Microsoft Nachrichten

(am) – Die finale Version 4.0 des Enhanced Mitigation Experience Toolkit (EMET) ist jetzt verfügbar. Microsofts Sicherheits-Tool schaltet verschiedene Schutzmechanismen in Windows scharf, um die Ausnutzung von Sicherheitslücken zu erschweren.

Microsoft hat in die neueren Windows-Generationen verschiedene Schutzmechanismen eingebaut, so etwa DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomisation). Diese liegen jedoch zum Teil brach, weil sie die Entwickler vieler Programme nicht aktivieren. Mit dem neuen Enhanced Mitigation Experience Toolkit (EMET) 4.0 können Administratoren und Anwender diese Schutzmaßnahmen erzwingen, auch wenn der Programmierer dies nicht vorgesehen hat.

Microsoft hat bereits bei mehreren Gelegenheiten in Sicherheitsmeldungen zu veröffentlichten Schwachstellen in Windows und anderen Microsoft-Produkten darauf hingewiesen, dass die Nutzung des EMET das Risiko verringern kann Opfer eines Angriffs zu werden, der eine solche Lücke ausnutzt. Mit EMET 4.0, dessen finale Version nun nach Terminverschiebungen verfügbar ist, kommen neue Schutzmechanismen hinzu.

Weiterlesen

(am) – Mehrere Sicherheitsforscher haben sich über Microsofts stürmisches Vorgehen gegen das Botnetz Citadel beschwert. Der Softwarekonzern hatte zusammen mit der US-Bundespolizei Botnetz-Kommandoserver mit über 4000 Domains abschalten lassen. Auf diesen Maschinen liefen jedoch auch geschätzte 1000 Domains, die andere Sicherheitsteams längst auf eigene, saubere Server umleiteten.

Betroffen waren vor allem Mitarbeiter des Schweizer Teams abuse.ch, die sich gegenüber der Non-Profit-Organisation Shadowserver beschwerten, mehr als 300 sogenannte DNS-Sinkholes verloren zu haben. Ähnlich sei es im vergangenen Jahr gewesen, als Microsoft unter großem öffentlichen Trara gegen das Botnetz Zeus vorgegangen sei, sagte ein Sicherheitsforscher, der lieber anonym bleiben möchte.

Die DNS-Sinkholes fanden sich zwar in einem Register zusammengefasst, Microsoft sah aber darin entweder nicht nach oder ignorierte es bewusst, als es die Domains abschaltete. “Ich hatte gehofft, Microsoft habe seine Lektion gelernt, aber offenbar hat sich gar nichts geändert, und meine Bemühungen waren umsonst”, schreibt der Schweizer Microsoft-Kritiker.

Weiterlesen

(am) – Microsoft hat am Juni-Patchday wie angekündigt ein Update bereitgestellt, das 19 Sicherheitslücken in seinem Browser Internet Explorer schließt. Das von ihnen ausgehende Risiko stuft der Softwarekonzern in 18 Fällen als “kritisch” und in einem Fall als “hoch” ein. Ein Angreifer könnte die Anfälligkeiten ausnutzen, um Schadcode einzuschleusen und auszuführen.

Dem zugehörigen Security Bulletin zufolge muss er sein Opfer nur dazu verleiten, eine speziell gestaltete Website im Microsoft-Browser zu öffnen. Davon betroffen sind die IE-Versionen 6, 7, 8, 9 und 10. Die Schwachstellen seien alle vertraulich gemeldet worden, ergänzte Microsoft. Angriffe auf die Lücken wurden bisher nicht entdeckt.

Die weiteren vier Juni-Patches beseitigen Anfälligkeiten, von denen ein hohes Risiko ausgeht. Darunter ist eine Schwachstelle in Office 2003 und Office für Mac 2011, die für “begrenzte, zielgerichtete Angriffe” ausgenutzt wird. Mittels manipulierter Office-Dokumente kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Der Fehler tritt auch auf, wenn eine speziell gestaltete E-Mail-Nachricht in Outlook angezeigt wird und Word als E-Mail-Leseanwendung eingestellt ist.

Weiterlesen

(am) – Microsoft hat für seinen Juni-Patchday, der am kommenden Dienstag stattfindet, insgesamt fünf Updates angekündigt. Eines soll eine als kritisch eingestufte Lücke in Internet Explorer schließen. Betroffen sind die Version 6, 7, 8, 9 und 10. Der Softwarekonzern bewertet Anfälligkeiten als kritisch, wenn deren Ausnutzung ohne Eingreifen des Benutzers das Einschleusen und Ausführen von Schadcode ermöglicht.

Das Risiko, das von den restlichen Schwachstellen ausgeht, bewertet Microsoft als “hoch”. Weitere Fehler stecken der Vorankündigung zufolge in Windows XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 und RT. Auch Office 2003 Service Pack 3 und Microsoft Office für Mac 2011 sind anfällig. Bis auf den Office-Patch erfordern alle Updates einen Neustart des Systems.

Details nennt Microsoft wie gewohnt erst, wenn die Patches tatsächlich verfügbar sind, um Kriminellen keine Vorteile zu verschaffen. Am 13. März wird es dann auch Microsoft-Security-Bulletin-Nummern im Format MSyy-xxx nennen.

Weiterlesen

(am) – Laut Microsoft steht Rumänien an der Spitze Europas, soweit es infizierte Rechner betrifft. Die größte Dichte an Malware-Sites weist Luxemburg auf. Deutschland bewegt sich im Mittelfeld der europäischen Staaten.

In einer dreiteiligen Artikelserie im Microsoft Security Blog hat Tim Rains die umfangreichen Daten aus Microsofts Sicherheitsbericht SIR für die Europäische Union (EU) ausgewertet und die Ergebnisse zusammengefasst. Demnach weist Rumänien innerhalb der EU die größte Dichte infizierter Rechner auf. Dies errechnet sich aus der Zahl infizierter Rechner pro 1000 mit dem Schädlingsbekämpfer MSRT geprüfte PCs. Rumänien erreicht hier eine unrühmliche Quote von 12,4, der weltweite Durchschnitt liegt bei 6,0.

Rains folgert aus der Mischung der Schädlinge in den rumänischen Top 10, dass Software-Piraterie ein weit verbreitetes Phänomen in diesem Land ist. Insbesondere die Schädlingsfamilien Win32/Keygen und Win32/Wpakill tauchen oft in Zusammenhang mit Downloads raubkopierter Software auf. Dabei ist Win32/Keygen allerdings auch EU-weit der Spitzenreiter der gefundenen Malware.

Weiterlesen

(am) – Ohne vorherige Meldung an Microsoft hat ein Sicherheitsforscher Details einer Schwachstelle im Kernel aller gängigen Windows-Versionen mitsamt Exploit-Code veröffentlicht. Damit kann sich selbst ein als Gast angemeldeter Benutzer Systemrechte verschaffen.

Tavis Ormandy hat mal wieder zugeschlagen. Der Google-Sicherheitsforscher hat eine Sicherheitslücke in Windows entdeckt und auf einer Mailing-Liste veröffentlicht. “Full Disclosure” ist nicht nur der Name dieser Mailing-Liste, sondern beschreibt auch eine Einstellung zum Umgang mit Sicherheitslücken. Tavis Ormandy ist bereits dafür bekannt, “volle Offenlegung” zu favorisieren und dies auch zu praktizieren – zumindest, wenn es nicht um Google-Software geht. Er gilt auch als Entdecker einer Lücke im Windows XP Hilfecenter (2010).

Bereits im März hatte Ormandy nach eigenen Angaben Details zu der Lücke veröffentlicht. Mitte Mai wandte er sich dann an die Abonnenten der Mailing-Liste und bat um Ideen, wie ein funktionierender Exploit-Pfad aussehen könnte. Ein gewisser “progrmboy” hatte die Idee, die letztlich zu einem Exploit geführt hat. Dieser erlaubt es ein Kommandozeilenfenster zu öffnen, in dem alle eingegebenen Befehle mit Systemrechten ausgeführt werden. Der Exploit-Code ist nun ebenfalls auf Full Disclosure veröffentlicht worden.

Weiterlesen

(am) – Microsoft hat einen Hotfix (KB 2748349) veröffentlicht, der einen Fehler im Volumenschattenkopie-Dienst von Windows korrigiert. Durch diesen kann es dazu kommen, dass ein Backup inkonsistente Daten enthält und daher beim Wiederherstellen nicht alle Informationen korrekt zurückgeschrieben werden.

Das Problem besteht laut Microsoft bei Backup-Anwendungen, die unter Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 oder Windows Server 2008 R2 laufen und den Microsoft-Service für Volumenschattenkopien nutzen. Allerdings tritt es nur auf, wenn das Volumen mindestens 8 GByte größer als 8 GByte ist und die ursprüngliche Größe des erweiterten Volumens ein Vielfaches von 8 GByte betragen hat. Die Wahrscheinlichkeit des Auftretens nimmt zu, wenn es zudem mehrfach um ein Vielfaches von 8 GByte erweitert wurde.

Der von Microsoft bereitgestellte Hotfix erfordert nach der Installation einen Neustart. Er ersetzt keine früheren Updates, sie sollten also zuvor alle eingespielt werden.

Weiterlesen

(am) – Bei seinem monatlichen Patch Day in dieser Woche hat Microsoft auch eine Sicherheitsmitteilung veröffentlicht, in der es um eine DoS-Lücke in seinen Antivirusprogrammen geht, die sich als gravierender erweist als zunächst bekannt.

Meist weit weniger Beachtung als die Security Bulletins finden Microsofts im Rahmen des Patch Day zusätzlich veröffentlichte Sicherheitsmitteilungen. So hat Microsoft am 14. Mai die Sicherheitsempfehlung 2846338 publiziert, die von einer Schwachstelle in Microsofts Anti-Malware-Produkten handelt. Betroffen sind nur die 64-Bit-Versionen der Produkte Forefront, System Center 2012 Endpoint Protection, Security Essentials, Windows Defender, Intune Endpoint Protection sowie des MSRT (“Tool zum Entfernen bösartiger Software”).

Die Lücke war bereits zuvor öffentlich bekannt, jedoch ging man zunächst davon aus, es würde sich nur um eine DoS-Lücke (Denial of Service) handeln. Microsofts Sicherheitsmitteilung ist jedoch zu entnehmen, dass ein Angreifer mit einer speziell präparierten Datei sogar Code einschleusen und ausführen könnte. Dazu muss die Datei mit einer anfälligen Fassung des Scan-Moduls geprüft werden.

Weiterlesen

(am) – In dieser Woche sorgte Microsoft mit einem fragwürdigen Link-Check im Skype-Chat für Aufsehen. Obwohl eine offizielle Stellungnahme noch aussteht, scheint der Konzern den Kontrollmechanismus nun deaktiviert zu haben.

Bei der Installation des VoIP-Dienstes Skype erklären sich Internet-Nutzer über die AGBs bereit, Microsoft bei ihren Gesprächen mitlesen zu lassen. Wie sich in dieser Woche herausstellte, scheint der Windows-Hersteller von dieser Erlaubnis auch regen Gebrauch zu machen. Wie Heise Security berichtete, ist mehreren Skype-Nutzern aufgefallen, dass Links, die sie in einem Skype-Chat benutzt hatten, wenig später von einer Microsoft-IP besucht wurden.

Ebenfalls stutzig macht die Tatsache, dass sich der Link-Check nur für https-Links zu interessieren schien. Http-Verweise, die ins Skype-Chat-Fenster eingefügt wurden, ließ der Bot aus Redmond unangetastet. Diese Tatsache alarmiert Sicherheitsexperten, da https-URLs häufig vertrauliche Informationen wie konkrete Sitzungsdaten enthalten.

Während Microsoft auf eine entsprechende Anfrage mit dem Verweis reagierte, im Skype-Chat verwendete Links nur auf Spam zu überprüfen, scheint dem Konzern die Debatte nun zu heiß zu werden. Wie sich heute bei einer erneuten Überprüfung durch Heise Security herausstellte, hat Microsoft den fragwürdigen Link-Check eingestellt. Nach dem Einfügen unterschiedlicher Test-URLs erfolgten keine Kontroll-Besuche aus Redmond mehr. Eine offizielle Erklärung seitens Microsoft oder Skype steht jedoch auch weiterhin aus.

Quelle: PC Welt

(am) – Eine Studie kommt zu dem Ergebnis, dass Microsofts Browser Internet Explorer 10 Nutzer besser vor auf Websites gehosteter Malware schützt als Chrome, Firefox, Opera und Safari. Allerdings sind die Blockierraten von Chrome ebenfalls sehr gut, schreibt NSS Labs.

IE10 kommt auf 99,96 Prozent, während Chrome (getestet wurden die Versionen 25 und 26) 83,16 Prozent erreicht. Andere Browser schaffen es dagegen kaum, ihre Nutzer vor Malware auf Webservern zu schützen: Die Quote von Safari 5 beträgt 10,15 Prozent, die von Firefox 19 9,92 Prozent und die von Opera 12 nur 1,87 Prozent.

Getestet wurden die Browser durch Zugriff auf 754 “aktive und bösartige” URLs. Von 13. März bis 9. April wurden sie mit jedem Browser alle sechs Stunden besucht und eventuelle Warnhinweise verzeichnet. Adware und Falschmeldungen fanden demnach keinen Eingang in die Statistik.

Grund für die überlegenen Resultate sind NSS Labs zufolge die zusätzlichen Blockiermodule für Dateien, die die beiden führenden Browser einsetzen. Während Firefox und Safari ebenfalls auf Googles Safe Browsing API zugreifen, ist das in Chrome selbst nicht der einzige Schutzmechanismus. Vielmehr verwende der Google-Browser eine neuere Version der API, zusätzliche Reputationsüberprüfungen und eben einen dateibasierten Blocker namens Download Protection, heißt es. Er schaffe es allein, etwa 73 Prozent der Malware-Befälle zu stoppen. Safe Browsing erreicht für sich genommen in allen drei Browsern, die es einsetzen, eine Quote von etwa 10 Prozent.

Weiterlesen