Braun Sicherheitsdienste

News

5. Januar 2018

CPU Bugs

CPU-Bugs sind laut Google schon seit Juni 2017 bekannt

Nicht nur Intel ist von der gravierenden Sicherheitslücke in Prozessoren betroffen, durch die Angreifer heikle Daten auslesen können. Googles Project Zero erklärt die Funktionsweise der Speicher-Leaks und Linus Torvalds erwartet Ehrlichkeit. Auch Apple hat sich bereits zu Wort gemeldet.

Intel will sich schnell um die Sicherheitslücke in Prozessoren kümmern, die in den vergangenen Tagen für Furore gesorgt hat. Laut einer eigenen Stellungnahme arbeitet das Unternehmen dafür mit anderen Prozessorherstellern wie AMD und ARM Holdings zusammen. Über die Lücke können Angreifer auf Daten zugreifen, die im Kernel abgelegt sind, zum Beispiel Passwörter oder andere verschlüsselte Informationen.

Intel zufolge haben die Bugs nicht das Potenzial, Daten zu „korrumpieren, zu verändern oder zu löschen“. Tatsächlich ist das simple Lesen von Daten der eigentliche Kern des Problems. Aus Intels Stellungnahme geht indirekt hervor, wann erste Patches für die Sicherheitslücken zu erwarten sind: Kommende Woche sollen diese wohl verteilt werden.
Erste Patches bereits verteilt oder in Planung

Microsoft scheint darauf nicht warten zu wollen und hat ein erstes Notfall-Update verteilt. Laut dem Onlinemagazin The Verge kann es auf Windows-10-Maschinen bereits heruntergeladen werden. Systeme mit installiertem Windows 7 oder 8 werden jedoch nicht vor nächstem Dienstag aktualisiert. Es ist wahrscheinlich, dass die Bugs dadurch nicht vollständig behoben werden.

Laut einem Blogpost hat Google ein Update für das Mobilbetriebssystem Android in Arbeit, das den Fehler für ARM-Prozessoren addressiert. Der Patch wird zum 5. Januar erwartet. Allerdings dürfte die Verteilung auf die vielen verschiedenen Android-Telefone länger dauern. Google Chrome wird ein Sicherheitsupdate am 23. Januar mit der Version 64 erhalten. Chromebooks und die GSuite-Software sollen nicht betroffen sein.

Apple äußerte sich bisher nicht klar zur Sicherheitslücke. Das Onlinemagazin Macrumor spricht von einem Fix für MacOS 10.13.2, der bereits im Dezember 2017 ausgerollt wurde. Allerdings ist das Problem wohl nur zum Großteil und nicht komplett behoben.
Der Teufel hat einen Namen: Spectre und Meltdown

Das Team von Googles IT-Sicherheitsabteilung Project Zero hat mitgeteilt, dass ihm der Fehler bereits seit dem 1. Juni 2017 bekannt gewesen sei. Er sei Herstellern wie AMD, ARM und Intel mitgeteilt worden. Es sind also nicht wie zunächst angenommen nur Intel-Prozessoren betroffen, sondern auch diverse andere Prozessoren – darunter AMD- und ARM-CPUs. Google teilt die Lücke in drei Kategorien ein und gibt diesen zwei Namen: Die ersten beiden Kategorien werden Spectre genannt, die dritte Meltdown.

Unter Spectre fasst Google den Fehler zusammen, dass durch falsch spekulierte Ausführung von Instruktionen einer CPU innerhalb des gleichen Prozesses eigentlich geschützte Daten ausgelesen werden können. Diese Lücke tritt sowohl bei Haswell-Xeon-Prozessoren von Intel als auch bei AMD-CPUs der FX- und der Pro-Serie auf. Auch der ARM Cortex A57 ist davon betroffen. Diese Variante nennt Google Bounds Check Bypass.

Unter den gleichen Namen stellt Google auch ein anderes Problem: Bei normalen Userrechten und voreingestellter Konfiguration können Lesezugriffe auf den virtuellen Speicher eines modernen Linux-Kernels vorgenommen werden, vorausgesetzt, der Rechner nutzt eine Intel-Haswell-Xeon-CPU. Die Lesegeschwindigkeit hat das Team mit etwa 2.000 Bytes pro Sekunde gemessen. Sollte die Just-in-Time-Kompilierung des BPF im Kernel aktiviert sein, funktioniert diese Technik auch mit AMD-Pro-CPUs. Das ist aber nicht die Voreinstellung.

Google konnte Spectre auch für eine Kernel Virtual Machine bei Nutzung der Intel-Xeon-CPU reproduzieren, die mit virt-manager betrieben wird. Allerdings haben die Tester dazu eine alte Kernelversion von Debian verwendet. Der Kernelspeicher des VM-Hosts kann dadurch mit einer Transferrate von 1.500 Bytes pro Sekunde gelesen werden. Je nach Größe des RAM dauert die Initialisierung eine Zeit lang – bei 64 GByte sind es 10 bis 30 Minuten. Dieser Fehler wird von Google Branch Target Injection genannt.
Meltdown betrifft wohl nur Intel-CPUs

Der zweite Fehler, Meltdown, ermöglicht Prozessen mit herkömmlichen Nutzerrechten das Auslesen von Kernelspeicher unter bestimmten Bedingungen. Google geht davon aus, dass die angreifbaren Daten des Kernels im L1D-Cache des Prozessors abgelegt sein müssen, damit der Zugriff funktioniert. Hier kommt das Problem mit der spekulativen Ausführung bei Intel-Prozessoren zum Tragen. Prozessoren anderer Hersteller sind laut Google vom Rogue Data Cache Load genannten Fehler vorerst nicht betroffen.

Zu Meltdown äußerte sich auch Linux-Entwickler Linus Torvalds in einer Nachricht. Er hat keine guten Worte für Intel übrig: „Ein kompetenter CPU-Entwickler würde das beheben, indem er sicherstellt, dass spekulative Ausführung nicht über geschützte Bereiche hinaus auftritt“, schrieb er. Er rief auch Intel dazu auf, den Fehler offen und ehrlich zuzugeben, statt „PR-Geschwafel“ abzugeben.
AMD sieht sich nur teilweise betroffen

In einer separaten Stellungnahme meldet sich Intel-Konkurrent AMD zu Wort. Es sieht sich nur von Spectre betroffen. Sicherheitsingenieure des Unternehmens teilen den Fehler wie Google in drei Kategorien auf: Bounds Check Bypass, Branch Target Injection und Rogue Data Cache Load. Der erste Fehler solle durch Betriebssystemaktualisierungen von Drittanbietern behoben werden. Dabei sei eine „vernachlässigbar kleine“ Leistungseinbuße zu erwarten.

Eine Gefahr durch die zweite, Branch Target Injection genannte Variante, sieht AMD fast nicht bestehen. Bisher sei dieser Angriff noch auf keinem AMD-Prozessor nachgestellt worden. Variante drei sei gar nicht auf AMD-Prozessoren möglich, da sich die Architektur von Intels Prozessoren unterscheide.
Nachtrag vom 5. Januar 2018, 9:25 Uhr

Apple teilt in einem Blogpost mit, dass alle Geräte des Herstellers von Spectre oder Meltdown betroffen sind, auf denen MacOS oder iOS läuft. Die Apple Watch sei jedoch nicht von Meltdown betroffen. Außerdem haben MacOS 10.13.2, iOS 11.2 und tvOS 11.2 bereits Patches gegen Meltdown erhalten, die das Problem aber wohl nicht vollständig beheben. In den kommenden Tagen will Apple einen Patch gegen Spectre für den Browser Safari bereitstellen. Kommende Updates für iOS, MacOS und tvOS sollen weitere Maßnahmen gegen die Sicherheitslücken implementieren. Bis dahin rät Apple seinen Nutzern, nur Software aus vertrauenswürdigen Quellen zu installieren.

Quelle:golem.de


22. September 2017

CCleaner enthält Schadcode

Die kürzlich gefundene Backdoor in der Säuberungssoftware CCleaner Version 5.33.6162 diente offenbar der gezielten Auslieferung von Malware an ausgewählte Technik- und Telekommunikationsunternehmen in Japan, Taiwan, Großbritannien, Deutschland und den USA. Das geht aus einem Blogeintrag von CCleaner-Hersteller Avast vom heutigen Donnerstag hervor.
Zwanzig Domains im Visier

Mitarbeiter der Sicherheitsfirma Cisco Talos, die Dateien vom Command-and-Control-Server der Angreifer analysierten, veröffentlichten eine Liste mit zwanzig Domains, die zu den Angriffszielen zählten. Darunter finden sich bekannte Firmennamen wie Samsung, Sony, VMWare, Epson – und interessanterweise auch die deutsche Spielhallen-Unternehmensgruppe Gauselmann.

Laut Avast habe es sich um einen „typischen ‚Watering Hole‘-Angriff“ gehandelt, bei welchem ein Großteil der insgesamt 2,27 Millionen Opfer für die Angreifer gar nicht von Interesse gewesen seien. Man habe die betroffenen Unternehmen mittlerweile informiert und ihnen weiterführende technische Details mitgeteilt.
Untersuchungen laufen noch

Die technische Analyse der zweiten, auf die Unternehmen zielenden Malware durch Avast förderte Indizien wie etwa spezifische Accounts bei GitHub und WordPress zutage. Das Unternehmen will seine Untersuchungen sowie auch die Zusammenarbeit mit den Strafverfolgungsbehörden fortsetzen, um den Tätern auf die Spur zu kommen. Zugleich wiederholte es erneut seine dringende Empfehlung, die verseuchte CCLeaner-Version 5.33.6162 auf die aktuelle Version upzudaten.

Mittlerweile hat Avast eine detaillierte technische Analyse der Payload veröffentlicht. Das Unternehmen will Ähnlichkeiten zwischen dem aktuellen Code und einer bereits 2014 von chineischen Hackern entwickelten APT-Malware entdeckt haben. Untersuchungen des Netzwerktraffics weisen laut Avast darauf hin, dass die Angreifer aus dem asiatischen Raum stammen könnten.


11. September 2017

Bug im Windows-Kernel könnte durch Schadcode missbraucht werden

Im Windows-Kernel schlummert seit Jahren eine Lücke, die in einigen Fällen dafür sorgen könnte, dass Malware vom Radar von Sicherheitssoftware verschwindet. Laut ihrem Entdecker zeigt sich Microsoft bislang aber eher desinteressiert.

Ein vermutlich bereits seit fast 20 Jahren vorhandener Windows-Kernel-Bug kann unter bestimmten Umständen die Malware-Erkennungsmechanismen von Sicherheitssoftware aushebeln. Entdeckt wurde er von Sicherheitsforscher Omri Misgav während einer Analyse des Windows-Kernels. Der Fehler findet sich in der API-Funktion PsSetLoadImageNotifyRoutine, die ursprünglich entwickelt wurde, um Kernelmode-Treiber per Callback immer dann zu informieren, wenn andere Treiber, Anwendungen oder DLLs im User Mode gestartet werden.

Wie Misgav in einem Blogeintrag beschreibt, soll die Callback-Funktion von PsSetLoadImageNotifyRoutine eigentlich Namen und Pfad der neu geladenen Komponente zurückliefern. In der Praxis fehle in den Rückgabewerten jedoch häufig die Laufwerksbezeichnung, oder sie beinhalteten missgestaltete Pfade, die gar nicht auf die richtige Komponente verwiesen. Mittels Kernel-Debugger fand er als Auslöser schließlich einen Codierungsfehler in der Verarbeitung und Zwischenspeicherung der Komponentenbezeichnung.
Kein Sicherheitsproblem?

Laut dem Nachrichtenportal Bleepingcomputer nutzen einige AV-Hersteller die PsSetLoadImageNotifyRoutine-Funktion in ihren Produkten, um zeitnah auf die Ausführung von Schadcode reagieren zu können. Der Bug könnte hierbei zur Folge haben, dass neu in den RAM geladene Malware nicht lokalisiert werden kann. Misgav betonte gegenüber Bleepingcomputer allerdings, dass er nicht sagen könne, ob und inwieweit dies in der Praxis tatsächlich Einfluss auf die Erkennung habe.

Der Sicherheitsforscher konnte den Bug eigenen Angaben zufolge unter Windows XP mit SP3, x64-Windows 7 mit SP1 sowie mit der x86- und x64-Version von Windows 10 samt aktueller Updates reproduzieren. Er gehe allerdings davon aus, dass der Fehler schon seit der Einführung von Windows 2000 vorhanden ist. Misgav teilte gegenüber Bleepingcomputer mit, er habe das MSRC (Microsoft Security Response Center) bereits Anfang dieses Jahres über seinen Fund informiert. Die zuständigen Mitarbeiter hätten den Bug jedoch nicht als Sicherheitsproblem betrachtet.


17. Juli 2017

Juli Patchday

Microsoft sichert gegen Angriffe aus der Ferne ab

Mehr als 50 Lücken in Windows, den Browsern Internet Explorer und Edge sowie in seiner Scripting Engine hat Microsoft am heutigen Patchday geschlossen. Die meisten Schwachstellen erlauben es, Code aus der Ferne auf einem Rechner einzuschleusen und auszuführen. Betroffen ist auch Microsofts Hololens.

Microsoft hat zahlreiche Sicherheitslücken geschlossen, über die Angreifer etwa in Webseiten eingebetteten Schadcode auf einem lokalen Rechner ausführen können (Remote Code Execution). Besonders Microsofts Scripting Engine ist mit zwölf als kritisch eingestuften Schwachstellen betroffen. Administratoren sollten ihre Aufmerksamkeit auf mehrere Lücken in Microsofts Diensten richten, die ebenfalls aus der Ferne ausgenutzt werden können.

Als Updates für als kritisch eingestufte Sicherheitslücken gibt es wie üblich für Microsofts Browser Internet Explorer und Edge sowie für Windows, die allesamt anfällig für Remote Code Executions und Speicherfehler sind. Aber auch für Wordpad und die Powershell wurden Schwachstellen beseitigt, die das Ausführen von Code aus der Ferne ermöglichten. Davon betroffen sind auch Microsofts Office-Produkte, etwa wenn ein Benutzer ein speziell präpariertes Excel-Dokument öffnet. Patches gibt es auch für Office für Mac in den Versionen 2011 und 2016. Außerdem hat Microsoft die jüngsten Patches für Adobes Flash-Player für seine Browser integriert..
Flicken für Dienste und die Hololens

In der Webserver-Komponente Http.sys wurde eine Lücke geschlossen, die zur ungewollten Offenlegung von Informationen führen kann. Über Cross-Site-Scripting-Lücken in Exchange und Sharepoint könnten sich Angreifer höhere Rechte verschaffen. Auch in Kerberos wurde eine Lücke geschlossen, über die der erweiterte Authentifizierungsschutz ausgehebelt werden konnte. Das .NET-Framework sowie der Windows Explorer lassen sich durch Denial-of-Service-Angriffe lahmlegen.

Als kritisch stuft Microsoft auch einen Fehler in der Steuerungssoftware für die VR-Brille Hololens ein. Über manipulierte WLAN-Pakete könnten Angreifer Anwendungen installieren, persönliche Daten manipulieren und sogar neue Benutzerkonten einrichten. Allerdings steht die Hololens gegenwärtig nur einigen Entwicklern zur Verfügung.


12. Juni 2017

Android-Trojaner Dvmap kompromittiert Systeme wie kein anderer

Sicherheitsforscher warnen vor einem Schädling in Google Play, der Android-Geräte mit bisher unbekannten Methoden komplett in seine Gewalt bringen kann.

Kaspersky ist eigenen Angaben zufolge in Google Play auf eine äußerst gefährliche App namens „colourblock“ gestoßen. Den darin versteckten Schädling haben sie Dvmap getauft. Während ihrer Untersuchung haben sie einige neue Ansätze entdeckt, wie die Malware Geräten zusetzt.

Die App sollen mehr als 50.000 Nutzer heruntergeladen haben. Mittlerweile hat Google den Trojaner aus seinem Store entfernt. Derzeit geht Kaspersky davon aus, dass die Malware-Entwickler Dvmap noch testen und noch nicht im großen Stil verbreiten.

Damit beim Upload von Dvmap in den App Store keine Sicherheitsmechanismen von Google anspringen, sollen die Entwickler des Trojaner im März dieses Jahres zuerst eine „saubere“ App hochgeladen haben. Kurz danach haben sie diese mit Malware-Komponenten angereichert, erläutert Kaspersky. Warum dabei kein Alarm bei Google losging, ist derzeit unklar.

Unbekannt ist zur Zeit auch noch, für welche Zwecke die Drahtzieher kompromittierte Geräte missbrauchen wollen. Dvmap hat sich während der Untersuchung von Kaspersky bereits mit Command-and-Control-Servern verbunden, aber zu dem Zeitpunkt noch keine Befehle entgegengenommen, schildern die Sicherheitsforscher. Sie spekulieren, dass Dvmap zum Beispiel Werbung einblenden und weitere Malware-Apps nachladen könnte.
Mehr als Rooten

Ist die App auf einem Gerät installiert, leitet sie diverse Maßnahmen ein, damit die Angreifer die volle Kontrolle erlangen können. Dafür soll Dvmap diverse von Kaspersky nicht näher beschriebene Exploits nutzen, um verschiedene Android-Versionen zu rooten. Das Rooten via Malware ist nicht neu, doch Dvmap kombiniert diesen Vorgang mit weiteren, bisher noch nicht beobachteten Praktiken.

Kaspersky zufolge ist Dvmap einer der wenigen Android-Trojaner, der auch auf 64-Bit-Systeme zugeschnitten ist. Ein weiteres Novum ist, dass der Schädling System-Bibliotheken mit Schadcode verseuchen kann. So nisten sich die Malware-Entwickler noch tiefer im System ein und stellen sicher, dass von ihnen manipulierte Module mit System-Rechten ausgeführt werden. Zudem sollen sie so Apps Admin-Rechte verschaffen können, ohne dass das Opfer davon etwas mitbekommt. Das muss ein Opfer sonst in einem Dialog explizit abnicken.


17. Mai 2017

WannaCry & Co.: So schützen Sie sich

Nur weil von der Urfassung von WannaCry keine akute Gefahr mehr ausgeht, dürfen sich Windows-Nutzer nicht einfach zurücklehnen. Noch am Wochenende wurden neue Versionen des Erpressungstrojaners gesichtet, die sich nach Aufbau einer Netzverbindung nicht mehr automatisch schlafen legen.

Wer noch Rechner mit Windows 8.0 oder gar Windows XP einsetzt, der darf sie auf keinen Fall ans Netz lassen – auch nicht ins lokale Netzwerk. Erster Schritt sollte sein, den Sicherheits-Patch von Microsoft über einen USB-Stick offline einzuspielen. In einem LAN mit anderen potenziell verseuchten Rechnern sollten Sie als nächstes alle Schotten dicht machen, indem Sie mit Firewall-Regeln grundsätzlich alle eingehende Verbindungen blockieren.

Es ist zu befürchten, dass andere Erpresser durch WannaCry auf den Geschmack kommen und ihre Trojaner ebenfalls „wurmifizieren“. Dabei setzen sie womöglich auf weitere Sicherheitslücken. Deshalb reicht es auch nicht, die von WannaCry zur Weiterverbreitung verwendeten Ports (445/139 sowie 3389) zu sperren.

Die Sicherheits-Basics

Halten Sie Ihr System auf dem aktuellen Stand, indem Sie stets alle Sicherheits-Updates umgehend einspielen. Im Zweifelsfall sollten Sie in den Windows-Update-Einstellungen nachsehen, ob womöglich ein Neustart für die Update-Installation ansteht.

Stellen Sie sicher, dass Ihr Virenschutz auf dem aktuellen Stand ist. Zwar fallen auch Virenscanner gelegentlich durch Sicherheitslücken auf, aber ein Verzicht auf Virenschutz ist auch keine Lösung. Der von Microsoft bereitgestellte Windows Defender ist hier das Minimum.

Backups bleiben weiterhin alternativlos. Dabei sollten Sie darauf achten, diese Daten auf einem externen Speichermedium zu sichern. Hängt das Medium zum Zeitpunkt des Trojanerbefalls am Rechner, verschlüsselt die Malware es gleich mit. Deshalb muss es nach der Sicherung umgehend abgemeldet und ausgeschaltet werden. Die wichtigsten Daten sollten auf einen USB-Stick passen, größere Datenmengen sichern Sie auf eine externe Festplatte.

Hygienemaßnahmen

Öffnen Sie keine verdächtigen Dateianhänge. Selbst wenn die Mails von Ihnen bekannten Adressen stammen, bietet das keine Sicherheitsgarantie – womöglich ist der Absender gefälscht oder dessen Rechner wurde kompromittiert. Oft stecken Trojaner in angeblichen Rechnungen.

Achten Sie darauf, dass Microsoft Office keine Makros ausführt. Benutzen Sie zum Betrachten von PDFs am besten einen PDF-Reader, der keine Skripte ausführt – Sumatra PDF ist eine zwar spartanische, aber sichere Alternative.

Starten Sie keine ausführbaren Dateien, die Ihnen nicht hundertprozentig vertrauenswürdig erscheinen. Überprüfen Sie deren Status sicherheitshalber mit einem Online-Scanner wie VirusTotal.

Lassen Sie keine Unbekannten „zu Wartungszwecken“ aus der Ferne auf Ihren Rechner zugreifen. Microsoft ruft keine Anwender aus heiterem Himmel an, um sie vor einem Malware-Befall zu warnen.


4. Mai 2017

Onlinebanking

Betrüger tricksen das mTAN-Verfahren aus

Die Sicherheitslücke ist seit gut zwei Jahren bekannt, trotzdem konnten Kriminelle sie ausnutzen: Mit einem Trick fingen sie mTAN-SMS ab und räumten deutsche Konten leer.

Für Tobias Engel ist das Überraschendste an diesem Hackerangriff, dass er erst jetzt passiert ist. Schon vor knapp zweieinhalb Jahren warnte der Sicherheitsforscher öffentlich vor diesem Szenario: Kriminelle könnten sich die Zugangsdaten zu Bankkonten besorgen und über eine von Engel und anderen beschriebene Schwachstelle im Mobilfunknetz die mTAN für das Onlinebanking abfangen. Anschließend hätten sie alles, was sie brauchen, um fremde Konten aus der Ferne leerzuräumen.

Exakt so sind Unbekannte nun tatsächlich vorgegangen, wie die Süddeutsche Zeitung berichtet. Über Phishingmails, die auf gefälschte, aber legitim aussehende Websites von Banken verlinken, haben sie Menschen zunächst dazu gebracht, ihre Kontozugangsdaten preiszugeben. Die Handynummer bekamen sie vermutlich entweder ebenfalls durch Phishing oder im Anschluss daran über die Stammdaten im Onlinebanking. Anhand des Kontostands konnten sie sehen, bei wem sich auch der zweite Teil des Angriffs lohnen würde.

Der funktioniert so: Die Unbekannten haben sich einen Zugang zum sogenannten SS7-Netzwerk besorgt. SS7 (Signalling System #7) steht für eine Sammlung von Signalisierungsprotokollen, über die Provider die Vermittlung von Anrufen, SMS und Daten von einem Netz ins nächste oder von einer Vermittlungsstelle zur nächsten regeln. Ohne SS7 wäre zum Beispiel Roaming nicht möglich.

Zugang zu diesem Netzwerk hatten ursprünglich nur die wenigen, oft staatlich kontrollierten Telefonanbieter, mittlerweile aber sind es Tausende Firmen und Forschungseinrichtungen. Sofern sie Mitglied der Industrievereinigung GSMA sind, können sie den Zugang schon für ein paar Hundert Euro im Monat kaufen – und an andere GSMA-Mitglieder vermieten. Kriminelle Organisationen können sich mit ein wenig Bürokratie also durchaus einen Zugang zu SS7 verschaffen.
Wer es ins SS7-Netz schafft, dem vertrauen alle anderen darin

Wer erst einmal im SS7-Netzwerk ist, kann darin unter Umständen allerhand anstellen, wie sowohl Tobias Engel als auch die Berliner Forscher der Security Research Labs um Karsten Nohl 2014 demonstrierten: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren – alles war und ist zum Teil bis heute möglich, sofern die Angreifer die Handynummer ihres Opfers kennen. Denn viele Provider beantworten SS7-interne Anfragen und Kommandos ohne jede Plausibilitätsüberprüfung. Wer drin ist, dem wird vertraut. Oberste Priorität hat, den Kunden stabile Netzverbindungen zu bieten, auch wenn sie gerade unterwegs und auf Reisen sind.

Das haben die Angreifer in diesem Fall ausgenutzt. Sie loggten sich in die Onlinekonten ihrer Opfer ein und überwiesen sich Geld auf beliebige Konten. Den Vorgang bestätigten sie mit der mTAN aus einer SMS, die sie zuvor über SS7 von der Handynummer der Opfer auf ihre eigene Mobilfunknummer umgeleitet hatten. In Deutschland waren Kunden von O2-Telefónica betroffen, wie der Anbieter der SZ bestätigte.

„Das Erste, was einem beim Thema Rufnummernumleitung und SMS mitlesen einfällt“, sagt Engel heute, sei es eben, mTAN fürs Onlinebanking abzufangen. Dass es mehr als zwei Jahre gedauert habe, bis der von ihm beschriebene Fall eingetreten ist, liege vielleicht nur daran, „dass es bisher offenbar einfacher war, auf anderem Weg an die SMS zu kommen“. Etwa über Ersatz-SIM-Karten, die Kriminelle im Namen ihrer Opfer bestellen, wie 2015 bei der Telekom geschehen


4. Mai 2017

Sicherheitslücke ermöglicht Übernahme von Geldautomaten

Eine Sicherheitslücke in einer Sicherheitslösung für Geldautomaten konnte von Angreifern ausgenutzt werden, um illegal Geld auszuzahlen. Der Hersteller beschwichtigt und hat einen Patch bereitgestellt.

Ausgerechnet Probleme mit der Sicherheitssoftware Checker ATM Security für Geldautomaten führen offenbar dazu, dass diese von Angreifern manipuliert werden können. Der Hersteller der Software, GMV, hat die Probleme mittlerweile behoben, wie The Register berichtet. Die Software soll Geldautomaten per Application Whitelisting, einer Firewall und Einschränkungen für Peripheriegeräte vor unerlaubtem Zugriff absichern.

Die Sicherheitslücke mit der CVE-2017-6968 wurde von der Sicherheitsfirma Positive Technologies gefunden und an den Hersteller gemeldet. Damit der Exploit funktioniert, müssten Angreifer sich als Man-In-The-Middle zwischen den Kontrollserver und den Geldautomaten schalten. Dies könne entweder über einen physischen Zugriff auf das Netzwerkkabel geschehen oder per ARP-Spoofing, wie die Sicherheitsfirma mitteilt. Während der Zugriff auf das Netzwerkkabel bei in Banken installierten Geräten meist nicht möglich sein dürfte, kann dies insbesondere in Entwicklungs- und Schwellenländern durchaus möglich sein.
Buffer Overflow beim Schlüsselaustausch

Während des Schlüsselaustauschs für eine gesicherte Verbindung soll der Server der Angreifer in der Lage sein, einen Buffer-Overflow auf dem Geldautomaten zu erzeugen, weil der Client keine Begrenzung der möglichen Eingaben vornimmt. Auf diese Art und Weise könnten dem Automaten Kommandos gesendet werden, die auch zur unerlaubten Ausgabe von Geldscheinen führen können. Details zu dem Angriff nennt die Firma bislang nicht.

Der Hersteller bestätigt die Sicherheitslücke im Prinzip, ist aber der Ansicht, dass diese keine konkrete Bedrohung für Kunden darstelle. Zum einen seien keine aktiven Angriffe außerhalb von Laborbedingungen bekannt, außerdem würde ein Angriff genaue Kenntnis des Zielbetriebssystems erfordern. Wenn ein Geldautomat bereits auf Windows 7 oder neuer läuft, verhindere das Speichermanagement eine Vorhersage der betroffenen Bereiche und ein Exploit sei damit „fast unmöglich“. Systeme mit Windows XP seien einfacher zu kompromittieren. Die betroffenen Softwareversionen 4.x und 5.x wurden nach Angaben des Herstellers mit einem Update versehen.


30. März 2017

Eibruch bei Bäcker in Dummerstorf

Gestern, um 2:16 Uhr, lief beim zuständigen Sicherheitsdienst der Einbruchsalarm der Lila Bäcker Filiale in Dummerstorf auf.

Bereits acht Minuten nach Alarmauslösung war ein Sicherheitsdienstmitarbeiter vor Ort. Er stellte fest, dass eine Scheibe der Seiteneingangstür eingeschlagen wurde und der Verkaufsraum verwüstet war. Was und wieviel die unbekannten Täter entwendeten, kann nicht gesagt werden. Neben der Kriminalpolizei kam auch ein Fährtenhund zum Einsatz. Die Polizei in Sanitz bittet um Zeugenhinweise. Wer zur angegebenen Tatzeit etwas bemerkt hat, möge sich beim Polizeirevier Sanitz melden, Tel. 038209-440.


28. März 2017

Laptop Verbot in Flugzeugen!

Das Laptop Verbot in Flugzeugen hat einen Hintergrund. Anscheinend wollen Terroristen Anschläge mit iPad Attrappen durchführen. Neben Laptops dürfen auch DVD-Player, Spielekonsolen, Tablets, Lesegeräte, Kameras und portable Drucker nicht mehr mit in die Kabine genommen werden. Smartphones sind weiterhin erlaubt. Deutschland hat sich dem Verbot bis jetzt noch nicht angeschlossen.