HiSolutions Research

Oh Autsch! OAuth-Phishing

Multi-Faktor-Authentisierung gehört inzwischen zum Stand der Technik und ist regelrecht ein Standard im stärker exponierten Cloud-Umfeld. Um ihren Erfolg beim Abgriff von Zugangsdaten weiterhin zu sichern, nutzen Angreifer nun Authentisierungstoken für Cloud-Apps, denn: Wurde eine Angreifer-App mit ausreichend Berechtigungen versehen, können darüber weitreichende Schäden in der gesamten IT-Umgebung verursacht werden. Inzwischen warnt Microsoft Unternehmenskunden vor dieser Angriffsmethode. Es gibt also genug Gründe, sich mal mit den methodischen Details auseinanderzusetzen.

HiSolutions Research

Sommerolympiade der Security Gateways: Angreifer nutzen bekannte Schwachstellen

F5, Cisco, Palo Alto, Citrix, Pulse Secure: Die Produkte mehrerer großer Anbieter sind dieses Jahr von hochbewerteten Schwachstellen betroffen, sodass sich Administratoren die Zeit für nötige Sicherheitsupdates nehmen sollten. Dies bekräftigen nun Ransomware-Angreifer und zielen auf ungepatchte Systeme mit diesen Schwachstellen, was großes Potenzial für weitreichende Kompromittierungen umfangreicher IT Umgebungen birgt.

https://arstechnica.com/information-technology/2020/07/hackers-actively-exploit-high-severity-networking-vulnerabilities/

HiSolutions Research

Multi-OS-Strategie: Emotets Trickbot goes Linux

Die Vielseitigkeit der Schadsoftware-Toolchain Emotet beschäftigt seit geraumer Zeit Incident Responder, IT-Forensiker und Administratoren gleichermaßen. Nun kommt eine neue Facette hinzu, indem das angestammte Wirtsbetriebssystem Windows um Linux-Systeme ergänzt wird. Neben den offensichtlichen Linux-Servern (und ggf. -Clients) droht hier auch Persistenz über Embedded Linux in Geräten wie Druckern und Routern.

https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html

Auch die Methodik der Angreifer entwickelt sich weiter, sodass nun reale Dateianhänge in E Mails gestohlen und für Angriffe verwendet werden.

https://www.heise.de/news/Betrueger-Mails-Emotet-klaut-Dateianhaenge-fuer-mehr-Authentizitaet-4857724.html

HiSolutions Research

Eins, zwei, drei, vier, Eckstine: WordPress nun mit Plugin-Auto-Update

Nachdem WordPress bereits vor Jahren mit einer Auto-Update-Funktion für seine Kernkomponenten die Angriffsoberfläche für viele Websites stark reduzierte, verlagerte sich das Geschäft der Angreifer auf Sicherheitslücken in verwendeten Plugins. Diese werden oft vergessen und oft genug nicht einmal mehr benötigt. Ab Version 5.5, benannt nach dem amerikanischen Jazzsänger Billy Eckstine, steht die Auto-Update-Funktion nun endlich auch für Plugins und Themes zur Verfügung.

HiSolutions Research

Less Trustworthy Encryption: LTE-Telefonate abhörbar

Durch VoLTE werden Telefonate innerhalb des LTE-Standards realisiert. Allerdings wurden hier in einigen verbreiteten Implementationen kryptografische Schlüssel wiederverwendet, sodass ein Angreifer, der ein geeignet langes Telefonat mit dem Opfer führen konnte, entsprechend lange frühere Telefonate desselben Opfers entschlüsseln konnte. Die zugehörige Forschung der Ruhr-Uni Bochum wurde nach umfangreichsten Koordinierungsaktionen mit den großen Mobilfunk-Betreibern nun auf der USENIX vorgestellt.

https://www.usenix.org/conference/usenixsecurity20/presentation/rupprecht

HiSolutions Research

Wenn der Stiefel aber nun ein Loch hat: UnSecure Boot im Bootloader Grub

Secure Boot-Funktionen dienen als Vertrauensanker, um von vertrauenswürdiger Hardware ausgehend die Authentizität und Integrität zumindest von Kernfunktionen der Software sicherzustellen. Wenn das Booten von signiertem Programmcode das Einklinken von Angreifern nun nicht lückenlos verhindert, öffnet dies eine Vielzahl von Angriffsvektoren. Entsprechende Updates wurden für alle gängigen Distributionen zur Verfügung gestellt.

https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot

HiSolutions Research

Lesetipps August 2020

DEFCON Is Cancelled – Still Hackers Gonna Hack

2020 ist zum ersten Mal in der Geschichte der legendären Hackerkonferenz der Running Gag „DEFCON fällt aus“ beinahe wahr geworden: Unter dem Titel „Safe Mode“ fand auch die DEFCON dieses Jahr nur virtuell statt. Neben Vorträgen zum Hacking von Lichtanlagen im Straßenverkehr und Geldautomaten erfreute sich insbesondere der Vortrag „Hacking the Hybrid Cloud“ von Sean Metcalf großer Beliebtheit. Oder mit den Worten des Vortragenden gesprochen: „How bad can this get?“ – „Don’t want all my eggs in one basket… So now eggs are in all baskets.“

Why, oh, why, PyPI?

Fipptehler treten auf, binsedonsere dort, wo Menschen Dinge über Tostatüren einbegen können. Das Potenzial von Supply-Chain-Angriffen via Benutzerfehleingaben hat der Sicherheitsforscher William Bengtson genauer betrachtet und gezielt knapp falsch benannte Pakete wie „pythonjsonlogger“ erstellt, die irrtümlich statt des korrekten „python-json-logger“ installiert werden sollen. Bösartige Pakete könnten an dieser Stelle Schadcode einschleusen und z. B. Zugangsdaten abgreifen. Details und Geschichten, die er mit seinem Engagement für die Python-Community erlebt hat, finden Sie unter:

https://medium.com/@williambengtson/python-typosquatting-for-fun-not-profit-99869579c35d

HiSolutions Research

Hier bin ich, Mensch, hier schreib ich’s rein: KI textet täuschend echt

Dieser Digest wurde für Sie wie immer von David Fuhr und diesmal auch Robert Waniek geschrieben. Sicher? Sind wir uns selbst ganz sicher? Die künstliche Intelligenz (KI) hat beim Verfassen von Texten jüngst die Schwelle überschritten, vor der sie durch uns Menschen leicht als Maschine zu erkennen war. Das maschinell an Millionen von Texten trainierte Modell GPT-3 des von Tesla-Gründer Elon Musk und Microsoft finanzierten Unternehmens Open AI kann Texte unterschiedlicher Art produzieren, welche oft auf den ersten und zweiten Blick nicht von denen menschlicher Autoren zu unterscheiden sind. 
Neben einer riesigen Menge nützlicher bis lustig-alberner oder auch sinnloser Anwendungsszenarien fallen in Security-Denke geschulten Zeitgenossen sofort mögliche Missbrauchsszenarien ein. Wie viel besser kann hiermit das Schreiben täuschend echter Phishing-Mails skaliert werden? Wie viel vertrauenswürdiger können nigerianische Prinzen wirken, wenn sie jede/n Autor/-in und jeden Stil perfekt imitieren können? Und wie sehr können wir der Wahrheit noch trauen, wenn jeder sie auf Knopfdruck mit einem Meer von Fiktion überschwemmen kann?
Noch ist die KI mit ihren eigenen Mitteln leicht zu schlagen, und die Fälschungen sind technisch gut zu erkennen, wenn man denn weiß wie und den Aufwand betreibt. Aber diese Kinderkrankheiten werden im üblichen Katz- und Maus-Spiel bald immer weiter ausgemerzt. Wir tun gut daran, uns bei Texten schon heute langsam einen wachsenden Skeptizismus anzutrainieren, wie wir dies auch mit Bildern lernen mussten und zukünftig verstärkt alternative Herkunfts- und Wahrheitsbeweise einzufordern, wie wir es etwa in der Kryptografie tun.

https://www.spiegel.de/netzwelt/web/gpt-3-die-eloquenteste-kuenstliche-intelligenz-der-welt-a-dd3b3423-d214-4a2f-bc51-d51a2ae22074

HiSolutions Research

Ich bin wieder hier: Emotet is back in town

Nach den spektakulären Sicherheitsvorfällen des Heise-Verlags und des Berliner Kammergerichts war es die letzten Monate etwas ruhiger um Emotet. Doch wieder einmal war es die Ruhe vor dem Sturm, der sich nun mit berühmt-berüchtigten Klassikern wie Office-Anhang und Download-Link auf Office-Dokumente zurückmeldet. Traditionell (und nun wieder verstärkt) ist also Vorsicht mit Makros insbesondere (aber nicht nur) aus unaufgefordert zugesendeten Office-Dokumenten geboten.

https://www.heise.de/news/Emotet-Erste-Angriffswelle-nach-fuenfmonatiger-Pause-4847070.html