Netzwelt Sicherheitslücke beim Firefox
Es gibt leider keine 100%ige Sicherheit und da hat auch der Firefox zu kämpfen.
Es gibt einen Trojaner, der mit Firefox gespeicherte Passwörter ausspioniert und den Firefox veranlasst, Passwörter ohne Zustimmung des Benutzers zu speichern.
Es sind prinzipiell alle Betriebssysteme betroffen (XP, Vista, W7, Ubuntu 10.04), lediglich die Betriebssysteme bei denen der Benutzer nicht mit Admin- bzw. Root-Rechten arbeitet, ist die Gefahr nicht so groß, bzw. der Trojaner kommt da nicht ohne weitere Tricks aus.
Es gibt einen Trojaner, der mit Firefox gespeicherte Passwörter ausspioniert und den Firefox veranlasst, Passwörter ohne Zustimmung des Benutzers zu speichern.
Es sind prinzipiell alle Betriebssysteme betroffen (XP, Vista, W7, Ubuntu 10.04), lediglich die Betriebssysteme bei denen der Benutzer nicht mit Admin- bzw. Root-Rechten arbeitet, ist die Gefahr nicht so groß, bzw. der Trojaner kommt da nicht ohne weitere Tricks aus.
Mitglied_5ccaf87
Mitglied
Re: Sicherheitslücke beim Firefox
geschrieben von ehemaliges Mitglied
Nun bitte keine Panik. Was wissen wir über das Teil? Ich behaupte einfach mal nichts außer das er existiert und dessen Programmierer schon ermittelt wurde.
Was mich immer stutzig mach, ist das der Verbreitungsweg immer mit Nebelkerzen verheimlicht wird. Ich beziehe mich mal auf einen Blog Webroot speziell auf http://blog.webroot.com/2010/10/06/patchy-phisher-forces-firefox-to-forego-forgetting-passwords/ sowie die Googleübersetzung ins deutsche: (Bitte verzeiht mir, das ich die Übersetzungen nicht interpretiere
Das wir wohl eine leichte Übung für euch sein.)
Nanu? Das hölzerne Pferdchen wurde schon im Juli in der default-Konfiguration des FF 3.6.10 lokalisiert. Weiter lesen wir:
Das ist nun tatsächlich eine Sache, die der Trojaner verursacht hat. Und er hat noch mehr getan:
Aha, jetzt kennen wir den Übeltäter. Der Trojaner hat eine Datei mit dem Namen kernel.exe heruntergeladen und in das Verzeichnis %WinRoot%\Windows\system32\... installiert. Dies schien dem Programmierer unverfänglich zu sein, denn es gibt auch eine kernel.dll. Diese kernel.exe richtet dann einen weiteren User mit Adminrechten ein und benutzt/beauftragt dann die Datei msinet.ocx zur Kommunikation mit dem Server des Keyloggers. Damit ist jede Sicherheitssoftware ausgetrickst, denn diese Datei darf ausdrücklich mit dem Internet kommunizieren. Das verwert auch keine noch so teure PersonalFireWall.
In einem Firefox mit NoScript dürfte kein Infekt auftreten, denn diese Erweiterung würde die Ausführung eines Scripts verhindern. (siehe obige Nebelkerzen) Das ist meine Auffassung. Ob ein System infiziert ist, stellen wir am einfachsten in einem simplen Dateimanager, wie den FreeCommander fest, mit welchem wir die %WinRoot%\Windows\system32\kernel.exe suchen. Ist sie vorhanden, haben die Leuts ein Problem, die es bisher nicht für notwendig gehalten haben, sich eine LiveCD wie BartPE, UBCD4Win oder Knoppix anzuschaffen. Vorgegangen wird dabei ähnlich wie in Entfernung von Malware aller Art beschrieben. Das sollte jeder beherrschen. Anschliesend wird der Firefox neu installiert. Das können wir hier entnehmen:
Wer sich den kostenlosen Luxus einer Backupsoftware von Paragon geleistet hat und ein Image so wie in Die Anwendung von Paragon DriveBackup zur Sicherung einer Festplatte beschrieben, hergestellt hat, macht 2-3 Mausklicks und kocht sich eine Tasse Kaffee. Er muss sich aber mit dem Austrinken beeilen. Nach ca 10 Minuten hat er ein komplett neues und sofort funktionsfähiges Windows einschließlich Firefox.
Für alle anderen beginnt das große Zitter und die Hoffnung, das sein Scannerhersteller für eine kernel.exe eine Signatur liefert. Hat sie der Scanner nicht gefunden, aber wir sehen sie im Verzeichnis %WinRoot%\Windows\system32\ gibt es nur noch eine vernünftige Lösung: Format C: und Neuinstallation von Windows.
Diesen Vorfall nehme ich zum Anlass in den nächsten Tagen eine Anleitung für die Herstellung und Handhabung einer Knoppix-LiveCD zu veröffentlichen.
Was mich immer stutzig mach, ist das der Verbreitungsweg immer mit Nebelkerzen verheimlicht wird. Ich beziehe mich mal auf einen Blog Webroot speziell auf http://blog.webroot.com/2010/10/06/patchy-phisher-forces-firefox-to-forego-forgetting-passwords/ sowie die Googleübersetzung ins deutsche: (Bitte verzeiht mir, das ich die Übersetzungen nicht interpretiere
Das wir wohl eine leichte Übung für euch sein.)Aber im Laufe der Einnahme eines gründlicheren Blicks auf einen trojanischen, der zu unserer Aufmerksamkeit im Juli kam, waren wir überrascht, um das trojanische zu sehen, eine Firefox Kerndatei modifizieren. Auf die nähere Besichtigung die trojanischen Flecke nannte eine Datei nsLoginManagerPrompter.js. Der Fleck fügt einige Linien des Codes (gezeigt oben) hinzu, und kommentiert andere Teile des Codes, die diktieren, ob Firefox den Benutzer auffordert, Kennwörter zu sparen, wenn er oder sie in eine sichere Seite loggt.
Nanu? Das hölzerne Pferdchen wurde schon im Juli in der default-Konfiguration des FF 3.6.10 lokalisiert. Weiter lesen wir:
Vor der Infektion würde eine Verzug-Installierung von Firefox am 3.6.10 den Benutzer veranlassen, nachdem der Benutzer den Klotz im Knopf auf einer Webseite klickt, fragend, ob er oder sie das Kennwort sparen will. Nach der Infektion spart der Browser einfach den ganzen Anmeldungsausweis lokal, und veranlasst den Benutzer nicht.
Das ist nun tatsächlich eine Sache, die der Trojaner verursacht hat. Und er hat noch mehr getan:
Das keylogging trojanische kopiert sich zum system32 Verzeichnis mit dem Dateinamen Kernel.exe; Fälle und Register eine alte, gütige, missbilligte ActiveX-Kontrolle nannten die Internetübertragungskontrolle von Microsoft DLL, oder msinet.ocx (MD5: 7BEC181A21753498B6BD001C42A42722), den es verwendet, um mit seinem Befehl und Kontrollserver zu kommunizieren; dann schafft es eine neue Benutzerrechnung (Benutzername: Maestro) auf dem angesteckten System.
Aha, jetzt kennen wir den Übeltäter. Der Trojaner hat eine Datei mit dem Namen kernel.exe heruntergeladen und in das Verzeichnis %WinRoot%\Windows\system32\... installiert. Dies schien dem Programmierer unverfänglich zu sein, denn es gibt auch eine kernel.dll. Diese kernel.exe richtet dann einen weiteren User mit Adminrechten ein und benutzt/beauftragt dann die Datei msinet.ocx zur Kommunikation mit dem Server des Keyloggers. Damit ist jede Sicherheitssoftware ausgetrickst, denn diese Datei darf ausdrücklich mit dem Internet kommunizieren. Das verwert auch keine noch so teure PersonalFireWall.
In einem Firefox mit NoScript dürfte kein Infekt auftreten, denn diese Erweiterung würde die Ausführung eines Scripts verhindern. (siehe obige Nebelkerzen
) Das ist meine Auffassung. Ob ein System infiziert ist, stellen wir am einfachsten in einem simplen Dateimanager, wie den FreeCommander fest, mit welchem wir die %WinRoot%\Windows\system32\kernel.exe suchen. Ist sie vorhanden, haben die Leuts ein Problem, die es bisher nicht für notwendig gehalten haben, sich eine LiveCD wie BartPE, UBCD4Win oder Knoppix anzuschaffen. Vorgegangen wird dabei ähnlich wie in Entfernung von Malware aller Art beschrieben. Das sollte jeder beherrschen. Anschliesend wird der Firefox neu installiert. Das können wir hier entnehmen:Ein Ding, das wir, noch jede andere AV Gesellschaft, tun können, ist üble Lage die modifizierte Firefox Datei. Jedoch gibt es eine leichte üble Lage dafür ebenso: Laden Sie einfach den letzten Firefox Monteur herunter und installieren Sie es über der Oberseite von Ihrer vorhandenen Installierung. Sie werden keine Lesezeichen oder Erweiterungen verlieren, und der Monteur wird gerade die modifizierte nsLoginManagerPrompter.js Datei überschreiben. Behobenes Problem.
Wer sich den kostenlosen Luxus einer Backupsoftware von Paragon geleistet hat und ein Image so wie in Die Anwendung von Paragon DriveBackup zur Sicherung einer Festplatte beschrieben, hergestellt hat, macht 2-3 Mausklicks und kocht sich eine Tasse Kaffee. Er muss sich aber mit dem Austrinken beeilen. Nach ca 10 Minuten hat er ein komplett neues und sofort funktionsfähiges Windows einschließlich Firefox.
Für alle anderen beginnt das große Zitter und die Hoffnung, das sein Scannerhersteller für eine kernel.exe eine Signatur liefert. Hat sie der Scanner nicht gefunden, aber wir sehen sie im Verzeichnis %WinRoot%\Windows\system32\ gibt es nur noch eine vernünftige Lösung: Format C: und Neuinstallation von Windows.
Diesen Vorfall nehme ich zum Anlass in den nächsten Tagen eine Anleitung für die Herstellung und Handhabung einer Knoppix-LiveCD zu veröffentlichen.