Archiv des Autors: Markus Tomaske AV Team

Undokumentierte Hintertür in verschiedenen Routermodellen gefunden

Veröffentlicht am von
1

Risiko: sehr hoch

ZUSAMMENFASSUNG
Eine nicht dokumentierte Hintertür in verschiedenen Routern der Firmen
Netgear, Belkin/Linksys und Cisco ermöglicht die unkontrollierte
Fernadministration des Routers aus dem Internet und dem lokalen Netz.

BETROFFENE SYSTEME
– Cisco Access Point WAP4410N
– CISCO Gigabit Security Router
– CISCO Gigabit Security Router RVS4000
– CISCO Gigabit Security Router WRVS4400N 1
– CISCO Gigabit Security Router WRVS4400N 2
– Linksys Router
– Netgear Router

EMPFEHLUNG
Aktuell liegen keine einfach umsetzbaren Informationen der Hersteller zur
Behebung der Schwachstelle vor. Während von Belkin/Linksys bisher kein
Sicherheitsupdate angekündigt wurde, will Cisco Ende Januar ein
Softwareupdate zur Verfügung stellen und Netgear Ende März.
Die Firma Netgear empfiehlt außerdem ein WLAN zu Hause niemals ohne WPA2
Verschlüsselung zu betreiben, also sämtliche Kommunikation nur
verschlüsselt zu übertragen.
Trotzdem bleibt festzustellen, dass die Schwachstelle zur Zeit aktiv
ausgenutzt wird. Daher sollten Sie prüfen, ob ein Weiterbetrieb des
Gerätes für Sie möglich ist oder ob Sie davon solange Abstand nehmen
können, bis die Schwachstelle durch die Hersteller tatsächlich behoben
wird.
Update1: Von Netgear wird mittlerweile ein Patch für das Modell DGN1000
angeboten.
Update2: Der Patch für das Modell DGN1000 beseitigt nicht die Hintertür,
sondern ändert nur die Art der Aktivierung. Das Modell ist weiterhin aus
dem lokalen Netzwerk angreifbar. Ein Angriff aus dem Internet ist jetzt
zwar schwerer, aber nicht unmöglich. Es ist nicht auszuschließen, dass
auch andere bereits aktualisierte Modelle weiterhin von der Schwachstelle
betroffen sind.

BESCHREIBUNG
Zur Zeit ist die Hintertür für folgende Produkte bestätigt:
Cisco RVS4000 4-port Gigabit Security Router bis Firmware 2.0.3.2,
Cisco WRVS4400N Wireless-N Gigabit Security Router Hardware Version 1.0,
1.1 bis Firmware 1.1.13,
Cisco WRVS4400N Wireless-N Gigabit Security Router Hardware Version 2.0
bis Firmware 2.0.2.1,
Cisco WAP4410N Wireless-N Access Point bis 2.0.6.1,
Netgear DGN1000B,
Netgear DGN1000,
Netgear DM11PSPv2,
Netgear DM111Pv2,
Netgear DGN3500,
Netgear JNR3210.

Die genannten Router der Firma Netgear sind laut Aussage des Herstellers
nur im lokalen Netz angreifbar.

Auch Router der Firmen Belkin/Linksys enthalten die Hintertür. Da uns bis
heute keine Stellungnahme des Herstellers vorliegt, dient hier als
Referenz die Liste der Schwachstellen-Veröffentlichung.

Mit dem Heise Netzwerkcheck kann geprüft werden, ob Ihr Gerät über das
Internet anfällig ist. Wählen Sie dazu unter „Art des Scans“ die Option
„Mein Scan“ und tragen Sie in das Textfeld den Port 32764 ein.

Eine nicht dokumentierte Hintertür in verschiedenen Routermodellen
ermöglicht es einem Angreifer aus dem Internet die vollständige Kontrolle
über den Router zu übernehmen und alle Passworte und Benutzerkennungen im
Klartext zu lesen.

QUELLEN
– Schwachstelle CVE-2014-0659 (Cisco – Englisch)
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140110-sbd
– Heise Netzwerk-Scan
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=3
– Schwachstellen-Veröffentlichung von Eloi Vanderbeken
https://github.com/elvanderb/TCP-32764
– Heise Meldung vom 22.4.2014
http://www.heise.de/newsticker/meldung/Netgear-Update-Router-Backdoor-nur-versteckt-2173996.html

TW: Oracle empfiehlt Update von Java

Veröffentlicht am von
Antworten

TECHNISCHE WARNUNG
Titel: Oracle empfiehlt Update von Java
Datum: 16.04.2014
Risiko: hoch

ZUSAMMENFASSUNG
Mit dem April 2014 Patch Day hat Oracle 37 Sicherheitslücken in Java
geschlossen, 35 davon sind ohne Authentifizierung durch beliebige
Angreifer im Internet ausnutzbar.

BETROFFENE SYSTEME
– Oracle Java FX 2.2.51
– Oracle Java SE 5.0u61
– Oracle Java SE 6u71
– Oracle Java SE 7u51
– Oracle Java SE 8
– Oracle Java SE Embedded 7u51
– Oracle JRockit r27.8.1
– Oracle JRockit r28.3.1
– Apple Mac OS X
– GNU/Linux
– Microsoft Windows
– Oracle Solaris

EMPFEHLUNG
Installieren Sie die von Oracel zur Verfügung gestellten Updates von Java
SE, die Sie unter der beigefügten Referenz finden.

BESCHREIBUNG
JavaFX ist ein Framework für die Entwicklung und Bereitstellung von
plattformübergreifenden sogenannten „Rich Internet Applications“. Ab
Version Java SE Runtime 7 Update 6 wird die JavaFX 2.0-Laufzeitumgebung
direkt mit installiert.

Die Java Platform Standard Edition (Java SE) ist eine
plattformübergreifende Umgebung für Anwendungen, die auf vielen Geräten
laufen sollen.

Oracle Java SE Embedded ist eine Version von Oracle, die speziell auf den
Einsatz in Embedded-Systemen ausgelegt ist.

Die Oracle JRockit JVM (Java Virtual Machine) ist eine Java virtuelle
Maschine, die Teil der Oracle Middleware ist.

Das Betriebssystem Mac OS X ist der Standard auf Apple Laptops und
Desktop-Geräten.

Bei GNU/Linux handelt es sich um eine Kombination aus der freien Software
des GNU-Projekts und dem Linux-Kernel.

Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens
Microsoft.

Oracle Solaris ist ein Betriebssystem für Server und Workstations auf
Basis von SunOS (letztlich BSD-UNIX).

Oracle schließt 37 teils kritische Sicherheitslücken in unterschiedlichen
Produkten, unter anderem in Java. Ein Großteil der Sicherheitslücken kann
von beliebigen Angreifern aus dem Internet ohne vorhergehende
Authentifizierung ausgenutzt werden. Einem Angreifer ist es somit möglich
aus dem Internet beliebige Befehle auf dem Rechner auszuführen und Teile
des Rechners unter seine Kontrolle zu bringen.

QUELLEN
– Download von Java Updates
http://www.oracle.com/technetwork/java/javase/downloads/index.html

18 Millionen E-Mail Adressen von Hackern gestohlen

Veröffentlicht am von
Antworten

Schon wieder oder immer noch?

Das Hacker Informationen wie Logindaten, Kreditkarten- oder Kontodaten gestohlen haben ist nichts neues auch die Macht dieser Infos ist nicht einzugrenzen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt nun wieder mit aktuellem Hinweis!

Hacker bieten nur wieder wie schon im Januar 2014 wieder gestohlenen E-Mail Adressen inkl. Passworten zum Kauf an. Diesmal sind es über 18 Millionen betroffene Menschen!

Nutzer merken aber auch das Ihrer E-Mail von Hackern bekannt ist, wenn diese häufig Spam-, bzw. Virenmails bekommen.

Was können Sie tun?

Chip Online Forum wurde gehackt?

Veröffentlicht am von
Antworten

Wenn man der heutigen Email glauben darf wurde Chip Online opfer eines Hackangriff. Dort hat sich nach eigenen Angaben ein unbekannter dritter zu schaffen gemacht.

Chip Online weiß noch nicht was genau dort passiert ist, ob evtl. Userdaten gestohlen oder verändert wurden. Auch ist bislang noch unklar was der Eindringling wollte und wie weit der das System geschädigt hat.

Wenn einer mehr Infos hat bitte per Kommentar posten! Danke!

Drive by Viren im Anzeigenmarkt

Veröffentlicht am von
Antworten
Anzeigenmarkt

So versuchen kriminelle Sie zu locken um einen bestimmte Webseite zu besuchen wo die Viren warten.

Es wird immer gefährlicher sogenannte Drive by Viren sind wieder häufiger in Anzeigenmärkten zu finden.

Im aktuellen Fall wurden Spenden für einen „privaten Spielplatz“ gesucht. Einen privaten Spielplatz? Das hat mich stutzig gemacht und ich habe die URL mal durch ein Analyseprogramm gejagt. Und Tatsache eine Treffer.

Oft ist es so das Sie getäuscht werden sollen, so sind schon des öfteren Drive by Viren und ZIP Malware in Erotiknetzwerken oder Singleportalen vorgekommen. Dort wurde geworben es ist ein Video zu ansehen von sehr erotischen Inhalten zu sehen. Dann kam ein Downloade einer ZIP oder RAR Datei. In diesem war eine .exe Datei versteckt welche den Schädling ausführte.

Bekommen Sie eine Download-Meldung – brechen Sie diese sofort ab! Führen Sie nichts aus! Öffnen Sie keine Anhänge von unbekannten!

Phishing mit Paypal nimmt dramatisch zu

Veröffentlicht am von
2

paypal-fakeImmer neue PayPal Phishing-Seite treffen ein. Fast täglich versuchen Hacker mit gefakten Webseiten an die Kontodaten von Paypal-Nutzern zu gelangen.

Im Bild sehen Sie ein Bild einer Fakeseite. PayPal wird NIE nach Ihrem Kennwort fragen!

Darum geben Sie nie PayPal Daten ein wenn Sie per Email aufgefordert werden. Wenn Sie etwas kontrollieren möchten geben Sie www.paypal.de in Ihren Webbrowser ein und loggen sich dann ein!

Wichtig: Folgen Sie nie einem Link in einer Email so echt diese auch aussehen mag!

Sollten Sie einen „Fake Link“ benutzt haben ändern Sie unbedingt Ihr Paßwort und melden Sie den Vorfall PayPal unbedingt!

Die Schlüsseldienst Abzoke begimmt mit Spam im Telefonbuch

Veröffentlicht am von
1

Wir waren aktiv und werden auch weiterhin die Abzocker der Schlüsseldienste überwachen! Der Kampf gegen diese Betrüger ist eine wichtige Aufgabe die jeder einzelne mitmachen kann! Wir möchten hier zeigen wie man mit wenig Aufwand viel erreichen kann.

Um was geht es bei der Schlüsseldienst Mafia?

Die Schlüsseldienstmafia sind Vermittler welche Ihren Anruf entgegen nehmen und diesen an irgendwelche Firmen oder Personen verkaufen. Diese kommen dann zu Ihnen und in den meisten Fällen werden Sie mit überhöhten Preisen Abgezockt. (Video hier)

Wenn Sie Opfer einer solchen Masche sind zahlen Sie nicht! Rufen Sie die Polizei!

Die Abzocker der Schlüsseldienstmafia

Die Abzocke beginnt oft in Branchen- und Telefonbüchern. Die angeblichen Schlüsseldienste inserieren massenhafte Spameinträge in verschiedenen Telefon- und Branchenbüchern und Portalen im Internet. Oft sehen diese so oder ähnlich aus:

„! 0 – 0 h Schlüsseldienst günstiger Aufsperrdienst“

oder

„! ! 0 – 0 ! ADLER“

Das „!0“ kann man mit der Uhrzeit erklären, tatsächlich aber werden diese Zeichen und Kombinationen verendet um in einer Ortschaft immer ganz oben angezeigt zu werden! Die Abzocker wollen hier kostenlose Werbung mit sehr fragwürdigen und verbotenen Aktionen. Das verhindern wir und haben diesen Abzockern den Kampf angesagt!

Was können Sie tun?

Wenn Sie so etwas sehen oder sich gegen diese miese Maschen engagieren möchten melden Sie diese Einträge einfach dem Anbieter des Branchen- oder Telefonbuch.

Beispiel:

Sehr geehrte Damen und Herren,

ich habe gesehen das sich eine Unternehmen mit merkwürdigem Inhalt bei Ihnen angemeldet hat.
Ich vermute zudem das es sich um Massenspam handelt und noch mehr dieser Einträge in anderen Städten vorhanden sind.

Url: (bitte hier den Link angeben)

Bitte überprüfen Sie diese Angelegenheit. Danke

Mit freundlichen Grüßen

Diese Email senden Sie an den Anbieter. Die Adresse des Anbieter finden Sie im Impressum.

So können Sie helfen es diesen Abzockern so schwer wie möglich zu machen. Je mehr Menschen sich an dieser Aktion beteiligen je höher die Wahrscheinlichkeit das diese Betrüger es sein lassen und aufgeben!

Spam: Facebook Business Facebook-Starterpaket

Veröffentlicht am von
Antworten

Diese Spammer sind nicht zu bremsen! Sie nennen sich selber Facebook Business – facebook-spamFacebook-Starterpaket und spammen fröhlich über den Hostinganbieter Strato.de.

Wenn man die Startseite der Facebook Business Facebook-Starterpaket aufruft kommt man auf ein Merkwürdiges Formular (siehe Bild). Man solle sich wohl aus dem Verteiler abmelden können und das Formular läd dazu ein, auch mehrere E-Mails einzugeben. Genau hier solle man aufmerksam werden! Denn hier steht der verdacht des E-Mail Adressen sammeln im Raum!

Meldet des Spam einfach bei dem Hosting-Anbieter

  1. Geben Sie die E-Mail Adresse des Spammers auf dieser Seite im Eingabefeld „domain or IP address“ ein.
  2. Suchen Sie unter dem Punkt „Network Whois record“ nach einer E-Mail Adresse welche i.d.R. mit Abuse beginnt oder Abuse beinhaltet.
  3. Leiten Sie die Spam-Mail nach Möglichkeit inkl. des E-Mail Header an diese Abuse E-Mail weiter.

Spam: XPartnerin Limited mit billigem Pornoportal

Veröffentlicht am von
Antworten

Es hat nicht lange auf sich warten lassen,der Spam aus gestohlenen Daten beflutet die Postfächer der betroffenen Nutzer. XPartnerin Limited bewirbt das hauseigene billige Portal XPartnerin unter einer Chinesischen Anschrift.

Das ist vermutlich nur der erste Auftakt der Spamflut. Die 16 Millionen Betroffenen des Identiditäts/Datenklau dürfen sich auf eine weitaus grössere Flut von Spammern aus den Bereichen: Adult, Filesharing, Medikamente, E-commers gefasst machen.

Beispiel des Spam von XPartnerin Limited

Du hast eine Message bekommen von Partygirl1981
Partygirl1981 hat in ihrem Profil geschrieben:
hey…lust zu schreiben? achja: bitte keine opas!!
Partygirl1981 möchte das du dich bei ihre zurück meldest. zum Antworten
Bild anklicken.
Weitere Mitglieder aus deiner Region

 

Falls Sie diese oder eine ähnliche Spam Mail erhalten haben antworten Sie auf keinen Fall und benutzen Sie niemals einen mitgelieferten Abmeldelink.Diese sogenannten Abmeldelinks dienen in aller Regel nur dazu Ihre Email-Adresse als noch gültig zu identifizieren um diese dann an weitere Spammer zu verkaufen.

Fritzbox Sicherheistlücke ist schlimmer als gedacht

Veröffentlicht am von
Antworten

Die Fritzbox Sicherheistlücke ist schlimmer als vorerst angenommen. Die Hacker können nähmlich nicht durch einen offenen Port der Fernwartung die Fritzbox kapern sondern durch einen Malware zb. einer infizierten Webseite (Drive by Download).

Vollständiger Artikel: http://www.heise.de/security/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-Fernzugang-2115745.html?wt_mc=rss.security.beitrag.atom