GVU-Trojaner im Domänennetzwerk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits Ende Januar in einem Artikel vor einer neuer Variante des BKA- bzw. GVU-Trojaners. Nun ist dieser Schädling in einem Domänennetzwerk aufgetreten und musste beseitigt werden.

Fehlermeldung

In dem mir vorliegenden Fall handelt es sich um den GVU-Trojaner in einer neuen Version. Dieser Schädling deaktiviert den Windows-Desktop, den Task-Manager und die Registry. Der User erhält eine Warnmeldung eingeblendet, die sich nicht schließen lässt. Die Meldung suggeriert, dass illegale Aktivitäten entdeckt und daraufhin der Rechner gesperrt wurde. Gegen eine Zahlung von 100 € könnte dies aber wieder Rückgängig gemacht werden.

Weiterlesen …

TMG: Anforderung eines Zertifikates schlägt fehl

Ich bin gerade über ein kleines Problem gestolpert, dass zwischenzeitlich gelöst ist, mich aber trotzdem einige Zeit gekostet hat. Ich habe versucht über die MMC ein Computerzertifikat an der internen Zertifizierungsstelle zu beantragen, was aber nicht funktionierte. Die Anforderung wurde mit folgender Fehlermeldung abgeschmettert:

Weiterlesen …

Exploit: JS/Blacole.BW Meldung auf der google Website

Hintergrund

Seit dem gestrigen Update, oder vielleicht auch das Update der google Website erscheint eine Meldung am TMG, Microsoft Forefront Endpoint Protection sowie MS Security Essentials. Die unterschiedlichen Foren sind zwischenzeitlich voll mit dieser Meldung. So wie es aussieht ist es eine False Positive Meldung, was bedeutet, dass es eine Falschmeldung darstellt. Seitens der Scanner wird ein Skript, welches auf der google Website gestartet wird, als diesen Exploit erkannt.

MS_Forefront_Exploit_FalsePositiv

Weiterführende Links/Quellen:

 

Ich werde die einzelnen Lösungswege später nachreichen.

[Update, 18:38]

Zwischenzeitlich existiert das Problem nicht mehr und werde mich auch nicht mehr damit auseinander setzen. Da ich bisher kein neues Definitionsupdate erhalten habe, glaube ich dass google das Script, welches für den Valentinstag gedacht war, wieder entfernt hat.

Vorfälle unter FP2010 für Exchange Server freigeben

Hintergrund

Forefront Protection 2010 für Exchange Server protokolliert einen Vorfall. Dieser wurde aber falsch erkannt und soll zugestellt werden.

Lösung

Eine Lösung gibt es leider nicht – zumindest habe ich diese nicht gefunden. Man kann die protokollierten Vorälle auflisten und auch ggf. löschen. In der Liste selbst werden nur rudimentäre Informationen (Zeit, Grund, Absender, Empfänger, usw) dargestellt, nicht aber der Inhalt. Ich interpretiere dies so, dass die Mails selbst gelöscht werden und diese garnicht mehr zur Verfügung stehen. Als Lösung selbst muss also der Absender der Mail nochmals gebeten werden, seine Mail zuzustellen. Vorab muss zumindes eine der Varianten des nachfolgenden Workarounds umgesetzt werden.

Zusätzlich zum Workaround kann auch der Hersteller des Antispammoduls informiert werden. An dieser stelle darf ich die Windows Hilfe zu Forefront Protection zitieren:

… [Entnommen aus Konfiguration von Inhaltsfilterung]

Berichten von falsch positiven Werten und entgangenem Spam

Informationen zu falsch negativen und positiven Werten dienen dem Hersteller des Antispammoduls zur Verbesserung der Modulleistung.

Senden Sie die E-Mail als RFC 2822-Anlage, um falsch positive oder falsch negative Spam-E-Mails zu übermitteln. Senden Sie keine falsch klassifizierten Nachrichten mithilfe des Befehls Weiterleiten, da dadurch wichtige Headerinformationen verloren gehen und keine gültige Übermittlung stattfindet.

Senden Sie die ursprüngliche E-Mail zu Analysezwecken an folgende Adressen:

  • Für falsch negative Werte: Forefront-spam@submit.cloudmark.com
  • Für falsch positive Werte: Forefront-legit@submit.cloudmark.com

So fügen Sie eine E-Mail-Nachricht als RFC 2822-Anlage an

  1. Erstellen Sie in Microsoft Outlook eine neue E-Mail-Nachricht.
  2. Geben Sie die entsprechende Adresse ein.
  3. Klicken Sie auf die Schaltfläche Element anfügen, wählen Sie die falsch klassifizierten E-Mails aus, und klicken Sie dann auf OK.

Workaround

Anknüpfend an die Logik der Lösung, muss erreicht werden, dass der Absender nicht als „Vorfall“ klassifiziert wird. Dies kann auf mehrere Arten realisieren oder beide Varianten kombinieren.

Variante 1

Der Absender bzw. die Domäne wird auf die sog. Whitelist gesetzt.

-> Richtlinienverwaltung -> Antispam -> Inhaltsfilter, „Listen mit zulässigem Inhalt konfigurieren…“

Variante 2

Alle als SPAM deklarierte Nachrichten werden nicht als Vorfall gewertet, sondern werden in die Quarantäne gestellt. Hierfür muss der SCL Wert auf „SCL 5 bis 9“ gesetzt werden.

-> Richtlinienverwaltung -> Antispam -> Inhaltsfilter -> SCL-Schwellenwerte und -Aktionen

Screenshot FP2010 for Exhange - Antispam
Screenshot aus dem Forefront Protection 2010 for Exchange zur Inhaltsfilterung

 

!Vorsicht bei Variante 2, da vermutlich auch mehr Speicherplatz verbraucht wird. Ich empfehle entsprechen die Quarantäneoption für das automatische löschen zu konfigurieren (Überwachung -> Konfiguration -> Quarantäneopntion, „Elemente unter Quarantäne automatisch löschen“ + Tageswert)

SQL Ports für Windows Server 2008R2

Um die SQL Dienste unter Windows Server 2008R2 zu publizieren, müssen die Ports in der Firewall des Servers freigegeben werden. In früheren Versionen funktionierte dies wie auf den Knowlegde Base Artikeln beschrieben (http://support.microsoft.com/kb/968872).
Die dort beschriebenen netsh-Befehle wurden neu konzipiert. Nachfolgend die auf 2008R2 angepasste Skript.

Skript:

[bash]
@echo ========= Firewallmodifikation für den SQL-Servers 2008R2 ===================
@echo === aktiviert ===
@echo Aktivieren von Port 1433 TCP für die SQLServer-Standardinstanz
netsh advfirewall firewall add rule name="SQLServer" dir=in action=allow protocol=TCP localport=1433
@echo Aktivieren von Port 1434 TCP für dedizierte Administratorverbindungen
netsh advfirewall firewall add rule name="SQL Administratorenverbindung" dir=in action=allow protocol=TCP localport=1434
@echo Aktivieren von Port 1434 UDP für den SQL Browser Service
netsh advfirewall firewall add rule name="SQL Browser" dir=in action=allow protocol=UDP localport=1434
@echo Aktivieren von Port 4022 TCP für den konventionellen SQL Server-Service Broker
netsh advfirewall firewall add rule name="SQL Service Broker" dir=in action=allow protocol=TCP localport=4022
@echo Aktivieren von Port 135 TCP für Transact-SQL-Debugger/RPC
netsh advfirewall firewall add rule name="SQL-Debugger/RPC" dir=in action=allow protocol=TCP localport=135
@echo ========= Ports für Analysedienste ==============
@echo Aktivieren von Port 2383 TCP für die SSAS-Standardinstanz
netsh advfirewall firewall add rule name="Analysedienste" dir=in action=allow protocol=TCP localport=2382
@echo Aktivieren von Port 2382 TCP für den SQL Server-Browserdienst
netsh advfirewall firewall add rule name="SQL Browser für nalysedienste" dir=in action=allow protocol=TCP localport=2382
@echo ========= Ports für Reportdienst ==============
netsh advfirewall firewall add rule name="HTTP Reportdienst" dir=in action=allow protocol=TCP localport=80
netsh advfirewall firewall add rule name="HTTPS Reportdienst" dir=in action=allow protocol=TCP localport=443
@echo Zulassen von Multicast-/Broadcastantwort auf UDP (Aufzählung der Browserdienste OK)
netsh advfirewall set multicastbroadcastresponse ENABLE
@echo === nicht aktiviert / Info ===
@echo Spiegelung aktiviert
REM netsh advfirewall firewall add rule name="Mirroring EndPoint" dir=in action=allow protocol=TCP localport=5022
[/bash]

Hinweis: Die Spiegelung ist in dem Skript auskommentiert.

Download: FW_SQLServer_Ports.rar (191 Downloads)

weiterführende Links: