WSUS: mit oder ohne Ende?

Im September sorgte eine Ankündigung von Microsoft bei Windows-Server-Administratoren für Unruhe: Die WSUS-Funktion sei jetzt „deprecated“. Über WSUS verteilen viele Organisationen die System- und Anwendungsupdates von Microsoft. Das spart nicht nur Download-Bandbreite, wenn das Update nur einmal in die Organisation geladen wird, sondern ermöglicht das gezielte Freigeben und Zurückhalten von Updates. Soll damit jetzt Schluss sein?

Schaut man sich die ursprüngliche Nachricht näher an, geht das alles doch nicht so schnell. Tatsächlich wurde der Informationspost von Microsoft selbst auch noch einmal nachgeschärft, nachdem es viele Nachfragen gab. Der Status „deprecated“ heißt erst einmal nur, dass keine neuen Funktionen ergänzt werden. WSUS-Kenner mögen nun einwenden, dass es schon sehr lange keine neuen Funktionen mehr gab, und dass jetzt also eher der Status quo dokumentiert wurde. Auf der anderen Seite tut die Software, was sie tun soll, und es gibt auch keinen großen Änderungsdruck.

So wird WSUS auch im kommenden Windows Server 2025 enthalten sein und damit in den kommenden Jahren weiter nutzbar bleiben. In dem Fall hängt die Nutzbarkeit nicht nur von der lokal laufenden Software, sondern auch vom Bereitstellen der nötigen Daten bei Microsoft ab. Und selbst das wird im Abkündigungspost für die weitere Zukunft zugesichert.

Kann also doch alles bleiben, wie es ist? Die Antwort ist wie immer: „Kommt darauf an“. Es besteht jedenfalls kein akuter Handlungsbedarf. Aber es ist ein guter Anlass, präventiv mögliche Alternativen für die Patch-Verteilung anzuschauen, falls die Funktion in der übernächsten Serverversion entfallen sollte. Microsoft selbst bietet mehrere alternative Lösungen für Clients und Server an – die jedoch alle Cloud-basiert sind. Auch mit anderen Softwareverteilungslösungen lassen sich inzwischen gut Betriebssystem-Updates verteilen.

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-update-services-wsus-deprecation/ba-p/4250436

https://learn.microsoft.com/de-de/windows-server/get-started/removed-deprecated-features-windows-server-2025 

Sieht der Fernseher mit?

Vielleicht haben Sie auch die Schlagzeile gesehen, dass Smart-TVs angeblich dabei erwischt wurden, wie sie Screenshots der angezeigten Bilder an die Hersteller schicken und das selbst dann, wenn die Inhalte per HDMI-Kabel zum Fernseher gelangen.

Müssen wir jetzt in den Besprechungsräumen die Fernseher, die dort als Leinwand-Ersatz eingezogen sind, wieder verbannen? Dafür muss man bis zum ursprünglichen wissenschaftlichen Artikel zurückgehen, der im November auf der ACM IMC’24 Konferenz in Spanien vorgestellt wird. Die Forscher haben sich die Funktionsweise der Automatic Content Recognition (ACR) in Fernsehern von LG und Samsung angeschaut. Sie haben die Geräte in verschiedenen Regionen mit unterschiedlichen Einstellungen und auch mit unterschiedlichen Inhaltsquellen in Betrieb genommen und dann den Netzwerkverkehr analysiert. Das im Netzwerk beobachtbare Verhalten war tatsächlich von all diesen Faktoren abhängig, und die Inhaltserkennung hat vermutlich auch versucht, per HDMI-Kabel zugespielte Inhalte zu erkennen. Da die Verbindungen verschlüsselt sind, konnten die Forscher nicht sagen, was genau übertragen wurde. Aber auch sie gehen nicht davon aus, dass es vollständige Screenshots des Bildinhalts waren, sondern Fingerprints, mit denen Unterhaltungsmedien wiedererkannt werden könnten. Außerdem wurden die Übertragungen bei den Geräten von beiden Herstellern gestoppt, sobald man die Inhaltserkennung im Menü des Fernsehers deaktiviert hat.

Noch leichter lässt sich das Risiko vermeiden, wenn die Smart-TV-Funktionen im Besprechungsraum nicht gebraucht werden: Dann kann man den Fernseher einfach ohne Netzwerkzugang betreiben – und er kann auch keine Geheimnisse verraten.

https://arxiv.org/pdf/2409.06203

Wenn der extra eingekaufte Zugangsverwalter umgangen werden kann

Der Cloud-Anbieter Okta hilft bei der Verwaltung von Zugängen zu Anwendungen und bietet eine Single-Sign-On-Lösung über Produktgrenzen hinweg an. Ende September meldete der Anbieter, eine „Sign-On Policy Bypass“-Lücke gefunden und behoben zu haben. Standen jetzt alle von Okta verwalteten Türen offen?

Für die genaue Bewertung muss man sich noch einmal den Unterschied zwischen Authentisieren und Autorisieren in Erinnerung rufen. Oktas Lösung kann beide Schritte übernehmen: Sicherstellen, dass der zugreifende User wirklich der ist, für den er sich ausgibt, und dann im nächsten Schritt entscheiden, ob dieser User den angefragten Dienst auch nutzen darf. Bei der vorliegenden Lücke konnte der zweite Schritt umgangen werden – es konnten also unter sehr bestimmten Voraussetzungen Nutzer in der Organisation auf Dienste und Inhalte zugreifen, für die sie nicht berechtigt waren. Das ist auch nicht gut, aber das Risiko war doch kleiner, als wenn jeder aus dem Internet Zugriff gehabt hätte.

https://trust.okta.com/security-advisories/okta-classic-application-sign-on-policy-bypass-2024/

Seitenkanal des Monats: USB-Sticks

Die meisten unserer „Seitenkanäle des Monats“ bezogen sich auf Forschungsarbeiten. Dort wurde zwar in praktischen Versuchen gezeigt, dass sie tatsächlich funktionieren, aber es blieb meistens unklar, ob es auch reale Vorfälle gab. Diesen Monat haben möchten wir einen realen Fall aus einem Bericht der Incident-Response-Kollegen von ESET vorstellen, in dem Daten von air-gapped Systemen abgeflossen sind.

Genutzt wurden dafür USB-Sticks. Das klingt nicht ganz so spektakulär wie Töne von flackernden Bildschirmen oder Drohnen mit halbdurchlässigen Spiegeln, aber es hat offenbar funktioniert.

Die Angreifer haben in der Organisation initial Rechner mit Internetzugang unter ihre Kontrolle gebracht. Wenn in diese dann ein USB-Stick eingesteckt wurde, haben sie den ersten Ordner darauf umbenannt, versteckt und dafür eine EXE-Datei mit dem Namen des Ordners und einem passenden Icon abgelegt. Sie ahnen schon, wie es weiterging: Wurde der USB-Stick dann später in einen anderen Rechner, z. B. ein vom Netz isoliertes System gesteckt, und der Nutzer wollte den Ordner öffnen, startete er stattdessen die Malware. Auch der Informationsaustausch zwischen dem kompromittierten System und dem Command-&-Control-Server lief dann über versteckte Dateien auf dem USB-Stick und das System mit Internetzugang.

Liest man den Artikel, kommen einem viele der Angriffsschritte bekannt vor. Es ist vor allem die Orchestrierung der vielen kleinen Schritte, die in Summe den Angriff so erfolgreich machte. Werfen Sie doch mal selbst einen Blick in den Beitrag und überlegen dabei, welche Ihrer Gegenmaßnahmen den Angriff entdeckt hätte.

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/

Seitenkanal des Monats: Der Sound des Displays

Kann man Bilder hören? Der Forscher Mordechai Guri kann es – und zeigte, wie er durch die Ausgabe von geschickt gewählten Pixelmustern gezielt Töne mit einem Display erzeugte. Im Test konnte er die Töne in bis zu 2,5m Entfernung aufzeichnen. Dafür nutzte er die leisen Töne aus, die die elektronischen Komponenten innerhalb des Displays beim Schalten von sich geben – und verstärkte sie durch geschicktes gleichzeitiges Umschalten vieler Pixel. Nutzen könnte man den Angriff etwa, um Daten aus einem vorher kompromittierten System auszuleiten, das nach der Kompromittierung nur noch ohne Netz-Zugang verwendet wird („air gapped“). Die im Test genutzten Pixelmuster sind jedoch sehr auffällig – der Angreifer müsste also einen unbeobachteten Moment ausnutzen oder den Angriff durch subtilere Muster verfeinern.

Altbekanntes kombiniert kann erschreckende Auswirkungen haben

Die Kollegen von watchTowr Labs haben in einem amüsant zu lesenden Artikel ihre Erfahrungen aufgeschrieben, wie sie versuchten, eine quasi nicht ausnutzbare Lücke auszunutzen, und dann über mehrere Schritte am Ende gültige TLS-Zertifikate für fremde Domains signiert bekamen. Die dabei ausgenutzten Lücken klingen im Einzelnen nicht sonderlich spektakulär. Beispielsweise ist da eine Command-Line-Injection, die aber auf WHOIS-Daten beruht – die wiederum nur schwer zu manipulieren sind. Oder ein früher genutzter Domainname eines Domainverwalters, der inzwischen für jeden zu registrieren war. Insgesamt ist es aber eine sehr plastische Beschreibung der verschlungenen Wege, die eine erfolgreiche Ausnutzung nehmen kann.

Sind 17 Jahre noch Echtzeit?

Linux und Echtzeit – für einige ist das ein Widerspruch, während andere schon seit Jahren die Real-Time-Linux-Patches nutzen. Hintergrund ist, dass der Hauptzweig des Linux-Kernel über die Jahre zwar viele Änderungen für Echtzeitfähigkeit erfahren hat, aber ohne die separat gepflegte Patch-Sammlung harte Echtzeitanforderungen nicht garantiert werden konnten. Im September ist jetzt ein großer Teil dieser Patches in den Hauptzweig übernommen worden und damit ein viele Jahre währender Prozess nah ans Ziel gekommen.

Es gibt allerdings immer noch Spezialfälle, in denen nicht garantiert werden kann, dass der Kernel alles stehen und liegen lässt, um auf ein Ereignis innerhalb der vorgegebenen Zeit reagieren zu können. Es stehen also noch weitere Entwicklungsaufwände an, die vor allem durch eine fehlende Finanzierung ausgebremst werden. Denn obwohl schon jetzt viele Hersteller Echtzeit-Linux in ihren Geräten nutzen, kommt nicht genug Geld bei den Entwicklern an.

Diese Diskrepanz zwischen der Wertschöpfung der Nutzer von Open-Source-Software und der Finanzierung der Entwicklung ist eine grundsätzliche Herausforderung für das Open-Source-Ökosystem. Mit Stiftungen wie der Linux Fundation wird dagegen gesteuert. Mit dem Sovereign Tech Fund gibt es in Deutschland sogar ein staatlich finanziertes Unterstützungsangebot, das auch die Verbesserung der Sicherheit zum Ziel hat. Dabei gibt es verschiedene Angebote von Bug-Bounty-Programmen bis zu Stipendien für Entwickler.

Die „Contribute Back Challenge“ richtet sich an Open-Source-Software einsetzende Firmen, die ihren Mitarbeitern Zeit für die Weiterentwicklung einräumen. Das lohnt sich natürlich vor allem, wenn man ohnehin eine eigene Entwicklungsabteilung unterhält. Aber unabhängig von der Challenge kann man auch schon mit kleinen Beiträgen etwas zurückgeben: vom Ausprobieren von Testversionen bis hin zur aktiven Teilnahme in den Online-Communities.

Haben Sie sich schon einmal in Ihrem Unternehmen umgeschaut, ob Sie in der Open-Source-Community aktive Kollegen haben?

P.S.: Eine Reaktion nach 17 Jahren kann übrigens nach der formalen Definition Echtzeit sein, etwa wenn die garantierte Reaktionszeit 20 Jahre war.

Kein Ton von der Magnetplatte

Die Datenrettungsfirma Iron Mountain unterstützt die Musikindustrie dabei, Rohfassungen von Musikaufnahmen zu retten. Interessanterweise gab es in der Branche Anfang dieses Jahrhunderts den Trend weg von Bandaufnahmen hin zu digital auf Festplatten gespeicherten Aufnahmen. Viele Originalfassungen wurden also auf Festplatten archiviert – und jetzt funktioniert jede fünfte davon nicht mehr, so die Beobachtung von Iron Mountain. In der IT werden Festplatten eigentlich nicht als Langzeitarchiv genutzt, aber die günstigen Preise können verführerisch wirken, eine Platte einfach in den Schrank zu legen – etwa die mit der letzten funktionieren Installation einer historischen Workstation, die schon seit 10 Jahren abgelöst werden soll?  

Das Leben der Software – jetzt auch BSI-reguliert

Das BSI hat in der gerade veröffentlichten technischen Richtlinie TR-03185 beschrieben, wie man in allen Phasen des Lebenszyklus einer Software Sicherheit berücksichtigen kann. Ähnlich wie bei den schon länger existierenden Leitfäden für die Entwicklung von Webanwendungen, teilt sich die Richtlinie in einen Teil mit der Perspektive des Software-Anwenders und einen Teil mit Fokus auf den Software-Produzenten auf. In diesem Fall ist mit Anwender allerdings nicht die tatsächlich nutzende Institution gemeint ist, sondern Hersteller, die auch andere Software in ihre Produkte integrieren oder diese nutzen. Open-Source-Software wurde dabei ausgeklammert, unter anderem wegen der abweichenden Entwickler-Nutzer-Beziehungen.

Bewerbungsgespräch mit einem Angreifer

Das Sicherheitsunternehmen KnowB4 hat einen Fall öffentlich gemacht, bei dem sich ein neuer Mitarbeiter als nordkoreanischer Spion entpuppte. Enttarnt wurde er gleich am ersten Tag, nachdem er als Remote-Arbeiter zum ersten Mal seinen zugesandten Rechner startete und sofort eine Malware installieren wollte. Im Nachhinein fielen dann auch weitere Ungereimtheiten bei der Bewerbung auf, die das Sicherheitsunternehmen zur Warnung anderer Unternehmen in seinem Blog beschreibt.

Im Juni hatte das Wall Street Journal bereits ausführlicher über diese Gefahr berichtet und verschiedene andere Betroffene zitiert. Genutzt werden dabei sogenannte Laptop-Farmen, die die Rechner der vermeintlichen Homeoffice-Arbeitenden einsammeln, zeitlich passend in Betrieb nehmen und mit einer Fernsteuerungslösung ausstatten, damit sich anschließend mehrere Personen die Aufgaben des vorgeblichen Mitarbeitenden teilen können und natürlich gleichzeitig ihre eigenen Ziele verfolgen.

Diese Angriffsart funktioniert “dank“ standardisierter Bewerbungsprozesse, die komplett remote ablaufen und der Tatsachen, dass auch zur Arbeitsaufnahme kein persönliches Treffen vorgesehen ist. Die vermeintlichen Mitarbeitenden existieren nur als KI-generierte Lebensläufe und als manipulierte Bilder.

Wenn Sie jetzt an Ihre Abläufe bei Bewerbungen und die ersten Wochen für neue Mitarbeitende denken: An welcher Stelle würde Ihnen ein Angriffsversuch dieser Art auffallen?

https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us

https://www.wsj.com/articles/deepfakes-fraudsters-and-hackers-are-coming-for-cybersecurity-jobs-e2a76d06