Skip to content

Kommentare zu Webcam-Spannern, EMET 4.0 und einer neuen 0-Day-Schwachstelle

Schadsoftware, über die die Opfer über ihre Webcam ausgespäht werden können, gibt es schon lange. Inzwischen gibt es auch einen Markt für die damit gemachten Aufnahmen. Microsoft hat das EMET 4.0 veröffentlicht, Nutzer der japanischen Textverarbeitung Ichitaro können das gleich mal mit einem aktuellen 0-Day-Exploit testen. Aber der Reihe nach:

Webcam-Spanner

BBC Radio Five Live berichtet über Webcam-Hacker - Cyberkriminelle, die ihre Opfer über deren eigene Webcam beobachten. Die dabei gemachten Fotos und Videos werden dann auf Websites getauscht oder auch verkauft. Der Zugriff auf die Webcam eines weiblichen Opfers soll 1$ kosten.

Funktionen zum Zugriff auf die Webcam gibt es in Remote Administration Toolkits schon seit langen, und auch Angriffe zum Beobachten von Mädchen sind seit längerem bekannt. Im Grunde ist das also nichts Neues. Aber das es sogar einen Markt für die Webcam-Zugriffe gibt hat mich doch etwas überrascht. Andererseits: Warum sollte es den nicht geben? Der Spanner von Heute schleicht nicht mehr um die Häuser, sondern sitzt zu Hause vor dem Bildschirm. Oh weh - wenn das unser Innenminister mit bekommt, will er bestimmt gleich wieder die Polizei auf Streife durchs Internet schicken. Das ist für die armen Politiker ja schließlich Neuland, da muss man sich ja mal umsehen!

Wer keine Schadsoftware auf seinem Rechner hat, hat auch vor dem Webcam-Spannern nichts zu befürchten. Es sei denn, er nutzt Googles Chrome - da reicht(e) ein Clickjacking-Angriffe aus, um dem Angreifern den Zugriff auf die Webcam zu ermöglichen.

Die Möglichkeit, per Clickjacking den Flash-Player so zu konfigurieren, dass er dem Angreifer den Zugriff auf die Webcam erlaubt ist eigentlich ein alter Hut. Das war einer der ersten Proof-of-Concepts, und Adobe hat die entsprechende Schwachstelle längst behoben. Und das sogar zwei Mal: Erst 2008 nach der Entdeckung von Clickjacking, dann 2011, als eine weitere entsprechende Schwachstelle entdeckt wurde. Eigentlich ist das also ein längst behobenes Problem. Sollte man jedenfalls denken.

Falsch gedacht: Die Schwachstelle existiert(e) immer noch, und zwar in Googles Chrome. Existiert(e), weil Google die Schwachstelle inzwischen behoben hat. Hoffentlich, denn das dachte Adobe 2008 ja auch schon mal. Mich interessiert in diesem Fall etwas anderes: 2013 gibt es eine 2011 von Adobe bereits behobene Flash-Player-Schwachstelle im in Google Chrome integrierten Flash Player immer noch? Wie kommt das denn? Eigentlich war es bisher üblich, dass Schwachstellen im Flash Player in Chrome eher als im Stand-Alone-Player für die anderen Browser behoben wurde. Und diese Schwachstelle wurde dabei übersehen? Wer hat denn da geschlampt?

Als "Defense in Depth" kann man die Webcam zukleben oder abdecken, wenn man sie nicht benutzt. Es gibt (oder gab zumindest) sogar eine Kamera, die sich bei Bedarf selbst die Augen, pardon die Linse, zuhalten kann. So weit, so gut. Nicht abdecken kann man aber die ganzen Überwachungskameras, die inzwischen Hinz und Kunz in ihren Geschäften und Innenpolitiker in unserer Umwelt aufhängen als ginge die Welt unter, wenn sie nicht von Überwachungskameras gehalten wird. Auch diese Kameras sind ein potentielles Ziel für Hacker - Schwachstellen enthalten sie genug. Und auch ohne Schwachstellen sind genug offen zugänglich ans Internet angeschlossen.

EMET 4.0 veröffentlicht

Microsoft hat Version 4.0 des Enhanced Mitigation Experience Toolkit (EMET) veröffentlicht. Und das hat es in sich: Ein verbessertes Benutzerinterface samt Konfigurations-Wizard erlaubt es jeden auch ohne spezielle Kenntnisse die wichtigsten "Mitigations" zum Erschweren von Angriffen zu aktivieren. Viele der dieses Jahr ja häufig auftretenden 0-Day-Exploits ließen sich damit aus dem Konzept bringen, so dass der Angriff ohne zusätzliche Anpassungen fehl schlägt.

Eine angesichts der in den vergangenen Jahren häufiger erfolgten Angriffe auf Zertifizierungsstellen bzw. deren selbständiges Versagen dringend notwendige Verbesserung betrifft die Prüfung der SSL/TLS-Zertifikate: Sie wurde um das Zertifikat- und Public-Key-Pinning erweitert. Über eine Whitelist wird festgelegt, welche CAs Zertifikate für bestimmte Domains ausstellen dürfen. Ein Zertifikat von einer anderen CA führt dann zu einer Fehlermeldung. Da die meisten Serverbetreiber ihre CA nur selten wechseln, ist so eine Änderung meist der Hinweis auf einen Man-in-the-Middle-Angriff.

Generell halte ich das EMET für ein extrem nützliches Tool, daher meine Empfehlung: Installieren und vom Wizard konfigurieren lassen, um den Cyberkriminellen den Spass zu verderben!

Eine japanische 0-Day-Schwachstelle

Nur fürs Protokoll, da sehr wahrscheinlich keiner der Betroffenen dies hier lesen wird: Es gibt schon wieder eine 0-Day-Schwachstelle, diesmal mal wieder in der japanischen Textverarbeitung Ichitaro: CVE-2013-3644. Und die wird für gezielte Angriffe zur Verbreitung von zum Beispiel Backdoor-Schädlingen ausgenutzt. Die Angriffe beschränken sich auf wenige Ziele in Japan. Letzteres ist kein Wunder, die Verbreitung dieser Textverarbeitung außerhalb von Japan dürfte nicht besonders hoch sein. Auf jeden Fall haben wir damit die 14. 0-Day-Schwachstelle des Jahres, die die Ausführung beliebigen Codes auf Client-Rechnern erlaubt. Und die 14. 0-Day-Schwachstelle des Jahres, die (zumindest anfangs) im Rahmen gezielter Angriffe zum Einsatz kommt. "Staatlich gesponserter" Angriffe, wie die Antivirenhersteller das immer so gerne umschreiben. Einen Seitenhieb zu PRISM und Co. spare ich mir an dieser Stelle. Obwohl: Kann es sein, dass die Opfer zu wenig kommuniziert haben und die Schnüffler deshalb mal vor Ort nachsehen wollten, was da los ist?

Carsten Eilers

Trackbacks