< Zurück
News

HiS-Cybersecurity Digest September 2016 veröffentlicht

Security Consulting , Cybersecurity Newsletter

HiS-Cybersecurity Digest September 2016

Die Top Themen des letzten Monats: Diesmal im Fokus: Neuer Angriff gegen Cloud IaaS, Exploit gegen Windows 10 mit UAC, Haftung bei Social-Media-Accounts, SS7 weiter ein Problem, Malware über Werbenetzwerke, VPN mit Cisco PIX mit schwerwiegender Schwachstelle, iOS und MacOS mit schweren Verwundbarkeiten.

 

Top Thema 

Wenn Hacker gehackt werden
Die „Shadow Broker" haben eine große Menge an Daten veröffentlicht, die sie laut eigenem Bekunden bei einem Einbruch von der „Equation Group" erbeutet haben. Die „Equation Group“ ist eine Hackergruppe, deren Existenz seit einigen Jahren bekannt ist. Berichten zufolge soll sie eine Abteilung der NSA sein oder der NSA zumindest sehr nahe stehen. Die veröffentlichten Daten enthalten mehrere, bis dahin unbekannte Exploits beispielsweise für Firewalls von Cisco. Und das soll erst der Anfang sein, versprechen die „Shadow Broker". Sie behaupten, noch sehr viel mehr Daten, Exploits und Malware zu besitzen und diese zu veröffentlichen, wenn über eine Auktion eine Million Bitcoin zusammenkommen.
http://thehackernews.com/2016/08/nsa-hack-russia-leak.html 



Neuigkeiten im August:

Flip Feng Shui - Neuer Angriff gegen Cloud IaaS
FFS (Flip Feng Shui) ist eine Weiterentwicklung des Rowhammer-Angriffs, der bereits in Laborbedingungen half, aus Sandboxen auszubrechen oder Benutzerrechte zu erhöhen. Über die Deduplizierung wird mit FFS zuerst dafür gesorgt, dass interessante Daten dort liegen, wo sie mit Rowhammer angreifbar sind. In diesem Beitrag zeigten die Entwickler, wie sie einen SSH-Key aus einem auf dem gleichen Wirt laufenden Gast auslesen und so den anderen Gast übernehmen konnten.
http://arstechnica.com/security/2016/08/new-attack-steals-private-crypto-keys-by-corrupting-data-in-computer-memory/ 

--------------------------------------------------------------
Exploit gegen Windows 10 mit UAC
Benutzer, die administrative Rechte haben, sind weiterhin ein großes Risiko, auch wenn Microsoft seit Windows Vista mit der Benutzerkontensteuerung ("User Access Control", UAC) zu verhindern versucht, dass Malware diese Rechte ausnutzt. Es sind mehrere Wege bekannt, die UAC zu umgehen. Der im Artikel beschriebene Angriff ist ein weiteres Beispiel dafür, dass man dabei ohne Zugriff auf das Dateisystem auskommt. 
https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/ 

--------------------------------------------------------------
Haftung bei Social-Media-Accounts
Wer seine Zugangsdaten nicht ausreichend schützt, der ist dennoch für unter seinem Namen veröffentlichte Posts selbst verantwortlich, urteilte das OLG Frankfurt (Az.: 16 U 233/15). 
http://www.heise.de/newsticker/meldung/Gericht-Inhaber-eines-Facebook-Accounts-haftet-fuer-Missbrauch-seines-Kontos-durch-Dritte-3300296.html 

--------------------------------------------------------------
SS7 weiter ein Problem
Ein vor 2,5 Jahren auf dem CCC-Kongress vorgestellter Angriff auf die Signalisierungsschicht von Mobilfunknetzen ist immer noch ein gravierendes Problem. Bei vielen Providern können weiterhin beliebige Telefonate und SMS umgeleitet und damit abgehört werden. 
http://arstechnica.com/security/2016/08/congressman-to-fcc-fix-phone-network-flaw-that-allows-eavesdropping/ 

--------------------------------------------------------------
Malware über Werbenetzwerke
Googles Werbenetzwerk AdSense wurde erneut für die Verteilung von Malware missbraucht. Wer auf seinem Android-Gerät bestimmte Webseiten aufrief, der erhielt einen Download mit einer Malware. Um diese zu installieren, musste der Benutzer es erlauben, Software aus unsicheren Quellen zu installieren und die Installation manuell starten.
http://www.fastcompany.com/3062867/overlay-malware-google-adsense 

--------------------------------------------------------------
VPN mit Cisco PIX mit schwerwiegender Schwachstelle
10 Jahre lang hatten die Firewalls von Cisco eine Schwachstelle, die es erlaubt, den für ein VPN verwendeten Schlüssel auszulesen. So war und - wo PIX noch im Einsatz ist - ist es möglich, den Datenverkehr einfach zu entschlüsseln, sofern man diesen auch mithören kann. Diese Verwundbarkeit scheint zu erklären, wie die NSA ein Jahrzehnt lang Inhalte verschlüsselter Verbindungen auslesen konnte. Snowden hatte dies in seinen Veröffentlichungen behauptet. Es war bisher aber ein Rätsel geblieben, wie dies möglich war.
http://arstechnica.com/security/2016/08/cisco-firewall-exploit-shows-how-nsa-decrypted-vpn-traffic/ 

--------------------------------------------------------------
iOS und MacOS mit schweren Verwundbarkeiten
Der Besuch einer Webseite kann bereits dazu ausreichen, dass das Smartphone oder der Rechner gehackt wird. Apple-Benutzer sind gehalten, die aktuellen Updates umgehend zu installieren.
nakedsecurity.sophos.com/2016/08/26/apple-ios-users-update-now-zero-day-attack-seen-in-the-wild/amp/
Gefunden wurden die Schwachstellen bei der Analyse von Pegasus, der bis heute mächtigsten Spionage-Malware für iOS. Sie kann das Gerät komplett fernsteuern, Daten extrahieren und auch das Mikrofon und die Kamera nutzen, um das Smartphone zur Wanze zu machen.
http://www.heise.de/security/artikel/Die-iOS-Spyware-Pegasus-eine-Bestandsaufnahme-3305780.html 

--------------------------------------------------------------
GnuPG mit Fehler bei den Zufallszahlen
Ein Fehler bei der Erzeugung der Zufallszahlen, welche die Grundlage für neue Schlüssel bilden, sorgt dafür, dass bei Schlüsseln für die Kryptoverfahren Elgamal und DSA möglicherweise eine gewisse Vorhersagbarkeit besteht. Wenn der Angreifer den Zufallszahlengenerator auslesen kann, ist er nach 4640 Bit in der Lage, die nächsten 160 Bit vorherzusagen. Dies ist allerdings nur dann relevant, wenn direkt nach dem Angreifer eine Anwendung den Zufallszahlengenerator ausliest. Daher scheint der Austausch von Schlüsseln zurzeit nicht notwendig.
http://www.heise.de/security/meldung/18-Jahre-lang-vorhersehbare-Zufallszahlen-bei-GnuPG-3300159.html 

--------------------------------------------------------------
Gefälschte PGP-Schlüssel im Umlauf
PGP verfolgt zur Verifikation der Zuordnung eines Schlüssels zu einer Person den Ansatz des Web-Of-Trust. Dabei erhalten die Schlüssel Unterschriften von anderen Schlüsselinhabern, die damit die Echtheit beweisen. Seit einiger Zeit ist es möglich, die ID der PGP-Schlüssel zu fälschen, da die ID nur ein 32-Bit-Wert ist. Man muss also solange Schlüssel erzeugen, bis man einen erhält, der die gleiche ID wie der zu fälschende Schlüssel hat. Vom Original ist dieser dann nur über die Prüfsumme (Fingerprint) zu unterscheiden. Diesen Angriff nutzten zwei Sicherheitsforscher, um 50.000 gefälschte Schlüssel zu erstellen und diese sich gegenseitig unterschreiben zu lassen. Sie wirken damit
auf den ersten Blick genauso echt wie die Originale. Jemand hat diese Schlüssel nun auf die Key-Server hochgeladen, wo sie allerdings bereits durch die Ersteller ungültig gemacht wurden.
http://www.heise.de/security/meldung/Haufenweise-Fake-PGP-Schluessel-im-Umlauf-3297175.html 

--------------------------------------------------------------
64-Bit-Schlüssel mit schwerer Verwundbarkeit
Für symmetrische Block-Chiffren waren 64-Bit-Schlüssellängen lange Zeit der Standard (DES, 3DES). Heute sind mindestens 128 Bit und besser 256 Bit üblich. Mit dem hier beschriebenen Angriff gegen 64-Bit-Schlüssel sind diese endgültig Geschichte und dürfen nicht mehr verwendet werden.
https://www.schneier.com/blog/archives/2016/08/collision_attac.html 

--------------------------------------------------------------
Crypto-Currency für DDoS
Um Fälschungen zu verhindern, ist der Nachweis der erbrachten Arbeit beim Erzeugen von elektronischen Münzen ein wichtiger Aspekt einer Crypto-Currency. Dies wird üblicherweise mit schwer zu berechnenden Formeln erreicht. Die von zwei Forschern als theoretisches Konzept vorgestellte Kryptowährung DDoS-Coin erzeugt den Nachweis durch Daten aus einem TLS-1.2-Verbindungsaufbau. Sie führt so Buch über die Zahl der Verbindungsaufbauten. Damit könnte jeder Teilnehmer eines DDos-Angriffs nachweisen, in welchem Umfang er zu der Attacke beigetragen hat, und anschließend entsprechend von den Initiatoren entlohnt werden.
http://thehackernews.com/2016/08/ddoscoin-cryptocurrency.html 


Der nächste HiS-Cybersecurity Digest erscheint Anfang Oktober 2016.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: