Facebook steckt Windows an
Von Uli Ries
Selbst gestandene IT-Sicherheitsexperten fragen sich, wie um alles in der Welt eigentlich die vielen Millionen PCs weltweit mit Malware infiziert werden. Ausführliche Untersuchungen des dänischen Sicherheitsunternehmens CSIS Security Group A/S verdeutlichen jetzt die Infektionswege. Die gefürchteten Zero-Day-Schwachstellen sind jedenfalls weniger gefährlich als vermutet.
Die CSIS-Sicherheitsexperten beobachteten über einen Zeitraum von nahezu drei Monaten die Aktivitäten von Exploit-Kits im Feldversuch. Mit Exploit-Kits, quasi-kommerziellen Cracker-Werkzeugkästen, können Cyberkriminelle Sicherheitslücken in populärer Software missbrauchen. Laut CSIS resultieren mittlerweile 85 % aller Vireninfektionen aus automatisierten Drive-by-Attacken, die mittels solcher Exploit-Kits eingerichtet werden.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Insgesamt wurden mehr als 50 verschiedene Exploit-Kits auf 44 eindeutigen Servern bzw. IP-Adressen überwacht. Alles in allem kam im Testzeitraum mehr als eine halbe Million Anwender mit den durch Exploit-Kits in Fallen verwandelten Webseiten in Kontakt, von denen sich 31,3 % wegen fehlender Sicherheitsupdates ohne ihr Wissen mit Viren und Malware infizierten. Infizierten Systemen wird in mehr als 80 % der Fälle ein ganzer Cocktail von Schadsoftware verabreicht, typischerweise ein Mix aus Spyware (die auf Informations- und Datendiebstahl ausgerichtet ist) und Scareware (gefälschten Sicherheitsprogrammen).
Security-Updates hätten geholfen
Laut den statistischen Daten der Erhebung sind besonders Nutzer der Browser Microsoft Internet Explorer (66 %), Mozilla Firefox (21 %) und Google Chrome (8 %) gefährdet. Bei den Betriebssystemen führt Microsoft Windows XP (41 %) die Liste knapp vor Microsoft Windows Vista (38 %) an, Windows 7 liegt bei 16 %.
Die am stärksten gefährdeten – und mit Vorliebe von Drive-by-Angriffen attackierten – Anwendungen sind Oracle Java JRE (37 %), Adobe Reader/Acrobat (32 %) und Adobe Flash (16 %). Microsofts Internet Explorer und Windows HCP/Help belegen mit 10 respektive 3 % den vierten und fünften Platz.
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.
Das Fazit der CSIS-Erhebung ist somit ziemlich ernüchternd, allerdings nicht wirklich überraschend: 99,8 % aller Viren- oder Malware-Infektionen, die durch kommerzielle Exploit-Kits verursacht werden, sind ein direktes Resultat fehlender Security-Updates von lediglich fünf Anwendungen! Allein durch regelmäßige Updates können sie also zum Großteil unterbunden werden.
Zero-Days sind überbewertet
Ein Bericht von Microsoft (Security Intelligence Report v11) unterstreicht diese Ergebnisse. Aus dem SIR v11 geht hervor, dass weniger als 1 % der von Microsoft analysierten Cyberangriffe auf Zero-Day-Exploits zurückzuführen ist und knapp über 5 % auf Sicherheitslücken im Allgemeinen. Rund 90 % der Angriffe missbrauchen Sicherheitslücken, für die seit über einem Jahr ein Sicherheitsupdate zur Verfügung steht.
Sogenannte Zero Days sind Lücken in Software, für die der betroffene Hersteller noch kein Update parat hat. Sie gelten gemeinhin als gefährlich, da sie in der Vergangenheit regelmäßig für massenhafte Wurmattacken missbraucht wurden.
Trickbetrüger auf Facebook
Das hat sich mittlerweile gründlich geändert. Jetzt wählen die Angreifer deutlich häufiger andere Wege für ihre Attacken. Relevanter als der Missbrauch von Schwachstellen sind Infektionen durch Social Engineering (weltweit 45 % der Angriffe), Missbrauch der AutoRun-Funktion (26 %) und fehlende Sicherheitsupdates bzw. schwache Passwörter.
Zum Social Engineering gehören Phishing-Attacken auf soziale Netzwerke . Diese werden mit rund der Hälfte aller Phishing-Versuche im ersten Halbjahr 2011 in Verbindung gebracht. Dazu passend die deutschen Zahlen: Im zweiten Quartal 2011 betrug die Rate der durch Adware infizierten Computer 44,1 %; im ersten Quartal 2011 lag die Rate sogar bei 51,8 %.
Über ein Drittel der Schadprogramme geht auf den Missbrauch der AutoRun-Funktion zurück. Diese Funktion startet Programme automatisch, sobald der Anwender z.B. eine CD einlegt oder einen USB-Stick ansteckt. Zu Beginn des Jahres veröffentlichte Microsoft Updates für Windows XP und Vista, um die AutoRun-Funktion besser zu schützen und Dateien nicht automatisch beim Einlegen von Medien auszuführen. Im Vergleich zum Vorjahr konnte die Anzahl der befallenen Systeme so um knapp 60 % bei XP und um 74 % bei Vista reduziert werden. Bei Windows 7 ist dieser Schutz standardmäßig aktiviert.
Fazit: Adware lässt die Hüllen fallen
Die laut SIR am häufigsten entdecken Schädlinge ist die Adware JS/Pornpop – sie blendet Pornowerbung auf den infizierten PCs ein. Der in Deutschland am weitesten verbreitete Trojaner ist Alureon (TDL). Die „Malware-Stars“ ZeuS und Conficker sind übrigens nicht mehr in den Top 10.
Und noch eine gute Nachricht: Erfreulicherweise ging laut SIR v11 in Deutschland die Infektionsrate im zweiten Quartal 2011 auf 3,2 CCM (entdeckte Malware pro 1000 Computer) zurück; der weltweite Durchschnitt liegt bei 9,8 CCM.´
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing