[reiner]

Heise.de Meldung vom 26.01.2004 10:23

http://www.heise.de/...b-26.01.04-000/

Öffnen von gefälschten Ordnern startet Programme unter XP
==================================================
=======

Auf der Mailingliste Full Disclosure hat ein Sicherheitsexperte mit dem Pseudonym http-equiv eine Schwachstelle in Windows XP gemeldet, mit der sich ausführbare Dateien als Windows-Ordner tarnen lassen. Dazu reicht es aus, der Datei die Endung ".folder" hinzuzufügen. Das ursprüngliche Icon wechselt dann zum Ordnersysmbol. Ist dann noch im Windows Explorer die Option "Erweiterungen bei bekannten Dateien ausblenden" aktiviert, fällt die Täuschung überhaupt nicht mehr auf.
Ein Doppelklick öffnet dann nicht den Ordner, sondern führt die Datei aus. Allerdings muss ein Angreifer dazu ein wenig rumtricksen, da sich normale EXE-Dateien so nicht starten lassen. Stattdessen steckt hinter dem vermeintlichen Ordner eine HTML-Datei mit etwas JavaScript, in der eine MIME-codierte EXE-Datei steckt. Die HTML-Datei führt beim Öffnen die EXE mit den Rechten des Benutzers aus. Eine ähnliche Technik verwendete auch der Trojaner JS/StartPage.dr alias TrojanDropper/Mimail.b, ohne allerdings auf den Ordnertrick zurückzugreifen.
Die Schwachstelle ist nicht nur auf die Ansicht im Windows Explorer beschränkt. Auch in gezippten Dateien wird der gefälschte Ordner angezeigt, sowohl beim XP-eigenen ZIP-Manager als auch mit Winzip. Der vorherige Blick in eine komprimierte Datei, um sich vor unliebsamen Überraschungen zu schützen, reicht nun schon aus, um sich mit Schädlingen und Dialern zu infizieren.
http-equiv hat ein Demo-Exploit dazu auf seiner Webseite veröffentlicht. Eine Lösung für dieses Problem ist zur Zeit nicht bekannt. Anwender sollten komprimierte Dateien aus unbekannten Quellen nicht öffnen. (dab/c't)

[Rika]

Soll das ein Witz sein?
Da kann man doch auch gleich einfach eine EXE-Datei nehmen, ihr als Icon das Ordnersymbol (oder auch z.B. das Symbol für eine Textdatei) verpassen und dann die Dateiendung ausblenden. Also dümmer geht's dann wirklich nicht mehr.

Dieser Beitrag wurde von Rika bearbeitet: 26. Januar 2004 - 12:10

[mo]

rika, dann hat er aber nicht die "ordner-eigenschaften" .. als typ würde dann application und nicht folder dranstehn.

[reiner]

Mir ging es nur um die Info und um den Hinweis, den "Rika" schon öfter
angeführt hat :
1. ALLE Dateien + Ordner anzeigen lassen
2. DATEINAMENERWEITERUNG anzeigen lassen

[Rika]

@mo:

Aha, du verwendest also immer das Kontextmenü anstatt des Doppelklicks...

[B!G]

@Rika: Bei eigenene Dateien natürlich nicht, aber wenn mir ein Freak nen Pseudo Ordner schickt, schau ich schon genauer hin oder lösch die Mail einfach ganz.

[Meltdown]

Zitat (B!G: 26.01.2004, 13:40)

aber wenn mir ein Freak nen Pseudo Ordner schickt, schau ich schon genauer hin oder lösch die Mail einfach ganz.

Schliesst nicht immer von Euch auf andere. Ich hab Dich dabei gerade ertappt.
Die Masse macht es aus - und die ist i.d.R. auf DAU-Niveau.
Nebenbei: Gerade bei weniger talentierten "Freaks" sollte man erst recht hinschauen-
die merken gar nicht erst wenn durch Sie ein Virus automatisch weitergeleitet wird.

Das ist aber normal.

[reiner]

Heise.de Meldung vom 27.01.2004 10:29

http://www.heise.de/...k-27.01.04-000/

Neuer Wurm Novarg/Mydoom verbreitet sich schnell
================================================

Ein neuer Mail-Wurm, der Windows-Rechner befällt, verbreitet sich gegenwärtig rasant im Internet. Die Novarg oder Mydoom genannte Variante des Mimail-Wurms weist einige Besonderheiten auf -- unter anderem versucht er wie einige Mimail-Varianten, eine DoS-Attacke zu starten, dieses Mal aber auf die Server der SCO Group.
Die Antiviren-Firmen haben mittlerweile die Gefährlichkeit des Wurms hochgestuft, da er sich offensichtlich sehr schnell verbreitet. Auf den Mail-Servern des Heise-Verlags löste er beispielsweise bei den eingehenden Mails bereits den Wurm Sober.c in der Häufigkeit des Auftretens ab. Für die Verbreitung scheint förderlich zu sein, dass sich der Wurm in Mails versteckt, die nicht mit den üblichen Angeboten etwa für Filme, private Photos oder Pornobildchen daherkommen.
Vielmehr erwecken die Mails mit Subjects wie "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" oder "Error" den Eindruck, technische Verwaltungsmails zu sein. Im Body der Mail finden sich dann Texte wie "Mail transaction failed. Partial message is available", "The message contains Unicode characters and has been sent as a binary attachment" oder "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment", die den Eindruck noch stützen sollen. Anscheinend fallen daher auch einige eher technisch orientierte Anwender, die mit den üblichen Wurm-Mails eigentlich umgehen können sollten, auf die neue Variante herein.
Der Wurm verbreitet sich von infizierten Rechner aus selbsttätig per E-Mail an Adressen, die er auf dem lokalen Rechner findet. Er ignoriert aber beispielsweise E-Mail-Adressen in .edu-Domains; diese sind für Bildungseinrichtungen reserviert. Der Schädling verankert sich in der Registry, sodass er beim Start von Windows aktiviert wird und kopiert sich zudem unter verschiedenen Dateinamen in das Download-Verzeichnis der Tauschbörsen-Software von Kazaa.
Auf den befallenen Systemen öffnet der Wurm eine Backdoor auf den TCP-Ports 3127 bis 3198, sodass sich Angreifer Zugang zu den infizierten Rechnern verschaffen können. Ab dem 1. Februar sollen vom Wurm befallene Systeme eine DoS-Attacke auf www.sco.com, Port 80, starten. Sowohl der Verbreitungsmechanismus als auch die DoS-Attacke haben ein Enddatum 12. Februar.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine detaillierte Beschreibung des Wurms herausgegeben. Auch die Antiviren-Hersteller haben ihre Signatur-Dateien für die Virenscanner aktualisiert und geben in den Infos zu dem Wurm Hinweise zu seiner Entfernung. Weitere Informationen zum Schutz vor Viren und Würmer finden sich auf den Antiviren-Seiten von heise Security. (jk/c't)

[Rika]

Juhu...
Jetzt mche ich mir eine virtuell Maschine auf, installiere den Wurm dort und beteilige mich an der Aktion. Wenn sich jemand beschwert, hab ich dann schlißelich 'ne Ausrede - zugleich brauche ich aber nicht um meine Daten zu fürchten.

[reiner]

Heise.de Meldung vom 28.01.2004 11:09

http://www.heise.de/...k-28.01.04-001/

Microsoft kündigt Fix für URL-Spoofing an
=========================================

In einem Knowledgebase-Artikel weist Microsoft Web-Entwickler und Site-Betreiber darauf hin, dass der Konzern demnächst einen Fix für die so genannte URL-Spoofing-Lücke herausbringen will. Dadurch verändert sich das Verhalten des Internet Explorer bei entsprechend gestalteten URLs: Bei Konstrukten wie http(s)://username:password@server/resource.ext soll Microsofts Webbrowser künftig keine Aktion mehr ausführen, sondern nur noch die Fehlermeldung "Invalid syntax error" zurückgeben. Wann der Fix für Anwender verfügbar wird, gab Microsoft nicht bekannt; bislang hatte der Konzern nur Workarounds für das Problem genannt.


Das Ende vergangenen Jahres gefundene Sicherheitsproblem ermöglicht es Angreifern, Internet-Explorer-Nutzern gefälschte URLs unterzuschieben. Konstrukte in einem Link wie http://[email protected] gaukeln Anwendern vor, dass sie sich auf der Seite www.microsoft.com befinden, obwohl eigentlich die Seite www.heisec.de angezeigt wird -- die Adressbar des Internet Explorer unterschlägt den Teil hinter dem @. Eine Demonstration dieser Lücke finden Sie im c't-Browsercheck.

Mit einem vergleichbaren Problem hatte auch die Open-Source-Websuite Mozilla zu kämpfen. Seit Version 1.6 öffnet Mozillas Webbrowser zwar Webseiten mit solchen Konstrukten, zeigt sie aber sowohl in der Adressleiste als auch in der Statusbar vollständig an -- zumindest können so keine Missverständnisse darüber auftauchen, auf welcher Webseite sich ein Anwender tatsächlich befindet. Der Webbrowser des norwegischen Softwarehauses Opera warnt standardmäßig durch eine Dialogbox, wenn ein Anwender auf einen Link mit einer URL klickt, die einen durch @-Zeichen abgetrennten Bestandteil enthält.

Nach dem RFC 1738 sind übrigens http-URLs, die mit solch einer @-Konstruktion zur Übergabe von Username/Passwort arbeiten, eigentlich gar nicht vorgesehen. Zwar benennt RFC 2396 für die allgemeine URI-Syntax diese Konstruktion -- in dem RFC wird allerdings auch festgelegt, dass es nur für diejenigen Protokolle Gültigkeit hat, für die nicht wie bei http mit RFC 1738 eine eigene Definition vorliegt. In RFC 1738 wird die zulässige Form einer http-URL aber als http://<host>:<port>/<path>?<searchpart> festgelegt. Dies wird auch im RFC 1945 noch einmal festgehalten. (jk/c't)

[Meltdown]

Microsoft soll nichts ankündigen - der Patch müsste längst veröffentlicht sein.
Ich meine: Ist ja nicht so, das dieses Problem nicht schon länger bekannt wäre.

Aber ich bin jetzt wirklich mal gespannt auf die Februar-Patches von MS. Für XP ist
da in letzter ja nicht allzuviel gekommen...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 28. Januar 2004 - 14:42

[Rika]

Es wird erst das SP2 auf Stand November '03 rausgebracht und alles nachfolgende dann als Einzel-Patches hinterhergeschoben. Was heisst: Auf SP2 warten.

Aber naja, wer den IE benutzt, ist echt selber schuld. Wer lesen kann und lesen will und Lesbares suchen will, der findet mehr als genug, was im IE schon seit Ewigkeiten nicht korrigiert wurde.

[Meltdown]

Zitat (Rika: 28.01.2004, 15:11)

Es wird erst das SP2 auf Stand November '03 rausgebracht und alles nachfolgende dann als Einzel-Patches hinterhergeschoben. Was heisst: Auf SP2 warten.

Und wann soll das jetzt sein ?

Ich meine November 2003 ist ja jetzt auch schon wieder 2 Monate her...

Dafür braucht man doch nun wirklich nicht mehr bis Sommer. Das kann und
will ich nicht glauben...

Die Patches sollen in Ordnung sein (sagt MS) - aber verpackt mit dem SP2 muß dieser
ganze Kram dann noch monatelang getestet werden ?

Irgendwie klingt das unlogisch...

[Rika]

Naja, SP2 soll doch validiert werden. Wenn sie jetzt wieder die Patches reinmachen, müssen sie den Beta-Test von vorne bzw. in einer zweiten Phase starten. Wenn man das immer so machen würde, wird man nie fertig.

Dass sie offensichtlich den flaschen Zeitpunkt für den Beta-Test gewählt haben, wollen sie allerdings auch nicht zugeben.