Kategorie: News

Heartbleed, Hafnium, xz und viele Weitere: Alle paar Monde bescheren uns Malware-Schmieden neue Exploits und Werkzeuge, die uns das Leben schwerer machen in unterschiedlichen Variationen und Größen. Sicherheitsforscher von Aqua Security fanden eine auffällige Linux-Malware namens perfctl, die wohl diverse Lücken ausnutzt, um weitreichend Systeme zu kompromittieren.

Spannend sind die vielseitig genutzten TTPs (Tactics, Techniques, Procedures), die in der Laborumgebung beobachtet wurden. Die konkrete Sicherheitslücke ist allerdings bereits seit einem Jahr behoben; ein weitreichender Fallout blieb bisher aus.

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

Der Cloud-Anbieter Okta hilft bei der Verwaltung von Zugängen zu Anwendungen und bietet eine Single-Sign-On-Lösung über Produktgrenzen hinweg an. Ende September meldete der Anbieter, eine „Sign-On Policy Bypass“-Lücke gefunden und behoben zu haben. Standen jetzt alle von Okta verwalteten Türen offen?

Für die genaue Bewertung muss man sich noch einmal den Unterschied zwischen Authentisieren und Autorisieren in Erinnerung rufen. Oktas Lösung kann beide Schritte übernehmen: Sicherstellen, dass der zugreifende User wirklich der ist, für den er sich ausgibt, und dann im nächsten Schritt entscheiden, ob dieser User den angefragten Dienst auch nutzen darf. Bei der vorliegenden Lücke konnte der zweite Schritt umgangen werden – es konnten also unter sehr bestimmten Voraussetzungen Nutzer in der Organisation auf Dienste und Inhalte zugreifen, für die sie nicht berechtigt waren. Das ist auch nicht gut, aber das Risiko war doch kleiner, als wenn jeder aus dem Internet Zugriff gehabt hätte.

https://trust.okta.com/security-advisories/okta-classic-application-sign-on-policy-bypass-2024/

Die meisten unserer „Seitenkanäle des Monats“ bezogen sich auf Forschungsarbeiten. Dort wurde zwar in praktischen Versuchen gezeigt, dass sie tatsächlich funktionieren, aber es blieb meistens unklar, ob es auch reale Vorfälle gab. Diesen Monat haben möchten wir einen realen Fall aus einem Bericht der Incident-Response-Kollegen von ESET vorstellen, in dem Daten von air-gapped Systemen abgeflossen sind.

Genutzt wurden dafür USB-Sticks. Das klingt nicht ganz so spektakulär wie Töne von flackernden Bildschirmen oder Drohnen mit halbdurchlässigen Spiegeln, aber es hat offenbar funktioniert.

Die Angreifer haben in der Organisation initial Rechner mit Internetzugang unter ihre Kontrolle gebracht. Wenn in diese dann ein USB-Stick eingesteckt wurde, haben sie den ersten Ordner darauf umbenannt, versteckt und dafür eine EXE-Datei mit dem Namen des Ordners und einem passenden Icon abgelegt. Sie ahnen schon, wie es weiterging: Wurde der USB-Stick dann später in einen anderen Rechner, z. B. ein vom Netz isoliertes System gesteckt, und der Nutzer wollte den Ordner öffnen, startete er stattdessen die Malware. Auch der Informationsaustausch zwischen dem kompromittierten System und dem Command-&-Control-Server lief dann über versteckte Dateien auf dem USB-Stick und das System mit Internetzugang.

Liest man den Artikel, kommen einem viele der Angriffsschritte bekannt vor. Es ist vor allem die Orchestrierung der vielen kleinen Schritte, die in Summe den Angriff so erfolgreich machte. Werfen Sie doch mal selbst einen Blick in den Beitrag und überlegen dabei, welche Ihrer Gegenmaßnahmen den Angriff entdeckt hätte.

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/

Die Kollegen von watchTowr Labs haben in einem amüsant zu lesenden Artikel ihre Erfahrungen aufgeschrieben, wie sie versuchten, eine quasi nicht ausnutzbare Lücke auszunutzen, und dann über mehrere Schritte am Ende gültige TLS-Zertifikate für fremde Domains signiert bekamen. Die dabei ausgenutzten Lücken klingen im Einzelnen nicht sonderlich spektakulär. Beispielsweise ist da eine Command-Line-Injection, die aber auf WHOIS-Daten beruht – die wiederum nur schwer zu manipulieren sind. Oder ein früher genutzter Domainname eines Domainverwalters, der inzwischen für jeden zu registrieren war. Insgesamt ist es aber eine sehr plastische Beschreibung der verschlungenen Wege, die eine erfolgreiche Ausnutzung nehmen kann.

• https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/

Kann man Bilder hören? Der Forscher Mordechai Guri kann es – und zeigte, wie er durch die Ausgabe von geschickt gewählten Pixelmustern gezielt Töne mit einem Display erzeugte. Im Test konnte er die Töne in bis zu 2,5m Entfernung aufzeichnen. Dafür nutzte er die leisen Töne aus, die die elektronischen Komponenten innerhalb des Displays beim Schalten von sich geben – und verstärkte sie durch geschicktes gleichzeitiges Umschalten vieler Pixel. Nutzen könnte man den Angriff etwa, um Daten aus einem vorher kompromittierten System auszuleiten, das nach der Kompromittierung nur noch ohne Netz-Zugang verwendet wird („air gapped“). Die im Test genutzten Pixelmuster sind jedoch sehr auffällig – der Angreifer müsste also einen unbeobachteten Moment ausnutzen oder den Angriff durch subtilere Muster verfeinern.

• https://www.golem.de/news/air-gapped-systeme-malware-nutzt-lcd-pixelmuster-fuer-datenausleitung-per-schall-2409-188883.html

Die Datenrettungsfirma Iron Mountain unterstützt die Musikindustrie dabei, Rohfassungen von Musikaufnahmen zu retten. Interessanterweise gab es in der Branche Anfang dieses Jahrhunderts den Trend weg von Bandaufnahmen hin zu digital auf Festplatten gespeicherten Aufnahmen. Viele Originalfassungen wurden also auf Festplatten archiviert – und jetzt funktioniert jede fünfte davon nicht mehr, so die Beobachtung von Iron Mountain. In der IT werden Festplatten eigentlich nicht als Langzeitarchiv genutzt, aber die günstigen Preise können verführerisch wirken, eine Platte einfach in den Schrank zu legen – etwa die mit der letzten funktionieren Installation einer historischen Workstation, die schon seit 10 Jahren abgelöst werden soll?  

• https://www.tomshardware.com/pc-components/storage/twenty-percent-of-hard-drives-used-for-long-term-music-storage-in-the-90s-have-failed

Das BSI hat in der gerade veröffentlichten technischen Richtlinie TR-03185 beschrieben, wie man in allen Phasen des Lebenszyklus einer Software Sicherheit berücksichtigen kann. Ähnlich wie bei den schon länger existierenden Leitfäden für die Entwicklung von Webanwendungen, teilt sich die Richtlinie in einen Teil mit der Perspektive des Software-Anwenders und einen Teil mit Fokus auf den Software-Produzenten auf. In diesem Fall ist mit Anwender allerdings nicht die tatsächlich nutzende Institution gemeint ist, sondern Hersteller, die auch andere Software in ihre Produkte integrieren oder diese nutzen. Open-Source-Software wurde dabei ausgeklammert, unter anderem wegen der abweichenden Entwickler-Nutzer-Beziehungen.

• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03185/BSI-TR-03185.html
• https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/webanwendungen_node.html

Cloud-Anbieter stellen immer wieder neue Funktionen vor. Da ist es nur verständlich, dass gleichzeitig ältere, weniger genutzte Funktionen deaktiviert werden. Bei Google passiert dies sogar so regelmäßig, dass es eigene Webseiten gibt, die von Google abgekündigte Dienste sammeln.

Jetzt trifft es Googles URL-Shortener, der ab August 2025 die Besucher nicht mehr zu der gewünschten Zielseite leiten wird. Viele Besucher gibt es wohl auch nicht mehr, denn bereits seit sechs Jahren können hier keine neuen Kurzlinks mehr angelegt werden.

Dennoch hat die Ankündigung von Google für Aufregung gesorgt, da der Dienst in seiner Blütezeit sehr beliebt war und auch jetzt noch viele Dokumente, Forenposts und Tickets solche Links enthalten. Jonathan Corbet hat beispielsweise mehr als 19.000 betroffene Nachrichten in den Linux-Kernelmailinglisten gefunden. Viele davon sind vermutlich aktuell nicht relevant. Aber in einigen wird der fragliche Link nötig sein, um Entscheidungen von damals nachzuvollziehen.

Das Problem könnte auch in unternehmensinternen Dokumenten und Tickets vorhanden sein, die zur Dokumentation von Entscheidungen archiviert wurden.

Abkündigung: https://developers.googleblog.com/en/google-url-shortener-links-will-no-longer-be-available/

Diskussion zum Linux-Kernel: https://social.kernel.org/objects/39125e2b-0997-4c90-86f9-b16229bf4b52 

Friedhof der abgekündigten Google-Dienste: https://killedbygoogle.com/

Richtfunk kommt oft bei der Anbindung von entfernten Standorten ohne Tiefbauarbeiten zum Einsatz. Moderne Systeme können dabei die Strahlen so stark bündeln, dass sich hierfür der Begriff „Pencil Beam“ eingebürgert hat. Das hat viele Vorteile für die Übertragung, aus Sicht der Angreifenden aber macht es das Abhören sehr schwer. Gut mithören kann man nur hoch in der Luft, möglichst nah an der Sichtlinie zwischen den Antennen in der Mitte des Strahls. Fliegt man nun eine Drohne in den Strahl, könnte man zwar mithören, würde aber schnell auffallen, da das Signal beim Empfänger gestört würde. Mit MetaFly wurde beim IEEE Symposium on Security and Privacy eine Abhörtechnik vorgeschlagen, bei der eine Art halbdurchlässiger Spiegel aus Metamaterial mit einer Drohne in den Strahl geflogen wird. Der größte Teil des Signals kommt dann weiter beim Empfänger an und nur ein kleiner Teil wird an eine Abhörstation ausgeleitet. Für die Umsetzung dieser recht einfach klingenden Idee waren dann aber viele Detailfragen zu klären, wie zum Beispiel zur Steuerung der Drohne, um den Spiegel dauerhaft in den Strahl zu halten, ohne selbst hineinzufliegen, oder zum Umgang mit Vibrationen am Spiegel. Die Forschenden fanden Antworten und konnten im Experiment den Angriff in einer städtischen Umgebung nachstellen.

Pressemeldung: https://news.rice.edu/news/2024/discovery-highlights-critical-oversight-perceived-security-wireless-networks

Wissenschaftlicher Artikel: https://www.computer.org/csdl/proceedings-article/sp/2024/313000a151/1Ub2491z20w