Aktuelle IT-Bedrohungen, erstes Quartal 2007

IT-Sicherheits-Experten sagten voraus, dass das Jahr 2007 in vielerlei Hinsicht einen Wendepunkt für die gesamte Computer-Community und insbesondere für den Antivirus-Bereich bringen würde. Prognosen zufolge werden sich die Virenschreiber auch im Jahr 2007 auf Trojaner-Programme konzentrieren, die auf den Diebstahl von Anwenderdaten spezialisiert sind. Wie gehabt werden sich die Attacken gegen Benutzer verschiedener Online-Banking- und Bezahlsysteme richten sowie gegen Spieler von Online-Games. Auch der Trend zum Schulterschluss zwischen Virenschreibern und Spammern wird sich selbstverständlich fortsetzen, so dass aufgrund ihrer „Symbiose“ infizierte Computer nicht allein zur Organisation neuer Epidemien genutzt werden können, sondern auch zum Versand von Spa.

Nach Einschätzungen von Kaspersky Lab werden sich die Schadprogramme auch in diesem Jahr hauptsächlich über E-Mails und Schwachstellen im Browser ausbreiten. Peer-to-Peer-Netze und ICR-Kanäle werden nicht massiv zur Verbreitung von Malware genutzt werden, obwohl auch solche Fälle durchaus zu erwarten sind, und zwar insbesondere auf lokaler Ebene (der in Japan sehr populäre P2P-Client Winny etwa könnte im Jahr 2007 zu einem ernsthaften Problem für asiatische User werden). Instant-Messenger-Systeme werden weiterhin zu den drei am meisten attackierten Medien gehören, wobei die Analytiker bei Kaspersky Lab keine wesentliche Virenvermehrung über diesen Kanal erwarten.

Insgesamt betrachtet werden Epidemien und Virenattacken geografisch immer differenzierter organisiert werden. So wird für es in der asiatischen Region ein Übergewicht an Game-Trojanern und Würmern mit Virus-Funktionalität geben, in Europa und den USA dagegen werden Spionage-Trojaner – vor allem die Untergruppe Bank-Trojaner – überwiegen. Süd- und Latein-Amerika werden nach wie vor unter allen nur erdenklichen Bank-Trojanern zu leiden haben.

Das wichtigste Thema 2007 wird zweifellos das neue Betriebssystem Microsoft Vista sein – und selbstverständlich die damit verbundenen Sicherheitslücken.

Auch für andere Betriebssysteme ist ein Zuwachs von Schadprogrammen zu erwarten: in erster Linie für MacOS, gleich danach für Unix-Systeme. Auch Spielekonsolen wie z.B. Playstation und Nintendo werden nicht unbeachtet bleiben. Die zunehmende Anzahl solcher Geräte und ihre Fähigkeit, untereinander und mit dem Internet zu kommunizieren, könnte die Aufmerksamkeit der Virenautoren auf sich ziehen. Wenn auch – vorerst – nur aus rein „wissenschaftlichem“ Interesse. Es wäre möglich, dass die Viren für Nicht-Computer im Jahr 2007 eine gewisse Grenze erreichen und in ein Stadium unbegrenzten Wachstums übergehen – sehr wahrscheinlich ist diese These allerdings nicht.

Schadprogramme werden ihre Technologien und die Methoden zur Verbergung ihrer Anwesenheit im System weiterhin verfeinern. Entwicklungen in den Bereichen Polymorphismus, Verunreinigung des Codes und Rootkit-Technologie werden sich immer weiter ausbreiten und bei der Mehrheit neuer schädlicher Programme praktisch zur Grundausstattung gehören.

Die Kaspersky-Lab-Experten prognostizieren zudem einen Anstieg zielgerichteter Attacken auf mittelständische Firmen und Großunternehmen. Neben dem traditionellen Datenklau werden diese Attacken Lösegeld- Erpressung von den betroffenen Organisationen zum Ziel haben, unter anderem als Gegenleistung für die Dechiffrierung von Daten. Beim Eindringen ins System werden MS Office-Dateien und Verwundbarkeiten in diesem Softwarepaket eine wesentliche Rolle spielen.

Das erste Quartal 2007 hat diese Erwartungen und Prognosen in vielerlei Hinsicht bestätigt.

Kampfzone Internet

Das Jahresende 2006 gestaltete sich für die Antivirushersteller dieser Welt außerordentlich schwierig. Die Antivirusforscher arbeiteten drei Monate lang in erhöhter „Kampfbereitschaft“ unter Mobilisierung aller zur Verfügung stehenden Ressourcen. Der Grund dafür lag in Internet-Attacken von bisher nicht da gewesener Intensität –organisiert von den unbekannten Autoren der Wurm-Familie Warezov. Die ersten Exemplare dieses Wurms tauchten im Oktober 2006 im Internet auf und zum Ende des Monats erreichte er den Höhepunkt seiner Aktivität – mit bis zu 20 neuen Varianten innerhalb von 24 Stunden.

Einige Charakteristika von Warezov erinnern stark an den berühmt-berüchtigten Wurm Bagle. Obgleich Warezov auf dem Ausgangscode des Wurms Mydoom.a basiert – und Bagle dagegen eine „unikale Schöpfung“ einer unbekannten Gruppe von Virenschreibern war – sieht Kaspersky Lab diese beiden Würmer durchaus als Verwandte an. Die Ähnlichkeit liegt zum einen in der Organisation der Epidemien, nämlich der konzentrierten Ausgabe von zahlreichen Varianten innerhalb kürzester Zeit bei gleichzeitiger geografischer Differenzierung (in Russland wurden andere Varianten des Wurms in Umlauf gebracht als in Europa). Zum anderen gleichen sich die Würmer sehr stark in ihrer Funktionalität, nämlich der Installation beliebiger Module auf dem Opfercomputer über trojanische Seiten und der Sammlung von E-Mail-Adressen und deren anschließender Weiterleitung an die Kriminellen. Bagle war der erste Wurm, der Virustechnologien zur Erweiterung der Spam-Datenbanken nutzte. Warezov geht ebenso vor.

Hinzu kommt, dass das Erscheinen von Warezov und das Ausbleiben neuer Varianten von Bagle nicht mehr als eine Woche auseinander liegen. Man kann sich nur schwer vorstellen, dass die Autoren von Bagle sich plötzlich aus dem Geschäft zurückgezogen und ihre Angelegenheit nun anderen überlassen haben. Die Kaspersky-Virenexperten schließen daher nicht aus, dass beide Würmer das Produkt ein und derselben Gruppierung sind.

Bis zum Ende des Jahres 2006 entdeckten die Kaspersky-Viruslabore über 400 Varianten des Wurms Warezov. Seine Autoren organisierten zeitlich sehr begrenzte, aber überaus massive Spam-Versendungen neuer Varianten, was zum Aufbau eines gigantischen Botnetzes führte. Da Warezov zudem die E-Mail-Adressen sammelte, war eine Flut von Spam und Phishing-Attacken nur noch eine Frage der Zeit. Warezov wurde nur zu einem einzigen Zweck entwickelt und in Umlauf gebracht: zur weiteren Nutzung der infizierten Computer als E-Mail-Proxy-Server.

Faktisch hielten die Wurmautoren und deren Kunden nun einen großen Anteil des Schwarzmarktes für illegalen E-Mail-Versand, was zwangsläufig zu einer Reaktion der Konkurrenz führen musste. So war der Gegenschlag denn auch nur eine Frage der Zeit.

Am 18. Januar brach der Orkan „Kyrill“ über Europa herein. Er kostete mehr als 30 Menschen das Leben. Zehntausende Europäer waren von der Stromversorgung abgeschnitten, hatten keinen Netzempfang und in weiten Gebieten war das öffentliche Transportsystem zusammengebrochen. Die Aufmerksamkeit der ganzen Welt richtete sich auf dieses Ereignis, über das rund um die Uhr in den Massenmedien berichtet wurde.

Am 20. Januar brach ein weiterer Sturm los. In diesem Fall war der E-Mail-Verkehr betroffen, der von einer gigantischen Flut von Spam-Nachrichten überschwemmt wurde, in denen unter anderem davon die Rede war, dass dem Orkan „Kyrill“ 230 Menschen zum Oper gefallen seien, dass russische Raketen chinesische und amerikanische Satelliten abgeschossen hätten, das Saddam Hussein am Leben und der russische Präsident Putin tot sei und so weiter und so fort. All dies sollte die Empfänger der Nachrichten dazu bringen, die an die Mails angehängte Datei zu öffnen.

Hier nur eine kleine Auswahl der von den Autoren dieser Virus-Attacke in Umlauf gebrachten Schlagzeilen:

  • 230 dead as storm batters Europe.
  • Russian missle shot down Chinese satellite
  • Chinese missile shot down USA aircraft
  • Sadam Hussein alive!
  • Venezuelan leader: „Let’s the War beginning“.
  • Fidel Castro dead.
  • President of Russia Putin dead
  • Third World War just have started!

Bei den angehängten Dateien handelte es sich jedoch um die trojanischen Programme Trojan-Downloader.Win32.Small.dam und Trojan-Downloader.Win32.Small.bet, die dafür sorgten, dass zusätzliche Komponenten auf den infizierten Computer geladen wurden. Das Ergebnis war ein neuer, höchst aggressiver Netzwurm, der Rootkit-Technologie einsetzt. Inoffiziell „Storm Worm“ genannt, wurde er unter seiner offiziellen Bezeichnung EMail-Worm.Win32.Zhelatin.a in die Kaspersky-Antivirus-Datenbanken aufgenommen.

Eine genauere Analyse dieses Wurms und seiner in den darauf folgenden Tagen und Wochen erschienenen Varianten brachte interessante Resultate. Wie auch Warezov verwendete Zhelatin die befallenen Computer als trojanische Proxy-Server zum Spam-Versand und erstellte Botnetze zur Durchführung von DDoS-Attacken. Es lässt sich unschwer erraten, wogegen diese Attacken unter anderem gerichtet waren: Gegen Sites, die von den Autoren des Wurms Warezov verwendet wurden! Auch Sites verschiedener Anti-Spam-Organisationen waren betroffen. Im Februar erreichte die durch verschiedene Zhelatin-Varianten ausgelöste Epidemie ihren Höhepunkt.

Der Cyberkrieg zwischen den Gruppierungen Warezov und Zhelatin hatte begonnen. Der Umfang der Botnetze, die diesen zwei Gruppen zur Verfügung standen, und deren Angriffs-Bereitschaft ließ eines der ernsthaftesten Probleme der letzten Jahre im Netz befürchten.

Der bisher bekannteste Cyberkrieg fand im Frühjahr 2004 zwischen Mydoom, Bagle und Netsky statt. Damals gab es eine Flut von Dutzenden Varianten dieser Würmer, die ihre Konkurrenten auf den Opfercomputern suchten, sie löschten und deren Platz einnahmen. Das Ende dieses Krieges bescherte dem 18jährigen deutschen Autor von NetSky, Sven Jaschan, eine Haftstrafe. Seine Schöpfung jedoch ist bis auf den heutigen Tag einer der am weitesten verbreiteten Würmer im E-Mail-Traffic. Von den damaligen Kriegsgegnern haben lediglich die Autoren des Wurms Bagle ihre Aktivität bis zum Jahr 2007 fortgesetzt. Von Zeit zu Zeit haben sie sich zwar zurückgezogen und sie haben auch in keiner Weise auf das Erscheinen von Warezov reagiert, was uns die Vermutung nahe legt, dass sie – wie bereits oben erwähnt – selbst an der Entwicklung dieses Wurms beteiligt waren. Im Januar kehrten sie allerdings plötzlich auf die Bildfläche zurück und eine Bagle-Variante wurde zum am weitesten verbreiteten Schadcode im E-Mail-Traffic überhaupt.

Damit war eine interessante Situation entstanden. Drei Gruppen aus verschiedenen Ländern verfolgen ein und dasselbe Ziel, nämlich den Aufbau von Botnetzen zum Versand von Spam und zur Sammlung von E-Mail-Adressen. Sie sind alle unmittelbar vom Geld der Spammer abhängig, die für das größte Botnetz und die umfangreichste E-Mail-Datenbank zahlen. Daher sind die drei Gruppen gezwungen, sich gegenseitig mit allen ihnen zur Verfügung stehenden Mitteln zu bekämpfen, was wiederum zu endlosen Virenattacken auf gewöhnliche User führt. Um ihre Ziele zu erreichen, entwickeln sie ständig neue Methoden zur Umgehung von Virenfiltern.

Die Autoren von Warezov reagierten erstmals im März auf die Angriffe von Zhelatin, und seit Januar erscheinen regelmäßig mehrmals monatlich neue Varianten von Bagle. Noch Ende vergangenen Jahres hatten es die Antivirus-Unternehmen nur mit einer Gruppierung zu tun, jetzt hat sich das Problem und der damit einhergehende Arbeitsumfang verdreifacht. Begleitet wird all dies von einem wesentlichen Anstieg von Spam und Phishing-Attacken.

Fast 32 Prozent aller Schadprogramme im E-Mail-Traffic entfielen im März 2007 auf den Trojaner Trojan-Spy.HTML.Bankfraud.ra – eine direkte Folge der Virenepidemien durch Bagle, Zhelatin und Warezov. Es handelt sich hierbei um eine typische Phishing-Mail, die in millionenfacher Ausführung rund um den Erdball verschickt wird, wobei Kaspersky Lab ein wiederholtes Versenden dieses Trojaners feststellen konnte. Er wurde erstmals am 27. Februar 2007 entdeckt. Der Trojaner hat es auf Kunden der Branch Banking and Trust Company (BB&T) abgesehen, die auf gefälschte Sites von Kriminellen in Kroatien und den Koskosinseln gelockt werden.

Man kann nur raten, welche der drei Gruppen die Verantwortung für diese Phishing-Attacke trägt. Mein persönlicher Favorit ist Zhelatin…

„Big Trouble in Little China”

Die ersten Varianten des Netzwurms Viking entdeckten die Experten von Kaspersky Lab Anfang 2005. Zu dieser Zeit handelte es sich dabei um kein besonders kompliziertes Schadprogramm, das sich auch nicht aus der Masse typischer Virenschreiber-Schöpfungen abhob: Der Wurm kopierte sich in verfügbare Netzlaufwerke, infizierte Dateien, versuchte aus dem Internet Dateien zu laden und Logins und Passwörter für Online-Games zu stehlen.

Das gesamte Jahr 2005 hindurch war der unbekannte Autor von Viking-a nur mäßig aktiv und brachte nur etwa alle zwei Monate eine neue Variante in Umlauf. Im April 2006 nahm seine Aktivität jedoch merklich zu, und im September war die Zahl der den Virenexperten bei Kaspersky Lab bekannten Varianten des Wurms auf über drei Dutzend angestiegen. Dann begann etwas, das mit der Epidemie des Wurms Warezov vergleichbar ist, die zur selben Zeit losbrach: Es folgten wöchentlich Dutzende neue Modifikationen von Viking, in China wurden zehntausende (!!) Internet-Sites ausgemacht, über die die Verbreitung des Wurms erfolgte und es gab eine Vielzahl von Anfragen asiatischer Anwender an das Viruslab. Ziemlich schnell wurde klar, dass in China eine Epidemie nationalen Ausmaßes tobte.

Der Ansicht der Kaspersky-Experten nach ist es insbesondere Viking zu „verdanken“, dass China Platz 1 in der Kategorie ‚Entwicklung der meisten Schadprogramme weltweit’ einnimmt. Viking ist auch dafür verantwortlich, dass eine ganz gewöhnliche Klasse von Würmern mit nur wenigen Vertretern, die sich über lokale Netze verbreiten und Dateien infizieren, ein entscheidendes Wachstum zu verzeichnen hatte (siehe Jahresbericht).

Der Jahresanfang 2007 bescherte das nächste „chinesische Rätsel“. Ein Teil der Viking-Modifikationen wich so stark von der Ausgangsform ab, dass sie der neuen Familie Fujack zugeordnet wurden. Gleichzeitig bekam die Epidemie neuen Schwung, und im Januar und Februar stellte Fujack das größte Virusproblem für asiatische Anwender dar. So wurden asiatische Nachrichtenagenturen mit Informationen über den „Panda-Virus“ überschwemmt (der Virus ersetzte in infizierten Dateien das Original-Icon durch einen Pandabären, der Räucherstäbchen in den Tatzen hält).

An dieser Stelle muss ich ein wenig abschweifen und die Frage stellen, warum es kein E-Mail- oder Netz-Wurm war, der sich dermaßen maßlos ausbreiten konnte und warum eine solche Epidemie ausgerechnet in China losbrechen konnte.

Die wesentlichen Gründe dafür sind:

  • Im chinesischen Internet werden weitaus mehr Dateien ausgetauscht als in allen anderen Ländern der Welt. In China gibt es Tausende von Servern, die gigantische Dateispeicher darstellen. Wenn Computerpiraterie die einzige Möglichkeit für Anwender ist, an begehrte Programme zu gelangen, sind derartige Server ohne Zweifel Anziehungspunkte. Vermutlich ist auf diesen Servern jedes beliebige Programm dieser Welt zu finden. So findet ein reger Datei-Austausch statt und bereits eine befallene Datei ist ausreichend, um Zehntausende User zu infizieren. Bei den von Kaspersky Lab entdeckten Verbreitungsquellen von Viking und Fujack handelt es sich um genau solche Sites.
  • Die Verbreitung des Virus’ erfolgte nicht über eine Einzelperson. Der Autor verkaufte Interessenten exklusive Fujack-Varianten, die auf den Diebstahl von Anwenderdaten für Online-Games ausgelegt sind. So erklären sich auch die gigantische Anzahl der Wurmvarianten und deren unterschiedliche Verbreitungsquellen.
  • Die lokalen Netze in China haben einen beeindruckenden Umfang, insbesondere in den Universitäten. Gelangt ein Virus in ein derartiges Netzwerk, werden innerhalb kürzester Zeit Tausende von Computern mit offenen Netzlaufwerken infiziert.

Aufgrund dieser Fakten bin ich der Meinung, dass wir es hier mit einer spezifischen Epidemie zu tun hatten, die nur in China möglich war. Denn trotz der Unmenge an Infektionen hat der Virus die Landesgrenze nicht überschritten und weder in Europa noch in den USA Aufsehen erregt. Möglicherweise ist auch das eine Auswirkung eines gewissen „elektronischen Vorhangs“ zwischen China und dem Internet der restlichen Welt.

Schließlich trat ein, was Experten zwar nicht erwartet, aber erhofft hatten: Am 12. Januar berichtete die chinesische Nachrichtenagentur Xinhua über die Festnahme verschiedener Personen, die der Entwicklung des Wurms Fujack verdächtigt wurden. Insgesamt wurden acht Personen verhaftet, unter ihnen der 25jährige Li Jun, bekannt unter dem Pseudonym WhBoy. Li Jun gestand, dass er mit der Entwicklung und dem Verkauf des Wurms an andere Hacker ungefähr 12.500 US-Dollar verdient hätte, und er durch das Scheitern, in der IT-Branche einen Arbeitsplatz zu finden, zu diesen Taten getrieben worden sei.

Verschiedenen Quellen zufolge war dies die erste Inhaftierung eines Virenautors in China. Ich bin mir nicht sicher, dass das zutrifft, allerdings hat es in China ganz gewiss zuvor keine Festnahme eines Virenschreibers dieser Qualität gegeben.

Ich habe unsere Malware-Datenbank auf alle Schadprogramme durchsucht, in deren Code das Wort „WhBoy“ enthalten ist, da Li Jun seine Werke zu „signieren“ pflegte. Die Aufstellung, die ich erhielt, ist tatsächlich beeindruckend:

  • Einige Dutzend Trojan-PSW.Win32.Lmir – trojanische Programme, die die Spieler-Accounts des Online-Games Legend of Mir stehlen;
  • Einige Dutzend Trojan-Downloader.Win32.Leodon;
  • Alle Würmer der Familie Email-Worm.Win32.Lewor;
  • Eine Reihe von Backdoor.Win32.WinterLove;
  • Einige Dutzend Trojan-PSW.Win32.Nilage – trojanische Programme, die die Spieler-Accounts des Online-Games LineAge stehlen;
  • Einige Dutzend Trojan-PSW.Win32.QQRob – trojanische Programme die die Accounts des chinesischen Instant-Messengers QQ stehlen;
  • Die Würmer Viking und Fujack.

Sollte WhBoy tatsächlich der Autor aller oben aufgeführten Schadprogramme sein, so gehört er zu den aktivsten Virenschreibern der letzten Jahrzehnte.

Zum Schluss noch eine komische Begebenheit in diesem Zusammenhang: Die chinesische Polizei verlangte von Li Jun, ein Antivirus-Programm zu schreiben, das die von Fujack befallenen Computer desinfizieren sollte. Es gelang ihm allerdings nicht, ein Programm zu entwickeln, das die infizierten Systeme wiederherstellt. Der Virenautor wurde mit seinem eigenen Werk nicht mehr fertig…

Windows Vista: Glanz und Elend

Die Veröffentlichung der neuen Betriebssystemversion Windows Vista Ende Januar 2007 war ohne Zweifel ein außerordentlich wichtiges Ereignis für die gesamte Computerwelt. Microsoft verkündete, dass es sich hierbei um die am besten geschützte Version aller Zeiten handele und zahlreiche Probleme, die in der Vergangenheit zum Ausbruch vieler Virusepidemien geführt hätten, nunmehr gelöst seien.

Die Frage, wie weit es mit der angekündigten Sicherheit tatsächlich her ist, beschäftigte die Computer-Community lange, bevor die Beta-Version zum Download zur Verfügung stand: Worin bestehen die Funktionen, die dem Anwender Sicherheit gewährleisten sollen und inwiefern sind sie dazu tatsächlich in der Lage? Stimmt es, dass mit Vista Antivirus-Programme überflüssig werden?

Die Liste der wichtigsten Neuerungen war beeindruckend: ein System zur Einschränkung der Anwenderprivilegien mit der Bezeichnung User Account Control (UAC), das Kernel-Schutzsystem Patch Guard sowie verschiedene Sicherheitsfunktionen im Internet Explorer 7, Adress Space Layer Randomization (ASLR), Network Access Protection, Windows Service Hardening. Darüber hinaus ist Vista mit einer integrierten Firewall und dem Antivirus-Programm Windows Defender ausgestattet.

Experten für IT-Sicherheit stimmten jedoch darin überein, dass all diese Neuerungen keinen entscheidenden Einfluss auf die bestehenden Probleme mit Computerviren haben würden. Von verschiedenen Antivirus-Herstellern durchgeführte Tests zeigten, dass ca. 90% der für Windows XP existierenden Schadprogramme problemlos auch unter Vista funktionieren. Hinzu kam das Problem von Schwachstellen in dem neuen Betriebssystem.

Ungeachtet aller Versicherungen von Microsoft – das neue Betriebssystem sei eine von Grund auf neue Entwicklung, es seien innovative Maßnahmen zur Entdeckung von Fehlern schon im frühen Stadium der Code-Entwicklung ergriffen worden, ein unikales Test-System sei entwickelt worden, das einwandfrei funktionieren würde –war doch allen klar, dass es Problem geben würde. Die Frage „werden in Vista kritische Sicherheitslücken entdeckt werden?“ stellte sich gar nicht. Die Frage lautete vielmehr: „wann werden sie entdeckt werden?“.

Am 30. Januar 2007 ging Vista in den Verkauf und das Wettrennen bei der Suche nach Schwachstellen hatte begonnen. Die Aufmerksamkeit der Hacker dieser Welt richtete sich ausschließlich auf Vista. Das Ziel war ein 0-Day-Exploit, das die Entwicklung eines Schadprogramms ermöglicht.

Zwei Wochen später, am 13. Februar, veröffentlichte Microsoft seine regulären monatlichen Aktualisierungen. Darunter befanden sich 6 kritische und 6 wichtige Sicherheitslücken, worunter auch die leider schon zur Tradition gewordene Schwachstelle in Microsoft Excel nicht fehlte. Schon in früheren Berichten haben wir wiederholt auf die Unmenge von Löchern in Microsoft Office hingewiesen, die im Jahr 2006 entdeckt wurden. Trotz aller Patches werden immer und immer wieder neue Sicherheitslücken entdeckt und umgehend von Kriminellen ausgenutzt.

Doch in der Auflistung der Februar-Schwachstellen befand sich nicht eine einzige für Vista! Das hätte überraschen und vielleicht als Hinweis auf die tatsächliche Sicherheit von Vista gewertet werden können, wenn da nicht noch ein „aber“ gewesen wäre. Denn die im Februar beseitigten Schwachstellen waren entdeckt worden, noch bevor Vista auf den Markt kam. Selbst wenn in Vista eine Lücke gefunden worden wäre – die entsprechenden Patches hätten auf keinen Fall im Februar-Update enthalten sein können. Wollte man die tatsächliche Situation beurteilen, musste man den März abwarten.

Am 11. März machte eine erstaunliche Nachricht die Runde. Der Softwaregigant aus Redmond hatte verkündet, dass für den laufenden Monat keine Veröffentlichung der regelmäßigen Aktualisierungen für seine Software-Produkte geplant sei. Erstmals innerhalb von Jahren hatte Microsoft keine Verbesserungen vorgenommen. Das hatte es noch nie gegeben und man konnte es als Zeichen dafür werten, dass alle Probleme in allen Windows Versionen nunmehr gelöst waren. Die darauf folgenden Erklärungen machten allerdings deutlich, dass nicht alles zum Besten stand. Die Spezialisten von Microsoft waren vielmehr mit der Erprobung der Patches beschäftigt, die im vorhergehenden Monat ausgegeben worden waren. „Microsoft fährt zum Schutz seiner Kunden mit der Untersuchung der potentiellen und offenen Sicherheitsanfälligkeiten fort. Die Entwicklung neuer Sicherheitslösungen, die Fehler effektiv und vollständig beseitigt, ist ein langer Prozess, der folgerichtiges Vorgehen erfordert.“ Diese Worte haben nur die eine Bedeutung: Es gibt bekannte Sicherheitslücken, aber es ist nicht möglich, sie schnell zu beseitigen. Zur gleichen Zeit meldete die Firma eEye Digital Security fünf offene Sicherheitslücken in Windows.

Ein Unwetter lag in der Luft. Die Situation war allzu besorgniserregend, und drei Wochen später brach der Sturm los.

Am 29. März bemerkten die Antivirushersteller im Strom neuer Viren etwas Merkwürdiges. Auf einigen chinesischen Sites wurden Dateien im ANI-Format (animierter Cursor) entdeckt, die beim Aufruf der entsprechenden Site verschiedene trojanische Programme im System installierten, meist solche der Klasse Trojan-Downloader. Überdies wurden im E-Mail-Traffic Mitteilungen entdeckt, die ebenfalls verdächtige .ANI-Dateien enthielten. Eine Analyse machte deutlich, dass wir auf eine neue Verwundbarkeit bei der Verarbeitung grafischer Dateien gestoßen waren, die auch unter Windows Vista besteht.

Die Jagd nach der ersten Verwundbarkeit von Vista war nach nicht einmal zwei Monaten beendet. Das Ergebnis hätte schlechter nicht sein können, denn die Sieger in diesem Wettrennen waren chinesische Hacker, die die Schwachstelle zur Verbreitung von Viren nutzten und ein Patch war nicht in Sicht.

Besonders beklagenswert war auch die Tatsache, dass wir es zwei Jahre zuvor schon einmal mit einer Schwachstelle in der Verarbeitung von ANI-Dateien zu tun hatten. Damals, im Januar 2005, wurden hunderte von Sites und Dateien mit der Schwachstelle Exploit.Win32.IMG-ANI (Kaspersky Lab-Klassifikation) registriert. Microsoft beseitigte das Problem mit dem Patch MS05-002, das jedoch – wie die Zeit zeigen sollte – nicht von ausreichender Qualität war. Dieser Vorfall machte aber auch deutlich, dass alle „Sicherheits-Versicherungen“ durch das Auftauchen einer kleinen verwundbaren Cursor-Datei zunichte gemacht wurden.

Microsoft konnte nichts anderes tun, als ein Advisory zu der neuen Sicherheitslücke CVE-2007-1765 sowie eine Liste der für das Problem anfälligen Betriebssysteme und Anwendungen zu veröffentlichen. Und die Antivirushersteller registrierten immer und immer wieder neue infizierte Sites und trojanische Programme.

Das Unternehmen Websense entdeckte innerhalb nicht einmal einer Woche über 500 befallene Sites, bei deren Besuch sich Anwender unweigerlich infizierten. In den meisten Fällen handelte es sich um Infektionen mit verschiedenen Varianten von Spionage-Trojanern, die auf den Diebstahl von Spielerdaten in Online-Games (World of Warcraft, LineAge) ausgerichtet sind.

Die Situation drohte in eine globale Epidemie auszuufern. eEye Digital Security veröffentlichte einen eigenen inoffiziellen Patch für die entsprechende Schwachstelle. Man fühlte sich an vergangene Fälle erinnert, als Microsoft sich weigerte, einen Patch außerhalb der turnusmäßigen monatlichen Aktualisierung herauszugeben. In diesem Zusammenhang sei nur an die Schwachstelle in der Verarbeitung von WMF-Dateien im Dezember 2005 erinnert. Damals lagen zwischen der Entdeckung und der Beseitigung des Problems fast drei Wochen. Im September 2006 benötigte Microsoft übrigens insgesamt nur 10 Tage zur Beseitigung der gefährlichen Sicherheitslücke MS06-055.

In diesem Fall bemühte sich Microsoft, die Sache so schnell wie möglich zu erledigen, und bereits am 03. April wurde außer der Reihe das kritische Patch MS07-017. Die Schwachstelle wurde mit „Sicherheitsanfälligkeit in GDI kann Remotecodeausführung ermöglichen“ beschrieben, und die Liste der betroffenen Betriebssysteme war lang:

  • Microsoft Windows 2000 Service Pack 4;
  • Microsoft Windows XP Service Pack 2;
  • Microsoft Windows XP Professional x64 Edition und Microsoft Windows XP Professional x64 Edition Service Pack 2;
  • Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1 und Microsoft Windows Server 2003 Service Pack 2;
  • Microsoft Windows Server 2003 für Itanium-based Systems, Microsoft Windows Server 2003 mit SP1 für Itanium-based Systems und Microsoft Windows Server 2003 mi SP2 für Itanium-based Systems;
  • Microsoft Windows Server 2003 x64 Edition und Microsoft Windows Server 2003 x64 Edition Service Pack 2;
  • Windows Vista;
  • Windows Vista x64 Edition

Die Aufstellung der mit Hilfe des Patches zu beseitigenden Sicherheitslücken war nicht weniger beeindruckend:

  • Sicherheitsanfälligkeit in GDI durch Erhöhung lokaler Berechtigungen (CVE-2006-5758);
  • Sicherheitsanfälligkeit in WMF durch Denial-of-Service (CVE-2007-1211);
  • Sicherheitsanfälligkeit in EMF durch Erhöhung von Berechtigungen (CVE-2007-1212);
  • Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen durch ungültige GDI-Fenstergröße (CVE-2006-5586);
  • Sicherheitsanfälligkeit bezüglich Remotecodeausführung durch animierte Windows-Cursor (CVE-2007-0038);
  • Sicherheitsanfälligkeit in GDI bezüglich Erhöhung lokaler Berechtigungen durch fehlerhafte Parameter (CVE-2007-1215);
  • Sicherheitsanfälligkeit im Schriftarten-Rasterprogramm durch Erhöhung lokaler Berechtigungen (CVE-2007-1213).

Drei dieser sieben Schwachstellen betrafen auch Vista – Sicherheitsanfälligkeit in WMF durch Denial-of-Service, Sicherheitsanfälligkeit bezüglich Remotecodeausführung durch animierte Windows-Cursor, Sicherheitsanfälligkeit in GDI bezüglich Erhöhung lokaler Berechtigungen durch fehlerhafte Parameter – und zwei waren bereits im Jahr 2006 entdeckt, aber erst jetzt beseitigt worden!

Es folgten verschiedene Erklärungen von Microsoft, die die Frage beantworteten, wie es Microsoft gelingen konnte, innerhalb von nur vier Tagen eine derart große Anzahl von Schwachstellen zu reparieren. Die Erklärung aus dem Microsoft Security Response Center Blog lautete folgendermaßen:

„Ich bin mir sicher, dass sich viele Leute fragen, wie es uns möglich war, so schnell ein Update zur Lösung dieses Problems zu veröffentlichen. Wie ich bereits am Freitag erwähnt habe, wurden wir erstmals Ende Dezember 2006 auf das Problem aufmerksam gemacht. Seither arbeiten wir an einer Sicherheitsaktualisierung. Die Veröffentlichung dieses Updates war ursprünglich für den 10. April 2007 als Teil unserer monatlichen Aktualisierungen geplant. Auf Grund des erhöhten Risikos, dem unsere Kunden durch die letzten Attacken ausgesetzt sind, haben wir die Durchführung der Tests beschleunigt, so dass schon vor dem 10. April ein Update zum Download bereitgestellt werden kann.“

Seit Ende vergangenen Jahres wusste Microsoft also von den Problemen, doch die ganze Zeit hindurch wurden lediglich Tests durchgeführt, das März-Update wurde ausgelassen und tatsächlich sollte alles am 10. April veröffentlicht werden. Drei Monate lang war die Schwachstelle bekannt – und zwar nicht nur Microsoft, sondern auch dem Computer-Underground. Man kann nur raten, wie viele Hacker-Attacken in dieser Zeit stattgefunden haben, ohne dass wir davon wissen.

Dieser Vorfall hat verdeutlicht, dass Windows Vista sich in Bezug auf Fehler und Schwachstellen kaum von früheren Betriebssystemen unterscheidet. Er hat auch gezeigt, dass die Neuerungen sowohl im Bereich Sicherheit als auch hinsichtlich der Entwicklung von fehlerfreiem Code nicht die gewünschte Wirkung haben. Außerdem ist klar geworden, dass das Problem von 0-Day-Schwachstellen, die von Virenschreibern noch vor Erscheinen eines offiziellen Patches genutzt werden, nach wie vor aktuell ist.

Fazit

Die Ereignisse der ersten drei Monate des Jahres 2007 haben unsere schlimmsten Befürchtungen wahr werden lassen. Die von den Virenschreibern organisierten Attacken sind weiterhin zeitlich sehr begrenzt, und innerhalb nur weniger Stunden werden unterschiedliche Varianten ein und desselben Schadcodes im Internet in Umlauf gebracht, was die Arbeit der Virus-Labs bedeutend erschwert. Vista wurde zum wichtigsten Ziel für Hacker, wobei nicht allein die Suche nach Schwachstellen im Vordergrund steht, sondern auch versucht wird, Module wie etwa UAC, den Schutz vor Pufferüberlauf und Patch Guard zu umgehen.

Im zweiten Quartal werden sich die wichtigsten Tendenzen dieses Jahres endgültig abzeichnen. So wird sich zeigen, wie wirksam die Schutzmechanismen in den aktuellen Betriebssystemen tatsächlich sind und welche neuen Angriffsmethoden von den Kriminellen bevorzugt werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.