SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 19.07.2012
Nummer: NL-T12/0014

Die Themen dieses Newsletters:
1. Gefahren am Rand: Risiken durch manipulierte Windows-Minianwendungen in der Sidebar
2. Schadhafte Smartphone-Spiele: Gut getarnte Malware im Google-Play-Store
3. Falsche blaue Briefe: Erneut Schadsoftware mit BSI-Logo im Umlauf
4. Spam-Welle: Tausende GMX-E-Mail-Konten gehackt
5. Angreifbarer Kindle Touch: Sicherheitslücke in Amazons E-Book-Lesegerät
6. Musik mit Tücken: VLC schließt Sicherheitslücke im Media-Player
7. Stopfen der Sicherheitslöcher: Microsoft-Patch-Day im Juli
8. Unsichere Google-Browser: Drei Sicherheitslecks in Chrome gestopft
9. Neue Sicherheitsfeature: Neue Versionen von Firefox und Thunderbird
10. Trojaner „DNS-Changer“: Rund 15.000 Deutsche ohne Internetzugang
11. Millionenbeute: Schlag gegen deutsch-rumänische Phishing-Bande

EDITORIAL
Guten Tag,
dass sich Cyber-Kriminelle häufig als Freunde, Unternehmen oder Behörden
ausgeben, um den Anwender auf eine manipulierte Website zu locken oder
ihm im E-Mail-Anhang einen Trojaner auf das System zu spielen, ist seit
vielen Jahren Praxis – und den meisten Anwendern bekannt. Doch die
sogenannte Social-Engineering-Methode kommt nicht außer Mode. Im
Gegenteil: Aktuell versuchen Angreifer über Schadsoftware die PC's zu
sperren und über eine Einblendung auf dem Rechnerbildschirm mit
gefälschtem BSI-Logo an Geld zu kommen. Seien Sie wie immer vorsichtig.
Das BSI wird Sie niemals auffordern, Geld zu zahlen.
Mehr Infos dazu sowie weitere Meldungen rund um die Sicherheit im WWW
finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere
Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Gefahren am Rand: Risiken durch manipulierte Windows-Minianwendungen
in der Sidebar

Die in den Betriebssystemen Windows Vista und Windows 7 verfügbaren
Mini-Anwendungen in der Sidebar des Desktops (Gadgets oder auch Widgets
genannt) können gefährliche Programme enthalten und so ein Risiko für das
komplette System darstellen. Das meldet das
Microsoft-Sicherheits-Informationscenter [http://technet.microsoft.com/de-de/security/advisory/2719662].
Werden schadhafte Programme installiert, könne beliebiger Programmcode
ausgeführt werden. Das könnte Angreifer mitunter in die Lage versetzen,
Programme zu installieren und zu entfernen, Dateien zu kopieren und zu
löschen sowie – je nach Rechtevergabe – ganze Benutzerkonten mit
Administrator-Rechten zu erstellen. Um das Problem zu beheben, rät
Microsoft, die Sidebar komplett zu deaktivieren. Dazu
bietet das Unternehmen eine sogenannte Fix-it-Lösung
an [http://support.microsoft.com/kb/2719662], mithilfe derer die
Abschaltung durchgeführt werden kann.

2. Schadhafte Smartphone-Spiele: Gut getarnte Malware im
Google-Play-Store

Der IT-Sicherheitsdienstleister Symantec hat Schadsoftware im
Google-App-Marktplatz „Play“ gefunden. Der Dialer tarnte sich als „Super
Mario Bros“ und „GTA 3 – Moscow City“ und veranlasste das befallene
Android-System dazu, eine bestimmte teure Premium-Nummer zu wählen –
allerdings nur in einigen Ländern. Darüber berichtet das
Fachmagazin
ZDNet. [http://www.zdnet.de/41563441/android-malware-bleibt-wochenlang-unentdeckt-in-google-play/]
Laut Symantec ist der Dialer zwischen 50.000 und 100.000 Mal
heruntergeladen worden. Die Schadsoftware sei nicht durch Googles
automatisches Kontrollsystem erkannt worden, weil sie während der
Installation bestimmte Komponenten nachlädt, die die Erkennung durch
Googles Kontrolle verhindern.

3. Falsche blaue Briefe: Erneut Schadsoftware mit BSI-Logo im Umlauf

Erneut ist eine Schadsoftware im Umlauf, die auf einem befallenen
Computer eine angebliche Warnung der Gesellschaft zur Verfolgung von
Urheberrechtsverletzungen (GVU) sowie des Bundesamtes für Sicherheit in
der Informationstechnik (BSI) anzeigt. Der eigene Computer sei „aus einem
oder mehreren Gründen gesperrt“, etwa wegen „des Anschauens verbotener
pornografischer Inhalte „oder dem Verstoß gegen „das nicht existierende“
Gesetz „Fahrlässige Verwendung eines Computers“. Der Anwender wird
aufgefordert, binnen 72 Stunden eine „Strafzahlung an den Staat“ zu
leisten. Das BSI stellt klar, dass es sich dabei um eine Falschmeldung
handelt und die Absender keineswegs die GVU beziehungsweise das BSI sind.
Der betroffene Anwender solle keinesfalls bezahlen sondern Maßnahmen
einleiten, die die Schadsoftware beseitigen. Nähere Informationen dazu
liefern das BSI auf der Website BSI FÜR
BÜRGER [https://www.bsi-fuer-buerger.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Erpressungsvariante-mit-BSI-Logo_20120629.html]
und das Anti-Botnet-Beratungszentrum in seinem
Blog [http://blog.botfrei.de/2012/07/gvu-trojaner-mit-webcam/].

4. Spam-Welle: Tausende GMX-E-Mail-Konten gehackt

Angreifer haben tausende E-Mail-Konten des Anbieters GMX gehackt und
darüber Spam-Mails verschickt. Wie der Online-Dienst Heise Security
berichtet, waren 300.000 E-Mail-Konten
befallen [http://www.heise.de/security/meldung/Ueber-300-000-GMX-Accounts-kompromittiert-1637510.html]
– GMX korrigierte diese Zahl später auf 3.000. Hatten sich die Angreifer
erfolgreich Zugriff auf ein E-Mail-Konto verschafft, verschickten sie
Spam-Mails, die unter anderem Werbung für Diätpräparate enthielt. Zurzeit
vermutet GMX, dass die Angreifer die Passwörter und Benutzernamen aus
einer fremden Quelle, also nicht von GMX direkt bezogen haben. Weil viele
Anwender für verschiedene Dienste dieselben Passwörter verwenden, konnten
sich die Angreifer auch in GMX-E-Mail-Konten einloggen. GMX hat
gegenüber dem Online-Magazin PC-Welt
geäußert [http://www.pcwelt.de/news/Passwort-ueberpruefen-Hacker-greifen-GMX-Konten-an-6066910.html],
dass alle Kunden mit attackiertem E-Mail-Konto die Aufforderung erhalten
haben, ihr Passwort zu ändern. PC-Welt rät Anwendern, das Passwort auch
bei anderen Online-Diensten zu ändern und jeweils andere Passwörter zu
verwenden. Allgemeine Tipps zu sicheren Passwörtern bietet
auch die Website BSI FÜR
BÜRGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html].

5. Angreifbarer Kindle Touch: Sicherheitslücke in Amazons
E-Book-Lesegerät

Durch Ausnutzung einer Sicherheitslücke könnten Angreifer auf dem
E-Book-Reader Kindle Touch beliebige Befehle ausführen,
meldet heise
Security [http://www.heise.de/security/meldung/Sicherheitsluecke-und-Jailbreak-bei-Amazon-Kindle-Touch-1636888.html].
Das derzeitige Flaggschiff der Lesegeräte der Firma Amazon ist demnach
über präparierte Webseiten angreifbar, die mit dem auf dem Gerät
vorinstallierten Browser aufgerufen werden. So könnte es Hackern möglich
sein, Amazon-Zugangsdaten unbemerkt zu kopieren. Das Problem sei seit
drei Monaten bekannt. Betroffen sei anscheinend nur der Kindle Touch mit
der Firmware-Version 5.1.0. Offenbar werden neue Geräte teilweise mit
einer korrigierten Firmware-Version (5.1.1) ausgeliefert. Anwender können
über das Menü „Einstellungen > Geräteinfo“ ermitteln, welche Version auf
ihrem Gerät installiert ist. Ein Update stellte Amazon bis zum
Redaktionsschluss dieses Newsletters nicht zur Verfügung, auch
Handlungsempfehlungen finden sich nicht. Sollte ein Update veröffentlicht
werden, wird dies voraussichtlich im
Kindle-Produktforum [http://www.amazon.de/tag/kindle/forum/]
angekündigt und über die
Kindle-Hilfe [http://www.amazon.de/gp/help/customer/display.html/?ie=UTF8&nodeId=200594630]
zum Download angeboten werden.

SCHUTZMASSNAHMEN
6. Musik mit Tücken: VLC schließt Sicherheitslücke im Media-Player

Die Entwickler des Media-Players VLC haben eine neue Version des
Programms veröffentlicht, in der eine Sicherheitslücke geschlossen wurde.
Das BÜRGER-CERT empfiehlt, die neue Version umgehend zu
installieren. [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0055]
Über die Sicherheitslücke im Programm können die Angreifer beliebigen
Programmcode mit den Rechten des angemeldeten Nutzers ausführen. Damit
das möglich ist, muss der Anwender eine manipulierte OGG-Vorbis-Datei mit
dem VLC-Player abspielen. Da VLC auch über ein Browser-Plugin verfügt,
kann möglicherweise schon der Besuch einer Webseite ausreichen, um
Schadcode auf den betroffenen Systemen auszuführen.

7. Stopfen der Sicherheitslöcher: Microsoft-Patch-Day im Juli

Microsoft schließt im Rahmen des Patch-Day (jeweils der zweite Dienstag
im Monat) im Juli 16 Sicherheitslücken. Vier davon werden als „kritisch“
eingestuft. Betroffen sind die Betriebssysteme Windows XP, Windows Vista
und Windows 7 sowie die Programme Internet Explorer 6 bis 8, Office,
SharePoint und InfoPath. Die Sicherheitslücken, die mit den Patches
geschlossen werden, können von Angreifern sowohl ausgenutzt werden, um
beliebigen Schadcode mit den Rechten des angemeldeten Benutzers oder
sogar mit administrativen Rechten auszuführen, als auch um Dateien
offenzulegen oder zu manipulieren. Hierzu muss der Anwender in einigen
Fällen eine speziell manipulierte Datei, E-Mail oder Webseite öffnen.
Das BÜRGER-CERT empfiehlt die umgehende Installation der
Updates und führt auf seiner Website auf, welche Systeme betroffen
sind. [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0056]

8. Unsichere Google-Browser: Drei Sicherheitslecks in Chrome gestopft

Das BÜRGER-CERT warnt vor veralteten Versionen des Browsers
Google
Chrome. [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0054]
In der Chrome-Version 20 sind drei Sicherheits-Schwachstellen entdeckt
worden, durch die Hacker Schadcode einschleusen könnten. Google hat daher
ein Update auf Version
20.0.1132.57 [http://googlechromereleases.blogspot.de/2012/07/stable-channel-update.html]
veröffentlicht, das diese Schwachstellen schließt. Es enthält außerdem
ein Update des Flash-Players. Die neue Version installiert sich in der
Regel automatisch, kann aber auch manuell heruntergeladen
werden [http://www.google.de/chrome/].

9. Neue Sicherheitsfeature: Neue Versionen von Firefox und Thunderbird

Die Entwickler des Browsers Firefox und des E-Mail-Programms Thunderbird
haben für beide Programme eine neue Version veröffentlicht.
Firefox 14.0.1 [http://www.mozilla.org/de/thunderbird/]
und Thunderbird
14 [http://www.mozilla.org/de/thunderbird/] stehen nun zum Download
bereit. In beiden Programm werden Sicherheitslücken sowie weitere kleine
Fehler behoben, meldet der IT-Nachrichtendienst heise
online [http://www.heise.de/newsticker/meldung/Firefox-und-Thunderbird-14-sind-da-1644037.html].
Firefox bietet zudem komplett neue Sicherheitsfunktionen: Die integrierte
Google-Suche schickt Anfragen jetzt mit einer SSL-Verschlüsselung ab.
Auch können Anwender jetzt einstellen, dass Plugins wie Flash (zum
Beispiel auf Videoportalen) erst nach aktiver Bestätigung ausgeführt
werden, was die Sicherheit ebenfalls erhöht. Dazu muss in die Adresszeile
„about:config“ eingegeben und die Funktion „plugins.click_to_play“ per
Doppelklick aktiviert werden (der Wert „false“ wird dann geändert in
„true“).

PRISMA
10. Trojaner „DNS-Changer“: Rund 15.000 Deutsche ohne Internetzugang

Schätzungsweise 15.000 deutsche Internetzugänge funktionierten ab dem 9.
Juli nicht mehr. Die Rechner waren mit der Schadsoftware "DNS-Changer"
befallen., der die Netzwerkkonfiguration von Rechnern und Routern
veränderte. So gelang es Kriminellen, Anfragen auf gefälschte Seiten
umzulenken. Nachdem das FBI das Netz der Drahtzieher lahmgelegt hatte,
betrieb es deren Server bis zum 9. Juli weiter, um infizierten Systemen
nicht den Zugang zum Internet zu nehmen. Nach Warnmeldungen u.a. bei der
Benutzung von Google-Diensten, säuberten viele Anwender ihre Rechner.
Dennoch, so meldet heise
Security [http://www.heise.de/security/meldung/FBI-legt-vermutlich-15-000-deutsche-Internetanschluesse-lahm-1634760.html],
gab es kurz vor der jetzt erfolgten Abschaltung der Server noch Zugriffe
von rund 15.000 Systemen aus Deutschland. Allerdings blieb ein Ansturm
auf Hotlines von Internetanbietern offenbar aus, meldet
Welt
Online [http://www.welt.de/wirtschaft/webwelt/article108212360/Chaos-durch-DNS-Changer-Abschaltung-bleibt-aus.html].
Auf der Website BSI FÜR BÜRGER wird nach wie vor
Betroffenen
empfohlen [https://www.bsi-fuer-buerger.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/DNS-Changer_140612012.html],
die Adressen http://87.106.161.150 für den DNS-Changer Test oder bei
Infektion http://80.190.154.30/dnschanger für den Download des
DNS-Changer Repair Tools aufzurufen.

11. Millionenbeute: Schlag gegen deutsch-rumänische Phishing-Bande

Strafverfolgungsbehörden in Deutschland und Rumänien sind in einer
gemeinsamen Aktion gegen eine Bande mutmaßlicher Phishing-Betrüger
vorgegangen. Sie durchsuchten laut Landeskriminalamt
Baden-Württemberg [http://presse.polizei-bwl.de/_layouts/Pressemitteilungen/DisplayPressRelease.aspx?List=7fba1b0b-2ee1-4630-8ac3-37b4deea650e&Id=35233]
rund 30 Wohnungen in beiden Ländern. 27 Verdächtige wurden ermittelt. Sie
sollen mittels eines Trojaners Online-Banking-Zugangsdaten ausgespäht und
von den ausspionierten Bankkonten Zahlungen auf eigene Konten in Italien
veranlasst haben. Mit den dazugehörigen Karten sollen sie das Geld in
Großbritannien, Deutschland und Rumänien abgehoben haben – mindestens
eine Million Euro. Der Programmierer des Trojaners sei ein 31-jähriger
Mann aus dem Landkreis Reutlingen, so die Ermittler. Lesen Sie auf der
Website BSI FÜR
BÜRGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/schutzmassnamen_node.html],
wie Sie sich vor Phishing-Angriffen schützen können.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de