Die Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT zieht sich zugegebenermaßen etwas hin. Was daran liegt, dass
auf der Liste der
Top IoT Vulnerabilities
von OWASP auf Platz 1 das
“Insecure Web Interface”
steht, und zur Sicherheit im Web gibt es bekanntlich eine eigene OWASP Top
10 Liste. Auch wenn OWASP davon nur einen Teil für die
IoT-Weboberflächen für relevant hält gibt es da einiges zu
beachten.
“Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 4” vollständig lesen
Es gibt mal wieder einen 0-Day-Exploit. Und wie schon fünf von elf mal
in diesem Jahr
ist mal wieder der Flash Player Ziel der Angriffe. Damit geht mal wieder
die Hälfte aller 0-Day-Exploits aufs Konto des Flash Players (6/12).
Auch
2015
waren es 9 der 18 veröffentlichten 0-Day-Exploits.
Für was braucht man das Ding doch gleich noch? Bei mir ist der schon
ewig nicht mehr installiert, und bisher habe ich ihn nie vermisst. Da
drängt sich der Verdacht auf, dessen einziger wirklicher “Nutzen”
besteht darin, darüber Schädlinge zu verbreiten.
“Den 0-Day-Exploit des Dezembers präsentiert mal wieder Adobe” vollständig lesen
Die Beschreibung der gefährlichsten Schwachstellen in den Geräten
des IoT geht weiter. Auf der Liste mit den
Top IoT Vulnerabilities
von OWASP steht auf Platz 1 das
“Insecure Web Interface”.
Die ersten dort aufgeführten Schwachstellen werden auf der Liste der OWASP
Top 10 Webschwachstellen unter dem Punkt A1,
Injection
zusammengefasst. Einen Teil davon habe ich bereits behandelt:
SQL Injection, LDAP Injection und XPath Injection
sowie
NoSQL Injection und OS Injection / OS Command Injection.
In dieser Folge geht es um zwei weitere der noch fehlenden Schwachstellen
bzw. Angriffe.
OWASP Web Top 10 A1: Injection
6. SMTP Injection
“Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 3” vollständig lesen
Im
Entwickler Magazin 1.17
ist ein Artikel über Angriffe auf das IoT und das aus kompromittierten
IoT-Geräten aufgebaute Botnet “Mirai” erschienen.
Sowohl Botnets als auch DDoS-Angriffe gibt es schon seit langem. Inzwischen
haben die Cyberkriminellen das IoT für sich entdeckt, und ihre daraus
aufgebauten Botnets für DDoS-Angriffe in bisher ungeahnten
Ausmaßen genutzt.
“Drucksache: Entwickler Magazin 1.17 – IoT-Botnets legen das Web lahm” vollständig lesen
Im
windows.developer 1.17
ist ein Artikel über Angriffe auf Windows Update erschienen.
Wer den Inhalt eines Update-Pakets kontrolliert, hat damit auch die
Kontrolle über das zugehörige System bzw. Programm. Entweder
automatisch und sofort nach der Veröffentlichung des Updates, wenn die
automatisch installiert werden. Oder mit etwas Verzögerung, nachdem
der Benutzer oder Admin das Update installiert hat. Weshalb man Updates
und ihre Installation auch möglichst gut absichert. Und weshalb
Komponenten wie z.B. der Windows Server Update Services für Angreifer
ein besonders interessantes Ziel sind.
“Drucksache: Windows Developer 1.17 – Angriffe auf Windows Update” vollständig lesen
Es geht weiter mit der Beschreibung der gefährlichsten Schwachstellen in den
Geräten des IoT. Auf der Liste der
Top IoT Vulnerabilities
von OWASP steht auf Platz 1 das
“Insecure Web Interface”.
Die ersten dort aufgeführten Schwachstellen werden auf der Liste der OWASP
Top 10 der Webschwachstellen unter dem Punkt
A1, Injection
zusammengefasst. Einen Teil davon habe ich bereits im
ersten Teil
behandelt: SQL Injection, LDAP Injection und XPath Injection. In dieser
Folge geht es um die fehlenden Schwachstellen bzw. Angriffe.
OWASP Web Top 10 A1: Injection
“Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 2” vollständig lesen
Zur Zeit laufen Angriffe mit einem
0-Day-Exploit
auf die Windows-Version des TorBrowsers, die auch gegen den ihm zu Grunde
liegenden Firefox funktionieren. Die Firefox-Entwickler
kennen
die
Schwachstelle
mit der CVE-ID
CVE-2016-9079
seit dem
29. November,
und inzwischen wurden Updates für
Firefox
und
TorBrowser
veröffentlicht.
Sie sollten die Updates schnellstmöglich installieren, bevor die
Cyberkriminellen anfangen, den Exploit im großen Maßstab
für Drive-by-Infektionen einzusetzen.
Schwachstelle in SVG-Animationen
“0-Day-Exploit für Firefox unterwegs, Update veröffentlicht” vollständig lesen
Ab dieser Folge geht es hier um die gefährlichsten Schwachstellen in den
Geräten des IoT. Dabei orientiere ich mich an den
Top IoT Vulnerabilities
von OWASP. Auf Platz 1 steht dort das
“Insecure Web Interface”.
Und in der Tat hat man den Eindruck, die Entwickler der Weboberflächen
für die IoT-Geräte hätten es darauf angelegt, alle
Schwachstellen, die man im Web vor 10 oder 15 Jahren gemacht hat, in ihren
Oberflächen zu wiederholen.
Die Top 10 der Web-Schwachstellen in einem Punkt
“Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 1” vollständig lesen
Ein der größten Gefahren im IoT geht von Default-Zugangsdaten
aus: Werden die bei der Installation nicht auf individuelle Werte
geändert, kann Schadsoftware mit den i.A. bekannten
Default-Zugangsdaten auf das IoT-Gerät zugreifen und es z.B. in ein
Botnet integrieren. Und das gilt für alle Zugangsdaten, egal ob
Telnet, Fernwartung, Weboberfläche, … – einem Angreifer ist jeder
Weg Recht, Zugriff auf ein Gerät zu bekommen.
Mirai: 62 Zugangsdaten reichen aus
“IoT-Sicherheit: Passwort ändern nicht vergessen!” vollständig lesen
Seit dem 20. September gab es mehrere DDoS-Angriffe, die von erst einem,
dann mehreren Botnets aus IoT-Geräten ausgingen. Und deren Ziele und
Auswirkungen sich immer weiter steigerten.
Der Angriff auf KrebsOnSecurity.com
“DDoS-Angriffe aus dem IoT” vollständig lesen
Im
PHP Magazin 1.2017
ist ein Überblick über Angriffe auf SSL/TLS erschienen.
Dass SSL nicht mehr ausreichend sicher ist und durch TLS in einer
möglichst hohen Version ersetzt werden sollte ist seit längerem
bekannt. Aber selbst dann sind Angriffe auf HTTPS möglich, und das
ganz ohne TLS-Schwachstelle. Und zwar über das Web Proxy
Auto-Discovery Protokoll (WPAD, auch “autoproxy” genannt) und die davon
verwendeten Proxy Auto-Config (PAC) Dateien.
“Drucksache: PHP Magazin 1.17 – Mit Proxy und Proxykonfiguration gegen HTTPS” vollständig lesen
Am
November-Patchday
hat Microsoft wieder mehrere 0-Day-Schwachstellen behoben. Darunter auch
eine, die bereits ausgenutzt wird, um Code einzuschleusen.
Damit steht es beim “Wettstreit” um die meisten 0-Day-Exploits zwischen
Adobe und dem Rest der Welt wieder unentschieden:
Dieses Jahr
wurden 10 0-Day-Exploits entdeckt, 5 davon gehen auf das Konto des Flash
Players. Adobe hat zwar auch ein Security Bulletin für den
Flash Player
veröffentlicht, aber keine 0-Days zu melden. Die aktuelle
0-Day-Schwachstelle wurde ja bereits
Ende Oktober
außer der Reihe behoben.
Remote Code Execution in der Font-Library
“November-Patchday: Wieder mal ein 0-Day-Exploit für Windows unterwegs” vollständig lesen
Angriffe auf kabellose Tastaturen und Mäuse
habe ich bereits vorgestellt, nun gibt es einen Nachschlag. Gerhard
Klostermeier und Matthias Deeg von Syss haben sich ebenfalls der
kabellosen Tastaturen und Mäuse angenommen und dabei
festgestellt,
dass zwar die untersuchten Tastaturen ihre Kommunikation verschlüsseln und
authentifizieren, nicht aber die Mäuse. Die beiden Forscher haben ihre
Ergebnisse bereits auf einigen Sicherheitskonferenzen vorgestellt, so z.B.
auf der
Ruxcon 2016
(Präsentation als
PDF),
weitere folgen.
(Fast) nichts Neues
“USB-Sicherheit 2016: Noch mal Angriffe auf kabellose Mäuse” vollständig lesen
Sicherheitsforscher von Ensilo haben einen neuen Angriff auf Windows
vorgestellt:
AtomBombing.
Schon der Titel der Beschreibung klingt schlimm: “AtomBombing: A Code
Injection that Bypasses Current Security Solutions”. Aber worum geht
es überhaupt?
Beim neuen Angriff geht es um das Einschleusen von Code. Das ist
natürlich etwas, was Angreifer äußerst gerne machen,
können sie doch nur so die Kontrolle über einen Rechner
übernehmen. Allerdings hat das Ganze einen Haken: Es setzt voraus,
dass bereits bösartiger Code auf dem Rechner läuft. Der kann
über AtomBombing dann Code in andere Prozesse einschleusen und so
Schutzmaßnahmen unterlaufen.
Also ist das alles gar nicht so schlimm, wie es auf den ersten Blick
scheint. Mehr dazu erfahren Sie in meinem Artikel
auf entwickler.de!
Carsten Eilers
