SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 05.01.2012
Nummer: NL-T12/0001

Die Themen dieses Newsletters:
1. Fehlerhafter Standard: WPS für WLAN bietet Angriffsfläche
2. Datenbank gehackt: Online-Rollenspieler ausgespäht
3. Sicherheitslücke in Typo3: Open-Source-CMS sollte aktualisiert werden
4. Neue Spam-Welle: Banking-Trojaner nutzt soziale Netzwerke
5. Gefahr durch Pufferüberlauf: Sicherheitslücke im Mediaplayer VLC
6. Windows 7 ist anfällig: Speicherfehler verursacht Blue Screen
7. HP behebt Sicherheitsrisiken: Firmware-Update für Laserjet-Drucker
8. Skimming-Attacken: Weniger Bankautomaten, mehr Fahrkartenautomaten und Tankterminals manipuliert
9. IT-Sicherheit 2012: Experten sind pessimistisch

EDITORIAL
Guten Tag,
"2011 - das Jahr der
Hacker" http://www.computerwoche.de/security/2501524/ - mit dieser
Überschrift fasst die Fachzeitung Computerwoche.de das vergangene Jahr
aus Sicht der IT-Sicherheit zusammen. Nie zuvor seien Hacker so sehr im
Blick der breiten Öffentlichkeit gewesen wie in diesem Jahr. Diese
Entwicklung ist eine Folge der Durchdringung aller Lebens- und
Arbeitsbereiche mit einer immer engmaschiger vernetzten Informations- und
Kommunikationstechnik. IT-Experten rechnen damit, dass das Thema
IT-Sicherheit auch 2012 ein Top-Thema in der öffentlichen Diskussion sein
wird.
Mehr Infos dazu sowie weitere Meldungen rund um die Sicherheit im WWW
finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere
Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Fehlerhafter Standard: WPS für WLAN bietet Angriffsfläche

Das Wi-Fi Protected Setup (WPS) ist ein Standard-Programm, das Anwendern
die Einrichtung verschlüsselter WLANs vereinfachen soll. Nun hat der
österreichische Informatikstudent Stefan Viehböck eine Schwachstelle im
WPS entdeckt, die sogenannte Brute-Force-Angriffe erlaubt, bei denen alle
möglichen Varianten eines Zugangscodes automatisiert ausprobiert werden.
Ein Angreifer, welcher sich in Reichweite eines verwundbaren WLANs
befindet, kann dadurch unberechtigten Zugriff auf das WLAN erlangen. Das
Bürger-CERT https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T11-0083
und das US-CERT http://www.kb.cert.org/vuls/id/723755
haben die Anfälligkeit bestätigt. Betroffen sind alle WLAN-Router und
Access-Points, bei denen WPS mit Authentifizierung über eine vom Router
vorgegebene PIN standardmäßig aktiviert ist bzw. diese Funktion vom
Anwender aktiviert wurde, und bei denen die innerhalb einer Zeitspanne
möglichen Authentifizierungsversuche nicht eingeschränkt ist. Das
Bürger-CERT empfiehlt, WPS auf Routern und Access-Points zu deaktivieren,
wenn diese Funktion nicht benötigt wird und ausschließlich die
Authentifizierungsmethode "Push Button Connect" zu verwenden, bei der die
WPS-Authentifizierung über einen Hardware-Schalter am Gerät ausgelöst
werden muss. Detaillierte Informationen zur Bedrohung und dazu, wie
Anwender ihr drahtloses Netzwerk schützen können, gibt das IT-Magazin
ZDNet in einem ausführlichen
Beitrag http://www.zdnet.de/magazin/41559084/wpa2-geknackt-wie-der-neue-wlan-hack-funktioniert.htm.

2. Datenbank gehackt: Online-Rollenspieler ausgespäht

Das Unternehmen Trion World betreibt unter anderem das kostenpflichtige
Online-Rollenspiel "Rift". Nun meldet Trion WorldName [url]
http://www.trionworlds.com/de/games/account-notification[/url], dass sich
Unbefugte Zugriff auf die Nutzerdatenbank verschafft haben. Die
betroffene Datenbank enthalte u.a. den Benutzernamen, das verschlüsselte
Passwort, das Geburtsdatum, die E-Mail-Adresse, die Rechnungsanschrift
sowie die ersten und letzten vier Ziffern der verwendeten Kreditkarten
und deren Ablaufdatum. Derzeit gebe es jedoch keine Hinweise darauf, dass
Kreditkarteninformationen vollständig gestohlen wurden. Nach eigenen
Angaben prüft Trion World derzeit das Ausmaß des Zugriffs. Kunden werden
beim nächsten Einloggen auf der
Trion-World-Webseite https://rift.trionworlds.com dazu
aufgefordert, ihr Passwort zu ändern. Wer eine mobile Authentifikation
für das Handy nutzt, musst den Authentifikator neu verbinden.
Anschließend wir er aufgefordert, ein neues Passwort sowie neue
Sicherheitsfragen und -antworten einzugeben. Spieler, die den selben
Nutzernamen und das selbe Passwort auch für andere Dienste nutzen, etwa
Online-Banking, sollten zudem auch bei diesen Diensten die Zugangsdaten
ändern. Abrechnungen und Kontobewegungen auf Bankkonten und
Spiele-Accounts sollten auf Auffälligkeiten hin überprüft werden.

3. Sicherheitslücke in Typo3: Open-Source-CMS sollte aktualisiert werden

ie Entwickler der quellenoffenen Content-Management-Software Typo3
warnen auf der englischsprachigen
Entwickler-Plattform https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/
alle Anwender vor einer Sicherheitslücke und raten zu einem Update. Wie
der IT-Newsdienst heise
Security http://www.heise.de/security/meldung/Typo3-Entwickler-warnen-vor-kritischer-Luecke-1397739.html
berichtet, nutzen Angreifer die Lücke bereits, um unberechtigt Server zu
manipulieren. Angreifer können demnach eigene PHP-Skripte hochladen und
ausführen, da der Parameter „BACK_PATH“ von der Datei
AbstractController.php nicht ausreichend überprüft werde. Verwundbar
seien die Typo3-Versionen 4.5.0 bis 4.5.8 sowie 4.6.0 und 4.6.1, wenn die
PHP-Einstellungen "register_globals", "allow_url_include" und
"allow_url_fopen" eingeschaltet sind. Der letztgenannte Parameter ist
standardmäßig aktiv. Um die Lücke zu schließen, sollte wenigstens eine
der drei Optionen deaktiviert sein. Das Entwicklerteam empfiehlt zudem,
ein Update auf die fehlerkorrigierten Versionen 4.5.9 und 4.6.2
vorzunehmen.

4. Neue Spam-Welle: Banking-Trojaner nutzt soziale Netzwerke

ESET, Entwickler von IT-Security-Lösungen, meldet über seinen
Experten-Blog http://www.eset.com/about/blog/blog/article/spam-campaign-uses-blackhole-exploit-kit-to-install-spyeye/
eine "massive Spam-Kampagne" die u.a. Attacken auf das
Online-Banking-Portal der österreichischen Bank BAWAG PSK umfasst. Über
das Wigon oder Cutwail genannte Botnet, werden demnach dazu gefälschte
Benachrichtigungen über Facebook und LinkedIn versendet sowie scheinbar
kostenlose Windows-Lizenzen verschickt. Wie das
Anti-Botnet-Beratungszentrum http://blog.botfrei.de/2011/12/trojaner-angriff-auf-bawag-psk-ebanking-seite/
berichtet, führen die in den Nachrichten eingebetteten Links auf ein
sogenanntes Blackhole Exploit Kit, das über eine Lücke im Programm Java
versucht, Schadprogramme zu installieren. Darunter sei auch der BAWAG
PSK-Trojaner mit dem von ESET vergebenen Namen Win32/Spy.SpyEye. Wird der
Schadcode installiert, ändert er das Aussehen der Online-Banking-Seiten
der BAWAG PSK im Internet: Das Feld mit den Hilfe- und Kontaktadressen
wird entfernt. Loggt sich ein Anwender ein, werden seine Daten im
Hintergrund an einen in Aserbaidschan registrierten Server übertragen und
dort gespeichert. Die BAWAG PSK hat zwischenzeitlich mit einer
öffentlichen
Mitteilung http://www.bawagpsk.com/BAWAG/PK/SK/EB/1082/eBanking_Sicherheitsinformationen_allgemein.html
auf die Spam-Attacke reagiert. Dem SpyEye-Tracker
zufolge https://spyeyetracker.abuse.ch/monitor.php?host=hdkajhslalskjd.ru
ist der Server immer noch online. Die Website BSI FUER
BUERGER https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/schutzprogramme_node.html
empfiehlt zum Schutz vor Trojanern Virenschutzprogramme und Firewalls
stets auf dem neuesten Stand zu halten.

5. Gefahr durch Pufferüberlauf: Sicherheitslücke im Mediaplayer VLC

ie Entwicklergemeinschaft des Open-Source-Mediaplayers VLC
warnt vor einer
Sicherheitslücke http://www.videolan.org/security/sa1108.html.
Angreifer können über einen Pufferüberlauf (Buffer-Overflow) Schadcode
auf Anwenderechner überspielen. Bei einem Pufferüberlauf werden durch
Fehler im Programmcode zu große Datenmengen in einen dafür zu kleinen
reservierten Speicherbereich, den Puffer, geschrieben. Dadurch werden
neben dem Ziel-Speicherbereich liegende Speicherstellen überschrieben.
Daten werden so verfälscht oder beschädigt. Beim VLC-Player könnte so
etwa durch manipulierte Video-Dateien Schadcode auf den Rechner gebracht
werden. Wie das IT-Magazin PC
Welt http://www.pcwelt.de/news/Sicherheit-Sicherheitsluecke-im-VLC-Player-4219836.html
berichtet, ist auch das Browser- Plugin anfällig, weshalb womöglich der
Besuch einer manipulierten Webseite und das Abspielen von Inhalten im
Browser ausreichen, um das System zu gefährden. Die Entwickler empfehlen
Nutzern des Medienplayers das Demux-Plugin (libty_plugin.*) aus dem
Installationsverzeichnis zu entfernen. Die Programmversion 1.1.13 soll
die Sicherheitslücke schließen, sie soll in Kürze auf der
Entwickler-Plattform http://www.videolan.org/vlc/ zum
Download bereitstehen.

6. Windows 7 ist anfällig: Speicherfehler verursacht Blue Screen

Über eine Sicherheitslücke in der 64-Bit-Version des
Microsoft-Betriebssystems Windows 7 können Angreifer Schadcode auf fremde
Rechner einschleusen und ausführen. Das meldet das Unternehmen im
firmeneigenen
Blog http://blogs.technet.com/b/michaelkranawetter/archive/2011/12/23/update-windows-7-64-bi-version-amp-apple-safari-details-zur-schwachstelle.aspx.
Demnach enthält die Systemdatei win32k.sys womöglich einen
Speicherfehler, dessen Missbrauch einen Blue Screen, also einen Absturz
des Systems und die Anzeige einer Fehlermeldung, verursacht. Der
Systemabsturz lässt sich u.a. allein durch das Aufrufen einer
präparierten Website erreichen. Nachgewiesen ist die Anfälligkeit sowohl
für Apples Browser Safari als auch für Internet-Explorer-Versionen, die
älter sind als die aktuelle Version 9. Ob die Sicherheitslücke auch zum
Einschleusen von Schadcode ausgenutzt werden kann, gilt laut Microsoft
als unwahrscheinlich. Das Unternehmen empfiehlt Anwendern des Internet
Explorers ein Update auf die Version 9 durchzuführen. Derzeit gebe es
keine Erkenntnisse, dass die 32-Bit-Versionen der Windows-Betriebssysteme
auch betroffen seien. Ob und wann Microsoft ein Update zum Schließen der
Sicherheitslücke bereitstellt, ist noch offen.

SCHUTZMASSNAHMEN
7. HP behebt Sicherheitsrisiken: Firmware-Update für Laserjet-Drucker

In der Newsletter-Ausgabe vom 7. Dezember
2011 https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T11-0025
berichteten wir über Sicherheitslücken in der Software von Druckern des
Herstellers Hewlett-Packard (HP). Sicherheitsforschern war es gelungen,
über die Aktualisierungsfunktion des Druckerbetriebssystems Schadcode auf
Drucker der Laserjet-Reihe und angeschlossene Geräte zu überspielen. Nun
hat HP Firmware-Updates für Laserjet-Drucker veröffentlicht, welche das
Problem beheben sollen. Anwender können das Update von
einer HP-Webseite
herunterladen [url]http://www8.hp.com/de/de/support-drivers.html[/utl]. Laut HP
hat sich bis dato kein Anwender gemeldet, dessen System über die genannte
Lücke angegriffen wurde. Das Unternehmen empfiehlt Anwendern, ihre
Drucker stets durch eine Firewall zu sichern und die automatische
Update-Funktion zu deaktivieren.

PRISMA
8. Skimming-Attacken: Weniger Bankautomaten, mehr Fahrkartenautomaten und
Tankterminals manipuliert

2011 gelang es Betrügern seltener mit Hilfe manipulierter Geldautomaten
an EC- und Kreditkartendaten zu kommen. Wie Welt
Online http://www.welt.de/print/die_welt/finanzen/article13781697/Betrueger-verlieren-Spass-am-Geldautomaten.html
unter Berufung auf Euro Kartensysteme, dem gemeinsamen
Karten-Management-Unternehmen der deutschen Kreditwirtschaft, berichtet,
gab es bis kurz vor Jahresende 2011 rund 45 Prozent weniger
Datendiebstähle als im Vorjahr. 2010 wurden noch 3200 manipulierte
Automaten und 190.000 betroffene Kunden registriert. Als Hauptgrund für
den Rückgang nennt Euro Kartensysteme den mittlerweile weit verbreiteten
goldfarbenen sogenannten EMV-Chip auf der Vorderseite jeder Karte. Die
Kriminellen hätten bisher keinen Weg gefunden, die dort hinterlegten
Informationen auszulesen und für sich zu nutzen. In Deutschland und in
den meisten Ländern Europas müssen Karten und Terminals im Handel mit der
Chiptechnologie ausgestattet sein. Karten mit Magnetstreifen gelten
jedoch weiterhin als kritisch: Werden von ihnen Daten kopiert, können die
Betrüger Dubletten anfertigen und im außereuropäischen Ausland Geld
abheben und Waren einkaufen. Dem Bericht zufolge verlegen sich Kriminelle
nun verstärkt auf die Manipulation von Fahrkartenautomaten und Terminals
an Selbstbedienungstankstellen. In Bau-, Super- und Lebensmittelmärkten
sei es 2011 zu 25 Manipulationsversuchen von Terminals gekommen. In 17
Fällen wurden die Manipulationen aber frühzeitig entdeckt.

9. IT-Sicherheit 2012: Experten sind pessimistisch

Mit welchen Risiken und Bedrohungen müssen Nutzer von IT-Anwendungen im
Jahr 2012 rechnen? Der deutsche Hersteller von IT-Sicherheitssoftware G
Data rechnet etwa
damit [url]https://www.gdata.de/virenforschung/news/securitynews/article/2456-g-data-e-crime-ausblick-2012.html{/url],
dass zielgerichtete Angriffe auf Unternehmen ebenso zunehmen werden wie
Angriffe auf Nutzer von Smartphones und Tablets. Braucht ein Angreifer
beim Thema mobile Malware bisher meist die Mithilfe des Anwenders, um ein
System zu manipulieren, rechnen die Experten für 2012 mit einer Zunahme
automatisierter Angriffe.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de