In jüngster Zeit tauchen vermehrt gefälschte Microsoft Security Bulletins auf, in denen vor Bedrohungen gewarnt wird, die nicht existieren oder vor denen bereits in anderen Bulletins gewarnt wurde. Meist wird in diesen Meldungen empfohlen, einen Patch über einen dubiosen URL herunterzuladen, der sich nach erfolgreicher Installation als Wurm oder Virus entpuppt und das System kompromittiert. Nach einem falschen Bulletin mit der Bezeichnung "MS01-037" ist nun ein weiteres mit der Bezeichnung "MS01-039" in Umlauf.

Betroffene Systeme

• Microsoft Betriebssysteme

Einfallstor
Per E-Mail versandte, gefälschte Microsoft Security Bulletins

Auswirkung
Verschieden je nach Art des Wurms/Virus. Allgemein kann davon ausgegangen werden, daß befallene Systeme kompromittiert sind.

Typ der Verwundbarkeit
Wurm/Virus

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Schon in KW28 wurde unter anderem vom DFN-CERT vor einem falschen Microsoft Security Bulletin MS01-037 gewarnt in dem ein URL enthalten ist, der auf einen vermeintlichen Patch zur Behebung des in diesem Advisory beschriebenen Problems einer "Vulnerability in Windows systems allowing an upload of a serious virus" dienen soll. Stattdessen enthält diese Datei den Wurm W32/Leave.B, der das "gepachte" System infiziert und damit kompromittiert.

Nun ist ein weiteres gefälschtes Microsoft Security Bulletin MS01-039 aufgetaucht, das ähnliche Warnungen enthält, aber einen anderen URL, der auf eine Datei als vermeintlichen Patch zeigt. Offenbar wird ein in dieser Datei enthaltener Wurm/Virus noch von keinem aktuellen Virenscanner entdeckt - eine Nachprüfung durch das RUS-CERT konnte nicht erfolgen, da der URL mittlerweile nicht mehr erreichbar ist.

Charakteristik der Falschmeldungen
Folgende Merkmale deuten auf eines der beschriebenen oder ein möglicherweise noch unbekanntes gefälschte Microsoft Security Bulletin hin:

• Die Falschmeldungen enthalten PGP-Signaturen, die mit den derzeit gültigen und verwendeten Schlüsseln des Microsoft Security Response Centers nicht verifiziert werden können.
  
• Die Headers einer E-Mail-Nachricht mit einer solche Falschmeldung enthalten Hinweise, daß die Nachricht nicht von der Infrastruktur des Microsoft Security Response Centers abgeschickt wurden.
• Der URL, der auf einen vermeintlichen Patch hinweisen soll, zeigt nicht auf einen Server von Microsoft. In der zweiten der oben beschriebenen Falschmeldungen hat der URL die Form <user@host/path>; dabei sind alle Zeichen nach dem "@"-Zeichen hexadezimal codiert und mit "%"-Zeichen maskiert:

  [...]
  Visit:
  http://www.microsoft.com@%36%32%2E%35%32%2E%31%36%32%2E%31%34%37/%68
  %69%63%61%67%6F%67%70%70%72/%6D%73%5F%76%32%37%35%36%35%37%5F%78%38
  %36%5F%65%6E.e%78%65 
  to download the patch named ms_v275657_x86_en.exe. Download and run 
  the file.
  [...]
  

  Eine solche Form zur Angabe eines URL zum Download eines sicherheitsrelevanten Patches ist sehr unüblich.

Gegenmaßnahmen

• Nachrichten mit den oben beschriebenen Merkmalen sollten mit äußerster Vorsicht behandelt werden, etwaige angehängte Dateien auf keinen Fall geöffnet und enthaltene URLs nicht besucht werden.

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Führen Sie keinerlei Inhalte aus, die Sie von Webservern heruntergeladen haben, deren Authentizität Sie nicht verifizieren können. Zwar bieten durch die in der CA-Schlüsseldatenbank verschiedener Browser enthaltenen Wurzelzertifikate überprüfbare Serverzertifikate keinen absoluten Schutz (siehe hierzu [Microsoft/VeriSign] VeriSign stellte unberechtigterweise Zertifikate aus), stellen jedoch eine gewisse Hürde dar.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Weitere Information zu diesem Thema

• InfoWorld: Internet worm purports to be a Microsoft security alert
• DFN-CERT: [Advisory] W32/Leave.B Wurm tarnt sich als Microsoft Advisory - AUSCERT AL-2001.11
• Hoax-Info Service der TU Berlin

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/