Schlagwort-Archive: Sicherheitslücke

WLAN-Lücke „KRACK“ – wie handeln?

Am Montag gab es mit einem großen Knall die Veröffentlichung von Details zu einer Lücke im bislang als sicher geltenden WLAN-Verschlüsselungsprotokoll WPA2. Durch einen Designfehler in der Spezifikation ist es möglich, Clients dazu zu nötigen, einen bereits genutzten Schlüssel erneut einzusetzen. Angreifer in physikalischer Nähe zum WLAN können dadurch im schlimmsten Fall die Kommunikation mitlesen, als sei sie nicht verschlüsselt. Ein aktiver Eingriff in die Kommunikation oder gar die Nutzung des WLANs ist dadurch jedoch nicht möglich oder sehr unwahrscheinlich.

Viele Hersteller haben Aktualisierungen ihrer Produkte angekündigt. Bei Verfügbarkeit sollten diese so schnell wie möglich eingespielt werden. Beispielsweise Microsoft hat bereits mit dem Oktober-Update für Windows die Lücke geschlossen, Apple hat für alle unterstützten Betriebssysteme Updates in einer Beta-Phase; unter Linux wird häufig hostapd genutzt, wofür ebenfalls aktuelle Pakete bereitstehen, die die meisten Distributionen schon verteilen. Problematischer sind Android-Smartphones. Ältere Geräte erhalten in der Regel gar keine Updates mehr und weisen die Schwachstelle dadurch dauerhaft auf. Aber auch hier sollte man regelmäßig prüfen, ob der Hersteller eine Aktualisierung anbietet.

Da die Sicherheitslücke im Kern das Mitlauschen ermöglicht, sind insbesondere Firmen, die ein gewisses Know-how in ihrem Fachbereich aufweisen, potenziell lukrative Angriffsziele. Industriespionage wäre durch KRACK einfacher durchzuführen. Was bereits hilft, ist der Einsatz von TLS-gesicherten Verbindungen etwa für das Abrufen von E-Mails und beim Ansurfen von Websites; viele Webseiten bieten Verschlüsselung inzwischen standardmäßig an. Insbesondere in Firmen reicht dieser Hinweis jedoch nicht. Hier schafft etwa der Einsatz von ViPNet Abhilfe. ViPNet verschlüsselt sogar die Kommunikation im lokalen Netz bereits, sodass Angreifer im gleichen Netz nichts mitschneiden können.

Trotz Support-Ende Updates für Windows XP und Vista

Ein ungewöhnlicher Zug von Microsoft: Da offenbar Windows XP und Vista noch weit verbreitet sind, hat das Unternehmen nun trotz teils bereits mehrjährigem Support-Ende noch einmal Sicherheitsaktualisierungen dafür veröffentlicht. Die Sicherheitslücken waren offenbar so heikel, dass das Redmonder Unternehmen sich zum Handeln gezwungen sah. Es geht offenbar um die Schwachstellen, die in den Leaks der NSA- und CIA-Exploitsammlungen zur Infiltration von Rechnern ausgenutzt werden.

Dies ist jedoch mitnichten als Wiederbelebung der alten, unsicheren Software zu verstehen. Das Unternehmen weist deutlich darauf hin, dass ausschließlich die gefährlichsten Probleme beseitigt würden. Andere Patches, die es für neuere Betriebssysteme bereits gibt, werden nicht mehr dafür angeboten. Die aktuellen Patches stellten zudem keine Verlängerung des Supports dar.

Die letzten Punkte sind wichtig zu berücksichtigen. Wenn beispielsweise Laufzeitumgebungen wie .Net Aktualisierungen erhalten, die von Microsoft nicht auf den alten, nicht mehr unterstützten Betriebssystemen angeboten werden, und diese dazu führen, dass Drittanbietersoftware auf den alten Systemen dann nicht mehr läuft, können die Hersteller der Software dieses Manko im Betriebssystem nicht ausgleichen – die Software funktioniert dann einfach nicht mehr korrekt. Dementsprechend sollten nicht nur sicherheitsbewusste Nutzer die Finger von nicht mehr unterstützten Betriebssystemen wie Windows 2000, XP, Vista und Server 2003 lassen und besser auf aktuelle Software setzen. Die vermeintliche Ersparnis relativiert sich ganz schnell, wenn Probleme aufgrund veralteter Software auftauchen und den Arbeitsfluss stören oder zusammenbrechen lassen.

Mehr NSA-Exploits: EternalRocks folgt auf WannaCry

IT-SecurityNachdem vergangene Woche der Erpressungstrojaner WannaCry für Aufsehen sorgte, da er sich mittels Sicherheitslücken im Windows-Betriebssystem als Wurm weiter in Netzwerken verbreitet hat als bislang für Ransomware üblich, hat Miroslav Stampar vom kroatischen CERT neue Verschlüsselungstrojaner entdeckt, die er EternalRocks respektive MicroBotMassiveNet genannt hat; Varianten wurden auch als BlueDoom erkannt. Während WannaCry nur einen Exploit aus dem geleakten Einbruchswerkzeugkasten der NSA verwendet hat, nutzt EternalRocks gleich sieben an der Zahl, um sich per SMB-Schwachstellen im Netzwerk auszubreiten. Die NSA nannte die Exploits EternalBlue, EternalChampion, EternalRomance und EternalSynergy sowie ArchiTouch, SMBTouch und DoublePulsar. Dies erklärt auch die Namenswahl Stampars für den Schädling. Seit dem März-Patchday 2017 sind für alle unterstützten Windows-Betriebssysteme Updates verfügbar, die die Sicherheitslücken schließen. Im Mai hat Microsoft zudem für die offiziell nicht mehr unterstützten Betriebssysteme Windows XP, 8 und Server 2003 Patches herausgegeben.

EternalRocks ist ein mehrstufiger Trojaner und hat zunächst keine konkrete Schadfunktion, sondern lädt einen TOR-Client nach, über den er Befehle von seinem Command&Control-Server abholt und abwartet. Die Verzögerungen bei den Aktionen sollen dazu dienen, unter dem Radar von Analysesoftware und Verhaltenblockern zu bleiben.

Wichtig zum Schutz vor solchen Trojanern ist neben dem Einsatz einer aktuellen Antivirensoftware sowie dem regelmäßigen Anlegen von Backups der wichtigen Daten natürlich, das Betriebssystem aktuell zu halten und alle verfügbaren Aktualisierungen einzuspielen.

Verschlüsselungstrojaner und Wurm: WannaCry richtet großen Schaden an

IT-SecurityAm Freitag Abend häuften sich Meldungen zu einem neuen Verschlüsselungstrojaner, der zahlreiche Rechner und Netzwerke zunächst in Russland, dann in England und schließlich weltweit befallen hat. Der Erpressertrojaner WannaCry verschlüsselt nicht nur die Daten und droht, diese am 19. Mai zu löschen, sondern nutzt eine Sicherheitslücke in Windows-Netzwerkfreigaben aus, um sich in Netzen auszubreiten und weitere Systeme zu befallen. Auf unterstützten Windows-Systemen hat Microsoft diese Sicherheitslücke, deren Bestehen durch das Portfolio der bekannt gewordenen NSA-Exploit-Sammlung öffentlich wurde, bereits am März-Patchday geschlossen. Aufgrund des Ausbruchs hat das Unternehmen in einem außergewöhnlichen Schritt jedoch noch Windows-Updates für alte, nicht mehr unterstützte Systeme wie Windows XP oder Server 2003 nachgelegt. Nutzer und Administratoren sollten diese umgehend einspielen!

Ransomware ist inzwischen nichts Neues mehr – jedoch zeigt die WannaCry-Attacke einige Besonderheiten: Die Schadsoftware hat große Hersteller getroffen, etwa viele Krankenhäuser und die Rechner des nationalen Gesundheitsdienstes von Großbritannien, Werke der Autohersteller Nissan und Renault oder auch die spanischen und portugiesischen Telekom-Unternehmen Telefonica und Telecom. Nicht zu vergessen natürlich, auch die Deutsche Bahn. Neben der klassischen Infektion via Links in E-Mails nutzt der Schädlinge eine Sicherheitslücke, um sich wie ein Wurm im Netz weiter zu verbreiten und so wesentlich mehr Schaden anzurichten. So müssen gegebenenfalls ganze Netzwerke neu aufgesetzt werden, anstatt wie bislang nur der einzelne infizierte Rechner im Unternehmensnetz.

Die bekannten Schädlinge wurden bereits am Freitag von guten Virenscannern wie denen von eScan oder AVG erkannt und blockiert. Die zumeist bereits umgesetzten Sicherheitskonzepte, die auch regelmäßiges Backup aller Daten mit einschließen, helfen auch hier, die Auswirkungen der Angriffswelle einzuschränken und rasch wieder in den produktiven Betrieb zu kommen, sollte die eigene Antivirenlösung die Schädlinge noch nicht erkannt haben.

Microsoft liefert Notfallpatch gegen schlimme Sicherheitslücke

IT-SecurityMicrosoft wurde vergangenen Freitag von Googles Sicherheitsteam über eine schwerwiegende Sicherheitslücke informiert, die alle Windows-Betriebssysteme betrifft und sogar die Ausbreitung von Würmern ermöglichen kann. Am heutigen Dienstag – den Mai-Patchday – legt das Unternehmen eine Sicherheitsaktualisierung für den Windows Defender nach, der die Lücke schließen soll. Das Update sollte in Kürze automatisch auf allen betroffenen Maschinen landen.

Der Fehler befindet sich in der Malware Protection Engine von Microsoft, die nicht nur im Windows Defender und Microsoft Security Essentials zum Einsatz kommt, sondern auch in diversen anderen Sicherheitslösungen des Unternehmens, etwa auch Forefront. Beispielsweise kann schon das Senden einer E-Mail mit bösartigem Inhalt nach Erhalt auf dem Rechner durch den Antimalware-Scan durch Microsoft zur Rechnerinfektion führen. Windows Defender ist seit Windows 10 mit dem Update aus dem Herbst 2016 oftmals zusätzlich zum installierten Virenscanner auf den Systemen aktiv, da Microsoft dort eine Option zum Parallelbetrieb eingebaut hat.

Da bereits Schadcode öffentlich verfügbar ist, der diese Schwachstelle ausnutzt, die faktisch auf jedem Windows-System einschließlich der Server offensteht, sollte die Aktualisierung möglichst zeitnah eingespielt werden. Dazu sollte das Aufrufen von Windows Update genügen.

Fritzbox-Update schließt Sicherheitslücke

IT-SecurityEine Sicherheitslücke in dem Betriebssystem der weit verbreiteten Fritzboxen lässt sich dazu ausnutzen, beliebigen (Schad-)Code darin einzuschleusen und auszuführen – mit root-Rechten. Dies melden die Sicherheitsexperten von heise Security. Der Hersteller hat die Lücke mit FritzOS 6.83 geschlossen, das Fritzbox-Nutzer umgehend einspielen sollten.

Da es keine schützende Antivirensoftware oder ähnliches für die Router gibt, die einem den Zugang zum Internet herstellen, muss der Hersteller Sicherheitslücken rasch mit Firmware-Aktualisierungen schließen – und, etwas schwieriger, diese auch auf den Geräten ausrollen. Seit Version 6.80 kann FritzOS automatisch Updates suchen und einspielen. Diese Option sollten Nutzer im Zuge der jetzigen Update-Suche unbedingt aktivieren. Dann dichten sich künftig gefundene Sicherheitslecks im Router-Betriebssystem nach Veröffentlichung der Softwareflicken fast wie von selber ab. Die Option verbirgt sich in der Benutzeroberfläche des Routers unter „System“ – „Update“ – „Auto-Update“. Betroffen sind insbesondere die populären Fritzboxen 7390, 7490 und 7580 mit FritzOS vor 6.83.

Antivirensoftware noch sinnvoll? Selbstverständlich!

IT-SecurityIn jüngster Vergangenheit haben einige Programmierer frustriert die These aufgestellt, dass Antivirensoftware obsolet sei und die Sicherheit der Systeme beeinträchtige. Hintergrund dazu ist, dass die Antivirenprodukte inzwischen auch Netzwerkverkehr überwachen, der zwischen Server und lokalem Webbrowser ausgetauscht wird – und neuerdings auch verschlüsselte Verbindungen. Dabei haben einige Hersteller bei der Implementierung Fehler eingebaut, die die Sicherheit dieser Verbindung zwischen Server und Browser herabsetzen können. Dies kritisieren Sicherheitsforscher zu recht und die Antivirenhersteller reagieren zügig mit Softwarekorrekturen. Zudem gab es kürzlich Veröffentlichungen, die eine Sicherheitslücke im Windows-eigenen Application Verifier nutzen, um Antivirensoftware auszuhebeln. Es handelt sich im Kern also um eine Microsoft-Lücke.

Ein guter Computerschutz umfasst nicht nur einen reinen Dateiscanner, da Viren auf diverse Wege ins System kommen und den Anwender schädigen können. Im Zwiebelschalenprinzip fügen die Antivirenhersteller daher Schutzschicht um Schutzschicht nach: Neben dem ursprünglichen Dateiscanner, der auf Anforderung das System untersucht, kam so der Hintergrundscanner hinzu, der das Dateisystem in Echtzeit auf Änderungen überwacht. Weitere Komponenten sind dann beispielsweise E-Mail-Scanner oder Verhaltensüberwachung von Prozessen, also der laufenden Programme. Um bösartige Angriffe von Exploit-Kits zu erkennen, kamen dann Webtraffic-Analysekomponenten hinzu, die etwa Aktionen von Skripten in Webseiten untersuchen und bewerten.

Sofern Fehler in diesen Komponenten auftreten, versuchen die Hersteller, diese rasch zu beheben. Das ist ein ganz normaler und alltäglicher Vorgang: Wo Menschen arbeiten, wird es zwingend gelegentlich Fehler geben. Jeder Softwarehersteller muss nachbessern – man sieht dies unter anderem bei den monatlichen Patchdays von Microsoft. Die meisten Fehler fallen bereits weit vor Veröffentlichung neuer Komponenten in der Qualitätssicherung auf, einige erst später. Auch dann werden sie natürlich behoben.

Es sind bislang keine Angriffe aus der Praxis auf Virenscanner bekannt, um darüber Systeme zu infizieren oder Nutzer anzugreifen. Das liegt auch daran, dass die Position, die ein Angreifer zum Ausnutzen der jüngst bekannt gewordenen Lücken in Windows haben muss – beispielsweise lokalen Zugriff auf den Rechner -, bereits wesentlich einfacher weitreichenden Systemzugriff erlaubt.

Die Schutzwirkung durch Antivirensoftware ist jedoch unbestritten. Hier liefern Testlabore wie AV-Test.org regelmäßig Ergebnisse von Untersuchungen auf deren Webseite, die die gute Schutzwirkung der meisten Antivirenlösungen belegen. Das kostenlose, beim aktuellen Windows-Betriebsystem mitgelieferte Windows Defender schlägt sich dabei jedoch meist eher schlecht als recht. Daher ist der Einsatz von Antivirensoftware nach wie vor zwingend anzuraten – ohne sind Nutzer den Angreifern schutzlos ausgeliefert und haben keinerlei Unterstützung, Schadsoftware zu erkennen und abzuwehren.

Microsoft Patchday verschoben – klaffende Sicherheitslücken

IT-SecurityMicrosoft führt klassisch am zweiten Dienstag jeden Monats seinen Patchday durch, an dem das Unternehmen Sicherheitslücken in der gesamten Produktpalette schließt. Den Februar-Patchday 2017 hat das Redmonder Unternehmen nun jedoch in letzter Minute ausfallen lassen und verschiebt die Aktualisierungen auf Mitte März. Einen genauen Grund nennt Microsoft nicht, wahrscheinlich hatten die Softwareflicken jedoch Nebenwirkungen, wodurch die Stabilität der Produkte in Mitleidenschaft gezogen wurden.

Grundsätzlich ist die Vorgehensweise nachvollziehbar – schließlich müssen die Systeme lauffähig bleiben. Jedoch bleiben nun bereits bekannte Sicherheitslücken sperrangelweit offen, durch die Angreife Windows-Systeme kapern oder mit Malware infizieren können.

Daher müssen Administratoren und Anwender die nächsten vier Wochen besonders aufmerksam bleiben, welche Links oder Dateien sie öffnen. Zum Pflichtprogramm gehört auch ein aktueller Virenschutz wie der von AVG oder eScan. Diese untersuchen nicht nur den Rechner und dessen Internetverkehr auf digitalen Schädlingsbefall, sondern können etwa auch bösartige Webseiten erkennen und deren Laden verhindern.

Firefox-Update schließt Zero-Day-Lücke

avg_logo_deDie Entwickler der Mozilla-Foundation haben eine aktualisierte Firefox-Version veröffentlicht, die eine bereits massiv angegriffene Sicherheitslücke in dem Webbrowser schließt. Das Update wird per internem Mechanismus automatisch heruntergeladen, ein Neustart sollte dann genügen. Überprüfen lässt sich das unter „Hilfe“ – „ÜberFirefox“ respektive das Fragezeichen-Symbol, wenn man die grafischen Menüs aktiviert hat. Die Sicherheitslücke ist in den Versionen 50.0.2, ESR 45.5.1 sowie Thunderbird 45.5.1 behoben.

Nutzer und Administratoren sollten die Aktualisierung umgehend einspielen und aktivieren, um eine Infektion des Rechners mit Schadcode durch die Sicherheitslücke zu vermeiden.

Internet Explorer: Support-Ende für ältere Versionen

avg_logo_deMicrosoft stellt ab heute den Support für viele Versionen des Internet Explorers ein – ab Windows 7 und neuer erhält nur der IE 11 damit noch Sicherheitsupdates (Windows Vista: IE9). Die Vorgängerversionen kommen jedoch auf Windows 7 und älteren Betriebssystemen noch häufig zum Einsatz.

Daher sollten Nutzer und Administratoren, die den Internet Explorer nutzen, sicherstellen, dass sie das Programm auf Version 11 aktualisieren. Dies schlägt jedoch häufiger aufgrund von Inkompatibilitäten etwa mit Grafikkartentreibern oder fehlenden Patches fehl. Für Windows XP gibt es aber beispielsweise gar keine aktuelle Version.

Die Sicherheitslücken in den veralteten Webbrowsern sind jedoch so schwerwiegend, dass der bloße Besuch einer Webseite etwa mit eingebetteter Werbung und gehackten Werbeservern ausreicht, den Rechner mit Schadsoftware zu infizieren. Wo also der IE 11 nicht installiert werden kann, muss ein alternativer Browser wie Firefox oder Chrome eingesetzt werden. Da die IE-Komponenten auch für die Microsoft-Mail-Programme genutzt werden, sollte dann auch ein Mail-Client mit eigenen aktuellen HTML-Modulen wie etwa Thunderbird zum Einsatz kommen. Nur so lässt sich mit dem Rechner dann einigermaßen sicher im Netz surfen. Hierbei sollte man natürlich weitere Sicherheitsmaßnahmen ergreifen: Etwa ein aktueller Virenscanner ist natürlich Pflicht. Und sämtliche installierte Software sollte zeitnah auf dem aktuellen Stand gehalten werden.