DB0FHN

DB8AS  > VIRUS    19.07.12 23:33l 262 Lines 15269 Bytes #999 (0) @ DL
BID : J72DB0EAM003
Read: DK3UZ GUEST
Subj: BSI Newsletter 120719
Path: DB0FHN<DB0FOR<DB0SIF<DB0EAM
Sent: 120719/1417z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:J72DB0EAM003
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 19.07.2012
Nummer: NL-T12/0014

Die Themen dieses Newsletters:
1. Gefahren am Rand: Risiken durch manipulierte Windows-Minianwendungen in der Sidebar
2. Schadhafte Smartphone-Spiele: Gut getarnte Malware im Google-Play-Store
3. Falsche blaue Briefe: Erneut Schadsoftware mit BSI-Logo im Umlauf
4. Spam-Welle: Tausende GMX-E-Mail-Konten gehackt
5. Angreifbarer Kindle Touch: Sicherheitslücke in Amazons E-Book-Lesegerät
6. Musik mit Tücken: VLC schließt Sicherheitslücke im Media-Player
7. Stopfen der Sicherheitslöcher: Microsoft-Patch-Day im Juli
8. Unsichere Google-Browser: Drei Sicherheitslecks in Chrome gestopft
9. Neue Sicherheitsfeature: Neue Versionen von Firefox und Thunderbird
10. Trojaner äDNS-Changer“: Rund 15.000 Deutsche ohne Internetzugang
11. Millionenbeute: Schlag gegen deutsch-rumänische Phishing-Bande

EDITORIAL
    Guten Tag,
    dass sich Cyber-Kriminelle häufig als Freunde, Unternehmen oder Behörden
    ausgeben, um den Anwender auf eine manipulierte Website zu locken oder
    ihm im E-Mail-Anhang einen Trojaner auf das System zu spielen, ist seit
    vielen Jahren Praxis – und den meisten Anwendern bekannt. Doch die
    sogenannte Social-Engineering-Methode kommt nicht außer Mode. Im
    Gegenteil: Aktuell versuchen Angreifer über Schadsoftware die PC's zu
    sperren und über eine Einblendung auf dem Rechnerbildschirm mit
    gefälschtem BSI-Logo an Geld zu kommen. Seien Sie wie immer vorsichtig.
    Das BSI wird Sie niemals auffordern, Geld zu zahlen.
    Mehr Infos dazu sowie weitere Meldungen rund um die Sicherheit im WWW
    finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere
    Stunden im globalen Netz wünscht Ihnen
    Ihr BUERGER-CERT-Team

STÖRENFRIEDE
    1. Gefahren am Rand: Risiken durch manipulierte Windows-Minianwendungen
    in der Sidebar

    Die in den Betriebssystemen Windows Vista und Windows 7 verfügbaren
    Mini-Anwendungen in der Sidebar des Desktops (Gadgets oder auch Widgets
    genannt) können gefährliche Programme enthalten und so ein Risiko für das
    komplette System darstellen. Das meldet das
    Microsoft-Sicherheits-Informationscenter [http://technet.microsoft.com/de-de/security/advisory/2719662].
    Werden schadhafte Programme installiert, könne beliebiger Programmcode
    ausgeführt werden. Das könnte Angreifer mitunter in die Lage versetzen,
    Programme zu installieren und zu entfernen, Dateien zu kopieren und zu
    löschen sowie – je nach Rechtevergabe – ganze Benutzerkonten mit
    Administrator-Rechten zu erstellen. Um das Problem zu beheben, rät
    Microsoft, die Sidebar komplett zu deaktivieren. Dazu
    bietet das Unternehmen eine sogenannte Fix-it-Lösung
    an [http://support.microsoft.com/kb/2719662], mithilfe derer die
    Abschaltung durchgeführt werden kann.

    2. Schadhafte Smartphone-Spiele: Gut getarnte Malware im
    Google-Play-Store

    Der IT-Sicherheitsdienstleister Symantec hat Schadsoftware im
    Google-App-Marktplatz äPlay“ gefunden. Der Dialer tarnte sich als äSuper
    Mario Bros“ und äGTA 3 – Moscow City“ und veranlasste das befallene
    Android-System dazu, eine bestimmte teure Premium-Nummer zu wählen –
    allerdings nur in einigen Ländern. Darüber berichtet das
    Fachmagazin
    ZDNet. [http://www.zdnet.de/41563441/android-malware-bleibt-wochenlang-unentdeckt-in-google-play/]
    Laut Symantec ist der Dialer zwischen 50.000 und 100.000 Mal
    heruntergeladen worden. Die Schadsoftware sei nicht durch Googles
    automatisches Kontrollsystem erkannt worden, weil sie während der
    Installation bestimmte Komponenten nachlädt, die die Erkennung durch
    Googles Kontrolle verhindern.

    3. Falsche blaue Briefe: Erneut Schadsoftware mit BSI-Logo im Umlauf

    Erneut ist eine Schadsoftware im Umlauf, die auf einem befallenen
    Computer eine angebliche Warnung der Gesellschaft zur Verfolgung von
    Urheberrechtsverletzungen (GVU) sowie des Bundesamtes für Sicherheit in
    der Informationstechnik (BSI) anzeigt. Der eigene Computer sei äaus einem
    oder mehreren Gründen gesperrt“, etwa wegen ädes Anschauens verbotener
    pornografischer Inhalte äoder dem Verstoß gegen ädas nicht existierende“
    Gesetz äFahrlässige Verwendung eines Computers“. Der Anwender wird
    aufgefordert, binnen 72 Stunden eine äStrafzahlung an den Staat“ zu
    leisten. Das BSI stellt klar, dass es sich dabei um eine Falschmeldung
    handelt und die Absender keineswegs die GVU beziehungsweise das BSI sind.
    Der betroffene Anwender solle keinesfalls bezahlen sondern Maßnahmen
    einleiten, die die Schadsoftware beseitigen. Nähere Informationen dazu
    liefern das BSI auf der Website BSI FÜR
    BÜRGER [https://www.bsi-fuer-buerger.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Erpressungsvariante-mit-BSI-Logo_20120629.html]
    und das Anti-Botnet-Beratungszentrum in seinem
    Blog [http://blog.botfrei.de/2012/07/gvu-trojaner-mit-webcam/].

    4. Spam-Welle: Tausende GMX-E-Mail-Konten gehackt

    Angreifer haben tausende E-Mail-Konten des Anbieters GMX gehackt und
    darüber Spam-Mails verschickt. Wie der Online-Dienst Heise Security
    berichtet, waren 300.000 E-Mail-Konten
    befallen [http://www.heise.de/security/meldung/Ueber-300-000-GMX-Accounts-kompromittiert-1637510.html]
    – GMX korrigierte diese Zahl später auf 3.000. Hatten sich die Angreifer
    erfolgreich Zugriff auf ein E-Mail-Konto verschafft, verschickten sie
    Spam-Mails, die unter anderem Werbung für Diätpräparate enthielt. Zurzeit
    vermutet GMX, dass die Angreifer die Passwörter und Benutzernamen aus
    einer fremden Quelle, also nicht von GMX direkt bezogen haben. Weil viele
    Anwender für verschiedene Dienste dieselben Passwörter verwenden, konnten
    sich die Angreifer auch in GMX-E-Mail-Konten einloggen. GMX hat
    gegenüber dem Online-Magazin PC-Welt
    geäußert [http://www.pcwelt.de/news/Passwort-ueberpruefen-Hacker-greifen-GMX-Konten-an-6066910.html],
    dass alle Kunden mit attackiertem E-Mail-Konto die Aufforderung erhalten
    haben, ihr Passwort zu ändern. PC-Welt rät Anwendern, das Passwort auch
    bei anderen Online-Diensten zu ändern und jeweils andere Passwörter zu
    verwenden. Allgemeine Tipps zu sicheren Passwörtern bietet
    auch die Website BSI FÜR
    BÜRGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html].

    5. Angreifbarer Kindle Touch: Sicherheitslücke in Amazons
    E-Book-Lesegerät

    Durch Ausnutzung einer Sicherheitslücke könnten Angreifer auf dem
    E-Book-Reader Kindle Touch beliebige Befehle ausführen,
    meldet heise
    Security [http://www.heise.de/security/meldung/Sicherheitsluecke-und-Jailbreak-bei-Amazon-Kindle-Touch-1636888.html].
    Das derzeitige Flaggschiff der Lesegeräte der Firma Amazon ist demnach
    über präparierte Webseiten angreifbar, die mit dem auf dem Gerät
    vorinstallierten Browser aufgerufen werden. So könnte es Hackern möglich
    sein, Amazon-Zugangsdaten unbemerkt zu kopieren. Das Problem sei seit
    drei Monaten bekannt. Betroffen sei anscheinend nur der Kindle Touch mit
    der Firmware-Version 5.1.0. Offenbar werden neue Geräte teilweise mit
    einer korrigierten Firmware-Version (5.1.1) ausgeliefert. Anwender können
    über das Menü äEinstellungen > Geräteinfo“ ermitteln, welche Version auf
    ihrem Gerät installiert ist. Ein Update stellte Amazon bis zum
    Redaktionsschluss dieses Newsletters nicht zur Verfügung, auch
    Handlungsempfehlungen finden sich nicht. Sollte ein Update veröffentlicht
    werden, wird dies voraussichtlich im
    Kindle-Produktforum [http://www.amazon.de/tag/kindle/forum/]
    angekündigt und über die
    Kindle-Hilfe [http://www.amazon.de/gp/help/customer/display.html/?ie=UTF8&nodeId=200594630]
    zum Download angeboten werden.

SCHUTZMASSNAHMEN
    6. Musik mit Tücken: VLC schließt Sicherheitslücke im Media-Player

    Die Entwickler des Media-Players VLC haben eine neue Version des
    Programms veröffentlicht, in der eine Sicherheitslücke geschlossen wurde.
    Das BÜRGER-CERT empfiehlt, die neue Version umgehend zu
    installieren. [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0055]
    Über die Sicherheitslücke im Programm können die Angreifer beliebigen
    Programmcode mit den Rechten des angemeldeten Nutzers ausführen. Damit
    das möglich ist, muss der Anwender eine manipulierte OGG-Vorbis-Datei mit
    dem VLC-Player abspielen. Da VLC auch über ein Browser-Plugin verfügt,
    kann möglicherweise schon der Besuch einer Webseite ausreichen, um
    Schadcode auf den betroffenen Systemen auszuführen.

    7. Stopfen der Sicherheitslöcher: Microsoft-Patch-Day im Juli

    Microsoft schließt im Rahmen des Patch-Day (jeweils der zweite Dienstag
    im Monat) im Juli 16 Sicherheitslücken. Vier davon werden als äkritisch“
    eingestuft. Betroffen sind die Betriebssysteme Windows XP, Windows Vista
    und Windows 7 sowie die Programme Internet Explorer 6 bis 8, Office,
    SharePoint und InfoPath. Die Sicherheitslücken, die mit den Patches
    geschlossen werden, können von Angreifern sowohl ausgenutzt werden, um
    beliebigen Schadcode mit den Rechten des angemeldeten Benutzers oder
    sogar mit administrativen Rechten auszuführen, als auch um Dateien
    offenzulegen oder zu manipulieren. Hierzu muss der Anwender in einigen
    Fällen eine speziell manipulierte Datei, E-Mail oder Webseite öffnen.
    Das BÜRGER-CERT empfiehlt die umgehende Installation der
    Updates und führt auf seiner Website auf, welche Systeme betroffen
    sind. [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0056]

    8. Unsichere Google-Browser: Drei Sicherheitslecks in Chrome gestopft

    Das BÜRGER-CERT warnt vor veralteten Versionen des Browsers
    Google
    Chrome. [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0054]
    In der Chrome-Version 20 sind drei Sicherheits-Schwachstellen entdeckt
    worden, durch die Hacker Schadcode einschleusen könnten. Google hat daher
    ein Update auf Version
    20.0.1132.57 [http://googlechromereleases.blogspot.de/2012/07/stable-channel-update.html]
    veröffentlicht, das diese Schwachstellen schließt. Es enthält außerdem
    ein Update des Flash-Players. Die neue Version installiert sich in der
    Regel automatisch, kann aber auch manuell heruntergeladen
    werden [http://www.google.de/chrome/].

    9. Neue Sicherheitsfeature: Neue Versionen von Firefox und Thunderbird

    Die Entwickler des Browsers Firefox und des E-Mail-Programms Thunderbird
    haben für beide Programme eine neue Version veröffentlicht.
    Firefox 14.0.1 [http://www.mozilla.org/de/thunderbird/]
    und Thunderbird
    14 [http://www.mozilla.org/de/thunderbird/] stehen nun zum Download
    bereit. In beiden Programm werden Sicherheitslücken sowie weitere kleine
    Fehler behoben, meldet der IT-Nachrichtendienst heise
    online [http://www.heise.de/newsticker/meldung/Firefox-und-Thunderbird-14-sind-da-1644037.html].
    Firefox bietet zudem komplett neue Sicherheitsfunktionen: Die integrierte
    Google-Suche schickt Anfragen jetzt mit einer SSL-Verschlüsselung ab.
    Auch können Anwender jetzt einstellen, dass Plugins wie Flash (zum
    Beispiel auf Videoportalen) erst nach aktiver Bestätigung ausgeführt
    werden, was die Sicherheit ebenfalls erhöht. Dazu muss in die Adresszeile
    äabout:config“ eingegeben und die Funktion äplugins.click_to_play“ per
    Doppelklick aktiviert werden (der Wert äfalse“ wird dann geändert in
    ätrue“).

PRISMA
    10. Trojaner äDNS-Changer“: Rund 15.000 Deutsche ohne Internetzugang

    Schätzungsweise 15.000 deutsche Internetzugänge funktionierten ab dem 9.
    Juli nicht mehr. Die Rechner waren mit der Schadsoftware "DNS-Changer"
    befallen., der die Netzwerkkonfiguration von Rechnern und Routern
    veränderte. So gelang es Kriminellen, Anfragen auf gefälschte Seiten
    umzulenken. Nachdem das FBI das Netz der Drahtzieher lahmgelegt hatte,
    betrieb es deren Server bis zum 9. Juli weiter, um infizierten Systemen
    nicht den Zugang zum Internet zu nehmen. Nach Warnmeldungen u.a. bei der
    Benutzung von Google-Diensten, säuberten viele Anwender ihre Rechner.
    Dennoch, so meldet heise
    Security [http://www.heise.de/security/meldung/FBI-legt-vermutlich-15-000-deutsche-Internetanschluesse-lahm-1634760.html],
    gab es kurz vor der jetzt erfolgten Abschaltung der Server noch Zugriffe
    von rund 15.000 Systemen aus Deutschland. Allerdings blieb ein Ansturm
    auf Hotlines von Internetanbietern offenbar aus, meldet
    Welt
    Online [http://www.welt.de/wirtschaft/webwelt/article108212360/Chaos-durch-DNS-Changer-Abschaltung-bleibt-aus.html].
    Auf der Website BSI FÜR BÜRGER wird nach wie vor
    Betroffenen
    empfohlen [https://www.bsi-fuer-buerger.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/DNS-Changer_140612012.html],
    die Adressen http://87.106.161.150 für den DNS-Changer Test oder bei
    Infektion http://80.190.154.30/dnschanger für den Download des
    DNS-Changer Repair Tools aufzurufen.

    11. Millionenbeute: Schlag gegen deutsch-rumänische Phishing-Bande

    Strafverfolgungsbehörden in Deutschland und Rumänien sind in einer
    gemeinsamen Aktion gegen eine Bande mutmaßlicher Phishing-Betrüger
    vorgegangen. Sie durchsuchten laut Landeskriminalamt
    Baden-Württemberg [http://presse.polizei-bwl.de/_layouts/Pressemitteilungen/DisplayPressRelease.aspx?List=7fba1b0b-2ee1-4630-8ac3-37b4deea650e&Id=35233]
    rund 30 Wohnungen in beiden Ländern. 27 Verdächtige wurden ermittelt. Sie
    sollen mittels eines Trojaners Online-Banking-Zugangsdaten ausgespäht und
    von den ausspionierten Bankkonten Zahlungen auf eigene Konten in Italien
    veranlasst haben. Mit den dazugehörigen Karten sollen sie das Geld in
    Großbritannien, Deutschland und Rumänien abgehoben haben – mindestens
    eine Million Euro. Der Programmierer des Trojaners sei ein 31-jähriger
    Mann aus dem Landkreis Reutlingen, so die Ermittler. Lesen Sie auf der
    Website BSI FÜR
    BÜRGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/schutzmassnamen_node.html],
    wie Sie sich vor Phishing-Angriffen schützen können.


-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de



Read previous mail | Read next mail