1734191

OS X News Macwelt 05/2013

18.03.2000 | 13:56 Uhr |

+++ Kann Pintsized.A der neue Flashback sein? +++ Reaktion auf Zero-Day-Lücke: Apple bringt Java-Update +++ Neue Lücken in Java und Flash entdeckt – Abschaltung der Plugins empfohlen +++ Angriff auf Notiz-Dienst Evernote

Kann Pintsized.A der neue Flashback sein?

Wer erinnert sich nicht an den Flashback-Trojaner , der zu seinen Spitzenzeiten weit über eine halbe Million Rechner infiziert hatte? Über präparierte Webseiten konnte man sich Flashback im Frühjahr 2012 als Drive-by-Infection einfangen – und das meist ohne das Zutun des Mac-Anwenders, denn Flashback nutzte einen Java-Exploit, um auf die Macs der Nuzter zu gelangen.

Anfang Februar dieses Jahres berichteten dann nacheinander die beiden sozialen Netzwerke Twitter und Facebook, sowie Apple und Microsoft, dass es Cyber-Kriminellen gelungen sei, Schadsoftware über eine Zero-Day-Sicherheitslücke in Oracles Java-Plug-in in deren Firmennetzwerke einzuschleusen. Diese Schadsoftware konnte nun von den Malware-Spezialisten von Intego identifiziert werden: Der neue Backdoor-Trojaner trägt die Bezeichnung Pintsized.A („pint-sized“ bedeutet zu Deutsch winzig).

Laut den Kollegen von securityledger.com beschränkte sich die Attacke jedoch nicht nur auf die bereits genannten IT-Firmen und deren Umfeld, sondern durchzog die gesamte US-amerikanische Wirtschaft. Von Seiten der betroffenen Firmen wird jedoch nur sehr vorsichtig mit neuen Informationen zum wirklichen Ausmaß der Attacke umgegangen. Joe Sullivan, der Sicherheitschef von Facebook wird mit den Worten zitiert, dass niemand das gesamte Ausmaß der Attacke kenne.

Im Moment jedenfalls ist völlig unklar, wie der genaue Ablauf und die Funktionsweise der Attacke war. Genauso, wie die Frage nach den Schuldigen ungeklärt ist: Neben den "üblichen Verdächtigen", nämlich Hackern aus China oder dem osteuropäischen Raum, besteht auch der Verdacht, dass es sich angesichts der spezifischen Ziele um eine institutionell angeordnete Aktion gehandelt haben könnte.

Was macht der Trojaner?

Pintsized.A gelangt auf demselben Weg auf einen Mac, wie seiner Zeit der Flashback-Trojaner, nämlich über präparierte Websiten als Drive-by-Infection – wie genau der Weg um Apples Gatekeeper herum aussieht, ist derzeit aber noch unklar. Eigentlich soll der mit OS X Lion 10.7.5 und Mountain Lion eingeführte Torwächter dafür sorgen, dass keine unsignierte Software mehr auf den heimischen Macs installiert werden kann.

Im Falle des Sicherheitsbruches bei Apple war der Auslöser der Infektion die Seite iPhoneDevSDK.com, bei Microsoft, Twitter und Facebook andere sogenannte „Watering Holes“. Im IT-Security-Jargon nennt man Attacken, die durch das Präparieren einer dritten Seite durch Cyber-Kriminelle oder Hacker begonnen wird, „Watering Hole“-Attacken. So werden gezielt Seiten aus dem direkten Nutzungsumfeld der Zielpersonen oder Unternehmen ausgewählt und Sicherheitslücken der Seiten ausgenutzt, um die Seite zum Angreifer umzufunktionieren – wie im Falle von iPhoneDevSDK.com meist, ohne dass die Betreiber das merken.

Einmal auf einen Mac gelangt, versteckt sich Pintsized.A als sogenannte cupsd auf dem infizierten Mac. Cupsd sind weit verbreitete Bestandteile von Linux-Druckertreibern, die von OS X als Teil der eigenen Druckersoftware verwendet werden. Eine hervorragende und effektive Tarnung!

Laut Intego setzt Pintsized.A auf den betroffenen Systemen ein Reverse Shell auf, um dann über eine modifizierte Version von OpenSSH 6.0p1 eine verschlüsselte Verbindung zu seinem Kontrollserver aufzubauen. Dabei tarnt sich die Verbindung als vermeintlicher Systemprozess corp-aapl.com . Da Apple unter dem Kürzel AAPL an der Börse notiert ist, dürfte den meisten Anwendern das Sicherheitsleck gar nicht auffallen.

Wie gefährlich ist der Trojaner?

Ohne das Risiko verharmlosen zu wollen: Pintsized.A war Teil einer groß angelegten Cyber-Attacke auf führende Technologie-Konzerne und große Teile der US-Wirtschaft, Kleinanwender gehören eher nicht in das Zielspektrum. Zumal nach Angaben des Betreibers der kompromittierten iPhone-Developer-Seite iPhoneDevSDK.com, Ian Sefferman, nicht alle Besucher der Seite mit dem Backdoor-Trojaner infiziert wurden, sondern nur Teile der Besucher. Nach welchen Kriterien diese Auswahl erfolgt ist, bleibt unklar. Wir halten die Bedrohung – jedenfalls im Moment – für überschaubar, beobachten die Situation aber natürlich weiter und informieren Sie auf macwelt.de über neue Entwicklungen.

Empfehlung

Zum jetzigen Zeitpunkt lässt sich Pintsized.A nicht mit Flashback auf eine Ebene stellen, auch wenn sie scheinbar auf ähnliche Weise ihren Weg auf die Systeme der Mac-User finden. Auf jeden Fall lohnt es sich, sein System auf den Befall hin zu untersuchen. Dafür eignen sich neben den gängigen kostenpflichtigen Tools von Kaspersky Lab , Intego , oder F-Secure auch kostenlose Tools wie ClamXav . Um Sicherheitsproblemen mit Oracles Java SE vorzubeugen, sollten Sie auch über eine Abschaltung des Java-Browser-Plug-ins nachdenken.

Reaktion auf Zero-Day-Lücke: Apple bringt Java-Update

Mit Java für OS X 2013-002 1.0 deaktiviert Apple endgültig das Java SE 6 Applet-Plugin (falls jemand das Update Java für OS X 2012-006 noch nicht installiert hatte) und bringt für alle Nutzer von Java SE 6 den Versionsstand auf 1.6.0_43.

Alle Anwender, die bereits auf Java SE 7 setzten, dass für Macs nicht mehr von Apple, sondern direkt von Hersteller Oracle zur Verfügung gestellt wird, werden – sofern Sie das Java-Plugin nicht schon deaktiviert haben – beim surfen auf das fehlende Plugin hingewiesen und können das Update dann direkt bei Oracle laden .

Oracle reagiert damit auf die am Wochenende bekannt gewordenen Sicherheitslücken CVE-2013-1493 und CVE-2013-0809. Sie wurden von der Sicherheitsfirma FireEye entdeckt und umgehend an Oracle gemeldet. Wir können unsere Empfehlung zur Deaktivierung des Java-Plugins in Ihrem Browser nur unterstreichen. Wie Sie das für Ihren Browser bewerkstelligen, haben wir in einer kleinen Bildergalerie zusammengestellt.

Neue Lücken in Java und Flash entdeckt – Abschaltung der Plugins empfohlen

Nachdem seit Anfang des Jahres Oracles Java durch eine Zero-Day-Sicherheitslücke und mehrere Fehler im Sandboxing-Mechanismus ziemlich in die Kritik geraten ist, gesellte sich ein weiterer Fehler in die Pannenserie, als im Februar mehrere Firmen (darunter Apple, Twitter oder Facebook) Opfer von Sicherheitslücken im Java Browserplugin wurden.

Forscher der Sicherheitsfirma FireEye haben nun laut unserer US-Kollegen von PCWorld Oracle über einen weiteren Fehler in Kenntnis gesetzt, der bereits von Cyber-Kriminellen ausgenutzt wird. Betroffen sind dabei die Java-Versionen Java v1.6 Update 41 und Java v1.7 Update 15. Die entdeckte Sicherheitslücke ermöglicht die Installation der Malware „McRAT“, die Kriminellen Remote-Zugriff auf betroffene Rechner ermöglicht. Die Sicherheitsexperten von FireEye empfehlen daher die sogar vollständige Deinstalltion von Java.

Auch Flash mit Problemen

Doch nicht nur Oracles Java gilt als Einfallstor für Schadsoftware und Cyber-Attacken, auch Adobes weit verbreitetes Flash-Plugin macht Probleme. So hat Apple inzwischen über Xprotect einige ältere Flash-Versionen auf die systeminterne Blacklist gesetzt. So kann kein Flash-Element mehr angezeigt werden, solange der Anwender kein Update von Flash durchgeführt hat.

Auch hier ergeht an alle Flash-Nutzer die Empfehlung, Ihre Flash-Plugins zu aktualisieren. Die aktuellste Version hat die Versionsnummer 11.6.602.171. Übrigens: Googles Browser Chrome hat das Flash-Plugin gleich integriert und lädt Updates sofort bei Verfügbarkeit. Chrome ist in diesem Fall der ideale Browser für vergessliche Zeitgenossen.

Angriff auf Notiz-Dienst Evernote

Sucht man im Netz nach Programmen zur Notizverwaltung landet man früher oder später bei Evernote . Die Software mit dem Elefanten im Icon ist dabei über alle Plattformen, egal ob mobil oder stationär, äußerst beliebt. Neben nativen Apps für Windows und den Mac ist man auch auf iOS und Android, sowie den kleineren Plattformen Blackberry und Windows Phone vertreten.

Da überrascht es wenig, wenn ein beliebter Dienst das Ziel einer Cyber-Attacke wird. So geschehen am vergangenen Wochenende: Das Security-Team von Evernote beobachtete ungewöhnliche Aktivitäten, die auf einen koordinierten Angriff hindeuteten. In einem Blog-Beitrag im Hausblog der Softwarefirma heißt es, dass es den Angreifern nicht gelungen sei  Inhalte der Nutzer einzusehen, zu verändern oder auf die hinterlegten Bezahlinformationen zuzugreifen.

Den Hackern ist es aber dennoch gelungen, an die User-Daten wie Mailadressen, Benutzernamen und verschlüsselte Passwörter heran zu kommen. Evernote weist ausdrücklich darauf hin, dass die Passwörter mit einer One-Way-Verschlüsselung versehen und für die Angreifer nicht im Klartext einsehbar waren (Hashed and Salted).

Als zusätzliche Sicherheitsmaßnahme veranlasste Evernote einen systemweiten Passwort-Reset. Wählen Sie sich über eine der zig Evernote-Apps ein, werden Sie auf die Internetseite weitergeleitet, wo Sie ein neues Passwort vergeben können. Parallel hat Evernote übrigens auch seine Mac- und iOS-Apps einem Update unterzogen.

Uns bleibt nur die Empfehlung: Gehen Sie sorgsam mit Ihren Passwörtern um. Klar: Es ist extrem lästig, sich für 20 oder 30 Logins separate Passwörter aus den Fingern zu saugen. Aber: Dieser Vorgang zeigt, dass man es mit Passwortsicherheit nicht akribisch genug nehmen kann. Ein paar goldene Regeln für Passwörter:

  1. Vermeiden sie Passwörter, die Begriffe aus Lexika enthalten. Das erschwert das knacken des Passworts.

  2. Nutzen Sie eine Mischung aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen (im Internet finden Sie unzählige Passwort-Generatoren).

  3. Wichtig: Nutzen Sie niemals ein und dasselbe Passwort für mehrere Dienste. Im schlimmsten Fall geht dann nicht nur ein Konto hopps, sondern auch gleich noch der iTunes- und/ oder Amazon- Account.

  4. Nutzen Sie zur Verwaltung Ihrer Passwörter und Logins keine lokalen Word- oder Pages-Files, sondern dezidierte Safe-Programme wie 1Password .

0 Kommentare zu diesem Artikel
1734191