Von Lücke zu Lücke: Angriffswelle mit Tibet-Köder hält an

Spionagesoftware wird über immer neue Sicherheitslücken eingeschleust

Tags: #news #nachrichten #Microsoft #Cybercrime #Sicherheitsluecke

Hallbergmoos, 20. April 2012. Die Angriffswelle, die das Interesse vieler Menschen an Tibet missbraucht, reißt nicht ab. Im jetzigen Fall waren unter den E-Mail-Empfängern auch einige tibetische Nichtregierungsorganisationen, die E-Mail war zudem Teil einer Kampagne einer Gruppe, die in der Vergangenheit auch E-Mails mit direktem Tibet-Bezug als Köder genutzt hat. Neben dem Thema ist eine weitere Konstante dieser Attacke das Ausnützen von Sicherheitslücken jüngeren Datums, in diesem Fall von CVE-2012-0158. Dadurch lässt sich in verschiedenen Microsoft-Produkten bösartiger Code einschleusen, der die Opfer ausspioniert. Die Angreifer scheinen bewusst darauf zu setzen, dass die Anwender nicht sofort nach Erscheinen Sicherheitsaktualisierungen einspielen, sondern erst mit einer gewissen zeitlichen Verzögerung. So auch in diesem Fall: Denn die Lücke wurde von Microsoft am vergangenen „Patch Tuesday“ geschlossen (MS12-027).

Der Infektionsweg beginnt mit dem Empfang einer E-Mail-Nachricht, die einen verseuchten Dateianhang im RTF-Format enthält. Wer den Anhang öffnet, installiert eine Spionagesoftware, die mit Befehls- und Kontrollservern wahrscheinlich in China kommuniziert. Etwas kurios ist die Tatsache, dass die Spionagesoftware digital signiert ist. Was normalerweise als Echtheitsbestätigung einer vertrauenswürdigen Quelle dient, ist in diesem Fall offensichtlich eine Fälschung.

Aktualisierungen einspielen
Trend Micro rät Anwendern daher dringend, ihre Systeme und Anwendungen auf dem aktuellen Stand zu halten und Sicherheitsaktualisierungen so schnell wie möglich zu installieren. Trend Micro-Kunden sind vor der beschriebenen Attacke über die Reputationsdienste des Trend Micro Smart Protection Network geschützt.

Virtuelles Patchen für Unternehmen
Unternehmen, die sich vor Angriffen über Sicherheitslücken schützen wollen, aber aus Aufwands- und Kostengründen ihre Endpunkte nur in größeren zeitlichen Abständen aktualisieren können, sollten die Möglichkeit des virtuellen Patchens in Betracht ziehen. Trend Micro bietet seinen Kunden insbesondere zwei Lösungen, mit denen sich Sicherheitslücken schnell und kostengünstig schließen lassen: „Deep Security“ sowie „OfficeScan“ mit dem „Intrusion Defense Firewall-Plugin“.