DB0FHN

DB8AS  > VIRUS    19.01.12 20:07l 281 Lines 16007 Bytes #999 (0) @ DL
BID : J12DB0EAM000
Read: GUEST DK3UZ
Subj: BSI Newsletter 120118
Path: DB0FHN<DB0MRW<DB0ERF<DB0EAM
Sent: 120119/1754z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:J12DB0EAM000
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 18.01.2012
Nummer: NL-T12/0002

Die Themen dieses Newsletters:
1. Wurm im Sozialen Netzwerk: Ramnit stiehlt 45.000 Facebook-Accounts
2. Facebook-Chronik: Scammer nutzen Unmut über neues Profil-Design
3. Flashback vs. XProtect: Trojaner hebelt Mac-Schutzprogramm aus
4. Internetzugang sichern: Den DNS-Changer aufspüren und entfernen
5. Update für WordPress: Version 3.3.1 der Blog-CMS-Software behebt Sicherheitslücken
6. Microsoft Patchday: Wichtige Updates für alle Windows-Versionen
7. Kritische Sicherheitslücken: Sicherheitsupdate für Google Chrome
8. Reader und Acrobat aktualisiert: Adobe beseitigt Schwachstellen in Programmen
9. Weniger Informationen: Microsoft nimmt Website mit Update-Infos vom Netz
10. Amazon-Tochterunternehmen Zappos gehackt: 24 Millionen Datensätze gestohlen

EDITORIAL
    Guten Tag,
    bei einem Hackerangriff auf das offizielle Internet-Forum
    des Fußball-Bundesligisten FSV Mainz
    05 [http://www.mainz05.de/news_details.html?&tx_ttnews[tt_news]=9286&tx_ttnews[backPid]=211&cHash=a47932ef99]
    erbeuteten Unbekannte E-Mail-Adressen sowie Kennwörter und
    veröffentlichten diese kurzzeitig im Netz. Dieser und andere aktuelle
    Angriffe auf Zugangsdaten zeigen, wie interessant diese Daten für
    Cyberkriminelle sind und wie wichtig daher ein sicheres
    Passwort-Management für jeden Internet-Nutzer ist. Mehr Infos zur
    Passwortsicherheit sowie weitere Meldungen rund um die Sicherheit im WWW
    finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere
    Stunden im globalen Netz wünscht Ihnen
    Ihr BUERGER-CERT-Team

STÖRENFRIEDE
    1. Wurm im Sozialen Netzwerk: Ramnit stiehlt 45.000 Facebook-Accounts

    Das Schadprogramm Ramnit treibt seit April 2010 sein Unwesen im Internet.
    Als sogenannte Multi-Komponenten Malware kann Ramnit ausführbare
    Windows-Dateien, Office-Dateien sowie HTML-Dokumente infizieren und
    Informationen wie Zugangspasswörter ausspähen. Zudem kann die
    Schadsoftware Hintertüren in IT-Systemen öffnen, um Befehle von einem
    entfernten Angreifer zu empfangen (Backdoor-Angriff). Nachdem Ramnit
    bereits Bankensysteme attackiert hat, greift eine neue Variante des
    Schadprogramms nun Facebook an, dies berichten u.a.
    botfrei.de [http://blog.botfrei.de/2012/01/facebook-logindaten-ausgespaht-ramnit/]
    und golem.de [http://www.golem.de/1201/88857.html] unter
    Berufung auf eine Meldung von
    Seculert [http://blog.seculert.com/2012/01/ramnit-goes-social.html],
    Hersteller von IT-Schutzprogrammen. Der Ramnit-Wurm habe Anmeldedaten zu
    über 45.000 Facebook-Konten gesammelt. Die Mehrzahl der erbeuteten Daten
    stamme aus Großbritannien und Frankreich. Die Zugangsdaten könnten laut
    Seculert dazu genutzt werden, über ein erbeutetes Konto infizierte Links
    an Freunde des Facebook-Kontakts zu senden. Gegenüber golem.de hat
    Facebook bestätigt, dass durch Ramnit Facebook-Accounts in fremde Hände
    gelangt sind. Die betroffenen Nutzer wurden von Facebook kontaktiert, was
    den Missbrauch des Facebook-Kontos verhindern soll. Facebook rät
    Anwendern, generell keine Links zweifelhaften Inhalts oder Ursprungs zu
    öffnen, sondern dies an Facebook zu melden.

    2. Facebook-Chronik: Scammer nutzen Unmut über neues Profil-Design

    Seit Mitte Dezember 2011 können Facebook-Nutzer auf ihrer Profilseite die
    sogenannte Chronik einblenden. Wie ZDNet.de
    berichtet [http://www.zdnet.de/news/41558805/facebook-fuehrt-timeline-in-deutschland-ein.htm],
    verändert die Chronik das Layout des Profils und bietet direkten Zugriff
    auf Statusnachrichten, Fotos und Pinnwandeinträge eines Anwenders. Ist
    die Funktion einmal aktiviert, lässt sich dies nicht mehr rückgängig
    machen. Diese Tatsache nutzen Cyberkriminelle nun aus,
    meldet das IT-Magazin
    PC-Welt [http://www.pcwelt.de/news/Sicherheit-Vorsicht-vor-Chronik-Scams-auf-Facebook-4352382.html].
    Auf der Plattform kursieren zahlreiche Scam-Profile, die Anwendern Hilfe
    anbieten, das alte Design wieder herzustellen. Dies sei allerdings gar
    nicht möglich, schreibt PC-Welt. Beim Besuch dieser Profile würden
    oftmals Links zu mit Schadcode infizierten Webseiten oder Videos
    eingeblendet. Wer zudem den äGefällt mir“-Button anklicke, laufe Gefahr,
    seinen Rechner für das Einschleusen von Schadcode zu öffnen.
    Die EU-Initiative für mehr Sicherheit im Netz, klicksafe.de, hat eine
    Broschüre zum sicheren Umgang mit der Facebook-Chronik veröffentlicht,
    die als PDF-Download
    verfügbar [http://www.klicksafe.de/service/aktuelles/news/detail/aktuelle-klicksafe-info-zur-facebook-chronik/]
    ist. Der Leitfaden soll Nutzern helfen, ihre Privatsphäre zu schützen und
    gibt Hinweise zu den wichtigsten Sicherheits- und
    Privatsphäreeinstellungen.

    3. Flashback vs. XProtect: Trojaner hebelt Mac-Schutzprogramm aus

    Anwender von Mac-Betriebssystemen müssen sich vor einer neuen Variante
    des bekannten Flashback-Trojaners in Acht nehmen, das
    meldet das IT-Magazin
    ZDNet [http://www.zdnet.de/news/41559408/neue-variante-vom-mac-os-x-trojaner-flashback-entdeckt.htm]
    unter Berufung auf eine Meldung von
    Intego [http://blog.intego.com/friday-the-13th-malware-new-flashback-trojan-horse-variant-follows-apples-xprotect-update/],
    einem Anbieter von Sicherheitssoftware speziell für Mac-Systeme. Der
    Trojaner mit der Versionsbezeichnung äOSX/Flashback.J“ gibt sich als
    Installationspaket für den Flash Player aus. Wird die Datei mit dem Namen
    äFlashPlayer-11-7-macos.pkg“ vom Anwender aktiv ausgeführt, wird
    Schadcode auf dem Rechner installiert. Die in Mac OS X integrierte
    Schutzfunktion XProtect erkennt laut ZDNet Flashback.J noch nicht, da der
    Trojaner nach dem jüngsten Apple-Update in Umlauf gebracht wurde. Das
    Ziel von Flashback bestehe darin, die Update-Funktion für
    Virendefinitionen auszuschalten, sodass ab diesem Zeitpunkt keine Updates
    mehr erfolgen. Flashback kann dann Nutzerdaten an einen fremden Server
    schicken sowie weiteren Schadcode nachladen. Ein Update für XProtect, um
    Flashback.J bereits vor einer Infektion zu entdecken, gibt es noch nicht.

SCHUTZMASSNAHMEN
    4. Internetzugang sichern: Den DNS-Changer aufspüren und entfernen

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
    empfiehlt allen
    Internetnutzern [https://www.buerger-cert.de/archive?type=widspecialedition&nr=SE-T12-0001],
    ihre Rechner auf Befall mit der Schadsoftware äDNS-Changer“ zu
    überprüfen. Die Prüfung ist mit Hilfe der eigens eingerichteten Webseite
    www.dns-ok.de [http://www.dns-ok.de] möglich. In der
    Vergangenheit haben mutmaßliche Internetkriminelle die
    Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer
    DNS-Server mittels des DNS-Changers manipuliert.

    Das DNS (Domain Name System) sorgt für die Umsetzung von Website-Namen
    (URLs) in Zahlen-Code (IP-Adressen). Im Falle einer Infektion mit der
    Schadsoftware leitete der Webbrowser die Benutzer beim Aufruf von
    Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, die
    Anwender wurden so zahlreichen kriminellen Aktivitäten ausgesetzt, heißt
    es in einer Mitteilung des BSI. Anwender, die die Internetadresse
    www.dns-ok.de [http://www.dns-ok.de] aufrufen, erhalten
    eine Warnmeldung mit roter Statusanzeige, wenn ihr Computersystem von dem
    Schadprogramm manipuliert wurde. Zudem gibt es Hinweise, wie die
    korrekten Systemeinstellungen wiederhergestellt und die Schadsoftware vom
    System entfernt werden kann. Über die Website
    botfrei.de [https://www.botfrei.de/decleaner.html] kann
    dazu das Programm äDE-Cleaner“ kostenlos heruntergeladen werden. Die
    Server werden zum 8. März 2012 abgeschaltet. Wird ein befallenes System
    bis dahin nicht repariert, ist ein Internetzugang nur noch erschwert
    möglich.

    5. Update für WordPress: Version 3.3.1 der Blog-CMS-Software behebt
    Sicherheitslücken

    WordPress, die kostenlose CMS-Software für die Erstellung von Blogs, ist
    in einer neuen Version verfügbar. Dies teilt die
    Entwicklergemeinschaft
    mit [http://wordpress.org/news/2012/01/wordpress-3-3-1/]. Die Version
    3.3.1 behebt 15 Funktionsfehler und schließt eine Sicherheitslücke, die
    Angreifern Cross-Site-Scripting (auch XSS genannt) ermöglicht. XSS
    bezeichnet das Ausnutzen einer Computersicherheitslücke in
    Webanwendungen. Dabei werden Informationen aus einem Kontext, in dem sie
    nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt, in dem
    Anwender sie als vertrauenswürdig einstufen. Aus diesem
    vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden. Die
    aktuelle Version in deutscher Sprache kann von der
    deutschen WordPress-WebsiteName [http://wpde.org/]
    heruntergeladen werden.

    6. Microsoft Patchday: Wichtige Updates für alle Windows-Versionen

    Mit dem ersten Patchday im Jahr 2012 liefert Microsoft sieben
    Sicherheitsupdates aus, um acht Schwachstellen in Produkten zu schließen.
    Betroffen sind Windows XP, Windows Vista, Windows 7 sowie einige
    Hilfsprogramme, Bibliotheken und Sicherheitsmodule. Dies berichtet u.a.
    das
    Bürger-CERT [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0002]
    unter Berufung auf das Sicherheits-Bulletin von
    Microsoft [http://technet.microsoft.com/de-de/security/bulletin/ms12-jan].
    Das Unternehmen stuft die Gefahr durch sechs Sicherheitslücken in Windows
    als ähoch“ und eine weitere als äkritisch“ ein. Die Schwachstellen
    ergeben sich etwa beim Abspielen von manipulierten MIDI-Dateien im
    Windows Media-Player, beim Besuch von präparierten Webseiten und beim
    Öffnen von manipulierten Dateien von entfernten Verzeichnissen.
    Zeitgleich mit den Sicherheitsupdates hat Microsoft die Version 4.4 des
    Windows-Tools zum Entfernen von Schadsoftware veröffentlicht,
    meldet das IT-Magazin PC
    Welt [http://www.pcwelt.de/news/Patch-Day-Teil-1-Microsofts-Anti-Malware-Tool-in-neuer-Version-4384861.html].
    Das Bürger-CERT empfiehlt die Aktualisierungen herunterzuladen und zu
    installieren. Dies geschieht für Windows-Systeme am einfachsten über die
    Aktivierung von automatischen Updates im Microsoft Sicherheitscenter oder
    über einen Besuch der äWindows
    Update“-Webseite [http://www.windowsupdate.com/].

    7. Kritische Sicherheitslücken: Sicherheitsupdate für Google Chrome

    Google hat drei Sicherheitslücken im Browser Chrome für Windows, Mac OS X
    und Linux sowie Chrome Frame geschlossen. Darüber berichtet unter anderem
    das Newsportal
    zdnet.de [http://www.zdnet.de/news/41559218/google-stopft-drei-loecher-in-chrome-16.htm].
    Das Risiko der geschlossenen Sicherheitslücken hat Google mit ähoch“
    bewertet. Details werden nach Aussage des
    Google-Watch-Blogs [http://www.googlewatchblog.de/2012/01/sicherheitsupdate-fuer-chrome-16/]
    so lange zurückgehalten, bis ein Großteil der Nutzer das Update
    eingespielt hat. Für die Entdeckung von zwei der drei Sicherheitslücken
    hat Google 2000 US-Dollar als Belohnung bezahlt. Anwender der
    Chrome-Version 16 erhalten das Update automatisch. Es kann aber auch
    manuell von der
    Google-Chrome-Website [https://www.google.com/chrome/index.html]
    heruntergeladen werden.

    8. Reader und Acrobat aktualisiert: Adobe beseitigt Schwachstellen in
    Programmen

    Software-Hersteller Adobe hat Sicherheitsupdates für sein kostenloses
    PDF-Leseprogramm Reader und den PDF-Bearbeiter Acrobat veröffentlicht.
    Wie das Unternehmen
    mitteilt [http://www.adobe.com/support/security/bulletins/apsb12-01.html],
    werden mit den Versionen 10.1.2 Sicherheitslücken in Adobe Reader X
    (10.1.1) und Adobe Acrobat X (10.1.1) sowie in früheren Versionen für
    Windows und Mac geschlossen. Durch die Schwachstellen können die
    Programme zum Absturz gebracht werden (Denial of Service) oder Angreifer
    können durch sie beliebigen Code mit den Rechten des angemeldeten
    Benutzers ausuführen. Zur erfolgreichen Ausnutzung dieser Schwachstelle
    muss der Angreifer den Anwender dazu bringen, eine manipulierte E-Mail,
    Webseite oder PDF Datei zu öffnen. Anwender des Adobe Readers und Acrobat
    9.4.7 und früherer Versionen für Windows und Mac, die nicht auf Version
    10.1.2 wechseln können, stellt Adobe Updates auf die Version 9.5 zur
    Verfügung. Das Bürger-CERT empfiehlt in einer technischen
    Warnung [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0001],
    das von Adobe bereitgestellte Sicherheitsupdate so bald wie möglich zu
    installieren. Die Updates können über die Adobe
    Website [http://get.adobe.com/de/reader/otherversions/] bezogen werden.

PRISMA
    9. Weniger Informationen: Microsoft nimmt Website mit Update-Infos vom
    Netz

    Microsoft hat die Informationsseite äWhere's my phone update“
    eingestellt. Sie ist zwar noch online, wird seit Mitte Dezember jedoch
    nicht mehr aktualisiert. Wie das IT-Newsportal golem.de
    berichtet [http://www.golem.de/1201/88882.html], macht Microsoft keine
    Angaben dazu, warum die Seite nicht mehr gepflegt wird. Auf äWhere's my
    phone update“ konnten sich Windows-Smartphone-Anwender darüber
    informieren, wann welches Update erscheint – abhängig vom Land und
    Mobilfunkprovider. Die neue Strategie von Microsoft: Anwender erhalten
    eine Benachrichtigung, sobald ein Update verfügbar ist. Sie müssen das
    Smartphone dann per Kabel mit einem Computer verbinden und das Update
    einspielen. Eine drahtlose Installation ist nicht möglich.

    10. Amazon-Tochterunternehmen Zappos gehackt: 24 Millionen Datensätze
    gestohlen

    Das Handelsunternehmen Amazon betreibt in den USA einen Online-Shop für
    Bekleidung mit Millionen Kunden -
    zappos.com [http://zappo.com].

    Nun wurde das Tochterunternehmen Opfer eines Hackerangriffs, bei dem rund
    24 Millionen Datensätze von Kunden in die Hände der Angreifer geraten
    sind. Dies berichten u.a. heise
    security [http://www.heise.de/security/meldung/24-Millionen-Datensaetze-bei-Amazon-Tochter-gestohlen-1413662.html]
    und
    PC-Welt [http://www.pcwelt.de/news/Gehackt-Datenklau-von-24-Millionen-Kundensaetzen-bei-Amazon-Tochter-Zappos-com-4424277.html].
    Demnach konnten die Hacker auf Namen, E-Mail-Adressen, Rechnungs- und
    Lieferadressen, Telefonnummern sowie die letzten vier Ziffern der
    Kreditkartennummern zugreifen. Zudem hatten die Täter Zugriff auf die
    Passwort-Hashes, die verschlüsselten Versionen der Anwender-Passwörter.
    Zappos hat daraufhin alle Kundenpasswörter gesperrt und die Kunden per
    E-Mail aufgefordert, neue Passwörter anzulegen – auch bei anderen
    Diensten, wo sie möglicherweise das identische Passwort nutzen. Kunden
    von amazon.com in den USA und amazon.de sind von dem Hack nach bisherigen
    Erkenntnissen nicht betroffen.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de



Read previous mail | Read next mail