Author Archives: marius

18 Jahre alte Sicherheitslücke in Windows entdeckt

Posted on by

Einer Meldung von heise.de können wir entnehmen, daß seit 18 Jahren im IE von Windows eine Lücke klafft, die sehr leicht ausnutzbar ist:

Lücke ist 18 Jahre alt
Entdeckt haben die Lücke die Sicherheitsforscher von IBMs X-Force-Team. Die Forscher geben an, die Lücke bereits im Mai 2014 an Microsoft gemeldet zu haben, einschließlich eines funktionsfähigen Proof-of-Concept. Microsoft hat sich mit dem Patchen also ein halbes Jahr Zeit gelassen. Die Lücke klafft offenbar bereits seit 18 Jahren in Windows: Windows 95 mit dem Internet Explorer 3 ist die erste anfällige Konstellation. Mit dem IE3 hat Microsoft die VBScript-Unterstützung eingeführt.
Quelle: http://www.heise.de/newsticker/meldung/Exploit-bringt-Nutzer-aller-Windows-Versionen-in-Gefahr-2457372.html
 

Das alleine wäre aber kein Grund hier aufzutauchen 🙂 Solche Lücken gibt es dutzendweise in allen möglichen Betriebssystemen und Komponenten. Was Sie an der Meldung stören sollte ist das hier:

Microsoft hat sich mit dem Patchen also ein halbes Jahr Zeit gelassen.

Wenn ich von Linux spreche, bringe ich immer wieder den Patchday von Microsoft als Grund, wieso man Windows nicht einsetzen sollte, da es mit unter 30 Tage dauern kann, bis eine Sicherheitslücke gestopft wird. Microsoft patcht nur sehr ungern Lücken außerhalb des Patchdays, obwohl die Benutzer nach bekanntwerden einer Lücke sofort Opfer eines Angriffs werden können. Im Gleichklang mit Microsoft, finden die Kriminellen das richtig gut.

Auf Linux gibt es keine Patchdays, außer Sie als Anwender spielen Updates immer manuell ein. Davon kann ich allerdings nur dringend abraten. Sobald ein Fix bekannt ist, sollte der Patch eingespielt werden. Dabei sollte es unerheblich sein, ob irgendetwas anderes, unwichtiges daran kurzfristig zerbricht, denn die Systemsicherheit sollte Vorrang haben.  Bei Serversystemen die Webshops u.ä. laufen haben, liegt der Fall etwas anders, wobei auch hier die Sicherheit Vorrang haben sollte. Solche Server werden i.d.R. anders mit Updates versehen, da sich die Systemumgebung nicht ändern darf. Beispiel CentOS oder Redhat Enterprise Linux.

Aber für Linux Desktops gilt:  Alle zwei Stunden sollte das automatische Update laufen um asap. mit Updates versorgt zu sein.

 

 

Dümmer als die Polizei erlaubt

Posted on by

Aus der Serie „Wären Verbrecher clever, müßten wir Angst haben“ heute die Telekom RechnungOnline:

Dieser Textblock, der in der Spam als Mine-Type text/plain markiert ist:

sehr geehrter Kunde<BR>
<BR>
Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat November,<BR>
<a href="http://truyenratngan.com/MVs52QmpI">Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 6542265421925 vom 07.11.2014 des Kundenkontos 1925654222).</a>
Mit freundlichen Grüßen,<BR>
Geschäftskundenservice<BR>

fällt definitiv in unsere Reihe „Dümmer, gehts nümmer“. Warum ?

Der Text ist gut kopiert, das Datum im Text aktuelle, die Rechtschreibung ok und einen vietnamesischen Webdienst als Downloadquelle für den lokalen Exploit zu benutzen ist, aus Sicht des Angreifers optimal,
dummerweise muß diese Email so derbe failen, weil die Autoren Ihre Filterfunktionen nicht im Griff haben.
In einem text/plain Textblock, kommt kein HTML vor und mit was sind die Zeilenumbrüche gemacht worden ? 🙂

Dazu noch der immernoch vorhandene HTML Link zum Exploit, der im Klartext sicher gleich aufgefallen wäre, also komplett gefailed 🙂

1+1: „Sie haben das Internet kaputt gemacht.“

Posted on by

Störung des Mailversands bei 1+1

Wie aus diversen Berichten von Betroffenen hervorgeht, hat 1+1 derzeit massive Probleme Emails eigener Kunden zu versenden und Emails an Kunden zu empfangen.

Seit 10:30 Uhr heute früh hat 1+1 eine Störungsmeldung auf ihrer Seite http://status.1und1.de

Die Ursache dafür, daß man 1und1 keine Emails mehr schicken kann, liegt darin begründet, daß viele Netze eine sogenannte CNAME-Delegation haben. Damit vermeiden große Anbieter, daß jeder kleine Kunde bei RIPE ein Netz bekommt. Stattdessen werden kleine Teile des eigenen Netzes an die Nameserver des Kunden delegiert. Dadurch kann der Kunde dann eigene PTR-Records für seine IPs setzen.

Nachforschungen zu folge, funktioniert genau dieser Mechanismus bei 1+1 Mailservern derzeit nicht mehr.

1+1 selber spricht nur von Emailproblemen seiner eigenen Kunden.

Die Störung bei 1+1 fing unseren Recherchen zufolge am 3.11. gegen 14.20 Uhr an.Eine typische Meldung sieht im Log so aus : host mx-ha02.web.de [213.165.67.120]: 554-web.de (mxweb101) Nemesis ESMTP Service not available\n554-No SMTP service\n554 invalid DNS PTR resource record, IP=1.2.3.4
Daran können Sie erkennen, ob Sie betroffen sind oder nicht.Der Support von 1und1 hat dies Problem bestätigt und verweist darauf, daß es mit Nachdruck gelöst wird. Wie lange auch immer das dauern mag 🙂