Eine Universal XSS Schwachstelle, wie sie
im Internet Explorer
gefunden wurde, ist für Angreifer natürlich das beste, was ihnen passieren
kann. Denn darüber können sie jede Webseite über XSS angreifen, unabhängig
davon ob es dort eine XSS-Schwachstelle gibt oder nicht.
Zum Glück sind solche Schwachstellen selten und die Cyberkriminellen daher
auf herkömmliche XSS-Schwachstellen angewiesen. Der Klassiker sind dabei
das in der vorherigen Folge vorgestellte
reflektierte XSS
und das auch als JavaScript-Injection bezeichnete persistente XSS, um das
es im folgenden geht.
Persistentes XSS
“Cross-Site Scripting im Überblick, Teil 2: Persistentes XSS” vollständig lesen
The Intercept hat auf Grundlage der von Edward Snwoden geleakten Dokumente
berichtet,
dass NSA und GCHQ schon seit 2010 im großen Stil die Schlüssel
von Krypto-Chips des Herstellers Gemalto ausgespäht haben. Was einmal
mehr beweist, dass bei den Snwoden-Leaks die Regel “Schlimmer geht
immer! gilt.
Alle bisher bekannten Informationen über den Angriff und welche Folgen
diese Kompromittierung von SIM-Karten und mehr haben kann, habe ich
für Jaxenter.de zusammengefasst:
“Der SIM-Karten-Hack von NSA und GCHQ”.
Carsten Eilers
Lenovo hat auf Consumer-Notebooks eine Adware namens SuperFish installiert.
Und die hat es in sich, bringt sie doch ein MitM-Zertifikat für
HTTPS-Verbindungen mit und gefährdet damit alle HTTPS-Verbindungen der
betroffenen Rechner.
Mehr darüber erfahren Sie in meinem Artikel auf Jaxenter.de:
“Adware: Lenovos MitM-Zertifikat, die Spitze eines Eisbergs”.
Carsten Eilers
Nachdem es in der vorherigen Folge um die
Universal XSS Schwachstelle im IE
ging möchte ich ab dieser Folge ein paar mögliche Angriffe
über Cross-Site Scripting vorstellen. Bevor es zu den eigentlichen
Angriffen kommt sollen aber erst einmal die verschiedenen Arten von
XSS-Angriffen vorgestellt werden. Denn je nachdem, wie der Schadcode
eingeschleust wird, sind unterschiedliche Angriffe möglich.
“Cross-Site Scripting im Überblick, Teil 1: Reflektiertes XSS” vollständig lesen
Es gibt neue Angriffe und Schwachstellen mit mehr oder weniger schönen
Namen: Die “Equation Group”, den Schädling Carbanak, und den JASBUG.
Mit dem sich seine Entdecker gerne ein Denkmal setzen würden.
Die “Equation Group” – Cyberkrieger im Auftrag der USA?
“Die "Equation Group", Carbanak, JASBUG – Namen sind in!” vollständig lesen
David Leo hat im Internet Explorer 11 eine Universal
Cross-Site Scripting (UXSS) Schwachstelle
entdeckt.
Die erlaubt ganz allgemein XSS-Angriffe auf Websites, die selbst gar keine
XSS-Schwachstelle enthalten und dadurch zum Beispiel überzeugende
Phishing-Angriffe oder das Ausspähen von Session-Cookies.
Kurze Zeit später stellte sich heraus, dass auch der IE 10 und der IE 11
im “Spartan”-Modus (und damit
auch
Microsofts neuer Browser “Spartan” unter Windows 10)
von der Schwachstelle betroffen sind.
Im IE 9
funktioniert
der PoC, wenn der Document Mode von “Quirks” auf “IE9 Standard”
umgeschaltet wird. Ob das auch automatisch über eine entsprechenden
Doctype-Angabe möglich ist, ist noch nicht bekannt.
PoC veröffentlicht
“Die Universal Cross-Site Scripting (UXSS) Schwachstelle im Internet Explorer 10 und 11” vollständig lesen
Im
Entwickler Magazin 2.15
ist ein Artikel über die “prominenten” Schwachstellen
und Angriffe des Jahres 2014 erschienen. Also die, die mit Namen versehen
wurden, was ja zuvor ziemlich selten passierte, 2014 aber fast
üblich
wurde. Außerdem gab es so viele Schwachstellen und Angriffe, dass es
teilweise schien, als stünde das Internet in Flammen. Tat es aber
nicht. Zum Glück!
“Drucksache: Entwickler Magazin 2.2015 – Stand das Internet 2014 in Flammen?” vollständig lesen
Im
Entwickler Magazin 2.15
ist ein Artikel über die Sicherheit der
Machine-to-Machine-Kommunikation erschienen. Untersucht werden die
Schutzmaßnahmen der beiden Protokolle MQTT und CoAP.
“Drucksache: Entwickler Magazin 2.2015 – Machine-to-Machine-Kommunikation aus der Sicherheitsperspektive” vollständig lesen
Auch am Februar-Patchday hat Microsoft wieder einige 0-Day-Schwachstellen
behoben. Für eine davon gibt es sogar einen 0-Day-Exploit. Zum Glück
werden davon aber nur Schutzmaßnahmen umgangen und kein Code ausgeführt.
Obwohl auch das schon schlimm genug ist, immerhin wird damit ja das
Ausführen von Code über eine andere Schwachstelle erst möglich.
CVE-2015-0071 – Ein 0-Day-Exploit für den IE
“Microsoft patcht, und wieder sind 0-Day-Schwachstellen dabei!” vollständig lesen
Ein Konfigurationsfehler in MongoDB führt dazu, dass tausende Datenbanken
frei aus dem Internet zugänglich sind. Ursache ist ein kleiner
Fehler, der zu einem großen Problem führt. Wer Schuld daran ist
untersuche ich nebenann.
“Secure by Default” sieht anders aus!
“Konfigurationsfehler in MongoDB führt zu tausenden offenen Datenbanken” vollständig lesen
Ein
Konfigurationsfehler in MongoDB
führt dazu, dass tausende Datenbanken frei aus dem Internet
zugänglich sind. Was beweist, dass auch eigentlich kleine Fehler zu
einem großen Problem werden können.
Sicherheit per Defaulteinstellungen ist üblich…
“Der Konfigurationsfehler in MongoDB – Admins, bitte aufwachen!” vollständig lesen
Im
windows.developer 3.15
ist ein Artikel über die Sicherheit von Docker erschienen.
Docker isoliert Anwendungen in Container. Aber ist das auch sicher? Manche
meinen, nein – und bringen eine Alternative an den Start. Sollte man also
um Docker einen Bogen machen, wenn einem die Sicherheit der eigenen Systeme
am Herzen liegt? Oder ist das alles übertrieben?
“Drucksache: windows.developer Magazin 3.2015 – Docker-Sicherheit im Überblick” vollständig lesen
Adobe hat die
aktuelle 0-Day-Schwachstelle
im Flash Player behoben. Nach der Installation des Updates können Sie den
Flash-Player wieder aktivieren, wenn es denn unbedingt sein muss. Sicherer
sind Sie aber ohne ihn, da er dieses Jahr bei den Cyberkriminellen
ganz
besonders
beliebt
zu sein scheint. Der nächste 0-Day-Exploit dürfte nicht lange
auf sich warten lassen.
Updates in zwei Schritten veröffentlicht
“Aktuelle 0-Day-Schwachstelle im Flash Player behoben” vollständig lesen
Es gibt mal wieder eine neue Schwachstelle mit Namen: GHOST. Aber die ist
bei weitem nicht so gefährlich wie zum Beispiel der
Heartbleed-Bug
oder die
ShellShock-Schwachstelle.
Eine uralte Schwachstelle spukt auf Linux-Systemen
“Die GHOST-Schwachstelle – Mehr Schein als Sein” vollständig lesen
Es gibt schon wieder einen 0-Day-Exploit für den Flash Player, den
zweiten
in diesem doch noch recht jungen Jahr. Bevor Sie weiterlesen, sollten Sie
daher den Flash Player sicherheitshalber ausschalten.
Mal wieder ein 0-Day-Exploit zum Ausführen von Code
“Neuer 0-Day-Exploit im Umlauf – Der Flash Player gefährdet (mal wieder) Ihre Sicherheit!” vollständig lesen
