Top Thema
Wild Thing, You Make My Heart Sing: 0days „in the wild“
Googles Project Zero (GP0) verfolgt seit der Gründung vor fünf Jahren intensiv die Entwicklungen und Entdeckungsprozesse im Bereich Schwachstellen. Das erklärte Ziel der Gruppe ist die Bekämpfung von „Zero Days“: Schwachstellen, die bekannt werden, ohne dass für sie bereits ein Patch besteht. Daher sind diejenigen Fälle von besonderem Interesse, bei denen Angreifer es geschafft haben, 0days „in the wild“, in freier Wildbahn tatsächlich auszunutzen. Diese Liste – quasi des eigenen „Scheiterns“ bzw. der eigenen Unvollkommenheit – hat GP0 nun veröffentlicht, mit allen „in the wild“ ausgenutzten 0days seit 2014. Soweit bekannt natürlich; die Dunkelziffer wäre hier zweifellos noch interessanter. Auffällig ist, dass die Anzahl der jährlichen Einträge seit 2015 kontinuierlich zurückgeht – bis auf 2019, wo wir mit 10 Einträgen schon jetzt fast auf dem Jahresniveau von 2018 sind. Die Kategorisierung der Schwachstellen wiederum deutet auf ein Versagen der IT-Branche insgesamt hin: Memory Corruption, die zusammen mit Use-after-Free den Löwenanteil der Exploits ermöglicht, sollte heutzutage nicht mehr vorkommen … eigentlich.
https://googleprojectzero.blogspot.com/p/0day.html
Neuigkeiten
Ganz normaler Patch Tuesday? Schwachstellenschwemme im Mai
Die Anzahl der bekanntwerdenden Schwachstellen nimmt seit Jahren zu. Immer wieder sind auch kritische dabei, und in manchen Monaten kommt mehr zusammen als in anderen. So knüppeldick wie in diesem Mai kam es allerdings lange nicht: Eine „wurmbare“, sprich potenziell im Schneeballeffekt millionenfach ausnutzbare Lücke in RDP (CVE-2019–0708) bei Windows 7 und Server 2008/R2 plus 22 weitere kritische Lücken bei Microsoft, ein Bug in WhatsApp, über den schon mit einem einzigen bösartigen Anruf das i- oder Android-Phone unbemerkt übernommen werden kann (CVE-2019–3568) sowie allein über 80 Schwachstellen bei Adobe (Flash, Acrobat/Reader). Wegen des RDP-Problems patchte Microsoft auch noch ein weiteres „letztes“ Mal ausgelaufene Windows-Versionen wie XP. Interessant an der Lücke ist auch, dass sie vom britischen National Cyber Security Centre (NCSC) gemeldet wurde – dessen Mutter, der technische Geheimdienst GCHQ, sich durchaus vorbehält, Schwachstellen nicht zu veröffentlichen, sondern für das eigene Arsenal aufzusparen. Mögliche Gründe für die Veröffentlichung könnten ein vorausgegangener Verlust der Kontrolle über die Schwachstelle sein, die Erkenntnis, dass andere Geheimdienste diese ebenfalls kennen, oder auch späte Einsicht in die Vorgänge um WannaCry vor zwei Jahren, als GCHQ und NSA in die Kritik kamen, im Interesse ihrer Angriffswaffen Nutzer nicht genügend zu schützen.
https://medium.com/asecuritysite-when-bob-met-alice/just-another-patch-tuesday-ncsc-stops-another-wannacry-adobe-hits-83-and-whatsapp-hits-zero-96b49cf61d08?sk=ef2f8a0772bd2df974a373dcb95dcd28
HiSolutions
IT-Grundschutzbausteine Loadbalancer, Windows Server 2016, Container unter Openshift
Das IT-Grundschutz-Kompendium des BSI macht anhand von themenspezifischen Bausteinen konkrete Vorgaben und Empfehlungen zur Umsetzung der IT-Grundschutz-Methodik. Es wird durch benutzerdefinierte Bausteine aus der Hand erfahrener Anwender ständig erweitert. Jetzt hat HiSolutions aus der Erfahrung durchgeführter Projekte drei benutzerdefinierte Bausteine zu den Themen „Loadbalancer“, „Windows Server 2016“ und „Container unter Openshift“ erstellt, welche dem BSI und der Community kostenfrei zur Verfügung stehen.
https://www.hisolutions.com/detail/benutzerdefinierte-bausteine-der-hisolutions-beim-bsi-veroeffentlicht/
Mühsam stirbt das Eichhörnchen: Microsoft-Baselines ohne erzwungenen Passwortwechsel
Das Sterben des regelmäßigen Passwortwechselns schreitet langsam, aber unaufhaltsam voran. Über Jahre hinweg haben Sicherheitsstandards von den Anwendern verlangt, dass sie ihre Passwörter regelmäßig wechseln. Diese Anforderung wurde immer wieder kontrovers diskutiert. Mittlerweile sind sich die Sicherheitsfachleute weitgehend einig, dass ein regelmäßig erzwungener Passwortwechsel für die Sicherheit eher nachteilig ist.
Nun hat Microsoft ihn aus den Entwürfen für die neuen Security Baselines – technischen Empfehlungen für MS-Produkte, welche in Konfigurationen (GPOs) gegossen sind – für die aktuellen Windows-Produkte (Windows 10 v1903 und Windows Server 2019 v1903) entfernt. Darüber gibt es auch noch einen interessant argumentierenden Vorschlag, das zwanghafte Deaktivieren der built-in Admin- und Guest-Accounts zukünftig wegzulassen.
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/
Chias muss nicht mehr: Weiteres Tool für VS-NfD zugelassen
Chiasmus hat Konkurrenz bekommen: Als weiteres erlaubtes Software-Verschlüsselungstool für die Nutzung im Zusammenhang mit VS-NfD/EU-RESTRICTED/NATO-RESTRICTED ist nun Gpg4win bzw. GnuPG für KMail unter Linux freigegeben worden.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Gpg4win-mit-VS-NfD-070519.html
Liste aller zugelassenen VS-NfD-Tools (Hardware und Software):
https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukte/Liste_Produkte/Liste_Produkte_html.html
Immer diese Chinesen? Backdoor in Cisco-Switches
Der amerikanische Netzwerkausrüster Cisco hat „versehentlich“ in seinem Nexus 9000-Switch, mit dem in der Cloud „SDN“ (Software Defined Networks“) gebaut werden, hart-codierte SSH-Schlüsselpaare verwendet. So kann jeder, der ein solches Gerät in der Hand hat, den privaten Schlüssel auslesen und sich damit in alle anderen Nexus weltweit einloggen, auf die er per IPv6 Zugriff hat – und zwar als root. Die Interpretation „extreme Fahrlässigkeit“ ist nicht um vieles besser als die der „absichtlichen Backdoor“.
https://www.theregister.co.uk/2019/05/02/cisco_vulnerabilities/
Version 2.0 verlangt 1.3 oder 1.2: Neue TLS-Vorgaben des BSI
Das BSI hat Version 2.0 seines Mindeststandards TLS veröffentlicht. Darin werden, zumindest für die Bundesverwaltung, TLS 1.2 und TLS 1.3 als einzige erlaubte Protokollvarianten gesetzt. Forward Secrecy ist nun Pflicht. Die umstrittene Neuentwicklung eTLS – wir berichteten – wird nicht erwähnt, ist somit also nicht statthaft.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_0.pdf
Langsam immer toter: SHA-1-Kollisionen werden praktischer
Der Hashalgorithmus SHA-1 gilt schon mindestens seit dem sogenannten „SHAttered-Angriff“ (shattered.io) vor zwei Jahren als derart angeschlagen, dass er nicht mehr verwendet werden sollte. Bisher waren Angriffe allerdings so aufwändig, dass sie kaum in der Reichweite von realen Angreifern waren. Dies hat sich nun geändert: Mit der ersten Chosen-Prefix Kollisionsattacke stehen nun Angriffswerkzeuge bereit, die den weiteren Einsatz von SHA-1 hochgefährlich machen. Denn nun können Signaturen – wenn auch aktuell noch mit Kosten in der Größenordnung von 100.000 USD – über beliebige Daten gefälscht werden.
https://www.zdnet.com/article/sha-1-collision-attacks-are-now-actually-practical-and-a-looming-danger/
Stille Post von hinten durch die Brust: Daten-Extraktion via DNS-over-HTTPS
DNS war lange ein beliebtes bzw. gefürchtetes Mittel, um Daten aus sicheren Unternehmensnetzen hinauszuexfiltrieren. Man hat dies heute halbwegs unter Kontrolle, indem Techniken wie Sinkholing und Filterung eingesetzt werden – theoretisch, denn in der Praxis hinken viele Unternehmen hier noch hinterher. Doch die Behebung eines anderen Problems von DNS – fehlende Verschlüsselung – bringt nun die alten Gespenster wieder zurück. Zwar kann durch Techniken wie DNS-over-HTTPS (DoH) die Namensauflösung gesichert bei einem der großen Anbieter geschehen – doch wenn diese dann wieder per DNS bei einem vom Angreifer kontrollierten DNS-Server anfragen, hat der Angreifer nicht nur den Exfiltrationskanal wieder geöffnet, sondern er hat auch noch die perfekte Tarnung dafür. Denn welche Firewall oder welche DLP-Lösung würde schon Böses hinter DNS-Verbindungen zu Google oder Cloudflare vermuten?
https://sensepost.com/blog/2018/waiting-for-godoh/
Reale Windows gehackt: Fensterbauer lahmgelegt
Fenster-Expertise hilft nicht automatisch gegen Ransomware: Der Sorpetaler Fensterbau ist das neueste in einer langen Reihe von Unternehmen, die nach einer erfolgreichen Attacke – und deren Bewältigung – an die Öffentlichkeit gegangen sind, damit andere daraus lernen können. In diesem Fall waren Backups auf externen Festplatten vorhanden, sodass nach sechs Stunden der erste Server wieder einsatzbereit war. Trotzdem dauerte es bis zur kompletten Wiederherstellung mehrere Tage. Der Schaden lag bei mehreren zehntausend Euro. Dass es beileibe nicht immer so glimpflich ausgeht, zeigen die Erfahrungen der HiSolutions-Incident Response-Hotline. So ist in einem nicht unerheblichen Teil der Fälle entweder kein umfassendes Backup vorhanden oder der Restore hat mangels vorhergehender Tests nicht erwartungsgemäß funktioniert. Teilweise waren sogar Backups durch den Trojaner gleich mitverschlüsselt worden.
https://www.welt.de/regionales/nrw/article193716763/Hackerangriffe-auf-Unternehmen-mit-existenzbedrohenden-Datenverlusten.html
Stau as a Service? Tracking-Apps lassen remote Motoren stoppen
Ein Hacker hat demonstriert, dass sich über mindestens zwei verbreitete Apps für das Tracking von Fahrzeugflotten nicht nur die privaten Daten der Nutzer stehlen lassen, sondern in bestimmten Fällen auch remote die Motoren stoppen – solange die Autos mit weniger als 20 km/h unterwegs sind. Dies zeigt, dass schon heute zunehmend safety-relevante Fahrzeugbusse mit solchen verbunden werden, die für Entertainment, Kommunikation u. ä. vorgesehen sind.
https://www.vice.com/amp/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps
Lesetipps
Fetter Fund: 100.000 Zeilen Malware
Die amerikanische Sicherheitsfirma FireEye veröffentlicht Hintergründe und technische Details zur Malware der Carbanak-Gruppe, die in den vergangenen Jahren bis zu eine Milliarde Euro bei Angriffen auf Banken und Zahlungsdienstleister sowie viele andere Unternehmen erbeutet hatte. Der mutmaßliche Kopf der Gruppe wurde – wie damals hier berichtet – vor einem Jahr verhaftet. Im Zuge von Untersuchungen sind den Analysten von FireEye nun zwei RAR-Dateien in die Hände gefallen, die den Quellcode der Malware samt zugehörigen Tools enthielten. Besteht sonst bei Analysen in der Regel Zugriff auf einige wenige Skripte oder Programme, so enthielt dieser Fund 755 Dateien, 39 Binaries und mehr als 100.000 Zeilen Code. Diese wurden nun ausgewertet und die Erkenntnisse in äußerst aufschlussreichen Blog-Beiträgen verarbeitet.
Erster Teil der Serie „CARBANAK Week Part One: A Rare Occurrence”:
https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html
Netflix Original: Zero Trust
Technologisch ist die Streaming-Firma Netflix einer der großen Player und Treiber. Konzepte wie Zero Trust, Adaptive Authentication, Device Health & Authorization werden hier unter dem Slogan „Cloud First Company“ weiter getrieben als bei vielen anderen Unternehmen. Hier, standesgemäß, als Video dargestellt:
Tejas Dharamshi, Netflix, @ USENIX Enigma 2019 - Building Identity for an Open Perimeter
https://www.youtube.com/watch?v=a195I3SXa1E&
Hinter dem Kleingedruckten
Eine umfassende wissenschaftliche Analyse aus Oxford untersucht im großen Maßstab Cyberversicherungen und deren Inhalt: Was wird abgedeckt, welche Schäden und wie viel, welche Schadensereignisse und Ausschlüsse sind üblich, welche indirekten Kosten werden übernommen? Daneben gibt es auch einen Vergleich der Abschlussbedingungen, etwa welche Arten von Fragebögen zur Erhebung des Risikos verwendet werden.
https://academic.oup.com/cybersecurity/article/5/1/tyz002/5366419
Handel mit Zero Days/Exploits und der Staat
Eine gute Zusammenfassung der Debatte, auch für „Nicht-Techies“:
https://www.spiegel.de/netzwelt/netzpolitik/zero-day-exploits-ein-gesetz-mit-sicherheitsluecke-a-1266067.html
Europa kann auch was
Innovation im Bereich IT und Cyber muss nicht immer aus den USA, China oder Israel kommen. Die folgende Publikation der niederländischen KPN zeigt – nunmehr schon in sechster Auflage –, dass es auch in Europa spannende Ideen und Perspektiven im Bereich Security gibt.
https://overons.kpn/en/news/2019/kpn-publishes-sixth-edition-of-the-european-cyber-security-perspectives
---------------------------------------------------------------
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Juni 2019
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!
