Funktionierende Spectre Exploits für Linux und Windows auf VirusTotal gefunden

[English]Stehen wir vor einem Meltdown, also einer Kernschmelze, der IT? Ein Sicherheitsforscher hat auf VirusTotal funktionierende Exploits für Linux und Windows gefunden, die die 2018 in CPUs aufgedeckte Spectre-Schwachstelle ausnutzen. Aber die Exploits wirken nur gegen ungepatchte Systeme, werden schon von Virenscannern erkannt und haben auch sonst noch Schwächen.


Anzeige

Spectre: Hardware-Sicherheitslücken

Es war das Sicherheitsthema schlechthin, welches uns im Mai 2018 beschäftigte. Forscher, u.a. der TU-Graz, hatten Mechanismen entdeckt, um Angriffe auf eigentlich geschützte Speicherbereiche in Rechnern auszuführen und Informationen auszulesen. Hierbei kommen die theoretischen Grundlagen zum Einsatz, die in diversen Forschungsdokumenten (u.a. von der Uni Graz) unter den Namen Meltdown und Spectre bekannt sind.

  • Spectre (Variante 1 und 2): Diese durchbricht die Isolation zwischen verschiedenen Anwendungen. Es ermöglicht es einem Angreifer, fehlerfreie Programme, die Best Practices befolgen, zu täuschen, damit sie ihre Daten preisgeben. Tatsächlich erhöhen die Sicherheitsüberprüfungen im Rahmen der Best Practices sogar die Angriffsfläche und können Anwendungen anfälliger für Spectre machen. Diese Sicherheitslücke besteht nach aktuellem Wissen auf allen CPUs.
  • Meltdown (Variante 3): Diese durchbricht die grundlegende Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Daten anderer Programme und des Betriebssystems zuzugreifen. Diese Sicherheitslücke besteht nach aktuellem Wissen nur auf Intel CPUs.

Über die Links lassen sich die betreffenden PDF-Dokumente abrufen. Eine Informationen finden sich auch unter meltdownattack.com.

Meltdown/Spectre

Diese Ansätze wurden von Sicherheitsforschern im Google Project Zero konkret aufgegriffen. Den Leute gelang es, Exploits zu entwickeln, die sogenannte “speculative execution side-channel attacks” (spekulative Seitenkanalangriffe) verwenden. Über diesen Angriffsvektor ist es möglich, ohne Berechtigungsnachweis auf Speicherinhalte fremder Prozesse zuzugreifen. Dies bedeutet, aus einem Browser oder einer Anwendung, die mit normalen Rechten läuft, könnte auf Speicherbereiche des Betriebssystemkerns zugegriffen werden. In den Blog-Beiträgen Kleiner Überblick über Meltdown und Spectre (für Normalos) und Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1 finden sich Überblicke über das Thema.

Ich hatte hier im Blog in den nachfolgenden Artikeln über die Entwicklungen in dieser Sache berichtet. Es gab Micro-Patches für Intel-CPUs für Windows und in Linux wurden auch Schutzmechanismen eingezogen, die diese Angriffe ins Leere laufen lassen. Und es kam zu Problemen und Leistungseinbußen mit diesen Sicherheitsfixes. Im Artikel Google: Spectre-Schwachstelle nicht wirksam zu stopfen hatte ich eine Position Googles aufgegriffen, dass Spectre niemals wirksam gepatcht werden könne. Bisher war mein Kenntnisstand, dass die Spectre-Schwachstelle aus praktischen Gründen nicht wirklich ausgenutzt wird – es gibt wirksamere Angriffsmöglichkeiten.

Exploits auf VirusTotal entdeckt

Der Sicherheitsforscher Julien Voisin hat zum 1. März 2021 den Blog-Beitrag Spectre exploits in the „wild“ veröffentlicht, der eine neue Volte offen legt. Er schreibt dazu, dass Jemand war dumm genug gewesen sei, einen funktionierenden Spectre (CVE-2017-5753)-Exploit für Linux (es gibt auch einen für Windows) im Februar 2021 auf VirusTotal hochzuladen. Im Beitrag hat er eine schnelle Kurzanalyse des Exploits für Linux veröffentlicht (die Windows-Variante wurde nicht analysiert).

Spectre-Exploit auf Virustotal
Spectre-Exploit auf Virustotal, Zum Vergrößern klicken

Die Kollegen von Bleeping Computer haben sich die Sache ebenfalls angesehen und schreiben, dass die Exploits unter einem unprivilegierten Benutzer verwendet werden können, um LM/NT-Hashes auf Windows-Systemen und die Linux-Datei /etc/shadow aus dem Kernel-Speicher der Zielgeräte zu dumpen. Der Exploit ermöglicht auch das Dumpen von Kerberos-Tickets, die mit PsExec für lokale Privilegienerweiterung und laterale Bewegungen auf Windows-Systemen verwendet werden können.


Anzeige

Die oben auf VirusTotal verlinkten Exploits wurden im Februar 2021 als Teil eines Immunity Canvas 7.26 Installers für Windows und Linux hochgeladen. CANVAS  ist eigentlich ein Penetrationstest-Tool von Immunity Inc., welches Hunderte von Exploits enthält und ein automatisiertes Exploit-System ist, was auch die Erstellung eigener Exploits per Framework ermöglicht.

Vor der Veröffentlichung von Julien Voisin kannte wohl kein Virusscanner die Exploits, jetzt werden die Installer zumindest von einigen Antivirus-Tools auf VirusTotal als schädlich gemeldet. Zudem wurden ja seit dem Bekanntwerden von Spectre Sicherheitsfixes für  Betriebssysteme und CPUs-Microcode-Updates veröffentlicht. Julien Voisin gibt an, dass die Exploits auf gepatchten Linux- und Windows-Systemen nicht funktionieren.

Probleme bereiten aber Systeme mit Haswell und älteren CPUs, die keine Sicherheitsfixes erhalten haben. Zudem wurden einige Patches wegen Leistungsproblemen wieder zurückgezogen. Allerdings müssen die Exploits mit den richtigen Parametern aufgerufen werden, um Werte aus geschützten Bereichen auszulesen. Die praktischen Auswirkungen scheinen noch begrenzt zu sein – laut Voisin sind einzelne Erkennungen unter Linux hard-codiert (Fedora, ArchLinux und Ubuntu werden derzeit unterstützt, für Debian und CentOS gibt es Funktionen zur Überprüfung). Die Kernschmelze fällt also diesmal noch aus – aber die Einschläge kommen (gefühlt) näher.

Ähnliche Artikel:
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2
Neue Intel Spectre CPU-Lücke: Angriffe mit BranchScope
Neue Spectre-NG-Sicherheitslücken in Intel CPUs
Chrome 67 mit Site Isolation als Spectre-Schutz
Details zu CPU-Sicherheitslücken Spectre V1.1 und V1.2
HP: Infos zu Derivative Side-Channel-Angriffen (Spectre V4)
ETH Lausanne und IBM decken SmoTherSpectre-Hardware-Schwachstelle auf
Google und Microsoft enthüllen Spectre V4 CPU-Schwachstelle
Windows 10: Retpoline-Spectre 2-Schutz manuell aktivieren
Windows 10 19H1: Spectre V2-Schutz per Retpoline
Spectre-Lücken erlaubt Malware zu verstecken
Neue SplitSpectre-Methode, Windows Retpoline Spectre-Schutz
Microsoft aktualisiert Meltdown/Spectre-Schutzseite
Intel Microcode Boot Loader: Spectre-Schutz auf USB
Foreshadow (L1TF), neue (Spectre-ähnliche) CPU-Schwachstellen
NetSpectre: Zugriff auf den Arbeitsspeicher per Netzwerk
Sieben neue Spectre-Lücken in CPUs
Bald Angriffe über Meltdown und Spectre zu erwarten?
NAS: QNAP und Synology von Meltdown/Spectre betroffen
Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust
Red Hat wird Spectre-Patches rückgängig machen
Intel Fixes gegen Meltdown und Spectre wegen Bugs gestoppt
Meltdown/Spectre: Warnung vor erstem Schadcode
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 1
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 2
Test: Ist mein Browser durch Spectre angreifbar?
Bringen Meltdown/Spectre die Tech-Industrie ans wanken?
Kleiner Überblick über Meltdown und Spectre (für Normalos)
Meltdown/Spectre: Cloud-Anbieter suchen Intel-Alternativen
Vorsicht vor Spectre/Meltdown-Test InSpectre
Meltdown-/Spectre: Testtool-Übersicht
Google: Spectre-Schwachstelle nicht wirksam zu stopfen
Intel Vorschlag: SAPM-Protection (gegen Meltdown, Spectre)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Funktionierende Spectre Exploits für Linux und Windows auf VirusTotal gefunden

  1. 1ST1 sagt:

    Noch ein Grund mehr, Windows 7 nicht mehr aktiv zu nutzen.

    • Stephan sagt:

      Noch ein Grund mehr, die 60er-Jahre-Technologie von Intel/AMD nicht mehr zu nutzen und endlich auf 80er-Jahre-Technologie wie SPARC, Power oder ARM umzusteigen. Apple macht es vor.

      Endziel: Debian GNU/Linux auf einem Laptop auf RISC-V-Basis. Das wäre mal ein Projekt für die oft genannte digitale Souveränität. Aber das wird noch ein paar Jahre dauern.

      • Anonymous sagt:

        Ich bin ganz froh das ich noch Workstations mit Sparc, PA-Risc, Mips und ihre Unix Systeme erleben durfte. Ich habe selbst auch noch mit VME-Bus Systemen rumgespielt :) War einfach spannend heute ist alles zwar neuer aber irgendwie langweilig :D

      • 1ST1 sagt:

        Waren diese CPUs der 1960er noch in TTL (Transistor-Transistor-Logik, RTL (Resistor-Transistor-Logik), oder Relais-Technik aufgebaut? Und schon für Spectre/Meltdown anfällig?

        Meines wissens war der Intel 4004 mit 4-Bit Bus Breite im Jahr 1972 der erste universell nutzbare Single-Chip- integrierte Prozessor überhaupt, und der hatte mit dem späteren 8086/8088 Prozessoren unserer so heiß geliebten MS-DOSsen noch so gut wie garnix gemeinsam. Erst mit späten Revisionen der Pentium 4 CPUs wurde das für Spectre/Meltdown notwenige Hyperthreading überhaupt erst eingeführt.

        Muss gleich mal meine Olivetti M24 (8086 mit 8 Mhz) hochfahren, und schauen, ob die für Spectre/Meltdown anfällig ist…

        • Stephan sagt:

          CISC mit Microcode sind 60er-Design. RISC ist 80er-Design.

          “The design trend toward heavily microcoded processors with complex instructions began in the early 1960s and continued until roughly the mid-1980s. At that point the RISC design philosophy started becoming more prominent.”
          https://en.wikipedia.org/wiki/Microcode#Comparison_to_VLIW_and_RISC

          PS: Hyperthreading ist für Spectre/Meltdown nicht notwendig, es erhöht nur das Risiko und schwächt die Mitigations.

          • 1ST1 sagt:

            Auch Risc-Prozessoren sind teilweise für Spectre/Meltdown anfällig. z.B. ARM(-Cortex-A75) und Power-Architektur.

      • Extrawurst sagt:

        „Noch ein Grund mehr, die 60er-Jahre-Technologie von Intel/AMD nicht mehr zu nutzen und endlich auf 80er-Jahre-Technologie wie SPARC, Power oder ARM umzusteigen.“

        Stephan lies doch mal den Abschnitt mit den betroffenen Prozessoren:
        https://de.wikipedia.org/wiki/Spectre_(Sicherheitsl%C3%BCcke)#Betroffene_Prozessoren

    • Steter Tropfen sagt:

      Noch ein Grund mehr, angesichts der zahlreichen weiter tadellos funktionierenden „Altprodukte“ zu fragen, ob es die Hersteller verantworten können, denen die Sicherheitsupdates zu verweigern.

      Am Geld würde es nicht liegen, denn genug Nutzer wären bereit, einen angemessenen Betrag für ihre Sicherheit zu entrichten. Sozusagen nicht für Windows 10 zahlen, sondern dafür, dass sie davor verschont bleiben können!
      Gaaanz langsam keimt das Bewusstsein, dass angesichts knapper Ressourcen und Müllbergen ein Recht auf Reparatur besser ist als die Wegwerfmentalität der letzten 20 Jahre. Das gilt auch für Betriebssysteme, deren Nachfolger bloß noch zeitfressender Schrott ohne praktischen Mehrwert (für den Verbraucher) sind.

  2. Anonymous sagt:

    Noch ein Grund mehr keine Cloud Angebote zu nutzen :)

  3. micha45 sagt:

    Noch ein Grund mehr, Windows 7 nicht mehr aktiv zu nutzen und vor allem niemals die Sicherheitsupdates für Windows 10 zu blockieren.

    Das hat mit Cloud-Angeboten nur sehr wenig bis gar nichts zu tun.
    Auch wer nur mit einem lokalen Konto online geht, kann davon betroffen sein.
    Außerdem betrifft es ja auch Linux-Systeme.

    Nur Intel ist hier der Böse und nur Intel ist verantwortlich für diese Sauerei und den daraus resultierenden Folgen, da wiederhole ich mich sehr gerne.

    • Stephan sagt:

      Mit Windows 7 vs. 10 hat das aber wenig zu tun. Das Problem sind hier weniger fehlende Updates, sondern daß die Mitigations sehr viel Performance kosten. Eigentlich empfehlen die Sicherheitsforscher, daß man Dinge wie Hyperthreading komplett abschaltet, aber dann sind die CPUs buchstäblich um die Hälfte langsamer. Deshalb würde ich davon ausgehen, daß viele Betreiber einige Mitigations per default deaktivieren.
      Das gilt für Windows und Linux gleichermaßen.

    • Anonymous sagt:

      @micha45

      Na klar hat das was mit Cloud Angeboten zu tun. Denn hier wird häufig Virtualisierung bzw. Containerisierung als Sicherheitsschicht oder zum Nutzen der gleichen Ressourcen für mehrere Kunden genutzt, was dank CPU Bugs halt einfach nicht mehr sicher ist! Daher besser keine Daten dort lagern oder verarbeiten. Um Daten bei Lisschen Müller auf der lokalen Maschine abzusaugen muss ich keine CPU Bugs ausnutzen ;)

      Ob Linux oder Windows ist hier auch wurscht denn es geht um CPU Bugs die kann ich wenn nicht gepatcht, weil vielleicht auch nocht nicht öffentlich bekannt, auf beiden Systemen ausnutzen!

      Ja Intel hat hier Mist gebaut, nur von Böse zu sprechen ist Käse. Hier wurden Fehler aufgedeckt die man erst durch einen gewissen technischen Stand finden kann. Technisch gesehen ist das Ganze auch sehr spannend. Niemand von uns hat je etwas derart komplexes entwickelt. Jeder macht Fehler aber nur wenige haben die Chance welche mit diesem Ausmaß zu machen ;)

      Wie Intel damit dann umgegangen ist kann man durchaus verurteilen und
      muss man vielleicht auch. Aber Mal Hand aufs Herz aber $Deinlieblingshersteller wäre damit vielleicht auch nicht besser umgegangen ;)

      • micha45 sagt:

        @Anonymous

        Lieblingshersteller?^^ Habe ich keinen.
        Ich nutze nur Produkte und Dienstleistungen von diversen Herstellern / Dienstleistern, die mir zusagen und meide die, die mir nicht zusagen.^^

        Ich habe übrigens zwei Desktop-PC in Nutzung:
        -AMD-Brett, AMD-CPU, AMD-GPU, Windows 10 Pro
        -Intel-Brett, Intel-CPU, Nvidia-GPU, Ubuntu LTS

        Ich kann mich nicht beklagen, beide Systeme betreffend.

        Was das Thema bezüglich der Windows-Versionen hier betrifft:
        Microsoft liefert(e) auch Software-Fixes für diese Spectre- und Meltdown-Lecks aus und, innerhalb des Supportzeitraums, auch noch für Windows 7.

        Davon ausgehend, dass Windows 7 für Privatnutzer dahingehend nicht mehr unterstützt wird, ist der Hinweis, diese Version nicht mehr aktiv zu nutzen, vielleicht doch nicht so verkehrt.;)

        • Anonymous sagt:

          Sorry hat ich dann wohl einfach falsch verstanden den Absatz mit Windows, ich hatte das so gelesen als sollte man wegen Spectre gar kein Windows benutzen.

          Bei Windows 7 stimme ich in dem Zusammenhang aber ganz klar zu.

          AMD GPU und Windows aber Linux und Nvidia GPU, wohl leicht masochistisch veranlagt? ;)
          Ich muss gestehen beim nächten Mal Linux wirds ne AMD GPU auf den Nervenkitzel des fehlenden Grafiktrteiber nach dem Update habe ich keine Lust mehr. Bin halt leider Debian Fan :)

        • Zocker sagt:

          „Was das Thema bezüglich der Windows-Versionen hier betrifft:
          Microsoft liefert(e) auch Software-Fixes für diese Spectre- und Meltdown-Lecks aus und, innerhalb des Supportzeitraums, auch noch für Windows 7.

          Davon ausgehend, dass Windows 7 für Privatnutzer dahingehend nicht mehr unterstützt wird, ist der Hinweis, diese Version nicht mehr aktiv zu nutzen, vielleicht doch nicht so verkehrt.;)“

          ESU sagt dir aber schon etwas, oder? Wurde hier schon mehr als genug thematisiert. Zudem sind die Spectre- und Meltdown-Fixes bereits in den Updates des regulären Supportzeitraumes enthalten.
          Also nochmal die Frage: warum sollte man deswegen nicht mehr Win7 nutzen. Oder war es einfach nur wieder eine unnötige Provokation und Schleichwerbung?

          @Stephan
          Das mit der Leistung kann ich so nicht bestätigen. Auf der Servern ist das sicher der Fall, Heimanwender werden davon eher wenig bis nichts merken. Ich hatte es damals selbst getestet und Benchmarks gemacht. Bis auf die SSD-Performance, die zuvor schon mehr als ausreichend war, konnte keine signifikanten Einbrüche in Praxistests feststellen. Getestet wurde ab Haswell aufwärts.

          • micha45 sagt:

            Für dich Nullchecker exlusiv:
            ESU ist für die meisten Privatnutzer nicht das Thema, denn nur die wenigsten werden wohl bereit sein, für diesen erweiterten Support zu bezahlen. Es geht um die anderen.

            „Oder war es einfach nur wieder eine unnötige Provokation und Schleichwerbung?“

            Wieder einmal zeigst du in beeindruckender Klarheit, dass mit dir kein konstruktiver Austausch möglich ist.
            Jeder deiner Kommentare hier zeigt mehr als deutlich, dass du im höchstens Maße verhaltensgestört bist.
            Hole dir professionelle Hilfe, denn die hast du bitter nötig.

          • Zocker sagt:

            „Für dich Nullchecker exlusiv:
            ESU ist für die meisten Privatnutzer nicht das Thema, denn nur die wenigsten werden wohl bereit sein, für diesen erweiterten Support zu bezahlen. Es geht um die anderen.“

            In der Schule würde man sagen: setzen, 6, Thema verfehlt!

            „Wieder einmal zeigst du in beeindruckender Klarheit, dass mit dir kein konstruktiver Austausch möglich ist.
            Jeder deiner Kommentare hier zeigt mehr als deutlich, dass du im höchstens Maße verhaltensgestört bist.
            Hole dir professionelle Hilfe, denn die hast du bitter nötig.“

            Es war abzusehen, dass du dir wieder einmal nur mit persönlichen Beleidigungen zu helfen weißt. Da wundert es auch nicht, dass du in Foren nicht mehr aktiv bist. Du zeigt es immer wieder, warum das so ist. Warum du hier aktiv bist, weißt wohl nicht mal du selbst.

          • Günter Born sagt:

            @micha45 /@Zocker: Bitte verbal abzurüsten – man kann unterschiedlicher Meinung sein, aber bitte nicht gegenseitig herabwürdigen.

            Ist a) die Sache nicht wert und b) nicht Ziel des Blogs – Sachargument ja, persönliche Herabwürdigungen des Gegenüber eher nein. Danke für euer Verständnis.

    • Zocker sagt:

      Auch hier die Frage: warum?

  4. Ralf Lindemann sagt:

    Ich denke, an dem Thema sollte man nicht eine Windows 7 / Windows 10-Debatte aufhängen. Auf meinem Rechner läuft Windows 7, das Gerät ist alt. Gegen Meltdown ist es geschützt, gegen Spectre nicht.

    Das Problem bei Spectre ist nicht, dass keine Microupdates verfügbar wären. Microupdates sind seit 2018 verfügbar. Das Problem ist, dass diese Updates nicht an mein Gerät weitergereicht werden. Das müssten entweder der Gerätehersteller oder Microsoft tun. Tun sie aber nicht, beide nicht. Ich kann es auch irgendwie verstehen. Die sagen: „Der Typ soll ein neues Gerät kaufen. Alte Geräte, alte Betriebssysteme, die aus der Garantie und aus dem Support gefallen sind, unterstützen wir nicht …“ – Danke, sehr kundenfreundlich … – Selbst ein Upgrade auf Windows 10 würde nicht weiterhelfen. Selbst in dieser Konfiguration gibt es kein Microupdate für mein Gerät. Kann man vergessen.

    Das einzig Gute ist: Am Ende wird sich das Problem in Wohlgefallen auflösen. Wie Günter so blumig formulierte: Die Kernschmelze ist noch nicht eingetreten. Wenn sie irgendwann eintreten wird, werde ich wahrscheinlich ohnehin auf neue Hardware gewechselt sein, und die es dann hoffentlich gegen Spectre geschützt … Und bis dahin bleibe ich einfach mal Optimist. Wie die Kölner sagen: „Et hätt noch immer jot jejange … “

  5. Scyllo sagt:

    Bitte nur mal kurz fürs Verständnis:

    Oben steht:

    „Exploits auf VirusTotal entdeckt

    Der Sicherheitsforscher Julien Voisin hat zum 1. März 2021 den Blog-Beitrag Spectre exploits in the „wild“ veröffentlicht, der eine neue Volte offen legt. Er schreibt dazu, dass Jemand war dumm genug gewesen sei, einen funktionierenden Spectre (CVE-2017-5753)-Exploit für Linux (es gibt auch einen für Windows) im Februar 2021 auf VirusTotal hochzuladen.“

    Leider verstehe ich nicht so wirklich, weswegen jemand „dumm genug war „, den Exploit auf VirusTotal hochzuladen.

    Diese Seite ist doch extra dafür gedacht, dort Dateien überprüfen zu lassen, bei denen man nicht wirklich sicher ist, ob diese sicher sind.

    Was war nun daran dumm?

    Oder verstehe ich wieder mal etwas gänzlich falsch?

    • Günter Born sagt:

      Durch das Hochladen auf VirusTotal sind halt schlafende Hunde geweckt worden und die Antivirus-Hersteller können die Signaturen aktualisieren.

      – Virustotal ist dazu da, dass Nutzer Dateien hochladen und überprüfen – in der Hoffnung, dass die AV-Produket af VirusTotal das erkennen.
      – Es gibt bei den Malware-Entwicklern „Oberschlaue“, die mal testen wollen, oh die Excerpte schon erkannt werden. Fällt der Test auf, läuft ein Räderwerk der Sicherheitsforscher los.

      Ohne diese Aktion könnte der Exploit möglicher wochen- oder monatelang verwendet werden, bis die Telemetrie irgend eines Sicherheitsprodukts anschlägt.

      • Scyllo sagt:

        Vielen Dank für die Erklärung.

        Ich hatte es beim „Überfliegen“ so verstanden, dass ein Normal-User eine infizierte Datei geprüft hatte und nicht, dass ein Malware-Entwickler seinen Schädling „testen“ wollte.

        So wird der Satz natürlich verständlicher.

        Noch eine Frage:

        Auch wenn der Schädling „brandneu“ und noch unbekannt ist ist; wird so etwas denn dann nicht durch die oftmals so hochgelobte Heuristik erkannt?

        • Günter Born sagt:

          Letzter Satz: Nur wenn die Heuristik auf so etwas abgestellt ist, könnte das erkannt werden. Aber das sind aktuell alles Diskussionen am grünen Tisch. Wenn da eine Malware mal breit gestreut oder gezielt eingesetzt wird (ich tippe auf letzteres – z.B. Zugangsdaten auf Cloud-Rechnern und VMs auslesen), werden wir wissen, was Sache ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.