Das Microsoft Malware Protection Center hat einen Trojaner-Downloader entdeckt , der im Ursprungszustand keine verdächtigen Routinen enthält und somit nur schwer von Virenscannern entdeckt werden kann. Das kleine Visual-Basic-Programm ruft nach dem Start die Webseite eines tibetanischen Restaurants auf, in deren HTML-Quelltext Shellcode versteckt ist, den das Programm in den Arbeitsspeicher lädt und ausführt.

Während die ausführbare Datei, die Microsoft inzwischen als TrojanDownloader:Win32/Poison.A identifiziert, auf einem Rechner ohne Internetverbindung lediglich eine Fehlermeldung produziert, kopiert sie sich nach dem erfolgreichen Abruf des Schadcodes in einen Systemordner und beginnt dort mit der Aufzeichnung von Tastatureingaben.

Spätestens an dieser Stelle sollte die Verhaltenserkennung eines modernen Virenscanners jedoch anspringen. Die nachgeladenen Spionagefunktionen stammen aus dem frei erhältlichen Trojaner-Baukasten Posion Ivy, der die Payload auf Wunsch direkt als Shellcode ausgibt.

Normalerweise lädt ein Downloader eine ausführbare Datei aus dem Internet, speichert sie auf der Festplatte und führt sie anschließend aus – ein Verhalten, auf das die Verhaltenserkennung von Virenscannern anspringen sollte. Dieses Beispiel zeigt erneut, wie wichtig die Installation eines Virenscanners mit Verhaltensüberwachung ist.

Mit dem Anti-Phishing-Tool spt können Netzwerkadmins die Leichtgläubigkeit ihrer Anwender unter realistischen Bedingungen auf die Probe stellen. spt erfüllt dabei die gleichen Funktionen wie die Werkzeuge echter Phisher, dient aber dazu, Anwender auf spielerische Weise auf ihre Leichtgläubigkeit aufmerksam zu machen.

Die Bedienung des PHP-Skripts ist einfach, einschlägige Vorkenntnisse sind nicht nötig. spt imitiert die Login-Seiten beliebiger Webseiten. Nach Eingabe der Orginal-URL erzeugt das Skript hierzu automatisch ein täuschend echt aussehendes Template für die gutartige Phishing-Kampagne.

Anschließend kümmert sich spt um den Mailversand an eine zuvor definierte Liste von Empfängern. Hierbei kommt eine frei wählbare Absenderadresse (etwa noreplay@facebook.com) zum Einsatz – genau wie bei einem echten Phishing-Versuch.

Fällt ein Empfänger auf die Phishing-Mail rein, vermerkt spt dies penibel in seiner Statistik. Im Gegensatz zu den Phishing-Tools der Kriminellen speichert spt jedoch nicht die in die gefälschten Login-Seiten eingegebenen Zugangsdaten, sondern lediglich, wer den Link angeklickt hat und ob Daten über das Formular übertragen wurden.

Ein besinnliches Weihnachtsfest
und ein erfolgreiches Jahr 2012

wünscht das INDEC-Team

Eine ungepatchte Sicherheitslücke in der 64-bittigen Ausgabe von Windows 7 eignet sich potenziell zum Einschleusen und Ausführen von Schadcode, wie Secunia berichtet. Derzeit gibt es aber nur einen Exploit, der zum Absturz führt.

Der Speicherfehler in der Systemdatei win32k.sys lässt sich etwa durch den Aufruf einer speziell präparierten HTML-Datei mit Safari provozieren. Der Entdecker der Lücke webDEViL demonstriert dies anhand eines Proof-of-Concepts, das er bei Twitter veröffentlicht hat. Die Demo besteht lediglich aus einem iFrame mit einer bestimmten Höhe und führt zu einem Bluescreen.

Es ist nicht auszuschließen, dass man die Lücke auch auf andere Weise ohne Safari ausnutzen kann. Laut webDEViL befindet sich die Schwachstelle in der Funktion NtGdiDrawStream. heise Security konnte das Problem nachvollziehen; die 32-bittigen Ausgaben von Windows sind nicht betroffen. Ob und wann Microsoft die Lücke schließt, ist derzeit nicht bekannt.

Eine auf Millionen Smartphones verschiedener Hersteller installierte Software hat offenbar weitreichenden Zugriff auf Nutzungsdaten der Geräte samt persönlicher Daten wie etwa SMS-Texte oder Google-Suchen. Die vom US-Unternehmen Carrier IQ entwickelte Software soll der Qualitätssicherung von Herstellern und Netzbetreibern dienen. Eigenen Angaben zufolge hat Carrier IQ die Software für über 140 Millionen Handys ausgeliefert. Unklar ist bisher, ob und in welchem Umfang die erfassten Daten an Dritte übermittelt werden.

Entdeckt hatte die im Hintergrund aktive Anwendung der 25-jährige System-Administrator Trevor Eckhart auf seinem Android-Smartphone von HTC. Seinen Erkenntnissen zufolge, die er Mitte November auf seinem Blog veröffentlicht hat, kann die Software bei definierten Ereignissen verschiedene Gerätedaten protokollieren. Damit lässt sich die Anwendung offenbar auf die Bedürfnisse von verschiedenen Herstellern und Netzbetreibern anpassen. Zudem versucht sich die Anwendung zu tarnen und lässt sich nicht vom Besitzer des Smartphones deaktivieren. Eckhart klassifiziert die App als "Rootkit".

Carrier IQ hatte auf die Veröffentlichung Eckharts mit einer weitreichenden Abmahnung und Unterlassungsforderung reagiert, diese aber später mit einer Entschuldigung zurückgezogen. Die US-Bürgerrechtsorganisation Electronic Frontier Foundation war dem 25-Jährigen zur Seite gesprungen und hatte die Forderungen des Unternehmens als vollkommen grundlos zurückgewiesen.

Zusammen mit der Entschuldigung für die "fehlgeleitete" Anwalt-Attacke bemüht sich das Unternehmen um Schadensbegrenzung. "Die Carrier-IQ-Software zeichnet Ihre Tasteneingaben nicht auf", betont der Hersteller in einer Mitteilung. Die Software erfasse und übermittle nicht die Inhalte von Kommunikationsvorgängen. Carrier IQ übermittle darüber hinaus an keinen Kunden Daten in Echtzeit, heißt es von der Firma weiter. Aus dieser Formulierung lässt sich schließen, dass Daten in irgendeiner Form an Carrier IQ übermittelt und dort für die Kunden ausgewertet werden.

Unklar ist auch noch, auf welchen Geräten die Carrier-IQ-App installiert ist. Nachgewiesen wurde die Software bisher offenbar nur auf Android-Geräten von HTC in den USA. heise online konnte die Software auf keinem der in der Redaktion überprüften Testgeräte verschiedener Hersteller nachweisen. In Apples iOS wurden Spuren der Software gefunden. Allerdings sollen Daten nur in eingeschränktem Umfang erfasst werden, wenn das Gerät im Diagnosemodus ist.

Auch Blackberrys sollen betroffen sein, doch Hersteller RIM weist jede Verbindung zu Carrier IQ zurück: "Weder installiert RIM die Carrier-IQ-App auf Blackberry Smartphones, noch erlaubten wir unseren Netzbetreiber-Partnern, die Anwendung vor Verkauf oder Vertrieb zu installieren." Auch Sony Ericsson setze Carrier IQ in Europa nicht ein, erklärte ein Sprecher gegenüber heise online.

Unbestätigten US-Berichten zufolge sollen auch Geräte von Nokia betroffen sein. Ein Nokia-Sprecher betont dagegen, dass Carrier IQ keine Anwendungen für Nokia-Geräte liefert. Auch HTC besteht in einer Stellungnahme auf der Feststellung, dass der Hersteller keine direkte Geschäftsbeziehung zu Carrier IQ pflege. "Carrier IQ wird für die Geräte einiger US-Netzbetreiber verlangt", erklärt HTC und verweist auf die Netzbetreiber. Unterdessen will der Hersteller die Möglichkeit prüfen, ob Smartphone-Besitzer der Datensammelei nicht widersprechen können sollen. Andere Hersteller haben kurzfristig noch keine Stellungnahme abgegeben.

Es sieht also ganz danach aus, dass die US-Netzbetreiber auf den Einsatz der Schnüffelsoftware bestehen. Allerdings steht mit Huawei auch ein weltweit aktiver Gerätehersteller auf der Kundenliste von Carrier IQ; zudem unterhält Vodafone Portugal Geschäftsbeziehungen zu dem US-Anbieter.

Ein Sprecher des US-Netzbetreibers Sprint betonte laut US-Medien, das Unternehmen habe mit den von Carrier IQ gestellten Werkzeugen keinen direkten Zugriff auf Nachrichten, Bilder oder andere Inhalte. Außer Sprint habe kein Dritter Zugang zu den übermittelten Daten.

Eine Schwachstelle in der Updatefunktion von iTunes, die der iPhone-Hersteller mit der seit Mitte November 2011 verfügbaren Version 10.5.1 beseitigte, war drei Jahre lang bekannt. Der Sicherheitsforscher Francisco Amato hat Apple schon im Sommer 2008 darauf aufmerksam gemacht. Dies berichtet der Sicherheitsexperte Brian Krebs, dem der E-Mail-Wechsel zwischen Amato und Apples Sicherheitsabteilung vorliegt.

Bis zur iTunes-Version 10.5 erfolgte das integrierte Update unverschlüsselt über eine HTTP-Anfrage. Dies ermöglichte einem Angreifer mit Kontrolle über das Netzwerk des Nutzers, eigene Software als legitim erscheinendes iTunes-Update auszugeben. Entschied sich ein Nutzer zur Installation der vermeintlich von Apple stammenden Software, leitete ihn iTunes zum Download in den Standardbrowser weiter (solange die Apple-Softwareaktualisierung auf dem Rechner nicht installiert ist). Der Hersteller von "FinFisher" bewarb die Lücke als Weg zur Installation seiner Schnüffelsoftware auf einem Zielsystem.

Warum Apple das Problem seit über 1200 Tagen nicht beseitigt hat, bleibt unklar. Eine Stellungnahme des Unternehmens liegt nicht vor. Apple müsse die Lücke entweder vergessen oder am Ende der Aufgabenliste einsortiert haben, glaubt Amato, der diese nur in der Windows-Version von iTunes ausnutzen konnte. Unter Mac OS X wird das Ergebnis der Updateanfrage nicht im Browser des Nutzers geöffnet, da die Softwareaktualisierung in das System integriert ist. iTunes 10.5.1 ist laut Apple auf dem Mac "noch gründlicher abgesichert".

Google schließt mit dem Update auf Chrome 15.0.874.121 eine Sicherheitslücke der Risikostufe "hoch" in der JavaScript-Engine V8. Bei der Lücke handelt es sich um einen Speicherfehler, durch den ein Angreifer unter Umständen Code auf dem Rechner des Opfers ausführen kann, wie Secunia berichtet. Die Details hält Google wie gewohnt zunächst unter Verschluss, um die Sicherheit der Chrome-Nutzer nicht zu gefährden. Ein Ausbruch aus der Sandbox des Browsers ist durch die Lücke aber wohl nicht möglich, andernfalls hätte Google sonst die Lücke als kritisch eingestuft.

Gemeldet hat die Lücke der Sicherheitsforscher Christian Holler, den Google im Rahmen seines Bug-Bounty-Programms mit 1000 US-Dollar belohnt hat. Zudem wurde ein nicht sicherheitsrelevanter Fehler bei der Anzeige von SVG-Dateien behoben. Chrome aktualisierst sich über eine Auto-Update-Funktion in der Regel automatisch. Ob man bereits mit der aktuellen Version surft, erfährt man nach einem Klick auf das Schraubenschlüsselsymbol und einem weiteren auf "Über Google Chrome".