- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Gefährdetes Plug-in installiert


Certifi-gate-Schwachstelle: Neue Statistiken, In the Wild-Exploit und Problembehebung
Die Certifi-gate Scanner-App verzeichnet bei Google Play knapp 100.000 Downloads und Check Point hat von Endnutzern bisher über 30.000 anonyme Scan-Ergebnisse erhalten

(08.09.15) - Im Rahmen der Black Hat USA 2015 gab das Check Point-Forschungsteam die Certifi-gate-Schwachstelle öffentlich bekannt. Das Team stellte auch eine Scanner-App zur Verfügung, die Geräte auf Schwachstellen prüft und Nutzern die Möglichkeit bietet, Scan-Ergebnisse mit Check Point zu teilen. Das Forscherteam verwendete die Daten aus den Scans, um mehr Einblick in die Gefährdungslage, die Problembehebung und neu identifizierte Exploits von Certifi-gate bieten.

Überblick
Die Certifi-gate Scanner-App verzeichnet bei Google Play knapp 100.000 Downloads und Check Point hat von Endnutzern bisher über 30.000 anonyme Scan-Ergebnisse erhalten. Dadurch war man in der Lage, die Gefährdungen nach unterschiedlichen Geräten, Herstellern und Anbietern von Mobile Remote Support Tools (mRST) aufzuschlüsseln. Nutzer sind dabei drei primären Gefahren ausgesetzt:

Beeinträchtigtes Gerät
Das Gerät ist von einer Certifi-gate-Schwachstelle betroffen, ein ungeschütztes mRST-Plug-in ist installiert und eine Drittanbieter-Anwendung nutzt den Plug-in aus, um erweiterten Zugriff auf das Gerät und seine sensiblen Ressourcen zu erlangen (das heißt den Bildschirm oder das Keyboard, usw.).

Gefährdetes Plug-in installiert
Das Gerät ist von der Certifi-gate-Schwachstelle betroffen und ein verwundbares mRST-Plug-in ist auf dem Gerät installiert. Jede bösartige Anwendung kann das installierte Plug-in ausnutzen und die volle Kontrolle über das Gerät übernehmen.

Gefährdetes Gerät erkannt
Das Gerät ist von der Certifi-gate-Schwachstelle betroffen. Eine bösartige Anwendung muss ein verwundbares Plug-in installieren, bevor der Exploit fortgesetzt werden kann.

Recordable Activator – In-The-Wild Certifi-gate-Exploit
Die untersuchten Certifi-gate-Scans deuteten auf mehrere Geräte mit einer installierten App hin, die Sicherheitslücken ausnutzt. Recordable Activator, eine App, die von Invisibility Ltd., einem Unternehmen mit Sitz in Großbritannien, entwickelt wurde, und die auf Google Play zwischen 100.000 und 500.000 Downloads erzielt, hat die Certifi-gate-Schwachstelle erfolgreich ausgenutzt. Dabei hat sie das Android-Berechtigungsmodell umgangen und den Plug-in von TeamViewer genutzt, um auf Systemebene auf Ressourcen zuzugreifen und den Geräte-Bildschirm zu erfassen.

Die gründliche Analyse der App zeigt die ungewöhnlichen Merkmale der Certifi-gate-Schwachstelle auf.

Recordable Activator - Überblick
Eine Teilkomponente in einem Mehrkomponenten-Dienstprogramm, EASY Screen Recorder NO ROOT” genannt, soll Nutzern dabei helfen, den Gerätebildschirm zu erfassen. Auf Google Play wird es folgendermaßen beschrieben:

Recordable ist die einfache Art, qualitativ hochwertige Bildschirmaufnahmen auf Android zu erzeugen. …
>>Einfach zu installieren und benutzerfreundlich
>>Kein Root erforderlich

Android hindert gewöhnliche, Nicht-System-Apps daran, mit der Funktion der Bildschirmerfassung zu interagieren, da dies erhebliche Risiken für die Sicherheit und den Datenschutz mit sich bringt. Daher steht diese Funktion normalerweise nur vertrauenswürdigen Apps auf Systemebene oder Apps auf gerooteten Geräten zur Verfügung.

Um diese Funktion zur Verfügung zu haben, installieren "EASY Screen Recorder NO ROOT” und seine Teilkomponente "Recordable Activator” auf Abruf eine gefährdete Version des TeamViewer Plug-ins. Da das Plug-in von verschiedenen Geräteherstellern signiert ist, wird es von Android als vertrauenswürdig erachtet und erhält Berechtigungen auf Systemebene.

Von dieser Stelle aus nutzt "Recordable Activator” die Authentifizierungsschwachstelle und verbindet sich mit dem Plug-in, um den Gerätebildschirm zu erfassen.

Was den Schutz der Interaktion mit Teilkomponenten angeht, haben die Entwickler von "Recordable Activator" aus Sicht unseres Forscherteams keine gute Arbeit geleistet. Und die Kommunikation mit der "Recordable Activator”-Komponente kann ohne Authentifizierung gespooft werden, wodurch alle bösartigen Apps den Bildschirm des Geräts erfassen können.

Die "Recordable Activator"-App zeigt im Zusammenhang mit Certifi-gate folgende inhärente Probleme:

>> Nicht privilegierte Anwendungen können eine Schwachstelle ausnutzen, um die vollständige Kontrolle über ein Gerät zu erlangen, ohne von Android Genehmigungen anfordern zu müssen.

>> Auch nachdem TeamViewer seine offizielle Version in Ordnung gebracht hat, können Angreifer noch immer alte Versionen des Plug-ins für böswillige Handlungen missbrauchen.

>> Mobilgeräte können sogar ausgenutzt werden, wenn kein gefährdeter Plug-in auf dem Gerät vorinstalliert war.

>> Apps, die diese Schwachstellen ausnutzen können, findet man jetzt auf Google Play.

>> Für Hersteller besteht die einzige Lösung darin, die betroffenen Geräte mit aktualisierten ROMs zu versorgen.

Tiefgreifende Analyse
Aufbau:
Das Dienstprogramm enthält zwei Hauptkomponenten: die Recording-App (uk.org.invisibility.recordable oder uk.org.invisibility.recordablefree) und ein Recordable Plug-in (uk.org.invisibility.activator).

Download eines gefährdeten Plug-ins:
Die eigentliche App unterstützt das Installieren des Plug-ins oder die Nutzung einer Root/adb-Shell, um die Bildschirmaufnahme mithilfe anderer Mittel zu ermöglichen. Entschließt sich der Nutzer, das Plug-in zu installieren, lädt das Plug-in, während es läuft, den TeamViewer Plug-in APK auf Basis des jeweiligen Zertifikats des Geräteherstellers herunter.

Vorgang:
Der Recordable-Plug-in exportiert einen Dienst, der den TeamViewer Plug-in-Dienst einhüllt, und authentifiziert mit dem gespooften Zertifikatfeld. Danach verbindet sich die Recording-App mit dem Plug-in-Dienst von Recordable, der sich dann wiederum mit dem TeamViewer-Plug-in verbindet und dieses Verbindungsobjekt zur Recording-App zurückbringt. Von diesem Punkt aus kann die primäre Recording-App direkt mit dem TeamViewer-Plug-in kommunizieren. Der Recordable Plug-in-Dienst verfügt über keine Sicherheitsvorkehrung, die verhindert, dass Dritte sich mit ihm verbinden können.

Der Recordable-Plug-in liefert nur eine Bildschirm-Erfassungs-Funktion.

Problembehebung
Folgende Empfehlungen können zusammengefasst werden, um die Folgen der Certifi-gate-Schwachstelle auf einem Gerät zu minimieren -

Gefährdetes Gerät
Das Gerät ist gefährdet und man sollte sich an seinen Mobilfunkbetreiber oder Gerätehersteller wenden (Samsung, LG und weitere) und nachfragen, wann ein Patch oder Fix geliefert wird.

>> Die Schwachstelle kann mithilfe eines neuen ROM, das Zertifikate widerruft, mit denen alte, gefährdete Plug-ins signiert waren, vollständig beseitigt werden. Soweit heute bekannt, wurde von den Geräteherstellern kein Patch geliefert.

>> Aktuell empfiehlt sich, nur vertrauenswürdige Apps herunterzuladen und nachdem Installieren fragwürdiger Apps, die Certifi-gate-Scanner-App auszuführen.

>> Falls man aufgefordert wird, ein Plug-in für ein mobiles Remote-Support-Tool zu installieren, sollte man das Löschen der Installation erwägen.

Gefährdetes Plug-in
Auf dem Endgerät ist bereits ein gefährdetes Plug-in installiert.

1. Man sollte versuchen, das gefährdete Plug-in mithilfe folgender Schritte zu entfernen: Einstellungen --> Apps --> Gefährdetes Plug-in lokalisieren und anklicken --> Deinstallieren anklicken

2. Wurde das Plug-in auf dem Gerät vorinstalliert, hat man wahrscheinlich keine Möglichkeit, es zu deinstallieren. Dann muss man sich in diesem Fall an den Gerätehersteller wenden und nach einer Lösung fragen.

3. Man sollte stets auf die Vertrauenswürdigkeit der heruntergeladenen Apps achten und nachdem Installieren fragwürdiger Apps die Certifi-gate Scanner-App ausführen.

Beeinträchtigt
Auf dem Gerät ist bereits das gefährdete Plug-in installiert und es ist auch eine Drittanbieteranwendung vorhanden, die das Plug-in ausnutzt.

>> Versuchen, das gefährdete Plug-in mithilfe folgender Schritte zu entfernen: Einstellungen --> Apps --> Gefährdetes Plug-in lokalisieren und anklicken --> Deinstallieren anklicken

>> Versuchen, die beeinträchtigende App zu lokalisieren und deinstallieren.

>> Wurde das Plug-in auf dem Gerät vorinstalliert, hat man wahrscheinlich keine Möglichkeit, es zu deinstallieren. Hier muss man sich an den Gerätehersteller wenden und nach einer Lösung fragen.
(Check Point Software Technologies: ra)

Check Point Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Wann wird ein Exploit wirklich zur Gefahr

    Eine weitere Anfälligkeit im Formeleditor in Microsoft Office ist nichts Neues. Interessant ist dieses Mal allerdings die Aktivität des angebotenen Patches. Unabhängig von der Lösung des Problems rücken wieder einmal raubkopierte und alte MS-Office-Versionen ins Blickfeld der Cyberkriminellen. Der Formeleditor (Equation Editor) war sein ganzes Dasein über einer langen Reihe unterschiedlicher Exploits ausgesetzt. Er ist eine Komponente von Microsoft Office, und anstatt ihn noch ein weiteres Mal zu fixen, hat sich der Hersteller dazu entschlossen, einen Patch herauszugeben, der im Wesentlichen den Editor vom System vollständig deinstalliert. Es gibt einen bestimmten Reifepunkt im Lebenszyklus eines Office-Exploits, der dann erreicht ist, wenn den Cyberkriminellen Tools zur Nutzung der Schwachstelle in breitem Umfang zur Verfügung stehen. Zuvor trifft der Exploit nur wenige ausgewählte Opfer mit gezielten Angriffen. Ab dem Zeitpunkt jedoch, an dem er weit verbreitet ist, entsteht für eine breite Nutzergruppe eine Bedrohung. Die aktuelle Schwachstelle des Equation Editor erreichte diesen entscheidenden Reifegrad Ende Juni 2019 - genannt CVE-2018-0798.

  • Werkzeug für gezielte Überwachungsangriffe

    Sicherheitsexperten von Kaspersky Lab haben neue Versionen von ,FinSpy', einem komplexen, bösartigen Überwachungs-Tool mobiler Geräte, entdeckt. Die neuen Implantate funktionieren sowohl auf iOS- als auch auf Android-Devices, können die Aktivitäten auf fast allen gängigen - auch verschlüsselten - Messaging-Diensten überwachen und ihre Spuren dabei noch besser als bisher verschleiern. Die Angreifer sind dadurch in der Lage, alle Aktivitäten eines Geräts auszuspionieren und sensible Daten wie GPS-Standort, Nachrichten, Bilder, Anrufe und vieles mehr auszulesen. Bei FinSpy handelt es sich um ein äußerst effektives Software-Werkzeug für gezielte Überwachungsangriffe. Weltweit wurden bereits dementsprechende Informationsdiebstähle bei NGOs, Regierungen und Strafverfolgungsbehörden beobachtet. Die verantwortlichen Cyberkriminellen sind dabei in der Lage, das Verhalten jeder bösartigen FinSpy-Variante an eine bestimmte Zielperson oder eine Zielgruppe anzupassen.

  • Loader für Trojaner und Ransomware

    In der Welt der Malware spielen Loader, also Programme, die andere Software wie Trojaner oder Ransomware nachladen, eine immer wichtigere Rolle. Unternehmen brauchen in vielen Fällen sehr lange, bis eine derartige Schadsoftware entdeckt wird - häufig geschieht dies erst, wenn die Malware weitere Module nachlädt. Proofpoint hat nun seine neuesten Erkenntnisse zu den Aktivitäten eines der umtriebigsten Akteure in diesem Feld in einem Blog-Post veröffentlicht. Die Rede ist von der Hackergruppe TA505 (Threat Actor 505), die einen neuen Loader verbreitet, mit dem vor allem die Bankenbranche in den Vereinigten Arabischen Emiraten, Südkorea, Singapur und den USA ins Visier genommen wird.

  • Sodin nutzt Windows-Schwachstelle aus

    Kaspersky-Forscher haben eine neue Verschlüsselungs-Ransomware namens ‚Sodin' entdeckt, die eine kürzlich entdeckte Zero-Day-Windows-Sicherheitslücke ausnutzt, um erhöhte Berechtigungen in einem infizierten System zu erlangen. Des Weiteren nutzt sie die Architektur der Central Processing Unit (CPU), um eine Erkennung zu vermeiden, und benötigt keine Nutzerinteraktion zur Infizierung. Ransomware, die Geräte oder Daten verschlüsselt oder sperrt und Lösegeld verlangt, ist eine ständige Cyberbedrohung für Privatanwender und Unternehmen. Die meisten Sicherheitslösungen erkennen bekannte Versionen und etablierte Angriffsmethoden. Die Sodin-Ransomware ist allerdings anspruchsvoller und nutzt eine kürzlich entdeckte Zero-Day-Sicherheitslücke in Windows (CVE-2018-8453) aus, um seine Rechte auf dem betroffenen System auszuweiten.

  • Blaupause eines Cyberangriffs

    Experten der Bitdefender-Labs ist es gelungen, den zeitlichen Verlauf eines Angriffs der Carbanak-Gruppe vollständig zu rekonstruieren. Opfer war eine osteuropäische Bank. Die Rekonstruktion aller Aktivitäten der Attacke liefert wertvolle Erkenntnisse für die Sicherung kritischer Infrastrukturen und zeigt die Bedeutung von Endpoint-Security-Maßnahmen auf. Während die Infiltrierung des Netzwerks bereits nach 90 Minuten abgeschlossen war, bewegten sich die Angreifer mit Hilfe der Cobalt Strike Malware weitere 63 Tage durch die gesamte Infrastruktur, um das System auszuspähen und weitere Informationen für den finalen Raubüberfall zu sammeln. Wäre die Attacke erfolgreich gewesen, hätten die Kriminellen unbemerkt über das Geldautomatennetzwerk verfügen können.