Gefälschte Mails zum Microsoft-Patchday enthielten Trojaner

Zitat

Im Zuge der Ankündigungen zum Oktober-Patchday haben Unbekannte im Namen von Microsoft gefälschte E-Mails mit Schadsoftware im Anhang verschickt. Laut einem Blog-Eintrag des Microsoft Security Response Center (MSRC) enthielten die E-Mails den Schädling Backdoor:Win32/Haxdoor. Auch auf den Mailservern des Heise-Verlags sind am vergangenen Wochenende solche Nachrichten mit dem Betreff "Security Update for OS Microsoft Windows" eingetrudelt. Die Anhänge KB263117.exe beziehungsweise KB415902.exe erkannte der Virenscanner als Trojan-Spy.Win32.Goldun.bce.

Immer wieder behaupten gefälschte E-Mails, dringende Patches für Microsoft-Produkte im Anhang zu tragen. Die Redmonder verteilen jedoch grundsätzlich keine Software per E-Mail – ein Umstand, den auch Chrisptopher Budd im MSRC-Blog ausdrücklich betont. Authentische Sicherheits-Updates des Konzerns gebe es ausschließlich über den Download-Bereich der Microsoft-Domain unter Microsoft Download Center. Darauf verweisen auch die Patch-Links in den offiziellen Security-Bulletins.

Um echte von gefälschten E-Mails zu unterscheiden, tragen Microsoft-E-Mails eine Digitale Signatur. Für eine Überprüfung ist neben einem Zusatzprogramm wie PGP oder GPG der Import des offiziellen PGP-Schlüssels des MS-Sicherheitsteams nötig. Beispielsweise das E-Mail-Programm Thunderbird mit der GPG-Erweiterung Enigmail meldet nach einem Klick auf Entschlüsseln/Prüfen bei authentischen Mails stets eine "Korrekte Unterschrift" des "Microsoft Security Response Centers". Die PGP-Unterschrift, die auch die jüngsten Fälschungen enthielten, wirkte hingegen bestenfalls auf Menschen vertrauenserweckend: Eine Überprüfung gegen den Microsoft-Schlüssel führte zu einer deutlichen Fehlermeldung. (cr/c't)

heise.de