Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Kritische Schwachstelle in Bugtracking-Plattform

Erhöhung von Berechtigungen möglich: Check Point entdeckt Bug im Bugtracker
Bugzilla ist eine vielfach verwendete Bugtracking-Software mit zahlreichen öffentlichen und privaten Installationen

(23.10.14) - Die Malware and Vulnerability Research Group von Check Point entdeckte kürzlich eine kritische Schwachstelle in der populären Bugtracking-Plattform "Bugzilla", die die Erhöhung von Berechtigungen ermöglicht. Der CVE-Schwachstellendatenbank zufolge (cvedetails.com) ist dies der erste zu einer Rechteerhöhung führende Bug, der seit 2002 in Bugzilla entdeckt wurde. (Vgl. auch: Bugzilla Zero-Day Exposes Zero-Day Bugs von Brian Krebs)

Die Sicherheitsforscher von Check Point haben die Mozilla Foundation sowie das Team, das für das Bugzilla-Projekt verantwortlich ist, über diese Sicherheitslücke informiert. Mozilla und Bugzilla haben bestätigt, dass diese Sicherheitslücke kritisch ist, und ihr die folgende CVE-ID zugewiesen: CVE-2014-1572.

Detaillierte Analyse
Bugzilla ist eine vielfach verwendete Bugtracking-Software mit zahlreichen öffentlichen und privaten Installationen. Zu den gängigen Open-Source-Projekten, die ihre Fehlermeldungen mit Bugzilla verwalten, gehören Apache, Firefox, der Linux Kernel, OpenSSH, Eclipse, KDE und GNOME sowie zahlreiche Linux-Distributionen. Anwender dieser Software sollten sich der Risiken für ihre Daten bewusst sein, die durch diese Sicherheitslücke entstehen.

Die Analysen der Sicherheitsforscher von Check Point zeigten, wie diese spezielle Sicherheitslücke von Hackern ausgenutzt werden könnte:

>> Der Bug versetzt Nutzer in die Lage, ihre Identität zu verbergen und sich mit einer E-Mail-Adresse zu registrieren, über die sie keine Kontrolle haben.
>> In einigen Installationen kann ein Nutzer auf diese Weise automatisch bestimmte erweiterte Berechtigungen erhalten, wenn diese an Gruppen vergeben werden, die durch Regex-Matching definiert werden.
>> Diese Berechtigungen können den betreffenden Nutzer in die Lage versetzen, Bug-Berichte einzusehen, die eigentlich vertraulich sind, eingereichte Bug-Berichte zu bearbeiten und abzuändern sowie weitere kritische Aktivitäten bei dieser Installation auszuführen.

So schützen Sie sich vor dieser Sicherheitslücke

Alle Anwender
Die Mozilla Foundation hat Software-Patches (Versionen 4.0.15, 4.2.11, 4.4.6 und 4.5.6) herausgegeben, um diese Lücke zu schließen. Außerdem hat sie die führende Organisationen, die diese Software verwenden, vor der Sicherheitslücke gewarnt und ihnen die Installation des Patches empfohlen.

Das Bugzilla-Team hat bestätigt, dass diese spezielle Sicherheitslücke alle Versionen von Bugzilla seit der 2006 veröffentlichten Version 2.23.3 betrifft. Bugzilla-Administratoren wird dringend geraten, unverzüglich den Patch zu installieren und ihre Software zu aktualisieren. Ob diese Lücke bereits für Angriffe ausgenutzt wurde, ist nicht bekannt, doch wir empfehlen den Administratoren von Bugzilla-Installationen, die Liste ihrer aktuellen Benutzer auf verdächtige Aktivitäten zu überprüfen. (Check Point Software: ra)

Check Point Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Achtung: Sicherheitslücke in OpenSSL

"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.

15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen

15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools

15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances

15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android

15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort – nicht. Testen Sie erst !

15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen

15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen

15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen

15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke

15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden

Meldungen: Sicherheitslecks

Firmware der Geräte aktualisieren
Die Forscher des Kaspersky ICS CERT haben mehrere Schwachstellen in einem verbreiteten Framework von CODESYS entdeckt, das für die Entwicklung industrieller Geräte wie speicherprogrammierbarer Steuerungen (SPS) und Mensch-Maschine-Schnittstelle (MMS) verwendet wird; sie werden in fast jeder automatisierten Industrieanlage von der kritischen Infrastruktur bis hin zu Produktionsprozessen eingesetzt. Die entdeckten Sicherheitslücken hätten es einem potenziellen Angreifer ermöglicht, Angriffe sowohl lokal als auch remote durchzuführen. Die Schwachstellen wurden vom Hersteller behoben. SPS sind Geräte, die Prozesse automatisieren, die bisher manuell oder mit Hilfe komplexer elektromechanischer Geräte durchgeführt wurden. Damit diese korrekt funktionieren, müssen sie entsprechend programmiert werden. Die Programmierung erfolgt über ein spezielles Software-Framework, mit dessen Hilfe Ingenieure Anweisungen für Prozessautomatisierungsprogramme codieren und hochladen können. Damit wird auch eine Laufzeitumgebung (Runtime Execution Environment) für den SPS-Programmcode zu Verfügung gestellt. Die Software wird in verschiedenen Umgebungen eingesetzt, darunter in der Produktion, für die Energieerzeugung oder in Smart-City-Infrastrukturen.
Schwachstelle in Intel-Prozessoren
Bitdefender hat eine neue Sicherheitslücke identifiziert, die sämtliche moderne Intel-Prozessoren betrifft. Diese Prozessoren nutzen die CPU-Funktion Speculative Execution, über die eine Side-Channel-Attacke erfolgen kann. Die Schwachstelle ermöglicht Zugriff auf Passwörter, Token, private Unterhaltungen sowie andere vertrauliche Daten von Privatanwendern und Unternehmen. Alle Rechner, bei denen neuere Intel-Prozessoren zum Einsatz kommen und auf denen Windows ausgeführt wird, sind betroffen, inklusive Server und Notebooks. Über ein Jahr hat Bitdefender mit den Technologiepartnern an einer Veröffentlichung dieser Schwachstelle gearbeitet - Patches stehen nun zur Verfügung oder werden in Kürze veröffentlicht.
BlueKeep-Sicherheitslücke Wochen bekannt
Vor ein paar Wochen wurde die BlueKeep-Sicherheitslücke bekannt. Trotz des enormen Gefahrenpotenzials und obwohl Microsoft zeitnah einen Patch bereitgestellt hat, sind viele Systeme weiterhin ungepatcht und bleiben damit anfällig für Cyberangriffe. Das ist riskant, denn die Sicherheitslücke BlueKeep im Remote Desktop Protocol (RDP) weist ein ähnlich hohes Gefahrenpotenzial wie EternalBlue auf. EternalBlue war die Sicherheitslücke, die die verheerende Ransomware-Attacke WannaCry im Jahr 2017 ausnutzte. Die Bedrohung durch BlueKeep wird immer mehr zu einem realen Risiko, denn mittlerweile existieren erste Exploits, die die Sicherheitslücke ausnutzen können. Das Department of Homeland Security (DHS) hat einen funktionierenden Exploit entwickelt und auch Personen aus dem Privatsektor berichten, dass sie über einen Remote Code Exploit verfügen. Neben Microsoft raten daher auch Organisationen wie der BSI und die NSA dringend zu Gegenmaßnahmen.
Ein Hardware-Designfehler
Ein Bitdefender-Forscherteam hat eine Schwachstelle bei einigen modernen Intel-CPUs aufgedeckt. Diese wird in einem Sicherheitshinweis dokumentiert, der am 14. Mai 2019, 19 Uhr deutscher Zeit, veröffentlicht worden ist. Die neue Schwachstelle namens YAM ("Yet Another Meltdown") überwindet die architektonischen Sicherheitsvorkehrungen des Prozessors und ermöglicht es unprivilegierten Anwendungen im normalen Benutzermodus, auf dem betroffenen Computer verarbeitete Kernel-Modus-Speicherinformationen zu stehlen.
Privilegien-Erweiterung durch Dritte
Kaspersky Lab hat eine zuvor unbekannte Schwachstelle - eine so genannte Zero-Day-Schwachstelle - in Microsoft Windows entdeckt. Eine bisher nicht identifizierte kriminelle Gruppe war dadurch in der Lage, die volle Kontrolle über ein anvisiertes Gerät zu erlangen. Die Cyberkriminellen hatten es auf den Kernel des Systems mittels einer Backdoor abgesehen, die aus einem wesentlichen Element des Windows-Betriebssystems aufgebaut war.Mittels Backdoors können Bedrohungsakteure infizierte Computer diskret für bösartige Zwecke nutzen. Eine solche Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen. Eine Backdoor, die allerdings einen unbekannten Fehler, also eine Zero-Day-Schwachstelle, im System ausnutzt, kann unentdeckt bleiben. Die Exploit-Prevention-Technologie von Kaspersky Lab konnte den Versuch, die unbekannte Schwachstelle im Windows-Betriebssystem von Microsoft auszunutzen, jedoch erkennen.

Ausgenutzt mittels Spear-Phishing-E-Mails Lücke im Malware-Analyse-Tool

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.