Discussion:
Wie funktioniert BlackCat
(zu alt für eine Antwort)
WG
2022-06-06 19:10:08 UTC
Permalink
Hallo Leute,

da lese ich, daß

...
eine Phishing-Mail, die von einem Mitarbeiter im April angeklickt wurde,
und über die Schadsoftware, die eine Betriebssystemlücke ausnutzt, die
Systeme des Landes infizierte.
...
Zitat:
https://futurezone.at/digital-life/cyberangriff-auf-kaernten-phishing-mail-datenleck-blackcat-der/402032804


Ich frag mich wie durch das Öffnen (angeklickt) einer e-mail Software
installiert werden kann?

Danke für Aufklärung.

Wolf
Laurenz Trossel
2022-06-06 21:24:55 UTC
Permalink
Post by WG
eine Phishing-Mail, die von einem Mitarbeiter im April angeklickt wurde,
und über die Schadsoftware, die eine Betriebssystemlücke ausnutzt, die
Systeme des Landes infizierte.
Ich frag mich wie durch das Öffnen (angeklickt) einer e-mail Software
installiert werden kann?
Durch Ausnutzen einer Betriebssystemlücke.

Aktuelles Beispiel:
https://www.cpomagazine.com/cyber-security/zero-day-remote-code-execution-vulnerability-found-in-microsoft-office-no-patch-yet-but-possible-fix-available/
WG
2022-06-07 12:58:30 UTC
Permalink
Post by Laurenz Trossel
Post by WG
eine Phishing-Mail, die von einem Mitarbeiter im April angeklickt wurde,
und über die Schadsoftware, die eine Betriebssystemlücke ausnutzt, die
Systeme des Landes infizierte.
Ich frag mich wie durch das Öffnen (angeklickt) einer e-mail Software
installiert werden kann?
Durch Ausnutzen einer Betriebssystemlücke.
https://www.cpomagazine.com/cyber-security/zero-day-remote-code-execution-vulnerability-found-in-microsoft-office-no-patch-yet-but-possible-fix-available/
OK '...opens a malicious document in Word.'
Setzt also auf ein MS Word dokument.
Wenn der mailserver nor .pdf durchlässt solle das ok sein, oder?
Thomas Hochstein
2022-06-07 19:17:49 UTC
Permalink
Post by WG
OK '...opens a malicious document in Word.'
Setzt also auf ein MS Word dokument.
So ist es.
Post by WG
Wenn der mailserver nor .pdf durchlässt solle das ok sein, oder?
Solange es keine Schwachstelle im verwendeten PDF-Reader gibt, ja.
Juergen Ilse
2022-06-07 23:31:37 UTC
Permalink
Hallo,
Post by Thomas Hochstein
Post by WG
OK '...opens a malicious document in Word.'
Setzt also auf ein MS Word dokument.
So ist es.
Post by WG
Wenn der mailserver nor .pdf durchlässt solle das ok sein, oder?
Solange es keine Schwachstelle im verwendeten PDF-Reader gibt, ja.
Und solange PDF Dateien anhand ihres Inhalts und nicht nur anhand der
Dateiendlkung identifiziert werden (denn einige Software achtet zur
Ermittlung der passenden Methode zum "oeffnen" der Datei niht auf die
Dateiendung sondern auf den Inhalt ...).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
Stefan Kanthak
2022-06-08 10:56:01 UTC
Permalink
Post by Juergen Ilse
Hallo,
Post by Thomas Hochstein
Post by WG
OK '...opens a malicious document in Word.'
Setzt also auf ein MS Word dokument.
So ist es.
Post by WG
Wenn der mailserver nor .pdf durchlässt solle das ok sein, oder?
Solange es keine Schwachstelle im verwendeten PDF-Reader gibt, ja.
Und solange PDF Dateien anhand ihres Inhalts und nicht nur anhand der
Dateiendlkung identifiziert werden (denn einige Software achtet zur
Ermittlung der passenden Methode zum "oeffnen" der Datei niht auf die
Dateiendung sondern auf den Inhalt ...).
... oder den (vom sendenden Mail-Client oder HTTP-Server typischerweise
aus der Endung abgeleiteten) uebermittelten MIME-Typ.

SCHROTT wie das Zeux von Mozilla beispielsweise erkennt PDF nicht nur,
wenn dieses korrekt als "application/pdf" gekennzeichnet ist, sondern auch
in der Kombination von "application/binary" bzw. "application/x-download"
mit "content-disposition: attachment; filename=...pdf"

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Arno Welzel
2022-06-08 18:24:19 UTC
Permalink
Stefan Kanthak:

[...]
Post by Stefan Kanthak
... oder den (vom sendenden Mail-Client oder HTTP-Server typischerweise
aus der Endung abgeleiteten) uebermittelten MIME-Typ.
SCHROTT wie das Zeux von Mozilla beispielsweise erkennt PDF nicht nur,
wenn dieses korrekt als "application/pdf" gekennzeichnet ist, sondern auch
in der Kombination von "application/binary" bzw. "application/x-download"
mit "content-disposition: attachment; filename=...pdf"
Das tut der Schrott von Microsoft ebenso.
--
Arno Welzel
https://arnowelzel.de
Chr. Maercker
2022-07-04 07:56:26 UTC
Permalink
WG wrote:
[https://www.cpomagazine.com/cyber-security/zero-day-remote-code-execution-vulnerability-found-in-microsoft-office-no-patch-yet-but-possible-fix-available/]
Post by WG
OK '...opens a malicious document in Word.'
Setzt also auf ein MS Word dokument.
... und öffnet es automatisch, also ohne Klick auf den Anhang? Aus
beliebigem Mailer heraus, nicht nur Outlokus? Vergleichbares kenne ich
nur vom einstigen Outlook Express.
--
CU Chr. Maercker.
Juergen Ilse
2022-06-06 21:39:17 UTC
Permalink
Hallo,
Post by WG
da lese ich, daß
...
eine Phishing-Mail, die von einem Mitarbeiter im April angeklickt wurde,
und über die Schadsoftware, die eine Betriebssystemlücke ausnutzt, die
Systeme des Landes infizierte.
...
https://futurezone.at/digital-life/cyberangriff-auf-kaernten-phishing-mail-datenleck-blackcat-der/402032804
Ich frag mich wie durch das Öffnen (angeklickt) einer e-mail Software
installiert werden kann?
Manche Mailprogramme (gerade solche, in denen "geklickt" wird) fuehren
teils in die Mail eingebettete "aktive Inhalte" wie in HTML-Mails ein-
gebettes JavaScript oder Active-X aus, oder sie interpretieren teils
Macros in angehaengten Office-Dokumenten fuer die Bereitstellung einer
"Vorschau". Das alles kann (evt. im Zusammenhaang mit weiteren Sicher-
heitsluecken im System) dazu genutzt werden.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
Wendelin Uez
2022-06-07 10:44:11 UTC
Permalink
Post by WG
Ich frag mich wie durch das Öffnen (angeklickt) einer e-mail Software
installiert werden kann?
Eine Interaktion des Users, z.B. durch Anklicken eines Links, vereinfacht
die Sache für den Schadcode zwar gewaltig, ist aber nicht immer zwingend
erforderlich. Es ist alles nur eine Frage des Aufwands.

Enthält die Mail nicht nur reinen Text, sondern, wie üblich, HTML-Code, muß
dieser Code interpretiert werden. Das einlesende Mailprogramm zeigt also
nicht den übermittelten Text an, sondern das Ergebnis seiner Interpretation
des übermittelten Textes. Diese Interpretation kann ggfs. zu Fehlern wie
Ausführung eines Schadcodes führen. Bekanntestes Beispiel ist die Ausführung
von Autorun-Makros in Office-Dokumenten beim Öffnen/Anzeigen des Dokuments.

Andere Möglichkeit:
Üblicherweise werden Mails als eigenständige Datein gespeichert und nicht
als Datensatz einer Datenbank. Somit wird bereits beim Öffnen einer Mail,
also einer Datei, sprich beim Einlesen von der Festplatte, ggfs. ein
Antivirusprogramm aktiv und prüft die zu öffnende Datei. Ist das
Antivirenprogramm nicht ausreichend gut geschützt, kann man ihm bzw. dem
Betriebssystem bei dieser Gelegenheit den Aufruf eines Schadprogramms
unterjubeln.
Chr. Maercker
2022-07-04 08:02:58 UTC
Permalink
Post by Wendelin Uez
Eine Interaktion des Users, z.B. durch Anklicken eines Links,
vereinfacht die Sache für den Schadcode zwar gewaltig, ist aber nicht
immer zwingend erforderlich. Es ist alles nur eine Frage des Aufwands.
Enthält die Mail nicht nur reinen Text, sondern, wie üblich, HTML-Code,
BTW: Gewisse, längst vergessene, Sprüche zu HTML-Mails hatten ihre
Berechtigung.
Post by Wendelin Uez
muß dieser Code interpretiert werden. Das einlesende Mailprogramm zeigt
also nicht den übermittelten Text an, sondern das Ergebnis seiner
Interpretation des übermittelten Textes. Diese Interpretation kann ggfs.
zu Fehlern wie Ausführung eines Schadcodes führen. Bekanntestes Beispiel
ist die Ausführung von Autorun-Makros in Office-Dokumenten beim
Öffnen/Anzeigen des Dokuments.
OK, das sind Office-Makros. Was aber kann HTML pur in dieser Hinsicht,
ohne JS & Co.? *Mit* JS geht so was natürlich und just deswegen ist
Javascript in Mails für mich ein Filterkriterium.
--
CU Chr. Maercker.
Wendelin Uez
2022-07-04 17:45:44 UTC
Permalink
Post by Chr. Maercker
Post by Wendelin Uez
muß dieser Code interpretiert werden. Das einlesende Mailprogramm zeigt
also nicht den übermittelten Text an, sondern das Ergebnis seiner
Interpretation des übermittelten Textes. Diese Interpretation kann ggfs.
zu Fehlern wie Ausführung eines Schadcodes führen. Bekanntestes Beispiel
ist die Ausführung von Autorun-Makros in Office-Dokumenten beim
Öffnen/Anzeigen des Dokuments.
OK, das sind Office-Makros. Was aber kann HTML pur in dieser Hinsicht,
ohne JS & Co.? *Mit* JS geht so was natürlich und just deswegen ist
Javascript in Mails für mich ein Filterkriterium.
Weches Mailprogramm kann denn Mails, die JavaScript enthalten, erkennen und
herausfiltern?
Chr. Maercker
2022-07-05 07:21:34 UTC
Permalink
Post by Wendelin Uez
Weches Mailprogramm kann denn Mails, die JavaScript enthalten, erkennen
und herausfiltern?
Pegasus Mail.
--
CU Chr. Maercker.
Ralph Angenendt
2022-07-05 10:30:05 UTC
Permalink
Post by Chr. Maercker
OK, das sind Office-Makros. Was aber kann HTML pur in dieser Hinsicht,
ohne JS & Co.? *Mit* JS geht so was natürlich und just deswegen ist
Javascript in Mails für mich ein Filterkriterium.
Welches Mailprogramm führt denn JavaScript aus?

Ralph
--
Is your mother worried?
Would you like us to assign someone to worry your mother?
Marc Haber
2022-07-05 11:16:55 UTC
Permalink
Post by Ralph Angenendt
Post by Chr. Maercker
OK, das sind Office-Makros. Was aber kann HTML pur in dieser Hinsicht,
ohne JS & Co.? *Mit* JS geht so was natürlich und just deswegen ist
Javascript in Mails für mich ein Filterkriterium.
Welches Mailprogramm führt denn JavaScript aus?
Jedes, was empfangenen HTML-Code auf eine handelsübliche
Browser-Engine wirft?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Ralph Angenendt
2022-07-05 12:43:22 UTC
Permalink
Post by Marc Haber
Post by Ralph Angenendt
Post by Chr. Maercker
OK, das sind Office-Makros. Was aber kann HTML pur in dieser Hinsicht,
ohne JS & Co.? *Mit* JS geht so was natürlich und just deswegen ist
Javascript in Mails für mich ein Filterkriterium.
Welches Mailprogramm führt denn JavaScript aus?
Jedes, was empfangenen HTML-Code auf eine handelsübliche
Browser-Engine wirft?
Also Outlook schon mal nicht, das läuft (was HTML betrifft) seit Outlook
2002/2003 in der restricted Zone, die kein Scripting erlaubt.

Thunderbird hat das soweit ich weiß in Version 3 fallen lassen.

Keine Ahnung wie GMail das handhabt.

Ralph
--
Is your mother worried?
Would you like us to assign someone to worry your mother?
Wendelin Uez
2022-07-05 11:08:46 UTC
Permalink
Post by Ralph Angenendt
Welches Mailprogramm führt denn JavaScript aus?
Ein HTML-Interpreter kann übrigens üblicherweise nicht nur JavaScript
ausführen, sondern bspw. auch VBScript u.a.

Und HTML-Interpreter sind ja sozusagen das Herzstück jedes HTML-fähigen
Mailprogramms, somit also eigentlich fast jedem.
Chr. Maercker
2022-07-05 14:47:24 UTC
Permalink
Post by Ralph Angenendt
Welches Mailprogramm führt denn JavaScript aus?
Meins nur, wenn der URL aufgerufen wird, dann übernimmt es der Browser.
Aber egal, Scripts gehören nicht in Mails, HTML pur ist schon ekelhaft
genug. Also ab in den Filter damit.
--
CU Chr. Maercker.
Arno Welzel
2022-06-07 12:59:38 UTC
Permalink
Post by WG
Hallo Leute,
da lese ich, daß
...
eine Phishing-Mail, die von einem Mitarbeiter im April angeklickt wurde,
und über die Schadsoftware, die eine Betriebssystemlücke ausnutzt, die
Systeme des Landes infizierte.
...
https://futurezone.at/digital-life/cyberangriff-auf-kaernten-phishing-mail-datenleck-blackcat-der/402032804
Ich frag mich wie durch das Öffnen (angeklickt) einer e-mail Software
installiert werden kann?
Indem in der E-Mail ein Anhang mit Malware enthalten ist und die Opfer
dazu aufgefordert werden, den Anhang zu öffnen. Bei der aktuellen und
derzeit immer noch ungepatchten Lücke in MS Office genügt dafür sogar
ein Link, ganz ohne Anhang:

<https://www.heise.de/news/Zero-Day-Luecke-in-Microsoft-Office-erlaubt-Codeschmuggel-7125635.html>
--
Arno Welzel
https://arnowelzel.de
WG
2022-06-07 13:18:02 UTC
Permalink
Post by WG
Hallo Leute,
da lese ich, daß
...
eine Phishing-Mail, die von einem Mitarbeiter im April angeklickt wurde,
und über die Schadsoftware, die eine Betriebssystemlücke ausnutzt, die
Systeme des Landes infizierte.
...
https://futurezone.at/digital-life/cyberangriff-auf-kaernten-phishing-mail-datenleck-blackcat-der/402032804
Ich frag mich wie durch das Öffnen (angeklickt) einer e-mail Software
installiert werden kann?
Danke für Aufklärung.
Wolf
Danke für die Kommentare unhd Links!

Einge kannte ich ja schon, hab sie aber nur überflogen, da MS bezogen.

Wolf
WG
2022-06-07 13:19:48 UTC
Permalink
Post by WG
Hallo Leute,
da lese ich, daß
...
eine Phishing-Mail, die von einem Mitarbeiter im April angeklickt wurde,
und über die Schadsoftware, die eine Betriebssystemlücke ausnutzt, die
Systeme des Landes infizierte.
...
https://futurezone.at/digital-life/cyberangriff-auf-kaernten-phishing-mail-datenleck-blackcat-der/402032804
Ich frag mich wie durch das Öffnen (angeklickt) einer e-mail Software
installiert werden kann?
Danke für Aufklärung.
Wolf
Danke für die Kommentare und Links!

Einge kannte ich ja schon, hab sie aber nur überflogen, da MS bezogen.

Wolf
Loading...