Links, jede Menge Links. Und ganz wenig Kommentare.

Geschrieben von Carsten Eilers am Dienstag, 28. Oktober 2014 um 10:00

Da mir die Zeit heute etwas knapp geworden ist gibt es mal wieder nur jede Menge Links und ganz wenige Kommentare.

Neues zu den aktuelle 0-Day-Exploits

Los geht es mit den aktuellen 0-Day-Exploits für die OLE- Schwachstellen: F-Secure hat die dabei verwendeten PowerPoint-Dateien unter die Lupe genommen. Und bei Sophos werden sowohl die Sandworm-Schwachstelle als auch die Variante davon beschrieben. Ich bin ja nach wie vor der Ansicht, dass es da eine Schwachstelle gibt und (mindestens) zwei Angriffsvektoren. Der eine wurde am Oktober-Patchday behoben, für den anderen gibt es noch keinen Patch. Nur einen Hotfix, der einen Angriff über PowerPoint-Dateien verhindert. Wie lange es wohl dauert, den Exploit in einer Word- oder Excel-Datei zu kopieren? In welchen Formaten kann man PowerPoint-Dateien mit eingebetteten OLE-Dateien eigentlich speichern? Das geht nicht zufällig als Word-Datei?

ShellShock-Angriffe auf Mailserver

Weiter geht es mit Shellshock: Ich musste der Übersicht der Angriffe einen neuen Angriff hinzufügen: Das Internet Storm Center und Binary Defense Systems melden Versuche, die Schwachstelle via SMTP auszunutzen. Der Exploit wird dabei über verschiedene Mailheader eingeschleust. Die Payload ist mal wieder ein IRC-Perl-Bot - vermutlich aus der Kategorie "alt, aber bewährt". Das Angriffe auf Mailserver über SMTP möglich sind ist ja schon länger bekannt. Nur wurden sie bisher nicht im größeren Maßstab "in the wild" gesichtet. Falls Sie also noch Rechner (nicht nur Mailserver, es gibt noch etliche andere laufende Angriffe) ohne installierten Bash-Patch betreiben, wird es jetzt höchste Zeit, den Patch zu installieren. Und zwar den aktuellsten, da ja nach der ersten Schwachstelle noch weitere entdeckt und behoben wurden.

Dieses und jenes

Kommen wir nun noch zu einigen weiteren Lesetipps:

Bruce Schneier verweist in seinem Blog auf eine Analyse der Wasserzeichen-Techniken von Farb-Laserdruckern. Wie üblich sind auch die Kommentare unter Schneiers Post teilweise sehr informativ.
Und noch ein Hinweis via Bruce Schneier: Auf der Black Hat Europe hat Adi Shamir das Überwinden von Air Gaps mittels All-in-One-Druckern gezeigt. Material ist noch nicht online, ich hoffe, das folgt noch.
Über mögliche Angriffe auf Insulinpumpen und andere Medizintechnik im und am Menschen hatte ich bereits berichtet. Nun prüft das U.S. Department of Homeland Security zwei Dutzend mögliche Schwachstellen, von denen befürchtet wird, dass sie ausgenutzt werden (via ESET We live security). Da frage ich mich nur, was mit den Schwachstellen ist, von denen man nicht befürchtet, dass sie ausgenutzt werden. Werden die einfach ignoriert? Na, hoffentlich kommt dann niemand auf die Idee, sie genau deshalb auszunutzen.
Nutzen Sie von Hotels etc. bereit gestellte Tablets? Haben Sie darauf Zugangsdaten eingegeben? Dann haben sie die vielleicht mit dem Gerät im Hotel zurückgelassen. Genauso wie die Browser-History, Adressbücher, ... Der nächste Benutzer freut sich ja vielleicht darüber.
Das ist ein altes Problem für alle öffentlichen Rechner, zum Beispiel in Bibliotheken oder Internet Cafes. Bei den Tablets ließe es sich ganz einfach vermeiden, indem die Betreiber die zurück gegebenen Geräte in den Ursprungszustand zurückversetzen würden. Das würde auch das Problem absichtlich installierter oder unabsichtlich eingefangener Schadsoftware lösen.
Man sollte annehmen, wenn die NSA ein Gerät oder eine Software zur Speicherung vertraulicher Daten frei gibt ist das sicher. Ist es aber nicht unbedingt, denn bestimmte Samsung-Galaxy-Geräte mit einer bestimmten Software wurden von der NSA zur Speicherung vertraulicher Daten frei gegeben, und kurz danach kam heraus, dass die eine PIN als Klartext speichern.
OK, was ist schon eine PIN, Hauptsache, die gespeicherten vertraulichen Daten werden verschlüsselt, richtig? Das werden sie auch. Nur leider nicht so sicher wie gedacht, denn mit der PIN lässt sich eine Passworthilfe anzeigen. Die besteht aus dem ersten und letzten Zeichen des Passworts und dessen korrekter Länge. Das Passwort wird also auf dem Gerät gespeichert, und damit kann ein Angreifer es auch heraus finden.
Und nun noch ein paar Links ohne weitere Kommentare:
- ESET We live Security: The Evolution of Webinject
- The State of Security: WYSIWYG editors could be an avenue for XSS attacks, warns researcher
- Sophos Naked Security: Do we really need strong passwords?
- Threat Post: Facebook, Yahoo Curb Identity Theft with New Email Ownership Header

Carsten Eilers

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Montag, 22. Dezember 2014: 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen

Vorschau anzeigen

2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30