10. Februar 2005:

MSN Messenger im Visier

Die neuen Microsoft-Sicherheitsupdates sind kaum veröffentlicht, da tauchen im Internet auch bereits die ersten Exploits auf, die eben jene Sicherheitslücken ausnutzen, die Microsoft mit seinen Patch-Day-Flicken schließen wollte. Betroffen ist der Instant Messenger aus dem Hause Microsoft. Eines der am Patch-Day veröffentlichten Sicherheitsbulletins betrifft ein Sicherheitsloch im MSN Messenger, das per Update geschlossen werden sollte. Im Internet wurden nun gleich mehrere Exploits gesichtet, die exakt beschreiben, wie diese Lücke für einen Angriff zu nutzen ist. Sicherheitsexperten raten deshalb allen Microsoft-Kunden und MSN-Nutzern, das entsprechende Update umgehend zu installieren. Gleichzeitig ist im Netz das erste Trojanische Pferd aufgetaucht, das gezielt versucht, Microsofts Antispyware-Programm außer Gefecht zu setzen.

Buffer overflow durch manipulierte Grafik
Die fragliche Sicherheitslücke betrifft die „libpng“-Komponente des MSN Messengers. Letztere wird im Messenger benutzt, um Smileys, Icons und andere Grafiken im PNG-Format anzuzeigen. Wenn ein User per MSN Messenger Kontakt zu einem Chatpartner aufnimmt, werden in der Regel automatisch Benutzerbilder, so genannte Avatare, ausgetauscht, und zwar über den gleichen Kommunikationskanal, über den auch die Textmeldungen verschickt werden. Ein potenzieller Angreifer könnte nun bei einem Chatpartner einen so genannten Buffer overflow hervorrufen, indem er ihm eine manipulierte PNG-Grafik sendet. Dadurch würde es dem böswilligen Angreifer möglich, beliebigen Code im System seines Opfers zu platzieren. In letzter Konsequenz könnte er die absolute Kontrolle über den fremden PC erlangen.

Sicherheitsflicken dringend installieren
Dieses Sicherheitsloch wurde von der US-Sicherheitsfirma Core Security bereits im August letzten Jahres entdeckt und an Microsoft gemeldet. Obwohl Microsoft selbst das Problem als kritisch einstuft, wurde es erst knapp ein halbes Jahr nach seiner Entdeckung geschlossen. Einer der dreizehn kürzlich veröffentlichten Sammelpatches will diese Lücke flicken. „Es handelt sich um eine sehr ernste Sicherheitslücke“, bestätigt auch Max Caceres von Core Security. Denn jeder im Messenger-Netzwerk könne mittels der präparierten PNG-Grafik die Kontrolle über einen fremden PC erlangen, ohne dass dessen Besitzer etwas davon bemerkt. Es wird deshalb dringend empfohlen, den von Microsoft angebotenen Patch per Windows-Update zu installieren.

Trojaner gegen MS Spywareblocker
Antivirenfirma Sophos hat im Netz den ersten Trojaner entdeckt, der gezielt versucht, das kürzlich von Microsoft veröffentlichte Antispyware-Programm außer Gefecht zu setzen. Das Programm, dessen Betaversion von Microsoft derzeit noch zum kostenlosen Download angeboten wird, soll dafür Sorgen, dass Spionageprogrammen der Zugang zu Windows-Systemen verwehrt wird. Außerdem ist es laut Herstellerangabe in der Lage, eingehende Daten auf schädlichen Programmcode hin zu überprüfen. Das Trojanische Pferd, das nun auf den MS Spywareblocker angesetzt wurde, hört auf den Namen BankAsh-A. Das Abschalten des Spywareblockers ist nur eine von vielen Schadfunktionen, die diesem Schadprogramm von seinem Schöpfer implantiert wurden. So lotst der Trojaner Anwender auf gefälschte Seiten US-amerikanischer Banken und liest laut Sophos sämtliche Tastatureingaben mit. Daneben kann er weitere Kennworte aus dem geschützten Speicherbereich auslesen, in dem Windows Passworte ablegt. Die ausspionierten Informationen werden anschließend automatisch an einen FTP-Server versandt. Damit noch nicht genug. BankAsh-A kann weitere Programme aus dem Internet nachladen und den befallenen PC zu einer ferngesteuerten Spamschleuder umfunktionieren. Seinen Verbreitungsgrad stuft Antivirenfirma Sophos derzeit mit gering ein.

Zurück zur News-Übersicht