Ransomware Jaff: Manipulierte PDF als E-Mail-Anhang

Aktuell warnt das LKA Niedersachsen vor einer alten Masche in neuem Gewand: Dem Erpressungstrojaner Jaff.

Ransomware Jaff

Wie auch diverse andere Ransomware, die seit längerem ihr Unwesen im Netz treibt, zielt auch dieser Schädling darauf ab, die Dokumente der Windows-User zu verschlüsseln und nur gegen Zahlung eines Lösegelds wieder freizugeben.

Der Trojaner Jaff setzt dabei auf eine manipulierte PDF-Datei, in welche eine Word-Datei mit Makros integriert ist. Dies bedeutet, dass das reine Betrachten der PDF zwar noch kein Sicherheitsrisiko darstellt, wer allerdings die entsprechende Word-Datei nach einer Sicherheitsabfrage öffnet und der Aktivierung von Makros zustimmt, bringt die Infektion in Gange. Erkennbar sind die verschlüsselten Dateien an der Dateiendung „.wlu“.

Um die Benutzer zu „zwingen“ diese Schritte vorzunehmen, werden gerne angeblich unbezahlte Rechnungen (Invoices) vorgeschoben.

Empfänger derartiger E-Mails sollten – unabhängig von dieser Vorgehensweise – immer kritisch hinterfragen, ob die jeweilige Nachricht tatsächlich authentisch ist und das Öffnen im Zweifelsfall unterlassen.

Opfern von Verschlüsselungstrojanern wird empfohlen, die Websites ID-Ransomware oder No More Ransom im Blick zu behalten und zu prüfen, ob für die jeweilige Bedrohung ein kostenloses Entschlüsselungstool existiert. Von der Zahlung eines Lösegelds raten Experten einhellig ab.

 

Kritische Lücke in VMware geschlossen

zero-day-initiative

Nachdem beim Pwn2Own-Wettbewerb von ambitionierten Sicherheitsforschern in einem dreistufigen Ausnutzen von Schwachstellen der Ausbruch aus einer virtuellen Maschine gelungen war, hat VMware mit einem Update nachgelegt und zumindest das Fehlverhalten der eigenen Software in den Griff bekommen.

Im Rahmen des Wettbewerbs Pwn2Own gelang es Forschern zuvor, den in der Regel schwierig zu bewerkstelligen Ausbruch aus einer virtuellen Maschine (VM) zu bewerkstelligen. Dieses Angriffsszenario ist ebenso beliebt wie gefürchtet, da ein solcher Escape bei einem Hosting-Provider über das Wirtssystem theoretisch auch den Zugriff auf die virtuellen Server von anderen Kunden ermöglicht.

Um den Hack zu bewerkstelligen, wurde zunächst ein Fehler in der JavaScript-Engine von Microsoft Edge durch den Besuch einer präparierten Website ausgenutzt, um Code innerhalb der Edge-Sandbox auszuführen.

Im Folgeschritt, wurde wiederum ein Fehler im Kernel von Windows 10 (also dem OS der virtuellen Maschine) zum Ausbruch aus der Sandbox verwendet, um das Gastsystem zu kompromittieren.

Im dritten und letzten Schritt bediente man sich nun noch einer Schwachstelle in der Hardware-Simulation des Wirtssystems und übernahm somit die komplette Kontrolle über den Host.

Dem erfolgreichen Team winkte ein Preisgeld in Höhe von 105.000 USD.

Gelöst: Firefox soll Online-Banking Login nicht speichern

firefox-logoMit Firefox 29 wurde der Browser aus dem Hause Mozilla insofern verändert, als dass auch auf Webseiten, wo der Betreiber die Speicherung von Login-Daten verhindern möchte, diese Anweisung automatisch ignoriert wird. Aus Gründen der Sicherheit war aber gerade das alte Verhalten sinnvoll, wenn es sich nämlich um äußerst sensible Zugangsdaten wie z.B. für’s Online-Banking handelt und man nicht Gefahr laufen wollte, die Zugangsdaten versehentlich zu speichern. Gerade dann, wenn ein Rechner von mehreren Leuten benutzt wird oder dies auf einem fremden Computer passiert.

Daher verbauen gerade Banken im Quellcode ihrer Website folgende Anweisung:

autocomplete=“off“

Hiermit soll verhindert werden, dass das Passwort gespeichert bzw. ein Dialog im Browser angeboten wird:

firefox-passwort-frage

Um Firefox 29 nun standardmäßig anzuweisen, die Login-Daten bei Vorliegen des besagten Tags nicht zu speichern, konnte man in der Konfiguration den Boolean signon.overrideAutocomplete auf false setzen.

Mit der Version 30 hat Mozilla die Bezeichnung jedoch geändert. Möchtet ihr mit der aktuellen Version also verhindern, dass euch Firefox jedes Mal fragt, ob dass Passwort gespeichert werden soll, so gebt ihr in der Adresszeile zunächst about:config ein und sucht dort nach dem Boolean

signon.storeWhenAutocompleteOff

und setzt diesen Wert mit einem Doppelklick auf false.

Das war es auch schon. Und somit wird Firefox künftig nicht mehr fragen, ob dass Passwort gespeichert werden soll.

Microsoft warnt Windows XP-User

Am 8. April 2014 endet offiziell der Support für Windows XP. In diesem Zusammenhang warnt Microsoft sämtliche Benutzer des seit 2001 im Gebrauch befindlichen Betriebssystems vor einer Verwendung von XP über diesen Termin hinaus.

XP-Logo

Denn ab diesem Zeitpunkt werden für das über Jahre hinweg beliebte Betriebssystem seitens Microsoft keine Security-Updates und Patches mehr bereitgestellt. Im Microsoft Security Blog wurde daher ausführlich über die Risiken informiert. Zudem endet sowohl der kostenfreie, als auch der kostenpflichtige Support durch das Redmonder Unternehmen.

Angreifer könnten sich diese Zero Day-Verwundbarkeit zu Nutze machen, indem sie ab diesem Tage veröffentlichte Sicherheits-Updates intensiv untersuchen und die so erhobenen Informationen noch gezielter gegen Benutzer einsetzen, die immer noch mit Windows XP unterwegs sind.

Es wird daher dringend empfohlen, bereits vor diesem Termin mindestens auf Windows 7 oder sogar Windows 8 umzusteigen.

Firefox 22 wird Tracking-Cookies blocken

firefox-logoFür Version 22 des beliebten Firefox-Browser ist ein Patch geplant, welcher die sogenannten Third-Party-Cookies weitestgehend blockieren wird. Dies soll die Benutzer vor unerwünschten Tracking-Maßnahmen schützen. Der Werbeindustrie wird dieser Schritt ein Dorn im Auge sein, schließlich ist maßgeschneiderte Werbung das Non­plus­ul­t­ra.

Aktuell werden technisch gesehen die Cookies von Drittanbietern auch dann gesetzt, wenn man die Website des Werbetreibenden (sprich den Adserver) nicht aktiv besucht wird. Die Werbung ist quasi im Quellcode der besuchten Website eingebunden. Doch damit soll ab Version 22 Schluss sein. Der Browser wird ab dann nur noch originäre Cookies akzeptieren.

Mozilla hat sich bewusst für diesen Schritt entschieden um die Benutzer zu schützen. Auch wenn Third-Party-Cookies nicht die einzige Möglichkeit sind den Nutzer zu verfolgen, so wird sich die Werbe-Wirtschaft grundlegende Gedanken über ihre zukünftigen Geschäftsmodelle und Praktiken machen müssen.

Ein massives Problem könnten evtl. kleine Websites bekommen, da Werbung bei den Besuchern schon grundsätzlich unerwünscht ist. Wenn jetzt aber hinzukommt, dass diese Werbung noch nicht einmal auf die jeweilige Zielgruppe ausgerichtet ist, werden auch die Klickraten entsprechend zurück gehen. Große Internet-Auftritte wie die von Yahoo, Facebook & Co. werden hingegen mitunter profitieren. Sie können die Tracking-Cookies direkt auf Ihrer Seite einbinden, da die Besucher diese naturgemäß aufrufen um News zu lesen, eMail’s zu schreiben und das Messaging zu nutzen.

Wer schon heute auf Werbung verzichten möchte, der sollte sich das Add-on namens Adblock Plus mal anschauen. Dort ist eine sehr gute und regelmäßig gepflegte Liste hinterlegt, die lästige Werbung rigoros verbannt. Und das schöne daran: Adblock Plus gibt diesen Platz auch noch frei. Für einzelne Seiten können Ausnahmen hinzugefügt werden. Dies wird dann erforderlich, wenn dort ein Adblock-Check hinterlegt ist. Dieser merkt wenn bestimmte Scripte oder Elemente nicht aufgerufen werden. Aber diese Technik ist aktuell noch nicht sehr weit verbreitet.