Braun Sicherheitsdienste

News

22. Juli 2020

Passwort Datenbank. Sind meine Zugangsdaten noch sicher?

„Have I Been Pwned“: Nun über 10 Milliarden Einträge bei Passwort-Prüfdienst

Auf „Have I Been Pwned“ kann man prüfen, ob die eigenen Nutzerdaten gehackt wurden. Die Datenbank dahinter wächst und wächst.

Die Datenbank des Webangebots „Have I Been Pwned“ (HIBP) umfasst inzwischen mehr als 10 Milliarden Einträge zu geleakten Accountdaten. Auf der Seite des unabhängigen Sicherheitsforschers Troy Hunt können Privatpersonen, Unternehmen und Behörden unter Eingabe von E-Mail-Adressen und Passwörtern online abfragen, ob die jeweiligen Daten im Zuge eines Leaks kompromittiert wurden. Insgesamt rund 270 Millionen Datensätze aus einem Hack der Schreibcommunity Wattpad sorgten nun dafür, dass die HIBP-Datenbank den Meilenstein übersprang, erklärte Hunt auf Twitter und in einem Blogeintrag.
Eigene Nutzerdaten noch sicher?

Hunt hatte den Passwort-Prüfdienst Ende 2013 eröffnet, inspiriert durch einen immensen Hack bei Adobe. Seitdem ist sie eine immer beliebter gewordene Anlaufstelle für Internetnutzer, die erfahren wollen, ob ihre Zugangsdaten im Zuge eines Hacks kompromittiert wurden. Dazu bindet Hunt verfügbar gewordene Datenbanken ein, Interessierte können dann prüfen, ob es für ihre E-Mail-Adresse darin einen Treffer gibt. Hunt stellt zusätzlich eine API für eine automatisierte Abfrage bereit. Administratoren können diese Überprüfung zudem für eine von ihnen verwaltete Domain vornehmen. Auch das direkte Prüfen von Passwörtern ist mittlerweile möglich, beispielsweise um geleakte Passwörter direkt bei einer Registrierung ausschließen zu können.

Angesichts des immensen Erfolgs hatte Hunt vergangenes Jahr angekündigt, den Dienst verkaufen zu wollen. In dem Blogeintrag zum jüngsten „freudigen, aber eigentlich ja eher traurigen“ Meilenstein schreibt er nun einmal mehr, dass darauf die stressigste Zeit seines Lebens gefolgt sei – mit der abschließenden Kehrtwende nach grundsätzlichen Zweifeln an dem Plan. Aus dem Verkauf wurde nichts und „Have I Been Pwned“ soll auf absehbare Zeit hin unabhängig bleiben.


5. April 2020

Coronavirus: Informationen des Bundesministeriums für Gesundheit zur Erweiterung der Leitlinien zur Beschränkung von sozialen Kontakten



Meldung vom:

3.4.2020 – 17:14:30 Uhr

Warnung

Das Bundesministerium für Gesundheit informiert: Aufgrund des gemeinsamen Aufrufs von Bund und Ländern zum Verhalten an den Osterfeiertagen und des Beschlusses vom 29. März zur Verlängerung der Maßnahmen wird die Meldung vom 30.03.2020 aktualisiert.
Maßgeblich für die in Ihrem Bundesland geltenden Regelungen sind die Festlegungen der Landesregierungen. Bitte beachten Sie hierzu die Meldungen Ihres jeweiligen Bundeslandes. Diese finden Sie in der Warn-App NINA unter Notfalltipps zu Corona im Unterabschnitt „Hotlinenummern der Landesregierungen“.
Das Coronavirus (SARS-CoV-2) verbreitet sich in Deutschland immer noch in rasanter Geschwindigkeit. Damit unser Gesundheitssystem leistungsfähig bleibt, ist es zentral, das Tempo der Ansteckung soweit wie möglich zu verlangsamen. Bleiben Sie deshalb auch während der Osterfeiertage zu Hause! Minimieren Sie Ihre Kontakte auf das absolut Notwendige. Verreisen Sie nicht – weder ins Ausland noch im Inland, auch nicht zu Verwandten.
Beachten Sie die vom Bund und den Ländern am 12. März beschlossenen Leitlinien zur Beschränkung sozialer Kontakte, Diese Leitlinien mit dem Charakter von verbindlichen Regeln wurden am 22. März erweitert:

  • 1. Die Bürgerinnen und Bürger werden angehalten, die Kontakte zu anderen Menschen außerhalb der Angehörigen des eigenen Hausstands auf ein absolut nötiges Minimum zu reduzieren.
  • 2. In der Öffentlichkeit ist, wo immer möglich, zu anderen als den unter 1. genannten Personen ein Mindestabstand von mindestens 1,5m einzuhalten.
  • 3. Der Aufenthalt im öffentlichen Raum ist nur alleine, mit einer weiteren nicht im Haushalt lebenden Person oder im Kreis der Angehörigen des eigenen Hausstands gestattet.
  • 4. Der Weg zur Arbeit, zur Notbetreuung, Einkäufe, Arztbesuche, Teilnahme an Sitzungen, erforderliche Terminen und Prüfungen, Hilfe für andere oder individueller Sport und Bewegung an der frischen Luft sowie andere notwendige Tätigkeiten bleiben weiter möglich.
  • 5. Gruppen feiernder Menschen auf öffentlichen Plätzen, in Wohnungen sowie privaten Einrichtungen sind angesichts der ernsten Lage in unserem Land inakzeptabel. Verstöße gegen die Kontakt-Beschränkungen sollen von den Ordnungsbehörden und der Polizei überwacht und bei Zuwiderhandlungen sanktioniert werden.
  • 6. Gastronomiebetriebe bleiben geschlossen. Davon ausgenommen ist die Lieferung und Abholung mitnahmefähiger Speisen für den Verzehr zu Hause.
  • 7. Dienstleistungsbetriebe im Bereich der Körperpflege, wie Friseure, Kosmetikstudios, Massagesalons, Tattoo-Studios und ähnliche Betriebe bleiben geschlossen, weil in diesem Bereich eine körperliche Nähe unabdingbar ist. Medizinisch notwendige Behandlungen bleiben weiter möglich.
  • 8. In allen Betrieben und insbesondere solchen mit Publikumsverkehr ist es wichtig, die Hygienevorschriften einzuhalten und wirksame Schutzmaßnahmen für Mitarbeiter und Besucher umzusetzen.
  • 9. Am 29. März haben Bund und Länder beschlossen, dass diese Maßnahmen bis mindestens zum 19. April gelten sollen.
    Handlungsempfehlung
  • Bitte folgen Sie den behördlichen Anordnungen.
  • Bitte bleiben Sie zu Hause, soweit es Ihnen möglich ist. Wir als Gemeinschaft müssen Solidarität zeigen denen gegenüber, die besonders gefährdet sind.
  • Beachten Sie unbedingt behördliche Anordnungen.
  • Wenn Sie innerhalb der letzten 14 Tage in Italien oder anderen Risikogebieten waren: Vermeiden Sie unnötige Kontakte und bleiben Sie zwei Wochen zu Hause – und zwar unabhängig davon, ob Sie Krankheitszeichen zeigen oder nicht.
  • Beachten Sie wichtige Hygieneregeln wie regelmäßiges und gründliches Händewaschen.
  • Husten und niesen Sie in ein Taschentuch oder in die Armbeuge.
  • Vermeiden Sie Körperkontakt mit anderen Personen wie Begrüßungsküsse und Händeschütteln.
  • Vermeiden Sie Aktivitäten in der Gruppe wie Teamsportarten.
  • Seien Sie kritisch: Informieren Sie sich nur aus gesicherten Quellen.
  • Helfen Sie älteren Mitbürgerinnen und Mitbürgern, damit diese keinen vermeidbaren Risiken ausgesetzt werden: Kaufen Sie zum Beispiel für sie ein.
  • Wenn Sie an einer Immunschwäche oder einer chronischen Atemwegserkrankung leiden oder wenn Sie älter als 70 Jahre sind, empfiehlt es sich, sich von Ihrem Hausarzt bzw. ihrer Hausärztin über eine Pneumokokkenimpfung beraten zu lassen.
  • Wenn Sie selbst Krankheitszeichen bei sich feststellen, nehmen Sie telefonisch Kontakt mit Ihrem Hausarzt/Ihrer Hausärztin auf oder wenden sich an die Telefonnummer 116117 des Ärztlichen Bereitschaftsdienstes. Gehen Sie nicht unaufgefordert in eine Arztpraxis oder ins Krankenhaus. Arbeitsunfähigkeitsbescheinigungen können Sie bei leichten Erkrankungen (Husten/Schnupfen) bis auf Weiteres telefonisch bei Ihrem Hausarzt/ihrer Hausärztin erhalten.
    Betroffene Region(en):

Bundesland: Freie Hansestadt Bremen, Land Berlin, Land Hessen, Land Nordrhein-Westfalen, Land Brandenburg, Freistaat Bayern, Land Mecklenburg-Vorpommern, Land Rheinland-Pfalz, Freistaat Sachsen, Land Schleswig-Holstein, Freie und Hansestadt Hamburg, Freistaat Thüringen, Land Niedersachsen, Saarland, Land Sachsen-Anhalt, Land Baden-Württemberg


18. Februar 2020

WordPress-Plugin Themegrill löscht Datenbank

Ein WordPress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen – und ermöglicht in manchen Fällen ein Übernehmen des WordPress-Systems.

Die IT-Sicherheitsfirma WebARX warnt vor einer gefährlichen Sicherheitslücke in einem WordPress-Plugin. Das Plugin Themegrill Demo Importer kann demnach die komplette Datenbank einer WordPress-Installation löschen. Wenn zudem noch ein Nutzer mit dem Benutzernamen „admin“ existiert, kann man die Lücke auch nutzen, um die WordPress-Installation zu übernehmen und Code auszuführen.

Das Plugin von Themegrill, einer Firma, die Wordpress-Themes verkauft, dient dazu, WordPress-Seiten mit Beispielinhalten zu füllen, um die Funktionalität der Themes zu testen. Das Theme installiert dabei eine Hooking-Funktion, die die Möglichkeit bietet, die komplette Datenbank von WordPress neu aufzusetzen.

Jeder kann Datenbank löschen

Diese Funktion wird aktiviert, wenn eine bestimmte GET-Variable in der URL gesetzt ist und kann beispielsweise über das Ajax-Interface von WordPress erreicht werden. Das Problem: Das funktioniert auch für nicht angemeldete Benutzer. Ein Angreifer kann also einfach die Datenbank eines WordPress-Systems löschen, alle bisher erstellten Inhalte sind dann weg.

Die Funktion sorgt außerdem dafür, dass ein eventuell vorhandener Account mit dem Benutzernamen „admin“ nach dem Resetten der Datenbank erneut angelegt wird und der Nutzer, der die Aktion ausführt, damit eingeloggt wird. Sprich: Wenn ein solcher Account existiert, kann man die Sicherheitslücke auch nutzen, um anschließend die komplette Wordpress-Installation zu kontrollieren. Über die Installation von Plugins kann man damit auch Code ausführen.

Angreifer suchen bereits nach verwundbaren Installationen, ich habe beispielsweise in den Logs meiner privaten Webseite entsprechende Anfragen gefunden. Themegrill hat inzwischen ein Update bereitgestellt, in Version 1.6.3 wird geprüft, ob die Aktion von einem angemeldeten Nutzer ausgeführt wird. Wer das Plugin einsetzt, sollte also entweder schnellstmöglich aktualisieren oder das Plugin komplett entfernen.

Generell gilt: Da das Core-System von WordPress inzwischen vergleichsweise sicher ist, geht das größte Sicherheitsrisiko von Plugins aus. Daher sollte man grundsätzlich so wenige Plugins wie möglich installieren und nicht mehr benötigte Plugins löschen.

Nachtrag vom 18. Februar 2020, 11:34 Uhr

Inzwischen werden Angriffe auf die Sicherheitslücke durchgeführt. Einige Webseiten, die das Plugin nutzen, haben inzwischen keine Inhalte mehr und zeigen nur noch das Beispielpost („Hello World!“), das bei einer WordPress-Neuinstallation angelegt wird.

Quelle: Golem.de


14. Dezember 2018

Wichtiges Sicherheitsupdate: WordPress 5.0.1 ist da

Aufgrund von mehreren Sicherheitslücken könnten Angreifer mit WordPress erstellte Websites attackieren. Eine fehlerbereinigte Version steht bereit.
Das Content Management System (CMS) WordPress ist verwundbar und macht damit erstellte Websites angreifbar. Davon sollen alle Ausgaben von 3.7 bis einschließlich 5.0 bedroht sein. Nun haben die Entwickler die abgesicherte Version 5.0.1 veröffentlicht.
Admins sollten sicherstellen, dass sie die aktuelle Ausgabe des CMS nutzen. Einige Websites unterstützen automatische Updates. Ist das nicht der Fall, kann man eine Aktualisierung aus dem Dashboard unter dem Punkt Updates starten oder WordPress 5.0.1 manuell herunterladen und installieren. Alternativ stehen WordPress zufolge auch abgesicherte Ausgaben von älteren Versionen wie 4.9 bereit.
Offenbar keine Remote Code Execution möglich
In einer Sicherheitswarnung führen die Entwickler sieben Sicherheitslücken auf. Setzen Angreifer an den potenziellen Schlupflöchern an, könnten sie unter anderem Dateien löschen, Posts manipulieren und Nutzerdaten leaken.
Aus der Beschreibung geht nicht konkret hervor, ob eine Schwachstelle als kritisch gilt. Die Verantwortlichen raten WordPress-Admins aber zu einem zügigen Update.

Q: heise.de


5. Januar 2018

CPU Bugs

CPU-Bugs sind laut Google schon seit Juni 2017 bekannt

Nicht nur Intel ist von der gravierenden Sicherheitslücke in Prozessoren betroffen, durch die Angreifer heikle Daten auslesen können. Googles Project Zero erklärt die Funktionsweise der Speicher-Leaks und Linus Torvalds erwartet Ehrlichkeit. Auch Apple hat sich bereits zu Wort gemeldet.

Intel will sich schnell um die Sicherheitslücke in Prozessoren kümmern, die in den vergangenen Tagen für Furore gesorgt hat. Laut einer eigenen Stellungnahme arbeitet das Unternehmen dafür mit anderen Prozessorherstellern wie AMD und ARM Holdings zusammen. Über die Lücke können Angreifer auf Daten zugreifen, die im Kernel abgelegt sind, zum Beispiel Passwörter oder andere verschlüsselte Informationen.

Intel zufolge haben die Bugs nicht das Potenzial, Daten zu „korrumpieren, zu verändern oder zu löschen“. Tatsächlich ist das simple Lesen von Daten der eigentliche Kern des Problems. Aus Intels Stellungnahme geht indirekt hervor, wann erste Patches für die Sicherheitslücken zu erwarten sind: Kommende Woche sollen diese wohl verteilt werden.
Erste Patches bereits verteilt oder in Planung

Microsoft scheint darauf nicht warten zu wollen und hat ein erstes Notfall-Update verteilt. Laut dem Onlinemagazin The Verge kann es auf Windows-10-Maschinen bereits heruntergeladen werden. Systeme mit installiertem Windows 7 oder 8 werden jedoch nicht vor nächstem Dienstag aktualisiert. Es ist wahrscheinlich, dass die Bugs dadurch nicht vollständig behoben werden.

Laut einem Blogpost hat Google ein Update für das Mobilbetriebssystem Android in Arbeit, das den Fehler für ARM-Prozessoren addressiert. Der Patch wird zum 5. Januar erwartet. Allerdings dürfte die Verteilung auf die vielen verschiedenen Android-Telefone länger dauern. Google Chrome wird ein Sicherheitsupdate am 23. Januar mit der Version 64 erhalten. Chromebooks und die GSuite-Software sollen nicht betroffen sein.

Apple äußerte sich bisher nicht klar zur Sicherheitslücke. Das Onlinemagazin Macrumor spricht von einem Fix für MacOS 10.13.2, der bereits im Dezember 2017 ausgerollt wurde. Allerdings ist das Problem wohl nur zum Großteil und nicht komplett behoben.
Der Teufel hat einen Namen: Spectre und Meltdown

Das Team von Googles IT-Sicherheitsabteilung Project Zero hat mitgeteilt, dass ihm der Fehler bereits seit dem 1. Juni 2017 bekannt gewesen sei. Er sei Herstellern wie AMD, ARM und Intel mitgeteilt worden. Es sind also nicht wie zunächst angenommen nur Intel-Prozessoren betroffen, sondern auch diverse andere Prozessoren – darunter AMD- und ARM-CPUs. Google teilt die Lücke in drei Kategorien ein und gibt diesen zwei Namen: Die ersten beiden Kategorien werden Spectre genannt, die dritte Meltdown.

Unter Spectre fasst Google den Fehler zusammen, dass durch falsch spekulierte Ausführung von Instruktionen einer CPU innerhalb des gleichen Prozesses eigentlich geschützte Daten ausgelesen werden können. Diese Lücke tritt sowohl bei Haswell-Xeon-Prozessoren von Intel als auch bei AMD-CPUs der FX- und der Pro-Serie auf. Auch der ARM Cortex A57 ist davon betroffen. Diese Variante nennt Google Bounds Check Bypass.

Unter den gleichen Namen stellt Google auch ein anderes Problem: Bei normalen Userrechten und voreingestellter Konfiguration können Lesezugriffe auf den virtuellen Speicher eines modernen Linux-Kernels vorgenommen werden, vorausgesetzt, der Rechner nutzt eine Intel-Haswell-Xeon-CPU. Die Lesegeschwindigkeit hat das Team mit etwa 2.000 Bytes pro Sekunde gemessen. Sollte die Just-in-Time-Kompilierung des BPF im Kernel aktiviert sein, funktioniert diese Technik auch mit AMD-Pro-CPUs. Das ist aber nicht die Voreinstellung.

Google konnte Spectre auch für eine Kernel Virtual Machine bei Nutzung der Intel-Xeon-CPU reproduzieren, die mit virt-manager betrieben wird. Allerdings haben die Tester dazu eine alte Kernelversion von Debian verwendet. Der Kernelspeicher des VM-Hosts kann dadurch mit einer Transferrate von 1.500 Bytes pro Sekunde gelesen werden. Je nach Größe des RAM dauert die Initialisierung eine Zeit lang – bei 64 GByte sind es 10 bis 30 Minuten. Dieser Fehler wird von Google Branch Target Injection genannt.
Meltdown betrifft wohl nur Intel-CPUs

Der zweite Fehler, Meltdown, ermöglicht Prozessen mit herkömmlichen Nutzerrechten das Auslesen von Kernelspeicher unter bestimmten Bedingungen. Google geht davon aus, dass die angreifbaren Daten des Kernels im L1D-Cache des Prozessors abgelegt sein müssen, damit der Zugriff funktioniert. Hier kommt das Problem mit der spekulativen Ausführung bei Intel-Prozessoren zum Tragen. Prozessoren anderer Hersteller sind laut Google vom Rogue Data Cache Load genannten Fehler vorerst nicht betroffen.

Zu Meltdown äußerte sich auch Linux-Entwickler Linus Torvalds in einer Nachricht. Er hat keine guten Worte für Intel übrig: „Ein kompetenter CPU-Entwickler würde das beheben, indem er sicherstellt, dass spekulative Ausführung nicht über geschützte Bereiche hinaus auftritt“, schrieb er. Er rief auch Intel dazu auf, den Fehler offen und ehrlich zuzugeben, statt „PR-Geschwafel“ abzugeben.
AMD sieht sich nur teilweise betroffen

In einer separaten Stellungnahme meldet sich Intel-Konkurrent AMD zu Wort. Es sieht sich nur von Spectre betroffen. Sicherheitsingenieure des Unternehmens teilen den Fehler wie Google in drei Kategorien auf: Bounds Check Bypass, Branch Target Injection und Rogue Data Cache Load. Der erste Fehler solle durch Betriebssystemaktualisierungen von Drittanbietern behoben werden. Dabei sei eine „vernachlässigbar kleine“ Leistungseinbuße zu erwarten.

Eine Gefahr durch die zweite, Branch Target Injection genannte Variante, sieht AMD fast nicht bestehen. Bisher sei dieser Angriff noch auf keinem AMD-Prozessor nachgestellt worden. Variante drei sei gar nicht auf AMD-Prozessoren möglich, da sich die Architektur von Intels Prozessoren unterscheide.
Nachtrag vom 5. Januar 2018, 9:25 Uhr

Apple teilt in einem Blogpost mit, dass alle Geräte des Herstellers von Spectre oder Meltdown betroffen sind, auf denen MacOS oder iOS läuft. Die Apple Watch sei jedoch nicht von Meltdown betroffen. Außerdem haben MacOS 10.13.2, iOS 11.2 und tvOS 11.2 bereits Patches gegen Meltdown erhalten, die das Problem aber wohl nicht vollständig beheben. In den kommenden Tagen will Apple einen Patch gegen Spectre für den Browser Safari bereitstellen. Kommende Updates für iOS, MacOS und tvOS sollen weitere Maßnahmen gegen die Sicherheitslücken implementieren. Bis dahin rät Apple seinen Nutzern, nur Software aus vertrauenswürdigen Quellen zu installieren.

Quelle:golem.de


22. September 2017

CCleaner enthält Schadcode

Die kürzlich gefundene Backdoor in der Säuberungssoftware CCleaner Version 5.33.6162 diente offenbar der gezielten Auslieferung von Malware an ausgewählte Technik- und Telekommunikationsunternehmen in Japan, Taiwan, Großbritannien, Deutschland und den USA. Das geht aus einem Blogeintrag von CCleaner-Hersteller Avast vom heutigen Donnerstag hervor.
Zwanzig Domains im Visier

Mitarbeiter der Sicherheitsfirma Cisco Talos, die Dateien vom Command-and-Control-Server der Angreifer analysierten, veröffentlichten eine Liste mit zwanzig Domains, die zu den Angriffszielen zählten. Darunter finden sich bekannte Firmennamen wie Samsung, Sony, VMWare, Epson – und interessanterweise auch die deutsche Spielhallen-Unternehmensgruppe Gauselmann.

Laut Avast habe es sich um einen „typischen ‚Watering Hole‘-Angriff“ gehandelt, bei welchem ein Großteil der insgesamt 2,27 Millionen Opfer für die Angreifer gar nicht von Interesse gewesen seien. Man habe die betroffenen Unternehmen mittlerweile informiert und ihnen weiterführende technische Details mitgeteilt.
Untersuchungen laufen noch

Die technische Analyse der zweiten, auf die Unternehmen zielenden Malware durch Avast förderte Indizien wie etwa spezifische Accounts bei GitHub und WordPress zutage. Das Unternehmen will seine Untersuchungen sowie auch die Zusammenarbeit mit den Strafverfolgungsbehörden fortsetzen, um den Tätern auf die Spur zu kommen. Zugleich wiederholte es erneut seine dringende Empfehlung, die verseuchte CCLeaner-Version 5.33.6162 auf die aktuelle Version upzudaten.

Mittlerweile hat Avast eine detaillierte technische Analyse der Payload veröffentlicht. Das Unternehmen will Ähnlichkeiten zwischen dem aktuellen Code und einer bereits 2014 von chineischen Hackern entwickelten APT-Malware entdeckt haben. Untersuchungen des Netzwerktraffics weisen laut Avast darauf hin, dass die Angreifer aus dem asiatischen Raum stammen könnten.


11. September 2017

Bug im Windows-Kernel könnte durch Schadcode missbraucht werden

Im Windows-Kernel schlummert seit Jahren eine Lücke, die in einigen Fällen dafür sorgen könnte, dass Malware vom Radar von Sicherheitssoftware verschwindet. Laut ihrem Entdecker zeigt sich Microsoft bislang aber eher desinteressiert.

Ein vermutlich bereits seit fast 20 Jahren vorhandener Windows-Kernel-Bug kann unter bestimmten Umständen die Malware-Erkennungsmechanismen von Sicherheitssoftware aushebeln. Entdeckt wurde er von Sicherheitsforscher Omri Misgav während einer Analyse des Windows-Kernels. Der Fehler findet sich in der API-Funktion PsSetLoadImageNotifyRoutine, die ursprünglich entwickelt wurde, um Kernelmode-Treiber per Callback immer dann zu informieren, wenn andere Treiber, Anwendungen oder DLLs im User Mode gestartet werden.

Wie Misgav in einem Blogeintrag beschreibt, soll die Callback-Funktion von PsSetLoadImageNotifyRoutine eigentlich Namen und Pfad der neu geladenen Komponente zurückliefern. In der Praxis fehle in den Rückgabewerten jedoch häufig die Laufwerksbezeichnung, oder sie beinhalteten missgestaltete Pfade, die gar nicht auf die richtige Komponente verwiesen. Mittels Kernel-Debugger fand er als Auslöser schließlich einen Codierungsfehler in der Verarbeitung und Zwischenspeicherung der Komponentenbezeichnung.
Kein Sicherheitsproblem?

Laut dem Nachrichtenportal Bleepingcomputer nutzen einige AV-Hersteller die PsSetLoadImageNotifyRoutine-Funktion in ihren Produkten, um zeitnah auf die Ausführung von Schadcode reagieren zu können. Der Bug könnte hierbei zur Folge haben, dass neu in den RAM geladene Malware nicht lokalisiert werden kann. Misgav betonte gegenüber Bleepingcomputer allerdings, dass er nicht sagen könne, ob und inwieweit dies in der Praxis tatsächlich Einfluss auf die Erkennung habe.

Der Sicherheitsforscher konnte den Bug eigenen Angaben zufolge unter Windows XP mit SP3, x64-Windows 7 mit SP1 sowie mit der x86- und x64-Version von Windows 10 samt aktueller Updates reproduzieren. Er gehe allerdings davon aus, dass der Fehler schon seit der Einführung von Windows 2000 vorhanden ist. Misgav teilte gegenüber Bleepingcomputer mit, er habe das MSRC (Microsoft Security Response Center) bereits Anfang dieses Jahres über seinen Fund informiert. Die zuständigen Mitarbeiter hätten den Bug jedoch nicht als Sicherheitsproblem betrachtet.


17. Juli 2017

Juli Patchday

Microsoft sichert gegen Angriffe aus der Ferne ab

Mehr als 50 Lücken in Windows, den Browsern Internet Explorer und Edge sowie in seiner Scripting Engine hat Microsoft am heutigen Patchday geschlossen. Die meisten Schwachstellen erlauben es, Code aus der Ferne auf einem Rechner einzuschleusen und auszuführen. Betroffen ist auch Microsofts Hololens.

Microsoft hat zahlreiche Sicherheitslücken geschlossen, über die Angreifer etwa in Webseiten eingebetteten Schadcode auf einem lokalen Rechner ausführen können (Remote Code Execution). Besonders Microsofts Scripting Engine ist mit zwölf als kritisch eingestuften Schwachstellen betroffen. Administratoren sollten ihre Aufmerksamkeit auf mehrere Lücken in Microsofts Diensten richten, die ebenfalls aus der Ferne ausgenutzt werden können.

Als Updates für als kritisch eingestufte Sicherheitslücken gibt es wie üblich für Microsofts Browser Internet Explorer und Edge sowie für Windows, die allesamt anfällig für Remote Code Executions und Speicherfehler sind. Aber auch für Wordpad und die Powershell wurden Schwachstellen beseitigt, die das Ausführen von Code aus der Ferne ermöglichten. Davon betroffen sind auch Microsofts Office-Produkte, etwa wenn ein Benutzer ein speziell präpariertes Excel-Dokument öffnet. Patches gibt es auch für Office für Mac in den Versionen 2011 und 2016. Außerdem hat Microsoft die jüngsten Patches für Adobes Flash-Player für seine Browser integriert..
Flicken für Dienste und die Hololens

In der Webserver-Komponente Http.sys wurde eine Lücke geschlossen, die zur ungewollten Offenlegung von Informationen führen kann. Über Cross-Site-Scripting-Lücken in Exchange und Sharepoint könnten sich Angreifer höhere Rechte verschaffen. Auch in Kerberos wurde eine Lücke geschlossen, über die der erweiterte Authentifizierungsschutz ausgehebelt werden konnte. Das .NET-Framework sowie der Windows Explorer lassen sich durch Denial-of-Service-Angriffe lahmlegen.

Als kritisch stuft Microsoft auch einen Fehler in der Steuerungssoftware für die VR-Brille Hololens ein. Über manipulierte WLAN-Pakete könnten Angreifer Anwendungen installieren, persönliche Daten manipulieren und sogar neue Benutzerkonten einrichten. Allerdings steht die Hololens gegenwärtig nur einigen Entwicklern zur Verfügung.


12. Juni 2017

Android-Trojaner Dvmap kompromittiert Systeme wie kein anderer

Sicherheitsforscher warnen vor einem Schädling in Google Play, der Android-Geräte mit bisher unbekannten Methoden komplett in seine Gewalt bringen kann.

Kaspersky ist eigenen Angaben zufolge in Google Play auf eine äußerst gefährliche App namens „colourblock“ gestoßen. Den darin versteckten Schädling haben sie Dvmap getauft. Während ihrer Untersuchung haben sie einige neue Ansätze entdeckt, wie die Malware Geräten zusetzt.

Die App sollen mehr als 50.000 Nutzer heruntergeladen haben. Mittlerweile hat Google den Trojaner aus seinem Store entfernt. Derzeit geht Kaspersky davon aus, dass die Malware-Entwickler Dvmap noch testen und noch nicht im großen Stil verbreiten.

Damit beim Upload von Dvmap in den App Store keine Sicherheitsmechanismen von Google anspringen, sollen die Entwickler des Trojaner im März dieses Jahres zuerst eine „saubere“ App hochgeladen haben. Kurz danach haben sie diese mit Malware-Komponenten angereichert, erläutert Kaspersky. Warum dabei kein Alarm bei Google losging, ist derzeit unklar.

Unbekannt ist zur Zeit auch noch, für welche Zwecke die Drahtzieher kompromittierte Geräte missbrauchen wollen. Dvmap hat sich während der Untersuchung von Kaspersky bereits mit Command-and-Control-Servern verbunden, aber zu dem Zeitpunkt noch keine Befehle entgegengenommen, schildern die Sicherheitsforscher. Sie spekulieren, dass Dvmap zum Beispiel Werbung einblenden und weitere Malware-Apps nachladen könnte.
Mehr als Rooten

Ist die App auf einem Gerät installiert, leitet sie diverse Maßnahmen ein, damit die Angreifer die volle Kontrolle erlangen können. Dafür soll Dvmap diverse von Kaspersky nicht näher beschriebene Exploits nutzen, um verschiedene Android-Versionen zu rooten. Das Rooten via Malware ist nicht neu, doch Dvmap kombiniert diesen Vorgang mit weiteren, bisher noch nicht beobachteten Praktiken.

Kaspersky zufolge ist Dvmap einer der wenigen Android-Trojaner, der auch auf 64-Bit-Systeme zugeschnitten ist. Ein weiteres Novum ist, dass der Schädling System-Bibliotheken mit Schadcode verseuchen kann. So nisten sich die Malware-Entwickler noch tiefer im System ein und stellen sicher, dass von ihnen manipulierte Module mit System-Rechten ausgeführt werden. Zudem sollen sie so Apps Admin-Rechte verschaffen können, ohne dass das Opfer davon etwas mitbekommt. Das muss ein Opfer sonst in einem Dialog explizit abnicken.


17. Mai 2017

WannaCry & Co.: So schützen Sie sich

Nur weil von der Urfassung von WannaCry keine akute Gefahr mehr ausgeht, dürfen sich Windows-Nutzer nicht einfach zurücklehnen. Noch am Wochenende wurden neue Versionen des Erpressungstrojaners gesichtet, die sich nach Aufbau einer Netzverbindung nicht mehr automatisch schlafen legen.

Wer noch Rechner mit Windows 8.0 oder gar Windows XP einsetzt, der darf sie auf keinen Fall ans Netz lassen – auch nicht ins lokale Netzwerk. Erster Schritt sollte sein, den Sicherheits-Patch von Microsoft über einen USB-Stick offline einzuspielen. In einem LAN mit anderen potenziell verseuchten Rechnern sollten Sie als nächstes alle Schotten dicht machen, indem Sie mit Firewall-Regeln grundsätzlich alle eingehende Verbindungen blockieren.

Es ist zu befürchten, dass andere Erpresser durch WannaCry auf den Geschmack kommen und ihre Trojaner ebenfalls „wurmifizieren“. Dabei setzen sie womöglich auf weitere Sicherheitslücken. Deshalb reicht es auch nicht, die von WannaCry zur Weiterverbreitung verwendeten Ports (445/139 sowie 3389) zu sperren.

Die Sicherheits-Basics

Halten Sie Ihr System auf dem aktuellen Stand, indem Sie stets alle Sicherheits-Updates umgehend einspielen. Im Zweifelsfall sollten Sie in den Windows-Update-Einstellungen nachsehen, ob womöglich ein Neustart für die Update-Installation ansteht.

Stellen Sie sicher, dass Ihr Virenschutz auf dem aktuellen Stand ist. Zwar fallen auch Virenscanner gelegentlich durch Sicherheitslücken auf, aber ein Verzicht auf Virenschutz ist auch keine Lösung. Der von Microsoft bereitgestellte Windows Defender ist hier das Minimum.

Backups bleiben weiterhin alternativlos. Dabei sollten Sie darauf achten, diese Daten auf einem externen Speichermedium zu sichern. Hängt das Medium zum Zeitpunkt des Trojanerbefalls am Rechner, verschlüsselt die Malware es gleich mit. Deshalb muss es nach der Sicherung umgehend abgemeldet und ausgeschaltet werden. Die wichtigsten Daten sollten auf einen USB-Stick passen, größere Datenmengen sichern Sie auf eine externe Festplatte.

Hygienemaßnahmen

Öffnen Sie keine verdächtigen Dateianhänge. Selbst wenn die Mails von Ihnen bekannten Adressen stammen, bietet das keine Sicherheitsgarantie – womöglich ist der Absender gefälscht oder dessen Rechner wurde kompromittiert. Oft stecken Trojaner in angeblichen Rechnungen.

Achten Sie darauf, dass Microsoft Office keine Makros ausführt. Benutzen Sie zum Betrachten von PDFs am besten einen PDF-Reader, der keine Skripte ausführt – Sumatra PDF ist eine zwar spartanische, aber sichere Alternative.

Starten Sie keine ausführbaren Dateien, die Ihnen nicht hundertprozentig vertrauenswürdig erscheinen. Überprüfen Sie deren Status sicherheitshalber mit einem Online-Scanner wie VirusTotal.

Lassen Sie keine Unbekannten „zu Wartungszwecken“ aus der Ferne auf Ihren Rechner zugreifen. Microsoft ruft keine Anwender aus heiterem Himmel an, um sie vor einem Malware-Befall zu warnen.