Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
(Not only) Oracle Java Windows installer vulnerable
9. Februar 2016

Oracle hat einen Out-of-Band Patch für Java 6, 7 und 8 für Windows veröffentlicht, mit dem eine Sicherheitslücke im Installationsprozess geschlossen wird. Es sind dazu bereits zahlreiche Medienberichte erschienen, in denen allerdings häufig die Tatsache ausser acht gelassen wird, dass es sich hier nicht um eine Java-spezifische Schwachstelle handelt.

Das Problem - Stichwort "Binary Planting" - ist bereits seit Jahren bekannt, und besteht darin, dass viele Windows (executable) Installer in ihrem "Anwendungsverzeichnis" nach benötigten DLLs suchen. Bei Software, die mit einem Webbrowser heruntergeladen wurde, ist dieses "Application Directory" in der Regel der "Downloads"-Ordner. Gelingt es einem Angreifer, den Benutzer zum Download einer manipulierten DLL mit dem "richtigen" Namen zu bringen, so wird ein Installer, der nach einer Library dieses Namens sucht, diese laden und ausführen.

Der Sicherheitsforscher Stefan Kanthak beschreibt das Problem (für die Installer von Oracle Java und Virtualbox) auf SecurityFocus. Zahlreiche weitere Beispiele für von Kanthak entdeckte verwundbare Installer finden sich auf Packet Storm. Einem Bericht auf SecurityWeek.Com zufolge sind zahlreiche namhafte Softwarehersteller betroffen, von denen viele das Problem (noch) nicht behoben haben.

Als Schutzmassnahme empfiehlt ein Artikel auf CIO einen "aufgeräumten" "Downloads"-Ordner, Oracle selbst weist darauf hin, dass Java nur von Java.com bezogen sollte.

Generell ist es ratsam, Programme nur aus vertrauenswürdigen Quellen zu installieren, sowie nicht mehr benötigte Software zu deinstallieren - das gilt auch für Oracle Java.

Autor: Stephan Richter

Aktuelle Spamwelle (Dridex)
2. Februar 2016

In den letzten Tagen gibt es vermehrt Berichte darüber, dass die Malware Dridex nach einer kurzen Winterpause wieder verstärkt aktiv ist.

Auch wir wurden bereits mit entsprechenden Berichten kontaktiert. Während solche Wellen grundsätzlich nicht ungewöhnlich sind, sticht diese hier hauptsächlich durch zwei Dinge hervor.

Zum einen 'mutiert' Dridex häufig, was es Antivirenlösungen massiv erschwert, diese Schadsoftware zuverlässig zu erkennen. Zum anderen scheint sie sich eines neuen Tricks zu bedienen, um arglose Nutzer dazu zu bringen, den bösartigen Anhang zu öffnen.

Laut heise.de täuschen die Mails, in deren Anhang sich die Malware befindet, vor, von einem firmeninternen Drucker / Scanner zu kommen. Dies hebelt oftmals technische (z.B. Mailfilter) als auch menschliche (Stichwort "Awareness") Schutzmassnahmen aus.

Neben unseren generellen Empfehlungen (automatische Updates nutzen, Firewall aktivieren und Antivirensignaturen aktuell halten) ist das Filtern von Officedateien, die Makros beinhalten (realisierbar in vielen gängigen Sicherheitslösungen), eine geeignete Massnahme, um die Gefahr durch die momentane Welle abzuschwächen. Weiters ist es ebenfalls durchaus empfehlenswert, seinen Nutzern einzubläuen, auch scheinbar interne Mails misstrauisch zu behandeln.

Autor: Alexander Riepl

"Ermittlungen"
21. Jänner 2016

Wir (mit Hut GovCERT) sind mal wieder vor Ort im Einsatz und helfen einer Organisation bei der Ursachenforschung und bei der Wiederherstellung der Services nach einem Sicherheitsvorfall. So weit so gut, dafür sind wir da, das ist unsere Aufgabe.

Die Strafverfolgung ist aber definitiv nicht unsere Aufgabe. Das ist ganz klar und da behauptet auch keiner was anderes. Problematisch wird es dann, wenn Begriffe verwendet werden, die im normalen Sprachgebrauch generisch sind, aber in manchen Kreise eine klare, spezifische Bedeutung haben. So etwa das Wort "Ermittlung" im Artikel in der Futurezone. ("Das GovCERT wurde mit Ermittlungen beauftragt.")

Ich hab den Artikel gestern gelesen, und mir ist das Wort nicht aufgefallen. Ich hab es schlicht als Synonym für "Analyse" gelesen. Heute wurde mir aber klar gemacht, dass in anderen Kreisen das Wort "Ermittlung" ausschließlich im Kontext von polizeilichen Ermittlungen verwendet wird.

So wird dann aus einem vielleicht leicht holprig formulierten Artikel ein komplett falscher, der auch gleich noch eine heikle Nachricht transportiert.

Daher dieser Blogeintrag: Wir haben keine Pressemeldung zu dem Fall gemacht, und auch mit keinem Journalisten gesprochen. Ich weiß daher nicht, wer das Wort als erster in den Mund genommen hat. Also zurück zu den Basics: Das CERT ist nicht die Polizei. Das soll und will es auch nicht sein. Wir kooperieren regelmäßig mit dem C4 und dem BVT. Genauso wie die Rettung und die Feuerwehr mit der Polizei kooperiert. Wir ergänzen uns und kommen uns in der Praxis nicht in die Quere.

Wir verwenden nur da und dort ein leicht anderes Vokabular.

Autor: Otmar Lendl

Juniper backdoors
22. Dezember 2015

Juniper hat in einem Advisory (hier unsere unsere Warnung dazu) der Welt gesagt, dass sie bei einem Code-Audit zwei Hintertüren in ScreenOS gefunden haben.

Die eine ist eine technisch ziemlich triviale Sache: ein konstantes Passwort erlaubt den Login per ssh oder telnet. Angeblich hat es nur 6 Stunden gebraucht, um dieses Master-Passwort zu reverse-engineeren. Wie man so was rausbekommt, beschreibt HD Moore hier.

Die zweite Hintertür soll angeblich das passive Entschlüsseln von VPNs ermöglichen. Das ist technisch nicht so trivial: das ist der Punk wo die Crypto-Geeks feuchte Augen bekommen, wo von diskreten Logarithmen und PRNGs gesprochen wird und manche Leute ihre Aluhüte aufsetzen. Harte Fakten sind noch etwas dünn, das sollte in den nächsten Wochen noch deutlich besser werden.

Die aktuelle Wissen- bzw. Spekulationslage fassen die folgenden drei Blogger zusammen: Adam Langley, Ralf-Philipp Weinmann und Matthew Green.

Das riecht inzwischen so, als ob da eine von Netscreen/Juniper absichtlich eingebaute Hintertür von einem Angreifer für eigene Zwecke umgebaut wurde.

Falls das stimmt, dann fixt der Patch nur den "Missbrauch" der Hintertür, aber nicht die Hintertür als solches.

Hätte ich so ein Ding gekauft, würde ich dringend mit meinem Lieferanten reden wollen.

Und der Spatz namens Snowden zwitschert von seinem Dach, dass das Ganze bei Cisco um nichts besser ist.

Frohe Feiertage allerseits. Wenn es doch nur schon geschneit hätte, dann könnte ich jetzt mit den Kids einen Schneemann bauen und dem den Aluhut aufsetzen. Der passt sicher gut zur Karottennase.

Autor: Otmar Lendl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: Kritische Sicherheitslücke in Cisco ASA Software - Patches verfügbar
11. Februar 2016 | Update ...
Kritische Sicherheitslücken in Adobe Flash Player, AIR und AIR SDK - aktiv ausgenützt - Patches verfügbar
28. Dezember 2015 | Beschreibung Adobe ...
mehr ...
(Not only) Oracle Java Windows installer vulnerable
9. Februar 2016 | Oracle ...
Aktuelle Spamwelle (Dridex)
2. Februar 2016 | In ...
mehr ...
Jahresbericht 2014
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/2/9 - 11:36:39
Haftungsausschluss