Die letzte Schwachstelle, die ich im Rahmen dieser kleinen Serie zu Schwachstellen in und Angriffen auf bzw. über USB vorstellen möchte, habe ich bereits hier im Blog behandelt. Es geht um die “Mount Manager Elevation of Privilege Vulnerability”, die Microsoft am August-Patchday 2015 vorgestellt hat.
Adobe hat am 26. Oktober außer der Reihe ein Security Bulletin zu einer kritischen 0-Day-Schwachstelle im Flash Player veröffentlicht. Updates stehen für Windows, Mac OS X, Linux und Chrome OS bereit.
“0-Day-Exploit für Flash Player unterwegs – Adobe patcht außer der Reihe” vollständig lesenHeute kommen wir zum ersten angekündigten Angriff aus dem Jahr 2015. Warum ich den erwähne, obwohl es eigentlich doch nur um Angriffe aus dem Jahr 2016 gehen sollte? Weil das Ziel doch etwas ungewöhnlich ist und der Angriff damit zeigt, dass man überall mit Angriffen über USB rechnen muss. Zumindest, wenn es sich für die Angreifer so lohnt wie in diesem Fall.
Bisher erfolgten die Angriffe auf und über USB immer über bösartige USB-Geräte, die an den Rechner angeschlossen wurden. Selbst das nach der Kompromittierung des Rechners über WLAN mit dem Angreifer kommunizierende USB-Device von Rogan Dawes und Dominic White muss für den Angriff erst mal an den Rechner angeschlossen werden. Der in dieser Folge vorgestellte Angriff dagegen erfolgt über Funk und richtet sich gegen kabellose Tastaturen und Mäuse, die eigene Funkverbindungen statt Bluetooth nutzen.
Im Entwickler Magazin 6.16 ist ein Artikel über Angriffe auf Festplattenverschlüsselungen erschienen.
“Schlimmer geht immer” trifft in der IT-Sicherheit ja leider sehr oft zu, so auch in diesem Artikel. An welche Festplattenverschlüsselung haben Sie gedacht, als Sie den Titel gelesen haben? An die Festplattenverschlüsselung im Rechner, oder an externe, selbst verschlüsselnde Festplatten? Es geht leider um beide.
“Drucksache: Entwickler Magazin 6.16 – Festplattenverschlüsselung im Visier” vollständig lesenAm Oktober-Patchday hat Microsoft mal wieder zugelangt: Es wurden drei bereits für das Einschleusen von Code aus der Ferne (Remote Code Execution, RCE) ausgenutzte Schwachstellen behoben, außerdem ein ebenfalls bereits für Angriffe ausgenutztes Informationsleck (und das in gleich zwei Komponenten, dem IE und dem Internet Messaging API). Womit wir auf 5 Security Bulletins mit 0-Days darin kommen.
Im windows.developer 11.16 ist ein Artikel über Angriffe auf Active Directory erschienen.
Active Directory, das ist ja nur ein Verzeichnisdienst. Also so was wie ein Telefonbuch für Windows-Rechner. Das kann ja eigentlich weder besonders gefährdet noch besonders gefährlich sein. Oder?
“Drucksache: Windows Developer 11.16 – Angriffsziel Active Directory” vollständig lesenIm windows.developer 11.16 ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen.
Lange Zeit reichte die Kombination aus Benutzername und Passwort aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will.
“Drucksache: Windows Developer 11.16 – Zwei-Faktor-Authentifizierung” vollständig lesenDiesmal geht es um zwei positive Meldungen zur USB-Sicherheit. Erstens: Die Firmware von USB-Type-C-Geräten kann bei Bedarf signiert werden, was die Sicherheit erhöhen kann. Und im Gegenzug die Möglichkeiten der Benutzer, mit ihren Geräten tun und lassen zu können, was sie wollen, einschränken könnte. Und zweitens: Seit dem März gibt es in Windows eine USB-Schwachstelle weniger.
Weiter geht es mit aktuellen Angriffen auf und über USB. Und “mit” USB, denn beim ersten vorgestellten Angriff spielen die USB-Devices nur eine Nebenrolle, wenn auch eine entscheidende.
Im PHP Magazin 6.2016 ist ein Überblick über PHP Security Libraries erschienen.
Auf entwickler.de gibt es eine Leseprobe des Artikels.
Es gibt für alles mögliche Libraries und Frameworks. Angefangen bei umfangreichen Paketen für komplette Webanwendungen bis zu ganz speziellen Lösungen für spezifische Probleme. Auch für den Bereich Sicherheit. Und die gucken wir uns jetzt mal an.
“Drucksache: PHP Magazin 6.16 – PHP Security Libraries im Überblick” vollständig lesenAußer den bereits vorgestellten Angriffen gab es dieses Jahr (und Ende letzten Jahres) einige weitere interessante Angriffe auf bzw. über USB. Der Einfachheit halber ab jetzt in umgekehrter chronologischer Reihenfolge, der neueste zu erst.
Es geht weiter mit dem Update zu den Angriffen auf und über USB im aktuellen Jahr. Diesmal mit einem über WLAN steuerbaren USB-Device für die schon üblichen Angriffe und einem sich als Netzwerkkarte ausgebenden USB-Device, das in wenigen Sekunden Zugangsdaten ausspähen kann.
Am September-Patchday hat Microsoft eine bereits ausgenutzte und eine bereits öffentlich bekannte Schwachstelle behoben. Besondere Gefahr geht von beiden nicht aus, und da auch Adobe keine 0-Days gemeldet hat ist es diesmal ein sehr ruhiger Patchday!
Angriffe über USB-Geräte hatte ich ja schon des öfteren im Blog. Der aktuellste Artikel war der Überblick vom 18. Dezember 2014, den ich im Laufe des Jahres 2015 immer mal wieder angepasst habe. Jetzt wird es Zeit für ein Update. Denn Angriffe über USB waren 2016 bereits mehrfach Thema auf den Sicherheitskonferenzen.
