Sicherheitssplitter (21. Feb. 2020)

Zum Wochenabschluss einige Informationen zu Sicherheitsthemen, die mir die Tage unter die Augen gekommen sind, und für die ich keinen separaten Artikel plane. Ist mal wieder alles dabei, von gefixten Sicherheitslücken (Cisco Backdoor mit Standard-Passwort) über Lücken in Microsofts Sicherheitskultur bis hin zu Langzeit-SSL-Zertifikaten, die ab 1.9.2020 vom Safari Browser als unsicher abgelehnt werden – aber lest einfach selbst.


Anzeige

Die Cisco SSM-Backdoor

Immer wieder herrlich zu sehen, wie kaputt Premium-Software von Cisco ist. In deren ‘Smart’ Software Manager (SSM) für die On-Premise Lizenzverwaltung hat man eine Backdoor gefunden.

Der Sicherheitshinweis lässt mir nur die Kinnlade herunterklappen. Eine Schwachstelle im Hochverfügbarkeitsdienst (HA) des Cisco Smart Software Manager On-Prem könnte einem nicht authentifizierten, entfernten Angreifer den Zugriff auf einen sensiblen Teil des Systems mit einem hochprivilegierten Konto ermöglichen. Der Hintergrund: Die Schwachstelle ist auf ein Systemkonto zurückzuführen, das über ein Standardkennwort und ein statisches Kennwort verfügt und sich nicht unter der Kontrolle des Systemadministrators befindet. Gibt übrigens noch ein paar mehr Sicherheitsbaustellen bei dem Verein, die gerade per Update beackert wurden. Wer Cisco-Kram einsetzt, liest bei heise nach, wo in den nächsten Stunden zu patchen ist.

Google macht den Brexit

Die Briten haben beschlossen, keine guten EU-Bürger mehr sein zu wollen. So mit DSGVO (dort als GDPR bekannt) und Datenschutz, Privatsphäre und so. Wenn schon Rückzug, dann auch richtig. So sieht es jedenfalls Google, wenn der Reuter-Artikel hier stimmt. Google plant, die Konten seiner britischen Nutzer aus der Kontrolle der Datenschutzbehörden der Europäischen Union herauszunehmen und sie stattdessen der US-Jurisdiktion zu unterstellen. Das haben jedenfalls Quellen Reuters verraten.

Die Hälfte der Medizingeräte per BlueKeep angreifbar

Vor einem Jahr wurde eine RDP-Schwachstelle in Windows-Diensten unter dem Namen BlueKeep bekannt und durch Microsoft gepatcht.

Sophos greift das Thema auf, dass die Hälfte der im Medizinbereich eingesetzten Systeme weiterhin ungepatcht sind und über die BlueKeep-Schwachstelle angreifbar sind.

Daten von 10,6 Millionen MGM-Hotelgästen angeboten


Anzeige

Auch ganz nett: Wer in der MGM-Hotelkette übernachtet hat, ist möglicherweise Opfer eines Hacks geworden – der letztes Jahr bekannt wurde. Jetzt wurden die persönlichen Daten von mehr als 10,6 Millionen Nutzern, die in den Hotels von MGM Resorts übernachtet haben, diese Woche in einem Hacking-Forum veröffentlicht. Details zu dieser Geschichte sind auf ZDNet nachlesbar.

Google hat 600 Android-Apps rausgeworfen

Das Android App-Öko-System ist schlicht kaputt – da tummelt sich inzwischen mehr Malware als es vernünftige Apps gibt. Jetzt hat Google mal wieder Android 600 App aus dem Google Play Store rausgeworfen und die Entwickler geblockt. Darunter ist auch der chinesische Entwickler Cheetah Mobile, die durch Ad-Betrug aufgefallen ist (siehe diesen Blog-Beitrag). Damit hat man einem großen chinesischen Anbieter, der durch aufdringliche Werbe-Apps und Werbebetrug (Ad-Fraud) schon mal aufgefallen war, den Stecker gezogen. Die aus dem Play Store entfernten Apps sind durch unerwünschtes Werbeverhalten (Werbung erscheint, obwohl die App nicht benutzt wird etc.) oder Werbebetrug aufgefallen und wurden 4,5 Milliarden Mal installiert, wie Buzzfeed hier schreibt.

Hack bei US-Verteidigungsbehörde (DOD DISA)

Auch nett: Bei der US Defense Agency (Behörde des Verteidigungsministeriums, die für die Sicherung der IT und die sichere Kommunikation von Kampfeinheiten zuständig ist), hat es zwischen Mai und Juli 2019 einen erfolgreichen Hack gegeben.

Hacker haben Sozialversicherungsnummern und andere persönliche Daten gestohlen. Das wurde durch einen Brief bekannt, der laut einem Bericht von Reuters am Donnerstag an ein Opfer des Hacks geschickt worden sein soll. Einen zweiten Bericht gibt es auf ZDNet.

Microsofts löchrige Sicherheitskultur

Es sind verschiedene Meldungen, die mir gestern auf den Tisch kamen. Microsoft bietet ab sofort Office 365 und Dynamics 365 aus der deutschen Microsoft-Cloud an. Damit landen Daten automatisch auf deutschen Servern – gute Sache, wenn es denn stimmt. Martin Geuß hat das Ganze zum Beispiel hier thematisiert.

Microsoft Defender ATP für Linux

Und Microsoft hat in diesem Blog-Beitrag ein Feuerwerk an Neuankündigungen abgeschossen. So gibt es eine öffentliche Vorschau des Microsoft Defender ATP for Linux. Defender ATP hat nicht mit dem Defender zu tun, sondern steht als kostenpflichtige Lösung für Unternehmen bereit. Und diese Lösung, die für Unternehmensumgebungen verfügbar ist, soll in diesem Jahr auch noch für Android und iOS kommen.

Domain-Takeover an der Tagesordnung

Läuft unter der Rubrik ‘Boah, die tun echt was bei Microsoft’, und das ist auch gut so! Noch besser wäre es aber, wenn Herr Nadella mal den Hinterhof kehren und aufräumen lässt. Gut, da schaut nicht jeder rein, was nicht bedeutet, dass da alles im Reinen ist – im Gegenteil.

Bei Google las ich vor wenigen Stunden, dass ein Sicherheitsforscher in den letzten Jahen hunderte an Microsoft Subdomains übernehmen (kapern) konnte, wenn die verwaist waren. Wird reden dann über Subdomains wie onedrive.microsoft.com (ist jetzt nur ein Beispiel, da Microsoft diese Subdomain noch hält). Immer wenn ein Angebot aufgegeben wird, gelang es dem Sicherheitsforscher in vielen Fällen, diese Subdomains für sich zu reservieren. Damit könnte er Schindluder treiben, da er mit der Subdomain unter dem Dach von microsoft.com unterwegs ist. So wurde eine zwielichtige, indonesische Glücksspielseite wurde unter mindestens vier vernachlässigten Microsoft-Subdomains entdeckt, wie ZDNet hier schreibt. Auch für Phisher sind solche Subdomains Gold wert. Laut Sicherheitsforscher Michel Gaschet hat er 2019 alleine 259 Subdomains an Microsoft gemeldet. Laut Gaschet kümmert Microsoft sich nur um 5 bis 10 % der gemeldeten Fälle. Einen Fall hatte ich im Dezember 2019 hier berichtet, ein anderer Fall ist im Artikel Sicherheit: Windows und die gekaperten Live-Kacheln beschrieben.

Die Anonymisierungsfalle beim Datenverkauf

Kommen wir noch zu dem Geschäft mit dem Datenhandel. Datenbroker kaufen ja Daten, anonymisieren diese vermeintlich und geben diese dann in Paketen gegen Geld und gute Worte an solvente Käufer ab. Ist ja alles anonymisiert …

Wie Avast auf den Bauch gefallen ist

Im Blog-Beitrag Leak enthüllt: Avast-Nutzerdaten wurden verkauft hatte ich ja berichtet, dass AVAST Nutzerdaten, die gesammelt wurden, in anonymisierter Form über die Tochtergesellschaft Jumpshot verkauft hat. Laut diesem heise-Artikel prüft die tschechische Datenschutzbehörde nun, ob diese Weitergabe von Benutzerdaten ein Datenschutzverstoß darstellt.

Der heise-Redaktion wurde ein 18 GByte großes Datenpaket mit angeblich anonymisierten Daten der Firma Jumpshot zugespielt. Im Artikel Wie Avast die Daten seiner Kunden verkaufte bereitet die Redaktion das Ganze auf. Dort wird berichtet, dass in den Datensätzen Session-IDs für Webmailer wie GMX oder URLs zu Dokumenten, mit denen man die Nutzer eingrenzen könnte, enthalten waren.

Data-Broker vertickt Bank-/Kreditkartendaten

Auch nett: Der US-Datenbroker Yodlee ist größte Finanzdaten-Broker in den USA und verkauft die Bank- und Kreditkarten von Millionen Amerikanern.

Die Firma sagt, die Daten seien anonym. Laut obigem Tweet haben Sicherheitsexperten ein Dokument erhalten haben, in dem der Prozess der Anonymisierung beschrieben wird. Dazu ein Experte: “Lassen Sie mich ganz offen sein. Das ist Schwachsinn ‘Anonymisierung'”, der Datensatz enthielt beispielsweise eine ID, die für Zahlungen eines Kunden bei der Bank verwendet wurden. Details gibt es im verlinkten Artikel.

Ach ja: Laut diesem Tweet befasst sich eine Studie des ZEW Mannheim, der Universität Zürich und der Universität von East Anglia mit kostenlosen Apps. Demnach zahlen Nutzer von Gratis-Apps mit jeder Menge privater Daten, die nicht selten an Dritte weitergegeben werden. Passt also.

Iranische Hacker hinterlassen Hintertüren bei VPN-Servern

Iranische Hacker greifen VPN-Server an, um bei Erfolg eine Hintertür zu hinterlassen. So können sie auf diese Server jederzeit zugreifen.

Obiger Tweet beschreibt, welche Sicherheitslücken für die Hacks so benutzt werden. Weitere Infos finden sich auch in diesem Tweet.

Cameo-App leakt private Videos und Benutzerdaten

Die immer beliebtere App Cameo ermöglicht zahlenden Prominenten kurzer persönliche Videos aufzunehmen. Diese können dann Nutzergruppen zur Verfügung gestellt werden. Nutzer können aber aufzeichnete Videos als privat markieren, damit diese nicht öffentlich abrufbar sind – schön bescheuert, das Ganze.

Denn die App ermöglicht wegen einer Fehlkonfiguration eine Fülle von Benutzerdaten, darunter E-Mail-Adressen, gehashte und gesalzene Passwörter, Telefonnummern sowie Nachrichten abzurufen. Die Website des Anbieters hat zudem auch ein weiteres Problem: Videos, die angeblich privat sein sollen, können tatsächlich von jedermann gefunden und heruntergeladen werden. Unter Ausnutzung des Designfehlers schrieb Motherboard grundlegenden Code, um Listen von angeblich privaten Videos zu erstellen, die von Prominenten wie Snoop Dogg, Ice T und Michael Rapaport für Benutzer gefilmt wurden. Ich sage es mal so: Ihr verdient es nicht anders.

Apple-Safari verwirft bald Langzeit SSL-Zertifikate

Noch eine Info für Webmaster, die Langzeit SSL-Zertifikate, die für mehr als 12 Monate gültig sind. Apple will ab dem 1. September 2020 alle neuen Zertifikate, deren Gültigkeitsdauer 398 Tage (13 Monate) übersteigt, im Safari Browser als unsicher kennzeichnen. Das berichtet The Register in diesem Beitrag. Bereits ausgestellte SSL-Zertifikate bleiben davon unberücksichtigt.

Costa Rica verliert Millionen durch Cyber-Betrug

Cyber-Kriminellen ist es gelungen, Regierungsstellen in Costa Rica auszutricksen, so dass Millionen überwiesen wurden. Hatte es die Tage schon gesehen – hier ein aktueller Tweet.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.