lost+found: Cyber-Waffenhersteller, ASLR, PowerShell und Dalai Lama
Heute mit: Einem Waffenhersteller auf der Suche nach neuen Märkten, einer wählerischen Malware, neuen ASLR-Tricks, der PowerShell auf der dunklen Seite der Macht, einem neuen Mac-Trojaner und einem Default-Passwort.
Wenn keiner mehr U-Boote, Panzer und Kampfjets kauft, muss man sich eben neu orientieren: General Dynamics sucht Sicherheitsspezialisten mit reichlich Erfahrung in der Entwicklung von Exploits – unter anderem für Linux, Android, Blackberry und iPhone/iPad.
Die Malware Skylock ist wählerisch: Sie startet nur auf Systemen mit mindestens 12 GByte Festplattenplatz, 256 MByte Arbeitsspeicher und aktivem Smartcard-Systemdienst. Nicht etwa, weil er die Ressourcen benötigen würde, sondern weil virtuelle Maschinen – etwa in Virenlabors – oft nicht alle drei Punkte erfüllen können. Skylock versucht sich so einer Analyse zu entziehen.
Microsoft hat die Speicherverwürfelung (Address Space Layout Randomization, ASLR) mit Windows 8 weiter verbessert. Was das genau bedeutet, haben die beiden Sicherheitsexperten Artem Shishkin und Ilya Smith ausprobiert.
Der Entwickler Adam Driscoll zeigt in seinem Blog, wie man mit der PowerShell die Funktion CryptProtectData() der Data-Protection-API hookt. Die Daten, die eigentlich geschützt werden sollen, landen dadurch im Klartext in einer Textdatei.
F-Secure hat einen neuen Mac-Schädling namens Dockster gesichtet, der offenbar gezielt an Anhänger des Dalai Lama verteilt wird. Die Infektion erfolgt über eine Schwachstelle in älteren Java-Versionen.
In einem Technical Advisory zu einem seit August bekannten Default-Passwort in Symantec Messaging Gateway weist Ben Williams darauf hin, dass der von Symantec eingesetzte Linux-Kernel von 2007 stammt und reihenweise Privilege-Escalation-Lücken enthält. Damit wird die Support-Hintertür zum Remote-Root-Exploit. (ju)
