Gerade hat Microsoft die folgende Pressemitteilung veröffentlicht, die ich hier unkommentiert weitergebe:

Unterschleißheim, 21. Januar 2010. Wir haben in den letzten zwei Tagen zahlreiche Kundenanfragen zur Verfügbarkeit eines Sicherheitsupdates für die bekannte Lücke in allen Internet Explorer Versionen und damit verbundenen HTML Attacken bekommen. Wir wissen, dass gerade für Unternehmenskunden diese Information wichtig ist, weil sie entsprechende Ressourcen zum Einspielen des Updates auf den PCs der Mitarbeiter einplanen müssen. Deshalb war die Abwägung für oder gegen ein sogenanntes “out-of-band” Update nicht leicht. Wir sind aber davon überzeugt, dass ein “außer-der-Reihe” Update jetzt die richtige Entscheidung ist. Das Update für das unter Security Advisory 979352 bekannte Problem wird heute (21.1.2010 MESZ) am frühen Abend zur Verfügung stehen.

Wenn Ihr Rechner häufig auch von einer anderen Person verwendet wird, wollen sie eventuell den Zugriff dieser Person auf Ihre Anwendungen, Dateien oder Dokumente beschränken. Mit dem Werkzeug AppLocker haben Sie einige Möglichkeiten, den Zugriff anderer Anwender auf ausführbare Dateien, Installationspakete oder Skripte einzuschränken. Drücken Sie einfach die Windows-Taste und geben Sie gpedit.msc ein. Damit rufen Sie den Editor für lokale Gruppenrichtlinien auf. Wechseln Sie in ihm zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Anwendungssteuerungsrichtlinien -> Applocker. Klicken Sie mit der rechten Maustaste auf eine der Optionen (Ausführbare Regeln, Windows Installer-Regeln oder Skriptregeln) und erstellen Sie eine neue Regel. Diese kleine Aufgabe wird Ihnen in der Zukunft viel Arbeit ersparen.

Microsoft gestern, Dienstag 28. Juli 2009, gegen 19.00 Uhr deutscher Zeit zwei außerplanmäßige Sicherheitsupdates veröffentlicht. Die Updates betreffen alle unterstützten Versionen des Windows Internet Explorer (Internet Explorer 5, 6, 7 und 8 für Windows 2000, Windows XP und Windows Vista sowie Windows Server 2003 und Windows Server 2008) sowie die Visual Studio-Produktfamilie (Microsoft Visual Studio .NET 2003, 2005, 2008 sowie Visual C++ 2005 und 2008).

Microsoft empfieht dringend, die verfügbaren Sicherheitsupdates umgehend und direkt über Microsoft Update zu installieren.
Für IT-Professionals hat Microsoft unter ‘Microsoft Security Bulletin MS09-034 – Critical: Cumulative Security Update for Internet Explorer (972260)‘ und ‘Microsoft Security Bulletin MS09-035 – Moderate: Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)‘ bereits englischsprachige technische Beschreibungen der Updates in Form von Security Bulletins hinterlegt, die innerhalb der nächsten 24 Stunden im TechNet-Sicherheitscenter auch in deutscher Sprache verfügbar sein werden.

Microsoft untersucht eine vertraulich gemeldete Sicherheitsanfälligkeit im Microsoft Video-ActiveX-Steuerelement. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Wenn Internet Explorer verwendet wird, wird die Codeausführung von einem Remotestandort aus durchgeführt und erfordert möglicherweise keinen Benutzereingriff.

Uns ist bekannt, dass es zu Angriffen unter Ausnutzung der Sicherheitsanfälligkeit gekommen ist.

Unsere Untersuchung hat ergeben, dass es keine geplanten Verwendungen für dieses ActiveX-Steuerelement in Internet Explorer gibt, was alle Klassenkennungen innerhalb der Datei “msvidctl.dll” umfasst, die dieses ActiveX-Steuerelement hostet. Benutzern von Windows XP und Windows Server 2003 empfiehlt Microsoft, die Unterstützung für dieses ActiveX-Steuerelement in Internet Explorer zu entfernen und alle Klassenkennungen zu verwenden, die im Abschnitt Problemumgehung aufgeführt werden. Auch wenn Windows Vista und Windows Server 2008 nicht von dieser Sicherheitsanfälligkeit betroffen sind, empfiehlt Microsoft den Benutzern, die Unterstützung für dieses ActiveX-Steuerelement in Internet Explorer zu entfernen und dieselben Klassenkennungen als Tiefenverteidigungsmaßnahme zu verwenden.

Benutzer können verhindern, dass das Microsoft Video-ActiveX-Steuerelement in Internet Explorer ausgeführt wird. Dies kann entweder manuell mithilfe der Anweisungen im Abschnitt Problemumgehung erfolgen oder automatisch mithilfe der Lösung im Microsoft Knowledge Base-Artikel 972890. Durch das Verhindern der Ausführung des Microsoft Video-ActiveX-Steuerelements in Internet Explorer wird die Anwendungskompatibilität nicht beeinträchtigt.

Wir arbeiten aktiv mit Partnern in unserem Microsoft Active Protections Program (MAPP) zusammen, um Informationen bereitzustellen, mit denen sie einen umfassenderen Schutz für ihre Kunden bereitstellen können.

Microsoft arbeitet derzeit an der Entwicklung eines Sicherheitsupdates für Windows, um diese Sicherheitsanfälligkeit zu beheben, und wird das Update veröffentlichen, wenn eine Qualität erreicht ist, die für eine breite Verteilung angemessen ist.

Schadensbegrenzende Faktoren:

Ich habe ja eine gute Erziehung genossen und dabei auch gelernt, dass Schadenfreude äußerst unhöflich ist. Trotzdem fällt es mir manchmal schwer, diese unhöfliche Gefühlsregung zu unterdrücken. So auch in diesem Fall.

Conficker – ein Virus wie aus dem Museum

Eigentlich hatte ich ja gedacht, dass Schadsoftware, die sich per Wechseldatenträger verbreitet, mit der Verbreitung des Internets veraltet ist und nicht mehr entwickelt wird. Conficker beweist das Gegenteil. Die Software verbreitet sich wirklich über USB-Sticks und installiert sich über die Autorun-Funktion von Windows. Obwohl Microsoft bereits Ende Okotober 2008 einen Sicherheitspatch bereitgestellt hat, hat Conficker auf diese Weise nach verschiedenen Schätzungen bereits mehrere Millionen Rechner infiziert. Dabei handelt es sich nicht nur um Rechner von Privatanwendern, auch das Netz der Landesregierung von Kärnten hat es erwischt. Wie konnte es dazu kommen?

OK, jeder steckt mal einen USB-Stick in einen fremden Rechner. Dass sich dabei eine Schadsoftware auf den Stick kopiert ist nicht auszuschließen. Das kann jedem passieren. Aber wie kommt die Schadsoftware anschließend auf den eigenen Rechner? Zunächst einmal muss der Administrator irgendwann einmal angegeben haben, dass Installationsprogramme auf Wechseldatenträgern automatisch gestartet werden. In vielen Fällen ist das ja auch ganz bequem, beispielsweise wenn eine DVD eingelegt wird, von der eine Software installiert werden soll. Automatisch werden die Bildschirme des Installationsprograms angezeigt. Aber wenn es sich um eine Schadsoftware handelt, ist es mit der Bequemlichkeit  schnell vorbei. Sicher – der Virus ist problemlos installiert – aber will man das wirklich? Bei mir ist die Autorun-Funktion auf allen Rechnern ausgeschaltet.

Was geschieht eigentlich während der Installation einer Schadsoftware? Zunächst einmal muss sich die Software an eine Stelle kopieren, an der sie nicht so einfach gefunden werden kann. Zwischen den Dokumenten des Anwenders würde sie auffallen und würde schnell entdeckt. In c:\Windows\system oder einem ähnlichen Verzeichnis ist sie erheblich besser versteckt und die Gefahr, dass der Anwender die Schadsoftware entdeckt und einfach löscht, ist erheblich geringer. Dann muss sich die Software noch in der Registry eintragen, damit sie beim nächsten Systemstart erneut gestartet wird. In vielen Fällen muss sie auch noch weitere Funktionalitäten aus dem Internet nachladen und dafür eine Lücke in der Firewall aufmachen. Alle diese Aufgaben erfordern Adminrechte. Diese Adminrechte hat eine Software aber nur, wenn sie unter einem Administrator-Account gestartet wird. Ein “normaler” Benutzer hat weder das Recht, in die Systemverzeichnisse zu schreiben, noch darf er die Registry verändern oder die Firewall öffnen. Damit Sie sich einen Virus oder eine andere Malware einfangen können, müssen Sie daher zum Einen mit Adminrechten arbeiten, und Sie müssen die Sicherheitsabfrage deaktiviert haben, in der Sie Ihr Passwort eingeben müssen, bevor Sie eine Aktion ausführen können, die Adminrechte erfordert. Wie dieser Sicherheitsmechanismus deaktiviert wird, stand kurz nach Erscheinen von Vista in allen Gazetten, da sie ja so furchtbar störend ist. Wenn Sie diese Abfrage ausgeschaltet haben, erhalten Sie jetzt die Quittung und Sie müssen nicht einmal bestätigen, dass Sie den Virus auch wirklich haben wollen.

Eigentlich ist es doch ganz einfach, sich gegen die Schadsoftware zu schützen. Fassen wir noch einmal zusammen:

• Deaktivieren Sie die Autorun-Funktion
• Arbeiten Sie immer mit den geringsten Benutzerrechten, die Sie benötigen. Loggen Sie sich nur dann mit Admin-Rechten ein, wenn Sie sie auch wirklich benötigen.
• Lassen Sie die Sicherheitsabfrage vor den Aktionen mit Adminrechten eingeschaltet.
• Sollte auf Ihrem Rechner das automatische Update ausgeschaltet sein, ändern Sie dies, damit Ihr Rechner durch die aktuellsten Sicherheitspatches geschützt wird.

Auch ja, benötigen Sie dann noch eine Anti-Virensoftware? Selbstverständlich. Aber das sollte halt nicht der einzige Schutz sein, sondern lediglich der Sicherheitsanker für Situationen, in denen alle anderen Mechanismen nicht greifen können.

Gerade kam aktuell die folgende Sicherheitswarnung:

Am Wochenende wurde gemeldet, dass es verstärkte Angriffe auf die Sicherheitslücke gibt, die in dem Microsoft Security Bulletin MS08-067 beschrieben wurde. Hierin wurde auf die Verfügbarkeit von Angreifer-Code hingewiesen, der die in Security Bulletin MS08-067 adressierte Sicherheitsanfälligkeit im Serverdienst ausnutzt und Remotecodeausführung ermöglichen kann. Betroffen sind Systeme unter Windows 2000, Windows XP und Windows Server 2003, auf denen das in MS08-067 bereitgestellte Sicherheitsupdate noch nicht installiert wurde.

Empfehlung: Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Sicherheitsupdate für Microsoft Internet Explorer (960714)

Version: 1.0

Allgemeine Informationen

Dieses Sicherheitsupdate wird für Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1 und Internet Explorer 7 als kritisch eingestuft. Informationen zu Internet Explorer 8 Beta 2 finden Sie im Abschnitt Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Internet Explorer Datenbindungsparameter überprüft und den Fehler verarbeitet, der zu der Sicherheitsanfälligkeit führt. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ im nächsten Abschnitt, Informationen zu Sicherheitsanfälligkeiten.

Mit diesem Sicherheitsupdate wird auch die Sicherheitsanfälligkeit behoben, die erstmals in der Microsoft-Sicherheitsempfehlung 961051 beschrieben wurde.

Empfehlung. Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Bekannte Probleme. Keine

Ich veröffentliche hier die aktuelle Sicherheitswarnung aus dem Hause Microsoft.

Sicherheitsanfälligkeit in Internet Explorer kann Remotecodeausführung ermöglichen

Microsoft setzt seine Untersuchungen bezüglich neuer öffentlicher Meldungen über Angriffe, die eine neue Sicherheitsanfälligkeit in Internet Explorer ausnutzen, auch weiterhin fort. Unsere bisherige Untersuchung hat ergeben, dass die Angriffe nur gegen Windows Internet Explorer 7 unter den unterstützten Editionen von Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1 und Windows Server 2008 gerichtet sind. Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1, Microsoft Internet Explorer 6 und Windows Internet Explorer 8 Beta 2 unter allen unterstützten Versionen von Microsoft Windows sind möglicherweise ebenfalls anfällig.

Diese Sicherheitslücke basiert auf einer ungültigen Zeigerreferenz in der Datenbindungs-Funktion von Internet Explorer. Wenn die Datenbindung aktiviert ist (dies ist standardmäßig der Fall), dann ist es unter bestimmten Bedingungen möglich, ein Objekt ohne Aktualisierung der Array-Länge freizugeben was eine Möglichkeit eröffnet, auf den Speicherbereich des gelöschten Objektes zuzugreifen. Dies kann zu einer unerwarteten Beendigung von Internet Explorer führen. Internet Explorer verbleibt in einem Status, in dem die Sicherheitslücke ausgenutzt werden kann.

Im Moment sind uns nur wenige Angriffe bekannt, die diese Sicherheitslücke gegen Windows Internet Explorer 7 nutzen. Unsere Untersuchungen dieser Angriffe haben so weit bestätigt, dass die Angriffe gegen Kunden, die die Problemumgehungen aus dieser Sicherheitsempfehlung umgesetzt haben, wirkungslos sind. Sie finden in dieser Sicherheitsempfehlung außerdem zusätzliche Möglichkeiten zur Problembehebung diese sorgen dafür, dass es noch schwieriger wird, die Sicherheitslücke auszunutzen.

Wir arbeiten aktiv mit Partnern in unseren Microsoft Active Protections Program (MAPP)- und Microsoft Security Response Alliance (MSRA)- Programmen zusammen, um Informationen bereitzustellen, mit denen Sie Ihren Benutzern einen breiteren Schutz bereitstellen können. Außerdem arbeiten wir aktiv mit Partnern zusammen, um die Bedrohungslage zu überwachen, und ergreifen Maßnahmen gegen schädliche Websites, mit denen versucht wird, diese Sicherheitsanfälligkeit auszunutzen.

Wir untersuchen die Sicherheitsanfälligkeit, die durch diese Angriffe ausgenutzt werden soll, aktiv. Wir werden die Bedrohungslage weiter überwachen und diese Empfehlung aktualisieren, wenn die Situation sich ändert. Nach Abschluss dieser Untersuchung wird Microsoft angemessene Maßnahmen zum Schutz seiner Kunden ergreifen. Dabei kann es sich um die Bereitstellung einer Lösung durch ein Service Pack, die monatliche Veröffentlichung von Sicherheitsupdates oder ein außerordentliches Sicherheitsupdate handeln, je nach Kundenanforderungen.

Microsoft ermutigt Benutzer weiter, die Richtlinien zum Schutz des eigenen Computers zu befolgen, indem sie eine Firewall aktivieren, alle Softwareupdates anwenden und Antivirus- und Anti-Spyware-Software installieren. Zusätzliche Informationen finden Sie unter Sicherheit zu Hause.

Schadensbegrenzende Faktoren:

Wie sicher sind Sie im Internet unterwegs? Microsoft hat in Zusammenarbeit mit der Ludwig-Maximilians-Universität in München eine Simulationsplattform entwickelt, auf der Sie selbst testen können, ob Sie gefährliche Situationen im Netz erkennen können. Die Plattform finden Sie unter http://www.irbi.de. Dort werden häufig benutzte Anwendungen und Webseiten täuschend ähnlich dargestellt. Die Simulation erlaubt es Ihnen, realitätsnah Erfahrungen mit Bedrohungen zu sammeln, die Ihnen in der Online-Welt zwar begegnen können, die aber doch zu selten sind, um sich und das eigene Verhalten ohne zusätzliche Trainingsmöglichkeit wirklich darauf einzustellen. Wichtige Risiken, für die das System Simulationen bereithält, sind beispielsweise die unterschiedlichen Spielarten des Identitätsdiebstahls, wie sie beim Ausspionieren persönlicher Informationen über Internet-Plattformen oder beim Phishing eine zentrale Rolle spielen. Außerdem simuliert das System unterschiedliche Tricks, mit denen Angreifer Viren und Trojaner auf die PCs von Anwendern schleusen.  Sie bekommen ein unmittelbares Feedback, ob Ihre Entscheidungen richtig oder falsch waren.

Klaus Jansen, Bundesvorsitzender des Bundes Deutscher Kriminalbeamter (BDK) meint: “Wir begrüßen die Initiative von Microsoft. Der IRBI ist ein wichtiges Werkzeug hin zu einem sicheren Umgang mit dem PC und dem Internet. Die Ludwig-Maximilians-Universität hat eine Methodologie geschaffen, die Psychologie und Verhaltensmuster berücksichtigt, das kann der Schlüssel zum Erfolg sein. Technik allein kann uns hier nicht helfen. Sicheres Verhalten gibt Kriminellen im Netz keine Chance, ein wichtiger Punkt für den BDK.”

Derzeit besteht die Simulation nur aus einem Test, der aus 15 Szenarien besteht. Microsoft plantaber , neue Risiken im Web regelmäßig in IRBI-Simulationen umzusetzen und das System so stets aktuell zu halten.