News – HiSolutions Research

17. Mai 202317. Mai 2023News

Schlüssel für Boot Guard nach Ransomware-Angriff veröffentlicht

Entsprechend der aktuell vorherrschenden „Double Extortion“-Angriffsmethode haben die Angreifer nicht nur den IT-Betrieb beim Hardwarehersteller MSI gestört, sondern auch vorher Daten heruntergeladen. Da der Hersteller das geforderte Lösegeld nicht gezahlt hat, wurden diese nun veröffentlicht. Bis hierhin liest sich der Ablauf wie bei einer Vielzahl aktueller Vorfälle.

Die veröffentlichten Daten enthielten jedoch auch private Schlüssel, mit denen UEFI-Firmware signiert werden kann. Konkret waren Schlüssel für Intel Boot Guard betroffen, die auch die Basis für das Secure Boot von Windows darstellen. Theoretisch können Angreifer damit für die betroffenen Geräte manipulierte UEFI-Images erstellen und diese so signieren, dass sie vom Gerät trotz Prüfung akzeptiert werden. In der Praxis gibt es für solch einen Angriff einige Hürden – vom Erstellen eines lauffähigen UEFI-Images bis hin zum benötigten physischen oder privilegierten Zugriff –, um die Firmware einspielen zu können. Andererseits sind die Schlüssel jetzt quasi öffentlich und leicht für Angreifer jeder Art verfügbar.

Meldung von MSI: https://www.msi.com/news/detail/MSI-Statement-141688
Übersicht über betroffene Produkte: https://github.com/binarly-io/SupplyChainAttacks/tree/main/MSI

17. Mai 2023News

Verordnete Sicherheit: Europäische NIS2 auf dem Weg in deutsches Recht

Über das Thema NIS2 hatten wir im Digest schon oft berichtet. Zur Erinnerung: Es geht um die Aktualisierung der europäischen Verordnung zur Informationssicherheit von Behörden und Unternehmen.

Letzte Woche wurde der Referentenentwurf des Umsetzungsgesetztes der NIS2-Richtlinie mit dem gewagten Namen NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) bekannt. Das BMI folgt damit der europäischen Vorgabe, die Richtlinie bis zum 17. Oktober 2024 in deutsches Gesetz zu überführen. Dem geleakten Papier fehlen allerdings noch wichtige Inhalte. Beispielsweise ist die Schätzung zu einmaligen und kontinuierlichen Kosten noch undurchsichtig. Dafür wird die Rolle „CISO Bund“ etabliert, welche sich zentral mit der Sicherheit des Bundes auseinandersetzen soll.

Klar ist außerdem, dass der Begriff UBI (Unternehmen im besonderen öffentlichen Interesse) der Vergangenheit angehören soll. Die Bestimmungen dazu werden jedoch inhaltlich im Umsetzungsgesetz weiter existieren. Klarer werden außerdem die von den Unternehmen und Einrichtungen zu erfüllenden Anforderungen, welche in einem dezidierten Katalog gesammelt werden. Ein Handlungsdruck wird vorerst auf Seiten des BMI-liegen, das mit der deutschen Überführung zum Stichtag wahrscheinlich alle Hände voll zu tun haben wird. Die betroffenen Unternehmen und Einrichtungen müssen die Umsetzungsnachweise anschließend bis 2026 erbringen.

17. Mai 202317. Mai 2023News

Der Windows-Patch, der die Neuinstallation verhindert – auch von Ihrem Notfall-USB-Stick?

Im letzten Digest ging es um viele Aspekte des Patchens. Nun wurde ein Patch veröffentlicht, der in Einzelfällen auch extreme Auswirkungen haben kann – er verhindert Neuinstallationen auf dem Gerät.

Aber von vorn: Im Herbst 2022 tauchte das BlackLotus-Rootkit auf, das sich unbemerkt in das UEFI einschleichen kann (ganz ohne die oben beschriebenen Schlüssel). Martin Smolár von ESET hat das Rootkit tiefer analysiert und dabei neben bekannten Exploits für bekannte Lücken auch einen neuen Weg gefunden, um Windows Secure Boot zu umgehen (CVE-2023-24932). Dafür hat Microsoft jetzt einen Patch vorbereitet, der allerdings bei vollständiger Anwendung bestehende Boot-Medien ausschließt – und damit auch Installationsmedien und Notfall-Bootsticks, die man vorsorglich vorbereitet hat.

Das Risiko ist Microsoft bekannt, daher bringt das Update erst einmal nur alles in Stellung, und die Rekonfiguration des UEFI im System durch Einspielen einer Revocation List muss vor 2024 händisch angestoßen werden. Das gibt allen ausreichend Zeit, die Notfall-Bootsticks durchzugehen. Aber nicht zu lange warten: Im Q1 2024 soll die Änderung automatisch eingespielt werden.

Meldung von ESET: https://www.eset.com/at/about/presse/pressemitteilungen/pressemitteilungen/erstmals-umgeht-bootkit-das-uefi-secure-boot-von-windows/
Umfangreiche Anleitung von Microsoft zum Einspielen und den Nebenbedingungen: https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d

13. April 202313. April 2023News

Unser Schwachstellenreport: Was wurde besser? Was nicht?

Letzte Woche haben wir unseren jährlichen Schwachstellenreport veröffentlicht –erstmals nicht nur basierend auf den Prüfergebnissen unserer Pentester, sondern auch mit den wichtigsten Erkenntnissen aus unseren Forensik- und Incident-Response-Einsätzen. Darunter finden sich auch unsere Top-5-Maßnahmen zur Prävention, die die Auswirkungen reduziert oder gar den Vorfall selbst vermieden hätten. Mit dabei sind, passend zum Monatsthema Patchmanagement: „Zeitnahes Patchen exponierter Dienste und Systeme“ – aber auch manipulationsgesicherte Back-ups, Mehrfaktor-Authentisierung, bessere Zugriffskontrolle für Admin-Systeme und bessere Detektionsverfahren.

Bei unseren Penetrationstests, egal ob extern über das Internet oder nach dem Assume-Breach-Gedanken von einem internen Startpunkt aus, identifizieren wir auch regelmäßig Systeme mit bekannten Sicherheitslücken (und fehlenden Patches).

Die gute Nachricht im Jahresvergleich ist, dass wir bei externen Penetrationstests aus der Perspektive eines unauthentifizierten Angreifers aus dem Internet immer weniger kritische Lücken finden. Der Perimeter wird also immer besser geschützt. Das wissen leider auch die Angreifer und versuchen daher, möglichst von innen heraus zu agieren (z. B. VPN-Einwahl per Phishing erbeuten, Malware auf einem Client im internen Netz ausführen lassen). Unsere internen Penetrationstests, die ebenfalls von dieser Position starten, zeigen im Jahresvergleich einen kontinuierlich hohen Kritikalitätsvektor. Tatsächlich endet kaum ein interner Penetrationstest, ohne dass administrative Konten oder gar die gesamte Windows-Domäne übernommen werden konnten.

Noch mehr Auswertungen und Trends finden Sie im HiSolutions-Schwachstellenreport 2023: https://www.hisolutions.com/detail/schwachstellenreport-2023

13. April 202313. April 2023News

Cropocalypse: Wenn Wegschneiden nicht Wegschneiden ist.

Direkt nach Redaktionsschluss unseres März-Newsletters wurde eine spannende Sicherheitslücke in zwei verschiedenen Bildbearbeitungstools identifiziert: Wenn man ein Bild zugeschnitten und dieses Bild als PNG gespeichert hatte (z. B. um vertrauliche Details zu entfernen), enthielt die Datei teilweise noch die nicht mehr sichtbaren Bildbereiche (und wenn man Pech hatte, auch das vertrauliche Detail), so dass diese mit entsprechenden Tools wieder sichtbar gemacht werden konnten. Betroffen waren das Bildverarbeitungstool für Google-Pixel-Smartphones sowie das unter Windows 11 „Snipping Tool“ bzw. unter Windows 10 „Ausschneiden und skizzieren“ genannte Screenshot-Tool (das klassische „Snipping Tool“ von Windows 10 war nicht betroffen).

Da zwei komplett verschiedene Programme den gleichen Fehler aufwiesen, haben wir in unserem Labor einen Aufbau erstellt, um weitere betroffene Programme erkennen zu können. Dazu haben wir auch das Tool der ursprünglichen Entdecker der Lücke, Simon Aarons und David Buchanan, für die Windows 11/10-Tools angepasst. Zudem haben wir weitere Tools, die unsere Kunden für die Screenshot-Erstellung verwenden, auf Auffälligkeiten geprüft – und glücklicherweise keine weiteren betroffenen Tools gefunden. Falls Ihr favorisiertes Screenshot-Tool nicht dabei ist, schicken Sie uns gern eine Mail einschließlich Benennung der Softwarequelle und ggf. mit einem zugeschnittenen PNG.

Fehlt noch die Referenz zum Monatsthema Patchmanagement – diesmal nicht als Herausforderung beim sicheren Betrieb, sondern in der Softwareentwicklung. Eine Änderung in der Android-API fand die Entwicklerin Iliana Etaoin als mögliche Erklärung für den Fehler in der Google-Pixel-App. Seit Android 10 muss man den Parameter „t“ dem Befehl zum Öffnen der Datei mitgeben, damit ungenutzter Speicher nach dem Schreiben freigegeben wird. Davor war das auch ohne zusätzlichen Parameter der Fall. Möglicherweise wurden also die Änderung der Funktionsweise des Befehls und die sich daraus ergebenden Seiteneffekte nicht berücksichtigt.

„Acropalypse“ NOW!

Introducing acropalypse: a serious privacy vulnerability in the Google Pixel's inbuilt screenshot editing tool, Markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) March 17, 2023

https://iliana.fyi/blog/acropalypse-now/

13. April 202313. April 2023News

Reddit-Ausfall: Nicht nur Systeme, sondern auch die Menschen aktuell halten

In der pointierten Kurzform klingen die Ursachen für den jüngsten Ausfall der Plattform „Reddit“ wie der Albtraum jedes Betreibers von historisch gewachsenen Systemlandschaften: Die Routing-Regeln, die der Ursprung für einen Ausfall waren, wurden vor sehr langer Zeit geschrieben – und jeder aus dem ursprünglichen Team war inzwischen entweder in einer anderen Rolle im Unternehmen oder ganz woanders unterwegs.

Für mehr Details empfiehlt sich der sehr lange, aber auch schön zu lesende Post des Reddit-Engineering-Teams. Er schildert sehr anschaulich das Auf und Ab zwischen gewählten Lösungsansätzen und dann plötzlich querschlagenden Komplikationen, für die wieder neue Lösungen gesucht werden müssen. Auch die schwierige Entscheidung zwischen dem Weiterdebuggen im laufenden Restbetrieb und dem aktiven Abschalten zum Einspielen der Back-ups ist ein gutes Beispiel für die Entscheidungen in einer Krise, wie sie unsere Krisencoaches auch bei unseren Kunden begleiten.

Neben dem Problem, dass es für das ursächliche Teilsystem keine Experten mehr gab und dieses ganz anders verwaltet wurde als die neueren Teile, so dass sich die Mitarbeiter erst tiefer einarbeiten mussten, war auch ein weiteres organisatorisches Problem, dass die Wiederherstellung aus dem Back-up in der Form nicht geübt worden war. Damit fehlten Erfahrungswerte für die Dauer der Wiederherstellung, und man liest aus dem Beitrag auch heraus, dass dieser Lösungsweg aus Furcht vor Fehlern anfangs vermieden werden sollte.

Aber auch unser Monatsthema Patchmanagement kommt in dem Bericht nicht zu kurz: Die Back-up-Wiederherstellungsskripte wurden nicht an die Änderungen im produktiven Cluster angepasst. Daher passten sie nicht zu architektonischen Änderungen des Reddit-Teams, enthielten aber auch Kommandos für eine inzwischen End-of-Life-Version von Kubernetes. Der ursächliche Fehler mit den „Route Reflectors“ basierte auf einer Umbenennung, die bereits mit Kubernetes 1.20 im Jahr 2020 eingeführt wurde. In den folgenden Versionen waren dann noch übergangsweise die alten Bezeichner gültig, bis sie in der beim Vorfall installierten Version 1.24 ganz entfernt wurden.

You Broke Reddit: The Pi-Day Outage
by u/grumpimusprime in RedditEng

13. April 202313. April 2023News

Explodierende USB-Sticks

In fast jeder Sensibilisierungsschulung wird auf die Risiken von gefundenen oder zugesendeten USB-Sticks hingewiesen. Dabei sind aber meist Risiken für die IT-Systeme gemeint, in die der USB-Stick dann eingesteckt wird. Die Beispiele reichen vom einfachen Speicher-USB-Stick, auf dem eine Malware liegt und die vom Nutzer aus Neugier per Hand gestartet wird, über automatisierte Tastaturen wie den „Rubber Ducky“ bis hin zu USB-Geräten, die das Gerät mit Stromschlägen physisch beschädigen sollen (z. B. USBKill).

In Ecuador haben fünf Journalisten eine noch drastischere Version per Brief zugeschickt bekommen. Die Geräte in Form von handelsüblichen USB-Sticks sollten nach dem Einstecken explodieren. In einem Fall kam es tatsächlich zu einer Explosion des enthaltenen Sprengstoffes, und der Journalist Lenin Artieda wurde dabei verletzt. In den anderen vier Fällen konnten die Briefe rechtzeitig als Briefbombe identifiziert werden.

https://arstechnica.com/gadgets/2023/03/journalist-plugs-in-unknown-usb-drive-mailed-to-him-it-exploded-in-his-face/

23. März 202323. März 2023News

Vertrauen gebrochen? TPMs geben ihre Geheimnisse preis

Das Trusted Plattform Module (TPM) soll den Vertrauensanker im Rechner bilden und kann beispielsweise die benötigten Schlüssel für die Festplattenverschlüsselung bereithalten. Genau bei dieser Aufgabe haben sie gerade etwas an Vertrauen verloren, da eine Lücke in der Referenzimplementierung zu einem Auslesen oder Verändern von geschützten Daten führen kann.

Je nachdem, wie sehr die Hersteller von der Referenzimplementierung abgewichen sind, so unterschiedlich fallen die konkreten Auswirkungen aus. Die Voraussetzung für den Angriff haben sie aber alle gemein: Der Zugriff klappt nur aus einem bereits laufenden System heraus mit einem Nutzerkonto, das entsprechenden Zugang zur betroffenen TPM-Funktion „CryptParameterDecryption“ hat. Die Lücke ist also nicht geeignet, um einem ausgeschaltetem Laptop den Bitlocker-Key zu entlocken. Aber wie „Bleeping Computer“ passend anmerkte, erfüllt bereits eine Malware auf dem Laptop die nötigen Bedingungen, um möglicherweise an vertrauliche Informationen aus dem TPM zu kommen.

https://trustedcomputinggroup.org/wp-content/uploads/TCGVRT0007-Advisory-FINAL.pdf
https://www.bleepingcomputer.com/news/security/new-tpm-20-flaws-could-let-hackers-steal-cryptographic-keys/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1017
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1018

23. März 2023News

Wenn die KI mondsüchtig wird und Gespenster sieht

Eine spannende Diskussion wird gerade über die Zoom-Funktion in Samsung-Handys geführt. Mit der Handykamera gelingen nämlich seit einer Weile überraschend gute Bilder – besonders spektakulär sind dabei Bilder vom Mond. Vergrößert man die Bilder, lassen sich viele Details der Mondoberfläche erkennen. Die Diskussion entspann sich jetzt daran, ob das alles durch Verbesserungen an der Hardware und schlaue Optimierungsalgorithmen realisiert wurde, oder ob die Algorithmen es sich nicht etwas einfach machen und entsprechende Aufnahmen vom Mond passend einfügen. Wie immer, wenn es um die Vorzüge und Nachteile von IT-Marken geht, wird die Diskussion mit vehementem Eifer ausgetragen.

Vor kurzem hat der Reddituser „ibreakphotos“ die Diskussion mit einem Experiment noch einmal bereichert. Er hat ein vorhandenes Foto vom Mond genommen, es verpixelt, mit einem Weichzeichner versehen und anschließend erneut fotografiert. Das so entstandene Foto ist nicht perfekt, enthält aber Informationen, die de facto in der Vorlage nicht (mehr) enthalten waren. Die KI hatte bei ihrer Bildoptimierung also vermutlich zumindest eine korrekte Mond-Textur im Hinterkopf bei der Bildoptimierung.

Benchmark-relevante Funktionen zu schönen hat eine sehr lange Historie. Vielleicht erinnern Sie sich an die Grafikkartenhersteller Anfang der 2000er, die Spiele-Benchmarks erkannt und anders ausgeführt haben – oder an neuere Fälle bei Herstellern von Mobiltelefonchips und Fernsehern in den letzten Jahren.

Spiele und Mond-Bilder – wo ist da der Bezug zur Büro-IT? Dafür gehen wir auch wieder an den Karteikasten mit historischen News: Vor genau 10 Jahre machte eine vermeintlich schlaue Bildoptimierung in Xerox-Scankopierern Furore, da sie gelegentlich Zahlen vertauschte. Alles begann mit einer Bauzeichnung, in der die Quadratmeterangaben vertauscht waren. David Kriesel deckte damals auf, dass das Problem auch in vielen anderen Fällen auftrat, z. B. bei Tabellen mit Zahlen.

Ursprünglicher Reddit-Post zur Samsung-Kamera: https://www.reddit.com/r/Android/comments/11nzrb0/samsung_space_zoom_moon_shots_are_fake_and_here/

Ergänzung mit weiteren Versuchen: https://www.reddit.com/r/Android/comments/11p7rqy/update_to_the_samsung_space_zoom_moon_shots_are/

Andere Fälle mit geschönten Benchmarks:

https://www.theregister.com/2003/05/27/ati_admits_it_optimised_drivers/

https://www.anandtech.com/show/15703/mobile-benchmark-cheating-mediatek

https://entertainment.slashdot.org/story/22/06/15/0615211/samsung-caught-cheating-in-tv-benchmarks

10 Jahre alter Xerox-Fall: https://www.dkriesel.com/blog/2013/0802_xerox-workcentres_are_switching_written_numbers_when_scanning

23. März 2023News

Wir nehmen RTF: Da gibt es keine Makros – dafür aber einen Exploit

Das Rich Text Format (RTF) wurde lange als plattformübergreifendes Austauschformat genutzt – auch wenn das Format genauso wie das Word-Format von Microsoft spezifiziert wurde. RTF-Dokumente können aber von Haus aus keine Makros enthalten, und es gibt neben den Microsoft-Produkten eine Reihe weiterer Tools auf verschiedenen Betriebssystemen, die damit umgehen können. Ganz Mutige lesen das RTF-Dokument direkt im Texteditor und denken sich das Layout einfach dazu.

Das klingt doch nach einer tollen Ablösung für den Mailversand von Office-Dokumenten mit potenziell verseuchten Makros. Das Format wird allerdings seit 2008 nicht mehr gepflegt. Noch viel entscheidender: Vor einem Monat wurde eine Lücke in Word bekannt, mit der über ein präpariertes RTF-Dokument beliebiger Code ausgeführt werden kann. Microsoft hat die Lücke mit den Februar-Patches bereits behoben. In seinem Bericht hat Joshua J. Drake, der Finder der Lücke, aber auch schon einen Proof-of-Concept-Exploit veröffentlicht.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md