HiS-Cybersecurity Digest Januar 2018 veröffentlicht

HiS-Cybersecurity Digest Januar 2018

Die Top Themen des letzten Monats: Neue Welle von Hardware-Sicherheitslücken, Meltdown-Exploit lässt geschützten Speicher lesen, Spectre bedroht Anwendungen von Cloud bis Browser, Malware TRISIS manipuliert Safety-Systeme, schwere Sicherheitslücken im besonderen elektronischen Anwaltspostfach (beA).


Top Thema

Die Geister, die angeblich niemand sah – Neue Welle von Hardware-Sicherheitslücken
Nur selten konnten Schwachstellen in und Angriffe auf Hardware bisher einen vergleichbaren Medienrummel auslösen wie berühmte Software-Bugs. Während über letztere inzwischen auch Massenmedien berichten und für einige „Stars“ witzige Namen und Logos entwickelt wurden, hatte Hardware außerhalb von Spezialistenkreisen bis zuletzt eher den Ruf, verlässlich zu sein. Silikon ist unfehlbar, hier verankern wir unser Vertrauen, ob in HSMs, TSMs, SIMs oder Hardware-Wallets, so das wohlige Grundgefühl. Mit den neuen Superstar-Bugs Meltdown und Spectre haben die Prozessoren nun an zweifelhaftem Ruhm deutlich aufgeholt. Auch, weil sie als Zwitterwesen immer mehr Software (sogenannten Microcode) enthalten – und vor allem im Wettbewerb um Leistung immer mehr Komplexität. Mit der Rowhammer-Angriffsmethode wurde 2015 schlagartig klar, dass sich privilegierte Bereiche im RAM von benachbarten Speicherstellen aus manipulieren lassen. Mit Meltdown und insbesondere Spectre ist der Öffentlichkeit nun eine neue Klasse von Angriffen bekannt geworden, welche die Sicherheitsversprechen von CPUs teilweise über Jahre unterhöhlen werden. Höchste Zeit, sich aus Security-Sicht mit den vielen neuen CPU-Beschleunigungstricks und ihren Seitenkanälen zu beschäftigen.
https://www.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html 


Neuigkeiten im Dezember:

Kernschmelze bei Intel – Meltdown lässt geschützten Speicher lesen
„Speculative Execution“ – zu Deutsch etwa „vorausahnende Ausführung" – ist ein Feature für Geschwindigkeitsgewinne, mit dem CPUs seit den 90er Jahren versuchen, in vorübergehend unausgelasteten Teilen der CPU Befehle vorab auszuführen mit dem Risiko, dass sie sie später doch nicht benötigen. Wenn dann doch eine andere Wahl fällt (z. B. wegen fehlender Zugriffsrechte), sollte theoretisch alles wieder aufgeräumt werden, so als wäre der spekulative Code nie gelaufen. Das korrekt zu implementieren ist mit modernem Caching – einer weiteren geschwindigkeitsfördernden Technik, die alle modernen Prozessoren nutzen – jedoch fast unmöglich. Der findige Angriff, für den vor allem die meisten Intel-CPUs – auch in Macs – anfällig sind, nutzt nun geschickte Vergleiche von Lesezeiten um zu prüfen, ob der Prozessor bestimmte Daten kürzlich gesehen hat oder nicht. So können Bereiche des Kernels und damit vertraulichste Daten wie etwa Passwörter für Systemdienste oder Netzzugänge durch nichtprivilegierte Programme erraten werden. Die Betriebssystem-Hersteller konnten Meltdown inzwischen ein Stück weit das Handwerk legen, indem sie kritische Speicherbereiche weiter abschotten. Allerdings streiten sich Experten noch über den Performanceverlust. Windows installiert entsprechende Updates teilweise erst, wenn ein bestimmter Registry-Schlüssel händisch oder durch den Virenschutz gesetzt wurde. So sollen gefährliche Inkompatibilitäten verhindert werden. Insbesondere Cloud-Dienste sollten unbedingt patchen, wie es die Großen bereits getan haben. 
https://meltdownattack.com/ 

-------------------------------------------------------------- 
Spuk in noch mehr Prozessoren – Spectre bedroht Anwendungen von Cloud bis Browser
Spectre ist eine komplexere Variante von Meltdown. Diese Exploitklasse basiert ebenfalls auf Spuren der spekulativen Ausführung im Cache, nutzt dafür aber weitere Kniffe wie spekulative Sprünge und absichtlich falsch „trainierte“ Prädiktoren. Das funktioniert zwar „nur“ zwischen verschiedenen Anwendungen (also nicht im Kernel). Dafür sind aber deutlich mehr Prozessoren unterschiedlicher Hersteller anfällig. Nur ein Teil der Probleme lässt sich relativ leicht beheben. Andere werden uns noch jahrelang begleiten, da sie in vielen Anwendungen und Bibliotheken einzeln behoben werden müssen. Spectre-Varianten erlauben es etwa, VMs anderer Cloud-Kunden oder Passworte im Browser durch bösartige JavaScript-Werbung auszulesen.
https://www.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html?seite=2 

-------------------------------------------------------------- 
Meltdown/Spectre in einem Tweet
Der Mitentwickler des Reverse-Engineering-Tools IDA, Igor Skochinsky, hat es geschafft, die Exploits in einem Tweet scherzhaft-treffend zusammenzufassen: „Mir ist gerade klar geworden, dass die Veröffentlichung (…) die 2 schwersten Probleme der Informatik demonstriert: 1. Sicheres Leeren von Cache, 2. Benennen von Dingen, 3. Um-Eins-daneben-Fehler (2 Namen / 3 Schwachstellen), 0. Garantiert richtige Reihenfolge der Ausführung“.
https://twitter.com/IgorSkochinsky/status/949331337596538880/ 

-------------------------------------------------------------- 
TRISIS oder TRITON? Malware manipuliert Safety-Systeme
Am 14. Dezember lieferten sich zwei US-amerikanische Firmen ein Kopf- an-Kopf-Rennen um die Veröffentlichung der Analyse der ersten Schadsoftware, die in freier Wildbahn ein industrielles Safety-System (Safety Instrumented System, SIS) manipulieren konnte. TRISIS, wie die junge und gleichsam aggressiv wie erfolgreich um Startalente im ICS-Security-Bereich werbende Firma Dragos den Virus nennt, griff Triconex SIS von Schneider Electrics bei mindestens einem Kunden im Nahen Osten an. Die etabliertere Beratungsfirma FireEye nennt denselben Schädling TRITON. In der Theorie sollten SIS vom sonstigen Produktionsnetz abgekoppelt und im „Run“-Modus, also nicht veränderbar sein. In der Praxis ist dies jedoch oft unbequem oder nicht wirtschaftlich.
https://dragos.com/blog/trisis/ 

--------------------------------------------------------------
Besonders unsicheres elektronisches Anwaltspostfach? Schwere Sicherheitslücken im beA
Zum Jahresbeginn sollte das für alle Anwälte verpflichtende besondere elektronische Anwaltspostfach der Bundesrechtsanwaltskammer (BRAK) in Betrieb gehen. Nun ist es erstmal bis Ende Januar auf Eis gelegt: Der Darmstädter Sicherheitsforscher Markus Drenger hatte kurz vor Weihnachten mehrere schwere Sicherheitslücken in der Software gefunden, die zuvor ein Sicherheitsaudit der Firma SEC Consult durchlaufen hatte. Zunächst war in der Software der private Schlüssel für ein wichtiges TLS-Zertifikat enthalten. Dieser hätte für Man-in-the-Middle-Angriffe auf die Anwaltskommunikation genutzt werden können. Das Problem wurde daraufhin durch die Verteilung eines neuen Root-Zertifikats verschlimmbessert, das alle Anwälte installieren sollten: Auch hier wurde der private Schlüssel mitgeliefert. Nun hätte sich jeder in sämtliche Kommunikation des jeweiligen Anwalts – sogar zum Homebanking – einschalten können. Auch dieses Zertifikat musste daraufhin widerrufen werden. Darüber hinaus ist die im Produkt angepriesene Ende-zu-Ende-Verschlüsselung im eigentlichen Sinne gar keine. Die Frage der Verantwortung für dieses Desaster ist noch nicht abschließend geklärt.
https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html 

-------------------------------------------------------------- 
Schon wieder auf TLS – Angriff der ROBOTer
In regelmäßigen Abständen werden neue Angriffe auf das verbreitete Verschlüsselungsprotokoll TLS entdeckt. Mit ROBOT ist nun eine Variante der Attacke von Daniel Bleichenbacher entwickelt worden, mit der er 1998 über ein Orakel aus SSL-Fehlermeldungen Bit für Bit die Verschlüsselung brechen konnte. ROBOT kann die Verschlüsselung und Authentifizierung von TLS-Servern knacken, welche reine RSA-Ciphermodes nutzen – immerhin 27 der Domains auf der Top-100-Liste des Dienstleisters Alexa. Stattdessen sollte ein Schlüsselaustausch mit elliptischen Kurven (ECDH) genutzt werden. Dies hat zudem den Vorteil der Forward Secrecy. Denn mit reinem RSA genügt es, Verkehr passiv mitzuschneiden, um ihn später mit ROBOT oder anderen Verfahren brechen zu können.
https://robotattack.org/ 

-------------------------------------------------------------- 
Freigiebiger Keeper: In Windows 10 vorinstallierter Passwortmanager offen
Der in Windows 10 ungefragt vorinstallierte Passwortmanager Keeper bzw. dessen Browsererweiterung erlaubte es bösartigen Webseiten über den Diebstahl von Klicks („Clickjacking“) beliebige Passwörter auszulesen. Wieder einmal war es Tavis Ormandy aus Googles Project Zero, der den Fehler fand. Seit 15.12. steht ein Patch bereit, der mit der automatischen Browser-Updatefunktion für Erweiterungen eingespielt werden sollte. Keeper-Nutzern wird empfohlen zu prüfen, ob mindestens Version 11.4.4 installiert ist.
https://www.golem.de/news/windows-10-kritische-luecke-in-vorinstalliertem-passwortmanager-1712-131725.html 

-------------------------------------------------------------- 
Landesamt für Besoldung macht (in) Kryptowährung. Unfreiwillig.
Ein Cyberangriff auf das Landesamt für Besoldung und Versorgung in Fellbach (BaWü) entpuppte sich nachträglich als der Versuch, auf den Systemen des Amtes Kryptowährungen zu schürfen (englisch „Mining“), also zu berechnen. Weniger tragisch als ein Datenverlust oder -diebstahl, trotzdem ein zunehmendes Problem für die Verfügbarkeit.
https://www.swr.de/swraktuell/bw/cyber-angriff-auf-landesamt-fuer-besoldung-und-versorgung/-/id=1622/did=20936252/nid=1622/2jgesi/index.html 


LESETIPPS
In dieser Rubrik stellen wir Ihnen interessante Beiträge zum Weiterlesen vor.

Spukgeschichten
Passend zum Titelthema Spectre und Meltdown gehen heute auch unsere Tipps zum Weiterlesen in diese Richtung. Erfahren Sie, was sich aus den plötzlichen, gleich mehrfachen Funden dieser alten Schwachstellen auf einer übergeordneten Ebene lernen lässt.
Die Wired-Story „Triple Meltdown: How So Many Researchers Found a 20-Year-Old Chip Flaw At the Same Time“ beschäftigt sich mit der Frage, ob es Zufall sein kann, dass eine Vielzahl von Forschern innerhalb weniger Monate dieselben Bugs gefunden hat, nachdem sie zwei Jahrzehnte – zumindest von der Öffentlichkeit! – unentdeckt blieben (Antwort: Jein) und was das für die Frage bedeutet, ob es gesamtgesellschaftlich sinnvoll ist, Schwachstellen bei Geheimdiensten zu sammeln oder zu kaufen und geheim zu halten (Antwort: wahrscheinlich nein).
https://www.wired.com/story/meltdown-spectre-bug-collision-intel-chip-flaw-discovery/ 

Noch eine Ebene höher machte sich die Datenforscherin Katharine Jarmul in ihrem Vortrag „Deep Learning Blindspots“ beim jährlichen Hackertreffen Chaos Communication Congress zwischen den Jahren in Leipzig darüber Gedanken, wozu es führt, wenn die Forschung an zentralen Themen wie Maschinelles Lernen (oder eben CPU-Schwachstellen) mehr und mehr von den wenigen privaten Unternehmen dominiert wird, die auch sonst die IT-Welt weitgehend unter sich aufteilen. Hier zusammengefasst in Spiegel Online:
http://www.spiegel.de/wissenschaft/mensch/ki-forschung-die-privatisierung-der-intelligenz-kolumne-a-1186449.html 

Zuletzt die immer ultimative Referenz, egal zu welchem (IT-)Thema (hier selbstredend Meltdown & Spectre):
https://xkcd.com/1938/  

Der nächste HiS-Cybersecurity Digest erscheint Anfang Februar 2018.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate: 
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: