Sicherheit und 0-day Schwachstellen (9. Juli 2019)

Heute noch ein Sammelbeitrag zu diversen Sicherheitsthemen: Phishing-Wellen bei Banken sowie 0-day-Schwachstellen bei Mac Zoom Client, der bis zu 4 Millionen Nutzer betrifft. Microsoft spammt auf Android, tausende Android-Apps fragen den GPS-Standort ab und so weiter. Es hat sich so einiges angesammelt, für das ich keine separaten Beiträge machen möchte – sonst platzt der Blog.

Übersicht zu aktuellen Schwachstellen vom CERT

Zuerst eine kurze Information: Wer immer über aktuelle Schwachstellen im Bilde sein möchte, schaut auf der Webseite des US-CERT vorbei. Die listen die aktuellen Warnungen in einer Tabelle auf.

Stay on top of emerging vulnerabilities. See a summary of new vulnerabilities recorded in the National Vulnerability Database at https://t.co/KjOfn8N08C. #Cyber #Cybersecurity #InfoSec

— US-CERT (@USCERT_gov) 9. Juli 2019

0-day in Zoom Client, 4 Millionen Mac-Nutzer betroffen

Im Mac Zoom-Client gibt es eine 0-day-Sicherheitslücke, die die Entwickler trotz Offenlegung nicht schließen konnten. Nun hat der Entdecker Jonathan Leitschuh das Ganze öffentlich gemacht.

This is my #ZeroDay #PublicDisclosure of a security vulnerability impacting 4+ Million of @zoom_us's users who have the Zoom Client installed on Mac.

Zoom had 90-days + two weeks to resolve this #vulnerability and failed to do so.https://t.co/hvsoS79bos

— Jonathan Leitschuh (@JLLeitschuh) 8. Juli 2019

Eine Schwachstelle im Mac Zoom Client ermöglicht es Angreifern bzw. bösartigen Websiten die betreffenden Kamera ohne die Zustimmung des Benutzers zu aktivieren. Der Fehler tangiert potenziell bis zu 750.000 Unternehmen auf der ganzen Welt, die den Zoom-Client für das Tagesgeschäft nutzen. 

ProTip: Just uninstall all meeting apps from your computer. Use the browser version of the meeting client. They work well now. Apps run stuff in the background and I won't even get into the stupid stuff they waste CPU time on when you're never even using them 99.9% of the time.

— PlaneOnSecurity (@SwiftOnSecurity) 9. Juli 2019

Ach ja, man sollte eigentlich auf das ganze App-Zeugs verzichten, um irgendwelche Meeting-Funktionen zu nutzen. Die meisten Dienste bieten auch einen Zugriff per Web-Client an, da ist man weniger angreifbar. Ich plane da noch einen separaten Artikel dazu.

Astaroth file-less Malware-Kampagne

Bei Microsoft hat man eine neue Malware-Kampagne aufgedeckt, die ohne Dateien auskommt. Das Ganze wurde Astaroth getauft und wird vom Microsoft Defender ATP erkannt. Ine inem Tweet hat Tanmay Ganacharya von Microsoft einige Informationen in einem Schaubild offen gelegt.

My team recently unearthed a fileless campaign called Astaroth that completely lived-off-the-land: it only ran system tools throughout a complex attack chain. Advanced technologies in Microsoft Defender ATP's next-generation protection exposed and defeated this attack. pic.twitter.com/ADvldBnB5V

— Tanmay Ganacharya (@tanmayg) 8. Juli 2019

China-Leak: 90 Millionen Records öffentlich

Dumm gelaufen, von Chinas Behörde für öffentliche Sicherheit sind gerade 90 Millionen Datensätze öffentlich geworden. Ein ungesicherter EleasticSearch-Server, der vom Jiangsu Provincial Public Security Department in der chinesischen Prozinz Jiangsu betrieben wird, erlaubte quasi jedem Interessierten Zugriff auf Daten von Personen und Firmen. Bleeping Computer hat es in einem Artikel aufgegriffen.

Over 90 Million Records Leaked by Chinese Public Security Department – by @sergheihttps://t.co/I3RNTCPN2W

— BleepingComputer (@BleepinComputer) 8. Juli 2019

Tausende Android-Apps fragen GPS-Standort ab

Eigentlich kann man unter Android die Erfassung des Standorts per GPS-Signal sperren. Dies müsste eigentlich verhindern, dass Apps den Standort eines Benutzers tracken. Cnet berichtet in diesem Artikel, dass App-Entwickler die Möglichkeit gefunden haben, den Google Berechtigungs-Mechanismus in Android zu umgehen. Auch bei xda-developers.com gibt es diesen Beitrag mit Details zum Thema. Die Apps fragen den GPS-Standort gegen den Willen ihres Benutzers ab und übertragen diesen. Untersuchungen zeigen, dass mehr als 1.000 Apps betroffen sind. Google will erst einen Fix in Android Q bereitstellen.

Microsoft bewirbt Apps per Android Teilen-Menü

Microsoft ist unter Android wohl unter die Spammer gegangen. AndroidPolice berichtet hier, dass Android-Nutzer, die Microsoft-Apps wie Your Phone Companion oder ähnliches installiert haben, eine Überraschung erleben.

(Quelle: AndroidPolice.com, Android App-Spam von Microsoft)

Im Öffnen mit-Menü zum Öffnen von Dokumenten bekommen die Nutzer plötzlich die Installation von Microsoft-Apps angeboten. Der obige Screenshot von AndroidPolice.com zeigt das Menü mit dem Angebot, PowerPoint zu installieren. Dieses Verhalten ist nicht neu. AndroidPolice hatte bereits im April einen Tipp dazu erhalten, aber damals befand sich das Desktop-Pendant von Microsoft Your Phone Companion noch in der Beta-Phase.

Jetzt, da mehr Benutzer die App installieren, um ihre Android-Benachrichtigungen und -Meldungen in Windows 10 zu sehen, wird das Problem virulent werden.

Phishing-Warnung von Banken

Aktuell sind mir noch zwei Phishing-Warnung von Banken unter die Augen gekommen, die auf anderen Webseiten thematisiert wurden.

• Landesbank Berlin-Phishing: Warnung vor neuen gefährlichen Spam-Mails
• ING-DiBa-Phishing: Warnung vor aktuellen Spam-Mails

Details, u.a. zum Inhalt der Spam-Mails mit den Phishing-Versuchen entnehmt ihr den Meldungen bei netzwelt.