Neuigkeiten rund um die IT-Sicherheit, Ausgabe vom 23. März 2006

Wie schützen Sie sich vor manipulierten Dateien?

Liebe Leserin, lieber Leser!

Kürzlich öffnete ich eine vermeintlich harmlose Textdatei. Plötzlich startete ein DOS-Programm und ich las in der sich öffnenden DOS-Konsole die Meldung "you are hacked". Zum Glück eine harmlose Scherzmeldung, denn ein befreundeter Kollege hatte mich reingelegt. Er schickte mir aus Spaß eine als .PIF-Datei getarnte DOS-Applikation. Wie Sie sich vor solch manipulierten Dateien schützen, lesen Sie in meinem Tipp der Woche.

Ebenso gefährlich sind die aktuellen Sicherheitslücken in Microsoft Office. Auch hier können Ihnen Angreifer mittels eines manipulierten Dokuments schädlichen Code unterjubeln. Schutz bietet nur das nun veröffentlichte Patch.

Ihr Daniel Hagemeier

Chefredakteur "mIT Sicherheit"

PS: Wenn Sie unseren Fachinformationsdienst "mIT Sicherheit" noch nicht kennen sollten, erfahren Sie hier mehr darüber:

mIT Sicherheit administrieren und vorbeugen

Tipp der Woche: So schützen Sie sich vor gefährlichen PIF-Dateien

PIF steht für Program Information File und speichert Windows-Programmeinstellungen für alte DOS-Anwendungen. Das Problem dieser Dateien: Windows blendet die Dateiendung .PIF grundsätzlich aus. Und das selbst dann, wenn Sie über "Extras" -> "Ordneroptionen" -> "Ansicht" die Option "Dateinamenserweiterung bei bekannten Dateitypen ausblenden" deaktiviert haben.

Die Datei "name.txt.pif" wird im Explorer also nur als "name.txt" angezeigt. Selbst erfahrende Benutzer glauben dann, eine Textdatei zu öffnen. Beim Doppelklick auf eine .PIF-Datei wird diese jedoch wie eine DOS-Anwendung ausgeführt und kann folglich beliebige Befehle ausführen. Benutzer werden so hinters Licht geführt: Sie öffnen eine eigentlich ungefährliche Datei, installieren in Wirklichkeit aber einen Virus.

Zuverlässigen Schutz schafft jeder aktuelle Virenscanner wie AntiVir. Damit Sie aber erst gar nicht über solche Tricks stolpern, nehmen Sie in der Registry die folgende Änderung vor, damit die Dateiendung .PIF stets angezeigt wird:

1. Starten Sie den Registry-Editor über "Start" -> "Ausführen" -> "regedit".
2. Wechseln Sie in den Schlüssel "HKEY_CLASSES_ROOT/piffile/". Benennen Sie den Eintrag "NeverShowExt" in "AlwaysShowExt" um.

PC-Pro-Security-Roadshow: Security-Secrets-Leser erhalten 35 % Rabatt!

Die PC Professionell lädt auch in 2006 wieder zur großen IT-Security-Roadshow ein, die dieses Jahr in 6 Städten stattfindet:

• Berlin (25. April 2006)
• Hamburg (26. April 2006)
• Köln (27. April 2006)
• Frankfurt (2. Mai 2006)
• Zürich (3. Mai 2006)
• München (4. Mai 2006)

Nutzen Sie dieses Seminar inklusive Fachausstellung mit einigen der namhaftesten IT-Security-Anbieter für Ihre tägliche Arbeit.

Die Vorträge bieten Ihnen wertvolle Informationen über die neuesten Trends und Lösungen zu Themen wie:

• Aktuelle Trends und Gefahren
• IT-Risikomanagement im Unternehmen
• IT-Sicherheitskonzepte
• Richtlinienkonformität (Compliance)
• Best Practices
• ROSI – ein Mythos?

Und das Beste:

Sie als Leser der Security-Secrets erhalten auf die Teilnahmegebühr einen Rabatt von 35 %. Statt des regulären Preises von 199 Euro zahlen Sie nur den Sonderpreis von 129 Euro (jeweils zzgl. MwSt) für ein Ganztages-Seminar in einer Stadt Ihrer Wahl.

Im Seminar-Paket enthalten:

• ca. 8 hochkarätige Vorträge zum Thema
• Neues PC-Professionell-Sonderheft
• Ausführliche Tagungsunterlagen
• Getränke/Snacks/Mittagsbüffet und Farewell-Drink
• Besuch der Fachausstellung und Expertenbefragung

Anmeldung zum Sonderpreis:

Ihre Anmeldung zum Sonderpreis schicken Sie bitte per Mail (Stichwort "Security-Roadshow", Angabe der Stadt nicht vergessen!) an:

Zum Sonderpreis anmelden

Weitere Informationen sowie die aktuelle Agenda finden Sie hier ...

Das PC Professionell-Team würde sich freuen, Sie im April oder Mai begrüßen zu dürfen!

Microsoft schließt kritische Office-Lücken

Aufgrund sechs verschiedener Sicherheitslecks sind Angreifer in der Lage, Office-Dokumente mit beliebigem Code zu versehen. Öffnet der Benutzer ein derart manipuliertes Dokument wie z.B. eine Excel-Datei, wird der gefährliche Code ausgeführt. Im schlimmsten Fall mündet dies in einer Infektion des Systems mit Trojanern, Viren oder Keyloggern.

Der eingeschleuste Code wird dabei grundsätzlich unter den Rechten des angemeldeten Benutzers ausgeführt. Zu besonders schwerwiegenden Infektionen kommt es deshalb immer dann, wenn Benutzer unter Administratorrechten angemeldet sind. Der Schadenscode hat dann uneingeschränkten Zugriff auf das System und kann sogar Rootkits installieren.

Wir raten Ihnen deshalb: Arbeiten Sie grundsätzlich unter herkömmlichen Benutzerrechten. Selbst als System-Administrator arbeiten Sie als normaler Benutzer und loggen sich nur dann als Administrator ein, wenn es unbedingt erforderlich ist.

Betroffen von der Sicherheitslücke sind u.a. Office 2000 und Office XP mit Service Pack 3, Office 2003 SP1/SP2 sowie verschiedene Works-Versionen. Benutzern dieser Versionen raten wir dringend zu einem Update.

Microsoft Security Bulletin MS06-012

Update für Norton AntiVirus sperrt AOL-Einwahl

Peinlich, aber wahr: Sicherheitsexperte Symantec hat am 15.03.2006 ein fehlerhaftes Live-Update für seine aktuellen Norton Produkte veröffentlicht, wodurch sich AOL-Benutzer nicht mehr in das Internet einwählen können. Schuld war eine fehlerhafte Signatur für das Intrusion Detection System (IDS), das die Einwahl per AOL-Software kategorisch blockierte.

Zwischenzeitlich reagierte Symantec jedoch und veröffentlichte ein fehlerfreies Live-Update. Doch leider können betroffene Benutzer genau dieses Live-Update nicht beziehen, denn schließlich funktioniert die Internet-Einwahl nicht. Deshalb rät Symantec zur Deaktivierung der Funktion "Internet Worm Protection", damit sich AOL-Benutzer wieder einwählen und das neue Update beziehen können. Als betroffene Benutzer dürfen Sie anschließend nur nicht vergessen, die Schutzfunktion wieder zu aktivieren.

Eine Anleitung und Details zu Norton Internet Security und Norton AntiVirus finden Sie in der offiziellen Knowledge Base von Symantec.

Symantec Knowledge Base

Flash-Player führt Code aus

Mit dem Update auf Version 8.0.24.0 behebt Adobe (Macromedia) eine gefährliche Sicherheitslücke im Flash Player: Öffnet der Benutzer eine entsprechend manipulierte Flash-Animation beim Besuch einer Internetseite, kann der Angreifer beliebigen Code auf dem System des Benutzers ausführen. Anwendern raten wir deshalb dringend, die neue Version des Flash Player Plugins zu installieren.

Macromedia Flash Player Update

mIT Sicherheit: Themenvorschau der April-Ausgabe

Als Abonnent von "mIT Sicherheit" erhalten Sie in wenigen Tagen die neue Ausgabe mit folgenden Themen:

• Spionage-Risiko Word: So erhöhen Sie den Datenschutz für Ihre Word-Dokumente
• Google per Gruppenrichtlinie: Wie Sie Google Desktop Enterprise sicher einsetzen
• Praxis-Test: Remote-Administration Wie Sie Ihren Server sicher per Internet steuern
• Tipp für Ihre Workstation: Sperren Sie Langfinger aus
• Wake-On-LAN in der Praxis: Wie Sie Ihre Clients per Mausklick starten
• Insider-Tipps für Administratoren: Die 4 häufigsten Fehler in der Netzwerk-Sicherheitspraxis

Sie sind noch kein Abonnent von "mIT Sicherheit"? Dann fordern Sie jetzt unverbindlich Ihr Gratis-Exemplar an und Sie können diese Artikel schon in wenigen Tagen lesen!

Gratis-Exemplar "mIT Sicherheit" anfordern

Viren-Szenario für RFID-Transponder aufgezeigt

Forscher der Universität Amsterdam haben erstmals ein Szenario für Viren auf RFID-Transponder entwickelt. RFID steht für Radio Frequent Identification und ist eine Methode, um berührungslos einen RFID-Transponder anhand der darauf gespeicherten Informationen zu identifizieren. Diese Technik wird zunehmend in der Unternehmenslogistik und zukünftig auch in Supermärkten zur automatischen Abrechnung eingesetzt. Umso erschreckender ist das aktuelle Virenszenario für Unternehmen, die auf RFID setzen: Der aufgezeigte Virus setzt sich auf einem Transponder fest und infiziert das Host-System beim Auslesen des Transponders. So beschädigt der Virus bereits beim Auslesen die Datenbank des Hostsystems. Der Virus befällt aber nicht nur das lokale System oder Netzwerk, sondern er pflanzt sich auch beim Beschreiben neuer RFID-Transponder fort.

Das entwickelte Szenario ist bisher noch sehr speziell und beschränkt sich auf die von den Forschern konstruierte Umgebung. Das Beispiel zeigt jedoch, dass auch RFID-Transponder potenziell Trägermedien für Viren sind. Eine konkrete Gefahr für die Praxis existiert bisher zwar noch nicht, doch das wird sich mit steigender Popularität der RFID-Technik ändern. Virenscanner für RFID-Transponder und Lesegeräte existieren jedenfalls noch nicht.

Viren-Szenario für RFID Transponder

Achtung: Viren befallen auch Handys und Smartphones

Schon lange befallen Viren nicht nur Ihren PC, sondern auch mobile Datenendgeräte wie Smartphones oder PDAs. Und das wird in der Regel richtig teuer: Denn ein infiziertes System verschickt seinen Wurm nach der Infektion munter per SMS, E-Mail oder MMS an alle Ihre Kontakte. Das ist für den Absender peinlich und verursacht unnütze Telefongebühren. Wie Sie solche Infektionen vermeiden und was Sie noch bei der Absicherung von mobilen Datenendgeräten zu beachten haben, lesen Sie in unserer aktuellen Sonderausgabe "Mobile Endgeräte".

Als Abonnent erreichen Sie die Artikel der Sonderausgabe über die Web-IDs: MSCI, MSCK, MSCM, MSCO, MSCQ, MSCU, MSCS, MSCV, MSCX, MSCZ und das Passwort in Ihrer aktuellen mIT-Sicherheit-Ausgabe. – Sie sind noch kein Abonnent? Dann fordern Sie jetzt unverbindlich Ihr Gratis-Exemplar an und Sie können die Artikel der Sonderausgabe "Mobile Endgeräte" schon in wenigen Tagen lesen.

Gratis-Exemplar "mIT Sicherheit" anfordern

Neues Hotfix für Veritas Backup Exec

Mehrere Versionen der bekannten Backup-Software Veritas Backup Exec sind von einer ärgerlichen Sicherheitslücke betroffen: Angreifer sind per Netzwerk in der Lage, den Backup-Exec-Dienst zum Absturz zu bringen oder gar die Systemressourcen des Servers zu verbrauchen. Das kann im schlimmsten Fall dazu führen, dass Ihr geplantes Backup aussetzt und der Backup-Exec-Dienst neu gestartet werden muss.

Hersteller Symantec veröffentlichte mit Bekanntgabe der Lücke ebenfalls die notwendigen Hotfixes zum Schutz der Systeme. Die Patches stehen u.a. für den Windows Server Remote Agent v9.1/v10.0 und für die Netware- und Linux-Versionen bereit. Eine genaue Liste aller betroffenen Versionen inklusive dem Link zum jeweiligen Hotfix finden Sie in der offiziellen Meldung von Symantec.

Offizielle Symantec Meldung

Unsicherer Mailserver: MERCUR Messaging 2005 für DoS anfällig

Laut Secunia ist der leistungsfähige SMTP-, POP3- und IMAP4-Mailserver MERCUR Messaging in seiner aktuellen Windows-Version anfällig für Denial-Of-Service-Attacken. Angreifer senden dabei einfach ein manipuliertes IMAP4-Kommando wie SELECT oder LOGIN an den Mailserver. Die speziell präparierten Kommandos bringen den Mailserver zum Absturz und führen möglicherweise beliebigen Code aus.

Besonders gefährlich ist die neue Sicherheitslücke dann, wenn Ihr MERCUR-Server direkt aus dem Internet erreichbar ist. Denn Angreifer suchen bereits nach anfälligen Versionen und knacken so möglicherweise den Mail-Server.

Bestätigt wurde die Sicherheitslücke für die Version 2005 mit dem installiertem Service Pack 3. Andere Versionen sind möglicherweise aber auch betroffen. Ein Patch steht bisher leider noch nicht zur Verfügung, besuchen Sie daher regelmäßig die Internetseite des Herstellers. Ansonsten bleibt Ihnen nur noch die Möglichkeit, den IMAP4-Zugriff aus dem Internet durch eine Firewall einzuschränken.

Sicherheitsmeldung bei Secunia

Link zum Hersteller

Über "Security-Secrets"

Der Newsletter "Security-Secrets" wird gesponsert von "mIT Sicherheit administrieren und vorbeugen", dem herstellerunabhängigen Fachinformationsdienst rund um Netzwerk-, IT- und Internet-Sicherheit. "mIT Sicherheit" bietet Ihnen auf 12 Seiten Monat für Monat das Wichtigste für Ihre Sicherheit im Windows- und im Linux-Netzwerk. Dabei steht die Umsetzung der richtigen Sicherheitsmaßnahmen – die konkrete Lösung Ihrer Probleme – im Vordergrund jedes Berichts und jeder Meldung. In "mIT Sicherheit administrieren und vorbeugen" finden Sie ausgeklügelte Schritt-für-Schritt-Anleitungen, fundierte Insider-Tipps und komprimiertes Praxiswissen für Ihre tägliche Arbeit.

Machen Sie jetzt Ihr Netzwerk zu einem einbruchsicheren System und erhalten Sie zusätzlich die "mIT Sicherheit"-Geschenk-CD-ROM mit Sicherheits-Updates und -Patches, Tools zur Überprüfung der Sicherheit Ihres eigenen Systems:

mIT Sicherheit administrieren und vorbeugen

Fordern Sie sich jetzt eine GRATIS-Ausgabe an und machen Sie den kostenlosen 30-Tage-Test!