Die Bedeutung clientseitiger Sicherheit

Zum Zeitpunkt der Redaktion dieses Artikels wird gemeldet, dass eine Sicherheitslücke in Adobe Flash Player, Acrobat Reader und Acrobat mit der Bezeichnung „authplay.dll“ aktiv attackiert wird. Anlässlich des Gipfeltreffens der Kaspersky-Sicherheitsanalysten, das letzte Woche in Zypern stattfand (http://www.kaspersky.com/press-tour-june-2010), thematisierte Roel Schouwenberg bei seinem Vortrag über Schwachstellen in PDF-Programmen unter anderem die Bedeutung clientseitiger Sicherheit. Auf der ph-neutral Konferenz in Deutschland sprach eine weitere Sicherheitsexpertin, Julia Wolf, über die Erzeugung und Analyse von PDF-Dateien. Die Absicherung von Clients ist ein enormes Problem, das sich häufig nur schwer beseitigen lässt, da die meisten automatischen Update-Funktionen Programme von Drittanbietern schlicht und einfach nicht unterstützen.

Als IT-Security Auditor, der sich mit der Durchführung von Penetrations-Tests befasst, habe ich eine wichtige Sache gelernt: Die meisten Organisationen/Unternehmen konzentrieren sich vornehmlich auf die Sicherheit ihrer Server. Ihr Hauptanliegen sind eine leistungsfähige Firewall und entsprechende Funktionen zur Sicherung ihrer externen Daten und DMZ, während die Sicherheit ihrer Arbeitsplätze völlig außer Acht gelassen wird.

Wenn Unternehmen Sicherheits-Audits ihrer Assets erstellen, sind diese dabei oft auf öffentlich zugängliche Ressourcen wie das Web, Mail- und Speichermedien sowie auf interne Ressourcen wie Datenbanken begrenzt. Anscheinend wird einer sicheren Webseite oberste Priorität eingeräumt, und die Clients geraten dabei ganz in Vergessenheit. Administratoren sind allzu oft auf die integrierte Update-Funktion angewiesen, wenn sie sicherstellen wollen, dass im System alle neuen Sicherheitspatches installiert sind. Das Problem integrierter Update-Funktionen besteht darin, dass Anwendungen von Drittanbietern, wie PDF-Reader, Flash-Player, Media-Player, Browser, E-Mail-Clients, etc. nicht berücksichtigt sind, so dass sich Malware-Programme häufig gegen diese Clients richten. In dem aktuellen Fall würden nicht einmal die eingebauten Update-Funktionen Wirkung zeigen, da für diese Sicherheitslücke kein Patch existiert. Kaspersky Lab hat einige Energie darauf verwendet, die heuristischen Analysemodule in die Lage zu versetzen, derartige Internetbedrohungen ebenfalls zu erkennen, was auch für die genannte Sicherheitslücke gilt, so dass unsere Kunden folglich nun vor dieser Bedrohung geschützt sind. Als diese Bedrohung sich „in the wild“ auszubreiten begann, hatten wir dafür keinerlei fixe Signatur, aber dank der hochleistungsfähigen Heuristikmodule in der Kaspersky Produktsuite haben wir diese neue Bedrohung als HEUR:Exploit.Script.Generic identifiziert und sind aktuell dabei, sie als Exploit.JS.Pdfka.ckq zu identifizieren.

Gegenwärtig gibt es eine Sicherheitslücke in den wichtigsten Adobe-Programmen, und Kaspersky Lab hat bereits Schadprogramme feststellen können, die dieses Leck mittels Drive-by-Downloads angreifen. Diese Malware kann sowohl für webbasierte Angriffe als auch die Versendung bösartiger Anhänge beispielsweise in E-Mail-Nachrichten benutzt werden. Die Payload dieser neuesten Sicherheitslücke führt in den meisten Fällen dazu, dass die herunter geladenen Schadprogramme z.B. sensible Daten wie Benutzernamen, Passwörter und Bankinformationen entwenden oder den befallenen Computer in einen Node in einem Botnetz verwandeln. Angriffe dieser Art sind auch gegen hochkarätige Unternehmen wie Google und ID Software mit Erfolg durchgeführt worden.

Nach Aussagen von SecurityFocus betrifft die beschriebene Schwachstelle die folgenden Applikationen und Versionen:

  • Adobe Flash Player 10.0.45.2, 9.0.262, und frühere Versionen
  • Adobe Flash Player 10.0.x und 9.0.x Versionen für Windows, Macintosh, Linux und Solaris
  • Adobe Reader und Acrobat 9.3.2 und frühere Versionen
  • Adobe Reader und Acrobat 9.x Versionen für Windows, Macintosh und UNIX

Wie kann ich mich vor diesen Attacken schützen?

Selbst wenn für diese spezifische Sicherheitslücke zum aktuellen Zeitpunkt noch kein Sicherheitspatch zur Verfügung steht, kann mit einer Antiviren-Software der Download weiterer Schadprogramme verhindert werden. Die meisten der gegen diese Sicherheitslücke gerichteten Angriffe arbeiten mit solchen Formen von Schadcode, die auf Grund ihres generischen Verhaltens von einer Antiviren-Software problemlos erkannt werden können. Neben Antiviren-Programmen empfehlen wir weiterhin, den effektivsten Schutzmechanismus einzusetzen, den Nutzer haben: ihren eigenen Instinkt.

Ferner empfiehlt es sich, zum Schutz vor einer Infektion durch ein Schadprogramm, das diese Sicherheitslücke ausnutzt, die folgenden Best Practices anzuwenden:

  • Deaktivierung des Javascript-Modus’ in Adobe Reader (in den Einstellungen möglich)
  • Verwendung eines alternativen PDF-Reader wie den Foxit-Reader mit der neuen schönen Sicherheitsfunktion „Safe Reading Mode“

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.