[datensicherheit.de, 28.01.2015] Qualys, Inc., Anbieter für cloudbasierte Sicherheits- und Compliance-Lösungen, gibt bekannt, dass seine Sicherheitsforscher eine kritische Sicherheitslücke in der GNU-C-Bibliothek (glibc) unter Linux entdeckt haben. Die Lücke versetzt Angreifer in die Lage, aus der Ferne ein gesamtes System zu übernehmen, ohne sich zuvor Anmeldeinformationen für das System verschafft zu haben. Qualys hat in enger, koordinierter Zusammenarbeit mit den Anbietern von Linux-Distributionen einen Patch für alle betroffenen Distributionen entwickelt, der ab sofort bei den jeweiligen Distributoren verfügbar ist.

Die Sicherheitslücke trägt den Namen GHOST (CVE-2015-0235), da sie mithilfe der Funktion gethostbyname ausgelöst werden kann. Sie betrifft zahlreiche Linux-basierende Systeme ab der Version glibc-2.2, die am 10. November 2000 herausgegeben wurde. Sicherheitsforscher von Qualys haben zudem eine Reihe von Faktoren ermittelt, die die Auswirkungen dieses Bugs entschärfen können. Dazu zählt ein Fix, der am 21. Mai 2013 zwischen der Veröffentlichung von glibc-2.17 und glibc-2.18 bereitgestellt wurde. Dieser Fix wurde jedoch nicht als Sicherheitswarnung klassifiziert, weshalb eine Reihe der stabilsten, langfristig unterstützten Distributionen, darunter Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 und Ubuntu 12.04, weiter anfällig blieben.

Kunden von Qualys können GHOST finden, indem sie mit der Cloud-Lösung Qualys Vulnerability Management (VM) beim nächsten Scanzyklus auf die QID 123191 scannen. Dann erhalten sie Berichte mit detaillierten Informationen über ihre unternehmensweite Anfälligkeit. Auf diese Weise können sie sich einen Überblick über die Auswirkungen auf ihr Unternehmen verschaffen und die Beseitigung dieser gravierenden Schwachstelle effizient verfolgen.

„GHOST ist eine Sicherheitslücke, die Remotecodeausführung erlaubt. Dies macht es für einen Angreifer äußerst einfach, einen Rechner auszunutzen. Zum Beispiel könnte ein Angreifer eine einfache E-Mail auf einem Linux-basierten System senden und automatisch vollständigen Zugriff auf diesen Rechner erhalten“, erklärt Wolfgang Kandek, Chief Technical Officer bei Qualys, Inc. „Angesichts der schieren Zahl von Systemen, die auf glibc basieren, betrachten wir diese Schwachstelle als gravierendes Sicherheitsleck, das sofort geschlossen werden sollte. Um das Risiko zu entschärfen, sollten die Anwender am besten einen Patch ihres Linux-Anbieters installieren.“

Weitere Informatione zum Thema:

Qualys Blog
The GHOST Vulnerability

datensicherheit.de, 27.02.2014
Qualys stellt kostenloses Tool für die Top 4 der kritischen Sicherheitskontrollen zur Verfügung

[datensicherheit.de, 09.07.2012] Am 9. Juli 2012 schaltet das FBI die „DNS-Changer“-Ersatzserver ab.
Die als Operation „Ghost Click“ bekanntgewordene Aktion verschiedener Strafermittlungsbehörden in Zusammenarbeit mit Unternehmen aus der IT-Sicherheitsindustrie beschäftigt jetzt vor allem die Gerichte. Den angeklagten Drahtziehern des Botnetzes, das über vier Millionen Rechner in mehr als 100 Ländern weltweit kontrollierte, drohen bis zu zehn Jahre Haft.
Als einer der maßgeblichen Informationslieferanten zeichnet TREND MICRO nun Geschichte und Funktionsweise des Botnetzes in einem aktuellen Forschungspapier nach – die Analyse mit dem Titel „Operation Ghost Click – The Rove Digital Takedown“ ist online abrufbar.
Nicht nur der Umfang des „DNS-Changer“-Botnetzes zeige die Dimensionen dieses Falls. Vielmehr werde daran vor allem deutlich, wie groß der Aufwand sei, um die Hintermänner solcher Angriffe dingfest zu machen.
Allein TREND MICRO habe fünf Jahre lang Informationen gesammelt und an die Ermittlungsbehörden weitergereicht. Darüber hinaus aber hätten viele andere an diesem Erfolg mitgewirkt, so Martin Rösler, „Director Threat Research“ bei TREND MICRO. Manchmal habe er den Eindruck, dass das Internet als vermeintlich rechtsfreier Raum immer noch zu große Akzeptanz erfahre. Dies behindere den Kampf gegen Cyber-Kriminalität, der schon auf technischer Ebene schwer genug zu führen sei, zusätzlich, so Rösler.

Weitere Informationen zum Thema:

TREND MICRO
Trend Micro Incorporated Research Paper 2012 / OPERATION GHOST CLICK / The Rove Digital Takedown

[datensicherheit.de, 10.11.2011] Die US-Ermittlungsbehörde FBI hat in Zusammenarbeit mit der estnischen Polizei und IT-Unternehmen wie TREND MICRO ein Botnetz lahmgelegt, das über vier Millionen gekaperte Rechner in mehr als 100 Ländern weltweit kontrolliert habem soll:
Die Hintermänner seien im Rahmen der „Operation Ghost Click“ genannten Polizeiaktion enttarnt und festgenommen worden. IT-Sicherheitsspezialist TREND MICRO hat nach eigenen Angaben das Botnetz und die Betreiber seit fünf Jahren beobachtet und den Behörden entscheidende Informationen geliefert.
Insbesondere sei es TREND MICRO gelungen, die Struktur der Kontroll- und Befehlsserver (C&C-Server) des Botnetzes zu identifizieren und diese bis zu ihrer Abschaltung am 8. November 2011 ununterbrochen zu beobachten. Auch die im estnischen Tartu ansässige Drahtzieherin sei TREND MICRO bereits seit 2006 bekannt gewesen. Insgesamt seien mehr als 100 „C&C“-Server in einer konzertierten Aktion von Ermittlungsbehörden und IT-Unternehmen vom Netz genommen worden; gleichzeitig habe die estnische Polizei sechs Verdächtige verhaftet.
Das nun zerschlagene Botnetz soll die DNS-Einstellungen auf den infizierten Rechnern so geändert haben, dass die Websurfer nach Belieben der „Online-Gangster“ auf fremde Seiten umgeleitet wurden. Unerwünschte Werbeeinblendungen, manipulierte Suchergebnisse oder Versuche, die ahnungslosen Anwender mit falschen Alarmmeldungen zum Kauf vermeintlicher Antiviren-Software – so genannte „FakeAV-Lösungen“ – zu bewegen, seien einige der Taktiken der Kriminellen, aus ihrem riesigen Botnetz Profit zu schlagen. Die Schadsoftware selbst habe über leistungsfähige Verteidigungsmechanismen verfügt und unter anderem die Aktualisierung von echten IT-Sicherheitslösungen verhindert.
Diese konzertierte Aktion gegen eine kriminelle Bande sei höchst bedeutsam. Denn noch nie zuvor seien cyber-kriminelle Aktivitäten dieses Ausmaßes unterbunden worden, so Martin Rösler „Director Threat Research“ bei TREND MICRO.

Weitere Informationen zum Thema:

TREND MICRO, CounterMeasures, 09.11.2011
How to check if you are a victim of Operation Ghost Click / Article from Rik Ferguson

TrendLabs, MALWARE BLOG, 09.11.2011
Esthost Taken Down – Biggest Cybercriminal Takedown in History

THE FBI, 09.11.2011
Operation Ghost Click / International Cyber Ring That Infected Millions of Computers Dismantled