Im IT-Sicherheitsbereich gehört es zum Tagesgeschäft, nach Sicherheitslücken in mehr oder weniger weitverbreiteter Software zu fahnden und diese dann zu melden. Entweder gegen ein Kopfgeld oder einfach so aus Idealismus, um die Welt zu einem sichereren Ort zu machen. Einige Sicherheitsforscher stürzen sich aber auch auf Malware, um darin nach Schwachstellen zu suchen.
Dabei werden sie sogar fündig und veröffentlichen Security Advisories. So etwa in der Schadsoftware Backdoor.Win32.Jokerdoor, die nach Infektion eines Rechners auf TCP-Port 1111 lausche und durch manipulierte Anfragen einen Pufferüberlauf erzeugen könne. Laut der Meldung der Forschergruppe namens malvuln ließen sich damit Register und der Structured Exception Handler überschreiben und so zum Ausführen eingeschleusten Codes bringen.
Ähnlich bei der Backdoor.Win32.Ncx.b. Die höre auf TCP-Port 99 willfährig ohne Authentifizierung auf Anfragen aus dem Netz. Somit könne jeder mit Zugriff auf diesen Port beliebige Befehle ausführen und das System mit anderem Code zusätzlich infizieren.
Das sind für sich genommen natürlich keine besonderen Sicherheitslücken, von denen man wissen müsste. Skurril ist viel mehr, dass die malvuln-Forscher ausgerechnet Malware untersuchen. Der Schaden ist dabei bereits eingetreten und nachhaltig nur durch ein neu Aufsetzen des Systems zu beheben. Die Analysen zeigen aber auf, dass die Cyberkriminellen oftmals eher Code zusammen pfuschen und dass es ihnen egal ist, ob und dass sich weitere zwielichtige Gestalten auf den infizierten Systemen tummeln.
Quelle: heise
Dabei werden sie sogar fündig und veröffentlichen Security Advisories. So etwa in der Schadsoftware Backdoor.Win32.Jokerdoor, die nach Infektion eines Rechners auf TCP-Port 1111 lausche und durch manipulierte Anfragen einen Pufferüberlauf erzeugen könne. Laut der Meldung der Forschergruppe namens malvuln ließen sich damit Register und der Structured Exception Handler überschreiben und so zum Ausführen eingeschleusten Codes bringen.
Ähnlich bei der Backdoor.Win32.Ncx.b. Die höre auf TCP-Port 99 willfährig ohne Authentifizierung auf Anfragen aus dem Netz. Somit könne jeder mit Zugriff auf diesen Port beliebige Befehle ausführen und das System mit anderem Code zusätzlich infizieren.
Das sind für sich genommen natürlich keine besonderen Sicherheitslücken, von denen man wissen müsste. Skurril ist viel mehr, dass die malvuln-Forscher ausgerechnet Malware untersuchen. Der Schaden ist dabei bereits eingetreten und nachhaltig nur durch ein neu Aufsetzen des Systems zu beheben. Die Analysen zeigen aber auf, dass die Cyberkriminellen oftmals eher Code zusammen pfuschen und dass es ihnen egal ist, ob und dass sich weitere zwielichtige Gestalten auf den infizierten Systemen tummeln.
Quelle: heise
