Skip to content

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization".

Bei der Authentifizierung wird geprüft, ob der Benutzer (oder auch ein Server, Client, ...) der ist, der er zu sein vorgibt. Gibt es dabei eine Schwachstelle, kann sich ein Angreifer als jemand anderes ausgeben. Nach der Authentifizierung gibt es teilweise noch eine Autorisierung: Darf der Benutzer das, was er machen möchte, überhaupt? Eine Schwachstelle dabei führt dazu, dass der Benutzer etwas tun kann, das er eigentlich gar nicht tun darf. Z.B. als normaler, authentifizierter Benutzer eine eigentlich nur einem authentifizierten Administrator erlaubte Funktion nutzen. Oder auch Funktionen ohne eigentlich nötige Authentifizierung nutzen.

Ohne Authentifizierung keine Sicherheit

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1" vollständig lesen

Januar-Patchday 2017: 2 unkritische 0-Day-Schwachstellen, keine Exploits

Das Jahr fängt sehr ruhig an: Microsoft hat nur 4 Security Bulletins veröffentlicht, von denen eins auch noch für den in IE und Edge integrierten Flash Player ist. Und die drei übrigen Bulletins enthalten nur jeweils eine CVE-ID. Dahinter verbergen sich in zwei Fällen zwar zuvor schon bekannte Schwachstellen, aber die sind weder kritisch, noch werden sie bereits ausgenutzt.

Adobe hat in seinen zwei Bulletins (für Acrobat und Reader sowie den Flash Player) zwar wieder jede Menge meist kritischer Schwachstellen gemeldet, aber keine davon ist zuvor bekannt gewesen oder ausgenutzt worden.

Privilegieneskalation in Edge

"Januar-Patchday 2017: 2 unkritische 0-Day-Schwachstellen, keine Exploits" vollständig lesen

Drucksache: PHP Magazin 2.17 - SSL&TLS: Protokolle unter Dauerbeschuss

Im PHP Magazin 2.2017 ist ein Überblick über Schwachstellen in und Angriffe auf SSL/TLS erschienen.

Das SSL nicht mehr ausreichend sicher ist und durch TLS in einer möglichst hohen Version ersetzt werden sollte ist seit längerem bekannt. Wie dringend das ist, wird auf den Sicherheitskonferenzen immer wieder verdeutlicht. Denn es gibt kaum eine, auf der nicht ein neuer oder zumindest verbesserter Angriff auf SSL/TLS vorgestellt wird.

"Drucksache: PHP Magazin 2.17 - SSL&TLS: Protokolle unter Dauerbeschuss" vollständig lesen

Drucksache: Windows Developer 2.17 - Websecurity 2016: Browser und Webclient

Im windows.developer 2.17 ist ein Artikel über neue Angriffe auf Webbrowser und Webclient erschienen.

Auf fast jeder Sicherheitskonferenz, auf der es thematisch passt, gibt es eigentlich jedes Mal Vorträge zu neuen und/oder verbesserten Angriffen auf Webclient, Webanwendung, Webserver oder Webbrowser. Was kein Wunder ist, denn alles, was ein „Web“ vorne stehen hat, hat zwei große Nachteile: Die Angreifer es können i.A. leicht erreichen, und es gibt dort sowohl Möglichkeiten zum Einschleusen von Code als auch interessante Informationen auszuspähen

"Drucksache: Windows Developer 2.17 - Websecurity 2016: Browser und Webclient" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 7

Die Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP geht weiter. Wir sind zwar immer noch bei Platz 1, dem "Insecure Web Interface", darin aber wenigstens beim dritten (und letzten) der von OWASP für die IoT-Weboberflächen für relevanten gehaltenen Punkte der OWASP Top 10 der Webschwachstellen: A8 - Cross-Site Request Forgery (CSRF).

Wie wird der CSRF-Request eingeschleust?

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 7" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 6

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir immer noch bei Platz 1, dem "Insecure Web Interface". Aber wenigstens sind wir beim dritten (und letzten) der von OWASP für die IoT-Weboberflächen für relevanten gehaltenen Punkte der OWASP Top 10 der Webschwachstellen angekommen: A8 - Cross-Site Request Forgery (CSRF).

Beispiele für CSRF-Angriffe

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 6" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 5

Die Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT geht weiter. In der Liste der Top IoT Vulnerabilities von OWASP sind wir immer noch bei Platz 1, dem "Insecure Web Interface". Aber wenigstens sind wir beim zweiten der von OWASP für die IoT-Weboberflächen für relevant gehaltenen Punkte der OWASP Top 10 der Webschwachstellen: A3 - Cross-Site Scripting (XSS).

OWASP Web Top 10 A3: Cross-Site Scripting (XSS)

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 5" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 4

Die Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT zieht sich zugegebenermaßen etwas hin. Was daran liegt, dass auf der Liste der Top IoT Vulnerabilities von OWASP auf Platz 1 das "Insecure Web Interface" steht, und zur Sicherheit im Web gibt es bekanntlich eine eigene OWASP Top 10 Liste. Auch wenn OWASP davon nur einen Teil für die IoT-Weboberflächen für relevant hält gibt es da einiges zu beachten.

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 4" vollständig lesen

Den 0-Day-Exploit des Dezembers präsentiert mal wieder Adobe

Es gibt mal wieder einen 0-Day-Exploit. Und wie schon fünf von elf mal in diesem Jahr ist mal wieder der Flash Player Ziel der Angriffe. Damit geht mal wieder die Hälfte aller 0-Day-Exploits aufs Konto des Flash Players (6/12). Auch 2015 waren es 9 der 18 veröffentlichten 0-Day-Exploits. Für was braucht man das Ding doch gleich noch? Bei mir ist der schon ewig nicht mehr installiert, und bisher habe ich ihn nie vermisst. Da drängt sich der Verdacht auf, dessen einziger wirklicher "Nutzen" besteht darin, darüber Schädlinge zu verbreiten.

"Den 0-Day-Exploit des Dezembers präsentiert mal wieder Adobe" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 3

Die Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT geht weiter. Auf der Liste mit den Top IoT Vulnerabilities von OWASP steht auf Platz 1 das "Insecure Web Interface". Die ersten dort aufgeführten Schwachstellen werden auf der Liste der OWASP Top 10 Webschwachstellen unter dem Punkt A1, Injection zusammengefasst. Einen Teil davon habe ich bereits behandelt: SQL Injection, LDAP Injection und XPath Injection sowie NoSQL Injection und OS Injection / OS Command Injection. In dieser Folge geht es um zwei weitere der noch fehlenden Schwachstellen bzw. Angriffe.

OWASP Web Top 10 A1: Injection

6. SMTP Injection

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 3" vollständig lesen

Drucksache: Entwickler Magazin 1.17 - IoT-Botnets legen das Web lahm

Im Entwickler Magazin 1.17 ist ein Artikel über Angriffe auf das IoT und das aus kompromittierten IoT-Geräten aufgebaute Botnet "Mirai" erschienen.

Sowohl Botnets als auch DDoS-Angriffe gibt es schon seit langem. Inzwischen haben die Cyberkriminellen das IoT für sich entdeckt, und ihre daraus aufgebauten Botnets für DDoS-Angriffe in bisher ungeahnten Ausmaßen genutzt.

"Drucksache: Entwickler Magazin 1.17 - IoT-Botnets legen das Web lahm" vollständig lesen

Drucksache: Windows Developer 1.17 - Angriffe auf Windows Update

Im windows.developer 1.17 ist ein Artikel über Angriffe auf Windows Update erschienen.

Wer den Inhalt eines Update-Pakets kontrolliert, hat damit auch die Kontrolle über das zugehörige System bzw. Programm. Entweder automatisch und sofort nach der Veröffentlichung des Updates, wenn die automatisch installiert werden. Oder mit etwas Verzögerung, nachdem der Benutzer oder Admin das Update installiert hat. Weshalb man Updates und ihre Installation auch möglichst gut absichert. Und weshalb Komponenten wie z.B. der Windows Server Update Services für Angreifer ein besonders interessantes Ziel sind.

"Drucksache: Windows Developer 1.17 - Angriffe auf Windows Update" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 2

Es geht weiter mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT. Auf der Liste der Top IoT Vulnerabilities von OWASP steht auf Platz 1 das "Insecure Web Interface". Die ersten dort aufgeführten Schwachstellen werden auf der Liste der OWASP Top 10 der Webschwachstellen unter dem Punkt A1, Injection zusammengefasst. Einen Teil davon habe ich bereits im ersten Teil behandelt: SQL Injection, LDAP Injection und XPath Injection. In dieser Folge geht es um die fehlenden Schwachstellen bzw. Angriffe.

OWASP Web Top 10 A1: Injection

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 2" vollständig lesen

0-Day-Exploit für Firefox unterwegs, Update veröffentlicht

Zur Zeit laufen Angriffe mit einem 0-Day-Exploit auf die Windows-Version des TorBrowsers, die auch gegen den ihm zu Grunde liegenden Firefox funktionieren. Die Firefox-Entwickler kennen die Schwachstelle mit der CVE-ID CVE-2016-9079 seit dem 29. November, und inzwischen wurden Updates für Firefox und TorBrowser veröffentlicht.

Sie sollten die Updates schnellstmöglich installieren, bevor die Cyberkriminellen anfangen, den Exploit im großen Maßstab für Drive-by-Infektionen einzusetzen.

Schwachstelle in SVG-Animationen

"0-Day-Exploit für Firefox unterwegs, Update veröffentlicht" vollständig lesen