft.

Weiters ist es möglich, das Öffnen von "alten" Office-Dateien generell zu deaktivieren, Details bitte wieder dem Advisory von Microsoft zu entnehmen.

Microsoft hat bisher keine Aussagen zu Patches für dieses Problem gemacht. Bitte beachten sie hierzu auch den entsprechenden Punkt unter "Hinweise"!

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Im Fall von Microsoft-Produkten weisen wir darauf hin, dass es in vielen Fällen notwendig ist, zumindest ein Mal manuell die Microsoft-Update-Website zu besuchen, um automatische Updates auch für Microsoft-Produkte ausser dem Betriebssystem Windows - wie Microsoft Office - zu aktivieren.

Informationsquelle(n):

Microsoft Security Advisory (969136) (englisch)
http://www.microsoft.com/technet/security/advisory/969136.mspx
Microsoft-Update Website
http://www.update.microsoft.com/

(Warnungen/Warnungen) - Sicherheitslücken im Web-Browser Mozilla Firefox

CERT.at — Fri, 27 Mar 2009 12:03:43 GMT

Sicherheitslücken im Web-Browser Mozilla Firefox

27. März 2009

Sicherheitslücken im Web-Browser Mozilla Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation plant, in einigen Tagen folgende schwere Sicherheitslücken zu beheben:

Fehler in der XSLT-Komponente
der bei der CanSecWest 2009 - Konferenz entdeckte sog. "pwn2own"-Bug

Auswirkungen

Es existiert bereits Proof-of-Concept - Code für den XSLT-Fehler, der den Browser abstürzen lässt, vermutlich kann diese Lücke zum Ausführen beliebigen Schadcodes ausgenutzt werden.
Der sog. "pwn2own"-Bug wurde bei der CanSecWest 2009 - Konferenz benutzt, um Code in den Browser einzuschleusen und in dessen Kontext auszuführen.

Betroffene Systeme

Laut dem Bug-Tracking-System der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox 3.0.x bis inkl. Version 3.0.7

Abhilfe

Update auf die aktuelle Version 3.0.8, sobald verfügbar - voraussichtlich um den 31.3./1.4. herum

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Bug bei der Mozilla Foundation
https://bugzilla.mozilla.org/show_bug.cgi?id=485217
Proof-of-Concept
http://milw0rm.com/exploits/8285
Mozilla Security Blog
http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own-exploit-and-xsl-transform-vulnerability/
Meldung bei Heise Security (deutsch)
http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284

(Warnungen/Warnungen) - Patch für Adobe Acrobat ist verfügbar

CERT.at — Wed, 11 Mar 2009 23:30:25 GMT

Patch für Adobe Acrobat ist verfügbar

11. März 2009

Für die aktuelle Schwachstelle von Acrobat - CERT.at berichtete am 20. Februar 2009 - sind jetzt Updates verfügbar. Da die ursprüngliche Verwundbarkeit sich als noch tückischer als vermutet herausgestellt hat, raten wir dazu, die von Adobe zur Verfügung gestellten Updates ehebaldigst zu installieren.

Updates für Adobe Reader 9 und Acrobat 9: http://www.adobe.com/support/security/bulletins/apsb09-03.html

Für die Versionen 7 bzw. 8 hat Adobe das Update für die nächste Woche angekündigt. Linux-User müssen sich noch 2 Wochen gedulden.

Informationsquelle(n):

Adobe
http://www.adobe.com/support/security/bulletins/apsb09-03.html
Heise
http://www.heise.de/security/Adobe-schliesst-kritische-Luecke-in-Reader-und-Acrobat--/news/meldung/134366
CERT.at-Warnung vom 20. März 2009
http://cert.at/warnings/all/20090220.html

(Warnungen/Warnungen) - Sicherheitslücken im Web-Browser Mozilla Firefox

CERT.at — Thu, 05 Mar 2009 14:45:58 GMT

Sicherheitslücken im Web-Browser Mozilla Firefox

5. März 2009

Sicherheitslücken in Web-Browser Mozilla Firefox

Angesichts der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:

URL spoofing with invisible control characters
memory safety hazards in PNG library
XML data theft via RDFXMLDataSource and cross-domain redirect
Mozilla Firefox XUL Linked Clones Double Free Vulnerability
MFSA 2009-07 Crashes with evidence of memory corruption

Auswirkungen

Die Auswirkungen dieser Bugs sind teilweise noch nicht bekannt, speziell aber die Speicherprobleme könnten prinzipiell auch zum Ausführen von von beliebigem Code benutzt werden. Mit URL-Spoofing kann dem Anwender vorgetäuscht werden, sich auf einer vermeintlich bekannten und sicheren Seite zu befinden.

Betroffene Systeme

Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox vor Version 3.0.7

Auch von Firefox abgeleitete Email-Programme wie Mozilla Thunderbird sind von manchen der behobenen Bugs betroffen, sollten jedoch in der Standard-Einstellung sicher sein.

Abhilfe

Update auf die aktuelle Version 3.0.7.

Hinweis

Generell empfiehlt CERT.at, wo möglichh die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Advisory der Mozilla Foundation
http://www.mozilla.com/en-US/firefox/3.0.7/releasenotes
Meldung des SANS Internet Storm Centers
http://isc.sans.org/diary.html?storyid=5965

(Warnungen/Warnungen) - Erneut kritische Sicherheitslücke in Adobe Flash-Player

CERT.at — Thu, 26 Feb 2009 15:52:12 GMT

Erneut kritische Sicherheitslücke in Adobe Flash-Player

26. Februar 2009

Erneut kritische Sicherheitslücke in Adobe Flash-Player bis einschliesslich Version 10.0.12.36.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Flash-Player bis einschliesslich 10.0.12.36 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann.

Auswirkungen

Betroffene Systeme

10.0.12.36 und früher
10.0.15.3 und früher für Linux

Abhilfe

Update des Flash Players auf aktuelle Versionen oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://get.adobe.com/de/flashplayer/ verfügbar.

CERT.at weist weiters darauf hin, dass mit den Standard-Einstellungen des Adobe Flash Players ein Check auf neuere Versionen nur alle 30 Tage stattfindet.

Dieses Update behebt natürlich nicht das aktuelle Problem mit dem Adobe Acrobat Reader - dieses ist weiterhin ungepatched und hat grosses Schadpotential, siehe http://www.cert.at/warnings/all/20090220.html.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb09-01.html
Heise Meldung (deutsch)
http://www.heise.de/security/Adobe-stopft-Flash-Luecke-PDF-Loch-weiterhin-offen-2-Update--/news/meldung/133493

(Warnungen/Warnungen) - Kritische Schwachstelle in Microsoft Excel

CERT.at — Wed, 25 Feb 2009 16:33:59 GMT

Kritische Schwachstelle in Microsoft Excel

25. Februar 2009

Kritische Schwachstelle in Microsoft Excel

CERT.at ersucht um Beachtung der folgenden Hinweise.

Beschreibung

Durch einen Fehler in Microsoft Excel ist es Angreifern möglich, durch speziell präparierte Dateien beliebigen Code mit den Rechten des Anwenders auszuführen. Es ist nach derzeitigem Wissensstand nicht möglich, solche Attacken ohne Benutzer-Interaktion durchzuführen, dh. ein Angreifer muss den Benutzer dazu bringen, eine speziell präparierte Datei zu öffnen.

Auswirkungen

Betroffene Systeme

Laut Microsoft sind folgende Produkte betroffen:

Microsoft Office Excel 2000 Service Pack 3
Microsoft Office Excel 2002 Service Pack 3
Microsoft Office Excel 2003 Service Pack 3
Microsoft Office Excel 2007 Service Pack 1
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac

Abhilfe

Weiters ist es möglich, das Öffnen von "alten" Office-Dateien generell zu deaktivieren, Details bitte wieder dem Advisory von Microsoft zu entnehmen.

Microsoft hat noch keinen Termin für entsprechende Patches genannt, wir erwarten diesen aber spätestens zum nächsten "Patch-Day" im März - dieses Update sollte dann natürlich sobald wie möglich installiert werden. Bitte beachten sie hierzu auch den entsprechenden Punkt unter "Hinweise"!

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Security Advisory (968272)
http://www.microsoft.com/technet/security/advisory/968272.mspx
Microsoft-Update Website
http://www.update.microsoft.com/

(Warnungen/Warnungen) - Kritische Schwachstelle in Adobe Acrobat Reader (Updated)

CERT.at — Wed, 25 Feb 2009 12:08:35 GMT

Kritische Schwachstelle in Adobe Acrobat Reader (Updated)

20. Februar 2009

Kritische Schwachstelle in Adobe Reader

Angesichts der Schwere der Lücke und der hohen Verbreitung von Adobe Acrobat Reader und dem Fehlen von Updates seitens Adobe bittet CERT.at um Beachtung der folgenden Hinweise.

Update 2009/02/25

Laut Informationen von Secunia kann diese Lücke auch ohne Javascript ausgenutzt werden. Die hier (und auch von Adobe) empfohlene Abhilfe bietet daher keinen umfassenden Schutz.

Beschreibung

Mittels Javascript ist es möglich, Adobe Acrobat Reader beliebigen Programmcode unterzuschieben und somit remote code execution zu erzielen. Der Angriffsvektor sind speziell präparierte PDF Dateien. Da Adobe derzeit kein Update bereitstellt, hilft nur ein Abschalten von Javascript im Adobe Acrobat Reader (Bearbeiten -> Grundeinstellungen -> Javacript -> Acrobat JavaScript aktivieren ).

Auswirkungen

CERT.at hat von Attacken erfahren, die derzeit aktiv ausgenutzt werden. Sie beruhen auf Javascript und Heap Spraying, um beliebigen Schadcode auszuführen. Meist wird dies in gezielten Attacken durchgeführt, indem einem Adressaten per Mail eine solche PDF Datei geschickt wird. Der Betroffene öffnet das PDF und der Rechner führt somit den Schadcode aus. Allerdings ist sich die IT Security Gemeinde einig, dass es ein kleiner Schritt ist, eine grosse Zahl von Benutzern anzugreifen (PDFs auf Webseiten, Spam Mail).

Betroffene Systeme

Laut Adobe sind Versionen 9 und darunter betroffen. Die Schwachstelle betrifft alle Betriebsysteme

Abhilfe

Da es derzeit keine Patches gibt, wird empfohlen, Javascript in Adobe Acrobat Reader abzuschalten. Man muss dazu in die Einstellungen von Adobe Acrobat Reader gehen und dort Javascript deaktivieren. (Windows: Bearbeiten -> Grundeinstellungen -> Javacript -> Acrobat JavaScript aktivieren
Mac: Einstellungen -> Javascript -> Javascript aktivieren )

Informationsquelle(n):

Heap Spraying
http://en.wikipedia.org/wiki/Heap_spraying
Meldung von Adobe
http://www.adobe.com/support/security/advisories/apsa09-01.html
Meldung von Heise
http://www.heise.de/security/Zero-Day-Luecke-in-Adobe-Reader-und-Acrobat--/news/meldung/133225
Blogpost von Secunia
http://secunia.com/blog/44/

(Warnungen/Warnungen) - Erneut kritische Schwachstelle in Typo3

CERT.at — Fri, 18 Sep 2009 13:38:58 GMT

Erneut kritische Schwachstelle in Typo3

10. Februar 2009

Erneut kritische Schwachstelle in Typo3

Angesichts der Schwere der Lücke und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Praktisch alle Versionen von Typo3 enthalten einen Information-Disclosure Fehler, der es Angreifern erlaubt, beliebige Dateien mit den Rechten des Typo3-Users zu lesen - dies betrifft unter Anderem auch die Datei "localconf.php", welche das Passwort des Installations-Tools sowie den Datenbank-Usernamen/-Passwort enthält.

Auswirkungen

Angreifer können alle Dateien mit den Rechten des Typo3-Users lesen, gegegenfalls in diesen Dateien enthaltene Informationen wie Passwörter, sind daher potentiell als kompromittiert zu betrachten.

Mit Hilfe der so erhaltenen Zugangsdaten kann der Angreifer potentiell auch die Kontrolle über die gesamte Typo3-Installation an sich erlangen und entsprechend Daten verändern bzw. zerstören.

Betroffene Systeme

Laut dem Advisory von Typo3 sind folgende Versionen betroffen:

3.3.x
3.5.x
3.6.x
3.7.x
3.8.x
4.0 bis inklusive 4.0.11
4.1.0 bis inklusive 4.1.9
4.2.0 bis inklusive 4.2.5
4.3alpha1

Abhilfe

Upgrade auf aktuelle Versionen:

4.0-Serie: 4.0.12
4.1-Serie: 4.1.10
4.2-Serie: 4.2.6

Patches für ältere Versionen sind zumindest teilweise auch verfügbar.

Informationsquelle(n):

Meldung von Typo3
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/

(Warnungen/Warnungen) - Kritische Sicherheitslücken im Web-Browser Firefox

CERT.at — Wed, 04 Feb 2009 10:59:32 GMT

Kritische Sicherheitslücken im Web-Browser Firefox

04. Februar 2009

Kritische Sicherheitslücken im Web-Browser Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation warnt vor mehreren Sicherheitslücken im Web-Browser Firefox, unter anderem:

Local File Stealing
Arbitrary Code Execution
Cookie Stealing
Privilege Escalation via .desktop Files

Auswirkungen

Da Angreifer dadurch potentiell nicht nur lokale Dateien stehlen, sondern wahrscheinlich auch beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut dem Advisory der Mozilla Foundation sind folgende Produkte und Versionen betroffen:

Firefox vor Version 3.0.6

Vermutlich treffen diese Sicherheitslücken auch von Mozilla/Firefox abgeleitete Produkte wie Thunderbird und SeaMonkey - für diese stehen allerdings noch keine Updates zur Verfügung.

Abhilfe

Firefox: Update auf die aktuelle Version 3.0.6
Thunderbird/SeaMonkey: noch keine Updates verfügbar, daher erhöhte Aufmerksamkeit sowie sicherstellen, dass JavaScript nicht fuer Mails aktiviert ist (diese Einstellung ist Default)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldungen der Mozilla Foundation
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
Meldung auf Heise Security
http://www.heise.de/security/Sicherheits-Update-fuer-Firefox--/news/meldung/126855

(Warnungen/Warnungen) - Kritische Sicherheitslücken im Content-Management-System Typo3

CERT.at — Fri, 23 Jan 2009 13:40:22 GMT

Kritische Sicherheitslücken im Content-Management-System Typo3

23. Jänner 2009

Kritische Sicherheitslücken in Typo3

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Versionen von Typo - 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7, 4.2.0 bis 4.2.3 - enthalten Bugs im Bereich Authentication and Session Management, sowie Probleme mit Cross-Site-Scripting, ungenügende Zufallszahlengenerierung und Remote Command Execution. Besonders das letztere Problem ist besonders schwerwiegend, da es einem Angreifer erlaubt, beliebige System-Kommandos auf betroffenen Systemen auszuführen, meist mit den Rechten des Webserver- bzw. Typo3-Benutzeraccounts.

Auswirkungen

Betroffene Systeme

Laut dem Advisory von Typo3 sind folgende Versionen betroffen:

4.0.0 bis 4.0.9
4.1.0 bis 4.1.7
4.2.0 bis 4.2.3

Abhilfe

Upgrade auf aktuelle Versionen:

4.0-Serie: 4.0.10
4.1-Serie: 4.1.8
4.2-Serie: 4.2.4

Informationsquelle(n):

Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
Meldung bei TecChannel.de
http://www.tecchannel.de/sicherheit/news/1782988/hoch_kritische_schwachstellen_in_typo3_ausgebessert/

(Warnungen/Warnungen) - Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

CERT.at — Thu, 22 Jan 2009 15:28:39 GMT

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

22. Jänner 2009

Kritische Sicherheitslücke in Apple QuickTime vor Version 7.6.

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime älter als 7.6 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden.

Auswirkungen

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie die Auto-Update Funktion des QuickTime Players (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie das Update direkt von Apple:

Anmerkung für Windows-User: Die Autoupdate Funktion scheint noch nicht verlässlich das Update anzubieten. Überprüfen sie daher Ihre Version mit Hilfe->"Über QuickTime Player".

Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT3403
Meldung bei Heise Security
http://www.heise.de/security/Update-fuer-QuickTime-schliesst-zahlreiche-Luecken--/news/meldung/122139
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime

(Warnungen/Warnungen) - Update: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

CERT.at — Wed, 14 Jan 2009 18:16:08 GMT

Update: CERT.at Empfehlungen zur Abwehr des Wurms Conficker

14. Jänner 2009

CERT.at Empfehlungen zur Abwehr des Wurms Conficker

Aufgrund des Auftretens des Conficker.B/Downadup Wurms in teilweise kritischen Umgebungen wie Behörden und Spitälern empfiehlt CERT.at dringend die Beachtung der folgenden Hinweise, die unsere Warnung vom 10. Jänner 2009 (http://www.cert.at/warnings/all/20090110.html) ergänzen:

Generell gilt, dass ein Einspielen des Patches zu MS08-067 vom Oktober 2008 keinen ausreichenden Schutz darstellt, da der Wurm auch andere Methoden zur Ausbreitung nutzt.

CERT.at empfiehlt folgende präventive Maßnahmen:

Aktuelle Patches einspielen, insbesondere das Update zu MS08-067 http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
Sorgen Sie für eine aktuelle Antivirensoftware.
Abdrehen von Autorun für alle externen Datenträger http://support.microsoft.com/kb/953252/de
Shares sollten dringend mit nicht-trivialen Passwörtern gesichert sein
Aktivieren Sie Password Complexity für lokale Accounts http://technet.microsoft.com/de-de/library/cc786468.aspx

Mittlerweile haben mehrere Hersteller von Antivirensoftware nicht nur ihre Erkennungssoftware aktualisiert, sondern stellen auch Tools zur Entfernung des Wurms zum Download bereit.

Microsoft hat ein Update des "Malicious Software Removal Tools" MSRT publiziert, das auch über Windows Update verteilt wird. Da der Wurm diesen Mechanismus unterbindet empfiehlt CERT.at, dieses Tool von Hand zu laden und zu starten.

Siehe http://www.microsoft.com/austria/security/malwareremove/default.mspx

Das MSRT sollte insbesondere auf private PCs ausgeführt werden, und zwar unabhängig vom Lizenzstatus der Windowsinstallation.

Falls Ihr Firmennetz betroffen ist:

Deaktivieren Sie die automatische Benutzerkontensperre bei Login-Fehlversuchen, um das Aussperren von Benutzern zu verhindern.
Loggen Sie sich auf keinen Fall als Domain Administrator auf einem infizierten PC ein, da der Wurm dann Ihre Credentials zur Ausbreitung nutzen kann.
Scheuen Sie sich nicht, den Hersteller ihres Antivirenproduktes zu kontaktieren und um Hilfe zu bitten. Die Entwurmung von größeren Netzen ist nicht trivial.
Betreiber von kritischer Infrastruktur können sich bei Bedarf auch an CERT.at wenden; wir können Experten vermitteln.

Allgemeine Lage in Österreich

Die finnische Security-Firma F-Secure hat den Algorithmus geknackt, nach dem der Wurm die Domains berechnet, von denen er weiteren Code nachlädt. Diese Liste ist auf http://www.f-secure.com/weblog/archives/00001578.html verfügbar. Mit Hilfe dieser Liste können Systemverwalter a) das Nachladen von Schadcode verhindern, und b) Infektionen innerhalb des eigenen Netzes schnell erkennen.

F-Secure hatte am Wochenende einige der berechneten Domain selber registriert und so gesehen, von welchen IP-Adressen aus infizierte PCs Software nachladen wollten. Siehe http://www.f-secure.com/weblog/archives/00001579.html

Die Zahlen belegen, dass es sich um ein globales Phänomen handelt, und nicht um eine auf österreich (oder gar auf Kärnten) gerichtete Kampagne.

Symantec hat vergleichbares für die Conficker.A Variante gemacht und die Windows-Versionen aufgeschlüsselt. Siehe https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/224 und https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/225

Nach den vorliegenden Informationen enthält der Wurm aktuell keine direkten Schadensroutinen, sondern versucht weiteren Code nachzuladen. Es ist derzeit nirgendwo publiziert, was da eigentlich nachgeladen wird, primär weil die Webadressen, die probiert werden, schlicht (noch) nichts liefern.

Für die Schreiber des Wurms ist es damit möglich, zeitgesteuert beliebigen Code nachladen zu lassen. Was dieser dann tun wird, kann nicht vorhergesagt werden.

Informationsquelle(n):

Technet
http://blogs.technet.com/kfalde/archive/2009/01/08/malware-win32-conficker-b-w32-downadup-b.aspx
Technet
http://blogs.technet.com/rhalbheer/archive/2009/01/13/additional-information-on-conficker-msrt-removing-conficker.aspx
Technet
http://blogs.technet.com/gerhardg/archive/2009/01/14/entfernen-von-conficker-b.aspx
F-Secure
http://www.f-secure.com/weblog/archives/00001580.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

(Warnungen/Warnungen) - Computerwurm bedroht Behörden- und Firmennetzwerke

CERT.at — Sun, 11 Jan 2009 20:01:56 GMT

Computerwurm bedroht Behörden- und Firmennetzwerke

10. Jänner 2009

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung.

Computerwurm bedroht Behörden- und Firmennetzwerke

CERT.at bittet um erhöhte Vorsicht, auch wenn der Patch zu MS08-067 eingespielt wurde.

Beschreibung

Die im November von Microsoft gefundene und gepatchte Schwachstelle im RPC-Dienst von Microsoft Windows wird aktiv von Schadsoftware ausgenutzt. Innerhalb eines LANs nutzt der Wurm dann auch andere Methoden zur Weiterverbreitung.

Auf diese Art wurden in der letzten Woche die IT mehrerer grösserer österreichischer Organisationen lahmgelegt.

Einschätzung

Risiko: steigend
Potential: sehr hoch

Hintergrund

Microsoft hatte schon im initialen Advisory im Oktober darauf hingewiesen, dass diese Schwachstelle das Potential hat, von einem Wurm zur Verbreitung genutzt zu werden. Es ist daher kein Fehlverhalten von Benutzern nötig, damit der Wurm weitere PCs infiziert.

Die aktuell im Umlauf befindlichen Würmer kombinieren die Ausnutzung von MS08-067 mit traditionellen Fortpflanzungstechniken wie das Durchprobieren von Passwörtern oder das Ablegen von Kopien in Shares.

Diese Kombination von Verbreitungsmethoden hat dazu geführt, dass es der Wurm geschafft hat, sich auch in geschützten Umgebungen auszubreiten. Dazu ist es nur nötig, dass ein einziges infiziertes System innerhalb des LANs aktiv wird.

Eine reine Sicherung der Netzwerkgrenzen ist daher nicht genug, wenn Laptops oder alternative Netzzugänge (UMTS, ...) Löcher in diesen Verteidigungsring brechen.

Auswirkungen

Der Wurmcode selber enthält (nach den bislang bekannten Information) keine Schadfunktion, er lädt aber aus dem Internet Programme nach und startet diese. Schadfunktion (z.B. Keylogger, Spamversand, ...) können daher nicht ausgeschlossen werden.

Als Seiteneffekt der Fortplanzungsversuche kann es auch zu gesperrten Accounts (wegen des Passwortratens) und hoher Last auf den internen Servern kommen.

Empfehlungen

Aktualisieren Sie Ihre Windows-Installationen, insb. sollte MS08-067 eingespielt sein.
Überprüfen Sie den Stand Ihrer Antiviren-Software. Insbesondere ist es wichtig, dass auch das RAM gescannt wird, da bei der Ausbreitung per RPC Dienst der Wurm gar nicht auf die Platte geschrieben wird.
Sorgen sie für nicht-triviale Passwörter.
Achten Sie darauf, dass mobile Geräte (z.B. Laptops) oder Datenträger (z.B. USB-Sticks) nicht den Wurm in Ihr Netz tragen.
Deaktivieren Sie Autorun für externe Datenträger.
Erhöhtes Monitoring Ihres Netzes, etwa:
- Beobachten Sie die Namensauflösungen der Clients: der Wurm frägt bestimmte Domains ab. (Siehe Links)
- Beachten Sie Meldungen zu fehlgeschlagenen Logins
- Beobachten Sie ihrer Proxy-logs: die nachgeladene Software kommt derzeit von bekannten Domainnamen.

Informationsquelle(n):

Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.A
Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.B
F-Secure
http://www.f-secure.com/weblog/archives/00001574.html
F-Secure
http://www.f-secure.com/weblog/archives/00001576.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
Internet Storm Center (SANS)
http://isc.sans.org/diary.html?storyid=5653
Computer Associates (CA)
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911
Computer Associates (CA)
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1

(Warnungen/Warnungen) - Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution

CERT.at — Wed, 17 Dec 2008 21:13:21 GMT

Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution

12. Dezember 2008

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

UPDATE (17.12.2008): Out of Band Patch von Microsoft

Microsoft hat am Mittwoch, 17.12.2008 einen Patch veröffentlicht. Man beachte den Microsoft technet blog für Updates. CERT.at empfiehlt, den Patch per Autoupdate einzuspielen.

Beschreibung

In Versionen des Internet Explorers bis einschliesslich Beta 8 existiert eine Sicherheitslücke beim Parsen von XML Texten, die dazu führen kann, daß beliebiger Code beim Besuch von präparierten Webseiten mit den Rechten des angemeldeten Benutzers ausgeführt wird (CVE-2008-4844) und die Kontrolle über den Rechner erlangt werden kann. Microsoft hat hierzu eine Warnung herausgegeben.

Einschätzung

Risiko: steigend
Potential: sehr hoch

Hintergrund und Dimension

Eine Schwachstelle im Verarbeiten von XML Texten erlaubt es einem Angreifer, Code in den Rechner einzuschleusen. Sobald ein Benutzer auf eine manipulierte Webseite geht, wird ohne Vorwarnung der Schadcode durch die bekannt gewordene Lücke im Internet Explorer auf dem Rechner des Opfers ausgeführt. Meist wird dabei als erster Schritt andere Schadsoftware nachgeladen.

CERT.at weist darauf hin, dass bei ähnlichen Schwachstellen in der Vergangenheit die Angreifer auf verschiedenen Wege versucht haben, Nutzer auf ihre Seiten zu locken. Weiters wurde verstärkt versucht, über Schwachstellen in populären seriösen Webseiten (etwa per SQL-Injection oder Cross-Site Scripting) entsprechende Code-Fragmente einzubauen.

Obwohl die Sicherheitslücke gestern schon bekannt war, hat sich CERT.at entschlossen, gestern noch keine Warnung herauszugeben da nach allen bekannten Analysen nur chinesische Webseiten betroffen waren. Es wurde hierbei nur ein Gamekeylogger installiert. Durch das Auftauchen des Codes auf milw0rm.com sieht CERT.at allerdings die Gefährdung akut gesteigert. Wir erwarten in Zukunft somit Attacken auch ausserhalb Chinas.

Auswirkungen

Betroffene Systeme

Alle üblicherweise verwendete Versionen des Internet Explorers

Abhilfe

Es wird empfohlen, die Sicherheitsstufe im Internet Explorer auf "Hoch" zu setzen und die Schritte in der Microsoft Warnung zu befolgen. Da dies allerdings die Bedienbarkeit bestehender Webseiten, die Javascript verwenden, massiv beeinträchtigen kann, empfiehlt CERT.at bis zur Bereitstellung eines Patches seitens Microsoft, alternative Browser zu verwenden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Microsoft Warnung
http://www.microsoft.com/technet/security/advisory/961051.mspx
ISC Internet Storm Center SQL Injection code
http://isc.sans.org/diary.html?storyid=5464
ISC Internet Storm Center SQL IE6 und IE8 betroffen
http://isc.sans.org/diary.html?storyid=5470

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Reader und Acrobat Professional

CERT.at — Wed, 05 Nov 2008 11:46:53 GMT

Kritische Sicherheitslücke in Adobe Reader und Acrobat Professional

5. November 2008

Kritische Sicherheitslücke in Adobe Reader bis einschliesslich Version 8.1.2.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Reader bis einschliesslich 8.1.2 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann (CVE-2008-4812, CVE-2008-4813, CVE-2008-2992, CVE-2008-4817) und die Kontrolle über den Rechner erlangt werden kann. Diese Lücke betrifft genauso Adobe Acrobat Professional (Professional, 3D, and Standard) bis zur Version 8.1.2 . Adobe hat eine detaillierte Warnung herausgegeben.

Auswirkungen

Betroffene Systeme

PDF und damit Adobe Acrobat und Reader sind häufig verwendete Formate und Programme für den elektronischen Schriftverkehr. Adobe stellt Updates für Mac OS X und Windows Systeme zur Verfügung.

Abhilfe

Update des Adobe Readers oder Adobe Acrobat auf Version 8.1.3 oder 9 oder Blockieren von PDF Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/support/security/bulletins/apsb08-19.html verfügbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash). Falls Sie das Update manuell downloaden, empfehlen wir, ausschließlich den oben angegebenen Link zu verwenden!

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb08-19.html
Heise Meldung (deutsch)
http://www.heise.de/security/Mehrere-kritische-Luecken-im-Adobe-Reader-8-und-Acrobat-8-geschlossen--/news/meldung/118413
US-CERT Meldung zu APSB08-19
http://www.kb.cert.org/vuls/byid?searchview&query=APSB08-19

(Warnungen/Warnungen) - Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

CERT.at — Fri, 24 Oct 2008 09:37:23 GMT

Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

24. Oktober 2008

Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

Wegen des Schadens-Potentials des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In den aktuellen Versionen von Microsoft Windows (Details siehe Meldung von Microsoft) gibt es eine Sicherheitslücke, die sich durch präparierte RPC-Requests von aussen ausnutzen lässt, und durch die potentiell beliebiger Code in das System eingeschleust werden kann.

Es gibt auch erste Hinweise darauf, dass versucht wird, diese Lücke aktiv auszunutzen.

Auswirkungen

Microsoft weist auch darauf hin, dass diese Lücke theoretisch das Potential hat, von einem Wurm wie "MSBlaster" (Wikipedia-Eintrag) ausgenutzt zu werden, und hat deshalb entsprechende Patches ausserhalb des gewohnten Update-Zyklus zur Verfügung gestellt.

Betroffene Systeme

Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

Details zu verwundbaren Patch-Levels/Service-Packs siehe www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Hinweis

Es sollte beachtet werden, dass auch hinter Firmen-Firewalls befindliche Systeme bzw. solche, die die Default-Firewall aktiv haben, nicht unbedingt auf Dauer sicher sind, da es durchaus vorstellbar ist, dass entsprechend präparierte Angriffe auf anderen Wegen als direkt über das Internet eingeschleust werden können.

Abhilfe/Workarounds

Einspielen der von Microsoft zur Verfügung gestellten Patches.
Dies geschieht für Windows-Systeme am einfachsten über einen Besuch der "Windows Update"-Webseite unter: windowsupdate.microsoft.com.

Als Erst-Massnahme (bis etwa die aktuellen Patches auf Betriebssicherheit getestet wurden) kann auch sichergestellt werden, dass der RPC-Dienst nicht von aussen erreichbar ist, dies ist jedoch keine dauerhafte Lösung des Problems.

Weiters kann der "Computer Browser Service" deaktiviert werden, Details siehe Meldung von Microsoft. Dies kann jedoch je nach Setup Auswirkungen auf die gewünschte Funktionalität des Systems bzw. der Umgebung haben.

Allgemeiner Hinweis zu Updates

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

CERT.at-Policy zu Warnungen

Wir weisen darauf hin, dass CERT.at nur vor besonders kritischen Sicherheitslücken warnt, die ernsthafte Auswirkungen auf das Internet bzw. grosse Teile der in Österreich installierten Systeme haben können. Reguläre Updates - etwa von Microsoft jeden 2. Dienstag im Monat (sog. "Patch Tuesday") zur Verfügung gestellt - werden von uns nicht extra aufgeführt.

Informationsquelle(n):

Microsoft Advisory
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Heise Meldung (deutsch)
http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst--/news/meldung/117867
SANS Internet Storm Center Meldung
http://isc.sans.org/diary.html?storyid=5227

(Warnungen/Warnungen) - Kritische Sicherheitslücke in Adobe Flash-Player

CERT.at — Fri, 17 Oct 2008 13:20:25 GMT

Kritische Sicherheitslücke in Adobe Flash-Player

17. Oktober 2008

Kritische Sicherheitslücke in Adobe Flash-Player bis einschliesslich Version 9.0.124.0.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Flash-Player bis einschliesslich 9.0.124.0 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann. Weiters wurden mit der aktuellen Version 10.0.12.36 auch Bugs bez. ClickJacking und einer potentiellen Port-scanning Lücke behoben.

Auswirkungen

Betroffene Systeme

Abhilfe

Update des Flash Players auf Version 10.0.12.36 oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash verfügbar.

ACHTUNG

Sucht man derzeit mit Google nach "flash player", so führt einer der angebotenen Links (www.flash-player-10.com) zu Downloads, die Schadsoftware enthalten. Nutzen Sie daher bitte den oben angegebenen Link!

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb08-18.html
Heise Meldung (deutsch)
http://www.heise.de/security/Kritische-Sicherheitsluecken-in-Adobe-Flash-9--/news/meldung/117496
Informationen zur ClickJacking-Lücke
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4503
Informationen zur Port-scanning - Lücke
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-4324

(Warnungen/Warnungen) - CERT.at publiziert DNS Bericht zur Lage in Österreich bzgl. Cache Poisoning.

CERT.at — Thu, 17 Sep 2009 13:39:12 GMT

CERT.at publiziert DNS Bericht zur Lage in Österreich bzgl. Cache Poisoning.

24. Juli 2008 Angriffscode wurde veröffentlicht -- CERT.at publiziert Bericht zur DNS-Sicherheitslage in Österreich

Zusammenfassung

Schwerwiegende Sicherheitslücke im Domain Name System (DNS) des Internets entdeckt und automatisiert angreifbar geworden. CERT.at empfiehlt, rekursive DNS Server jetzt zu aktualisieren.

Die Diskussion um Dan Kaminsky's Entdeckung einer schwerwiegenden Schwachstelle im DNS System hat eine neue Wendung bekommen: während noch vor kurzem davon auszugehen war, dass Internet Service Provider (ISPs) und Firmen bis zum 6.August Zeit hatten, ihre rekursiven DNS Server zu patchen, verkürzte sich diese Zeitspanne nunmehr auf "bis gestern" nachdem Matasano die Details zu dem Angriff veröffentlichte. Wenig später nur war der Angriff schon automatisiert in Metasploit implementiert.

Untersuchungen von CERT.at zeigen, dass etwa 2/3 der aller rekursiven DNS Server in Österreich derzeit verwundbar sind.

Update, 28. 7. 2008:
Aktuelle Daten zeigen zwar leichte Fortschritte, es sind aber immer noch mehr als die Hälfte aller Server verwundbar.

Hintergrund

DNS (Domain Name System) ist das zentrale System im Internet, um eine Zuordnung von domains (wie zB www.google.com) zu IP Adressen (Internet Adressen) zu gewährleisten.

Die Schwachstelle im DNS System attackiert über sogenanntes "cache poisoning" zentrale DNS Server. Angreifern ist es somit möglich, eine gefälschte Antwort für DNS Anfragen in zentrale DNS Server einzuschmuggeln.

Während ein Internet Bentuzer einfach nur auf die Seite "www.meinebank.at" gehen will, kann der DNS Server schon eine falsche Antwort in seinem Zwischenspeicher ("cache") haben und in Wirklichkeit auf "www.boesercracker.com" zeigen. Der Internet Benutzer merkt hiervon nichts.

CERT.at hat die Situation aller DNS Server in Österreich untersucht und kommt zu dem Ergebniss, dass mind. zwei drittel aller DNS Server in Österreich angreifbar sind.

Im Zusammenspiel mit der mittlerweile automatisierbarene Angriffsmöglichkeit via Metasploit, möchten wir die Öffentlichkeit eindringlich erinnern, sämtliche DNS Server auf neuere Versionen aktualisieren.

Es wurde daher notwendig, alle verfügbaren Verteidigungsmechanismen einzusetzen, dazu gehört auch Source Port Randomization. Dieses Feature wurde in der letzten Zeit in Nameserversoftware eingebaut.

Abhilfe

Was kann gegen das Problem unternommen werden?

Überprüfen Sie, ob der DNS Server, den Sie verwenden angreifbar ist. (Linux Benutzer können dies auch mit dig +short porttest.dns-oarc.net TXT machen)
Falls Ihr DNS Server verwundbar ist, aktualisieren Sie ihn jetzt.
Falls Sie den DNS Server nicht updaten können, informieren Sie ihren Systemadministrator.

Informationsquelle(n):

CERT.at advisory
http://cert.at/warnings/all/20080708.html
BIND Nameserver
http://www.isc.org/index.pl
Leak pastebin
http://amd.co.at/dns.htm
Exploit veroeffentlicht
http://blogs.zdnet.com/security/?p=1545
CERT report
http://www.cert.at/
Cache poisoning
http://de.wikipedia.org/wiki/Cache_Poisoning
Bind updates
http://www.isc.org/sw/bind/
Dan Kaminksy's DNS checker test
http://www.doxpara.com/
Dan Kaminsky's initialer Bericht
http://www.doxpara.com/?p=1162
CERT.org Bericht
http://www.kb.cert.org/vuls/id/800113
Leak pastebin
http://amd.co.at/dns.htm
exploit published
http://blogs.zdnet.com/security/?p=1545
Dan Kaminsky's test
http://www.doxpara.com/
background on hackers finding out *everything* if they want to
http://searchsecurity.techtarget.com.au/articles/25718-What-we-can-all-learn-from-how-the-DNS-flaw-was-handled

(Warnungen/Warnungen) - Sun Java Remote Vulnerabilities

CERT.at — Mon, 14 Jul 2008 11:51:18 GMT

Sun Java Remote Vulnerabilities

13. Juli 2008 Sun Java Remote Vulnerabilities

Zusammenfassung

US-CERT berichtet von neuen schwerwiegenden Schwachstellen in Sun Java, die es Angreifern ermoeglicht, mittels speziellen Websites, Untrusted Java Applets auf eine lokale Maschine einzuschleusen, dort ungehindert Netzwerkverbindungen zu oeffnen und Dateien zu lesen, zu schreiben und evt. auch auszufuehren.

Laut US-CERT wird ein Upgrade dringend empfohlen.

Auswirkungen

Mittels spezieller Websites ist es moeglich, Java Applets mit Schadcode auf den lokalen Rechner zu installieren, der ohne Sicherheitscheck lesend und schreibend auf Dateien und Netzwerkressourcen zugreifen darf.

Betroffene Systeme

Ein Grossteil aller installierten Client-Systeme mit Webbrowser hat auch Sun JRE installiert, im geschaeftlichen Umfeld aus Kompatibilitaetsgruenden mit geschaeftlichen Anwendungen oft veraltete Versionen.

Sun JDK und JRE 6 Update 6 und fruehere
Sun JDK und JRE 5.0 Update 16 und fruehere
Sun SDK und JRE 1.4.2_17 und fruehere
Sun SDK und JRE 1.3.1_22 und fruehere

Java Implementationen / JREs anderer Hersteller sind hiervon nicht betroffen.

Abhilfe

US-CERT empfiehlt, folgende Patches einzuspielen oder Java zumindest im Webbrowser komplett zu deaktivieren.

Java im Webbrowser deaktivieren: http://www.us-cert.gov/reading_room/securing_browser/

Patches von Sun:

JDK and JRE 6 Update 7
JDK and JRE 5.0 Update 16
SDK and JRE 1.4.2_18
SDK and JRE 1.3.1_23

http://java.sun.com/javase/downloads/index.jsp

Informationsquelle(n):

US-CERT Advisory
http://www.us-cert.gov/cas/techalerts/TA08-193A.html

(Warnungen/Warnungen) - Angriffe auf die Caches von DNS Resolvern.

CERT.at — Fri, 18 Sep 2009 14:41:19 GMT

Angriffe auf die Caches von DNS Resolvern.

8. Juli 2008 Angriffe auf die Caches von DNS Resolvern.

Zusammenfassung

Es wurde ein neuer Angriff auf die Integrität von Caches von Nameservern bekannt, der das Einschleusen von falschen Daten deutlich vereinfacht.

Für die meiste Nameserversoftware haben die Hersteller Updates herausgegeben, die mittels "Source Port Randomization" die Erfolgswahrscheinlichkeit dieses Angriffs minimieren.

Es wird dringend empfohlen, diese Updates einzuspielen. Details zu dem Angriff werden in den nächsten Wochen publik, und dann ist mit massiven Angriffsversuchen zu rechnen.

Autoritative Nameserver sind davon nicht betroffen.

Beschreibung

Das Domain Name System sorgt für die Auflösung von Domainnamen zu IP Adressen und anderen Adressierungsinformationen im Internet.

Recursive (Caching) Nameserver ("Resolver") nehmen Anfragen von Clients entgegen, fragen die relevanten autoritativen Nameserver und leiten die Antworten an die Kunden weiter. Antworten werden auch zwischengespeichert und für andere Anfragen wiederverwendet.

Es ist seit längerem bekannt, dass sich diese Caches durch gezieltes Fälschen von Antwortpaketen manipulieren lassen. Siehe etwa draft-ietf-dnsext-forgery-resilience.

Das neu entdeckte Angriffsmuster reduziert den Aufwand für einen erfolgreichen Angriff signifikant. Damit ist dies keine theoretische Schwachstelle mehr; "cache poisoning" ist somit machbar geworden.

Auswirkungen

Ein erfolgreichen Cache Poisoning Angriff führt dazu, dass der Nameserver falsche Daten an seine Clients liefert. Ist der Nameserver der eines grossen ISPs oder einer grösseren Organisation, so kann ein einzelner erfolgreicher Angriff viele Clients betreffen.

Falsche DNS Antworten bewirken typischerweise, dass falsche IP Adressen für nachfolgenden Verbindungen verwendet werden. Das kann unter anderem folgende Auswirkungen haben:

Denial of Service
Webbrowser werden auf falsche Webserver geleitet.
Ausgehende Mail wird an falsche Mailserver übergeben.
Webbrowser nutzen auf falsche Proxyserver
...

Betroffene Systeme

Direkt alle recursive Nameserver, indirekt alle deren Clients da diese den Antworten ihrer Nameserver vertrauen.

Abhilfe

Aktuelle Versionen von Nameserversoftware minimieren die Chancen eines Angreifers. Ein Upgrade und das Aktivieren von Source Port Randomization ist daher dringend angeraten.

Für BIND siehe:
http://www.isc.org/index.pl?/sw/bind/bind-security.php
http://www.debian.org/security/2008/dsa-1603

Für Microsoft siehe:
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

Für Nominum CNS siehe:
http://nominum.com/asset_upload_file741_2661.pdf

Bei PowerDNS, MaraDNS und Unbound ist das schon jetzt Standard, es sind keine Updates nötig.

Update (2008/07/24)

Details zu diesem Angriff sind jetzt publik geworden, und Code zum Ausnutzen der Schwachstelle wurde auch schon publiziert. Wir raten daher dringendst, die empfohlenden Updates einzuspielen.

CERT.at hat einen Report über den Status der Absicherung der Nameserver veröffentlicht.

Informationsquelle(n):

US-CERT Advisory
http://www.kb.cert.org/vuls/id/800113
Securosis Blog
http://securosis.com/2008/07/08/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-released/

(Warnungen/Warnungen) - Kritische Schwachstelle in Adobe Flash Player vor Version 9.0.124.0

CERT.at — Fri, 13 Jun 2008 11:44:36 GMT

Kritische Schwachstelle in Adobe Flash Player vor Version 9.0.124.0

30. Mai 2008

Kritische Sicherheitslücke in Adobe Flash Player vor Version 9.0.124.0.

Die einschlägigen Medien haben schon ausführlich berichtet, ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at nochmals um Beachtung der folgenden Hinweise:

Beschreibung

In Versionen des Adobe Flash Player älter als 9.0.124.0 wird eine Lücke im Adobe Flash Player aktiv ausgenutzt, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann.

Auswirkungen

Betroffene Systeme

Abhilfe

Update des Flash Players auf Version 9.0.124.0 oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash verfügbar

Informationsquelle(n):

Meldung des Adobe PSIRT
http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue.html
Meldung bei Heise Security (Deutschsprachig)
http://www.heise.de/security/Kritische-Schwachstelle-im-Flash-Player-wird-aktiv-ausgenutzt-Update--/news/meldung/108560

(Warnungen/Warnungen) - Sicherheitsproblem mit OpenSSL/OpenSSH

CERT.at — Mon, 04 Aug 2008 08:36:29 GMT

Sicherheitsproblem mit OpenSSL/OpenSSH

15. Mai 2008

Das Debian Projekt hat eine Warnung zu einem Sicherheitsproblem mit OpenSSL/OpenSSH veröffentlicht.

Die einschlägigen Medien haben schon ausführlich berichtet, ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at nochmals um Beachtung der folgenden Hinweise:

Beschreibung

Die unter Debian erzeugten OpenSSH und OpenSSL Keys waren verwundbar, da die vom Pseudo Random Number Generator erzeugten Zufallszahlen nicht wirklich zufällig waren.

Auswirkungen

Dies bedeutet, dass gewisse SSH Keys und OpenSSL Zertifikate für einen Angreifer erratbar und die damit verschlüsselten Nachrichten entschlüsselbar sind.

Damit ist die Serverauthentizitätsprüfung mittels Hostkeys und die Userauthentisierung durch SSH Authorized Keys nicht mehr sicher.

Betroffene Systeme

Der Fehler betrifft OpenSSL ab Version 0.9.8c-1, diese wurde 17. 9. 2006 von Debian veröffentlicht und auch von abgeleiteten Linux-Distributionen wie Ubuntu oder Knoppix übernommen. Die alte "stable" Version "sarge" ist nicht betroffen.

Der Fehler betrifft die Erzeugung von Schlüsseln: wo diese dann eingesetzt werden spielt keine Rolle. Ein simpler Update der Software löst das Problem daher nicht: es müssen auch alle mit den besagten Versionen erstellten Schlüssel ersetzt werden!

Abhilfe

Es wird dringend empfohlen, die von Debian und Ubuntu bereitgestellten Patches zu installieren.
Siehe http://www.debian.org/security/2008/dsa-1571, http://www.debian.org/security/2008/dsa-1576 und http://www.ubuntu.com/usn/usn-612-1.

Hintergrund

Ursprünglich haben die Debian Entwicker einen Funktionsaufruf in OpenSSL entfernt, der die Zufallszahlen durchmischen sollte, weil das Analysetool 'valgrind' ziemlich viele Warnungen wegen nicht initialisierter Variablen aufwarf. Das hat zur Folge dass der Zuffallszahlengenerator nur noch die PID (ProzessID) als Grundlage der Zufallszahl heranzieht: also eine Zahl zwischen 0 und 32768.

Nach Bekanntwerden der Sicherheitslücke hatte Debian zuerst ein Vulnerability Check Tool bereitgestellt (http://security.debian.org/project/extra/dowkd/dowkd.pl.gz), welches eine Liste aller verwundbaren Schlüssel in allen ihren gängigen Kombinationen (also Format wie OpenSSL, OpenSSH, OpenVPN ... , Bit-Breite wie 1024, 2048... Typ RSA, DSA, etc..) enthält.

Diese Liste aller möglichen Schlüsselpaare ist auch schon in automatisierten Test- aber auch Angriffstools eingebaut worden. Dies bedeutet, dass auch technisch wenig versierte Angreifer ("script kiddies") diese Lücke trivial ausnützen können.

Was bedeutet dies in der Praxis?

Überall, wo die Schlüssel direkt zur Authentisierung verwendet werden, kann ein Attacker mittels Durchprobieren der entsprechenden Schlüssel in das System eindringen. (z.b.: authorized_keys bei SSH)

Jede aufgezeichnete Kommunikation, die mit diesen Schlüsseln gesichert war, ist innerhalb kurzer Zeit entschlüsselbar.

Überall, wo Schlüssel, Signaturen oder Zertifikate zur Verifikation des Gegenübers oder der Nutzdaten eingesetzt werden, ist eine Verfälschung dieser Informationen möglich.

Das betrifft auch gekaufte (HTTPS-) Zertifikate oder CACert-Zertifikate, wenn sie vom User mit OpenSSL direkt erstellt wurden und nur zur Signierung an die CA geschickt wurden.

Bei Fragen: Kontakt

Quellen: Debian, Ubuntu, ISC, Adrian Dabrowski

(Warnungen/Spezielles) - Status zu Conficker und 1. April 2009

CERT.at — Fri, 03 Apr 2009 11:11:47 GMT

Status zu Conficker und 1. April 2009

31. März 2009

Anlässlich der Aufmerksamkeit, die das Thema Conficker/Downadup und 1. April momentan in den Medien erfährt, hat CERT.at hier die wichtigsten Fragen&Antworten zusammengefasst.

Was passiert am 1. April 2009?

Basierend auf verschiedenen technischen Analysen wurde herausgefunden, dass Systeme, die mit dem aktuellen Conficker-Wurm infiziert sind, versuchen werden, über einen neuen Algorithmus Code aus dem Internet nachzuladen. Bisher wurden keine anderen Hinweise auf Aktivitäten des Wurms, die den 1. April betreffen, gefunden.

Wird es am 1. April 2009 eine neue Version des Conficker-Wurms geben?

Es ist durchaus möglich, dass Systeme, die vom aktuellen Conficker-Wurm befallen sind, am 1. April neuen Code über den neuen Domainnamen-Algorithmus nachladen werden. Diese Systeme konnten aber auch schon bisher über eine Peer-to-Peer - Methode von den Wurm-Autoren mit neuem Code versorgt werden.

Sollte die Öffentlichkeit besorgt sein?

Nein, die Öffentlichkeit sollte nicht besorgt sein. Die meisten Privatbenutzer sind bereits durch die automatische Installation des Microsoft-Patches MS08-067 vor dem Wurm geschützt.

Wie kann ich herausfinden, ob mein PC befallen ist, und was soll ich dann tun?

Unter http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools (englisch) befindet sich eine Liste an Tools, mit denen befallene Systeme erkannt und gegebenenfalls gesäubert werden können.
Auch Microsoft bietet via http://safety.live.com/ Möglichkeiten zur Analyse/Entfernung.

Diese Seiten sind aber gerade von befallenen Systemem aus oft nicht erreichbar.

Ist das Entfernungs-Tool XYZ geeignet, um befallene Systeme zu erkennen und zu reparieren?

Wir warnen ausdrücklich vor sogenannten "Trittbrettfahrern", die momentan versuchen, mit falschen Entfernungs-Tools noch mehr PCs unter ihre Kontrolle zu bringen, und ersuchen, nur die von der Conficker Working Group oder anderen seriösen Institutionen empfohlenen Entfernungs-Tools zu verwenden.

Empfehlungen

Wir empfehlen, dass Benutzer, die automatische Updates noch nicht aktiviert haben, dies tun, und sicherstellen, dass die installierte Sicherheitssoftware (Firewall, Anti-Viren-Software) immer auf aktuellem Stand ist, vgl. auch http://www.microsoft.com/germany/athome/security/viruses/conficker.mspx.

Firmen wird empfohlen, sicherzustellen, dass der Microsoft-Patch MS08-067 auf allen System installiert ist, von Conficker (egal welcher Version) befallene Systeme zu säubern, die Signaturen der Anti-Viren-Software aktuell zu halten und zusätzliche Sicherheitsmassnahmen - wie zB von Microsoft in http://technet.microsoft.com/de-de/security/dd452420(en-us).aspx (englisch) vorgeschlagen - zu evaluieren.

Informationsquelle(n):

Wikipedia-Eintrag zu Conficker
http://de.wikipedia.org/wiki/Conficker
Liste von Repair Tools (englisch)
http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=ANY.RepairTools

(Services/Services) - Services

CERT.at — Thu, 10 Sep 2009 11:28:03 GMT

Services

Neben den Warnungen und den Downloads bietet CERT.at noch einige Services direkt über diese Webseite an.

(Services/Feeds) - Feeds

CERT.at — Thu, 15 Oct 2009 14:48:26 GMT

Feeds

Wenn Sie neue Meldungen von CERT.at in ihrem RSS/Atom Feed Reader lesen wollen, dann wählen Sie bitte aus den folgenden Feeds aus:

Warnungen

Alle Warnungen von www.CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.warnings.all.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.warnings.all.atom_1.0.xml

Spezielles

Spezielle Themen von www.CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.warnings.specials.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.warnings.specials.atom_1.0.xml

www.CERT.at gesamt

Der gesamte deutschsprachige HTML-Content von www.CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.atom_1.0.xml

CERT.at Downloads

Alle Downloads von CERT.at als Feed.

RSS 2.0 http://www.cert.at/all.downloads.rss_2.0.xml
ATOM 1.0 http://www.cert.at/all.downloads.atom_1.0.xml

(Services/Links) - Links

CERT.at — Thu, 17 Sep 2009 13:20:29 GMT

Links

	Meldungen des BSI über diverse aktuelle Schwachstellen (deutsch)
	Meldungen über diverse aktuelle Schwachstellen aus Sicht des US-Certs (englisch)

	IT-Security-Meldungen mit spezieller Kennzeichnung von Alerts (deutsch)
	Meldungen über diverse aktuelle Schwachstellen mit Kennzeichnung bezüglich deren Dringlichkeit (deutsch)
	Meldungen über diverse aktuelle Schwachstellen mit einer Einschätzung des aktuellen globalen Sicherheitslevels (englisch)
	Meldungen über diverse aktuelle Schwachstellen (englisch)

	Meldungen über diverse aktuelle Schwachstellen in Microsoft-Produkten (englisch)
	Meldungen über diverse aktuelle Schwachstellen in Apple-Produkten (deutsch)
	Meldungen über diverse aktuelle Schwachstellen in Software, die im Zusammenhang mit Debian GNU/Linux steht (englisch)
	Meldungen über diverse aktuelle Schwachstellen in Software, die im Zusammenhang mit Red Hat steht (englisch)
	Meldungen über diverse aktuelle Schwachstellen in Software, die im Zusammenhang mit SUSE Linux Enterprise steht (englisch)

(Services/Vorfall melden) - Einen Vorfall melden

CERT.at — Tue, 16 Mar 2010 14:04:56 GMT

Einen Vorfall melden

CERT.at nimmt Meldungen über IT-Sicherheitsvorfälle per Telefon (+43 1 5056416-78) und Email (reports@cert.at) entgegen.

Wir empfehlen Ihnen, folgendes Formular als Anhaltspunkt zu nehmen, welche Information bei einer Meldung relevant sein könten.

(Downloads/Summary) - Downloads

CERT.at — Thu, 24 Sep 2009 11:05:46 GMT

Downloads

In diesem Bereich unserer Homepage bieten wir Ihnen relevantes Material zum freien Download an. Bitte lesen Sie die mit den Downloads verbundenen Lizenzbestimmungen.

Downloads, die lediglich in englischer Sprache zur Verfügung stehen, werden zwar auch im deutschen Bereich kurz erwähnt, umfangreichere Informationen sowie der eigentliche Download-Link finden sich dann aber im englischen Bereich.

Folgende Downloadkategorien bieten wir an:

Papers

Dieser Bereich umfasst alle von CERT.at bislang veröffentlichen Publikationen.

Software

Jegliche im Rahmen von CERT.at's täglicher Arbeit entstandene und für die allgemeine Verwendung freigegebene Software ist hier mit entsprechenden Beschreibungen aufgeführt.

Daten

In diesem Bereich finden sich Informationen in Form von Dateien, die für den Einsatz in maschineller Verarbeitung gedacht sind (z.B.: Konfigurationsdateien).

Presse

Hier finden sich presserelevante Unterlagen sowie offiziel verwendbare Materialien wie z.B. das CERT.at-Logo.

(Downloads/Papers) - Analyse des Skype Instant Messsenger Bots

CERT.at — Thu, 15 Apr 2010 16:18:44 GMT

Analyse des Skype Instant Messsenger Bots

15. April 2010

Analyse des Skype Instant Messsenger Bots

Download

Publikationsdatum

15. April 2010

Autor

Christian Wojner, L. Aaron Kaplan

Sprache

Deutsch

Historie

Diese deutsche Version (Download im pdf Format) ist eine Kurzfassung des vollen Reports in Englisch.

Inhalt

Dank der fortschreitenden Vernetzung bedrohen Viren, Trojaner, Würmer und andere Schadsoftware ("Malware") vermehrt das Internet, Unternehmens- und Regierungsnetze als auch den privaten Bereich und nicht zuletzt den Bereich der kritischen Infrastrukturen. Der vorliegende Bericht dokumentiert einen bestimmten Trojaner ("Skype Instant Messenger Bot"), der sich, wie viele anderen ähnliche Trojaner, über Instant Messenger Netzwerke (Skype, ICQ, AIM, MSN Messenger) verbreitet. Während Instant Messenger Netzwerke als Verbreitungsmechanismus für Trojaner nicht gänzlich neu sind, hoffen wir doch, dass die detaillierte Analyse des Skype IMBots Einsichten in die Funktionsweise als auch potentielle Abwehrstrategien liefert.

CERT.at hat den Skype IMBot weitgehend reverse engineered (Assembler Code analysiert) und ist auf einige interessante Aspekte gestoßen, die in diesem Bericht analysiert werden. Der Bericht schließt mit allgemeinen Überlegungen, wie sich Instant Messenger Bots weiterentwickeln werden.

Die ausführliche, englische Version dieses Berichtes ist hier abrufbar.

(Downloads/Papers) - Mass Malware Analysis: A Do-It-Yourself Kit

CERT.at — Wed, 14 Oct 2009 15:17:14 GMT

Mass Malware Analysis: A Do-It-Yourself Kit

14. Oktober 2009

Theorie, Praxis und eine Bauanleitung einer automatisierten Analysestation für Schadsoftware mit einfachen, freien Mitteln.

Download

Publikationsdatum

14. Oktober 2009

Autor

Christian Wojner

Sprache

Englisch

Historie

Das Paper im pdf Format steht hier zum Download bereit.

Inhalt

Eine kurze Zusammenfassung des Inhaltes findet sich im englischsprachigen Bereich.

(Downloads/Papers) - Detecting Conficker in your Network

CERT.at — Fri, 18 Sep 2009 16:34:02 GMT

Detecting Conficker in your Network

11. Februar 2009

Beschreibung einer Methode zur Früherkennung einer Infektion durch den Wurm Conficker durch Blocklisten für Klein- und Mittelbetriebe.

Download

Publikationsdatum

11. Februar 2009

Autor

Adi Kriegisch

Sprache

Englisch

Download

Das Paper im pdf Format steht hier zum Download bereit.

Inhalt

Eine kurze Zusammenfassung des Inhaltes findet sich im englischsprachigen Bereich.

(Downloads/Papers) - Patching Nameservers: Austria reacts to VU#800113

CERT.at — Fri, 18 Sep 2009 16:33:35 GMT

Patching Nameservers: Austria reacts to VU#800113

24. Juli 2008

Ein Bericht über den Status der österreichischen Nameserver nach der Veröffentlichung der Cache-Poisoning Schwachstelle.

Download Original

Download Update

Publikationsdatum

24. Juli 2008

Autoren

Otmar Lendl und L. Aaron Kaplan

Sprache

Englisch

Historie

Der originale Report im pdf Format steht hier zum Download bereit.

Am 28. Juli haben wir auch noch ein kurzes Update publiziert.

Inhalt

Eine kurze Zusammenfassung des Inhaltes findet sich im englischsprachigen Bereich.

(Downloads/Software) - Bytehist

CERT.at — Mon, 12 Oct 2009 10:23:07 GMT

Bytehist

Dieses Tool erstellt ein Byte-Verteilungs-Histogramm zu einer beliebigen Datei, bzw. bei Windows-Executables (PE) zu jeder enthaltenen Section.

aktuelle Windows-Version downloaden

aktuelle Linux-Version downloaden

Autor

Christian Wojner

Sprache

Englisch

Lizenz

ISCL

Versionen	Änderungen
1.0 beta 1	-			x

Beschreibung

Eine detaillierte Beschreibung mit Beispielen und Screenshots findet sich im englischsprachigen Bereich.

(Downloads/Software) - Minibis

CERT.at — Wed, 28 Jul 2010 13:36:48 GMT

Minibis

Software und Tips zur einfachen Erstellung einer automatisierten Malware-Analysestation basierend auf dem im Paper "Mass Malware Analysis: A Do-It-Yourself Kit" vorgestellten Konzept.

aktuelle Version downloaden

Autor

Christian Wojner

Sprache

Englisch

Lizenz

ISCL

Versionen	Änderungen	Download
2.0 (29/29)	Release 2.0
2.0 beta (28/29)	Erzwingbares Programmende / Erholt sich nach Abstürzen
2.0 beta (27/29)	Check auf Internetverbindung / Exit nur wenn Analyse pausiert
2.0 beta (25/29)	-

Beschreibung

Eine detaillierte Beschreibung mit Beispielen und Screenshots findet sich im englischsprachigen Bereich.

(Downloads/Daten) - Conficker Wurm

CERT.at — Mon, 12 Oct 2009 10:31:56 GMT

Conficker Wurm

9. Februar 2009

Diverse Dateien den Wurm "Conficker" betreffend.

alle domains	... praktisch, um RBLs (blacklistings) für Proxies oder ähnliches zu erzeugen.
DNS named.conf file	... Bind named.conf Datei die alle Conficker Domains für das nächste Jahr beinhaltet.
bind zone file	... eine beispielhafte Bind Zone Datei, die von named.conf benötigt wird.

(Downloads/Pressematerial) - CERT.at Logo

CERT.at — Mon, 12 Oct 2009 10:16:41 GMT

CERT.at Logo

Das Logo von CERT.at in unterschiedlichen Formaten und Größen.

CERT.at-Logo als 16x8 PNG-File (0.5 KB)

CERT.at-Logo als 32x17 PNG-File (1.1 KB)

CERT.at-Logo als 64x34 PNG-File (2.7 KB)

CERT.at-Logo als 100x53 PNG-File (4.6 KB)

CERT.at-Logo als 128x67 PNG-File (5.6 KB)

CERT.at-Logo als 150x79 PNG-File (6.6 KB)

CERT.at-Logo als 200x105 PNG-File (8.8 KB)

CERT.at-Logo als 256x135 PNG-File (11.4 KB)

CERT.at-Logo als 320x168 PNG-File (14.4 KB)

CERT.at-Logo als 640x336 PNG-File (29.3 KB)

CERT.at-Logo als 800x420 PNG-File (37.8 KB)

CERT.at-Logo als 1024x538 PNG-File (49.2 KB)

CERT.at-Logo als 1280x673 PNG-File (63.8 KB)

CERT.at-Logo als 1600x841 PNG-File (82.2 KB)

CERT.at-Logo als Vektorformat Inkscape-SVG (17.1 KB)

CERT.at-Logo als Vektorformat Plain-SVG (14.6 KB)

alle CERT.at-Logos als ZIP-Archiv (311.6 KB)

(Downloads/Pressematerial) - HiRes Teamphotos

CERT.at — Mon, 12 Oct 2009 10:18:25 GMT

HiRes Teamphotos

Hochauflösende Fotos des CERT.at-Teams

(Über uns/Leitbild) - Leitbild

CERT.at — Thu, 24 Sep 2009 10:23:15 GMT

Leitbild

CERT.at ist das österreichische nationale CERT (Computer Emergency Response Team).

Als solches ist CERT.at der Ansprechpartner für IT-Sicherheit im nationalen Umfeld. Es vernetzt andere CERTs und CSIRTs (Computer Security Incident Response Teams) aus den Bereichen kritische Infrastruktur, IKT (Informations- und Kommunikationstechnik) und gibt Warnungen, Alerts und Tipps für KMUs (kleine und mittlerere Unternehmen) heraus.

Bei Angriffen auf Rechner auf nationaler Ebene koordiniert CERT.at und informiert die jeweiligen Netzbetreiber und die zuständigen lokalen Security Teams.

Gesammelte Information zu CERT.at sind im RFC 2350 Format abrufbar.

Warum?

Weil IT-Sicherheit einen ganzheitlichen Ansatz braucht! Dank der immer stärker voranschreitenden Vernetzung gibt es immer mehr Abhägigkeiten zwischen den Systemen. Analog zur Eindämmung von Seuchen gesehen - es braucht eine unabhängige Koordinierungsplattform, die Sicherheitsvorfälle professionell koordinieren, andere Netze warnen und somit die "Seuchenausbreitung" eindämmen kann.

Nur durch die Koordination der Einzelbestrebungen kann in Summe mehr Sicherheit in der IT erreicht werden.

(Über uns/Zuständigkeit) - Zuständigkeit

CERT.at — Thu, 07 Jan 2010 14:50:07 GMT

Zuständigkeit

Zielgruppe

Zielgruppe sind österreichische IT-Security-Teams und lokale CERTs.

Weiters geben wir pro-aktiv Warnungen und Know-How an KMUs (kleine und mittlere Unternehmen) und die breite Öffentlichkeit weiter, um so insgesamt ein sichereres Internet in Österreich zu schaffen.

Im Rahmen einer Kooperation mit dem Government Computer Emergency Response Team für die öffentliche Verwaltung und die kritische Informations-Infrastruktur (KII) in Österreich stellt CERT.at seine Ressourcen für die Behandlung sicherheitsrelevanter Vorfälle im diesem Bereich zur Verfügung.

Zugehörigkeit

CERT.at ist eine Initiative von nic.at, der österreichischen Domain-Registry und wird von nic.at gesponsert.

Authoritität

Die Hauptaufgabe von CERT.at ist das Koordinieren von IT-Security-Incidents (Vorfälle). Wir beraten lokale CERTs und haben keine Weisungsgewalt über den österreichischen IP-Adressraum. Es gibt jedoch starke Kontakte zu allen großen ISPs und dem ACOnet (ACOnet CERT).

(Über uns/Das Team) - Das Team

CERT.at — Thu, 24 Sep 2009 10:02:17 GMT

Das Team

Name	PGP ID	Fingerprint
Leon Aaron Kaplan	CDAE4DB6	BC3E 553E 102F 214F C59A 4A0C 2D7A 997A CDAE 4DB6
Team lead: Otmar Lendl	835E0B34	BE4E 1E48 E0F6 6987 181B 0D27 754E 9F02 835E 0B34
Robert Schischka	A2FD9DBC	9C27 EB2A 901F 95AD 5C3E 3F6A 537D F15D A2FD 9DBC
Robert Waldner	C33A2BC0	401B 4257 4D23 3DFD 8E09 C1B5 B327 48AD C33A 2BC0
Christian Wojner	770B4617	EFB8 1496 3DAA F632 7A89 0F20 6635 B222 770B 4617

(Über uns/Kontakt) - Kontakt

CERT.at — Tue, 22 Dec 2009 16:33:24 GMT

Kontakt

CERT.at ist kein allgemeiner IT-Helpdesk und kann daher bei Fragen der Art "Ist mein PC verwurmt?" nur auf im Netz vorhandene Leitfäden oder kommerzielle IT-Dienstleister verweisen.

Wir sind erreichbar von Montag bis Freitag (wenn Werktag, ausgenommen 24. und 31. Dezember), jeweils von 8 bis 18 Uhr.

CERT.at:	Computer Emergency Response Team Austria
Adresse:	nic.at Karlsplatz 1/2/9 A-1010 Wien Austria
Telefon:	+43 1 5056416 78
Fax:	+43 1 5056416 79

eMail

Security Incident Reports sind an reports@cert.at zu richten. Für alle anderen Mails: team@cert.at.

PGP Verschlüsselung

Um sicher zu gehen, dass ausgehende Mails von CERT.at stammen und nicht gefälscht wurden, signieren wir unsere offiziellen Mails immer mit folgendem PGP Schlüssel:

      pub   1024D/5C384328 2008-02-13
            Key fingerprint = 740C 68EC B6B6 2060 48A5  D49A 02FB C1EF 5C38 4328
	    uid                  reports@cert.at (general communication key. For incident reports) 
	    sub   4096g/D7071014 2008-02-13

Mail an reports@cert.at kann natürlich auch mit diesem Schlüssel verschlüsslt werden.

Andere Schlüssel von CERT.at finden sich unter http://www.cert.at/static/pgpkeys.asc

(Über uns/RFC 2350) - RFC 2350

CERT.at — Fri, 25 Sep 2009 09:14:09 GMT

RFC 2350

1. Document Information

This document contains a description of CERT.at according to RFC 2350. It provides basic information about the CERT, the ways it can be contacted, describes its responsibilities and the services offered. 1.1 Date of Last Update

This is version 0.6 as of 2008/06/23.

1.2 Distribution List for Notifications

There is no distribution list for notifications as of 2008/02.

1.3 Locations where this Document May Be Found

The current version of this document can always be found at http://www.cert.at/about/rfc2350/. For validation purposes, a GPG signed ASCII version of this document is located at http://www.cert.at/static/rfc2350.txt. The key used for signing is the CERT.at key as listed under 2.8.

2. Contact Information

2.1 Name of the Team

CERT.at

2.2 Address

CERT Team nic.at Karlsplatz 1/2/9 1010 Wien Austria

2.3 Time Zone

We are located in the central European timezone (CET) which is GMT+0100 (+0200 during day-light saving time).

2.4 Telephone Number

+43 1 5056416 78

2.5 Facsimile Number

+43 1 5056416 79

2.6 Other Telecommunication

None.

2.7 Electronic Mail Address

Please send incident reports to reports@cert.at.

Non-incident related mail should be addressed to team@cert.at.

2.8 Public Keys and Encryption Information

CERT.at uses a master signing key to sign all keys used for operational purposes. This trust anchor is:

pub   1024D/242EFA2F 2008-02-12 [expires: 2013-02-10]
      Key fingerprint = 0F71 E5DB 5A23 22AE D6A3  5706 A5A2 AC28 242E FA2F
uid                  cert.at master key <cert@cert.at>
sub   4096g/BA63C2F4 2008-02-12 [expires: 2013-02-10]

and can be found on most key-servers. Please do not use this key for communications with us.

All official communication by CERT.at will be signed by the current operations key, which is as of 2008/02:

pub   1024D/5C384328 2008-02-13
uid                  team CERT.at (general communications) <team@cert.at>
uid                  reports@cert.at (general communication key. For incident reports) <reports@cert.at>
sub   4096g/D7071014 2008-02-13

Encrypted communications with CERT.at should use this operational key.

All keys (including the keys of individual team members) can be found http://www.cert.at/static/pgpkeys.asc

2.9 Team Members

The CERT team leader is Otmar Lendl. Other team members, along with their areas of expertise and contact information, are listed in the CERT.at web pages, at Das Team.

Management, liaison and supervision are provided by Robert Schischka, Technical Manger of nic.at.

2.10 Other Information

2.11 Points of Customer Contact

The preferred method for contacting CERT.at is via e-mail. For incident reports and related issues please use reports@cert.at. This will create a ticket in our tracking system and alert the human on duty.

For general inquiries please send e-mail to team@cert.at.

If it is not possible (or advisable due to security reasons) to use e-mail, you can reach us via telephone at +43 1 5056416 700.

CERT.at's hours of operation are generally restricted to regular business hours.

Please use our incident reporting form (or if you prefer there is also a german one).

3. Charter

3.1 Mission Statement

The purpose of CERT.at is to coordinate security efforts and incident response for IT-security problems on a national level in Austria.

3.2 Constituency

The constituency are IT-security teams and local CERTs in Austria.

Pro-active and educational material will be provided for SMEs and the general public as well.

3.3 Sponsorship and/or Affiliation

CERT.at is an initiative of nic.at, the Austrian domain registry.

Funding is provided by nic.at

3.4 Authority

CERT.at's main purpose in incident handling is the coordination of incident response. As such, we only advise local CERTs and have no authority to demand certain actions. We have indirect authority over AS35492 and are in very close contact with the ACONet CERT.

4. Policies

4.1 Types of Incidents and Level of Support

CERT.at is authorized to address all types of computer security incidents which occur, or threaten to occur, in our Constituency (see 3.2) and which require cross-organizational coordination.

The level of support given by CERT.at will vary depending on the type and severity of the incident or issue, the type of constituent, the size of the user community affected, and CERT.at's resources at the time. Special attention will be give to issues affecting critical infrastructure.

Note that no direct support will be given to end users; they are expected to contact their system administrator, network administrator, or department head for assistance. CERT.at will support the latter people.

CERT.at is committed to keeping its constituency informed of potential vulnerabilities, and where possible, will inform this community of such vulnerabilities before they are actively exploited.

4.2 Co-operation, Interaction and Disclosure of Information

CERT.at will cooperate with other Organisations in the Field of Computer Security. This Cooperation also includes and often requires the exchange of vital information regarding security incidents and vulnerabilities. Nevertheless CERT.at will protect the privacy of their customers, and therefore (under normal circumstances) pass on information in an anonymized way only unless other contractual agreements apply.

CERT.at operates under the restrictions imposed by Austrian law. This involves careful handling of personal data as required by Austrian Data Protection law, but it is also possible that - according to Austrian law - CERT.at may be forced to disclose information due to a Court's order.

4.3 Communication and Authentication

For normal communication not containing sensitive information CERT.at will use conventional methods like unencrypted e-mail or fax.

For secure communication PGP-Encrypted e-mail or telephone will be used. If it is necessary to authenticate a person before communicating, this can be done either through existing webs of trust (e.g. FIRST, TI, …) or by other methods like call-back, mail-back or even face-to-face meeting if necessary.

5. Services

5.1 Incident Response

CERT.at will assist IT-security team in handling the technical and organizational aspects of incidents. In particular, it will provide assistance or advice with respect to the following aspects of incident management:

5.1.1. Incident Triage

Determining whether an incident is authentic.
Assessing and prioritizing the incident.

5.1.2. Incident Coordination

Determine the involved organizations.
Contact the involved organizations to investigate the incident and take the appropriate steps.
Facilitate contact to other parties which can help resolve the incident.
Send reports to other CERTs

5.1.3. Incident Resolution

Advise local security teams on appropriate actions.
Follow up on the progress of the concerned local security teams.
Ask for reports.
Report back.

CERT.at will also collect statistics about incidents within its constituency.

5.2 Proactive Activities

CERT.at tries to raise security awareness in its constituency.
Collect contact information of local security teams.
Publish announcements concerning serious security threats.
Observer current trends in technology and distribute relevant knowledge to the constituency.
Provide fora for community building and information exchange within the constituency.

6. Incident Reporting Forms

If possible, please make use of the Incident Reporting Form, the current version is available from: http://www.cert.at/static/form.txt (also available in German: http://www.cert.at/static/form_de.txt).

7. Disclaimers

While every precaution will be taken in the preparation of information, notifications and alerts, CERT.at assumes no responsibility for errors or omissions, or for damages resulting from the use of the information contained within.

(Über uns/Circa) - Circa

CERT.at — Thu, 18 Dec 2008 12:03:56 GMT

Circa

Was war CIRCA (Computer Incident Response Coordination Austria)?

CIRCA war eine Initiative der ISPA und des Bundeskanzleramtes, eine Kommunikationsinfrastruktur für die Netzwerk- und Sicherheitsverantwortlichen von IP-Netzbetreibern aufzubauen. Seit 2003 standen zwei Server zur Verfügung, um eine vertrauliche und geschützte elektronische Kommunikation zwischen den Teilnehmern zu ermöglichen. Der Server des privaten Sektors (ISPs und IP-Netzbetreiber) wurde von der ISPA betrieben, während der des öffentlichen Bereiches vom BKA (Bundeskanzleramt und Krisenmanagement) betreut wurde.

Neben der elektronischen Kommunikationsplattform in der Form von sicheren Mailinglisten gab es auch regelmäßige Arbeitstreffen (im Rahmen von 2 Arbeitsgruppen, einer im Bundeskanzleramt und einer bei der ISPA).

Ziel dieses österreichischen Sicherheitsnetzes war es, ein landesweites Frühwarnsystem gegen Würmer, Viren, DDOS-Attacken und andere Bedrohungsszenarien zu schaffen, welche die ISP-Infrastruktur ebenso wie andere IP-Netze und Kunden gefährden. Dies sollte sowohl aktiv (rechtzeitige Warnungen, Informationen, Beurteilung von Risiken, Information über mögliche Gegenmaßnahmen, internationale Verflechtung etc.) als auch reaktiv (Erkennen von versuchten Angriffen, Koordination von Gegenmaßnahmen, schneller Informationsaustausch und Alerts, etc.) geschehen.

Erfahrungen aus CIRCA

Die Initiative zu CIRCA im Jahre 2002 war innovativ und führte durch den Einsatz der Mitglieder zu einer Vernetzung der Sicherheitsverantwortlichen im Internetbereich. Auch abgesehen von den konkreten Ergebnissen war es sehr hilfreich, die relevanten Personen regelmäßig an einen Tisch zu bringen.

CIRCA war somit ein wichtiger und richtiger erster Schritt für die IT-Sicherheit in Österreich.

Aufbauend auf diesen wertvollen Erkenntnissen wollen wir nun einen nächsten Schritt wagen. Da CERT.at als Team schon existiert und für das zeitnahe und professionelle Reagieren auf IT-Security-Vorfälle zuständig ist, will CERT.at nun auch den Themen von CIRCA dedizierte Ressourcen zukommen lassen. Daher wurden sowohl von Seiten der ISPA, als auch des BKA die Agenden von CIRCA Mitte 2008 an CERT.at übergeben. Interimsmäßig wurde die CIRCA-Infrastruktur von CERT.at betrieben, mit Ende 2008 werden die Services (v.a. Mailinglisten) in das CERT.at-Portfolio integriert.

Kommunikation

Eine weitere Lektion aus CIRCA ist, dass der starke Fokus auf eine verschlüsselte Kommunikation den Zielen von CIRCA in der Praxis nicht dienlich war. Die Schlüsselverwaltung und die Konfiguration des Mailclients waren komplex, sowie der bürokratische Prozess der Zertifizierung hoch. Der Grad der Vertraulichkeit der de facto ausgetauschten Informationen stand in keinem Verhältnis zum Aufwand.

Die Organisation der Mailinglisten von CERT.at basiert somit auf den Erfahrungen von CIRCA:

Informationen signiert aber unverschlüsselt verteilen
Cleartext-Signaturen behindern nicht das Lesen einer Nachricht, auch wenn es Probleme mit dem Kryptografie gibt
anstatt die Mailinglisten nach Ernsthaftigkeit des Vorfalles einzuteilen ("info", "warning", "alert") und deren Empfängerkreis stark einzuschränken, betreibt CERT.at offene Mailinglisten für technische und administrative Ankündigungen. CERT.at will damit die Einstiegshürde für den Empfang von Sicherheitswarnungen (die auch auf www.cert.at publiziert werden) möglichst weit senken.

Für Diskussionen steht weiterhin eine unmoderierte Liste mit eingeschränktem Teilnehmerkreis zur Verfügung.

Vertrauliche Nachrichten können dem CERT.at-Team direkt, und selbstverständlich auch verschlüsselt, übermittelt werden. CERT.at seinerseits kommuniziert, auch mit CIRCA-Teilnehmern, anderen CERTs und internationalen Partnerorganisationen, vornehmlich verschlüsselt und stellt so fallbezogen die jeweils notwendige Vertraulichkeit und Integrität sicher.

CERT.at als neutraler Nicht-Marktteilnehmer hofft, hiermit die Ideen von CIRCA mit neuem Leben zu füllen und sich auch einem weiteren Publikum zu öffnen.

(Über uns/Partner) - Partner

CERT.at — Thu, 07 Jan 2010 14:40:45 GMT

Partner

	CERT.at ist ein Kooperationspartner des Government Computer Emergency Response Teams für die öffentliche Verwaltung und die kritische Informations-Infrastruktur (KII) in Österreich.
	CERT.at wird von CERT-CC, dem Ur-CERT der Carnegie Mellon University, als legitimes Computer Emergency Response Team anerkannt, und darf daher die Trademark "CERT" nutzen.
	CERT.at ist akkreditiertes Mitglied bei Trusted Introducer.
	CERT.at ist Mitglied bei FIRST.

(Über uns/Impressum) - Firmendaten und Impressum

CERT.at — Wed, 01 Apr 2009 14:25:55 GMT

Firmendaten und Impressum

CERT.at ist eine Initiative von nic.at, der österreichischen Domainregistry.

nic.at Internet Verwaltungs- und Betriebsgesellschaft m. b. H.
Jakob-Haringer-Straße 8/V
5020 Salzburg
Austria

Telefon:	+43/662/46 69-0
Fax:	+43/662/46 69-29
E-Mail:	service[at]nic.at
Webseite:	www.nic.at
Firmenbuchnummer:	FN 172568b
Firmenbuch Gericht:	Landesgericht Salzburg
DVR:	0968935
UID-Nr.:	ATU45305101
Aufsichtsbehörde:	Magistrat der Stadt Salzburg
Kammerzugehörigkeit:	Wirtschaftskammer Österreich
Gewerberechtliche Vorschriften:	Gewerbeordnung
Unternehmensgegenstand:	Vergabe und Verwaltung von .at, .co.at und .or.at Domains
Bankverbindung in Österreich:	Bank Austria, Am Hof 2, A-1010 Wien
Konto-Nr.:	660 497 942, BLZ: 12000
BIC:	BKAUATWW
IBAN:	AT52 1200 0006 6049 7942
lautend auf:	nic.at Internet Verwaltungs- und Betriebsgesellschaft m.b.H.
Bankverbindung in Deutschland:	Bayerische Hypo Vereinsbank, Bayerstraße 16, D-80335 München
Konto-Nr.:	930 41 50 BLZ: 710 200 72
BIC:	HYVEDEMM 410
IBAN:	DE58 7102 0072 0009 3041 50
lautend auf:	nic.at Internet Verwaltungs- und Betriebsgesellschaft m.b.H.

(Über uns/Haftungsausschluss) - Haftungsausschluss

CERT.at — Fri, 09 Oct 2009 07:45:58 GMT

Haftungsausschluss

Die bereitgestellten Informationen wurden entweder von CERT.at selbstständig und sorgfältig, d.h. nach bestem Wissen und Gewissen erhoben, oder stammen nicht von CERT.at selbst, es handelt sich dann aber um Informationen bzw. Empfehlungen, die von einer grundsätzlich vertrauenswürdigen Stelle stammen und von CERT.at lediglich veröffentlicht werden. Durch das Bereiststtellen der Informationen seitens CERT.at entsteht kein Vertrag. Soferne Sie nicht selbst über die erforderliche Fachkenntnis zur Beurteilung der Sie interessierenden Informationen verfügen, empfehlen wir Ihnen, Ihren EDV-Administrator zu befragen.

CERT.at übernimmt keinerlei Gewähr für die Richtigkeit, Aktualität, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen CERT.at, nic.at oder einzelne Mitarbeiter, die sich auf Nachteile oder Schäden irgendwelcher Art beziehen, welche durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und/oder unvollständiger Informationen verursacht werden, sind ausgeschlossen.

(FAQ/FAQ) - FAQ

CERT.at — Thu, 24 Sep 2009 10:07:56 GMT

FAQ

Wer steckt hinter CERT.at

CERT.at ist eine Initiative von nic.at, der österreichischen Domainregistry.

Warum gerade nic.at?

nic.at hat durch die Verwaltung der .at Domain eine besondere Stellung im österreichischen Internet: nic.at ist eine neutrale Instanz, die Basisdienste für die Internetbranche anbietet. Genau so, wie nic.at keine Konkurrenz zu Internet Service Providern (ISPs) ist, so wird CERT.at auch nicht in Konkurrenz zu bestehenden IT-Sicherheitsfirmen auftreten, sondern nur koordinierend wirken.

Für den Betrieb des nationalen CERTs durch die Domainregistry gibt es einige Rollenvorbilder in Europa (.ch, .pl, .fi, ...).

Was sind die Aufgaben eines CERTs?

Die klassischen Aufgaben eines Computer Emergency Response Teams sind mit denen der Feuerwehr vergleichbar: Es geht primär um "Incident-handling" (Triage, Analyse, Gegenmassnahmen, Nachbereitung), aber auch um vorbeugende Massnahmen wie inklusive Früherkennung, Vorbereitung für Notfälle, Öffentlichkeitsarbeit und Beratungen.

Als nationales CERT hat CERT.at kein Durchgriffsrecht auf die Netzwerkinfrastruktur Österreichs, und kann daher bei Security Incidents nur koordinierend und beratend aktiv werden.

Ziele des nationalen CERTs

CERT.at wird Österreich nach aussen vertreten und als zentraler Ansprechpartner für die CERTs anderer Länder fungieren. Die effektive Behandlung von so eingehenden Meldungen wird den jeweils lokalen Sicherheitsteams von ISPs und Firmen überlassen, wobei natürlich CERT.at diesen gerne beratend zur Seiten stehen wird.
Die Rolle von CERT.at ist hier primär die einer Informationsdrehscheibe.
CERT.at wird Kontaktpunkt für sicherheitsrelevant eIKT-Ereignisse in Österreich, und koordiniert betreiberübergreifend die Antwort auf Security Incidents.

Internationale Vernetzung

CERT.at soll der international sichtbare Partner für ausländische CERTs sein. Dazu wird CERT.at in den relevanten internationalen Organisationen vertreten sein, wie etwa Trusted Introducer, FIRST und TF-CSIRT.

Was kann man von CERT.at erwarten?

CERT.at begann am 3. März 2008 den Probebetrieb, seither nehmen wir gerne Meldungen entgegen.

CERT.at ist kein allgemeiner IT-Helpdesk und kann daher bei Fragen der Art "Ist mein PC verwurmt?" nur auf im Netz vorhandene Leitfäden oder kommerzielle IT-Dienstleister verweisen.