14. Juni 2016

IT Security Blog

In diesem IT Security Blog werden ausgesuchte Hinweise zu aktuellen Sicherheits-Themen beschrieben, ohne Anspruch auf Vollständigkeit und ohne Verantwortlichkeit auf Verweise und Links.

Wichtiger Hinweis: Ab 2017 wird deser Blog aus Zeitgründen nicht mehr fortgeführt!

Wir danken unseren Lesern für das Interesse und wünschen ein gesundens und frohes neues Jahr!

 


30.12.2016 Quelle: Heise

Apples iMessage anfällig für manipulierte Kontaktdateien

Eine manipulierte vCard, die aktuell per iMessage und MMS im Umlauf ist, kann die Nachrichten-App auf dem iPhone oder iPad des Empfängers zum Absturz bringen – und komplett lahmlegen. Es gibt aber einen Ausweg.Mit Hilfe von Siri ist es möglich, die durch die manipulierte Kontaktdatei lahmgelegte iMessage- respektive Nachrichten-App wieder zum Laufen zu bekommen: Dafür muss man der Sprachassistentin lediglich eine neue Nachricht diktieren – etwa “Schicke eine neue Nachricht: Bin gleich da” – und tippt dann in der Siri-Oberfläche auf die erstellte Sprechblase. Nun sollte sich Nachrichten wieder normal öffnen und die neue Nachricht “Bin gleich da” anzeigen. Mit einem Tipp auf Abbrechen gelangt man zurück in die Hauptansicht mit den Nachrichten löscht dort durch ein Wischen nach links die Konversation, die die vcf-Datei enthält – ohne diese zugleich zu öffnen. Anschließend arbeitet “Nachrichten” wieder wie gewohnt.


29.12.2016 Quelle: Heise

Türsprechanlagen sind des Hackers fette Beute

Immer mehr Hersteller von Sprechanlagen für Firmen- und Privathäuser setzen zur Kommunikationsübertragung auf den Mobilfunk statt leitungsgebundene Technik. Hackern wird es damit möglich, Türen zu öffnen oder Premiumnummern anzuwählen.


28.12.2016 Quelle: Heise

Gravierende Sicherheitslücken bei Reisebuchungssystemen

Wer einen Flug umbuchen oder sich Meilen dafür gutschreiben lassen will, braucht dafür nur einen sechsstelligen Code und den zugehörigen Namen, nicht einmal ein Passwort. Das gesamte zugehörige System ist äußerst anfällig für Manipulationen. Die von ihnen eingesetzte Datenbanktechnik sei „sehr alt“, gehe teils zurück bis in die 1970er. Enthalten seien darin im Kern Informationen rund um Tarife und aktuelle Preise sowie zu deren Verfügbarkeit und zu Reservierungen.

Bluetooth-Schlösser: Smart, aber nicht sicher

App statt Schlüssel: Immer mehr Hersteller bieten Schlösser mit Cloud-Anbindung an. Doch Lockpicker können die teuren Geräte ohne große Probleme knacken.

Schwere Sicherheitsmängel beim Bank-Startup N26 aufgedeckt

Dem Sicherheitsforscher Vincent Haupert ist es gelungen, das Schutzsystem der Online-Banking-App des Berliner Fintechs N26 komplett auszuhebeln. Die Firma hat inzwischen reagiert, doch der Fall wirft Fragen auf.


27.12.16 Quelle: Heise

WLAN-Setup: DPP statt WPS fürs Internet der Dinge

Mit Wi-Fi Protected Setup kann man WLAN-Clients per Tastendruck, PIN-Eingabe oder NFC ins Funknetz einbinden. Doch für Sensoren und Aktoren im Internet der Dinge (IoT) ist das noch viel zu aufwendig. Ein neues Protokoll der Wi-Fi Alliance solls richten.

Lücke in PHPMailer erlaubt die Ausführung fremden Codes

Sicherheitsforscher haben eine Lücke in der weit verbreiteten Webmail-Bibliothek PHPMailer veröffentlicht: Eine fehlerhafte Eingabeüberprüfung lässt sich zum Ausführen externen Codes missbrauchen.


23.12.16 Quelle: Heise

Alle Jahre wieder: Netgear-Router N300 / WNR2000 angreifbar

Eine Zero-Day-Lücke plagt mal wieder Router von Netgear. Das verwundbare Modell ist in der Vergangenheit auch schon Opfer gravierender Lücken geworden.


22.12.16 Quelle: Heise

Yalu: Erster öffentlicher Jailbreak für iOS 10

Ein Entwickler hat einen Jailbreak für iPhone 7, iPhone 6s und iPad Pro veröffentlicht, der mit iOS 10.2 beseitigte Sicherheitslücken ausnutzt.

vSphere Data Protection: VMware entfernt hart-codierten Root-Key

Angreifer sollen die Backup- und Recovery-Lösung für virtuelle Maschinen mit vergleichsweise wenig Aufwand übernehmen können. Sicherheitspatches stehen zum Download bereit.

„hallo“ ist meistgenutztes deutsches Passwort

Die zehn meistgenutzten Passwörter auf Websites mit .de-Domain sind simpel aufgebaut und augenscheinlich nicht sicher. Das eigentliche Problem ist aber der oftmals fehlende zweite Faktor in der Authentifizierung auf deutschen Webseiten.

Top Ten der Passwörter auf .de-Domains
1. hallo
2. passwort
3. hallo123
4. schalke04
5. passwort1
6. qwertz
7. arschloch
8. schatz
9. hallo1
10. ficken


21.12.16 Quelle: Heise

Anschlag in Berlin: BKA-Hinweisportal durch DDoS-Angriff lahmgelegt

Am Tag nach dem mutmaßlichen Anschlag auf einen Berliner Weihnachtsmarkt ist das Hinweisportal des Bundeskriminalamts mehr als zwei Stunden durch einen DDoS-Angriff lahmgelegt worden. Inzwischen ist es wieder erreichbar.

Netgear-Sicherheitslücke: Updates für vier betroffene Router fertig

Für die Router R6250, R6400, R7000 und R8000 stehen ab sofort Firmware-Updates zur Verfügung. Die Installation der Updates wird dringend empfohlen. Für weitere sieben Router mit Sicherheitslücke steht bisher nur die Beta-Version zum Download bereit.


20.12.2016 Quelle:Heise

Offizielles Forum der Krypto-Währung Ethereum gehackt

Unbekannte Angreifer haben Daten von rund 16.500 Nutzern abgezogen. Darunter finden sich auch Passwörter, die aber zum Großteil mit einem als sicher geltenden Verfahren geschützt sind.

Nagios Core ist angreifbar: Sicherheitslücken in Server-Überwachungssoftware

Nagios Core, eine Software zur Server-Überwachung, weist derzeit zwei kritische Sicherheitslücken auf. Angreifer können durch sie die absolute Systemkontrolle erhalten. Die aktuelle Version 4.2.4 schließt die Lücken.

Offizielles Forum der Krypto-Währung Ethereum gehackt

Unbekannte Angreifer haben Daten von rund 16.500 Nutzern abgezogen. Darunter finden sich auch Passwörter, die aber zum Großteil mit einem als sicher geltenden Verfahren geschützt sind.


19.12.2016 Quelle:Heise

OpenSSH verabschiedet sich von SSHv1

Die gerade veröffentlichte Version OpenSSH 7.4 entfernt die Unterstützung für das veraltete Protokoll SSHv1 auf Server-Seite. Im August soll es ganz beerdigt werden. Darüber hinaus gibt es auch ein paar Bug-Fixes.


18.12.2016 Quelle:Heise

Ubuntu Desktop: Bug in Crash-Reporter erlaubt Einschleusen von Schadcode

Der Crash-Reporter Apport, standardmäßig installiert in Ubuntu Desktop ab 12.10, war anfällig für das Einschleusen von Schadcode über manipulierte .crash-Dateien. Der Fehler ist seit einigen Tagen behoben.


16.12.2016 Quelle:Heise

Mac-Passwort lässt sich über Thunderbolt auslesen

Mit Hardware von der Stange kann ein Angreifer in rund 30 Sekunden das im Klartext vorliegende Passwort abgreifen und so Apples Festplattenverschlüsselung FileVault überwinden, um auf alle Daten zuzugreifen.


15.12.2016 Quelle:Heise

Virtuelle Maschinen: QEMU und Xen in verschiedenen Kombinationen angreifbar

Unter gewissen Voraussetzungen können sich Angreifer höhere Rechte erschleichen. Ein Sicherheitspatch steht bereit.

Sicherheitsupdate: Joomla schützt sich vor Account-Manipulation

Neben dem Schließen von drei Sicherheitslücken haben die Joomla-Entwickler das CMS zusätzlich gehärtet.

Sicherheitslücken: Updates auch für ältere macOS-Versionen

Neben den in macOS Sierra und dem Browser Safari gestopften Schwachstellen hat Apple auch Sicherheits-Updates für OS X El Capitan und Yosemite veröffentlicht. Diese beheben eine kritische Schwachstelle.

Yahoo muss erneut Massenhack beichten: Eine Milliarde Opfer

Im September hatte Yahoo einen Hack von über einer halben Milliarde Nutzerkonten bekanntgegeben. Den Rekord hat Yahoo nun gebrochen. Diesmal geht es um über eine Milliarde Konten. Dazu kommen gezielte Attacken mittels Cookies.


14.12.2016 Quelle:Heise

Sicherheitsupdate: Tor Browser durch kritische Lücken in Firefox ESR gefährdet

Der alleinige Besuch einer präparierten Webseite soll ausreichen, dass Angreifer Schadcode auf Computern von Nutzern des Tor Browsers ausführen können.

iTunes-Update beseitigt viele Sicherheitslücken unter Windows

Die schweren WebKit-Schwachstellen, die macOS mit dem jüngsten Update beseitigt, hat Apple auch unter Windows gestopft – mit einer neuen iTunes- und iCloud-Version. Das iTunes-Update bringt kleinere Neuerungen.

Sophos schließt Dirty-Cow-Lücke in Sicherheitspaket UTM

Die Unified-Threat-Management-Lösung von Sophos bekommt Sicherheitsupdates, die mehrere Schwachstellen schließen.

Patchday: Adobe sichert Flash gegen aktive Angriffe ab

In diesem Monat stellt Adobe Sicherheitsupdates für neun Anwendungen von Animate bis RoboHelp bereit. Vor allem Flash-Nutzer sollten zeitnah aktualisieren: Angreifer attackieren derzeit bestimmte Windows-Systeme.

Patchday: Kritische Lücken in Edge, Windows & Co.

Microsoft veröffentlicht im Dezember insgesamt zwölf Sicherheitsupdates. Im schlimmsten Fall können Angreifer Computer von Opfern durch den bloßen Aufruf einer manipulierten Webseite kapern.


13.12.2016 Quelle:Heise

Netgear-Lücke dramatischer als angenommen, erste Sicherheits-Updates

Die hochkritische Lücke im Web-Interface betrifft deutlich mehr Netgear-Router als bislang angenommen. Für eine Handvoll Geräte hat der Hersteller inzwischen eine Beta-Firmware herausgegeben, die das Problem löst.

State of the Web 2016: Jede zweite Website ist ein Sicherheitsrisiko

Schwachstellen im Internet werden immer mehr, stellt Menlo Security in seinem Bericht über den „State of the Web“ fest. Eine wichtige Rolle spielt das Nachladen externer Inhalte über Werbe-Netzwerke und Content Delivery Networks. In der Liste der häufigsten Software mit Sicherheitslücken liegt auf Platz 1 der Webserver nginx 1.8.0, gefolgt von Microsofts IIS 7.5. Danach kommen PHP und Apache in verschiedenen Versionen.

Sicherheitspatches: McAfee VirusScan Enterprise gefährdet Linux-Systeme

Kombinieren Angreifer mehre Schwachstellen, können sie Schadcode auf Linux-Systeme schieben und ausführen.

iOS 10.2 schließt schwere Sicherheitslücken

Das Update soll verhindern, dass Angreifer Schadcode über manipulierte Zertifikate auf iPhone, iPad, Apple Watch und Apple TV einschleusen können. Mehrere Schwachstellen rund um Lockscreen und Code-Sperre wurden ebenfalls behoben.


12.12.2016 Quelle:Heise

Erpressungstrojaner Popcorn Time: Infiziere zwei andere und du bekommst deine Daten

Die neueste Masche bei Erpressungstrojanern scheinen Referrer zu sein. Beim Trojaner Popcorn Time kann man sich angeblich frei kaufen, in dem man andere Nutzer infiziert.


10.12.2016 Quelle:Heise

Exploit-Kit liefert Schadcode in Bildern versteckt

Das Exploit-Kit Stegano liefert seinen Schadcode codiert im Alpha-Kanal von Bildern. Dabei ist Stegano äußerst wählerisch bei seinen Opfern, berichtet die Anitviren-Firma Eset.


09.12.2016 Quelle:Heise

Krypto-Trojaner: Lockys gieriger Bruder verlangt über 2000 Euro Lösegeld

Nicht nur der Erpressungs-Trojaner GoldenEye ist derzeit ein Ärgernis, auch die Verwandschaft des berüchtigten Locky-Trojaners geht weiter auf Raubzug. Eine Osiris genannte Variante schlägt derzeit vermehrt zu und verlangt ein saftiges Lösegeld.


08.12.2016 Quelle:Heise

Kritische Lücke in Roundcube: Mail hackt Server

In der Webmail-Software Roundcube klafft eine kritische Lücke, die es in sich hat: Ein Angreifer kann den Server mit einer Mail kompromittieren.

Datenleck in der Telekom-Cloud ermöglicht Zugriff auf fremde Adressbücher

Durch eine Datenpanne konnte ein Nutzer des Hosted-Exchange-Angebots der Telekom tausende Kontakte aus den Adressbüchern anderer Kunden einsehen. Das Angebot richtet sich vor allem an Unternehmen.


07.12.2016 Quelle:Heise

Root-Rechte durch Linux-Lücke

Seit fünf Jahren klafft eine Lücke im Linux-Kernel, durch die sich lokale Nutzer erhöhte Rechte verschaffen können. Auch Android ist betroffen.

Kriminelle könnten Daten von Visa-Kreditkarten vergleichsweise einfach erraten

In einer Studie zeigen Sicherheitsforscher, wie sie CVV-Nummern und andere Kreditkarten-Daten in wenigen Sekunden erraten und damit anschließend Geld überweisen.

Goldeneye Ransomware: Die Bedrohung erkennen, Mitarbeiter warnen, Infektion verhindern

Derzeit gibt es noch kein Entschlüsselungstool, um von Goldeneye chiffrierte Dateien zu befreien. Mit unseren Tipps verhindern Sie eine Infektion aber im Vorfeld oder stoppen die Verschlüsselung frühzeitig. Wenn der Erpressungs-Trojaner Goldeneye zugeschlagen hat, sind die Daten vorerst in der Gewalt der Kriminellen. Den Schlüssel wollen sie erst rausrücken, wenn Opfer das Lösegeld in Höhe von 1,33284506 Bitcoin (rund 940 Euro) bezahlen. Goldeneye hat es in erster Linie auf Personalabteilungen in Deutschland abgesehen. Doch wer die folgenden Tipps befolgt und in Unternehmen verbreitet, kann eine Infektion verhindern oder den Verschlüsselungsvorgang noch frühzeitig stoppen, sodass nicht alle Daten betroffen sind. Und Vorsicht: Goldeneye verbreitet sich derzeit rasant. Jetzt handeln! Makros deaktiveren!


06.12.2016  Quelle: Heise

Backdoor in IP-Kameras von Sony

In sämtlichen IP-Kameras von Sony stecken offenbar undokumentierte Benutzer-Accounts und Funktionen, durch die ein Angreifer unter Umständen die Kontrolle übernehmen kann. Firmware-Updates schaffen Abhilfe.

DailyMotion anscheinend gehackt: 87,6 Millionen Nutzer betroffen

Unbekannte Hacker sollen in das Server-System die Videoportals eingestiegen sein und neben E-Mail-Adressen auch geschützte Passwörter kopiert haben.

Update soll Raspbian gegen IoT-Angriffe wappnen

Ein Raspberry Pi ist eine günstige Basis für IoT-Projekte. Angreifer finden mit den Rechnern aber auch einfach zu kapernde Systeme für Botnetze. Ein Update für Raspbian soll Attacken von schweren Jungs künftig erschweren.


05.12.2016  Quelle: Heise

Vorsicht: Gefälschte Mails im Namen der Polizei Köln im Umlauf

Wer eine E-Mail mit dem Betreff „Polizei Dienststelle Cyber“ erhält, sollte unter keinen Umständen den Dateianhang öffnen: Darin versteckt sich wahrscheinlich Schadcode, der Computer infiziert.


03.12.2016  Quelle: Heise

Windows 10: Laufwerksverschlüsselung lässt sich während Versions-Upgrades umgehen

Eine groteske Sicherheitslücke, die Microsoft selbst mit Konzepten zum komfortablen Administrieren eröffnet, gewährt Angreifern vollen Zugriff auf verschlüsselte Windows-Laufwerke. Einzige Voraussetzung: ausreichende Geduld.


02.12.2016  Quelle: Heise

AirDroid-App gefährdet potenziell Millionen Android-Nutzer

Wer die Fernwartungs-App AirDroid mit einem Android-Endgerät etwa in einem öffentlichen WLAN nutzt, kann Angreifern Tür und Tor öffnen. Im Update-Vorgang der Android-App Air Droid klafft eine gefährliche Schwachstelle, warnen Sicherheitsforscher von Zimperium. Google Play zufolge ist die App auf mindestens 10 Millionen Geräten installiert.


01.12.2016  Quelle: Heise

Sicherheitsupdates: Zero-Day-Lücke in Firefox und Tor-Browser geschlossen

Wer Firefox, Firefox ESR oder den Tor Browser einsetzt, sollte sicherstellen, dass die aktuellen abgesicherten Versionen installiert sind: Derzeit nutzen Angreifer aktiv eine kritische Sicherheitslücke aus.


30.11.2016  Quelle: Heise

Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.

Großstörung bei der Telekom: Was wirklich geschah

Ein Sicherheitsexperte hat die Reaktion eines der anfälligen Speedport-Modelle analysiert und kommt zu einer überraschenden Erkenntnis: Die Geräte waren gar nicht anfällig für die TR-069-Sicherheitslücke. Das ist genau das, was viele hunderttausend Telekom-Kunden am letzten Wochenende bei sich beobachteten: Sie hatten kein Internet mehr und nach einem Neustart des Routers funktionierte es kurzzeitig wieder – bis die regelmäßigen TR-069-Angriffe das Gerät erneut lahm legten. Eine wie auch immer geartete Infektion gab es dabei nicht. Die Angriffe hätten also die Telekom-Router gar nicht infizieren können, weil diese die TR-069-Lücke gar nicht aufwiesen. Es handelt sich lediglich um ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde.


29.11.2016  Quelle: Heise

Hacker kopieren Nutzer-Daten von Mitfahrgelegenheit.de und Mitfahrzentrale.de

Angreifer sollen auf eine archivierte Datenbank gestoßen sein und unter anderem Bankdaten abgezogen haben.


28.11.2016  Quelle: Heise

E-Commerce-Dienstleister Nexway offensichtlich gehackt

Der Shop-Dienstleister warnt Kunden davor, dass Kriminelle Daten von Kunden diverser Online-Shops abgezogen haben könnten. Nexway arbeitet eigenen Angaben zufolge unter anderem mit Adobe, Amazon und Eset zusammen.

Erpressungs-Trojaner: Locky setzt auf .zzzzz-Endung, Cerber geht in Version 5.0.1 um

Kriminelle sollen Berichten nach aktuell neue Versionen von Cerber und Locky verbreiten. Vorsicht: Viele Viren-Wächter springen offensichtlich noch nicht auf Cerber an.

ÖPNV umsonst: Verschlüsselungstrojaner kapert Bezahlterminals der Straßenbahn in San Francisco

Ein Krimineller hat es geschafft, sämtliche Bezahlterminals der Stadtbahn Muni in San Francisco lahmzulegen. Bis die Ransomware entfernt ist, fahren alle Fahrgäste umsonst.

DDoS-Angriff auf österreichisches Außenministerium

Ein DDoS-Angriff gegen die Webseite des österreichischen Außenministeriums soll von der Türkei ausgegangen sein. Wien ist ein scharfer Kritiker Ankaras. Österreich könnte als erstes Land ein Waffenembargo gegen die Türkei verhängen.


25.11.2016  Quelle: Heise

Kriminelle bieten Mirai-Botnetz mit 400.000 IoT-Geräten zur Miete an

Zwei Hacker sollen derzeit auf Kundenfang gehen und Mirai-Botnetze zur Miete anbieten. Dabei werben sie unter anderem mit einer optimierten Version des DDoS-Tools Mirai. Sicherheitsforscher zeigen den Live-Status des gesamten Mirai-Botnetzes an.


24.11.2016  Quelle: Heise

Erpressungs-Trojaner chattet verschlüsselt nach Hause

Sicherheitsforscher von Kaspersky haben den Verschlüsselungs-TrojanerTeleCrypt analysiert und herausgefunden, dass der Schädling nicht wie gewohnt mit den Kriminellen Kontakt hält. Bei der Verschlüsselung der Daten von Opfern haben die Malware-Entwickler aber offensichtlich geschlampt: Mittlerweile stellt Malwarebytes ein kostenloses Entschlüsselungstool zur Verfügung.

Windows-Update für Secure-Boot-Fehler macht BIOS-Updates erforderlich

Mit dem Patch 3193479 beziehungsweise 3200970 für aktuelle Windows-(Server-)Versionen korrigiert Microsoft einen Bug in UEFI Secure Boot, doch einige Server starten danach nicht mehr. Diese können erst dann wieder booten, nachdem man ein BIOS-Update eingespielt hat.

Knifflig, aber möglich: Sicherheitsforscher hacken Tesla-App und starten Auto

Offensichtlich hat Tesla seine Auto-App nicht optimal abgesichert: Sicherheitsforscher konnten genügend Infos abziehen, um einen Wagen zu öffnen und damit wegzufahren. Damit das klappt, müssen aber einige Voraussetzungen erfüllt werden.

Entwickler dokumentieren Krypto-Verfahren des Messengers Signal

Signal hat einige neue Krypto-Verfahren eingeführt hat, die die Sicherheit verschlüsselter Kommunikation wesentlich verbessern und damit den Stand der Technik neu definieren. Nicht umsonst setzen auch WhatsApp und Googles Allo diese Verfahren ein. Unter anderem beschreibt Signal mit X3DH ein asynchrones Schlüsselaustausch-Verfahren, bei dem die Teilnehmer nicht gleichzeitig online sein müssen und trotzdem Forward Secrecy gewährleistet bleibt.


23.11.2016  Quelle: Heise

ɢoogle.com ist nicht gleich google.com

Clever: Online-Betrüger haben offensichtlich erfolgreich eine gefälschte Google-Domain registriert, die man unter Umständen erst nach mehrmaligem Hinschauen als Fake enttarnt. Die URL ɢoogle.com setzt anstatt des Buchstaben „g“ auf das Zeichen „ɢ“ aus dem erweiterten Unicode-Zeichensatz, schildert ein Webanalyst von Analytics Edge. Die URL sollen die Betrüger für Referrer-Spam genutzt haben.

BlackBerry patzt erneut bei Android-Sicherheitsupdates

Das „weltweit sicherste Android Smartphone“ soll das DTEK50 laut BlackBerry sein und begründet das unter anderem mit prompten Sicherheitsupdates. Und die bleiben im November erneut aus.

Sicherheitsupdates: Xen-Hypervisor rüstet sich gegen Rechteerhöhungen und schließt Info-Lecks

In verschiedenen Xen-Versionen klaffen Schwachstellen. Davon gilt aber keine Lücke als kritisch. Abgesicherte Ausgaben stehen bereit.


22.11.2016  Quelle: Heise

5-Sekunden-Video legt iPhone und iPad lahm

Die Wiedergabe einer kurzen MP4-Datei kann iOS-Geräte kurze Zeit später zum Einfrieren bringen. Das Video wird unter anderem über iMessage und WhatsApp verbreitet. Jetzt  hilft nur noch ein erzwungener Neustart, um das iPhone oder iPad wieder in Betrieb zu nehmen. (für 10 Sekunden gleichzeitiges Drücken von Home-Button und Standby-Taste, bzw. beim IPhone7 und 7plus ohne echte Home-Taste übernimmt diese Funktion die Leiser-Taste)

Android-Trojaner GT!tr.spy soll vor allem deutsche Bank-Kunden ins Visier nehmen

Sicherheitsforscher warnen vor einem Android-Schädling, der es vor allem auf Bank- und Kreditkarten-Daten abgesehen hat. Die Malware-Entwicklern sollen den Funktionsumfang zügig ausbauen.

98 Sekunden bis zur Infektion: IoT-Botnetz im Selbstversuch

Ein Sicherheitsforscher nimmt eine IP-Sicherheitskamera in Betrieb. Kurze Zeit später befindet sich dieses in den Fängen von zwei Botnetzen.

Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung

Wer plötzlich kryptisch bezeichnete Dateien mit der Endung .aesir auf seinem Computer vorfindet, hat sich die aktuelle Locky-Version eingefangen. Die Drahtzieher hinter dem Erpressungs-Trojaner verschicken aktuell im Namen von Telekommunikationsanbietern gefälschte E-Mails, mit gefährlichem Dateianhang. In den Mails sollen die Kriminellen behaupten, dass der eigene Computer zum Spam-Versand missbraucht wird. Parallel soll sich Locky auch über den Facebook-Messenger verbreiten. Dabei verschicken Kriminelle kommentarlos SVG-Grafiken von gekaperten Konten. Diese Grafiken verweisen auf verseuchte Webseiten.

Facebook Messenger: Malware via SVG

Vorsicht bei Dateianhängen in Facebooks Chat: Gekaperte Accounts versenden Schadsoftware – neuerdings in Form einer SVG-Grafik. (s.o.)

Millionen Android-Smartphones mit Rootkit ab Werk

Ein Android-Updater der eher unbekannten Firma Ragentek ist nicht nur extrem unsicher, er verhält sich auch wie ein Rootkit. Das Programm steckt in etlichen Smartphone-Modellen chinesischer Hersteller, welche auch auf dem hiesigen Markt vertreten sind. Sie stammt von Ragentek und kommt nicht nur auf Android-Geräten dieses Herstellers zum Einsatz sondern auch bei BLU, Infinix Mobility, Beeline, Doogee, IKO Mobile, Leagoo und XOLO.


20.11.2016  Quelle: Heise

Frustrierter PlayStation-Spieler legte Teile des Internets lahm

Statt gezielt das von Sony betriebene Netzwerk zu treffen, erwischte die Attacke den amerikanischen DNS-Anbieter Dyn, so ein Sicherheitsexperte. In der Folge waren im Oktober weite Teile des Internets nicht erreichbar.


19.11.2016  Quelle: Heise

Update wichtig: Sicherheitswarnung zu Symantec-Software

Das BSI hat eine Sicherheitswarnung der Stufe 4 bezüglich der Symantec-Produkte Endpoint Security herausgegeben und empfiehlt ein sofortiges Update.


18.11.2016  Quelle: Heise

MacBook Pro 2016: Malware-Schutz teils ab Werk deaktiviert

Apple hat offenbar verpasst, den macOS-Systemintegritätsschutz (System Integrity Protection) auf allen MacBook-Pro-Modellen mit Touch Bar zu aktivieren. SIP soll die Möglichkeiten von Schad-Software begrenzen.
Käufer des MacBook Pro mit Touch Bar sollten nach Erhalt unbedingt den Status des Systemintegritätsschutzes prüfen: Dies ist im Terminal über die Eingabe des Befehls csrutil status möglich. Erscheint anschließend „System Integrity Protection status: disabled“, sollten betroffene Nutzer die Schutzfunktion von Hand aktivieren.
Dies funktioniert allerdings nur in der macOS-Wiederherstellung: Nach einem Neustart respektive dem Einschalten des Macs, müssen dafür die Tasten cmd+R gleichzeitig gedrückt gehalten werden. Sobald das Apple-Logo erscheint, darf man die Tasten wieder loslassen. Nach dem Start wird das Fenster “macOS-Dienstprogramme” angezeigt. Aus dem Dienstprogramme-Menü lässt sich nun das Terminal starten. Durch Eingabe von csrutil enable wird SIP aktiviert. Nach einem Neustart in die gewohnte Systemumgebung sollte dann erneut geprüft werden, ob der Systemintegritätsschutz tatsächlich aktiv ist.


17.11.2016  Quelle: Heise

Webseite aufgerufen, Linux gehackt

Linux-Nutzer können sich durch das bloße Aufrufen einer Webseite Schadcode einfangen. Die Ursache ist eine Kombination eigentlich harmloser Ereignisse – und eine Zero-Day-Lücke. Betroffen ist vor allem Fedora Workstation. Vor dem weitgehend automatisch ablaufenden Angriff über Chrome kann man sich schützen, indem man den Google-Browser anweist, vor Downloads zunächst Rücksprache zu halten.

iPhone: Lockscreen-Schwachstelle verschafft Unbefugten Einblick in Fotos und Kontakte

Mit etwas Aufwand lässt sich erneut die iOS-Gerätesperre umgehen und auf bestimmte private Nutzerdaten zugreifen, wie ein Video demonstriert. Die Lücke besteht bis hin zur aktuellen iOS-Version 10.1.1 und angeblich auch in der Beta von iOS 10.2. Nutzer können sich gegen die nun veröffentlichte Schwachstelle auf mehrere Arten schützen, etwa durch das Deaktivieren von Siri im Lockscreen oder das Abschalten der Schnell-Antwortfunktion („Mit Nachricht antworten“) im Sperrbildschirm – beides ist in den iOS-Einstellungen unter „Touch ID & Code“ möglich. Gerade der bequeme Siri-Zugriff im Sperrzustand räumt Unbefugten schnell Möglichkeiten zur Abfrage bestimmter Daten ein.

China-Billighandys spionieren ihre Nutzer ab Werk aus

Die Software der Firma Adups sammelt so gut wie alle privaten Daten eines Android-Handys und kann auf dem Gerät unbemerkt Apps installieren. Sie wurde auf Wunsch chinesischer Provider entwickelt. Ihr Einsatz in anderen Gebieten sei ein Fehler gewesen. Betroffen ist der Hersteller BLU Products, dessen Geräte exklusiv auf Amazon vertrieben werden, aber wohl auch größere Anbieter wie ZTE.

Erpressungs-Trojaner Ransoc soll Social-Media-Accounts ausspionieren

Sicherheitsforschern zufolge droht Ransoc damit, persönliche Daten zu veröffentlichen. Dafür soll er eine individuelle Erpresserbotschaft mit privaten Bildern und Informationen bauen.

Wikipedia wird serienweise angegriffen und führt Zwei-Faktor-Authentifizierung ein

Bei einer Attacke wurde unter anderem der Account von Wikimedia-Gründer Jimmy Wales übernommen. Auf welchem Weg die Angreifer Zugriff erlangten, ist noch unklar.

Internet of Things: US-Regierung veröffentlicht Security-Strategie

Sechs Empfehlungen für ein weniger unsicheres Internet of Things hat die US-Regierung ausgearbeitet. Das offizielle Dokument könnte Entwicklern und Sicherheitsabteilungen Rückenwind geben. Das US-Ministerium für Heimatschutz (DHS) hat strategische Empfehlungen für die Absicherung von Geräten und Software für das Internet of Things (IoT) herausgegeben. In dem Dokument wird das Ausmaß der Gefahr unterstrichen, es enthält zudem Empfehlungen in sechs Bereichen. Revolutionäre Ansätze für IT-Sicherheit finden sich darin nicht. Das offizielle Dokument kann den Zuständigen aber als Argumentationshilfe innerhalb ihrer Organisationen dienen.


16.11.2016  Quelle: Heise

Sicherheitsupdates: Symantec-Software kann sich an DLL verschlucken

In Symantecs Endpoint Virtualization 7.x, Ghost Solution Suite 3.1 und IT Management Suite 8.0 klafft eine mit dem Bedrohungsgrad hoch eingestufte Sicherheitslücke (CVE-2016-6590). Abgesicherte Versionen sind verfügbar.

VMware-Produkte abgesichert: Angreifer können aus Gast-System ausbrechen

In Fusion und Workstation klafft eine kritische Sicherheitslücke. Ist die Copy-and-Paste-Funktion bei Fusion und Workstation Pro deaktiviert, soll kein Angriff möglich sein.


15.11.2016  Quelle: Heise

Enter-Taste verschafft Angreifern Root-Rechte auf verschlüsselten Systemen

Hält man auf einem verschlüsselten Linux-System bei der Passwort-Eingabe für 70 Sekunden die Enter-Taste gedrückt, öffnet sich eine Shell, die Befehle mit Root-Rechten ausführt. Klingt komisch, ist aber so.

Shazam für Mac: Musikerkennung aus, Mikro bleibt trotzdem an

Die macOS-App des Musikerkennungsdienstes lässt das Mikrofon selbst dann offen, wenn der Nutzer die Lauschfunktion abschaltet. „Vergiss die NSA, Shazam hört immer zu“, so ein Sicherheitsforscher. Ein Mac-Sicherheits-Tool informiert über Mikro- und Webcam-Zugriff. Dazu gehört mit “OverSight” auch eine Software, die über Zugriffe auf das Mac-Mikrofon sowie die ebenfalls fest integrierte iSight-Webcam informiert.

Beliebte Chrome-Erweiterungen zur Werbeschleuder mutiert

Einige beliebte Chrome-Erweiterungen werden offenbar zur Verbreitung dubioser Werbeanzeigen missbraucht. Wer eine davon installiert hat, sollte sie umgehend entfernen. Betroffen sind laut dem Web-Entwickler Chris White die Erweiterungen Live HTTP Headers, Inject jQuery, W3Schools Hider und HTTP Headers. Möglicherweise gibt es weitere, die bislang noch nicht entdeckt wurden. Nach derzeitigem Kenntnisstand sind lediglich die Chrome-Versionen der Extensions betroffen.


14.11.2016  Quelle: Heise

Entfleuchter FritzBox-Schlüssel zum Ausstellen falscher Zertifikate missbraucht

AVM sprach bisher von einem geringen Risiko. Nun stellte sich allerdings heraus, dass der geheime Hersteller-Schlüssel aus dem Speicher der FritzBox bereits vor einiger Zeit missbraucht wurde. Bei vielen Providern wird der Schlüssel noch akzeptiert. Ein Angreifer kann mit dem Schlüssel schlimmstenfalls die Anschlüsse legitimer Kunden übernehmen. Denkbar wäre auch das Mitlauschen fremder Datenverbindungen in der Position des Man-in-the-Middle. AVM äußerte sich bisher nicht dazu, wie der geheime Krypto-Schlüssel in den Bauch der Fritzbox kam.


13.11.2016  Quelle: Heise

Erneuter Hack der Sexbörse Adult Friend Finder

Zum zweiten Mal seit 2015 wurden Nutzerdaten von der Sexbörse Adult Friend Finder gestohlen. Diesmal sind über 400 Millionen Nutzerkonten betroffen, darunter auch solche, die längst gelöscht gewesen sein sollten.


12.11.2016  Quelle: Heise

Hacker knacken Googles Smartphone Pixel

Zwei Tage lang demonstrierten Hacker in Seoul auf dem „PwnFest“ diverse Schwachstellen verbreiteter Software, darunter der Browser Edge und Safari. AuchVMWare Workstations und das Google Pixel wurden geknackt.


11.11.2016  Quelle: Heise

AVM entweicht geheimer FritzBox-Schlüssel

Im Speicher der FritzBox wurde ein geheimer Krypto-Schlüssel entdeckt, den nur AVM besitzen dürfte. Er spielt eine zentrale Rolle bei der Sicherheit im Kabelnetz. Hinter den Kulissen arbeiten die Provider seit Monaten daran, ihre Netze wieder abzusichern.

Sicherheitsupdate: OpenSSL kann crashen und sich verrechnen

Über drei Schwachstellen können Angreifer OpenSSL attackieren. Davon ist vor allem Version 1.1.0 betroffen. Eine abgesicherte Ausgabe steht zum Download bereit.


10.11.2016  Quelle: Heise

Internet Of Things: Sorgenkind Sicherheit

Das Geschäft mit smarten Devices und vernetzten Produktionsanlagen brummt, doch die Sicherheit ist oft nur Nebensache. Auf einer Konferenz in Köln zeichneten Branchenvertreter ein düsteres Bild.


09.11.2016  Quelle: Heise

Admins aufgepasst: SHA1-Zertifikate vor dem endgültigen Aus

Ab Januar 2017 wird es ernst: die großen Browser werden ab dann richtige Fehlermeldungen anzeigen, wenn sie auf Zertifikate treffen, die eine Signatur mit SHA1 aufweisen. Die sind aber immer noch im Einsatz, wie ein Kurztest von heise Security zeigt.

Patchday: Trend Micro hilft Flash aus der Patsche – zumindest ein bisschen

Wie gewohnt kann Adobe nicht die Finger von Flash lassen und schließt neun kritische Sicherheitslücken. Alle wurden von Sicherheitsforschern von Trend Micro entdeckt.

Patchday: Microsoft schließt Zero-Day-Lücken in Windows & Co.

Wie angekündigt, kümmert sich Microsoft unter anderem um im Fokus von Angreifern befindliche Zero-Day-Lücken. Außderdem stehen Patches für weitere kritische Schwachstellen bereit.


08.11.2016  Quelle: Heise

App-Schwachstelle: Angreifer können iPhone-Anrufe auslösen

Ein Fehler in populären iOS-Apps ermöglicht es, das iPhone zum automatischen Anwählen einer bestimmten Rufnummer zu bringen und den Nutzer zugleich am sofortigen Abbruch des Telefonats zu hindern.

Exploits veröffentlicht: Jetzt kritische MySQL-Lücke patchen

Admins sollten ihre Datenbanksoftware MariaDB, MySQL und Percona zügig aktualisieren, um Server abzusichern.


04.11.2016  Quelle: Heise

Malware für Mac-Nutzer per Google-Anzeige verteilt

Wer von macOS aus bei Google nach dem Browser Chrome suchte, bekam unter Umständen bezahlte Links zu Schadsoftware präsentiert. Das berichtet ein Sicherheitsunternehmen.


03.11.2016  Quelle: Heise

Abgegriffene Browserdaten: Mozilla entfernt „Web of Trust“

Die Mozilla Foundation zieht die Notbremse: Nach den Datenschutzvorwürfen hat die Stiftung das umstrittene Plugin nun von ihren Webseiten entfernt.
Obwohl der Betreiber des umstrittenen Browser-Plugins „Web of Trust“ (WOT) bestreitet, nicht-anonymisierte Nutzerprofile samt detaillierten Surfprofilen weitergegeben zu haben, zogen die Herausgeber des Open-Source-Browsers Firefox nun Konsequenzen. Das Plugin wurde mit sofortiger Wirkung aus dem Add-On-Verzeichnis für Firefox entfernt.

Sicherheitspatches: Angreifer können Ciscos ASR 900 und Prime Home kapern

Cisco schließt zehn Lücken in verschiedenen Produkten. Zwei Schwachstellen gelten als besonders bedrohlich.


02.11.2016  Quelle: Heise

Jetzt patchen! Angriffe auf über 30.000 Joomla-Webseiten

Sicherheitsforscher warnen, dass es Angreifer derzeit vermehrt auf Joomla-Webseiten abgesehen haben. Admins sollten zügig die jüngst erschienene abgesicherte Version installieren.


03.11.2016  Quelle: Heise

PayPal stopft peinlichen Fehler in Zwei-Faktor-Anmeldung

Mit einem Trick und einer simplen Manipulation am eigenen Traffic konnten Angreifer die Abfrage des zweiten Sicherheitsfaktors bei PayPal umgehen und Konten so kapern. Die Art, auf die PayPal die Abfrage umgesetzt hatte, war grundsätzlich unsicher.


31.10.2016  Quelle: Heise

iCloud und iTunes für Windows: BSI warnt vor schweren Sicherheitslücken

Die Schwachstellen in WebKit können einem entfernten Angreifer das Ausführen von Schadcode ermöglichen. Das Risiko wird als hoch eingestuft – Apple hat Updates veröffentlicht.


28.10.2016  Quelle: Heise

Erpressungs-Trojaner: FileiceRansomware riegelt Bildschirm ab und zwingt Opfern Umfragen auf

Offenbar setzen Entwickler von Erpressungs-Trojanern auf eine neue Methode, um mit dieser Schädlingsart Geld zu verdienen.
Die FileiceRansomware soll nicht durch das Verschlüsseln von Daten und einer Lösegeld-Forderung Profit für die Entwickler des Schädlings generieren. Die Kriminellen gehen vielmehr einen Umweg und zwingen Opfer dazu, an Umfragen teilzunehmen. Offensichtlich haben die Drahtzieher Abkommen mit verschiedenen Anbietern, die für eine erfolgreiche Teilnahme Bares zahlen.

AtomBombing: Sicherheitsforscher missbrauchen Windows-Mechanismus für Code-Injection

Angreifer sollen Windows-Systemen unbemerkt von Anti-Viren-Anwendungen Schad-Code unterjubeln können. Einfallstor dafür soll eine legitime Windows-Funktion sein.
Sicherheitsforscher von Ensilo warnen, dass alle Windows-Systeme eine Schwachstelle aufweisen, über die Angreifer Schad-Code einschleusen und ausführen können. Viren-Wächter sollen in so einem Fall nicht anspringen. Zudem lasse sich das Einfallstor nicht ohne weiteres schließen, schließlich handelt es sich dabei um die hauseigene Windows-Funktion Atom Tables.

Angreifer können Ciscos Warn-System IPICS lahmlegen

Der Netzwerk-Ausrüster schließt insgesamt 16 Sicherheitslücken in verschiedenen Produkten. Eine Schwachstelle gilt als besonders kritisch.

Über drei Milliarden Accounts gekapert

Im Netz kursiert eine gewaltige Menge an Zugangsdaten aus Raubzügen bei Yahoo, LinkedIn und Co. c’t hat die Spur der Daten-Hehler verfolgt und einen Insider interviewt. Zudem liefert das Magazin Tipps, wie man sich vor Account-Missbrauch schützt.


27.10.2016  Quelle: Heise

Google stößt auf tiefgehende Lücke in Apple-Systemen

Sicherheitsforscher haben eine strukturelle Lücke im Apple-Kernel entdeckt. Lokale Angreifer können Computer mit macOS und Geräte mit iOS kompromittieren. Sicherheits-Updates sind bereits verfügbar.


26.10.2016  Quelle: Heise

Notfall-Patch für Adobe Flash

Adobe musste überraschend eine kritische Lücke in Flash stopfen, die bereits für gezielte Angriffe auf Windows-Nutzer ausgenutzt wird. Das vorige Sicherheits-Update liegt gerade mal zwei Wochen zurück.


25.10.2016  Quelle: Heise

Dringender Joomla-Patch schließt zwei Sicherheitslücken

Wer seine Joomla-Installation nicht auf den aktuellen Stand bringt, riskiert, dass sich Angreifer Admin-Accounts erstellen.


25.10.2016 Quelle:Heise

Root-Exploits: Android anfällig für Dirty Cow und Rowhammer

Die Lücken sind bekannt – neu ist, dass auch Android betroffen ist. Forscher zeigen, dass sich Angreifer und Nutzer Root-Rechte verschaffen können, indem sie die Dirty-Cow- oder die Rowhammer-Attacke durchführen. Betroffen sein dürften viele Geräte.

MBRFilter-Tool soll Erpressungs-Trojaner daran hindern, Computer abzuriegeln

Es gibt Ransomware, die sich nicht mit dem Verschlüsseln von Daten zufrieden gibt und auch den Master Boot Record befällt, um so Opfer von ihren Computern auszusperren. Ein neues Tool soll davor schützen.

Microsoft warnt vor Support-Scammern: Jeder zweite Deutsche betroffen

Drei Prozent der Angerufenen erlitten durch die Betrugsmasche finanziellen Schaden. Unter denen, die auf die Anrufe eingehen, befinden sich überraschend viele junge Menschen aus der Millennial-Generation im Alter zwischen 18 und 34 Jahren.
Es sind weit mehr Menschen von Support-Telefonbetrug betroffen als allgemein hin angenommen und viele der Opfer sind jünger als erwartet – lautet der Tenor einer von Microsoft veröffentlichten Studie zu bösartigen Support-Anrufen. Die Firma warnt davor, dass in Deutschland die Hälfte aller von ihr befragten Nutzer bereits mindestens einmal mit Betrügern zu tun hatten, die sich als Microsoft-Mitarbeiter ausgegeben haben.


24.10.2016 Quelle:Heise

Experte: „Wir müssen uns jetzt um IoT-Sicherheit kümmern“

DDoS-Attacken über das Internet of Things zeigen, dass die Sicherheitsfrage noch beantwortet werden muss. Hacker und Telefónica-CDO Chema Alonso meint, es ist höchste Zeit.
Twitter, Paypal, Netflix, Spotify: down. Am Wochenende waren zahlreiche beliebte Onlinedienste stellenweise nicht erreichbar, nachdem eine massive DDoS-Attacke den DNS-Anbieter Dyn in die Knie zwang. Wie beim Angriff auf das Blog des Sicherheitsexperten Brian Krebs vor vier Wochen wurde die Attacke offenbar über ein riesiges Botnetz aus dem „Internet der Dinge“ gefahren, dass sich aus vernetzten Videokameras und anderen IoT-Geräte zusammensetzt.

24.10.2016  Quelle:Golem

Hacker verkaufen Zugang zu IoT-Botnetz im Darknet

Der Zugang zum IoT-Botnetz Mirai setzt neuerdings keine technischen Kenntnisse mehr voraus, sondern nur genügend Finanzmittel – 7.500 US-Dollar. Ein chinesischer Hersteller sagt „Mirai ist ein Desaster für das IoT“ und reagiert mit einer Rückrufaktion.


22.10.2016 Quelle:Golem

Google verwendet personenbezogene Daten für Werbung

Bisher war Google eines der Internet-Unternehmen, das Werbe-Tracking und personalisierte Informationen der Nutzer getrennt hielt. Bis zu diesem Sommer – als Google seinen Kunden neue Nutzungsbedingungen präsentierte, die diese Schranke aufhoben.
Google verwendet seit diesem Sommer auch personenbezogene Daten aus seinen Services, um seine über den Dienst Doubleclick ausgelieferte Internet-Werbung besser auf den Nutzer zuzuschneiden. Dies beinhaltet den Nutzernamen und im Grunde alle Informationen, die Google über seine Kunden sammelt, wie die Internetseite Propublica herausgefunden hat.


21.10.2016 Quelle:Heise

DDoS-Attacke legt Twitter, Netflix, Paypal, Spotify und andere Dienste lahm

Wegen einer massiven DDoS-Attacke sind die Services großer US-Internetdienste, darunter unter anderem Twitter, Paypal, Netflix und Spotify, am Freitagabend in Teilen der USA und Europas zeitweise nicht zu erreichen.

Hacker erbeuten 43 Millionen Daten von Nutzern des Web-Baukastens Weebly

Die Betreiber von Weebly haben bestätigt, dass Angreifer Millionen Kunden-Daten abgezogen haben. Neben E-Mail-Adressen umfasse die Beute auch Passwörter. Davon soll aber ein Großteil effektiv geschützt sein.


20.10.2016  Quelle:Heise

Schweres Rechteproblem: Uralt-Bug im Linux-Kernel gefixt

Die Linux-Kernelentwickler haben eine schwerwiegende Sicherheitslücke im Kernel geschlossen. Die Sicherheitslücke (CVE-2016-5195) hätte von lokalen Nutzern dazu missbraucht werden können, Dateien zu überschreiben, für die sie lediglich Leserechte haben. Auf Linux-Systemen lassen sich so unter anderem die eigenen Nutzerrechte auf Root-Rechte ausweiten.

Foxit kümmert sich um kritische Lücken in Reader und PhantomPDF

Angreifer können die PDF-Anwendungen Reader und PhantomPDF von Foxit attackieren. Der Anbieter will dies mit abgesicherten Versionen für Linux, OS X und Windows unterbinden, die ab sofort verfügbar sind. Um diese zu erhalten, muss man im „Hilfe“-Tab nach Updates suchen.
Unter Windows sind alle Versionen bis einschließlich 8.0.2.805 bedroht. Die aktuelle Ausgabe 8.1 ist abgesichert. Unter Linux und OS X sind alle Versionen bis einschließlich 2.1.0.0805 gefährdet. Für diese Systeme steht die fehlerbereinigte Version 2.2 zum Download bereit.

Erpressungs-Trojaner Exotic soll ausführbare Dateien gefangennehmen

Sicherheitsforscher warnen vor einer neuen Ransomware, die erstmals auch .exe-Dateien verschlüsselt und so Anwendungen unbrauchbar macht. Aktuell soll sich der Schädling noch in Entwicklung befinden.
Der Verschlüsselungs-Trojaner für Windows Exotic hat es offensichtlich auf noch mehr Datei-Typen als bisher von dieser Schädlings-Gattung gewohnt abgesehen. Sicherheitsforscher vom MalwareHunterTeam haben herausgefunden, dass Exotic auch vor ausführbaren Dateien nicht haltmacht, berichtet Bleepingcomputer.com. In der Vergangenheit haben sich Erpressungs-Trojaner damit begnügt, Daten in Form von etwa JPG- und Word-Dateien in Beschlag zu nehmen.


19.10.2016  Quelle:Heise

Shopware wappnet Shop-System gegen Schad-Code

Die Entwickler von Shopware warnen vor einer kritischen Sicherheitslücke und stellen einen Sicherheits-Patch bereit.
Der Anbieter des Online-Shop-Systems Shopware rät Nutzern aus Sicherheitsgründen dringend dazu, die aktuelle Version 5.2.9 zu installieren. Andernfalls könnten Angreifer, wenn bestimmte, nicht näher erläuterte Voraussetzungen erfüllt sind, Schadcode einschleusen und ausführen, warnen die Entwickler.

Erpressungs-Trojaner Locky kennzeichnet verschlüsselte Dateien mit .odin

Wenn plötzlich kryptische Dateinamen à la 473FGD-S732-TSDH.odin auf einem Windows-Computer auftauchen, dann hat die neue Locky-Variante zugeschlagen. Ransomware-Experten von Bleepingcomputer.com sind auf eine neue Locky-Version gestoßen, die verschlüsselte Dateien mit der Namenserweiterung .odin versieht. Ältere Varianten haben als Geisel genommene Dateien mit der Endung .locky beziehungsweise .zepto gekennzeichnet.

Verschlüsselungs-Anwendung VeraCrypt geprüft: Lücken gefunden und geschlossen

Sicherheitsforscher haben ein Audit von VeraCrypt durchgeführt und mehrere kritische Schwachstellen entdeckt. Die abgesicherte Version 1.19 ist bereits erschienen. Die Sicherheits-Prüfung der Verschlüsselungs-Anwendung VeraCrypt ist abgeschlossen. Sicherheitsforscher von QuarksLab haben acht kritische, drei mittelschwere und 15 als niedrig eingestufte Schwachstellen gefunden. Die gefährlichsten Lücken haben die Entwickler in der aktuellen Version 1.19 geschlossen, berichtet der Open Source Technology Improvement Fund (OSTIF), der QuarksLab mit dem Audit beauftragt hat.
Verschlüsselung aufbrechen. Ab sofort ist die Blockverschlüsselung GOST 28147-89 nicht mehr in VeraCrypt verfügbar. Den Sicherheitsforschern zufolge war die Implementierung fehlerhaft und unter gewissen Voraussetzungen können Angreifer Daten entschlüsseln. Wer die Blockverschlüsselung genutzt hat, sollte sich dem Risiko bewusst sein. Auch die Kompressions-Bibliotheken XUnzip und XZip haben die Entwickler aus Sicherheitsgründen entfernt und durch libzip ersetzt.

Oracles Critical Patch Update beseitigt 253 Sicherheitslücken

Mit seinem Sammel-Update sichert Oracle fast sein komplettes Portfolio ab. Die meisten Sicherheits-Updates bekommen die Communications Applications spendiert, dicht gefolgt von MySQL und Fusion Middleware.
Oracle hat für 2016 seine letzte Sammlung von Sicherheits-Updates veröffentlicht. Die Critical Patch Updates erscheinen immer quartalsweise. Dieses Mal schließt der Soft- und Hardware-Hersteller insgesamt 253 Schwachstellen in seinen Produkten. In einer Auflistung finden sich alle verwundbaren Produkte inklusive Details zu den Schwachstellen.


17.10.2016  Quelle:Heise

Identitätsdiebstahl: Banking-Trojaner Acecard will Selfies von Opfern knipsen

Ein Android-Schädling bittet seine Opfer inklusive Personalausweis vor die Kamera.
Der Android-Banking-Trojaner Acecard gibt sich auf infizierten Geräten nicht mehr mit dem Abziehen von Kreditkarten-Daten und Codes einer Zwei-Faktor-Authentifizierung zufrieden: Neuerdings fordert er seine Opfer auf, ein Selfie mit Personalausweis zu machen, berichten Sicherheitsforscher von McAfee.


14.10.2016  Quelle:Heise

„Tutuapp“: Chinesischer App Store mit Raubkopien verbreitet sich

Um an eine gehackte Version von Pokemon Go heranzukommen, installieren anscheinend immer mehr Jugendliche den dubiosen „Tutuapp“-Store auf ihren iPhones und Android-Smartphones. Der Weg für Malware ist dann frei.
„Tutuapp“, ein chinesischer App Store voller raubkopierter Apps wird unter jugendlichen Smartphone-Nutzern immer beliebter. „An der Schule meines Sohnes hat es jeder (!) installiert“, berichtet ein heise-online-Leser aus Österreich. Deutschsprachige Installationsanleitungen auf YouTube wurden hunderttausendfach abgerufen. Die meisten dieser Videos gehen mit keinem Wort auf die Sicherheitsrisiken durch Apps ein, die nicht aus den Stores von Apple oder Google stammen.

SSHowDowN: Zwölf Jahre alter OpenSSH-Bug gefährdet unzählige IoT-Geräte

Akamai warnt davor, dass Kriminelle unvermindert Millionen IoT-Geräte für DDoS-Attacken missbrauchen. Die dafür ausgenutzte Schwachstelle ist älter als ein Jahrzehnt. Viele Geräte sollen sich nicht patchen lassen.
Der Anti-DDoS-Anbieter Akamai ist eigenen Angaben zufolge auf Millionen von IoT-Geräten gestoßen, die Angreifer aufgrund eines zwölf Jahre alten OpenSSH-Bug (CVE-2004-1653) ausnutzen können. Versklavt in einem riesigen Botnetz sollen Kriminelle die Geräte für groß angelegte DDoS-Attacken missbrauchen.

Magento-Updates: Checkout-Prozess als Einfallstor für Angreifer

Sicherheits-Patches für das Shop-System schließen mehrere Lücken. Zwei davon gelten als kritisch.
Der Anbieter des Shop-Systems Magento hat die abgesicherte Community Edition 1.9.3 und Enterprise Edition 1.14.3 veröffentlicht. In diesen Versionen haben die Entwickler insgesamt 17 Sicherheitslücken geschlossen. Davon sind zwei mit dem Bedrohungsgrad kritisch, drei mit hoch, zehn mit mittel und zwei mit niedrig eingestuft.


13.10.2016  Quelle:Heise

Gezinkte Primzahlen ermöglichen Hintertüren in Verschlüsselung

Ein Forscherteam hat aufgezeigt, dass man durch geschickte Konstruktion einer Primzahl eine Hintertür in Verschlüsselungsverfahren einbauen kann. Nicht auszuschließen, dass dies bei etablierten Verfahren längst passiert ist.
Es klingt zuerst wie Mathematik für Nerds: Einem Forscherteam ist die Berechnung eines diskreten Logarithmus bezüglich einer 1024-bittigen Primzahl gelungen – in nur zwei Monaten Rechenzeit auf 2000 bis 3000 Kernen. Doch die Bedeutung des Papers A kilobit hidden SNFS discrete logarithm computation von Fried, Gaudry, Heninger und Thomé reicht viel weiter. Es zeigt nämlich auf, dass sich mit Hilfe geschickt konstruierter Primzahlen eine Hintertür in Verschlüsselungsverfahren einbauen lässt, die nach heutigem Stand der Forschung niemand entdecken kann. Ihrem Konstrukteur ermöglicht sie jedoch das unbemerkte Knacken der Verschlüsselung. Das wirft die Frage auf, ob das nicht längst geschehen ist und beispielsweise die NSA gezinkte Primzahlen in Verschlüsselungsstandards eingeschmuggelt hat.

Cisco schützt Meeting Server vor Eindringlingen

Über ein Schlupfloch könnten Angreifer im Namen von legitimen Nutzern chatten. Neben dieser kritischen Lücke stopft der Netzwerk-Ausrüster noch fünf mittelschwere Schwachstellen.

Neues WLAN im ICE nimmt Privatsphäre nicht so ernst

Eine Analyse des Chaos Computer Club Hannover offenbart, was die neue WLAN-Technik in ICEs über eingeloggte Nutzer preisgibt. Der für die Technik verantwortliche Anbieter Icomera hat offensichtlich einige Sicherheits-Grundlagen nicht berücksichtigt.


12.10.2016  Quelle:Heise

D-Link kündigt halbherzig Update für den LTE-Hotspot DWR-932B an

D-Link will mehrere Hintertüren im LTE-Alptraum-Hotspot DWR-932 (Revision B1) schließen. Andere Lücken will die Firma allerdings nicht angehen, da sie diese nicht für beachtenswert hält.

Sicherheits-Updates: Angreifer können Dells SonicWALL Email Security kapern

Durch die Kombination von zwei Lücken lassen sich Passwörter abgreifen und eigene Kommandos ausführen.

Adobe-Patchday: Flash mal wieder im kritischen Zustand

Diesen Monat stopft Adobe insgesamt 83 Sicherheitslücken in Acrobat, Flash und Reader. Das Flash-Update sollte man zügig installieren.

Microsoft-Patchday: Fünf kritische Sicherheitsfixes, vier wichtige und ein mittelschwerer

Ab diesem Monat verteilt Microsoft Updates (fast) nur noch als kumulative Rollup-Pakete. Mit verschiedenen Patches flickt der Konzern Lücken in Windows & Co. Aktuell sollen fünf Lücken aktiv unter Beschuss stehen.


11.10.2016  Quelle:Heise

Erpressungs-Trojaner DXXD nimmt Windows-Server ins Visier

Die Hintermänner der Ransomware haben ihren Schädling optimiert und das kostenlose Entschlüsselungs-Tool unbrauchbar gemacht. Zudem verspotten Sie Sicherheitsforscher öffentlich.

11.10.2016  Quelle:Golem

IAEA-Chef meldet AKW-Störfall durch Angriff auf IT

Befürchtet wird es seit langem: Der Chef der Internationalen Atomenergiebehörde hat erstmals öffentlich von einem „Cybervorfall“ in einem Atomkraftwerk gesprochen.


10.10.2016  Quelle:Heise

VMware stopft Informationsleck in Horizon View

Wichtige Sicherheits-Updates sollen VMware Horizon View unter Windows sicherer machen.
Die Fernzugriff-Anwendung Horizon View von VMware ist in verschiedenen Versionen unter Windows verwundbar. Davor warnt der Hersteller in einer Sicherheits-Warnung.


09.10.2016  Quelle:Heise

Mehr Sicherheit für das Internet der Dinge

Die vernetzten Geräte des Internet of Things (IoT) sammeln und verarbeiten immer mehr Daten, versagen jedoch häufig beim Schutz dieser Daten. Ein ausführlicher Leitfaden will bei der Entwicklung sicherer Geräte helfen.
Der Branchenverband Cloud Security Alliance (CSA) hat umfassende Richtlinien für die Entwicklung sicherer Geräte für das Internet der Dinge (IoT) veröffentlicht. Auf gut 75 Seiten nennt die Studie Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products eine Reihe konkreter Maßnahmen, um die Sicherheit vernetzter Geräte zu verbessern.


07.10.2016  Quelle:Heise

Sicherheits-Updates: Angreifer können Cisco-Switches kapern

Der Netzwerkausrüster kümmert sich um zwei als kritisch eingestufte Sicherheitslücken in Switches der Nexus-Serie und verteilt Sicherheits-Patches für 15 weitere Schwachstellen in verschiedenen Produkten.
Die Switches der Nexus-7000- und Nexus-7700-Serie sind verwundbar. Cisco stuft die Bedrohung in der Sicherheits-Warnung mit dem höchstmöglichen CVSS Score 10 von 10 ein. Angreifer sollen die Switches ohne Authentifizierung aus der Ferne nicht nur neu starten, sondern auch übernehmen können.

Lovoo-Sicherheitslücke ermöglicht Erstellung von Bewegungsprofilen

Über die Web-API des Dating-Dienstes ließen sich bis vor kurzem Informationen über Nutzer abrufen – auch ohne Login. Per Skript-Automatisierung können damit Bewegungsprofile erstellt werden.

Sicherheits-Updates: Angreifer können Cisco-Switches kapern

Der Netzwerkausrüster kümmert sich um zwei als kritisch eingestufte Sicherheitslücken in Switches der Nexus-Serie und verteilt Sicherheits-Patches für 15 weitere Schwachstellen in verschiedenen Produkten.

Vorsicht vor Verteilung von Malware via Steam-Chat

Aktuell häufen sich Hinweise, dass Kriminelle verstärkt über gekaperte Steam-Accounts Links zu Webseiten mit Trojanern verschicken.


06.10.2016  Quelle:Heise

Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr

Sicherheitsforscher warnen vor einer neuen Version der Ransomware, die nun unter anderem auch bestimmte laufende Prozesse beenden kann, um so Datenbanken in ihre Fänge zu bekommen.

Manipulierte JPEG2000-Bilder können Schad-Code Tür und Tor öffnen

Im Parser der OpenJpeg-Bibliothek (openjp 2.1.1) für JPEG2000-Bilder klafft eine Sicherheitslücke. Angreifer können Übergriffe mittels manipulierten Bildern dieses Formates einleiten und eigenen Code auf Systeme schieben. Das Problem dabei ist, dass viele PDF-Anwendungen über die Bibliothek Bilder in PDF-Dokumente einbetten und somit auch bedroht sind.

Sicherheits-Patches: Foxit beugt Angriffen auf Reader und PhantomPDF vor

Die PDF-Anwendungen Reader und PhantomPDF von Foxit sind verwundbar. Im schlimmsten Fall könnte ein Angreifer ohne Authentifizierung aus der Ferne Schad-Code ausführen und Systeme kapern, warnt Foxit.


05.10.2016  Quelle:Heise

DressCode-Malware: 400 Trojaner-Apps infiltrierten Google Play

In Googles offiziellen App Store haben sich Sicherheitsforschern von Trend Micro zufolge mehr als 400 mit der DressCode-Malware verseuchte Apps geschlichen. Einmal installiert, soll der Schadcode Smartphones in Wanzen verwandeln. Die Apps seien darauf spezialisiert, Daten aus gesicherten Firmen-Netzwerken zu kopieren.


04.10.2016  Quelle:Heise

Sicherheitspatches für VMAX-Storage-Systeme von Dell EMC

Die Enterprise-Storage-Systeme sind anfällig für Angriffe aus dem eigenen Netzwerk. Angreifer können die Kommunikation des Unisphere-Managers manipulieren und sich so vollen Zugriff zu den Netzwerkspeichern verschaffen.

Wer die Hersteller des IoT-DDoS-Botnets sind

Das IoT-DDoS-Botnetz Mirai sorgt derzeit für die größten bekannten DDoS-Angriffe mit einer Kapazität von mehr als 1 Tbit/s. Der Sicherheitsforscher Brian Krebs hat analysiert, wer die unsicheren Geräte herstellt. Der Sicherheitsforscher Brian Krebs hat Details zum Botnet veröffentlicht, dass seine Webseite vor zwei Wochen angegriffen hat. Zuvor wurde der Quellcode des Botnets in einem Hackerforum veröffentlicht, was eine genauere Analyse der verwendeten Taktiken ermöglicht.

Die Malware scannt offenbar das Netz nach Geräten ab, die mit Standardeinstellungen und ohne Firewall betrieben werden. Auch Network Adress Translation (Nat) hilft nicht immer, weil einige Geräte Portfreigaben über Upnp (Universal Plug and Play) einrichten und somit trotzdem über das Internet auffindbar sind. Bei den Geräten handelt es sich vor allem um IP-Kameras verschiedener Hersteller, darunter Dahua, Hisilicon, Mobotix und Shenzhen Anran Security Camera. Aber auch Geräte bekannterer Hersteller sind darunter, unter anderem eine Kamera von Toshiba, ein Router von ZTE und Realtek und Xerox-Drucker.

LTE-Hotspot als Sicherheitsalptraum: Der D-Link DWR-932B

Die Revision B des LTE-Hotspots DWR-932 hat eine ganze Reihe von Sicherheitslücken. Diese sind so zahlreich und schwerwiegend, dass Hacker geradezu die Wahl haben, wie sie das Gerät kapern wollen: Mittels der zwei SSH-Admin-Konten mit Standardpasswort, über Lücken im Webserver oder doch lieber über den Firmware-Update-Mechanismus mit Standardpasswörtern? Hinzu kommt die Möglichkeit, einen Telnet-Dienst über ein manipuliertes UDP-Paket starten zu können, eine Standard-PIN für das WPS des Hotspots und eine desaströse UPnP-Konfiguration.


28.09.2016  Quelle: Heise

Android-Schädling Tordow: Banking-Trojaner mutiert zum Super-Trojaner

Sicherheitsforscher warnen vor einer Banking-Malware, deren Funktionsumfang sämtliche Träume von Kriminellen erfüllen dürfte: Der Trojaner kann im Grunde alles mit infizierten Android-Geräten anstellen.


27.09.2016  Quelle: Heise

Neue Sicherheits-Updates: OpenSSL hat sich verpatcht

Admins sollten aufpassen, welche abgesicherten OpenSSL-Versionen sie einspielen: Die Patches aus der vergangenen Wochen haben zwei weitere Lücken aufgerissen. Aktualisierte Versionen stehen bereit.


26.09.2016  Quelle: Heise

iOS 10: Schwachstelle vereinfacht Attacken auf verschlüsselte Backups

Sicherheitsforscher haben eine Schwachstelle in passwortgeschützten iOS-10-Backups entdeckt, mit der sich Brute-Force-Attacken auf die iTunes-Backups von iPhones und iPads deutlich schneller ausführen lassen.


22.09.2016  Quelle: Heise

Internet Security Days 2016: Cyber-Angriffe der Geheimdienste vor allem gegen den Mittelstand

Die heute gestarteten ISD leitete der Vizepräsident des Bundesamts für den Verfassungsschutz mit einer Analyse der Bedrohungslage durch russische und chinesische Cyber-Spionage ein. Ziel seien vor allem mittelständische Firmen.

iTunes und iCloud: Apple fixt problematische Sicherheitslücken unter Windows

Mit zwei Updates behebt der iPhone-Hersteller Security-Probleme in zwei seiner beliebtesten PC-Apps. Das BSI rät zu einer schnellen Aktualisierung.

macOS Sierra beseitigt fast 70 Sicherheitslücken

Mit der neuen Version 10.12 hat Apple 68 Schwachstellen in macOS respektive OS X behoben, darunter kritische. Für ältere OS-X-Versionen liegt derzeit kein Sicherheits-Update vor.


19.09.2016  Quelle: Heise

Alert Lücke in Ciscos IOS-Systemen kann geheime Schlüssel offenlegen

In Cisco-Geräten mit verschiedenen Versionen des Betriebssystems IOS klafft eine Schwachstelle, die Angreifer zum Abziehen von Informationen missbrauchen können.

Erpressungs-Trojaner Stampado verleibt sich auch bereits verschlüsselte Daten ein

Ein Sicherheitsforscher warnt davor, dass Stampado sich selbst über bereits von anderer Ransomware verschlüsselte Dateien hermacht und diese nochmals verschlüsselt. Doch der Trojaner ist bereits geknackt.


16.09.2016  Quelle: Heise

Tausende NAS von Seagate missbraucht, um Malware zu verteilen

Sicherheitsforschern zufolge hat es Miner-C unter anderem auf Netzwerkspeicher von Seagate abgesehen, um von da aus Computer zu infizieren und Kryptowährung zu schürfen.
Anm. Cordes-IT: Auch netzwerkfähige WLAN-Festplatten von Seagate und LaCie sind betroffen. In der Standard-Konfiguration ist es möglich, ohne sich zu authentifizieren, Dateien hoch- und runterzuladen. Ebenfalls ist auf diesen Speichermedien ein undokumentierter Telnet-Zugang eingerichtet, der nicht deaktiviert werden kann.


15.09.2016  Quelle: Heise

Alert Cisco warnt vor Server-Übernahme und patcht diverse Lücken

Verschiedene Produkte von Cisco weisen Schwachstellen auf, für die nun Sicherheits-Updates verfügbar sind. Eine Lücke ist als kritisch eingestuft.


14.09.2016  Quelle: Heise

iOS 10 schließt Sicherheitslücken in Tastatur und Sandbox

Das Update auf iOS 10 räumt sieben Schwachpunkte aus, darunter eine mögliche Preisgabe „sensibler Informationen“ durch die Autokorrektur des Keyboards. watchOS 3 stopft eine Lücke.

Alert VMware-Sicherheitslücken: Virtuelle Drucker führen Schadcode aus

Virtuelle Maschinen, die unter der Windows-Version von VMware Workstation und ESXi laufen, können dazu missbraucht werden, Schadcode auszuführen. Unter OS[X] können die VMware Tools missbraucht werden, um Rechte in virtuellen Maschinen auszuweiten.

Microsoft warnt vor Rechteausweitung durch ASP.NET-Schwachstellen

Entwickler, die Web-Apps mit dem ASP.NET-Core-Framework bauen, sollten checken, ob sie verwundbare Module verwenden. Diese sollten gegen neuere Versionen ausgetauscht werden, um Missbrauch durch Angreifer zu verhindern.

Trojaner tarnte sich als Pokémon-Go-App und infizierte tausende Android-Geräte

Sicherheitsforscher warnen vor einem Android-Schädling, der sich als Pokémon-Go-App ausgibt. Der Trojaner soll infizierte Geräte unter anderem rooten und Werbe-Apps installieren können.

Adobe-Patchday: Flash jetzt patchen!

Kritische Lücken im Flash Player erlauben das Kapern von Rechnern. Adobe hat Updates veröffentlicht, um diese zu stopfen. Ebenso erhalten die eBook-Software Digital Editions und die Entwicklungswerkzeuge von AIR Patches.

Letzter klassischer Microsoft-Patchday bringt sieben kritische Updates

Heute können Windows-Admins zum letzten Mal auswählen, welche Windows-Updates sie am monatlichen Patchday installieren wollen. Ab nächsten Monat gibt es dann nur noch monolithische Rollup-Pakete.


13.09.2016  Quelle: Heise

iOS 10 und macOS Sierra: Apple schneidet alte Security-Zöpfe ab

Veralteter Verschlüsselung geht es an den Kragen: SSLv3, RC4 und PPTP gehören zu den Opfern der Verschlankungskur in Apples neuen Betriebssystemen.

Kritische MySQL-Lücke erlaubt das Kapern von Servern

Kritische Sicherheitslücken ermöglichen es Angreifern, Server über die Datenbank-Systeme MySQL, MariaDB und Percona komplett zu übernehmen. Oracle hat die Lücke in MySQL bisher nicht geschlossen.

Sicherheits-Updates für Xen-Hypervisor

Insgesamt vier Sicherheitslücken erfordern Updates. Für Debian, Oracle VM und Fedora gibt es aktualisierte Pakete.


11.09.2016  Quelle: Heise

Sicherheitsexperten finden IoT-Botnet

Eine Linux-Malware greift aktuell IoT-Geräte (Anm. Cordes-IT: IoT=Internet of things) wie IP-Kameras mit veralteter Firmware an. Das Besondere an diesem Schädling: Nach der Infektion verwischt er seine Spuren und bleibt nur im Arbeitsspeicher der Geräte präsent. Das erschwert die Analyse.

Android: Google-Sicherheitspatch vom September stopft erneute Stagefright-Lücke

Google behebt im Security Bulletin vom September mehrere Fehler in Android, darunter eine vom eigenen Team Zero gefundene Erweiterung des Stagefright-Bugs. Der Patch ist an die Hersteller ausgeliefert, einige haben schon Updates bereitgestellt.


10.09.2016  Quelle: Heise

WordPress 4.6.1 stopft zwei Lücken

Die Hersteller des CMS WordPress empfehlen, das Update auf WordPress 4.6.1 schnellstmöglich einzuspielen, da es zwei gefährliche Sicherheitslücken schließt. Installationen mit Auto-Update haben die neue Version automatisch in den vorigen Tagen bekommen.


08.09.2016  Quelle: Heise

Zugangsdaten von gesperrtem PC in 20 Sekunden geklaut

Was soll schon beim Kaffeeholen passieren, wenn der Bildschirm gesperrt ist? Ein Hacker, zeigt, wie er mit einem USB-Stick quasi im Vorbeigehen die Zugangsdaten abziehen kann.


07.09.2016  Quelle: Heise

Ungepatchte Lücken in Load-Balancern von Fortinet

Fortinet hat mit einem Update eine Sicherheitslücke in seinen Load-Balancern der FortiWAN-Serie geschlossen. Andere Lücken scheinen davon aber unbenommen, was es Angreifern erlauben würde, Admin-Kommandos ohne entsprechende Rechte auszuführen.


02.09.2016  Quelle: Heise

„Pegasus“-Spyware: Auch Sicherheitsaktualisierung für OS X 10.10 und 10.11 notwendig

Die Lücken, die die Spionagesoftware auf iPhone und iPad ausnutzen, stecken auch im Mac-Betriebssystem, das Apple nun patcht – eine Woche nach iOS.


31.08.2016  Quelle: Golem

Der Dropbox-Hack im Jahr 2012 ist wirklich passiert

Dropbox warnt zahlreiche Nutzer vor einem Einbruch in die eigenen Systeme aus dem Jahr 2012. Betroffene Accounts sollten mit einem neuen Passwort versehen werden.
Mitarbeiter des Cloudspeicherdienstes Dropbox haben bestätigt, dass Nuterzdaten von mehr als 68 Millionen Accounts veröffentlicht wurden. Die Informationen wurden demnach im Jahr 2012 bei einem Einbruch kopiert, auf den Dropbox damals auch hingewiesen hatte. Nur die Größe des Hacks war bislang unklar.
Betroffen sind Nutzer, die ihren Account vor dem Jahr 2012 erstellt und das Passwort seitdem nicht geändert haben. Etwa die Hälfte der Passwörter ist mit bcrypt gesichert und dürfte somit nur schwer zu entschlüsseln sein. Die andere Hälfte der Passwörter ist hingegen mit SHA1 mit Salt und somit schlechter gesichert.


29.08.2016  Quelle: Golem

Treiber der Android-Hersteller verursachen Kernel-Lücken

Die Zahl der Angriffe auf den Linux-Kernel in Android wächst sehr stark. Der mit Abstand größte Teil der bekannten Sicherheitslücken findet sich dabei in den Gerätetreibern der Hersteller, die mit der Kernel-Pflege offenbar überfordert sind.

Ransomware Fantom tarnt sich als dringendes Windows-Update

Die Malware ahmt die Vorgänge bei der Installation eines Windows-Updates vor und zeigt den üblichen Update-Bildschirm an. Gleichzeitig verschlüsselt sie im Hintergrund alle Dateien auf dem Rechner. Der Update-Bildschirm legt sich über alle aktiven Fenster und verhindert den Wechsel zu anderen offenen Anwendungen.

Polizei mahnt zur Vorsicht bei angeblich geänderter Bankverbindung

Kriminelle verschaffen sich Zugang zu einem Mail-Server und manipulieren ausgehende Mails so, dass der Empfänger glaubt, die Bankverbindung seines Geschäftspartners habe sich geändert. Der Polizei sind auch Fälle bekannt, in denen zusätzlich gefälschte Dokumente per Briefpost versandt wurden.


26.08.2016  Quelle: Golem

Ausgeklügelte Spyware attackiert gezielt iPhones

In iOS stecken Sicherheitslücken, die aktiv ausgenutzt werden und viel Schaden anrichten können. Angreifer erhalten weitreichenden Zugriff auf ein iPhone. Apple hat einen Patch veröffentlicht, mit dem die Sicherheitslücken geschlossen werden.
Pegasus wurde die Schadsoftware getauft, die seit einiger Zeit Geräte mit iOS zum Ziel hat. Das Sicherheitsunternehmen Lookout wurde auf die Spyware aufmerksam und hat sie gemeinsam mit Citizen Lab von der Universität Toronto analysiert. Die Schadsoftware soll gegen Menschenrechtler und Journalisten eingesetzt worden sein, um diese auszuspähen und zu überwachen.
Pegasus wurde vor zwei Wochen entdeckt und Apple habe nach Angaben von Lookout eng mit dem Sicherheitsunternehmen zusammengearbeitet, um die Sicherheitslücken zu schließen, die von Pegasus verwendet werden. Apple hat ein Update auf iOS 9.3.5 veröffentlicht, mit dem die bis dahin nicht bekannten drei Sicherheitslücken geschlossen werden. Ein Fehler im iOS-Kernel konnte dazu missbraucht werden, Code mit Kernel-Rechten auszuführen. Ein Sicherheitsloch in Webkit konnte dazu missbraucht werden, beliebigen Code auszuführen. Dazu musste das Opfer nur auf eine entsprechend präparierte Webseite geleitet werden.

Conrad Electronic: Warnung vor aktueller Betrugsmasche!

derzeit verbreitet sich in Deutschland zunehmend eine neue Betrugsmasche per E-Mail,
davor warnt aktuell das LKA Baden-Württemberg. „Wir haben unsere Bankverbindung
geändert.“ Mit diesem oder ähnlichen E-Mail-Betreffs versuchen Betrüger, ahnungslose
Kunden zum Öffnen einer solchen Betrugs-E-Mail zu bewegen, um einen noch offenen Rechnungsbetrag an eine neue Bankverbindung zu überweisen.

Wir von Conrad Electronic können Ihnen zusichern: Wenn sich unsere Bankverbindung
ändern sollte, würden wir Sie auf Ihrer Rechnung darauf hinweisen – nicht jedoch in
einer E-Mail.


25.08.2016  Quelle: Golem

Whatsapp teilt alle Telefonnummern mit Facebook

Es war wohl nicht anders zu erwarten: Zwei Jahre nach der Übernahme durch Facebook muss Whatsapp alle Telefonnummern an den Mutterkonzern weiterreichen. Die Verknüpfung mit einem Nutzer funktioniert aber nicht immer.
Facebook will die Daten von Whatsapp-Nutzern stärker für eigene Zwecke nutzen. Künftig würden die Telefonnummer des WhatsApp-Nutzers sowie Informationen zur Nutzungshäufigkeit an das weltgrößte soziale Netzwerk weitergegeben, teilte der Kurzmitteilungsdienst am Donnerstag mit. Bisherige Whatsapp-Nutzer könnten zumindest der Verwendung ihrer Daten für die personalisierte Facebook-Werbung widersprechen. Dazu haben sie noch 30 Tage lang Zeit, wenn sie den neuen Datenschutzbestimmungen zugestimmt haben.
Facebook erhält die Daten jedoch trotz des Widerspruchs und verwendet sie für andere Zwecke, „wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen“.
Allerdings sind Nutzer bei Facebook bislang nicht gezwungen, ihre Handynummer anzugeben. Das soll auch so bleiben. Die Whatsapp-Daten können jedoch auf andere Weise mit einem möglichen Facebook-Profil verknüpft werden. Über eine gemeinsame Identifikationsnummer sei dies möglich, wenn ein Whatsapp-Nutzer auch eine Facebook-App installiert habe, sagte ein Whatsapp-Sprecher auf Anfrage von Golem.de. Wenn dies jedoch nicht der Fall, sei eine Verknüpfung unter Umständen nicht möglich.


22.08.2016  Quelle: Golem

Hidden-Volumes sind nicht versteckt

Eine kritische Sicherheitslücke in Veracrypt und Truecrypt ermöglicht Angreifern, die Existenz eines Hidden-Volumes zu beweisen. Ein Patch ist verfügbar, Nutzer müssen jedoch aktiv werden.

Entwickler Mounir Idrassi hat einen schwerwiegenden Bug in Veracrypt bestätigt, der noch aus dem Truecrypt-Code stammt und Angreifern ermöglicht, eigentlich versteckte Volumes zu entdecken.


11.08.2016  Quelle: Golem

Mit dem Arduino 100 Millionen Autos öffnen

Mit einem Arduino und Hardware im Wert von 40 US-Dollar lassen sich fast alle Modelle der VW-Gruppe aus den vergangenen 15 Jahren öffnen – sagen Sicherheitsforscher. Das Unternehmen hat die Lücke eingeräumt. 14 weitere Autohersteller sind betroffen.


09.08.2016  Quelle: Heise

VMware: Über Sicherheitslücke Code im Gast-System ausführbar

Verschiedene Anwendungen von VMware für den Umgang mit virtuellen Maschinen sind verwundbar. Sicherheits-Patches stehen bereit.

In den Virtualisierungs-Produkten ESXi, Fusion, Player, Tools und Workstation von VMware klaffen zwei Schwachstellen. Davon sind verschiedene Versionen für Linux, OS X und Windows betroffen. Das Notfallteam des BSI zeigt die betroffenen Versionen in einer Sicherheits-Warnung auf. Sie stufen das von einer Lücke ausgehende Risiko als hoch ein. VMware hat bereits reagiert und stellt abgesicherte Versionen zum Download bereit.

Eine der Schwachstellen (CVE-2016-5330) betrifft Windows-Gast-Systeme. Um einen Übergriff einzuleiten, müssen Angreifer Opfer dazu bringen, ein manipuliertes Dokument zu öffnen. Anschließend könnten Angreifer aus einem benachbarten Netzwerk mit den Rechten des Nutzers auf dem Gast-System eigenen Code ausführen.

Wer ein ESXi-System auf den neuesten Stand gebracht hat, muss auch die VMware-Tools auf jedem Windows-Gast-System aktualisieren, auf denen das Shared-Folder-Feature läuft.

QuadRooter: Verwundbare LTE-Chips sollen über 900 Millionen Android-Geräte gefährden

In Qualcomm-Chips für den Mobilfunk-Empfang von unzähligen Android-Geräten klaffen vier Schwachstellen. Im schlimmsten Fall könnten Angreifer Geräte kapern, warnt Check Point.

Sicherheitsforscher von Check Point sind auf vier Sicherheitslücken in Qualcomm-Chips für den LTE-Empfang gestoßen. Davon sollen mehr als 900 Millionen Android-Smartphones und -Tablets betroffen sein.

Nutzt ein Angreifer eine der Lücken aus, könne er Root-Zugriff auf gefährdete Geräte bekommen, warnen die Sicherheitsforscher in einem Blog-Eintrag. In dieser Position könnten Angreifer etwa Daten auslesen und Nutzer tracken; im Grunde haben sie das komplette Gerät gekapert. Check Point taufte die Schwachstellen mit dem Namen QuadRooter.

Als Bespiele von betroffenen Geräte zählt Check Point unter anderem das HTC One, Nexus 6 und Samsung Galaxy S7 auf. Besitzer von Android-Geräten können über die kostenlose QuadRooter-Scanner-App prüfen, ob sie gefährdet sind.

Um die Lücken ausnutzen zu können, müssen Angreifer Opfern jedoch eine präparierte App unterjubeln, schildern die Sicherheitsforscher. Diese App benötige ihnen zufolge keine besonderen Berechtigungen und verhalte sich im Betrieb nicht verdächtig. Man sollte also aufpassen, aus welchen Quellen man Apps installiert. Check Point empfiehlt, Apps ausschließlich aus Google App Store zu laden.

Setzen Angreifer an einer der QuadRooter-Lücken an, können sie Nutzer-Rechte ausweiten und via Root-Zugriff die Kontrolle über verwundbare Geräte übernehmen.


05.08.2016  Quelle: Heise

iOS 9.3.4: Apple schließt Jailbreak-Schwachstelle

Gut zwei Wochen nach iOS 9.3.3 hat Apple ein weiteres Update für iPhone und iPad nachgeschoben: iOS 9.3.4 beschränkt sich auf ein „wichtiges Sicherheitsupdate“.

Apple hat innerhalb kurzer Zeit ein neues Update für iPhone, iPad und iPod touch veröffentlicht: iOS 9.3.4 ist ein „wichtiges Sicherheitsupdate“, schreibt der Hersteller und empfiehlt allen Nutzern die Installation. Probleme in der Speicherverwaltung von IOMobileFrameBuffer ermöglichen einer iOS-App nämlich, beliebigen Code mit Kernel-Rechten auszuführen, erklärt Apple – dies soll iOS 9.3.4 ausräumen.


04.08.2016  Quelle: Golem

Timing- und Kompressionsangriff auf TLS

Durch die geschickte Kombination eines Timing-Angriffs in Javascript und der bereits bekannten Breach-Attacke ist es möglich, Geheimnisse in TLS-Verbindungen zu entschlüsseln. Anders als früher ist dafür kein Man-in-the-Middle-Angriff nötig.

Zwei Forscher der Universität Leuven haben auf der Sicherheitskonferenz Black Hat in Las Vegas einen neuen Angriff gegen HTTPS-verschlüsselte Webseiten namens HEIST vorgestellt (HTTP Encrypted Information can be Stolen through TCP-windows). Dieser kombiniert einen Timing-Angriff mittels Javascript mit bereits bekannten Schwächen von TLS in Kombination mit komprimierten Daten.

Forscher kopieren Chipkarten mit dünnen Lesegeräten

Sind Bankkarten mit Chip und Pin doch nicht so sicher, wie immer behauptet? Mit Hilfe sogenannter Shimmer soll es möglich sein, EMV-Bankkarten auszulesen und Geldautomaten zu plündern.

Mit der zunehmenden Verbreitung des EMV-Verfahrens zum Schutz vor manipulierten Bankkarten häufen sich die Angriffe auf das System. Wie Mitarbeiter des Sicherheitsunternehmens Rapid7 auf der Hackerkonferenz Black Hat demonstrierten, lässt sich mit Hilfe spezieller Geräte die Kommunikation zwischen Bankkarten-Chip und Geldautomat auslesen und für eine Plünderung von Geldautomaten verwenden. Dabei kommt offenbar ein sogenannter Shimmer zum Einsatz, wie er bereits vor einem Jahr in Mexiko entdeckt worden war.

Das sogenannte EMV-Verfahren soll das einfache Klonen von Bankkarten mit Magnetstreifen verhindern. In den USA, Lateinamerika und Asien beginnen Banken aber erst jetzt mit der Umstellung. Kriminelle, aber auch Sicherheitsforscher, suchen daher vermehrt nach Sicherheitslücken in dem System. So war Anfang des Jahres bekanntgeworden, dass auch Karten mit dem Chip-und-PIN-Verfahren kopiert werden können. Missbrauch ist dann möglich, wenn Banken beispielsweise auf eine aufwendige Kryptoprüfung verzichten.

Cicsos neuer Patch für den Patch

Cisco veröffentlicht erneut ein Update für mehrer WLAN-Produkte für KMU. Bereits im Juni wurden die Geräte mit einem Patch versehen. Die Modelle RV110W, RV130W und RV215 litten unter einem HTTP-Parsing-Leck, das Cisco dann im Juni vermeintlich behoben hatte. Jetzt muss Cisco erneut Sicherheitspatches veröffentlichen. Die Geräte lassen sich über ein Leck im Command Line Interface angreifen. Allerdings muss der Angreifer lokalen Zugriff auf das Gerät haben, wie Cisco warnt.

End of Life

Die Modelle RV180 VPN Router oder den RV180W Wireless-N Multifunction VPN Router leiden darüber hinaus an einem kritischen Leck, das Cisco aber nicht mehr beheben wird, weil die Geräte nicht mehr unterstützt werden. Hier sorg ein HTTP-Validation-Bug dafür, dass Angreifer beliebige Befehle mit Administratorrechten ausführen können. Auch kann eine unautorisierte Person Verzeichnisse sehen, die nicht öffentlich sein sollten. Als Workaround empfiehlt Cisco, den Remote-IP-Zugriff auf die Geräte zu begrenzen. Das behebet zwar den Fehler nicht, damit ist er aber wenigsten nicht mehr aus der Ferne ausnutzbar.


30.07.2016  Quelle: Heise

WhatsApp hinterlässt auf dem iPhone Spuren gelöschter Chat-Einträge

Der Sicherheitsexperte Jonathan Zdziarski warnt vor einer gravierenden Sicherheitslücke in der iOS-Version des weit verbreiteten Messengers WhatsApp. Demnach bleiben gelöschte Chats weiterhin auf dem Gerät gespeichert.


28.07.2016  Quelle: Heise

Phishing-Angriff auf Pollin-Kunden

Bei heise Security haben sich mehrere Kunden des Elektronikhändlers Pollin gemeldet, die befürchten, dass ihre persönlichen Daten einschließlich Bankverbindung bei dem Händler kopiert wurden.

Passwort-Manager Lastpass veröffentlicht Sicherheitsupdate

Die Lastpass-Entwickler haben mit einem automatisch verteilten Update für Firefox-Nutzer die von Tavis Ormandy entdeckte Sicherheitslücke geschlossen.


27.07.2016  Quelle: Golem

Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS

Besonders in öffentlichen Netzwerken schützen verschlüsselte HTTPS-Verbindungen davor, dass Admins oder gar andere Nutzer im gleichen Netz den eigenen Datenverkehr belauschen. Dieser Schutz ist offenbar löchrig – und zwar auf fast allen Browsern und Betriebssystemen.

Jailbreak für iOS 9.3.3 ist da

Fast zeitgleich zur Veröffentlichung von iOS 9.3.3 ist der passende Jailbreak erschienen. Vorerst ist nur eine Entsperrung von iOS-Geräten mit 64-Bit-Prozessor unter Windows möglich.


26.07.2016  Quelle: Golem

Sicherheitslücke macht auch Smartphones angreifbar

Große Teile der Mobilfunkinfrastruktur sind laut Sicherheitsforschern über eine Lücke in einer Software-Bibliothek gefährdet. Ein Fix steht zwar bereit, doch Updates wird es für die meisten Geräte wohl nicht geben.


21.07.2016  Quelle: Golem

Frankreichs Datenschützer kritisieren Windows 10

Die französische Datenschutzbehörde CNIL äußert Kritik an Windows 10. Das Nutzerverhalten würde von Microsoft zu intensiv überwacht und auch bei der Sicherheit gebe es Probleme. Microsoft wird aufgefordert, das bisherige Verhalten zu ändern.


19.07.2016  Quelle: Golem

Gefährliche Proxy-Variablen

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

19.07.2016  Quelle: Heise

Apple aktualisiert alle seine Betriebssysteme

iOS 9.3.3, OS X El Captian 10.11.6, watchOS 2.2.2 und tvOS 9.2.2 stehen zum Download bereit – und beheben Fehler vor dem nächsten großen Update.

Vodafone Easybox soll manipulierte Firmware ohne Passwort akzeptieren

Durch eine Kombination zweier Sicherheitsprobleme ist es angeblich möglich, eine manipulierte Firmware in die Easybox 804 einzuspielen. Der Entdecker der Lücke hatte im Vorfeld vier mal erfolglos versucht, Vodafone darüber zu informieren.

Aufgrund einer Schwachstelle soll es möglich sein, manipulierte Firmware-Images in die EasyBox 804 von Vodafone einzuspielen. Ein Angreifer kann den Router ohne Passwortabfrage oder physischen Zugriff auf Werkseinstellungen zurücksetzen. Anschließend ist die Firmware-Update-Funktion zugänglich, deren Nutzung normalerweise eine Authentifizierung erfordert.

Der WLAN-Router lässt sich über sein Web-Interface ohne Authentifizierung auf Werkseinstellungen zurücksetzen. Hierzu muss ein Angreifer lediglich die Passwort-Vergessen-Funktion aktivieren und ein Captcha lösen, wie der Entdecker der Schwachstelle, Tim Schughart von der Security-Firma ProSec Networks, gegenüber heise Security erklärte. Anschließend hat der Angreifer Zugriff auf die Firmware-Update-Funktion, die normalerweise erst nach Eingabe des Admin-Passworts zugänglich ist.

Der Entdecker der Lücke hatte nach eigenen Angaben versucht, Vodafone im Vorfeld über die Schwachstelle zu informieren. Seit dem 1. April hat er vier erfolglose Kontaktversuche über die Hotline gestartet. Schughart erklärte, dass ihm das Unternehmen zugesichert hatte, sich im Nachgang bei ihm zu melden, um Details einzuholen. Dies sei jedoch nie passiert. heise Security hat Vodafone um eine Stellungnahme gebeten.


18.07.2016  Quelle: Golem

Juniper vergisst Signaturprüfung

Geräte des Netzwerkausrüsters Juniper akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur findet schlicht nicht statt.
Erneut muss die Firma Juniper einräumen, dass sich in ihren Produkten eine schwerwiegende Sicherheitslücke befindet. Wie die Nachrichtenseite Ars Technica berichtet versäumen es Produkte mit dem Junos-Betriebssystem offenbar, die Signatur von Zertifikaten zu prüfen. Es reicht bereits, wenn der Name des Zertifikatsausstellers korrekt ist.
Die üblicherweise verwendeten X.509-Zertifikate enthalten ein Feld, in dem der Aussteller des Zertifikats genannt ist. Üblicherweise wird zunächst anhand dieses Feldes nach einem passenden Root-Zertifikat gesucht und dann die Signatur verglichen. Doch den zweiten Schritt hat Juniper offenbar komplett ausgelassen.


07.07.2016  Quelle: Heise

BIOS-Lücke bedroht nicht nur Lenovo-Computer

Die vom Sicherheitsforscher Dmytro Oleksiuk entdeckte und mit dem Namen ThinkPwn getaufte BIOS-Lücke gefährdet nicht nur diverse ThinkPad-Modelle aus dem Hause Lenovo. Wie Oleksiuk und weitere Sicherheitsforscher nun herausfanden, sind auch verschiedene Geräte von Dell, Fujitsu, Gigabyte und HP bedroht. In einem stetig aktualisierten Beitrag listen die Sicherheitsforscher betroffene Modelle auf.
Angreifer können über die Schwachstelle beliebigen Code auf Systeme schieben und ausführen. Dafür müssen sie aber über lokale Admin-Rechte verfügen. In dieser Position kontrollieren Angreifer schon per se ein System; über die Lücke können sie aber noch mehr Schaden anrichten.
So ist es vorstellbar, den Schreibschutz der Firmware auszuhebeln, um etwa ein BIOS-Rootkit zu installieren. Möglich ist es auch, dass Angreifer via ThinPwn den hochsicheren Credential Guard von Windows 10 aufbrechen, um Passwörter zu klauen. Auf den Credential Guard kann sonst nur privilegierte System-Software zugreifen.

Auch Standard-Passwort von Unitymedia-Router leicht zu rekonstruieren

Der Internet-Provider Unitymedia rät seinen Kunden mit dem WLAN-Router Ubee EVW3226 unbedingt das Standard-Passwort durch ein individuelles zu ersetzen, teilte ein Pressesprecher gegenüber heise Security mit. Der Router-Typ ist angreifbar und über ein Tool kann man das Kennwort auslesen und sich so in fremde Netzwerke einloggen. Wer bereits ein eigenes Passwort gesetzt hat, ist nicht bedroht.


04.07.2016  Quelle: Golem

Android-Geräteverschlüsselung ist angreifbar

Mehrere Schwachstellen in Android ermöglichen Angreifern, Zugriff auf Verschlüsselungskeys zu bekommen. Google hat die konkreten Lücken gepatcht, doch das Grundproblem bleibt: Die Schlüssel sind für die Software zugänglich. Nutzer können nur wenig tun. Betroffen sind Android Smartphones mit Android 5.0 oder höher, deren Speicher verschlüsselt wurde (full disk encrytion). Besonders gefährdet sind Geräte mit Snapdragon-Chips von Qualcomm.

Der Sicherheitsforscher Gal Beniamini hat einen Angriff auf die Gerätevollverschlüsselung von Android-Smartphones vorgestellt. Angreifer können seinen Angaben zufolge mit Hilfe extrahierter Informationen und einem Brute-Force-Angriff das verwendete Passwort knacken und damit die verschlüsselten Informationen auslesen. Der Angriff funktioniert nur auf Android-Geräten mit einem Qualcomm-Chipsatz, der jedoch bei mittel- und hochklassigen Geräten weit verbreitet ist.

Anders als bei Apple-Geräten wird der Prozess der Schlüsselerstellung (Key Derivation) durch Software bestimmt. Apple leitet den persönlichen Schlüssel der Nutzer aus dem gewählten Passwort und einer einmaligen, fest vergebenen Variable in einem bestimmten Speicherbereich ab. Dieser Unique Identifier (UID) ist 256-Bit lang und agiert als Hardwareschlüssel. Dieser Schlüssel kann nicht durch Software ausgelesen werden und ist für Angreifer damit nur mit extremem Aufwand zugänglich.

04.07.2016  Quelle: Heise

Großes Sicherheits-Update für Foxit Reader und Phantom

Das Update auf Foxit Reader 8 schließt eine Reihe von Sicherheitslücken, durch die ein Angreifer schlimmstenfalls Schadcode auf den Rechner schleusen kann. Es handelt sich unter anderem um einen Pufferüberlauf auf dem Heap, der bei der Verarbeitung von TIFF-Dateien auftritt.
Neben dem PDF-Viewer namens Foxit Reader betreffen die Lücken auch den PDF-Editor Foxit Phantom. Wer die Programme nutzt, sollte sicherstellen, dass die aktuelle Version 8 installiert ist. Der Hersteller macht dies deutschsprachigen Nutzern allerdings nicht ganz so leicht: Die übersetzte Variante der Foxit-Homepage preist derzeit noch die veraltete Version 7 als besonders sicher an. (rei)


30.06.2016  Quelle: Heise

Sicherheitsleck in vernetzten Alarmsystemen

Alarmanlagen zählen eigentlich nicht zu den Kernfeldern der IT-Berichterstattung. Doch in den vergangenen Jahren sind Funk-Alarmsysteme immer beliebter geworden, die sich mit wenig Aufwand nachrüsten lassen und per SMS oder Internet übers Smartphone bedienbar sind. Spätestens als die Alarmsysteme eine Netzwerkschnittstelle und rudimentäre Smart-Home-Funktionen mitbrachten, wurden sie ein Fall für die c’t.

So schaffte es auch die vernetzte Funk-Alarmanlage Q3200 von Blaupunkt ins Heft (c’t 8/16, S. 56). Das Produkt hatte manche Kanten, eher am Rande stießen wir auf ein undokumentiertes Web-Interface. Erst über dieses Interface ließ sich die Anlage präzise konfigurieren. Stutzig machte uns der für eine Alarmanlage recht lax gehandhabte Login-Prozess: Voreingestellt war der Nutzer „admin“ mit dem passenden Passwort „admin1234“. Auf den ersten Blick wirkt das zwar schlampig, aber wenig problematisch – schließlich arbeitet die Anlage ja nur im lokalen Netz. Oder doch nicht?

Von diesem Punkt aus zog die Recherche ihre Kreise. Blaupunkt ist nur die Marke, unter der der taiwanische OEM-Hersteller Climax Technology in Deutschland seine Anlagen verkauft. Climax zählt zu den Großen in der Sicherheitsbranche. Die Firma vertreibt ihre Produkte in einigen Märkten unter eigenen Label, doch noch viel häufiger ist sie als Hardware-Lieferant für andere Marken aktiv. In Deutschland bekommt man die Climax-Hardware daher nicht nur von Blaupunkt, sondern auch von Egardia oder Lupus Electronics.


29.06.2016  Quelle: Symantec

Facebook-App verschickt Telefonnummer auch ohne Login

Datenpanne bei Facebook: Laut Symantec verschickt die offizielle Android-App die Telefonnummer des Geräts an Facebook, bevor sich der Anwender überhaupt angemeldet hat.

29.06.2016  Quelle: Heise

Kritische Lücken in fast allen Antiviren-Produkten von Symantec und Norton

Ein Sicherheitsforscher warnt vor extrem gefährlichen Sicherheitslücken in Symantec Endpoint Protection, Norton 360 & Co. Wer derartige Produkte einsetzt, sollte umgehend reagieren.

Der Security-Experte Tavis Ormandy von Googles Project Zero ist auf kritische Sicherheitslücken in nahezu allen Antiviren-Produkten von Symantec und Norton gestoßen. Neben den Windows-Versionen sind auch die für Linux, OS X und UNIX betroffen. Über die Lücken können Angreifer ohne viel Aufwand Schadcode auf Computer schieben und ganze Netzwerke kompromittieren.

Die Schwachstellen klaffen bereits in den Standard-Konfigurationen, sodass jeder der ein entsprechendes Antiviren-Produkt installiert hat, bedroht ist. Zudem setzt Symantec verwundbare Open-Source-Software in seiner Decomposer-Bibliothek ein, die seit sieben Jahren nicht aktualisiert wurde, erläutert Ormandy.
Ormandy warnt, dass die Anwendungen mit den höchstmöglichen Rechten laufen. Windows führt den verwundbaren Code sogar im Kernel aus. Angreifer können so aus der Ferne Speicherfehler im Kernel provozieren. Auf UNIX-Systemen kann man immer noch Root-Rechte erlangen. Doch es kommt noch schlimmer: Eine Infektion soll von Computer zu Computer springen können und so über das Netzwerk oder sogar das Internet immer mehr Maschinen in Mitleidenschaft ziehen.
Angreifer sollen die Lücken Ormandy zufolge ausnutzen können, ohne dass ein Opfer etwas machen muss. In der Regel beginnt ein Angriff mit dem Aufrufen einer präparierten Webseite oder dem Öffnen eines Datei-Anhangs mit Schad-Code. Aufgrund der zentralen Position der AV-Software reicht in diesem Fall jedoch schon der Empfang einer E-Mail mit Schadcode im Datei-Anhang aus, um einen Angriff einzuleiten.


27.06.2016  Quelle: Golem

Darknet-Handel

Nutzerdaten von Telekom-Kunden werden verkauft

Mehr als 60.000 E-Mail-Adressen mit den zugehörigen Passwörtern deutscher Telekom-Kunden sollen auf einer Darknetplattform angeboten werden. Das Unternehmen hält die Daten für echt und rät zum Passwortwechsel. Für einen Hack der Telekom-Server gebe es keinen Hinweis.

27.06.2016  Quelle: Heise

Die neue Version 4.5.3 des Content-Management-Systems schließt zwölf Schwachstellen. Im schlimmsten Fall könnten Angreifer Web-Seiten kapern. Auch das beliebte Plug-in Jetpack ist in einer abgesicherten Version erschienen.

Bei WordPress 4.5.3 handelt es sich in erster Linie um ein Sicherheits-Release, das zwölf Lücken schließt. Von den Schwachstellen sind alle Versionen bis einschließlich 4.5.2 bedroht, warnen die Entwickler.

Nutzen Angreifer Lücken aus, können sie unter anderem Web-Seiten lahmlegen und Passwörter zum Übernehmen einer Seite abgreifen. Wer das Content-Managment-System nutzt, sollte zügig aktualisieren. Ein Update gelingt über das Dashboard; wer möchte, kann diesen Prozess automatisieren.

Wichtige Fixes für Jetpack

Das beliebte Plug-in Jetpack zum Optimieren der Geschwindigkeit von WordPress-Seiten hat ebenfalls ein Sicherheits-Release erhalten. In der neuen Version 4.0.4 haben die Entwickler drei Schwachstellen abgesichert. So kann man nun sicherer via E-Mail posten, eine XSS-Lücke im Like-Modul wurde geschlossen und das Ausspähen von Feedback über die Kontakt-Möglichkeit soll nun nicht mehr möglich sein. (des)


23.06.2016  Quelle: Heise

Kritische Sicherheitslücken in libarchive gefährden FreeBSD & Co.

Sicherheitsforscher entdecken drei schwerwiegende Sicherheitslücken in der Open-Source-Bibliothek libarchive. Patches stehen noch nicht nicht für alle Tools bereit, die auf libarchive setzen.

Die Open-Source-Bibliothek libarchive ist verwundbar. Libarchive kümmert sich in verschiedenen Szenarien um den Zugriff auf diverse Archiv-Formate. Angreifer können über die Lücken eigenen Code auf Computer schleusen, warnen Kryptologen der Cisco-Tochter Talos.

Mittlerweile seien die Schwachstellen in der libarchive-Version 3.2.1 gestopft, versichert Talos. Libarchive kommt jedoch bei vielen Produkten unter Linux, OS X und Windows zum Einsatz. Nutzer von etwa Ark, FreeBSD oder GnuWin32 sollten Ausschau nach abgesicherten Versionen halten.

Um die Lücke mit der Kennung CVE-2016-4300 ausnutzen zu können, genüge den Sicherheitsforschern zufolge ein präpariertes 7-Zip-Archiv. Dieses könnten Angreifer über betrügerische E-Mail verbreiten. Öffnet ein potentielles Opfer das Archiv mit einer verwundbaren Version von libarchive, kommt es zu einem Pufferüberlauf und Angreifer können Schadcode ausführen. Mit speziellen RAR-Archiven lässt sich die Schwachstelle CVE-2016-4302 ausnutzen und ebenfalls ein Speicherfehler vom Zaun brechen.

Die Lücke CVE-2016-4301 klafft in einem Code-Teil von libarchive, der eigentlich Speicherfehler verhindern soll. Aufgrund einer mangelnden Überprüfung können Angreifer jedoch genau dort ansetzen und einen Pufferüberlauf provozieren. (des)


22.06.2016  Quelle: Heise

DHL Packstation: Sicherheitslücke begünstigt Missbrauch der fast 3000 Paketautomaten

Durch die mTAN-Lücke in DHLs Packstationen hatten es Hacker unnötig leicht, die Paketfächer der DHL-Kunden zu übernehmen. Nachdem c’t das Versandunternehmen über das Problem informiert hatte, schaltete es die betroffene Funktion mit etwas Verzögerung ab.


21.06.2016  Quelle: SZ

Telekom ruft alle T-Online-Kunden auf, ihr Passwort zu ändern

Die Zugangsdaten von bis zu 120 000 T-Online-Kunden sind in Schwarzmarkt-Foren im Internet aufgetaucht. Eine Stichprobe habe ergeben, dass die Daten „teilweise echt und aktuell“ seien. Die Telekom empfiehlt ihren Kunden, die Passwörter zu ändern.

Die Deutsche Telekom ruft alle T-Online-Kunden auf, ihre Passwörter zu wechseln. Zwei Informanten hätten dem Konzern Hinweise gegeben, dass derzeit Zehntausende Login-Daten in Untergrund-Foren im sogenannten Darknet angeboten würden. Eine Quelle habe von 64 000, die andere von 120 000 Datensätzen gesprochen. Die Telekom hat die Sicherheitsbehörden eingeschaltet und Anzeige bei der Staatsanwaltschaft erstattet.


15.06.2016  Quelle: Heise

Adobe-Patchday lässt kritische Flash-Lücke ungepatcht

Adobe hat zum monatlichen Patchday Lücken in ColdFusion, der Adobe Creative Cloud, seinem quelloffenen Texteditor Brackets und im Digital Negative (DNG) Development Kit geschlossen. Nur Patches für den Flash Player such man vergebens, und dabei klafft eine kritische Lücke in der Software (CVE-2016-4171), die laut Kaspersky bereits für gezielte Angriffe missbraucht wird. Adobe will diese Lücke nach eigenen Angaben „frühestens am 16. Juni“ stopfen. Das ist nun schon das zweite Mal, dass Adobe kritische Flash-Patches um ein paar Tage verschleppt.

Update: Seit 17.06.2016 gibt es einen Patch für die Sicherheitslücke.

Netgear-Router dank festinstallierter Schlüssel einfach zu knacken

Die Router D6000 und D3600 können von Angreifern gekapert werden, da sie fest installierte Krypto-Schlüssel nutzen, die immer gleich sind. Außerdem lässt sich das Administrator-Passwort sehr einfach auslesen.


14.06.2016  Quelle: TrendMicro

Schädling erpresst Smart-TV-Besitzer

Die Ransomware Flocker treibt schon seit über einem Jahr ihr Unwesen auf Android-Geräten. Die Bildschirme der befallenen Geräte werden gesperrt und die Besitzer werden zur Zahlung eines Lösegelds erpresst, um wieder den Zugriff auf das Gerät zu erhalten.

Dabei wird der Bildschirm des Smart-TV gesperrt und auf dem Fernseher erscheint ein Warnhinweis, der von einer US Cyber-Polizei oder einer anderen angeblichen Strafverfolgungsbehörde stamme. Dem Smart-TV-Besitzer wird erklärt, er habe gegen Gesetze verstoßen. Die Strafe solle mittels iTunes Geschenkkarten im Wert von 200 US-Dollar beglichen werden. Erst dann erhalte der Nutzer wieder den vollen Zugriff auf den Fernseher.

Sollte der Fernseher in einem osteuropäischen Land wie Ukraine, Russland oder Bulgarien stehen, dann deaktiviert sie sich selbstständig. Das lässt zumindest die Vermutung zu, dass der Urheber der Ransomware aus Osteuropa stammt.
Steht der Fernseher dagegen in einem anderen Land, dann startet die Ransomware nach 30 Minuten einen Hintergrundprozess, der das Gerät befällt. Dabei nimmt die Flocker-Variante Kontakt zu einem C&C-Server (Command and Control) auf, um von diesem die weiteren Befehle zu erhalten. An den C&C-Server werden alle auf dem Gerät ermittelten Daten gesendet, wie beispielsweise Geräteinformationen, Kontakte und der Standort.

Trend Micro empfiehlt den betroffenen Smart-TV-Besitzern den Hersteller des Geräts zu kontaktieren. Ein anderer Weg, um den Erpresserschädling wieder loszuwerden, sei, das ADB-Debugging auf dem Gerät zu aktivieren, wenn das überhaupt noch möglich ist. Anschließend könne dann über ein PC eine ADB-Verbindung zum Gerät hergestellt und dann die Ransomware gelöscht werden. Dabei genüge oft der Befehl „PM clear %pkg%“ in der ADB-Shell.

Grundsätzlich sollten alle Nutzer keinerlei Links anklicken, die von einem unbekannten Absender stammen. Außerdem sollten die Android-Geräte immer mit einer aktuell gehaltenen Sicherheitssoftware geschützt werden.


14.06.2016  Quelle: Heise

Virenscanner infiziert Systeme mit Sality-Virus

Durch ein Update des Virenscanners Rising landet eine infizierte Datei auf dem System, die sich dann daran macht, den Sality-Virus weiter zu verbreiten.
Wer den kostenlosen Virenscanner Rising nutzt, sollte diesen sofort abschalten und wenn möglich deinstallieren. Denn durch die automatische Update-Funktion landet unter Umständen der Sality-Virus auf dem System und infiziert dieses.


13.06.2016  Quelle: Heise

Exploit Kits umgehen erweiterten Windows-Schutz

Mit Tools wie Microsofts EMET kann man ein Windows-System gegen Angriffe härten. Doch die Angreifer schlafen nicht. FireEye hat jetzt erstmals ein Exploit-Kit gesichtet, das ganz gezielt die zusätzlichen Schutzmechanismen von EMET umgeht, um sein Ziel zu erreichen: Das System des Opfers mit Malware wie Erpressungs- oder Online-Banking-Trojanern zu infizieren.
Das Enhanced Mitigation Experience Toolkit (EMET) härtet Anwendungen nachträglich gegen bekannte Attacken ab. Die Software ermöglicht es, Schutzmechanismen in fertigen Binaries zu aktivieren, auch wenn der Quellcode des Programms gar nicht vorliegt. Enhanced Mitigation Experience Toolkit (EMET) begrenzt zudem die Auswirkungen von Exploits.


10.06.2016  Quelle: Heise

AVM warnt vor Telefonmissbrauch bei Routern mit älterer Firmware

Fritzbox-Hersteller AVM warnt aktuell vor Telefonmissbrauchs-Angriffen auf seine Router. Betroffen sind laut der Mitteilung allerdings nur „seltene Konfigurationen in Verbindung mit älteren FRITZ!OS-Versionen“. Nutzer sollten darauf achten, dass ihre Geräte mit der neuesten Firmware-Version laufen. Für die Fritzbox-Cable-Modelle werden diese von den Kabel-Anbietern bereitgestellt.


07.06.2016  Quelle: Sparkasse

Derzeitige Betrugsversuche beim Online-Banking

1.Phishing-E-Mails im Namen der Sparkasse
Zurzeit können wir den Versand von gefälschten E-Mails beobachten, die im Namen der Sparkasse versendet werden. Diese E-Mails können Sie daran erkennen, dass der Betreff wie folgt lautet – „Konto Aktivierungs.
Die betrügerischen E-Mails zielen darauf ab, Sie unter dem Vorwand der Bestätigung Ihrer Daten auf nachgebildete Banking-Seiten zu locken, um dort u. a. Ihre Zugangsdaten zum Online-Banking und Ihre Telefonnummer zu erfragen.

VORSICHT Die erfragten Daten nutzen die Betrüger, um im Namen der Sparkasse bei Ihnen anzurufen. In dem Telefonat sollen Sie unter einem Vorwand dazu verleitet werden, eine TAN zu nennen, die die Betrüger dann für eine betrügerische Überweisung missbrauchen.

2.Angriffe durch Banking-Trojaner
Weiterhin können wir den Versand von E-Mails beobachten, über die versucht wird, Ihren PC mit einem Banking-Trojaner zu infizieren. Die E-Mails haben dabei Betreffzeilen wie
– „Ihre Mobilfunk – Rechnung vom (aktuelles Datum) im Anhang als PDF„,
– „Wir haben die Klagen N. (zufällige Ziffernfolge) von (aktuelles Datum)“ oder
– „doc. N. (zufällige Ziffernfolge) von (aktuelles Datum)
und enthalten im Anhang ein Archiv mit der Endung „.zip„.

VORSICHT Bei dem Anhang handelt es sich um eine Archiv-Datei mit maliziösem Inhalt. Wenn Sie diese Datei öffnen, wird ein Banking-Trojaner auf Ihrem PC installiert.
Weitere Details hierzu finden Sie in den aktuellen Sicherheitswarnungen „E-Mails mit vermeintlicher Mobilfunk-Rechnung oder Mustervereinbarung verbreiten Banking-Trojaner“ sowie „Gehäufte Verbreitung einer Schad-Software“ vom 17.05.2016.
Das Computer-Notfallteam der Sparkassen-Finanzgruppe warnt dringend vor den genannten Betrügereien. Sofern Sie solche E-Mails erhalten und Daten eingegeben oder o. g. E-Mail-Anhänge geöffnet haben, setzen Sie sich umgehend mit Ihrer Sparkasse in Verbindung.


06.06.2016  Quelle: Heise

Gezielte Trojaner-Mails mit persönlichen Daten aus dem LinkedIn-Hack

Aktuell kursieren gefälschte Rechnungen mit Trojaner im Gepäck, die sich LinkedIn-Daten zunutze machen und deswegen plausibel wirken.
Die Mails versuchen den Opfern Word-Dateien mit gefälschten Rechnungen unterzuschieben, die Schadcode enthalten. Wie immer bei solchen Mails gilt: Die Anhänge im Zweifel nicht öffnen.