Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Patch für Schwachstelle in Hewlett Packard lt4112 LTE/HSPA+ Gobi 4G Module (Remote Execution of Arbitrary Code)
31. August 2015

Beschreibung

Hewlett Packard hat ein Security Bulletin zu einer Sicherheitslücke im HP lt4112 LTE/HSPA+ Gobi 4G Module veröffentlicht. Die Schwachstelle erlaubt einem entfernten Angreifer das Ausführen beliebigen Codes. Ein Firmware-Update, welches das Problem behebt, ist verfügbar.

CVE-Nummern: CVE-2015-5367, CVE-2015-5367
CVSS2 Base Score: 6.9 (CVE-2015-5367) bzw. 7.8 (CVE-2015-5368)

Details

Über das HP Security Bulletin hinausgehend sind uns dzt. keine weiteren Details bekannt.

Auswirkungen

Da der Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut Hewlett Packard sind folgende Systeme betroffen:
  • HP EliteBook 820 G1
  • HP EliteBook 820 G2
  • HP EliteBook 825 G2
  • HP EliteBook 840 G1
  • HP EliteBook 840 G2
  • HP EliteBook 845 G1
  • HP EliteBook 850 G1
  • HP EliteBook 850 G2
  • HP EliteBook 855 G1
  • HP EliteBook 1040 G1
  • HP EliteBook 1040 G2
  • HP EliteBook Folio 9470m
  • HP EliteBook Revolve 810 G2
  • HP EliteBook Revolve 810 G3
  • HP ElitePad 1000 G2
  • HP Elite x2 1010 G2
  • HP ProBook 430 G1
  • HP ProBook 430 G2
  • HP ProBook 440 G0
  • HP ProBook 440 G1
  • HP ProBook 440 G2
  • HP ProBook 450 G0
  • HP ProBook 450 G1
  • HP ProBook 450 G2
  • HP ProBook 640 G1
  • HP ProBook 645 G1
  • HP ProBook 650 G1
  • HP ProBook 655 G1
  • HP ProBook x2 620 G1
  • HP Spectre x2 13-SMB Pro
  • HP ZBook 14
  • HP ZBook 14 G2
  • HP ZBook 15
  • HP ZBook 15 G2
  • HP ZBook 15u HP ZBook 17
  • HP Zbook 17 G2
  • mt41 Thin Client

Abhilfe

Einspielen des Firmware-Updates gemäß Anleitung (lt. HP Security Bulletin):

To acquire the firmware updates, go to hp.com

  1. Select "Support" and then "Download Drivers"
  2. Enter your product name or number in the "Find my product" field.
  3. Choose the product from the returned search
  4. Choose the operating system
  5. Under the Download Index, select "Firmware", and download the 12.500.00.15.1803 firmware or later (HP Softpaq # SP72435 or later). Follow the installation instructions to install the firmware update.

Autor: Stephan Richter

Abgeschlossen: Wartungsarbeiten Dienstag, 18. August 2015
17. August 2015

Am Dienstag, 18. August 2015, werden wir Wartungsarbeiten an unserer Infrastruktur vornehmen. Dies kann zu kurzen Service-Ausfällen führen (jeweils im Bereich weniger Minuten). Es gehen dabei keine Daten (zb Emails) verloren, es kann sich nur die Bearbeitung etwas verzögern.

In dringenden Fällen können sie uns wie gewohnt telephonisch unter +43 1 505 64 16 78 erreichen.

Update: Die Wartungsarbeiten wurden erfolgreich abgeschlossen. Insgesamt hat sich der Ausfall der öffentlich erreichbaren Services auf ca. 3 Minuten beschränkt.

Autor: Robert Waldner

Auslaufendes A-Trust Root-Zertifikat "A-Trust-nQual-03"
14. August 2015

In den diversen Certificate Stores (Browser, Windows) ist ein Root-Zertifkat von A-Trust mit Gültigkeit bis 18. August 2015:

  • A-Trust-nQual-03
  • SHA-1 Fingerprint D3:C0:63:F2:19:ED:07:3E:34:AD:5D:75:0B:32:76:29:FF:D5:9A:F2

Unseren (limitierten) Recherchen nach gibt es im Certificate Store von Windows noch andere A-Trust Root-Zertifikate (auch mit SHA256, vgl. Microsoft Root Certificate Program).
In den Certificate Stores von Mozilla Firefox und Google Chrome konnten wir keine anderen A-Trust Root-Zertifikate finden (Apple (OSX, Safari) sowie Android-basierende Browser konnten wir noch nicht testen).

Wer also A-Trust Zertifikate auf öffentlichen (Web-)Servern einsetzt, sollte damit rechnen, ab nächster Woche zumindestens Firefox/Chrome-Usern eventuell kein gültiges Zertifikat mehr präsentieren zu können. A-Trust Zertifikate, die intern (etwa in Machine-to-Machine Situationen) eingesetzt werden, sollten ebenfalls auf Abhängigkeit vom A-Trust-nQual-03 Root-Zertifikat geprüft werden.
Betroffene sollten sich mit dem Support von A-Trust in Verbindung setzen.

(Die Bürgerkarten-Applikationen sind unseres Wissens nach nicht betroffen!)

Autor: Robert Waldner

Der Stagefright Bug
30. Juli 2015

Bald ist die Blackhat Konferenz in Vegas und der Schwachstellen-Zirkus rundherum ist im vollen Gange. Aktuell sind eine Reihe von Verwundbarkeiten in der Stagefright Library von Android groß im Gespräch. Was steckt da dahinter:

Stagefright ist einen Programmbibliothek zum Abspielen von Multimedia-Inhalten auf Android Geräten. Das Dekodieren von diesen komplexen Dateiformaten führt zu ausgesprochen nicht-trivialem Code, in dem regelmäßig Fehler gefunden werden, die zu Remote Code Execution führen können. Man schaue sich nur den Security Track Record von mplayer, vlc, Quicktime & co an.

Gefunden haben den aktuellen Bug Forscher von Zimperium, die ihre Erkenntnisse in einem Blog-Artikel darlegen. Die machen damit natürlich Werbung für ihr Produkt und ihren Vortrag auf der Blackhat.

Inzwischen schreibt die ganze Branche zu dem Thema, etwa:

Wir haben uns noch etwas zurückgehalten. Warum?

  • Der Scope ist unklar. Das ist eine System-Library. Bewiesen ist die Verwundbarkeit mittels MMS, zu den anderen Applikationen/Vektoren fehlen genauere Informationen. Kann man den Bug auch per Mail mittels Attachment triggern? Im Webbrowser mit embedded Video? Oder nur bei Downloads? Oder hängt das vom installierten Media-player ab? (So etwa bringt VLC seine eigenen Codecs mit)
  • Damit ist auch die Mitigation schwierig. Wenn man nur MMS im Blickwinkel hat, dann kann man mit ein paar Konfigurationseinstellungen das Risiko verkleinern. Wenn man etwa das automatischen Downloaden des MMS-Contents abdreht, dann braucht es wenigstens eine Interaktion des Users, um ein Smartphone zu übernehmen. Aber was ist mit den anderen möglichen Vektoren? Brutal gesprochen muss man aktuell jegliche Datendienste abdrehen, um sicher zu sein.
  • Wir wissen nicht, wie sehr schon providerseitig ein AV-Filter böse MMS abfängt. Falls das dort möglich ist (Warum nicht? MMS setzt technisch auf ganz normale Internet-Protokolle auf.) und auch gemacht wird, dann ist der Vektor MMS plötzlich harmlos und die Schlagzeilen in der Art von "Die bösen Killer-MMS bedrohen eure Smartphones!" sind dann komplett daneben
  • Das Android-Ökosystem hat ein ernsthaftes Problem mit der Verteilung von Sicherheitsupdates. Das mag ja bei der Google-eigenen Nexus-Serie noch halbwegs funktionieren (wobei ich mir nicht sicher bin, wie sehr etwa ein Galaxy Nexus noch Updates bekommt). Auch diverse alternativen Android-Versionen wie Cyanogen schaffen das noch gut. Schwieriger wird es mit den Samsungs, LGs, Sonys, Huaweis & co: Dort muss der Patch auch noch in deren Android-Versionen eingebaut und verteilt werden. Wenn dann noch ein Netzbetreiber bei den von ihm verkauften Telefone nochmal Spezialerweiterungen einbauen hat lassen, dann muss das Updaten auch noch durch diese Pipeline durch. Das dauert.
  • Falls es überhaupt noch Updates gibt. Für viele der Android-Geräte, die aktuell in Betrieb sind, gibt es keinerlei Support mehr. Das ist ein bekanntes Problem, und wird bei jeder neu entdeckten Sicherheitslücke mal wieder mit einem Schulterzucken angesprochen.
  • Was heißt das alles jetzt für uns als CERT? Wir können aktuell nicht viel mehr schreiben als "Wenn ihr Glück habt, gibt es schon Updates, installiert diese. Wenn nicht, gäbe es da ein paar Feigenblatt-Aktionen, die vielleicht etwas helfen. Oder macht eure Smartphone zum Offline-Phone."

Wir hoffen noch, dass in den nächsten Tagen bessere Informationen verfügbar werden, welche Angriffsvektoren wirklich möglich sind, und wann man für welche Modelle mit Updates rechnen kann.

Update (3. Aug)

Anscheindend hat Trend Micro den Bug auch (und unabhängig von Zimperium) gefunden. Deren Blogeintrag enthält weitere Details und bestätigt, dass MMS nur einer der möglichen Vektoren ist.

Autor: Otmar Lendl

Nächste >>
Letzte Änderung: 2015/8/31 - 17:22:01
Haftungsausschluss