Stille Post von hinten durch die Brust: Daten-Extraktion via DNS-over-HTTPS

DNS war lange ein beliebtes bzw. gefürchtetes Mittel, um Daten aus sicheren Unternehmensnetzen hinauszuexfiltrieren. Man hat dies heute halbwegs unter Kontrolle, indem Techniken wie Sinkholing und Filterung eingesetzt werden – theoretisch, denn in der Praxis hinken viele Unternehmen hier noch hinterher. Doch die Behebung eines anderen Problems von DNS – fehlende Verschlüsselung – bringt nun die alten Gespenster wieder zurück. Zwar kann durch Techniken wie DNS-over-HTTPS (DoH) die Namensauflösung gesichert bei einem der großen Anbieter geschehen – doch wenn diese dann wieder per DNS bei einem vom Angreifer kontrollierten DNS-Server anfragen, hat der Angreifer nicht nur den Exfiltrationskanal wieder geöffnet, sondern er hat auch noch die perfekte Tarnung dafür. Denn welche Firewall oder welche DLP-Lösung würde schon Böses hinter DNS-Verbindungen zu Google oder Cloudflare vermuten? 
https://sensepost.com/blog/2018/waiting-for-godoh/

Langsam immer toter: SHA-1-Kollisionen werden praktischer

Der Hashalgorithmus SHA-1 gilt schon mindestens seit dem sogenannten „SHAttered-Angriff“ (shattered.io) vor zwei Jahren als derart angeschlagen, dass er nicht mehr verwendet werden sollte. Bisher waren Angriffe allerdings so aufwändig, dass sie kaum in der Reichweite von realen Angreifern waren. Dies hat sich nun geändert: Mit der ersten Chosen-Prefix Kollisionsattacke stehen nun Angriffswerkzeuge bereit, die den weiteren Einsatz von SHA-1 hochgefährlich machen. Denn nun können Signaturen – wenn auch aktuell noch mit Kosten in der Größenordnung von 100.000 USD – über beliebige Daten gefälscht werden.
https://www.zdnet.com/article/sha-1-collision-attacks-are-now-actually-practical-and-a-looming-danger/

Version 2.0 verlangt 1.3 oder 1.2: Neue TLS-Vorgaben des BSI

Das BSI hat Version 2.0 seines Mindeststandards TLS veröffentlicht. Darin werden, zumindest für die Bundesverwaltung, TLS 1.2 und TLS 1.3 als einzige erlaubte Protokollvarianten gesetzt. Forward Secrecy ist nun Pflicht. Die umstrittene Neuentwicklung eTLS – wir berichteten – wird nicht erwähnt, ist somit also nicht statthaft.
Aktualisierung: Inzwischen gilt Version 2.4 der Mindeststandardshttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_4.html

Immer diese Chinesen? Backdoor in Cisco-Switches

Der amerikanische Netzwerkausrüster Cisco hat „versehentlich“ in seinem Nexus 9000-Switch, mit dem in der Cloud „SDN“ (Software Defined Networks“) gebaut werden, hart-codierte SSH-Schlüsselpaare verwendet. So kann jeder, der ein solches Gerät in der Hand hat, den privaten Schlüssel auslesen und sich damit in alle anderen Nexus weltweit einloggen, auf die er per IPv6 Zugriff hat – und zwar als root. Die Interpretation „extreme Fahrlässigkeit“ ist nicht um vieles besser als die der „absichtlichen Backdoor“.
https://www.theregister.co.uk/2019/05/02/cisco_vulnerabilities/

Chias muss nicht mehr: Weiteres Tool für VS-NfD zugelasse

Chiasmus hat Konkurrenz bekommen: Als weiteres erlaubtes Software-Verschlüsselungstool für die Nutzung im Zusammenhang mit VS-NfD/EU-RESTRICTED/NATO-RESTRICTED ist nun Gpg4win bzw. GnuPG für KMail unter Linux freigegeben worden.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2019/Gpg4win-mit-VS-NfD-070519.html

Liste aller zugelassenen VS-NfD-Tools (Hardware und Software):
https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/Liste-zugelassener-Produkte/liste-zugelassener-produkte_node.html

Mühsam stirbt das Eichhörnchen: Microsoft-Baselines ohne erzwungenen Passwortwechsel

Das Sterben des regelmäßigen Passwortwechselns schreitet langsam, aber unaufhaltsam voran. Über Jahre hinweg haben Sicherheitsstandards von den Anwendern verlangt, dass sie ihre Passwörter regelmäßig wechseln. Diese Anforderung wurde immer wieder kontrovers diskutiert. Mittlerweile sind sich die Sicherheitsfachleute weitgehend einig, dass ein regelmäßig erzwungener Passwortwechsel für die Sicherheit eher nachteilig ist.
Nun hat Microsoft ihn aus den Entwürfen für die neuen Security Baselines – technischen Empfehlungen für MS-Produkte, welche in Konfigurationen (GPOs) gegossen sind – für die aktuellen Windows-Produkte (Windows 10 v1903 und Windows Server 2019 v1903) entfernt. Darüber gibt es auch noch einen interessant argumentierenden Vorschlag, das zwanghafte Deaktivieren der built-in Admin- und Guest-Accounts zukünftig wegzulassen.
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

IT-Grundschutzbausteine Loadbalancer, Windows Server 2016, Container unter Openshift

Das IT-Grundschutz-Kompendium des BSI macht anhand von themenspezifischen Bausteinen konkrete Vorgaben und Empfehlungen zur Umsetzung der IT-Grundschutz-Methodik. Es wird durch benutzerdefinierte Bausteine aus der Hand erfahrener Anwender ständig erweitert. Jetzt hat HiSolutions aus der Erfahrung durchgeführter Projekte drei benutzerdefinierte Bausteine zu den Themen „Loadbalancer“, „Windows Server 2016“ und „Container unter Openshift“ erstellt, welche dem BSI und der Community kostenfrei zur Verfügung stehen.

Ganz normaler Patch Tuesday? Schwachstellenschwemme im Mai

Die Anzahl der bekanntwerdenden Schwachstellen nimmt seit Jahren zu. Immer wieder sind auch kritische dabei, und in manchen Monaten kommt mehr zusammen als in anderen. So knüppeldick wie in diesem Mai kam es allerdings lange nicht: Eine „wurmbare“, sprich potenziell im Schneeballeffekt millionenfach ausnutzbare Lücke in RDP (CVE-2019–0708) bei Windows 7 und Server 2008/R2 plus 22 weitere kritische Lücken bei Microsoft, ein Bug in WhatsApp, über den schon mit einem einzigen bösartigen Anruf das i- oder Android-Phone unbemerkt übernommen werden kann (CVE-2019–3568) sowie allein über 80 Schwachstellen bei Adobe (Flash, Acrobat/Reader). Wegen des RDP-Problems patchte Microsoft auch noch ein weiteres „letztes“ Mal ausgelaufene Windows-Versionen wie XP. Interessant an der Lücke ist auch, dass sie vom britischen National Cyber Security Centre (NCSC) gemeldet wurde – dessen Mutter, der technische Geheimdienst GCHQ, sich durchaus vorbehält, Schwachstellen nicht zu veröffentlichen, sondern für das eigene Arsenal aufzusparen. Mögliche Gründe für die Veröffentlichung könnten ein vorausgegangener Verlust der Kontrolle über die Schwachstelle sein, die Erkenntnis, dass andere Geheimdienste diese ebenfalls kennen, oder auch späte Einsicht in die Vorgänge um WannaCry vor zwei Jahren, als GCHQ und NSA in die Kritik kamen, im Interesse ihrer Angriffswaffen Nutzer nicht genügend zu schützen. 

https://medium.com/asecuritysite-when-bob-met-alice/just-another-patch-tuesday-ncsc-stops-another-wannacry-adobe-hits-83-and-whatsapp-hits-zero-96b49cf61d08?sk=ef2f8a0772bd2df974a373dcb95dcd28