Kategorie: News

News

Less Trustworthy Encryption: LTE-Telefonate abhörbar

Durch VoLTE werden Telefonate innerhalb des LTE-Standards realisiert. Allerdings wurden hier in einigen verbreiteten Implementationen kryptografische Schlüssel wiederverwendet, sodass ein Angreifer, der ein geeignet langes Telefonat mit dem Opfer führen konnte, entsprechend lange frühere Telefonate desselben Opfers entschlüsseln konnte. Die zugehörige Forschung der Ruhr-Uni Bochum wurde nach umfangreichsten Koordinierungsaktionen mit den großen Mobilfunk-Betreibern nun auf der USENIX vorgestellt.

https://www.usenix.org/conference/usenixsecurity20/presentation/rupprecht

News

Wenn der Stiefel aber nun ein Loch hat: UnSecure Boot im Bootloader Grub

Secure Boot-Funktionen dienen als Vertrauensanker, um von vertrauenswürdiger Hardware ausgehend die Authentizität und Integrität zumindest von Kernfunktionen der Software sicherzustellen. Wenn das Booten von signiertem Programmcode das Einklinken von Angreifern nun nicht lückenlos verhindert, öffnet dies eine Vielzahl von Angriffsvektoren. Entsprechende Updates wurden für alle gängigen Distributionen zur Verfügung gestellt.

https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot

BootHole bricht Secure Boot
News

Lesetipps August 2020

DEFCON Is Cancelled – Still Hackers Gonna Hack

2020 ist zum ersten Mal in der Geschichte der legendären Hackerkonferenz der Running Gag „DEFCON fällt aus“ beinahe wahr geworden: Unter dem Titel „Safe Mode“ fand auch die DEFCON dieses Jahr nur virtuell statt. Neben Vorträgen zum Hacking von Lichtanlagen im Straßenverkehr und Geldautomaten erfreute sich insbesondere der Vortrag „Hacking the Hybrid Cloud“ von Sean Metcalf großer Beliebtheit. Oder mit den Worten des Vortragenden gesprochen: „How bad can this get?“ – „Don’t want all my eggs in one basket… So now eggs are in all baskets.“

Why, oh, why, PyPI?

Fipptehler treten auf, binsedonsere dort, wo Menschen Dinge über Tostatüren einbegen können. Das Potenzial von Supply-Chain-Angriffen via Benutzerfehleingaben hat der Sicherheitsforscher William Bengtson genauer betrachtet und gezielt knapp falsch benannte Pakete wie „pythonjsonlogger“ erstellt, die irrtümlich statt des korrekten „python-json-logger“ installiert werden sollen. Bösartige Pakete könnten an dieser Stelle Schadcode einschleusen und z. B. Zugangsdaten abgreifen. Details und Geschichten, die er mit seinem Engagement für die Python-Community erlebt hat, finden Sie unter:

https://medium.com/@williambengtson/python-typosquatting-for-fun-not-profit-99869579c35d

News

Ich bin wieder hier: Emotet is back in town

Nach den spektakulären Sicherheitsvorfällen des Heise-Verlags und des Berliner Kammergerichts war es die letzten Monate etwas ruhiger um Emotet. Doch wieder einmal war es die Ruhe vor dem Sturm, der sich nun mit berühmt-berüchtigten Klassikern wie Office-Anhang und Download-Link auf Office-Dokumente zurückmeldet. Traditionell (und nun wieder verstärkt) ist also Vorsicht mit Makros insbesondere (aber nicht nur) aus unaufgefordert zugesendeten Office-Dokumenten geboten.

https://www.heise.de/news/Emotet-Erste-Angriffswelle-nach-fuenfmonatiger-Pause-4847070.html

News

Jack the Ripple: IoT mit kritischen Sicherheitslücken

In einer weit verbreiteten Implementierung des TCP/IP-Stacks wurden 19, unter dem Namen Ripple20 zusammengefasste, Sicherheitslücken gefunden, teilweise mit der Höchstwertung von 10 aus 10 Punkten. Der Code wurde an Gerätehersteller vermarktet und von diesen in unterschiedlichsten Produkten verwendet. Daher muss auch das Update von jenen Geräteherstellern bereitgestellt werden. Da die Implementierung für Embedded-Geräte besonders populär ist, können neben Haushaltsgeräten auch medizinische Geräte und Industrieanlagen betroffen sein.

https://www.heise.de/security/meldung/Ripple20-erschuettert-das-Internet-der-Dinge-4786249.html

News

Die Macht der Browser: Kürzere Gültigkeit von HTTPS-Zertifikaten

Chrome, Firefox und Safari akzeptieren künftig nur noch Zertifikate mit Gültigkeit von maximal einem Jahr und einem Monat, also 398 Tagen. Dies gilt für Zertifikate, die ab dem 1. September 2020 ausgestellt werden. Ausgenommen sind Wurzelzertifikate, welche länger gültig sein dürfen.

https://support.apple.com/en-us/HT211025

https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days

https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate_lifetimes.md

News

Shields Up – All Hands to Standardvertragsklauseln

Der Gerichtshof der Europäischen Union (EuGH) hat einer Beschwerde des Datenschutz-Aktivisten Max Schrems gegen Facebook Irland stattgegeben und den Angemessenheitsbeschluss aufgrund des Privacy Shield-Rahmenwerks mit den USA für ungültig erklärt. Hintergrund der Beschwerde ist die Datenweitergabe von Facebook Irland an den Mutterkonzern in den USA. Schrems‘ Beschwerde beinhaltete insbesondere die Datenweitergabe an US-Behörden ohne Wahrung von Betroffenenrechten.
Die einzig verbliebene legale Art und Weise des Datentransfers nach Übersee sind nun also die Standardvertragsklauseln der EU-Kommission, welche von vielen großen Cloudanbietern bereits genutzt werden.

https://www.tagesschau.de/ausland/eugh-datenaustausch-usa-101.html

https://noyb.eu/en/cjeu

News

Da ist der Wurm drin: „Wormable“ CVSS-10-Lücke in Microsoft DNS-Server

Für eine maximal kritische Schwachstelle in sämtlichen Windows-Servern von 2003 bis 2019 hat Microsoft zum Patch Day, zusätzlich zum Fix per Update, auch einen Workaround veröffentlicht, der die Sicherheitslücke für nicht zeitnah patchbare Server schließt. Diese Dramatik beruht auf berechtigten 10 von 10 CVSS-Punkten dank des Potenzials zur Weiterverbreitung zwischen Servern ohne jegliche Benutzerinteraktion („Wurm“).

https://www.heise.de/security/meldung/Patchday-Trojaner-koennte-von-einem-zum-naechsten-Windows-DNS-Server-springen-4844150.html

https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

News

Durchlässige Didaktik: 40 GB Hacker-Trainingsmaterial geleakt

Es ist noch kein Meister vom Himmel gefallen: Eine Gruppe von Sicherheitsforschern von IBM konnte einen umfangreichen Einblick in die Trainingsmaterialen für mutmaßliche staatliche Hacker aus dem Iran gewinnen.

https://www.heise.de/news/Leak-IBM-Forscher-finden-40-GByte-an-Hacker-Trainingsmaterial-4847330.html

https://securityintelligence.com/posts/new-research-exposes-iranian-threat-group-operations

News

Don’t cry for me: REvil erpresst Telecom Argentina

Welche Auswirkung umfangreiche Berechtigungen innerhalb eines Netzwerks (z. B. als Domänenadministrator) in den Händen einer Schadsoftware haben können, erlebt derzeit Telecom Argentina nach einem Ransomware-Befall. Die Ransomware-Forderung stammt von der als REvil (oder Sodinokibi) bekannten Gruppe und zählt mit über 7,5 Millionen US-Dollar zu den höchsten Forderungen dieses Jahres. Methodisch verwendet die REvil-Gruppe populäre Schwachstellen wie „Shitrix“ oder in Pulse Secure VPNs, um über ungepatchte Gateways in Unternehmensnetzwerke einzudringen.

https://www.zdnet.com/article/ransomware-gang-demands-7-5-million-from-argentinian-isp/