lost+found XXL: Was von der Woche übrig blieb
Heute mit: Google hackt Windows, Strukturen statt Signaturen, einem Backdoor-Scanner, musikalischer Android-Malware, verdächtigen Systemdateien, John the Ripper und - tätäää - Spionen aus China.
Googles Star-Hacker Tavis Ormandy hat eine Local Privilege Escalation Lücke in Windows veröffentlicht : "Ich habe einen Exploit, der SYSTEM-Rechte auf allen unterstützten Windows-Versionen verschafft." Studenten erhalten ihn auf Anfrage. Nebenbei schießt er ein paar Spitzen Richtung Microsoft ab: "So weit ich das sehe, ist der Code auf Vor-NT-Zeiten (über 20 Jahre alt), also bedankt euch bei SDL ..." Er spielt damit auf Microsofts viel gepriesenen Security Development Lifecycle an, der die Zahl der Sicherheitslücken drastisch reduzieren soll.
Der Signaturscan eines Virenschutzprogramms lässt sich leicht austricksen. Der Virenscannerdienst Simseer experimentiert deshalb mit Malware-Signaturen, die von der Programmstruktur der zu untersuchenden Datei abgeleitet werden. So soll man unter anderem Ähnlichkeiten zu bekannten Malware-Familien feststellen können.
Vom Hersteller installierte Backdoor-Accounts in Embedded-Geräten scheinen eher Regel als Ausnahme zu sein. Die Sicherheitsexperten von IOActive Labs haben ein Tool namens Stringfighter entwickelt, das Hintertürchen in Firmware-Images automatisch aufspüren soll. Stringfighter soll bereits eine Backdoor in speicherprogrammierbaren Steuerungen des deutschen Herstellers Turck aufgedeckt haben. Veröffentlicht wurde das Tool bislang nicht.
Das Android-Phone als Schläfer: Forscher der University of Alabama at Birmingham (UAB) haben Szenarien untersucht (PDF), in denen Android-Malware die Sensoren des Smartphones nutzt, um auf äußere Einflüsse zu reagieren. Denkbar wäre etwa ein Trojaner, der erst aktiv wird, wenn er etwa Musik hört.
Der Malware-Forscher Nataraj Lakshman hat zunächst rund 8000 Systemdateien aus dem Lieferumfang diverser Windows-Versionen mit VirusTotal überprüft – die 46 Virenscanner waren sich erwartungsgemäß einig und hielten die Dateien für harmlos. Nachdem der Forscher die Dateien jedoch mit verschiedenen Exe-Packern komprimierte und erneut untersuchen ließ, schlug das Ergebnis radikal um: fast alle Dateien wurden nun von mindestens 10 Scannern als Malware eingestuft. Offenbar ist der bloße Einsatz eines Exe-Packers für viele AV-Schutzprogramme verdächtigt genug.
Version 1.8 des Allzweck-Passwortknackers John the Ripper wurde vom Metasploit-Hersteller Rapid7 gesponsort. Prominente Änderungen betreffen den "incremental Mode", bei dem JtR alle möglichen Zeichenkombinationen testet. Allerdings beginnt der Cracker dabei nicht stumpf bei a und arbeitet sich zu 0000000 durch, sondern probiert anhand vorberechneter, bedingter Wahrscheinlichkeiten (Markov Modelle) möglichst wahrscheinliche Zeichenkombinationen zuerst.
Nicht nur die USA mutmaßt über Cyberspionage aus China, auch in Australien wurden Zugriffe auf Staats- und Militärgeheimnisse festgestellt. So sollen unter anderem die geheimen Baupläne des neuen Hauptquartiers des australischen Geheimdienstes (ASIO) ausgehorcht worden sein. (ju)
