Dipl.-Inform. Carsten Eilers

Voriges Jahr gab es die erste Ransomware für Synology NAS. Und die nutzte eine Schwachstelle in der Synology-Firmware, für die es eigentlich bereits einen Patch gab.

Jetzt wurden Schwachstellen in Seagate Business NAS veröffentlicht, die die Ausführung von Code erlauben. Aus dem Internet heraus, sofern das Gerät mit dem Internet verbunden ist. Ein Metasploit-Modul zum Testen der Schwachstelle gibt es bereits. Trotzdem hat Seagate es nicht eilig, einen Patch zu veröffentlichen, da die Geräte vom Benutzer für den Zugriff aus dem Internet konfiguriert werden müssen, um angreifbar zu sein. Ein Patch wird für den Mai erwartet, bis dahin müssen sich die Benutzer mit Workarounds behelfen.

Zwar ist es generell eine schlechte Idee, die Weboberfläche eines NAS aus dem Internet zugänglich zu machen, trotzdem müssen die Geräte natürlich sicher sein. Dann hoffen wir mal, dass keine Cyberkriminellen auf die Idee kommen, die 0-Day-Schwachstelle aus zu nutzen.

Falls die Weboberfläche Ihres NAS (egal von welchem Hersteller, sicher ist sicher) aus dem Internet zugänglich ist, sollten Sie ihr Gerät sicherheitshalber schon mal umkonfigurieren. Wenn es erst mal Angriffe gibt, könnte es zu spät sein.

Flugüberwachung mit Schwachstellen

Im Entwickler Magazin 6.2014 erschien ein Artikel zu Angriffen auf Embedded Systems in Autos, Flugzeugen und Schiffen. Jetzt gibt es neue schlechte Nachrichten für Flugreisende: Es wurden Schwachstellen in der Flugüberwachung in den USA gefunden, die unter anderen das Umgehen der Authentifizierung und damit den Einbruch in die Systeme erlauben. Im schlimmsten Fall könnte der Kurs eines Flugzeugs manipuliert werden. Ähnliches war zwar schon zuvor bekannt, diesmal gibt es aber eine offizielle Warnung: Die Meldung stammt von Government Accountability Office (GAO) der USA. Die Schwachstellen werden behoben. Hoffentlich, bevor sie ausgenutzt werden.

Banken patzen bei Apple Pay

Auch zu Apple Pay, dass ich in der Mobile Technology 1.14 beschrieben habe, gibt es Neuigkeiten: Scammer können Apple Pay missbrauchen, um ihre ausgespähten Kreditkartendaten zu "veredeln", indem sie die Karte bei Apple Pay anmelden und danach damit zahlen. Dann können sie die ausgespähten Daten auch in Geschäften nutzen, was ihnen sonst mangels Original-Karte nicht möglich ist. Und auch online vereinfacht Apple Pay den Missbrauch der Karte.

Das ist natürlich ein Problem der Banken, die die neu hinzugefügten Karten nicht ausreichend prüfen. Mitunter reicht schon ein Anruf in einem Callcenter, um eine Karte zu aktivieren. Abgefragt werden dabei nur Daten, die sich leicht über Social Networks etc. verschaffen lassen. Apple liefert den Banken alle möglichen für die Identifikation des Nutzers brauchbaren Daten, wenn eine Bank die dann nicht nutzt und die Karten ohne ausreichende Prüfung aktiviert kann Apple nichts dafür. Dementsprechend müssen hier die Banken nachbessern. Was auch passieren soll. Nachdem es bereits etliche Missbrauchsfälle gab.

Neues rund um Schadsoftware

Die Cyberkriminellen sind natürlich immer an neuen Möglichkeiten zur Verbreitung und Tarnung ihrer Schadsoftware interessiert. Einige der neuesten Entwicklungen:

Schadsoftware kann jetzt auch über manipulierte Blu-Ray Discs verbreitet werden. Dafür werden Schwachstellen in den Playern ausgenutzt. Und zwar sowohl in den Software-Playern als auch in normalen, eigenständigen Blu-Ray-Playern.
Ich weiß, dass Amazon manche DVDs selbst brennt. Gibt es das eigentlich auch für Blu-Rays? Dann könnte die zugehörige Infrastruktur ein interessantes Angriffsziel für die Cyberkriminellen sein. Hoffentlich ist die ausreichend abgesichert. Aber wahrscheinlich wird dafür schon die Filmindustrie sorgen, die sicher Angst hat, dass da jemand die Vorlagen kopiert.

Es gibt mal wieder Angriffe über für Drive-by-Infektionen präparierte Werbung. Diesmal über Werbe-Netzwerke, die die Anzeigen in Echtzeit versteigern, Was die Cyberkriminellen ausnutzen, um ihren Angriffscode möglichst zielgerichtet zu verteilen.

Google versucht, den Play Store möglichst von bösartigen Apps frei zu halten. Deshalb gehen die Cyberkriminellen dazu über, ihre Schadsoftware über Google Play Books zu verbreiten. Und zwar in Form von Anleitungen, wie man gecrackte Apps installiert. Die dann von einer Website herunter geladen werden sollen, die jede Menge Schadsoftware und sonstige unerwünschte Software verbreitet. Wenn die gecrackte App dann auch noch Schadcode enthält macht das dann auch nicht mehr viel aus.

Auch bösartige DNS-Server werden inzwischen zur Verbreitung von Schadsoftware eingesetzt: Die Opfer werden beim Aufruf harmloser Websites auf eine Seite geleitet, die ihnen mitteilt, dass sie ihren Flash Player aktualisieren müssen. Stimmen sie zu, wird statt des Flash Players Schadsoftware auf ihrem Rechner installiert. Und da sie der Meinung sind, dass die aufgerufene vertrauenswürdige Webseite sie auf die Update-Seite umgeleitet hat, werden viele Benutzer zustimmen.
Also immer dran denken: Software nur von den Hersteller-Websites oder vertrauenswürdigen Download-Portalen installieren. Und dabei darauf achten, dass es sich wirklich um die gewünschte Website handelt!

Der für Drive-by-Infektionen verwendete JavaScript-Code wird meist "obfuscated", also getarnt. Gerne auch immer mal wieder mit neuen Methoden.
Also immer dran denken: Getarnter JavaScript-Code ist verdächtig! Verzichten Sie also bitte bei ihrem harmlosen Code darauf.
Die Obfuscation kann man mit mehr oder weniger viel Aufwand immer aufheben, sie ist also kein Schutz vor dem Ausspähen ihres Codes. Aber sie macht ihn verdächtig. Und es hilft auch gar nichts, wenn sie ungetarnt rein schreiben, dass dieser Code harmlos ist und von ihnen stammt. Erstens könnten das die Cyberkriminellen auch tun, zweitens könnten die ja Ihren harmlosen Code manipuliert haben. Was durch die Obfuscation deutlich schwerer zu erkennen wäre.

Zu guter Letzt noch ein Hinweis zur Office-Schadsoftware. Diese in VBA (Visual Basic for Applications) geschriebenen Schädlinge sind seit einiger Zeit wieder in Mode. Gefahr droht also nicht mehr nur durch Office-Dokumente mit Exploits für Schwachstellen in den Office-Programmen (oder auch mal den Flash Player), sondern auch durch Dokumente mit bösartigen VBA-Code darin, der zum Beispiel ein Schadprogramm aus dem Internet lädt und startet.

Carsten Eilers