{"id":207085,"date":"2018-07-30T17:51:27","date_gmt":"2018-07-30T15:51:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=207085"},"modified":"2023-10-17T00:13:10","modified_gmt":"2023-10-16T22:13:10","slug":"microsoft-sicherheitssplitter-30-7-2018","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/07\/30\/microsoft-sicherheitssplitter-30-7-2018\/","title":{"rendered":"Microsoft-Sicherheitssplitter 30.7.2018"},"content":{"rendered":"

Zum Wochenstart noch ein Sammelbeitrag zu einigen Sicherheitsthemen im Microsoft-Umfeld. So wurden Cyber-Angriffe festgestellt, der Defender schl\u00e4gt sich in Vergleichen ganz passabel und Microsoft hat eine k\u00fcrzlich berichtet Schwachstelle in Windows 10 geschlossen. <\/p>\n

<\/p>\n

Malware FELIXROOT nutzt alte Office-Schwachstelle<\/h2>\n

\"\"Es ist neue Malware mit dem Namen Felixroot aufgetaucht, die gezielt an Einzelpersonen in der Ukraine mittels einer Phishing-E-Mail verschickt wird. In der Mail wird vorgegeben, dass der Anhang \"Seminar.rtf\" Seminarinformationen zum Thema Umweltschutz zu enth\u00e4lt.<\/p>\n

\"FELIXROOT-Download\"
(FELIXROOT-Download, Quelle: Fireeye)<\/p>\n

Die Malware nutzt die bereits 2017 entdeckte Hintert\u00fcr \u00fcber die l\u00e4ngst gepatchten Schwachstellen CVE-2017-0199 und CVE-2017-11882 in Microsoft Office, um auf Daten der Zielpersonen zuzugreifen und diese zu stehlen. Laut Fireeye<\/a> verwendet die Malware die Windows-API, um den Computernamen, den Benutzernamen, die Seriennummer des Volumes, die Windows-Version, die Prozessorarchitektur und zwei weitere Werte abzurufen. Weitere Details sind im Fireeye-Artikel<\/a> oder im Artikel von MS PowerUser<\/a> abrufbar.<\/p>\n

\u00dcber einen Font verteilten Krypto-Miner entdeckt<\/h2>\n

Ein von Microsoft k\u00fcrzlich entdeckter Angriff<\/a> zeigt, wie komplex das Thema Sicherheit geworden ist. Microsoft wurde \u00fcber den Windows Defender ATP, die kommerzielle Version des Windows Defender Antivirus, \u00fcber ungew\u00f6hnliche Aktivit\u00e4ten in einem Prozess auf diversen Windows-Maschinen benachrichtigt.<\/p>\n

\"Crypto-Miner
(Quelle: Microsoft)<\/p>\n

Eine Analyse des hier<\/a> beschriebenen Sachverhalts ergab, dass Hacker in die Cloud-Server-Infrastruktur eines Softwareunternehmens, das Font-Pakete als MSI-Dateien bereitstellt, einbrach. Die Hacker setzten einen Spiegelserver auf und hinterlegten eine modifizierte MSI-Datei mit einem Krypto-Miner in einer der Schriftarten-Dateien. Konkret soll es sich um eine asiatische Schriftartendatei gehandelt haben. Da das Softwareunternehmen die Fonts an Anwendungsentwickler lizenzierte, war das eine perfekte Angriffsmethode. <\/p>\n

Immer wenn eine Anwendung eines Herstellers, welches diese Schriftarten-Pakete verwendete, installiert wurde, wurde die modifizierte MSI-Datei mit einem Krypto-Miner mit installiert. Im konkreten Fall wurde der Krypto-Miner mit einem PDF-Editor verteilt, wobei Microsoft die Namen nicht offen gelegt hat. Da diese Installation mit System-Rechten erfolgte, nistete sich der Krypto-Miner tief im System ein. <\/p>\n

\u00dcber die genauen Details, wie der Hack der Cloud-Infrastruktur gelang, h\u00fcllt Microsoft sich in Schweigen. Weitere Details sind aber hier<\/a> bei Microsoft oder im Artikel<\/a> von Bleeping Computer nachlesbar. <\/p>\n

Windows Defender erreicht bei Vergleich Spitzenplatz<\/h2>\n

Seit Windows 8 stellt der integrierte Windows Defender einen vollwertigen Virenscanner dar. In den Anfangsjahren wurde der Windows Defender beim Vergleich von Antivirus-Software f\u00fcr Windows regelm\u00e4\u00dfig abgewertet und rangierte auf den hinteren Pl\u00e4tzen (wenn mir auch manchmal die Bewertungskriterien der Labors etwas windig erschienen). <\/p>\n

Seit einige Monaten hat sich das Bild aber gedreht, der Windows Defender in Windows 10 kann mit kostenpflichtigen Antivirus-L\u00f6sungen von Drittanbietern mithalten und diesen in Bezug auf die Leistung Paroli bieten. Bei AV-Test hat man im Juli 2018 einen Windows 10-Virenscanner-Vergleich ver\u00f6ffentlicht. Martin Geu\u00df hat sich hier<\/a> am Thema abgearbeitet: In Kurzform: Der Windows Defender erreicht im Mai und Juni 2018 eine 'Erkennungsrate' bei Malware von 100% und 'verpasste nur knapp die Bestnote'. Details, auch zur Bewertung anderer AV-Scanner, lest ihr bei Martin nach. <\/p>\n

Microsoft blockt SettingContent-ms in Office 365<\/h2>\n

F\u00fcr Windows 10 hat Microsoft das Dateiformat SettingContent-ms eingef\u00fchrt, um Befehle f\u00fcr die Einstellungen<\/em>-Seite zu verwalten. Dieses Format erwies sich aber als Schwachstelle, lassen sich \u00fcber die unterlagerten XML-Strukturen doch beliebige Befehle und Anwendungen zur Ausf\u00fchrung festlegen. Ich hatte k\u00fcrzlich im Artikel Windows 10: Schwachstelle .SettingContent-ms<\/a> dar\u00fcber berichtet. <\/p>\n

Bereits vor einigen Tagen berichtete Bleeping Computer, dass Microsoft reagiert habe. Microsoft hat die Liste der gef\u00e4hrlichen Dateien in Office 365-Dokumenten aktualisiert und das Dateiformat \".SettingContent-ms\" zu dieser Liste hinzugef\u00fcgt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Zum Wochenstart noch ein Sammelbeitrag zu einigen Sicherheitsthemen im Microsoft-Umfeld. So wurden Cyber-Angriffe festgestellt, der Defender schl\u00e4gt sich in Vergleichen ganz passabel und Microsoft hat eine k\u00fcrzlich berichtet Schwachstelle in Windows 10 geschlossen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,3694],"tags":[4322,4328,4325],"class_list":["post-207085","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows-10","tag-office","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=207085"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207085\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=207085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=207085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=207085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}