Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack
in the Box".
Den Anfang machten die Vorträge von den Konferenzen in den Jahren
2010/2011,
2011,
2012,
im
März,
April
und
August 2013.
Dem Vortrag von Lucas Apa und Carlos Mario Penagos auf der
Black Hat USA 2013 über Schwachstellen in und Angriffen auf die
drahtlose Kommunikation der Industriesteuerungen habe ich
danngleichfünfFolgengewidmet,
da ich auf diese Themen später noch mal zurückkommen
werde.
Danach ging es dann um den letzten Vortrag zum Thema auf der
Black Hat USA 2013
und dem einzigen Vortrag von der
Black Hat Asia 2014.
Und schon kommen wir zur nächsten Konferenz und damit langsam auch zum
Ende dieser Reihe, die doch etwas umfangreicher geworden ist als eigentlich
geplant. Aber mit der Sicherheit von SCADA-Systemen und
Industriesteuerungen ist es leider nicht so besonders gut bestellt.
SSL und sein Nachfolger TLS dienen dazu, Daten sicher zwischen zwei
Rechnern zu übertragen. Die häufigsten Einsatzzwecke sind der
sicher Zugriff auf Websites über HTTPS und die sichere
Übertragung von E-Mails zwischen Client und Server.
Für das Protokoll SSLv3 wurde nun ein Poodle genannter neuer Angriff
vorgestellt. Eigentlich wird SSLv3 längst nicht mehr benötigt,
kann aber als Fallback-Lösung genutzt werden. Bei einem
Poodle-Angriff provoziert der Angreifer (der Zugriff auf alle Daten der
Verbindung haben muss) erst den Rückfall auf SSLv3 und kann danach
aufgrund einer Schwachstelle in SSLv3 Teile der verschlüsselten Daten,
zum Beispiel Session-Cookies, entschlüsseln.
SSLv3 ist 18 Jahre alt und schon öfter durch Schwachstellen
aufgefallen. Spätestens jetzt sollte jeder aufhören, es zu
verwenden. Hinweise dazu sowohl für Clients als auch für Server
finden Sie am Ende des Texts.
Der 14. Oktober war Microsofts monatlicher Patchday, und gleichzeitig eine
Art 0-Day-Patchday. Denn es wurden sage und schreibe 6 0-Day-Schwachstellen
behoben:
Je eine Schwachstelle im OLE Package Manager und im Kernel erlauben
die Ausführung beliebigen Codes aus der Ferne und werden bereits
im Rahmen vereinzelter, gezielter Angriffe ausgenutzt. Die Anzahl
dieser 0-Exploits in 2014 ist damit auf
11
gestiegen.
Eine Schwachstelle im Kernel erlaubt eine lokale Privilegieneskalation
und wird ebenfalls bereits im Rahmen von Angriffen ausgenutzt,
ebenso wie eine Schwachstelle im Internet Explorer, die zum Ausbruch
aus der Sandbox genutzt wird.
Für eine Privilegieneskalation im Message Queuing Service wurde
zwar ein Exploit veröffentlicht, bisher haben sich die Angreifer
dafür aber nicht interessiert, ebenso wenig wie für eine
öffentlich gemeldete XSS-Schwachstelle im Microsoft ASP.NET Model
View Controller (MVC).
CVE-2014-4114 ("Sandworm") - Codeausführung über präparierte Office-Dateien
BadUSB klingt erst mal wie eine Anspielung auf BadBIOS, und diesen
"Superschädling" nimmt ja wohl kaum noch jemand ernst. In sofern ist
der Name vielleicht schlecht gewählt. Andererseits ist dieser Name
Programm, denn jedes USB-Gerät kann ein bösartiges USB-Gerät
werden, also "BadUSB". Und angesichts von BadUSB klingt BadBIOS
plötzlich zumindest was den USB-Teil betrifft gar nicht mehr so
unglaublich wie zuvor.
tl;dr: Die Firmware eines handelsüblichen USB-Sticks kann so
manipuliert werden, dass darüber Schadsoftware auf jeden Rechner
installiert wird, an den der Stick angesteckt wird. Das könnte zum
Beispiel ein Wurm zur Verbreitung nutzen. Der bisher veröffentlichte
Code erlaubt aber nur schon seit langen mit spezieller Hardware
mögliche Angriffe mit normalen USB-Sticks durchzuführen. Es
besteht also noch kein Grund zur Panik!
Werbung ist wichtig, auch Angriffe, Schwachstellen und allgemein Gefahren
brauchen Marketing, damit sie bekannt werden. Das kann man gut machen, wie
im Fall von BadUSB (mehr dazu am Donnerstag). Oder schlecht, wie im Fall
eines Mac-Botnets rund um "iWorm". Oder auch pfiffig, wie in
diesem Fall:
Lesen Sie eigentlich das ganze Kleingedruckte, das einem die Websites,
öffentlichen WLAN und was es sonst noch so gibt anzeigen? Die AGB,
Nutzungsbedingungen, "Terms of Service", ...? Nicht? Na, hoffentlich haben
Sie dann nicht schon irgend jemanden
ihr erstgeborenes Kind
versprochen!
Marketing und ein Botnet aus 17.000 Macs. Oder 18.000?
Die ShellShock-Schwachstelle in der Bash wird inzwischen auch für
Angriffe auf NAS-Systeme genutzt. Außerdem wurden Details zu den
beiden von Michal Zalewski entdeckten Schwachstellen veröffentlicht.
Eine davon erlaubt mit ShellShock vergleichbare Angriffe auf Systeme, die
nur gegen die ursprüngliche Schwachstelle gepatcht wurden.
Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am
24. September
veröffentlicht. Am
25. September
wurden die ersten Angriffe über die Schwachstelle entdeckt.
Am
26. September
setzte das Internet Storm Center die Alarmstufe auf Gelb herauf. Am
27. September
wurden weitere Angriffe und eine neue kritische Schwachstelle gemeldet.
Der 28. September war ein Sonntag, da haben wohl alle erst mal eine Pause
gemacht, es gibt lediglich eine
Meldung
von Trend Micro über einen neuen Angriff in China: Bei einer
"financial institution" wurden Systeminformationen ausgespäht.
Am
29. September
nahmen die Angriffe weiter zu, und es wurden weitere angreifbare Systeme
entdeckt. Am 30. September war es mal wieder ruhig.
tl;dr:
"Nebenan"
gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
In diesem Text finden Sie alle Informationen über die Angriffe auf/über
die ShellShock-Schwachstelle im Überblick.
tl;dr: Eine Schwachstelle in der Unix-Shell Bash erlaubt Angreifern
das Ausführen beliebiger Befehle über das Internet. Und das wird
weidlich ausgenutzt.
"Nebenan"
gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
In diesem Text finden Sie alle Informationen zur ursprünglichen
ShellShock-Schwachstelle und den danach entdeckten weiteren Schwachstellen
sowie allen Angriffsvektoren für die ShellShock-Schwachstelle im
Überblick (Vorsicht, dieser Text ist lang, ShellShock hat es in sich).
tl;dr: Eine Schwachstelle in der Unix-Shell Bash erlaubt Angreifern
das Ausführen beliebiger Befehle über das Internet.
"Nebenan"
gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
Über Schwachstelle in der Unix-Shell Bash gibt es nicht nur immer mehr
Angriffe, auch immer mehr Systeme und Programme erweisen sich als
angreifbar.
Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am
24. September
veröffentlicht. Am
25. September
wurden die ersten Angriffe über die Schwachstelle entdeckt.
Am
26. September
setzte das Internet Storm Center die Alarmstufe auf Gelb herauf. Am
27. September
wurden weitere Angriffe und eine neue kritische Schwachstelle gemeldet.
Der 28. September war ein Sonntag, da haben wohl alle erst mal eine Pause
gemacht, es gibt lediglich eine
Meldung
von Trend Micro über einen neuen Angriff in China: Bei einer
"financial institution" wurden Systeminformationen ausgespäht.
tl;dr:
"Nebenan"
gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
Die Schwachstelle in der Unix-Shell Bash, die das Ausführen beliebiger
Befehle über das Internet erlaubt, wird immer intensiver für
Angriffe genutzt. Es gibt zahlenmäßig immer mehr Angriffe, und
es werde immer mehr Ziele verfolgt - vom Klickbetrug bis zum Öffnen
einer Hintertür.
Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am
24. September
veröffentlicht. Am
25. September
wurden die ersten Angriffe über die Schwachstelle entdeckt.
Am
26. September
setzte das Internet Storm Center die Alarmstufe auf Gelb herauf.
tl;dr:
"Nebenan"
gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
27. September - Mehr Angriffe, mehr Angriffsvektoren, mehr Schwachstellen