1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Malware: Der unvollständige…

Klingt aber nach ziemlich viel Handarbeit

  1. Thema

Neues Thema Ansicht wechseln


  1. Klingt aber nach ziemlich viel Handarbeit

    Autor: n0x30n 26.06.17 - 15:23

    But given the dangers associated with macros, Word's "protected view" blocks macros from running when a file is downloaded from the internet or received as an email attachment. To get around that restriction, Hickey downloaded the malicious Word document he built from a network share, which Windows considers a trusted location, giving him permission to run the macro, so long as he enabled it from a warning bar at the top of the screen. The document could easily point an arrow to the bar, telling the user to disable protected mode to see the contents of the document -- a common social engineering technique used in macro-based ransomware. (If he had physical access to the computer, he could have also run the file from a USB stick, but he would have to manually unblock the file from the file's properties menu -- as easy as clicking a checkbox.)

    Verstehe ich das richtig, dass man den Virus entweder über ein LAN oder USB Stick einspielen muss und dann noch diverse Checkboxen und Buttons bestätigen muss?
    Nicht gerade der perfekte Virus.

  2. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: My1 26.06.17 - 15:33

    es sind im wesentlichen die üblichen makro geschichten:

    makro wird normal nicht ausgeführt aber wenn es
    a) in einem "vertrauenswürdigen standort" ist
    oder
    b) der geschützte modus deaktiviert ist (ein klick auf die orangene leiste und fertig, wird u.a. auch benötigt ztum ausdrucken, also nicht schwer den user dazu zu bringen)

    wird das makro je nach einstellung (standard ist fragen) ausgeführt.

    wenn es bereits im LAN liegt ist es vertrauenswürdig -> ein klick weniger.

    aber wenn man sieht wie gut sich locky als emailanhang verteilt hat, ist es alles andere als schwer, dass sich der w10s trojaner genauso gut verteilt.

    Asperger inside(tm)

  3. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: RicoBrassers 26.06.17 - 15:36

    Also grundsätzlich kann man - glaube ich - auch jeden beliebigen WebDAV-Server als Network Share einbinden. Und dann ist es praktisch nur ein einzelner Klick auf einen Button (nach dem Öffnen des Dokuments).

  4. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: Kleba 26.06.17 - 21:24

    RicoBrassers schrieb:
    --------------------------------------------------------------------------------
    > Also grundsätzlich kann man - glaube ich - auch jeden beliebigen
    > WebDAV-Server als Network Share einbinden. Und dann ist es praktisch nur
    > ein einzelner Klick auf einen Button (nach dem Öffnen des Dokuments).

    Das kann sein (da bin ich mir aber auch gerade nicht sicher, ob das als "Trusted" gilt), aber das heißt du musst immer noch den User dazu kriegen zuerst ein WebDAV-Share anzulegen, dann die Datei zu öffnen und dann nach der Erlaubnis für Makros zu fragen.

  5. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: Kleba 26.06.17 - 21:25

    My1 schrieb:
    --------------------------------------------------------------------------------
    > aber wenn man sieht wie gut sich locky als emailanhang verteilt hat, ist es
    > alles andere als schwer, dass sich der w10s trojaner genauso gut verteilt.

    Gerade Anhänge mit Makros werden standardmäßig geblockt (zumindest in Outlook) und sind nur über Umwege zu aktivieren. Es ist auf jeden Fall einiges an User-Interaktion für diesen "Angriff" notwendig.

  6. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: My1 26.06.17 - 21:47

    Kleba schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > aber wenn man sieht wie gut sich locky als emailanhang verteilt hat, ist
    > es
    > > alles andere als schwer, dass sich der w10s trojaner genauso gut
    > verteilt.
    >
    > Gerade Anhänge mit Makros werden standardmäßig geblockt (zumindest in
    > Outlook) und sind nur über Umwege zu aktivieren. Es ist auf jeden Fall
    > einiges an User-Interaktion für diesen "Angriff" notwendig.

    das mag zwar definitiv stimmen, aber offensichtlich schaffen es die makromacher ja trotzdem, denn die meisten kryptotrojaner die ich irgendwo im netz gesehen habe liefen via Makro, insbesondere der bekannteste vertreter Locky.

    und wenn die user nämlich a) wüssten was ein makro ist und B nein sagen würde. hätten sich locky und desen abkömmlinge sicher nicht so verbreitet.

    Asperger inside(tm)

  7. Re: Klingt aber nach ziemlich viel Handarbeit

    Autor: n0x30n 27.06.17 - 09:26

    Das scheint im Windows 10 UWP Mail Client aber anders zu sein.
    Dort werden Macros grundsätzlich geblockt. Deswegen ist Windows 10 S ja angeblich im Vorteil gegenüber dem normalen Windows, wo du auch Clients einsetzen kannst, die solche Dinge nicht blocken.

  8. Ja, dieser konkrete Exploit.

    Autor: Nikolai 27.06.17 - 10:37

    Aber gerade sind z.B. wieder Fehler im Virenscanner bekannt geworden. Der läuft meines Wissens auch unter Win10S und erlaubt durch den Fehler Codeausführung mit System-Rechten.

    Das ganz Konzept "Windows" ist sicherheitstechnisch gescheitert!

  9. Re: Ja, dieser konkrete Exploit.

    Autor: n0x30n 27.06.17 - 12:27

    Und du glaubst diese Fehler gibt es in den anderen Virenscannern nicht?
    Der Unterschied zum Windows Scanner ist, dass dort genauer geprüft wird als bei den Anderen, also werden dort die Fehler auch gefunden und gefixt, während sie bei den anderen weiterhin offen bleiben.
    Letztendlich vertraue ich dem Defender mehr als all den anderen die da draußen so herumschwirren. Beim Defender weiß ich wenigstens, dass der von externen ununterbrochen auf Sicherheitslücken untersucht wird.

  10. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 27.06.17 - 14:44

    > Und du glaubst diese Fehler gibt es in den anderen Virenscannern nicht?

    Keine Ahnung woraus Du schließt das ich das glaube.

    > Der Unterschied zum Windows Scanner ist, dass dort genauer geprüft wird als
    > bei den Anderen, also werden dort die Fehler auch gefunden und gefixt,

    Was wird dort genauer geprüft? Die Schädlinge können es nicht sein - denn die Erkennungsrate ist auch nicht besser als bei anderen Scannern.

    > während sie bei den anderen weiterhin offen bleiben.

    Ich denke schon das auch andere Scanner ab und zu Updates erhalten.

    > Letztendlich vertraue ich dem Defender mehr als all den anderen die da
    > draußen so herumschwirren.

    Das ist Dir überlassen wem Du traust. Ich würde der Firma die das unsichere System nicht sicher bekommt bestimmt auch trauen! Die liefern bestimmt nur so viel unsichere, ungeprüfte Software aus weil alle die sich mit Sicherheit auskennen im Defender-Team arbeiten...

    > Beim Defender weiß ich wenigstens, dass der von
    > externen ununterbrochen auf Sicherheitslücken untersucht wird.

    Genau! Weil Google sich den Kram ab und zu mal anguckt kann man es als "sicher" betrachten.

  11. Re: Ja, dieser konkrete Exploit.

    Autor: n0x30n 27.06.17 - 15:51

    > Keine Ahnung woraus Du schließt das ich das glaube.

    https://de.wikipedia.org/wiki/Rhetorik

    > Was wird dort genauer geprüft? Die Schädlinge können es nicht sein - denn
    > die Erkennungsrate ist auch nicht besser als bei anderen Scannern.

    Der Virusscaner wird von Bughuntern wie Ormandy auf Sicherheitslücken geprüft.
    Ormandy hat sich sicherlich noch keinen der anderen Scanner angesehen oder zumindest sich nicht so ausführlich mit den Scannern befasst wie mit dem von Microsoft.

    > Ich denke schon das auch andere Scanner ab und zu Updates erhalten.

    Ja, aber dort werden nur Lücken gefixt, die auch gefunden werden und wenn keiner sucht, dann werden auch keine gefunden. Das heißt aber nicht, dass dort keine Sicherheitslücken vorhanden sind.

    > Das ist Dir überlassen wem Du traust. Ich würde der Firma die das unsichere
    > System nicht sicher bekommt bestimmt auch trauen!
    Es gibt keine sichere Software. So eine Firma wird es niemals geben.

    > Genau! Weil Google sich den Kram ab und zu mal anguckt kann man es als
    > "sicher" betrachten.
    Ganz genau das ist doch das was ich die ganze Zeit sagen will. Google guckt sich den Defender regelmäßig an und deswegen kann man ihn als sicherer betrachten als all die anderen Scanner die von Google nicht unter die Lupe genommen werden.

  12. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 27.06.17 - 16:10

    > Ganz genau das ist doch das was ich die ganze Zeit sagen will. Google guckt
    > sich den Defender regelmäßig an und deswegen kann man ihn als sicherer
    > betrachten als all die anderen Scanner die von Google nicht unter die Lupe
    > genommen werden.

    Das kannst Du doch nicht ernst meinen! Das sind absolute _Zufallsfunde_! Google hat besseres zu tun als systematisch Fehler in Microsoft-Software zu suchen. Um Fehler zu reduzieren muss ein Produkt noch vor der Veröffentlichung vom Hersteller überprüft werden. Nicht erst mal veröffentlichen und warten ob vielleicht irgendjemand einen Fehler findet.

  13. Re: Ja, dieser konkrete Exploit.

    Autor: n0x30n 27.06.17 - 17:06

    Die Lücken werden erst gefunden, seitdem Ormandy seinen Fuzzer für Linux fertiggestellt hat.
    https://www.heise.de/security/meldung/l-f-Ueberraschung-Windows-Defender-laeuft-unter-Linux-3723908.html

    Den hat er extra geschrieben um solche Lücken effizient unter Linux finden zu können. Scheint wunderbar zu funktionieren.

    Würde er das Gleiche mit den anderen Scannern machen kannst du davon ausgehen, dass er auch dort auf jede Menge Lücken stoßen würde.



    1 mal bearbeitet, zuletzt am 27.06.17 17:08 durch n0x30n.

  14. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 27.06.17 - 22:03

    > Würde er das Gleiche mit den anderen Scannern machen kannst du davon
    > ausgehen, dass er auch dort auf jede Menge Lücken stoßen würde.

    Da bin ich mir auch ganz sicher. Aber der Umkehrschluss das wegen der paar gefundenen Lücken der Defender nun sicherer als andere Scanner sei halte ich für falsch.

  15. Re: Ja, dieser konkrete Exploit.

    Autor: n0x30n 28.06.17 - 10:11

    Naja. Zumindest vertraue ich ihm jetzt mehr, da er unter konstanter überwachung von Google steht. Es ist immer besser, wenn neben dem Softwarehersteller selbst noch externe Tester die Software überprüfen.

    Ich glaube auch nicht, dass andere Virenscanner Hersteller ihre Software so viel besser testen als Microsoft. Bei denen arbeiten auch nur Menschen als Entwickler, genau wie bei MS.

  16. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 28.06.17 - 13:56

    > Ich glaube auch nicht, dass andere Virenscanner Hersteller ihre Software so
    > viel besser testen als Microsoft. Bei denen arbeiten auch nur Menschen als
    > Entwickler, genau wie bei MS.

    Ich würde Dir raten deinen Rechner immer exakt in Richtung Redmond auszurichten. Vor dem Login mind. drei Mal intensiv beten und natürlich den gesegneten WLAN-Antennen-Aufkleber nicht vergessen! Wenn Du dann die ENTER-Taste nur mit den kleinen Fingern drückst kann Dir bestimmt nichts schlimmes mehr passieren!

  17. Re: Ja, dieser konkrete Exploit.

    Autor: My1 28.06.17 - 14:08

    er sagt ja nicht dass defender besser ist weils Microsoft ist, sondern weil neben dem hersteller (also hier MS) auch andere den prüfen. und sowohl MS als auch die anderen hersteller kochen nur mit wasser, wobei MS aber den vorteil hat, dass diese durch die Codekenntnisse von Windows den defender weit besser einbinden können als die anderen hersteller. und es ist ja auch nix neues dass bei anderen herstellern die virenscanner gern mal exploits haben um bösen code mit systemrechten laufen zu lassen.

    und dazu kommt dass es manchmal auch nur ne frage der Konfiguration ist. bspw kann man mit externer Konfigurationssoftware wie bspw Glasswire, auch die windows Firewall gut absichern.

    Asperger inside(tm)



    1 mal bearbeitet, zuletzt am 28.06.17 14:10 durch My1.

  18. Re: Ja, dieser konkrete Exploit.

    Autor: Nikolai 28.06.17 - 16:21

    > (...) und es ist ja auch
    > nix neues dass bei anderen herstellern die virenscanner gern mal exploits
    > haben um bösen code mit systemrechten laufen zu lassen.

    Wenn ich die letzten Meldungen über Defender-Probleme korrekt interpretiert habe lässt MS den Defender auch mit System-Rechten laufen... also auch hier kein nennenswerter Unterschied.
    Es ist nun mal einfach nicht korrekt über die Anzahl der gefundenen Fehler auf die Anzahl der verbliebenen Fehler zu schließen. Egal wer der Hersteller ist!

  19. Re: Ja, dieser konkrete Exploit.

    Autor: My1 28.06.17 - 16:42

    ja der defender läuft auch mit systemrechten.

    und es geht weniger um die anzahl der gefundenen fehler als darum wie viele und wer darauf schaut, insbesodere auch außerhalb des herstellers.

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. AZH-Abrechnungszentrale für Hebammen GmbH, Lauingen (Donau)
  3. über duerenhoff GmbH, Wien (Österreich)
  4. über duerenhoff GmbH, Raum Frankfurt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 199,00€ (Bestpreis!)
  2. (u. a. Telefunken 32 Zoll für 99,99€, Techwood 40 Zoll für 224,99€)
  3. (u. a. Ironclaw 79,90€, K83 wireless Keyboard für 139,90€, K57 wireless Keyboard 104,90€)
  4. (aktuell u. a. Mushkin Pilot-E 2 TB SSD für 219,90€, HP 120 GB SSD für 20,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Red Dead Redemption 2 für PC angespielt: Schusswechsel mit Startschwierigkeiten
Red Dead Redemption 2 für PC angespielt
Schusswechsel mit Startschwierigkeiten

Die PC-Version von Red Dead Redemption 2 bietet schönere Grafik als die Konsolenfassung - aber nach der Installation dauert es ganz schön lange bis zum ersten Feuergefecht in den Weiten des Wilden Westens.

  1. Rockstar Games Red Dead Redemption 2 belegt 150 GByte auf PC-Festplatte
  2. Rockstar Games Red Dead Redemption 2 erscheint für Windows-PC und Stadia
  3. Rockstar Games Red Dead Online wird zum Rollenspiel

In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Mi Note 10 im Hands on: Fünf Kameras, die sich lohnen
Mi Note 10 im Hands on
Fünf Kameras, die sich lohnen

Mit dem Mi Note 10 versucht Xiaomi, der Variabilität von Huaweis Vierfachkameras noch eins draufzusetzen - mit Erfolg: Die Fünffachkamera bietet in fast jeder Situation ein passendes Objektiv, auch die Bildqualität kann sich sehen lassen. Der Preis dafür ist ein recht hohes Gewicht.
Ein Hands on von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

  1. Elektromobilität: Erste Lithiumhydroxid-Raffinerie in Deutschland geplant
    Elektromobilität
    Erste Lithiumhydroxid-Raffinerie in Deutschland geplant

    Lithiumhydroxid ist ein wichtiger Bestandteil von Akkus für Elektroautos. Bisher kommt das Material fast ausschließlich aus China. Das will der niederländische Metallurgiekonzern AMG ändern; er plant eine Produktionsanlage für den Werkstoff in Sachsen-Anhalt.

  2. JUWELS: Jülich bekommt schnellsten Supercomputer Europas
    JUWELS
    Jülich bekommt schnellsten Supercomputer Europas

    Mit der Booster-Erweiterung auf 70 Petaflops wird der JUWELS-Supercomputer des Jülich Supercomputing Centre die höchste Rechenleistung in Europa erreichen. Das JSC kombiniert dazu AMDs Epyc 7002 alias Rome mit der nächsten Tesla-Grafikkarten-Generation von Nvidia.

  3. Android 10: Google sollte sein Schweigen zur Android-Verbreitung beenden
    Android 10
    Google sollte sein Schweigen zur Android-Verbreitung beenden

    Zwei Monate nach dem Start von Android 10 ist immer noch komplett unklar, wie viele Nutzer die Version bereits verwenden. Grund dafür ist, dass Google seit einem halben Jahr wieder keine Zahlen zur Android-Verbreitung veröffentlicht. Damit befeuert das Unternehmen negative Vermutungen, die ihm schaden.


  1. 11:32

  2. 11:11

  3. 10:45

  4. 10:28

  5. 10:13

  6. 10:00

  7. 09:45

  8. 09:26