Rubrik: Produkte/Antivirus

Aladdin: "eSafe" wehrt neuartigen JPEG-Exploit ab

Überprüftung des HTTP- und SMTP-Contents am Internet-Gateway ohne Performancerinbußen

(17.10.04) - Die Content-Security-Lösung "eSafe" von Aladdin Knowledge Systems bietet nach Hersteller-angaben als Gateway-basiertes System Schutz gegen den jüngst aufgetauchten "Microsoft GDI+ JPEG Exploit". Diese neue Form der Bedrohung ermöglicht dem Angreifer die Ausführung von bösartigem Programmcode, wenn ein infiziertes JPEG-Bild mithilfe von verwundbaren Applikationen betrachtet wird. Hierzu gehören zahlreiche Microsoft-Produkte ebenso wie sonstige Programme, die unter Verwendung von Microsoft GDI+ Libraries entwickelt wurden. Der bösartige Programmcode kann dazu eingesetzt werden, Zugriffsrechte zu umgehen, Fernzugriff zu ermöglichen, Würmer zu aktivieren, Informationen zu stehlen sowie andere Virenprogramme aus dem Internet zu laden und auszuführen.

Nach Untersuchungen des Aladdin Content Security Resource Team (CSRT) erfolgen nahezu 15 Prozent aller Angriffe mit bösartigem Programmcode über Nicht-E-Mail-Protokolle. So war das oftmals ungeschützte HTTP-Protokoll die primäre Quelle für einige der großen Bedrohungen in letzter Zeit - einschließlich Code Red und Nimda. Die Überprüfung von HTTP Traffic muss daher entscheidender Bestandteil einer umfassenden Content-Sicherheitsstrategie sein.

Wirksame Lösung gegen JPEG-Exploit

Viele Sicherheitslösungen überprüfen JPEG-E-Mail-Attachments, aber keine JPEG-Dateien in HTTP und FTP. Wettbewerbslösungen, die HTTP/FTP Traffic überwachen, sind Proxy-basiert und arbeiten mit File Caching, um die Bilddateien zu überprüfen. Wird die zu überprüfende Datei bei solchen Lösungen darüber hinaus vom Proxy Server an einen Content Security Server weitergeleitet, wirkt sich das deutlich auf die Performance aus. Aladdin beseitigt dieses Problem durch die Bereitstellung der einzigen Gateway-Lösung, die in der Lage ist, JPEG Eploits und andere bösartige Programmcodes in Echtzeit zu identifizieren.

Wie kommt es zu einer Infektion?

·         Hacker oder Spammer verbreiten E-Mails mit einem Link auf ein JPEG, das bösartigen Code enthält. Sobald das Bild über Outlook/Outlook Express betrachtet wird, kommt es automatisch zu einer Ausführung des Codes.

Die Vorteile des Einsatzes von eSafe gegen JPEG-basierte Exploits sind:

·         Die JPEG-Überwachung erfolgt in Echtzeit, während die Dateien übermittelt werden, zeitaufwändiges File Caching entfällt.

·         Der Überwachungsvorgang ist vollkommen transparent und hat minimalen Einfluss auf die Performance der Web-Content-Security.

·         JPEG-Exploits werden sowohl in HTTP- und FTP-Traffic als auch SMTP-Traffic abgefangen.

·         Die JPEG-Überwachung ist jetzt in die NitroInspection Engine von eSafe integriert.

Weitere Informationen zum JPEG Exploit finden sich im Microsoft Security Bulletin MS04-028 unter:

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx. (ma).

Aladdin Knowledge Systems

Kontakt: Wolfram Dorfner

Tel. (089) 894221-0, Fax (089) 894221-40

E-Mail: wdorfner@aladdin.de

Web: www.aladdin.de