Skip to content

Kommentare zu OpenSSL, Heartbleed, Windows PowerShell und einem Android-Schädling

Heute gibt es mal wieder eine bunte Mischung an Kommentaren: Zu den neuen OpenSSL-Schwachstellen, einer neuen Variante des Heartbleed-Angriffs, neuen Schädlingen die die PowerShell nutzen, und einem Dateien verschlüsselnden Android-Schädling.

MitM zwischen OpenSSL-Client und OpenSSL-Server

Das mal wieder eine Reihe teilweise kritischer Schwachstellen in OpenSSL behoben wurde haben Sie sicher schon bemerkt. Auf den ersten Blick besonders gefährlich ist die Schwachstelle CVE-2014-0224, die Man-in-the-Middle-Angriffe erlaubt. Zum Glück ist das nur möglich, wenn sowohl Server als auch Client OpenSSL in einer verwundbaren Version verwenden, und auf dem Client kommen meist andere SSL-Implementierungen zum Einsatz. Allerdings wird OpenSSL zum Beispiel auch von Chrome für Android genutzt. Und ein MitM in der Verbindung zwischen Webbrowser und Webserver ist schon äußerst unschön. Höflich formuliert.

OpenSSL: Neue Schwachstelle, alter Verursacher

Interessanter ist aber eine andere Schwachstelle: CVE-2014-0195. Dabei handelt es sich um eine Pufferüberlauf-Schwachstelle, die das Einschleusen und Ausführen beliebigen Codes erlaubt. Und sie wurde in Code gefunden, der vom Verursacher der Heartbleed-Schwachstelle stammt. Ursache ist wie schon bei Heartbleed das Vertrauen auf eine Längenangabe. Ein Entwickler, zwei kritische Schwachstellen - da sollte man sich dessen weiteren Code auch mal genauer ansehen.

Wobei die Schuld nicht allein beim Entwickler liegt. Irgendwer hat den betreffenden Code ja geprüft und freigegeben, Oder nur freigegeben und auf die Prüfung verzichtet? Vielleicht sollte man nicht nur den Code des betreffenden Entwicklers unter die Lupe nehmen, sondern auch mal gucken, was der zuständige "Abnicker" sonst noch so durchgewunken hat.

OpenSSL: Heartbleed im WLAN

Luis Grangeia hat die WLAN-Tools hostapd und wpa_supplicant so angepasst, dass damit die Heartbleed-Schwachstelle in WLANs ausgenutzt werden kann, die das Extensible Authentication Protocol (EAP) verwenden. Angegriffen werden die TLS nutzenden Authentifizierungsprotokolle EAP-PEAP, EAP-TLS und EAP-TTLS. Der Angriff erfolgt schon vor der Authentifizierung, ein Angreifer muss also keine korrekten Zugangsdaten kennen. Sondern kann sie womöglich durch den Angriff ausspähen.

hostapd stellt einen Access Point bereit und greift die Clients an, die sich mit ihm verbinden. wpa_supplicant wird verwendet, um eine Verbindung zu vorhandenen Access Points her zu stellen und diese anzugreifen. In beiden Fällen werden bis zu 64 KByte aus dem Speicher betroffener Geräte gelesen. Interessante Ergebnisse solcher Tests wurden zumindest bisher nicht veröffentlicht.

Windows PowerShell bei Cyberkriminellen immer beliebter

Als ich im Frühjahr den Artikel über die Sicherheit der Windows PowerShell für den Windows Developer 5.2014 geschrieben habe, gab es gerade mal einen Schädling, der die PowerShell nutzte oder eher missbrauchte. Als der Artikel erschien, waren es schon zwei. Kurz danach kam noch einer dazu. Und nun berichtet Trend Micro über zwei weitere Schädlinge: Zum einen nutzt eine per E-Mail verbreitete .LNK-/Shortcut-Datei die PowerShell zum Einschleusen von Schadsoftware, zum anderen nutzt eine weitere Ransomware die PowerShell zum Verschlüsseln von Dateien. Was zumindest den Vorteil hat, dass durch die Verwendung der PowerShell die Analyse des Schadcode erleichtert wird.

Die PowerShell ist ein sehr mächtiges Tool, und natürlich lockt das auch die Cyberkriminellen an. Was aber niemanden von der Nutzung der PowerShell abhalten sollte. Die Cyberkriminellen nutzen ja auch jede andere Programmiersprache, und niemand verzichtet auf damit geschriebene Programme. Oder auf Windows.

Obwohl: Wenn man auf Windows verzichtet, bleibt einem der allergrößte Teil der Schadsoftware erspart. Das "Angebot" für Linux und Mac OS X ist ja doch recht überschaubar. Aber ich fürchte, so wie es jedes wirklich nützliche Programm auch in einer Linux-/Mac-Version gibt bzw. jemand die Funktionen in einem anderen Programm implementiert hat, so gibt es auch irgendwann jede mögliche Schadsoftware für diese Systeme. Android zeigt gut, wie es läuft:

Neue Android-Schadsoftware

Für Android gibt es bereits alle mögliche Schadsoftware, ganz neu im "Angebot" der Cyberkriminellen ist eine Ransomware, die Dateien auf der Memory-Card verschlüsselt und nicht "nur" das Android-Gerät sperrt. Die "Lösegeldforderung" der Cyberkriminellen ist in russisch geschrieben, die Bezahlung soll in Ukrainischen Hrywnja erfolgen. Das dürfte die Verbreitung stark einschränken. Zumindest so lange, bis die Cyberkriminellen auf Google Translate stoßen und ihre Forderung in jede gewünschte Sprache übersetzen lassen können. Naja, eher wohl so lange, bis die Cyberkriminellen mit der Funktion des Schädlings zufrieden sind. Russland und die Ukraine dürften nur ein "Testmarkt" für den neuen Schädling sein. Der von seinen Entdeckern von ESET sowieso als "a proof-of-concept or a work in progress" eingestuft wird. Die finale Version dürfte dann weltweit zum Einsatz kommen.

Damit Sie sich keinen solchen Schädling einfangen, sollten Sie nur Apps aus Google Play oder anderen seriösen App-Stores installieren. Und das sowohl Android selbst als auch alle Apps immer auf dem aktuellen Stand sein sollten, versteht sich wohl von selbst. Es wäre doch peinlich, einem Angriff auf eine längst behobene Schwachstelle zum Opfer zu fallen, oder?

Ein paar weitere gute Ratschläge, die Sie so oder so ähnlich sicher schon des öfteren gehört haben:

  • Nutzen Sie die Sperrfunktion Ihres Geräts,
  • speichern Sie keine wertvollen/wichtigen/sensitiven Daten darauf, und
  • achten Sie darauf, welche Rechte sich neu installierte Apps unter den Nagel reißen.

Wenn die Wettervorhersage-App nach Hause telefonieren will, ist das wohl kaum zu vermeiden. Irgendwoher müssen die Wetterdaten ja kommen und für einen Wetterfrosch ist selten genug Platz im Gerät. Aber wenn zum Beispiel ein Taschenrechner gerne SMS versenden möchte, sollten Sie ihm das austreiben. Oder ihn am besten gar nicht erst installieren.

Übrigens wird mobile Schadsoftware im Juni 10 Jahre alt: "Cabir", ein sich über Bluetooth verbreitender Virus für Nokia-Telefone mit Symbian-Betriebssystem, war der erste Mobil-Schädling. Paul Ducklin hat auf Sophos "Naked Security" einen Überblick über die Entwicklung veröffentlicht. Wie die Zeit vergeht - Wahnsinn.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Kommentare zu Conficker, Android, Google Glass, iOS und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Zum Beispiel zu den Spam-Quellen im 2. Quartal 2014. Conficker lebt noch?!?! Hätten Sie damit gerechnet, dass Conficker auf Platz 1 der Liste der in Unternehmen am h&auml

Dipl.-Inform. Carsten Eilers am : 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen

Vorschau anzeigen
2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von