Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Der Stagefright Bug
30. Juli 2015

Bald ist die Blackhat Konferenz in Vegas und der Schwachstellen-Zirkus rundherum ist im vollen Gange. Aktuell sind eine Reihe von Verwundbarkeiten in der Stagefright Library von Android groß im Gespräch. Was steckt da dahinter:

Stagefright ist einen Programmbibliothek zum Abspielen von Multimedia-Inhalten auf Android Geräten. Das Dekodieren von diesen komplexen Dateiformaten führt zu ausgesprochen nicht-trivialem Code, in dem regelmäßig Fehler gefunden werden, die zu Remote Code Execution führen können. Man schaue sich nur den Security Track Record von mplayer, vlc, Quicktime & co an.

Gefunden haben den aktuellen Bug Forscher von Zimperium, die ihre Erkenntnisse in einem Blog-Artikel darlegen. Die machen damit natürlich Werbung für ihr Produkt und ihren Vortrag auf der Blackhat.

Inzwischen schreibt die ganze Branche zu dem Thema, etwa:

Wir haben uns noch etwas zurückgehalten. Warum?

  • Der Scope ist unklar. Das ist eine System-Library. Bewiesen ist die Verwundbarkeit mittels MMS, zu den anderen Applikationen/Vektoren fehlen genauere Informationen. Kann man den Bug auch per Mail mittels Attachment triggern? Im Webbrowser mit embedded Video? Oder nur bei Downloads? Oder hängt das vom installierten Media-player ab? (So etwa bringt VLC seine eigenen Codecs mit)
  • Damit ist auch die Mitigation schwierig. Wenn man nur MMS im Blickwinkel hat, dann kann man mit ein paar Konfigurationseinstellungen das Risiko verkleinern. Wenn man etwa das automatischen Downloaden des MMS-Contents abdreht, dann braucht es wenigstens eine Interaktion des Users, um ein Smartphone zu übernehmen. Aber was ist mit den anderen möglichen Vektoren? Brutal gesprochen muss man aktuelle jegliche Datendienste abdrehen, um sicher zu sein.
  • Wir wissen nicht, wie sehr schon providerseitig ein AV-Filter böse MMS abfängt. Falls das dort möglich ist (Warum nicht? MMS setzt technisch auf ganz normale Internet-Protokolle auf.) und auch gemacht wird, dann ist der Vektor MMS plötzlich harmlos und die Schlagzeilen in der Art von "Die bösen Killer-MMS bedrohen eure Smartphones!" sind dann komplett daneben
  • Das Android-Ökosystem hat ein ernsthaftes Problem mit der Verteilung von Sicherheitsupdates. Das mag ja bei der Google-eigenen Nexus-Serie noch halbwegs funktionieren (wobei ich mir nicht sicher bin, wie sehr etwa ein Galaxy Nexus noch Updates bekommt). Auch diverse alternativen Android-Versionen wie Cyanogen schaffen das noch gut. Schwieriger wird es mit den Samsungs, LGs, Sonys, Huaweis & co: Dort muss der Patch auch noch in deren Android-Versionen eingebaut und verteilt werden. Wenn dann noch ein Netzbetreiber bei den von ihm verkauften Telefone nochmal Spezialerweiterungen einbauen hat lassen, dann muss das Updaten auch noch durch diese Pipeline durch. Das dauert.
  • Falls es überhaupt noch Updates gibt. Für viele der Android-Geräte, die aktuell in Betrieb sind, gibt es keinerlei Support mehr. Das ist ein bekanntes Problem, und wird bei jeder neu entdeckten Sicherheitslücke mal wieder mit einem Schulterzucken angesprochen.
  • Was heißt das alles jetzt für uns als CERT? Wir können aktuell nicht viel mehr schreiben als "Wenn ihr Glück habt, gibt es schon Updates, installiert diese. Wenn nicht, gäbe es da ein paar Feigenblatt-Aktionen, die vielleicht etwas helfen. Oder macht eure Smartphone zum Offline-Phone."

Wir hoffen noch, dass in den nächsten Tagen bessere Informationen verfügbar werden, welche Angriffsvektoren wirklich möglich sind, und wann man für welche Modelle mit Updates rechnen kann.

Autor: Otmar Lendl

Hacked Hacking Team
7. Juli 2015

Wie ja seit gestern gross durch die diversen Medien getrommelt wird (siehe etwa heise.de, derstandard.at), wurde das Unternehmen "Hacking Team" anscheinend selbst Opfer eines Angriffs. In den dabei geleakten Daten sind auch etliche Hinweise auf bislang unbekannte Exploits ("0-days") zu finden. Leider fehlt uns die Kapazität, die gesamten geleakten Daten (gut 160.000 Dateien mit insg. rund 400GB!) in endlicher Zeit selbst zu analysieren, daher müssen wir uns dabei auf die Community verlassen.

Bislang haben wir nur einige Meldungen über einen 0-Day Exploit in Adobe Flash Player, der ersten Tests zufolge wenigstens auf Windows 7 nachvollziehbar funktionieren soll. Wir können daher im Moment nur raten, den Adobe Flash Player wo möglich zu deinstallieren, oder zumindest über die "Click-to-play"-Funktionen in aktuellen Browsern nur vertrauenswürdigen Seiten das Abspielen von Flash Content zu erlauben. (Was wir generell für alle Arten von Browser-Plugins empfehlen).

Autor: Robert Waldner

In eigener Sache: CERT.at sucht Verstärkung
29. Juni 2015

Wir suchen aktuell eine/n ProgrammiererIn - vorerst als Karenzvertretung bis Jahresende. Details siehe https://cert.at/about/jobs/jobs.html.

Autor: Robert Waldner

CSDanube
11. Juni 2015

CERT.at ist keine isolierte Einrichtung, im Gegenteil: Wir kooperieren in diversen Kreisen mit anderen Institutionen und Firmen. Das reicht von unserer Einbettung in die Umsetzung der ÖSCS, lokalen Partnern in der Industrie und Forschung bis hin zur globalen Vernetzung der CERTs.

In diesem Kontext nehmen wir an einem Projekt teil, dass im Rahmen des START Programms der Danube Region Strategy gefördert wird:

csdanube

Es geht bei diesem Projekt darum, dass die CERTs der Region die Kooperation stärken, indem sie Wissen und Erfahrungen austauschen. Wir replizieren so auf der regionalen Ebene, was national im MAPO Projekt gemacht wird.

Autor: Otmar Lendl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in Nameserversoftware BIND 9
29. Juli 2015 | Beschreibung Wie ...
Update: Mehrere kritische Sicherheitslücken in Microsoft Internet Explorer Mobile - Patches noch nicht verfügbar
21. Juli 2015 | Update ...
mehr ...
Der Stagefright Bug
30. Juli 2015 | Bald ...
Hacked Hacking Team
7. Juli 2015 | Wie ja ...
mehr ...
Jahresbericht 2014
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/7/30 - 17:55:11
Haftungsausschluss