Gezielte Angriffe auf Unternehmen gehen weiter
Nicht nur das Sicherheitsproblem mit dem Internet Explorer bleibt akut, Angreifer nutzen auch weiterhin präparierte PDF-Dokumente für Angriffe. Während es für den Adobe Reader aber Updates gibt, arbeitet Microsoft noch daran.
- Daniel Bachfeld
Die Lücke im Internet Explorer, die bei den Angriffen auf Google benutzt wurde, ist zwar derzeit in aller Munde, doch Ungemach droht auch weiterhin aus anderer Richtung: präparierte PDF-Dokumente. Adobe hat zwar letzte Woche ein Update für seinen kostenlosen Reader veröffentlicht, doch offenbar setzen Kriminelle und Spione weiterhin darauf, dass noch nicht alle Anwender und Firmen die Updates installiert haben.
F-Secure berichtet von einem Angriff auf ein US-Unternehmen, das beim US-Verteidigungsministerium unter Vertrag steht. Vermutlich taiwanische Angreifer hatten vergangene Woche ein täuschend echtes Dokument dorthin verschickt, das eine seit mehreren Wochen bekannte Lücke (doc.media.newPlayer) im Reader ausnutzte, um auf einem Windows-PC eine Backdoor zu installieren. Das Update von Adobe schließt genau diese Lücke.
Für die Lücke im Internet Explorer gibt es indes immer noch kein Update. Nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben nun auch die französischen (CERTA) und australischen CERTs vor dem Einsatz von Microsofts Browser gewarnt und auf alternative Produkte verwiesen. Mittlerweile kursiert der Exploit zum Ausnutzen der Lücke öffentlich. Die Lücke beruht auf einem Fehler bei der Verarbeitung bestimmter JavaScript-Event-Objekte in der "Microsoft HTML Viewer"-Bibliothek mshtml.dll.
Erste deutsche Firmen haben bereits reagiert und untersagen ihren Mitarbeitern das Surfen mit dem Internet Explorer. Zwar hat Microsoft Workarounds veröffentlicht, wie das Anschalten der Datenausführungsverhinderung (DEP) und das Abschalten von Active Scripting, vermutlich dürfte die breite Masse der Anwender jedoch mit dem Nachvollziehen der Schritte Probleme haben – wenn sie denn überhaupt das eigentliche Problem wahrgenommen haben. Bislang gibt es jedoch keine Berichte, dass allgemein verfügbare Webseiten die Lücke ausnutzen.
Unterdessen untersucht Google, ob möglicherweise Mitarbeiter in der chinesischen Niederlassung bei den Angriffen eine Rolle gespielt haben. Dazu sollen nun die Netzwerke der chinesischen Niederlassung noch einmal analysiert werden, um eventuell Spuren des benutzten Backdoor-Trojaners zu finden. McAfee, die die ersten Analysen der Auroroa-Attacken veröffentlicht hatten, nennen das Schädlingskonglomerat "Exploit-Comele" und "Roarur.dr" und stellen dafür Signaturen bereit. Andere Antivirenhersteller haben ebenfalls bereits Signaturen zum Erkennen des Exploits (unter anderen Namen) bereitgestellt.
Siehe dazu auch:
- Exploit für IE-Sicherheitslücke jetzt öffentlich
- BSI warnt vor Nutzung des Internet Explorer
- "Rote Hacker": Cyber-Attacken aus China
- Sicherheits-Update für Adobe Reader und Acrobat verfügbar
- US-Bericht: China verstärkt Spionageangriffe auf Unternehmen
- Chinesische Spionage-Software infiltriert Rechner tibetischer Exil-Regierung
- Antivirenhersteller rät vom Einsatz des Adobe Reader ab
(dab)
