Exploit

Windows – Antiviren-Software verhindert Sicherheitsupdate

von

In den letzten Monaten sind einige größere Sicherheitslücke für Windows Systeme bekannt geworden, die ein hohes Sicherheitsrisiko bieten und daher recht schnell geschlossen werden sollten. Es gibt auch bereits die ersten Exploit-Kits für diese Schwachstelle, so dass man davon ausgehen kann, dass diese Lücken bereits aktiv ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechik schreibt dazu:

„Das BSI schätzt diese Schwachstellen als äußerst kritisch ein und ruft Unternehmen genauso wie Bürgerinnen und Bürger auf, die verfügbaren Updates einzuspielen. Diese Schwachstellen ermöglichen Angriffsszenarien, die enormen wirtschaftlichen Schaden verursachen können und sollten daher absolut prioritär behandelt werden. Nach unserer Einschätzung ist es mit einer derartigen Häufung an Schwachstellen dieser Art nur noch eine Frage der Zeit, bevor es zu mit WannaCry vergleichbaren Cyber-Angriffen kommt“, so BSI-Präsident Arne Schönbohm.

Microsoft bietet mittlerweile für diese Schwachstellen auch entsprechende Patches an, die auch bereits an die Nutzer ausgeliefert werden. Allerdings gibt es ein Problem bei älteren Systemen in Verbindung mit Antiviren-Software. Rechner mit Windows 7 oder Windows Server 2008 die auf Antiviren-Software Symantec beziehungsweise Norton setzen, können das Update nicht nutzen, da es dort zu Systemabstürzen kommt. Microsoft hat das Update daher für diese Systeme gestoppt, wenn dort ein solches Anti-Virenprogramm läuft. Damit würde dann aber auch die Sicherheitslücke ohne Patch bleiben und die Systeme sind angreifbar.

Nutzer mit Windows 7 oder Windows Server 2008 sollte daher die Antiviren-Software deinstallieren, den Patch aufspielen und danach die Software wieder aktivieren. Das klingt sehr umständlich, scheint aber aktuell notwendig zu sein. Unter Windows 10 gibt es diese Probleme dabei wohl nicht – hier kann das Update auch mit aktivem Schutz durch Symantec beziehungsweise Norton eingespielt werden, ohne das es größere Probleme gibt. Eine Sicherung vor dem Update kann aber natürlich dennoch nicht schaden.

Samsung startet ein Bug-Bounty Programm: bis zu 200.000 Dollar für Exploits

von

Bei Microsoft und Apple gibt es so etwas schon länger, nun belohnt auch Samsung Nutzer für gefundene Sicherheitslücken. Damit will das Unternehmen verhindern, dass dieses Exploits in den Schwarzmarkt gelangen und dort aktiv ausgenutzt werden. Stattdessen schreibt man selbst eine Belohnung für Fehler aus um sie so schnell entfernen zu können. Dabei bietet das Unternehmen (ja nach Schwere der Lücke) bis zu 200.000 Dollar für einen Exploit.

Im Original heißt es dazu auf der Webseite:

2. Depending on the severity level of the vulnerability, the rewards amount will range between USD $200 and USD $200,000 for qualified Reports. Please understand that no reward will be given to Reports with No Security Impact.

3. If the Report does not include a valid Proof-of-Concept, the qualification of rewards will be decided according to reproducibility and severity of the vulnerability, and the rewards amount may be reduced significantly.

4. Higher rewards amount will be offered for vulnerabilities with greater security risk and impact, and even higher rewards amount will be offered for vulnerabilities that lead to TEE or Bootloader compromise. On the other hand, rewards amount may be significantly reduced if the security vulnerability requires running as a privileged process.

Preislich liegt Samsung damit durchaus im Rahmen. Beispielsweise bietet auch Apple 200.000 Dollar für eine wirklich schwere Sicherheitslücke, die man in iOS findet (und zuverlässig reproduzieren kann). Interessanterweise scheinen aber nicht alle Samsung Modelle von diesem Programm zu partizipieren. Wer Lücken in älteren Geräten findet (beispielsweise dem Galaxy S5) bekommt keine Belohnung, es sei denn, diese Lücke gäbe es auch in neueren Modellen. Insgesamt schreibt das Unternehmen von folgenden Modellen:

  • Galaxy S series (S8, S8+, S8 Active, S7, S7 edge, S7 Active, S6 edge+, S6, S6 edge, S6 Active)
  • Galaxy Note series (Note 8, Note FE, Note 5, Note 4, Note edge)
  • Galaxy A series (A3 (2016), A3 (2017), A5 (2016), A5 (2017), A7 (2017))
  • Galaxy J series (J1 (2016), J1 Mini, J1 Mini Prime, J1 Ace, J2 (2016), J3 (2016), J3 (2017), J3 Pro, J3 Pop, J5 (2016), J5 (2017), J7 (2016), J7 (2017), J7 Max, J7 Neo, J7 Pop)
  • Galaxy Tab series (Tab S2 L Refresh, Tab S3 9.7)

Wettrennen um die neusten iOS Exploits

von

Sicherheitslücken sind bares Geld wert, das ist mittlerweile kein Geheimnis mehr. Apple selbst zahlt für gefundene Sicherheitsprobleme über das eigene Bug-Bounty-Programm bis zu 200.000 US Dollar. Das hört sich viel an, ist aber im Vergleich zu anderen Anbietern relativ wenig.

Der Exploit-Händler Exodus Intelligence hat ein Angebot öffentlich gemacht, wonach für bestimmte Sicherheitslücken bis zu einer halben Millionen Euro gezahlt werden. Das Unternehmen schreibt dazu im Blog:

The initial Zero-Day hitlist includes maximum bounties of US$500,000 for Apple iOS exploits and US$125,000 for Microsoft Edge exploits. Using the website, researchers will also be able to submit new research or exploits, and monitor the status of each submission.

Allerdings ist die Zahlung an einige Bedingungen geknüpft. Den maximalen Betrag gibt es nur, wenn funktionsfähige und reproduzierbare Lücken übermittelt werden. Dazu sind nur Lücken für die neusten Versionen des iOS Betriebssystems so viel wert. Das Unternehmen spricht hier von iOS 9.3+, also wahrscheinlich 9.4 und iOS 10.

Die Auszahlung des Geldes kann auch anonym per Bitcoin erfolgen um die Leaker geheim halten zu können.

Es ist im Übrigen anzunehmen, dass neben den offiziellen Prämien für iOS Exploits von anderen Firmen inoffiziell noch höhere Summen gezahlt werden. Spätestens mit der zahlung des FBI für das Öffnen eines iPhone ist klar, das Sicherheitslücken im mobilen Bereich ein lukratives Geschäft sind und sich wirklich lohnen können.

Lenovo mit neuer BIOS Lücke

von

Leneovo hatte erst vor wenigen Tagen einige Schwachstelle in der Update Funktion beseitigt, nun warnt das Unternehmen vor eine Lücke, die im BIOS verschiedener Geräte vorhanden sein kann und über die Dritte im Zweifel beliebigen Programmcode auf den betroffenen Geräten ausführen können. Die Schwachstelle befindet sich dabei direkt im System Management Mode (SMM) und ist daher sehr kritisch.

Bei Lenovo selbst heißt es dazu:

At this point, Lenovo knows that vulnerable SMM code was provided to Lenovo by at least one of our Independent BIOS Vendors (IBVs). Independent BIOS vendors (IBVs) are software development firms that specialize in developing the customized BIOS firmware that is loaded into the PCs of original equipment manufacturers, including Lenovo.  Following industry standard practice, IBVs start with the common code base created by chip vendors, such as Intel or AMD, and add additional layers of code that are specifically designed to work with a particular computer. Lenovo currently works with the industry’s three largest IBVs.  

Derzeit gibt es für diese Lücke noch keine Patch und das heißt für Nutzer, man kann relativ wenig tun um sich abzusichern.

Dazu kommt, dass Lenovo selbst nicht weiß, wie genau die Lücke im SMM auftreten konnte. Man versucht gerade heraus zu finden, welcher Autor dafür zuständig gewesen sein könnte. Die Lücke tritt auch nicht bei allen Lenovo Modellen auf sondern nur bei einigen Modelle mit Intel-Chipsatz – zumindest nach dem aktuellen Stand.

Man sollte mit einem Lenovo Gerät auf jeden Fall auf kommende Updates achten, denn dann sollte auch ein Patch dabei sein, der diesen Exploit schließt.

Apple vs. FBI – Fix für ältere Sicherheitslücken übergeben

von

Sollte das FBI Ansätze von Humor zeigen? In der Öffentlichkeit? Die Behörde hat vor einigen Tagen Apple über Sicherheitslücken informiert, mit denen man Zugriff auf ältere Geräte bekommen hat. Von dieser Schwachstelle sind aber nur älteren Versionen der Betriebssysteme iOS und OS X betroffen. Mit den neusten Versionen iOS 9 und OS X El Capitan gibt es diese Lücken nicht mehr.

Das FBI hat also Apple Sicherheitshinweise für Probleme gegeben, die bereits behoben sind. Das kann man als eine besondere Form des Humors bezeichnen oder aber als ein Nachtreten gegenüber dem Unternehmen, das nach wie vor Widerstand gegen die US-Behörden leistet. Wahrscheinlich hatte aber das FBI selbst keine wirkliche Entscheidungsbefugnis in dieser Angelegenheit, es gibt in den USA ein Experten-Gremium, das entscheidet, wie mit solchen bekannten Exploits umgegangen wird. In diesem Fall hatte man sich dafür entschieden, die ohnehin nutzlosen Sicherheitslücken weiter zu geben.

Bei den bisher noch funktionierenden Exploits (beispielsweise für das iPhone 5c unter iOS 9 des San Bernadino Attentäters) ist man nicht so freigiebig. Das FBI hat entschieden, diese Lücke noch nicht weiter zu geben – wahrscheinlich in der Hoffnung, sie in der Zukunft eventuell noch nutzen zu können.

Reuters berichtet auch davon, das man von Seiten des FBI gar keine technischen Details zu der (mindestens 1,3 Millionen Dollar teuren) Entsperrung bekommen hat, sondern dies extern durchgeführt wurde, ohne das man beim FBI technische Details erfahren hat.

Insgesamt bekommt der eigentlich sehr wichtige Diskussionsprozess um Befugnisse und Zugriffsrechte des Staates damit immer mehr den Charakter einer Sitcom. Bleibt abzuwarten, wie es weiter geht, denn nach wie vor sind einige Geräte gesperrt, auf die man beim FBI gerne Zugriff hätte.

Update: Schwere Sicherheitslücke in iOS 9.3.1 – Siri entsperrt die Geräte

von

UPDATE: Apple hat wirklich schnell reagiert und die Lücke geschlossen. Dazu war keine neue Version notwendig, man muss als Nutzer also diesmal kein Update einspielen. Die Sicherung erfolgte serverseitig.

Man sollte Die Probleme mit iOS 9.3.1 reißen nicht ab. Nach dem fehlerhaften Updates für ältere Geräte und den eingefrorenen Apps und Browsers, wenn man auf Links klickte, wurde nun auch noch ein schwerwiegendes Sicherheitsproblem fest gestellt. Mit dem neusten Update hat Apple wie es aussieht den Fehler selbst eingebaut, in den vorigen Versionen von 9.3 war er bisher nicht vorhanden.

Das Problem besteht dabei in Siri. Die Sprachassistentin entsperrt bei richtiger Anwendung den Zugriff auf Fotos und Kontakte, auch wenn der Lockscreen aktiv ist. Es reicht dabei, bei gesperrten Geräte über Siri eine Twitter-Suche einzuleiten. Man muss dabei nach Eimal-Adressen suchen, am sinnvollsten ist hier einen bekannten Dienst zu nutzen. Wir eine Emailadresse angezeigt, kann man mit3D Touch das Menü aktivieren und einen neuen Kontakt anlegen. Über die Profilbilder des Kontaktes kann man alle Fotos auf dem Gerät sehen und über Email-Adresse hinzufügen finden sich alle Kontakte auf dem iPhone. Diese sensiblen Daten sollten normalerweise von außen und im gesperrten Zustand nicht sichtbar sein.

Vorerst wird empfohlen, Siri auf dem Lockscreen zu deaktivieren um diesen Zugriff zu unterbinden. Die entsprechenden Optionen gibt es unter Einstellungen => Touch ID & Code.

Entsperrung im Video:

via 9to5mac.com

Bis zu 100.000 Dollar für eine iOS Sicherheitslücke

von

Das Sicherheitslücken für Betriebssysteme und Hardware mittlerweile ein Markt geworden sind, ist nicht ganz neu, die Preise für gefundene Lücken scheinen allerdings nur eine Richtugn zu kennen: nach oben.

Im Netz wurden interne Papiere des Sicherheitsunternehmens COSEINC aus Singapur veröffentlicht, die zeigen, was gefundene Sicherheitslücken mittlerweile wert sind. Für eine Lücke im iOS Kernel (ohne Sandbox) zahlt das Unternehmen immerhin 100.000 Dollar, den gleichen Preis gibt es für Schwachstellen, die sich einfach mit MMS oder SMS auslösen lassen, ohne das der Nutzer selbst aktiv werden muss.

Auch Android-Exploits werden gut bezahlt, für Lücken im Chrome unter Android gibt es immerhin noch 80.000 Dollar, weniger beliebt sich Lücken und Windows mobile, dafür gibt es gerade noch 30.000 Dollar.

Dazu kommt ein komplexes Bonus-System. Wenn die Lücken in 8 von 10 Fällen erfolgreich sind, gibt es 40 Prozent mehr Bonus, auch für den erfolgreichen Einsatz auf wenigstens 3 verschiedenen Systemen gibt es 30 Prozent Bonus oben drauf. Bei 100.000 Euro Grundbonus kann sich das schnell auf ziemlich hohe Beträge summieren.

Bei diesen Beträgen ist es wenig verwunderlich, wenn immer mehr Lücken gar nicht veröffentlicht werden, sondern direkt in den Arsenalen von sogenannten Sicherheitsfirmen verschwinden, die dann für Kunden wahrscheinlich die Lücken nutzen um Informationen zu beschaffen.

Samsung rollt Sicherheitspdate für die Topmodelle aus

von

Für die Flaggschiffe von Samsung gibt es ab sofort das neue Sicherheitsupdate von Januar, das in erster Linie kritische Bugs beseitigt und Lücken schließt. Unter anderem wird endlich auch die Stagefright-Lücke gefixt.

Im Blog heißt es dazu:

Samsung Mobile is releasing a maintenance release for major flagship models as part of monthly Security Maintenance Release (SMR) process.
This SMR package includes patches from Google and Samsung.

Laut Sammobile bekommen folgenden Modelle das Update:

  • Galaxy S5,
  • Galaxy S6,
  • Galaxy S6 Active
  • Galaxy S6 edge,
  • Galaxy S6 edge+
  • Galaxy Note 4
  • Galaxy Note 5

Für unsere Samsung Galaxy S6 edge Version mit T-Mobile Branding ist aber bisher noch kein Update verfügbar. Hier muss die Telekom wohl erst noch nachziehen.  Wer eines der Modelle nutzt, sollte auf jeden Fall prüfen, ob das Update bereits verfügbar ist, denn die Lücken werden bereits aktiv ausgenutzt und man sollte sich daher dringend absichern. Schade, dass man nicht auch die anderen Geräte mit in das Update einbezieht. Nutzer der A-Serie von Samsung würden sich über etwas mehr Sicherheit auch freuen.

Quelle: http://security.samsungmobile.com/smrupdate.html

Gehackt: Android 5.x Lockscreen einfach umgehen

von

Der Lockscreen sollte eigentlich Android Geräte vor unbefugten Zugriffen schützen, es gibt es immer mal wieder Möglichkeiten, die Sperre zu umgehen. Der aktuelle Weg benötigt dafür keine spezielle Hardware oder technisches Know How, es reicht einfach die Kamera-App zu überlasten. Getestet wurde es mit Android 5.0 und 5.1 (Build LMY48M) auf einem Nexus 4. Es gibt mittlerweile auch einen Patch für diese Lücke.

Bei thehackernews beschreibt man die Vorgehensweise wie folgt:

  • Get the device and open the Emergency dialer screen.
  • Type a long string of numbers or special characters in the input field and copy-n-paste a long string continuously till its limit exhausts.
  • Now, copy that large string.
  • Open up the camera app accessible without a lock.
  • Drag the notification bar and push the settings icon, which will show a prompt for the password.
  • Now, paste the earlier copied string continuously to the input field of the password, to create an even larger string.
  • Come back to camera and divert yourself towards clicking pictures or increasing/decreasing the volume button with simultaneously tapping the password input field containing the large string in multiple places.

Das Ziel dieser Aktionen ist es, die Kamera-App zum Absturz zu bringen. Ein erstes Anzeichen dafür ist das Verschwinden der Home- und Zurück-Buttons. Danach reagiert die App nicht mehr und schließt sich. Man wird danach auf den normalen Bildschirm weiter geleitet und hat Zugriff auf das gesamte Gerät.

Video: Android Lockscreen einfach umgehen

Apple: Zugriff auf offizielle Abrechnungsmails des App-Store möglich

von

Gestern gab es die Mutter aller Sicherheitslücken bei Android, heute holt Apple kräftig auf. Wie heise.de meldet gibt eine Lücke in Apples App-Store- und iTunes-Servern, die es möglich macht, in die offiziellen Abrechnungsmails fremden Code einzuschleusen.Grundlage für den Angriff ist ein ungesichertes Textfeld. Statt dem Gerätenamen kann auch ausführbarer Code hinterlegt werden ohne dass diesen das System entschärft. Solche Sicherungen gehören aber an sich zu den elementaren Vorkehrungen für sichere Software.

Heise schreibt dazu:

Apple versendet die Mail mit der Rechnung neben dem Käufer auch an den Verkäufer. An dieser Stelle ist es Mejri zufolge vorstellbar, dass der Schadcode vom Verkäufer fälschlicherweise noch an weitere Nutzer verteilt wird. Aufgrund der offiziellen Absenderadresse @email.apple.com könnten Opfer durchaus auf die präparierte E-Mail reinfallen.

Die Beleg-Email kommt im HTML-Format daher und der Schadcode befindet sich in einem Iframe. In der Regel blocken Mail-Programme aber Skripte. Dennoch könnte es Szenarien geben, in denen der Schadcode automatisch ausgeführt wird.

Diese Lücke ist Apple bereits seit Juni bekannt, eine Fix dafür gibt es aber bisher noch nicht.

Es gibt leider auch recht wenige Möglichkeiten, sich direkt zu schützen. Der beste Weg wäre wahrscheinlich offizielle Mails aus dem Appstore und von iTunes vorerst nicht zu öffnen. Wenn es doch notwendig wird sollte man die Mail herunter laden und nur in einer abgesicherten Umgebung und am besten ohne Internet Zugang öffnen. Wirkliche Sicherheit gibt es aber nicht, da niemand genau weiß welcher Code mit verschickt wird.