Lesen Sie hier in Auszügen den Viren-Bericht "Moderne Gefahren im zweiten Quartal 2006" des russischen Antiviren-Spezialisten Kaspersky:
"Das 2. Quartal 2006 erscheint oberflächlich als eines der ruhigsten in den letzten Jahren. Die Virenschreiber gönnten sich eine Pause zur Erarbeitung neuer Methoden, um Antiviren-Programmen entgegenwirken zu können. Deshalb entwickelten sich grundlegende Kämpfe in einem dem einfachen Nutzer nicht erkennbaren Bereich. Wir versuchen nun, detaillierter über die Ereignisse zu berichten.
Vielfältige Schwachstellen in MS-Office-Produkten
Wir alle erinnern uns daran, dass die letzten drei Jahre durch eine gewaltige Anzahl kritischer Schwachstellen im Betriebssystem Windows gekennzeichnet waren. Begriffe wie RPC-DCOM, LSASS, WINS und PnP wurden nicht nur zum Gesprächsstoff für Systemadministratoren und Programmierer, sondern bereiteten auch den Analytikern von Antivirus-Unternehmen Kopfschmerzen und versetzten einfache Nutzer in Angst und Schrecken. Löcher von gigantischem Ausmaß in Windows-Netzanwendungen ermöglichten den Zugang zu zig Millionen verwundbarer Computer auf der ganzen Welt - und die Virenschreiber nutzten das natürlich aus. Eben wegen dieser Schwachstellen wurden solch epochale Würmer wie Lovesan, Sasser oder Mytob zum Leben erweckt - ganz abgesehen von den hunderten anderen, dem breiten Publikum weniger bekannten, aber dennoch nicht weniger gefährlichen Viren.
Ungefähr bis zum Herbst 2005 gelang es Microsoft mehr oder weniger gut, diese Schwachstellen zu beseitigen, was vor allem von der Entwicklung des zweiten Servicepacks für Windows XP gefördert wurde. Damit verlagerten die Hacker ihre Aufmerksamkeit von Windows-Hauptmodulen auf zweitrangige System-Komponenten. Den größten Erfolg erzielten sie im Dezember 2005, als sie eine Lücke in WMF-Dateien entdeckten und ausnutzten. Ein anderer Teil der Hacker-Gemeinschaft richtete seinen Blick auf die Suche nach Problempunkten in Antiviren-Programmen und Netzinstallationen. Doch ab dem Sommeranfang 2006 geriet die zweite wichtige Entwicklung von Microsoft ins Visier (betrachtet man die Gewinne, ist es eigentlich die wichtigste): das MS-Office-Paket.
Die in Microsoft Office genutzten OLE-Dateien haben schon vor langer Zeit die Aufmerksamkeit der Sicherheits-Experten geweckt. Dieses Format bleibt - ungeachtet dessen, dass es schon ziemlich lange gut dokumentiert ist - bis heute eine eigentümliche Blackbox mit einer Vielzahl von Elementen. Eine zu große Anzahl kritisch wichtiger Bereiche und zu viele verworrene Wechselwirkungen zwischen den Bereichen - all das hat bereits im Jahr 2003 zum Entstehen einer gefährlichen Schwachstelle in MS-Office-Dokumenten (MS03-037) geführt, die es gestattete, beim Öffnen eines speziell formatierten Dokuments einen beliebigen Code auszuführen. Diese Schwachstelle haben einige chinesische Hackergruppen lange Zeit aktiv für ihre Angriffe ausgenutzt. Man hat allen Grund anzunehmen, dass genau diese Gruppen auch bei der Aktion beteiligt waren, die im März 2006 begann.
Die Schwachstelle MS06-012 betraf alle Produkte von MS Office ab den 2000er Versionen. Das war die erste Alarmglocke, die nicht nur die Aufmerksamkeit von Microsoft weckte, sondern auch die der Mehrzahl von Hackern. OLE-Dokumente wurden augenblicklich zum Objekt angestrengter Forschung. Leider muss man anerkennen, dass sich die Hacker als aufmerksamere Beobachter erwiesen, als Microsoft selbst. Die im Laufe der folgenden drei Monate entdeckten Löcher unterschieden sich ihrem Wesen nach nur ganz geringfügig voneinander. Jedem lag das gleiche Problem zugrunde: Die fehlerhafte Überprüfung einiger Daten in der Beschreibung von OLE. Microsoft beschränkte sich auf die Ausgabe von Krücken - aus irgendeinem Grund ohne Überprüfung der benachbarten Felder in den Dateien. Nach der Veröffentlichung des darauf folgenden Patches erschien schon am nächsten Tag die Information über eine neue Schwachstelle. Es ist schon komisch, dass das Auftauchen dieser vielfältigen Probleme, vor allem bei Excel, zeitlich mit der Veröffentlichung eines direkten Excel-Konkurrenten durch das Unternehmen Google zusammenfällt.
Die Schwachstelle vom 19. Mai wurde zur Hauptgefahr. Die Experten erfuhren von ihrer Existenz nur aufgrund der massenhaften Versendung eines Trojaners, der diese Schwachstelle ausnutzte. Wieder ein Fall, in dem Virenschreiber eine nur ihnen bekannte Lücke ausnutzten - ein so genannter "Zero-Day Exploit". Derartige Schwachstellen stellen die größte Gefahr dar, weil der Softwarehersteller Zeit für die Problemanalyse und die Ausgabe eines Patches aufbringen muss, während sich zur gleichen Zeit der schädliche Code aktiv im Internet ausbreitet.
Microsoft hat fast einen ganzen Monat benötigt, um die Korrekturen MS06-027 (Word remote code execution) und MS06-028 (Powerpoint remote code execution) herauszugeben. Wir haben uns zwar schon daran gewöhnt, dass sich Microsoft mit manischer Beharrlichkeit an den Ablauf der Veröffentlichung von Updates am 2. Dienstag jeden Monats hält, und das könnte man auch als richtig anerkennen, wenn nicht drei Tage nach Ausgabe regulärer Patches (13. Juni) eine praktisch identische Schwachstelle in MS Excel entdeckt worden wäre. Wie kann man bei der Vorbereitung eines Patches nicht die Möglichkeit der Existenz analoger Probleme prüfen? Dafür gibt es keine Erklärung, doch hierzu später mehr. Die letzte Juni-Woche offenbarte noch zwei weitere Schwachstellen in MS Office - Microsoft Hyperlink Object Library Buffer Overflow und Microsoft Excel 'Shockwave Flash Object'. Die von Kaspersky-Lab-Experten durchgeführte Analyse zeigt, dass den Schwachstellen meist ein und dasselbe Problem zugrunde liegt. Offenbar beschränkt sich das Unternehmen Microsoft nur auf die Ausgabe von Patches für jede gefundene Schwachstelle. Eigentlich sollten alle Strukturbereiche von OLE-Objekten geprüft werden, doch das sind nicht gerade wenige.
Der Fakt, dass fast alle Schwachstellen zuerst von Vertretern der Blackhat-Community entdeckt und zur Verbreitung eines schädlichen Codes verwendet wurden, macht die Situation noch kritischer. Die Virenschreiber sind heute einen Schritt voraus und können zu einem beliebigen Zeitpunkt einige neue gefährliche Programme ins Internet einschleusen.
Wir rufen alle Nutzer und Systemadministratoren daher auf, die Sicherheitsmaßnahmen in Bezug auf MS-Office-Dokumente größtmöglich zu verstärken, niemals Dateien zu öffnen, die aus zweifelhaften Quellen stammen, sondern diese unbedingt einem Antiviren-Scan zu unterziehen. Zudem sollten auch immer die Patches von Microsoft installiert werden, doch leider gibt es in einigen Fällen keine passenden Patches."
Den vollständigen Bericht finden Sie hier. (aro)