1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Weltmeisterschaft: Dubiose PDF-Dateien im Umlauf

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von Anderl, 28. März 2010.

  1. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.343
    Zustimmungen:
    99.635
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Weltmeisterschaft: Dubiose PDF-Dateien im Umlauf

    Bekanntermaßen nehmen sich Cyberkriminelle bevorzugt aktuelle Ereignisse zum Anlass und versenden zu diesen Themen entsprechende Spam-Mails. Immer beliebter scheint nun die Fußball Weltmeisterschaft 2010 als Thema zu werden.

    Aufmerksam wurden auf dieses Geschehen die Sicherheitsexperten von '

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    '. Die Spammer greifen diesbezüglich zu einem mit Schadcode infizierten PDF-Dokument und versuchen so, eine kürzlich

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    auszunutzen.
    Seit geraumer Zeit beobachten die Experten von Symantec eine stetig steigende Anzahl von Angriffen auf diese Schwachstelle. Ein entsprechender Proof-of-Concept Exploit-Code kursiert ebenfalls seit einiger Zeit im Internet.

    Die Sicherheitslücke ermöglicht es einem Angreifer, die Software zum Absturz zu bringen und anschließend die Kontrolle über das System zu übernehmen.

    Abgesehen von der integrierten Update-Funktion kann die neue Version des Adobe Readers auch über die Webseite von Adobe heruntergeladen werden. Die Installation des Updates wird allen Anwendern dringend empfohlen.

    Quelle: winfuture
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    AW: Weltmeisterschaft: Dubiose PDF-Dateien im Umlauf

    [FONT=&quot]PDF-Attacke ködert mit Fußball-WM[/FONT]
    [FONT=&quot]Online-Kriminelle nutzen die bevorstehende Fußball-WM in Südafrika als Köder für gezielte Angriffe. Sie senden Mails mit speziell präparierten PDF-Dateien, die eine Lücke im Adobe Reader ausnutzen sollen.[/FONT]
    [FONT=&quot]Im Unterschied zu breit gestreuten, Spam-artigen Angriffen per Mail sind gezielte Angriffe stets auf ein bestimmtes, potenzielles Opfer abgestimmt. Beiden Angriffsvarianten ist gemeinsam, dass oft Sicherheitslücken in populären Programmen ausgenutzt werden. So auch in diesem Fall, in dem die Fußball-WM in Südafrika als Aufhänger dient.[/FONT]

    [FONT=&quot]Im MessageLabs Intelligence Blogschildert Daren Lewis einen solchen gezielten Angriff auf einen Mitarbeiter eines nicht genannten Unternehmens. Die Mail ist von MessageLabs, einer Symantec-Tochter, abgefangen und untersucht worden. Lewis zeigt, wie solche Angriffe gewöhnlich ablaufen und nennt weitere Beispiele.[/FONT]
    [FONT=&quot]Der Täter stellt zunächst Ermittlungen an und sucht sich ein geeignetes Opfer in einem Unternehmen, an dessen interne Informationen er gelangen will. Dazu wählt er eine hochrangige Person im Unternehmen aus. Dann versucht er persönliche Informationen über sein Opfer heraus zu finden, etwa Hobbys und Interessen. Schließlich sendet er eine personalisierte Mail, die ein präpariertes Dokument enthält.[/FONT]
    [FONT=&quot]Im aktuellen Beispiel interessiert sich das ausgewählte Opfer offenbar für Fußball. Der Angreifer hat eine Mail geschickt, die eine PDF-Datei mit Exploit-Code enthält. Der sonstige Inhalt der Datei ähnelt dem eines PDF-Dokuments mit Informationen zur WM, das ein Reiseveranstalter ins Internet gestellt hat. Die präparierte Fassung nutzt eine im Februar von Adobe mit dem Update auf Adobe Reader 9.3.1 gestopfte Sicherheitslücke.Sie enthält ein TIFF-Bild, das in anfälligen Versionen des PDF-Betrachters einen Speicherüberlauf provoziert.[/FONT]
    Die Folgen eines Angriffs

    Hätte das Opfer die Mail erhalten und mit einem anfälligen Adobe Reader geöffnet, wäre im TIFF-Bild enthaltener Code ausgeführt worden. Dieser hätte EXE-Dateien auf der Festplatte abgelegt und ausgeführt. Dieser Schädling führt zunächst eine DNS-Abfrage aus - möglicherweise, um festzustellen, ob eine Internet-Verbindung besteht.

    Dann legt er für jede im Verzeichnis C:\Windows\system32 gefundene Datei ein gleichnamiges Unterverzeichnis an und darin zwei Dateien namens "notepad.exe.new" und "notepad.exe" ab. Außerdem legt er die Dateien "pcidump.sys" in C:\Windows\system32\drivers\ und "mpvps.dll" in C:\Programme\Windows Media Player ab. Erstere ist ein Rootkit, das zur Tarnung dient. Letztere wird als Dienst namens "Remote Access Connection Locator" registriert. Der Schädling sucht auch Kontakt zu Rechnern im lokalen Netz, vermutlich um sich weiter zu verbreiten.
    Im Erfolgsfall kann so ein maßgeschneiderter Schädling, der oft nicht vor Antivirusprogrammen erkannt wird, vertrauliche Daten ausspähen, Schaden im Unternehmensnetzwerk anrichten und im Namen des Opfers Kontakt mit weiteren Personen im Unternehmen aufnehmen. Entdeckt wurde der Angriff durch spezielle Filter, die Charakteristika der schädlichen PDF-Datei erkannt haben.
    Untersuchungen haben gezeigt, dass Unternehmen bei den Sicherheits-Updates für Anwendungen wie den Adobe Reader oft recht nachlässig sind. Das nutzen die Täter aus, um etwa Industriespionage zu betreiben. Aber auch Regierungsstellen wie Ministerien, Behörden oder Botschaften können Ziel solcher Angriffe sein.
    Quelle:pC-Welt
     
    #2

Diese Seite empfehlen