Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

Tarnung von Schadsoftware bei Downloads mit dem IE

Olaf19 / 20 Antworten / Flachansicht Nickles

Hallo zusammen!

Heute bei Golem gefunden - urteilt mal selber, hat das wirklich schon das Prädikat "Sicherheitslücke" verdient? Ich meine nein:

IE-Sicherheitsloch umgeht SP2-Sicherheitsfunktion - Sicherheitslücke im IE erlaubt Tarnen von Programmdateien

Netterweise gibt uns Golem gleich eine Lösung mit auf den Weg:

Zur Ausnutzung des Sicherheitslochs muss das Opfer die standardmäßig aktivierte Option
"Erweiterungen bei bekannten Dateitypen ausblenden" selektiert haben

- und genau das gehört zu den ersten Einstellungen, die ich nach einer Windows-Installation ändern würde. In einem beliebigen Fenster
Extras > Ordneroptionen > Ansicht > Haken entfernen bei "Erweiterungen ... ausblenden"> Übernehmen > Für alle übernehmen
...und wenn man schon mal dabei ist: Ich würde außerdem noch

- den Haken entfernen bei "Geschützte Systemdateien ausblenden"
- den Haken setzen bei "Inhalte von Systemordnern anzeigen"
- Versteckte Dateien und Ordner: Radiobutton "Alle Dateien und Ordner anzeigen" setzen

Es ist vielleicht Geschmackssache, aber ich weiß gerne genau Bescheid darüber, was sich auf meinem System abspielt. Diese ewige Versteckerei von Dateien und Ordnern behagt mir nicht. Gefahr dabei: Ich könnte lebenswichtige Dateien wie boot.ini oder ntloader einfach umbenennen oder in den Papierkorb schmeißen - aber das lässt sich relativ leicht vermeiden :-)

Summa summarum: Ein klein wenig Verantwortung muss man als User schon selbst übernehmen, was man sich herunterlädt und aus welchen Quellen. Ich würde nicht unbedingt von meinem Browser erwarten, dass er mir die ganze Denkarbeit abnimmt. Wenn er es denn doch tut - durch die bei Golem geschilderte neue Warnfunktion in SP2 - dann ist das ein netter Service vom Browser, auf den man sich aber nicht verlassen sollte.

Für die eigene Wachsamkeit des Anwenders schafft nach meiner Auffassung keine technische Maßnahme einen adäquaten Ersatz.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Erweiterungen bei bekannten Dateitypen ausblenden Das bleibt aber eine der ... Tilo Nachdenklich
Erweiterungen ausblenden / Partitionierung Olaf19
... Aber das bringen noch nicht mal die Linux-Distributionen Vielleicht ... xafford
xafford! Natürlich gleich was unterstellen. SuSE-Linux z.B. hat noch nie ... Tilo Nachdenklich
Unerwünschte Daten auf der C-Partition Olaf19
Es ist eine Sicherheitslücke. Ums kurz zu machen. Jede Defaulteinstellung, ... gelöscht_137978
Hallo zusammen, ich denke schon, dass es ein Siccherheitsloch ist. Wir ... freshi74
Das kommt darauf an. Wenn Du deine Platte schon partitioniert hast und nur ... xafford
@Ede und Freshi Olaf19
xafford Olaf19 „@Ede und Freshi“
Optionen

Allerdings wirft das Ganze doch Fragen auf. Microsoft hat mit SP2 vollmundig eine neue Sicherheitsinitiative proklamiert die, wie sich nach und nach herausstellt und wie vorher zu vermuten war, nicht auf Dauer zuverlässig bleibt.
Problematisch wird es z.B. durch die Stack-Protection, die mit SP2 kam. Diese schützt den Stack vor dem Überschreiben, indem zwischen abgelegte Werte ein sogenanntes Canary abgelegt wird, eine Art Prüfwert. Versucht Schadcode Teile des Stack zu überschrieben, so wird er unweigerlich auch das Canary überschreiben, da der Angreifer das Canary nicht kennt kann er es auch nicht in sienem Schadcode implementieren. Stößt das Betriebssystem nun darauf, daß ein Canary fehlt, so wird die Ausführung abgebrochen (stark vereinfacht).
Man könnte nun mutmaßen, daß sich der ein oder andere Verantwortliche auf dieses Feature verlässt bei der Gefahr von Stack Overflows in der Überzeugung, daß es die Symptome wirksam bekämt und man die Ursachen vernachlässigen kann. Was aber, wenn auch dieses Feature nicht 100%ig wäre? Ist es das? Mal ein paar Gedanken dazu:


  • Neben Stack-Overflows gibt es auch noch Heap-Overflows, auch wenn diese mehr oder weniger theoretischer Natur sind (derzeit noch). Gibt es jedoch fast flächendeckend eine Stack-Protection, so könnten sich findige Hacker ebenso auf den Heap einschießen.

  • Microsoft selbst hat im NX-Feature eine Hintertür eingebaut, um alte .NET-Anwendungen, welche mit selbstmodifizierendem Code arbeiten am Laufen zu halten. Zwar ist dies Managed Code, aber auch dies sollte kein Hindernis sein.

  • Auf Phrack.org gibt es einen Grundlagenartikel, der sich mit der Möglichkeit beschäftigt eine Stack-Protection mittels Canary zu überwinden, dies ist zwar auch eher theoretisch, das waren Stack-Overflows bei der Einführung von C aber auch.

  • Die Stack-Protection für Solaris wurde schon vor längerer Zeit (2002) überwunden.

  • Die möglichen Angriffe wurden auch teilweise schon dokumentiert [Quelle].



Letzendlich gibt es für jeden Schutz eine Möglichkeit, diesen zu umgehen. Am gefährlichsten ist dies, wenn man davon ausgeht, der Schutz wäre nicht zu knacken. Man kann nur hoffen, daß diese kleinen Pannen in den Sicherheitsfunktionen von SP2 die Leute vor dieser irrigen Annahme bewahren.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
@Ede und Freshi gelöscht_137978
Windows dichtmachen Olaf19
Mal eine Frage: Welche Schadsoftware tarnt sich eigentlich nicht und meldet ... The Wasp
Erstaunlich - bei heise.de werden gleichfalls 2 schwere Lücken unter ... Grossadministrator
über Windows regt man sich schon per default auf. - freshi74
Hi Grossadministrator, auf genau diesen Umstand bin ich in meinem ... Olaf19
Bitte alle mal die Hand heben, die hier Unix verwenden...wie, keiner? xafford
So kann man es auch formulieren ;-)) Olaf19
Hallo Olaf! Du schreibst: Wie gesagt - jeder User trägt selbst die ... Tilo Nachdenklich
Moin Tilo, bei Benzin gibt es angeblich keine Qualitätsunterschiede, egal ... Olaf19