News

„Magic byte“-Schwachstelle

Unsere Gedanken zur „Magic byte“-Schwachstelle

In der letzten Zeit richten die Medien ihre Aufmerksamkeit auf die ‚Magic byte‘-Schwachstelle, die von Andrey Bayora aufgedeckt wurde.

In der Veröffentlichung über diese Sicherheitslücke wird festgestellt, dass die Mehrheit der Virenscanner unfähig ist, Malware zu erkennen, wenn der maliziösen Datei ein gefälschter Datei-Header voransteht.

Kurzum Malware, wie, zum Beispiel, .bat und .html, wird nicht erkannt, wenn der Datei, beispielsweise, ein MZ-Header voransteht. Die meisten Viren-Scanner scheinen anzunehmen, dass eine solche Datei eine gewöhnliche Ausführungs-Datei ist und erkennnen sie nicht länger als Malware.

Um dies zu umgehen, muss man einen redundanten Datei-Check durchführen: d.h. die gesamte Datei muss auf Datei-Header und Schadcode gescannt werden.

Insgesamt ist dies Grund für eine interessante Diskussion darüber, ob hier tatsächlich eine Sicherheitslücke vorliegt?

Da die gesamte Dateistruktur verändert wurde, ist es nicht mehr exakt dieselbe Datei. Das bedeutet, dass die maliziöse Datei eine technische Modifikation des alten Schadprogramms ist. Dies wiederum führt zu dem Schluss, dass wir es vom technischen Standpunkt aus nicht mit einer tatsächlichen Schwachstelle zu tun haben.

Natürlich können wir über diesen Standpunkt debattieren. Die Frage lautet: ist die Schwachstelle eine tatsächliche Bedrohung?

Ich denke, nein. Natürlich bleibt zu beobachten, wie diese Schwachstelle ausgenutzt wird. Wir sehen jeden Tag neugepackte Malware, und im Grossen und Granzen haben wir hier einen gleichartigen Fall.

Da die überwiegende Mehrheit der Schadprogramme heutzutage in binärer Form auftritt, wäre es viel kritischer, wenn wir keine Entschlüsselungs-Möglichkeiten für die meist verbreiteten Packer hätten.

Wahrend ich schreibe, arbeiten wir an einem Patch für die Sicherheitslücke. Man könnte aber auch sagen, dass wir nur einen Feature ergänzen.

„Magic byte“-Schwachstelle

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach