Category Archives: Microsoft

Heartbleed in Microsoft IIS 8.0 ?

Datenschutzverstöße bleiben ohne Folgen” (golem.de)

Für die zweite Jahreshälfte 2012 wurden 27 Datenpannen gemeldet, 2013 waren es 66 Fälle und in diesem Jahr bereits 32. Die betroffenen Kunden dürften davon aber oft nichts mitbekommen haben. Sie müssen nämlich nicht benachrichtigt werden, wenn der Betreiber ein Schutzkonzept eingeführt hat.

Das Thema Heartbleed beschäftigt mich weiterhin. Es ist für mich nach wie vor nicht nachvollziehbar, dass Seitenbetreiber nicht handeln und ihre Kunden im Unklaren lassen. Am vergangenen Mittwoch habe ich die Datenschützer von Bund und Land (ein Shop in NRW) gefragt, wer denn Zuständig ist, wenn Heartbleed nicht gefixt wurde und Kundendaten in falsche Hände geraten. Bisher gab es noch keine Antwort.


Am Wochenende stieß ich auf etwas sehr ungewöhnliches, einen Microsoft IIS 8.0 der laut Qualys für Heartbleed anfällig ist:
heartbleed schon länger

Dem Seitenbetreiber schrieb ich meine Vermutung, dass er wohl der Meinung wäre vom Heartbleed-Bug nicht betroffen zu sein, weil er einen IIS verwendet und deshalb noch keinen Fix eingespielt hat. Microsoft verwendet natürlich kein OpenSSL, es ist aber nicht gänzlich auszuschließen, dass nicht doch eine Fremdsoftware dies verwendet, deswegen meine Vermutung — aber nein:

danke für die Info. Unsere Partner arbeiten schon länger mit uns an diesem Problem. Der IIS ist aber nicht betroffen.

Wenn “Partner” es in einem Monat nicht schaffen solch eine Lücke zu schließen, dann muss man sich evtl. neue suchen!? Auf jeden Fall muss man den Server vorläufig abschalten, damit nicht weiterhin Zugangsdaten unverschlüsselt in die Welt gepustet werden. Leider muss ich davon ausgehen, dass der Seitenbetreiber bzw. seine Partner den Heartbleed-Bug nicht verstanden haben. Es ist ihnen offensichtlich nicht klar, wie einfach es ist Daten abzufangen.

Hier noch einmal das Video aus “Heartbleed auch ohne Kundenkonten ausnutzbar“:

Das Video zeigt oben den Browser des Opfers und unten ein Programm des Angreifers zum auslesen des Server-Speicher. Das Opfer gibt seine Zugangsdaten ein und der Angreifer ließt dies einfach mit. Den Sniffer zu bedienen ist nicht schwer, jeder DAU kann dies — Domain eingeben und auf ENTER drücken. Es wird eine TXT-Datei geschrieben, in der nur nach interessanten Daten gesucht werden muss.


Update: 28.07.2014 – 16:24 Uhr
Das Problem lag bei der Firewall UTM 9 von Sophos.

hatte das update einfach vergessen. ich sag nur: altenheimer!

Microsoft: Download aus der Webbrowser-Auswahl inkl. Malware?

Microsoft liefert Webbrowser-Auswahlfenster in Deutschland aus” (heise.de)

Das Auswahlfenster ist so gestaltet, dass zunächst nur fünf Webbrowsersymbole mit kurzen Beschreibungen zu sehen sind, und zwar immer nur die der fünf populärsten Programme. Deren Reihenfolge wird zu jedem Aufruf des Auswahlfensters nach dem Zufallsprinzip neu angeordnet. Um die weiteren Alternativen sehen zu können, die auch untereinander mit jedem Neustart umgeordnet werden, muss der Nutzer in dem Auswahlfenster zur Seite scrollen.

Es ist wohl nur Zufall, dass der erste angezeigte Browser auf browserchoice.eu immer der Exploder ist, wenn JavaScript deaktiviert wurde. Es könnte auch daran liegen das es in ASP keine Funktion für Zufallszahlen gibt. ;O)

Aber ist es auch ein Zufall das ein Klick auf “Installieren” unter dem Logo vom “Avant Browser” zu einem mit Malware verseuchten Download führt?
Avant Download mit Malware?

Die “Diagnoseseite für filekicker.net (google.com) ist nicht wirklich hilfreich:

Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 1 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.
(…)
0 Seite(n) von insgesamt 520 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-03-15 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-03-15 gefunden.

Na was denn nun? 1 mal oder 0 mal innerhalb der letzten 90 Tage?

Malicious software includes 29 trojan(s), 4 worm(s)

Google ist verwirrt!


Die virustotal.com-Prüfung hat auch nur ein “Suspicious.Insight” von Symantec in der absetup.exe gefunden und viruschief.com findet gar nichts verdächtiges.

Wollen wir mal glauben das die Jungs von Avant Browser (avantbrowser.com) den Jungs von Microsoft einfach nur einen falschen Downloadlink gegeben haben. Vielleicht war es ja auch nur ein Spass und die Avanties wollten Microsoft testen, ob die den komischen Link bemerken. :O)