Sicherheitsinfos zum 4. Mai 2016

Es ist mal wieder Zeit für einen kurzen Rundblick auf aktuelle Sicherheitsmeldungen, die mit die letzten Stunden und Tage unter die Augen gekommen sind.

BMVI-Server mit neuer (geschlossener) XSS-Lücke

Im Artikel Sicherheitssplitter: Behörden-IT, BMVI, Ransomware, deutsche Cyber-Armee hatte ich berichtet, dass der Webserver des für Internet-Angelegenheiten verantwortlich zeichnenden – Bundesministerium für Verkehr und digitale Infrastruktur (BMVI), intern der Dobrindt-Laden genannt – bis vor kurzem durch die Heartbleed-Lücke angreifbar war. Wurde zwischenzeitlich geschlossen …

… aber Leute haben sich die Website angesehen und dabei eine XSS-Lücke aufgedeckt, die zwischenzeitlich, nach mehrmaligem Nachhaken, geschlossen wurde. Mattias Schlenker hat die Details in diesem Blog-Beitrag dokumentiert. (via)

Cyber-Gedöns und das Klopapier der Bundeswehr

Im Artikel Sicherheitssplitter: Behörden-IT, BMVI, Ransomware, deutsche Cyber-Armee hatte ich auch über das Cyber-Kommando Ursula von der Leyens für die Bundeswehr berichtet. Zitat eines Bundeswehr-Generals "Solange ich über das Bundeswehr-Logistiksystem nicht einmal zuverlässig Toilettenpapier bestellen kann, brauche ich auch kein Cyber-Gedöns." Details könnt ihr hier nachlesen.

Samsungs SmartThings-Plattform mit groben Sicherheitslücken

Internet of Things (IoT) und SmartHome sind die Trendthemen. Auch Samsung hat mit SmartThings eine entsprechende Plattform im Portfolio. Wird noch lustig werden, in naher Zukunft, wenn die Leute ihr SmartHome und die IoT-Geräte ferngesteuert bekommen. Eine erste Geschmacksprobe liefert Samsung mit SmartThings. Sicherheitsforscher haben gravierende Sicherheitslücken festgestellt, wie man hier (englisch) oder hier (deutsch) nachlesen kann. 

ImageMagick-Sicherheitslücke bedroht Web-Server

Die ImageMagick-Software zur Bildmanipulation ist wohl auf Millionen Webservern im Beipack zu PHP im Einsatz. Laut diesem Artikel gibt es eine Sicherheitslücke in diesem Paket (die original Warnung ist zwischenzeitlich gelöscht), die wohl aktiv ausgenutzt wird. Bald soll es ein Update für die ImageMagick-Pakete geben, um die Lücke zu schließen.

WordFence deckt Lücke in Freshdesk auf

Sicherheitsanbieter WordFence, der im WordPress-Umfeld aktiv ist, hat eine Lücke im eigenen Netzwerk aufgedeckt. Über die Freshdesk genannte Komponente kann jeder Benutzer zum Administrator aufsteigen. Die Lücke ist in diesem Wordfence Blog-Beitrag beschrieben.

OpenSSL schließt Lucky-13-Lücke

Ein Patch für die Krypto-Bibliothek OpenSSL schließt sechs Sicherheitslücken, die in der Priorität als Hoch eingestuft werden. Administratoren sollten die Patches zeitnah einspielen – Details finden sich bei heise.de.

Falsche Chrome-Update verbreitet Malware mit Banking-Trojaner

Kurze Warnung für Nutzer von Google Chrome. Ein für Android vorgeblich als Chrome-Update (über obskure Websites) verteiltes Paket erweist sich als Schadsoftware, die einen Banking-Trojaner auf dem Gerät installiert. Chrome Updates sollte man aus dem Google Play Store beziehen. Details in diesem Beitrag.

Auch Google für in Blog-Domains https ein

Nachdem WordPress.org kürzlich die https-Verschlüsselung für die kostenfreien Blogs freigeschaltet hat, zieht Google jetzt nach. Alle für kostenlose Blogs genutzten blogspot-Domains erhalten nach diesem Google-Bericht eine Unterstützung für https.

Threat Report: Schädliche Android Apps und Ransomware dominieren

Mir liegt der vierteljährliche Thread Report Q1/2016 von Proofpoint vor, der Bedrohungen, Trends und Transformationen auswertet, die in den letzten drei Monaten bei deren Kunden und allgemein im Bereich Sicherheit aufgefallen sind.

Proofpoint analysiert dazu jeden Tag mehr als eine Milliarde E-Mails, mehrere hundert Millionen Social Media Posts und mehr als 150 Millionen Schadprogramme, um Menschen, Daten und Marken vor hochentwickelten Bedrohungen zu schützen. Hier einige der wichtigsten Ergebnisse der Studie:

•  98 % aller in Q1 untersuchten bösartigen mobilen Anwendungen hatten Android-Geräte zum Ziel. Das gilt ungeachtet der viel beachteten Entdeckung eines iOS-Trojaners und der andauernden Präsenz riskanter iOS-Anwendungen und schädlicher Anwendungen.
• 75 % der Angriffe durch betrügerische Phishing-E-Mails arbeiteten mit „reply to"-Täuschungsversuchen, bei denen die Benutzer glauben sollen, die Nachrichten kämen von seriösen Absendern. Bedrohungen durch betrügerische E-Mails werden immer ausgereifter und spezialisierter. Sie stellen eine der größten Bedrohungen dar, denen Unternehmen heute gegenüberstehen. Schätzungen zufolge war dieser Angriffsvektor in den letzten zwei Jahren für Verluste von 2,6 Milliarden US-Dollar verantwortlich.
• Ransomware stieg an die Spitze der von Cyber-Kriminellen am liebsten eingesetzten Schadsoftware auf. In Q1 erfolgten 24 % der E-Mail-Angriffe mit Dateianhängen der neuen Ransomware Locky. Dridex war die einzige Malware-Payload, die häufiger zum Einsatz kam.
• E-Mails sind weiterhin der Hauptangriffsvektor und die Menge bösartiger Nachrichten stieg stark an. In Q1 erhöhte sich die Menge um 66 % gegenüber Q4/2015 – und um mehr als 800 % gegenüber dem ersten Quartal des Vorjahres. Dridex war für 74 % aller E-Mails mit schädlichen Anhängen verantwortlich.
• Bei allen großen Marken, die Proofpoint untersucht hat, hat sich der Social Media Content um mindestens 30 % erhöht. Durch den Anstieg von durch Fans und die Marken selbst generiertem Content erhöhen sich auch die Risiken. Unternehmen sind ständig gefordert, den Ruf ihrer Marke zu schützen und dafür zu sorgen, dass ihre Botschaft nicht durch Spam, Pornographie und vulgäre Inhalte geschwächt wird.
• Schwachstellen bei Java und Flash Player zahlen sich für Cyber-Kriminelle nach wie vor aus. Angler war das am meisten genutzte Exploit-Kit und ist für 60 % des gesamten Exploit-Kit-Traffic verantwortlich. Die Nutzung der Exploit-Kits Neutrino und RIG stieg ebenfalls um 86 % bzw. 136 % an.

Den vollständigen Bericht zum Download findet sich auf dieser Proofpoint-Webseite als PDF-Dokument.