1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Malware: Der unvollständige…

Klingt aber nach ziemlich viel Handarbeit

  1. Thema

Neues Thema Ansicht wechseln


  1. Klingt aber nach ziemlich viel Handarbeit

    Autor: n0x30n 26.06.17 - 15:23

    But given the dangers associated with macros, Word's "protected view" blocks macros from running when a file is downloaded from the internet or received as an email attachment. To get around that restriction, Hickey downloaded the malicious Word document he built from a network share, which Windows considers a trusted location, giving him permission to run the macro, so long as he enabled it from a warning bar at the top of the screen. The document could easily point an arrow to the bar, telling the user to disable protected mode to see the contents of the document -- a common social engineering technique used in macro-based ransomware. (If he had physical access to the computer, he could have also run the file from a USB stick, but he would have to manually unblock the file from the file's properties menu -- as easy as clicking a checkbox.)

    Verstehe ich das richtig, dass man den Virus entweder über ein LAN oder USB Stick einspielen muss und dann noch diverse Checkboxen und Buttons bestätigen muss?
    Nicht gerade der perfekte Virus.

  2. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: My1 26.06.17 - 15:33

    es sind im wesentlichen die üblichen makro geschichten:

    makro wird normal nicht ausgeführt aber wenn es
    a) in einem "vertrauenswürdigen standort" ist
    oder
    b) der geschützte modus deaktiviert ist (ein klick auf die orangene leiste und fertig, wird u.a. auch benötigt ztum ausdrucken, also nicht schwer den user dazu zu bringen)

    wird das makro je nach einstellung (standard ist fragen) ausgeführt.

    wenn es bereits im LAN liegt ist es vertrauenswürdig -> ein klick weniger.

    aber wenn man sieht wie gut sich locky als emailanhang verteilt hat, ist es alles andere als schwer, dass sich der w10s trojaner genauso gut verteilt.

    Asperger inside(tm)

  3. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: RicoBrassers 26.06.17 - 15:36

    Also grundsätzlich kann man - glaube ich - auch jeden beliebigen WebDAV-Server als Network Share einbinden. Und dann ist es praktisch nur ein einzelner Klick auf einen Button (nach dem Öffnen des Dokuments).

  4. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: Kleba 26.06.17 - 21:24

    RicoBrassers schrieb:
    --------------------------------------------------------------------------------
    > Also grundsätzlich kann man - glaube ich - auch jeden beliebigen
    > WebDAV-Server als Network Share einbinden. Und dann ist es praktisch nur
    > ein einzelner Klick auf einen Button (nach dem Öffnen des Dokuments).

    Das kann sein (da bin ich mir aber auch gerade nicht sicher, ob das als "Trusted" gilt), aber das heißt du musst immer noch den User dazu kriegen zuerst ein WebDAV-Share anzulegen, dann die Datei zu öffnen und dann nach der Erlaubnis für Makros zu fragen.

  5. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: Kleba 26.06.17 - 21:25

    My1 schrieb:
    --------------------------------------------------------------------------------
    > aber wenn man sieht wie gut sich locky als emailanhang verteilt hat, ist es
    > alles andere als schwer, dass sich der w10s trojaner genauso gut verteilt.

    Gerade Anhänge mit Makros werden standardmäßig geblockt (zumindest in Outlook) und sind nur über Umwege zu aktivieren. Es ist auf jeden Fall einiges an User-Interaktion für diesen "Angriff" notwendig.

  6. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: My1 26.06.17 - 21:47

    Kleba schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > aber wenn man sieht wie gut sich locky als emailanhang verteilt hat, ist
    > es
    > > alles andere als schwer, dass sich der w10s trojaner genauso gut
    > verteilt.
    >
    > Gerade Anhänge mit Makros werden standardmäßig geblockt (zumindest in
    > Outlook) und sind nur über Umwege zu aktivieren. Es ist auf jeden Fall
    > einiges an User-Interaktion für diesen "Angriff" notwendig.

    das mag zwar definitiv stimmen, aber offensichtlich schaffen es die makromacher ja trotzdem, denn die meisten kryptotrojaner die ich irgendwo im netz gesehen habe liefen via Makro, insbesondere der bekannteste vertreter Locky.

    und wenn die user nämlich a) wüssten was ein makro ist und B nein sagen würde. hätten sich locky und desen abkömmlinge sicher nicht so verbreitet.

    Asperger inside(tm)

  7. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: n0x30n 27.06.17 - 09:26

    Das scheint im Windows 10 UWP Mail Client aber anders zu sein.
    Dort werden Macros grundsätzlich geblockt. Deswegen ist Windows 10 S ja angeblich im Vorteil gegenüber dem normalen Windows, wo du auch Clients einsetzen kannst, die solche Dinge nicht blocken.

  8. Ja, dieser konkrete Exploit.

    Autor: Nikolai 27.06.17 - 10:37

    Aber gerade sind z.B. wieder Fehler im Virenscanner bekannt geworden. Der läuft meines Wissens auch unter Win10S und erlaubt durch den Fehler Codeausführung mit System-Rechten.

    Das ganz Konzept "Windows" ist sicherheitstechnisch gescheitert!

  9. Re: Ja, dieser konkrete Exploit.

    Autor: n0x30n 27.06.17 - 12:27

    Und du glaubst diese Fehler gibt es in den anderen Virenscannern nicht?
    Der Unterschied zum Windows Scanner ist, dass dort genauer geprüft wird als bei den Anderen, also werden dort die Fehler auch gefunden und gefixt, während sie bei den anderen weiterhin offen bleiben.
    Letztendlich vertraue ich dem Defender mehr als all den anderen die da draußen so herumschwirren. Beim Defender weiß ich wenigstens, dass der von externen ununterbrochen auf Sicherheitslücken untersucht wird.

  10. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 27.06.17 - 14:44

    > Und du glaubst diese Fehler gibt es in den anderen Virenscannern nicht?

    Keine Ahnung woraus Du schließt das ich das glaube.

    > Der Unterschied zum Windows Scanner ist, dass dort genauer geprüft wird als
    > bei den Anderen, also werden dort die Fehler auch gefunden und gefixt,

    Was wird dort genauer geprüft? Die Schädlinge können es nicht sein - denn die Erkennungsrate ist auch nicht besser als bei anderen Scannern.

    > während sie bei den anderen weiterhin offen bleiben.

    Ich denke schon das auch andere Scanner ab und zu Updates erhalten.

    > Letztendlich vertraue ich dem Defender mehr als all den anderen die da
    > draußen so herumschwirren.

    Das ist Dir überlassen wem Du traust. Ich würde der Firma die das unsichere System nicht sicher bekommt bestimmt auch trauen! Die liefern bestimmt nur so viel unsichere, ungeprüfte Software aus weil alle die sich mit Sicherheit auskennen im Defender-Team arbeiten...

    > Beim Defender weiß ich wenigstens, dass der von
    > externen ununterbrochen auf Sicherheitslücken untersucht wird.

    Genau! Weil Google sich den Kram ab und zu mal anguckt kann man es als "sicher" betrachten.

  11. Re: Ja, dieser konkrete Exploit.

    Autor: n0x30n 27.06.17 - 15:51

    > Keine Ahnung woraus Du schließt das ich das glaube.

    https://de.wikipedia.org/wiki/Rhetorik

    > Was wird dort genauer geprüft? Die Schädlinge können es nicht sein - denn
    > die Erkennungsrate ist auch nicht besser als bei anderen Scannern.

    Der Virusscaner wird von Bughuntern wie Ormandy auf Sicherheitslücken geprüft.
    Ormandy hat sich sicherlich noch keinen der anderen Scanner angesehen oder zumindest sich nicht so ausführlich mit den Scannern befasst wie mit dem von Microsoft.

    > Ich denke schon das auch andere Scanner ab und zu Updates erhalten.

    Ja, aber dort werden nur Lücken gefixt, die auch gefunden werden und wenn keiner sucht, dann werden auch keine gefunden. Das heißt aber nicht, dass dort keine Sicherheitslücken vorhanden sind.

    > Das ist Dir überlassen wem Du traust. Ich würde der Firma die das unsichere
    > System nicht sicher bekommt bestimmt auch trauen!
    Es gibt keine sichere Software. So eine Firma wird es niemals geben.

    > Genau! Weil Google sich den Kram ab und zu mal anguckt kann man es als
    > "sicher" betrachten.
    Ganz genau das ist doch das was ich die ganze Zeit sagen will. Google guckt sich den Defender regelmäßig an und deswegen kann man ihn als sicherer betrachten als all die anderen Scanner die von Google nicht unter die Lupe genommen werden.

  12. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 27.06.17 - 16:10

    > Ganz genau das ist doch das was ich die ganze Zeit sagen will. Google guckt
    > sich den Defender regelmäßig an und deswegen kann man ihn als sicherer
    > betrachten als all die anderen Scanner die von Google nicht unter die Lupe
    > genommen werden.

    Das kannst Du doch nicht ernst meinen! Das sind absolute _Zufallsfunde_! Google hat besseres zu tun als systematisch Fehler in Microsoft-Software zu suchen. Um Fehler zu reduzieren muss ein Produkt noch vor der Veröffentlichung vom Hersteller überprüft werden. Nicht erst mal veröffentlichen und warten ob vielleicht irgendjemand einen Fehler findet.

  13. Re: Ja, dieser konkrete Exploit.

    Autor: n0x30n 27.06.17 - 17:06

    Die Lücken werden erst gefunden, seitdem Ormandy seinen Fuzzer für Linux fertiggestellt hat.
    https://www.heise.de/security/meldung/l-f-Ueberraschung-Windows-Defender-laeuft-unter-Linux-3723908.html

    Den hat er extra geschrieben um solche Lücken effizient unter Linux finden zu können. Scheint wunderbar zu funktionieren.

    Würde er das Gleiche mit den anderen Scannern machen kannst du davon ausgehen, dass er auch dort auf jede Menge Lücken stoßen würde.



    1 mal bearbeitet, zuletzt am 27.06.17 17:08 durch n0x30n.

  14. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 27.06.17 - 22:03

    > Würde er das Gleiche mit den anderen Scannern machen kannst du davon
    > ausgehen, dass er auch dort auf jede Menge Lücken stoßen würde.

    Da bin ich mir auch ganz sicher. Aber der Umkehrschluss das wegen der paar gefundenen Lücken der Defender nun sicherer als andere Scanner sei halte ich für falsch.

  15. Re: Ja, dieser konkrete Exploit.

    Autor: n0x30n 28.06.17 - 10:11

    Naja. Zumindest vertraue ich ihm jetzt mehr, da er unter konstanter überwachung von Google steht. Es ist immer besser, wenn neben dem Softwarehersteller selbst noch externe Tester die Software überprüfen.

    Ich glaube auch nicht, dass andere Virenscanner Hersteller ihre Software so viel besser testen als Microsoft. Bei denen arbeiten auch nur Menschen als Entwickler, genau wie bei MS.

  16. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 28.06.17 - 13:56

    > Ich glaube auch nicht, dass andere Virenscanner Hersteller ihre Software so
    > viel besser testen als Microsoft. Bei denen arbeiten auch nur Menschen als
    > Entwickler, genau wie bei MS.

    Ich würde Dir raten deinen Rechner immer exakt in Richtung Redmond auszurichten. Vor dem Login mind. drei Mal intensiv beten und natürlich den gesegneten WLAN-Antennen-Aufkleber nicht vergessen! Wenn Du dann die ENTER-Taste nur mit den kleinen Fingern drückst kann Dir bestimmt nichts schlimmes mehr passieren!

  17. Re: Ja, dieser konkrete Exploit.

    Autor: My1 28.06.17 - 14:08

    er sagt ja nicht dass defender besser ist weils Microsoft ist, sondern weil neben dem hersteller (also hier MS) auch andere den prüfen. und sowohl MS als auch die anderen hersteller kochen nur mit wasser, wobei MS aber den vorteil hat, dass diese durch die Codekenntnisse von Windows den defender weit besser einbinden können als die anderen hersteller. und es ist ja auch nix neues dass bei anderen herstellern die virenscanner gern mal exploits haben um bösen code mit systemrechten laufen zu lassen.

    und dazu kommt dass es manchmal auch nur ne frage der Konfiguration ist. bspw kann man mit externer Konfigurationssoftware wie bspw Glasswire, auch die windows Firewall gut absichern.

    Asperger inside(tm)



    1 mal bearbeitet, zuletzt am 28.06.17 14:10 durch My1.

  18. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 28.06.17 - 16:21

    > (...) und es ist ja auch
    > nix neues dass bei anderen herstellern die virenscanner gern mal exploits
    > haben um bösen code mit systemrechten laufen zu lassen.

    Wenn ich die letzten Meldungen über Defender-Probleme korrekt interpretiert habe lässt MS den Defender auch mit System-Rechten laufen... also auch hier kein nennenswerter Unterschied.
    Es ist nun mal einfach nicht korrekt über die Anzahl der gefundenen Fehler auf die Anzahl der verbliebenen Fehler zu schließen. Egal wer der Hersteller ist!

  19. Re: Ja, dieser konkrete Exploit.

    Autor: My1 28.06.17 - 16:42

    ja der defender läuft auch mit systemrechten.

    und es geht weniger um die anzahl der gefundenen fehler als darum wie viele und wer darauf schaut, insbesodere auch außerhalb des herstellers.

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. bib International College, Paderborn
  2. Allianz Lebensversicherungs - AG, Stuttgart
  3. Bundesamt für Sicherheit in der Informationstechnik, Freital bei Dresden
  4. DATAGROUP Köln GmbH, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 49,99€
  2. 8,50€
  3. 15,49€
  4. 24,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

PC-Hardware: Warum Grafikkarten derzeit schlecht lieferbar sind
PC-Hardware
Warum Grafikkarten derzeit schlecht lieferbar sind

Eine RTX 3000 oder eine RX 6000 zu bekommen, ist schwierig: Eine hohe Nachfrage trifft auf Engpässe - ohne Entspannung in Sicht.
Eine Analyse von Marc Sauter

  1. Instinct MI100 AMDs erster CDNA-Beschleuniger ist extrem schnell
  2. Hardware-accelerated GPU Scheduling Besseres VRAM-Management unter Windows 10

Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
Next-Gen
Tolle Indiegames für PS5 und Xbox Series X/S

Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
Von Rainer Sigl

  1. Indiegames-Rundschau Raumschiffknacker im Orbit
  2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen