Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Das CERT, das Wolf rief
11. Juni 2019

Die Fabel ist bekannt: dem Hirtenjungen war fad, er schlug Alarm ("Wolf!"), um die Eintönigkeit zu vertreiben, und als dann der Wolf wirklich da war, hörte keiner mehr auf seinen Hilferuf.

Wir haben regelmäßig ein ähnliches Thema: Wir sollen möglichst früh vor kommenden Problemen warnen, aber wenn der vorhergesagte Notfall doch nicht eintritt, dann senkt das unsere Glaubwürdigkeit. Natürlich ist verlockend zu sagen, dass nur dank unserer Warnungen diese Störungen vermieden wurden, aber das ist nicht realistisch. Wie ich schon mal geschrieben habe: die Vorhersage, aus welcher Schwachstelle letztlich ein großflächiges Problem wird, ist schwierig.

Bei unsere letzten beiden Warnungen hab ich zunehmend die gegenteilige Angst. Sowohl bei RDP ("BlueKeep") als auch beim Exim Bug mehren sich die Hinweise, dass diese Schwachstellen bald breitflächig ausgenutzt werden.

Daher: bitte wirklich patchen. In beiden Fällen sind die Fixes über die normalen Kanäle erhältlich. Es sollte daher keine Klimmzüge brauchen, diese einzuspielen. Wenn aber das System schon so alt ist, dass Updates nicht mehr einfach verfügbar sind, dann wäre das jetzt ein perfekter Anlass, den lange aufgeschobenen Upgrade endlich durchzuführen.

Autor: Otmar Lendl

CEO Fraud goes WhatsApp
24. Mai 2019

Uns wurde in den letzten Tagen von zwei Firmen berichtet, dass sie Ziel von CEO Fraud Versuchen waren, wobei der Kontakt per WhatsApp Nachricht erfolgte.

Wir kannten das Schema bisher eigentlich nur per Email: Der "Geschäftsführer" verlangt per Mail die Hilfe bei einer wichtigen, aber vertraulichen Überweisung. Details siehe Wikipedia.

Daher: bitte hier nicht nur an Email denken. Diese Betrugsmaschen sind oft vom konkreten Medium unabhängig, daher sollten entsprechende Gegenmaßnahmen (Awareness, Vier Augen Prinzip, Verifikation über zweiten Kanal, klare Geschäftsprozeduren, ...) sich auch nicht nur auf Email beziehen.

Autor: Otmar Lendl

Cyber Security Challenge 2019
17. Mai 2019

Auch heuer veranstaltet der Verein Cyber Security Austria gemeinsam mit dem Abwehramt die Austria Cyber Security Challenge, quasi das Äquivalent zu den Mathe/Chemie/Latein/... - Olympiaden für Cyber Security.

Über das Jahr hinweg werden einerseits die Staatsmeister ermittelt, aber auch das österreichische Team für den europäischen Wettbewerb ausgesucht.

Aus der Pressemeldung:

Die Cyber Security Challenge wurde ins Leben gerufen um junge Talente frühzeitig zu erkennen und zu fördern. Damit sollen den Jugendlichen berufliche Perspektiven aufgezeigt und gleichzeitig für die österreichische Wirtschaft jene Cyber Security Experten herangebildet werden, die sie so dringend braucht. Doch die Cyber Security Challenge ist nicht nur ein Wettbewerb sondern auch eine Plattform, in der sich fähige Jugendliche und zukünftige Arbeitgeber treffen bzw. wo sich ein tragfähiges Netzwerk für Österreichs Sicherheit im Cyberspace heranbildet.

Dabei können nicht nur Jugendliche sondern auch die besten Österreichs ihr Können bei zahlreichen Herausforderungen in den Kategorien Web, Crypto, Reverse Engineering, Exploitation und Forensik und anderen unter Beweis stellen.

Alle Infos gibt es unter www.verbotengut.at.

Autor: Otmar Lendl

Der Teufel steckt im Detail - und sollte trotzdem nicht ignoriert werden!
15. Mai 2019

Es ist erst Mittwoch, und schon jetzt hat sich diese Woche in der Securitywelt einiges getan.

Eine kritische Sicherheitslücke in WhatsApp wurde öffentlich (was Bloomberg dazu verleitet fälschlicherweise zu behaupten, Ende-zu-Ende Verschlüsselung sei "pointless"), im Hardwaredesign von Cisco gibt es eine Schwachstelle (die erste Schwachstelle, deren Name aus Emojis besteht .. die Woche ist wirklich nicht gut für meinen Blutdruck) und neue Angriffe auf (hauptsächlich) Intel-CPUs wurden bekannt.

Das sind die Dinge, die bis jetzt den Grossteil der medialen Aufmerksamkeit in dem Bereich auf sich gezogen haben, und das ist nicht falsch, das sind Dinge über die es sich - in jeder Hinsicht - zu berichten lohnt. Jedoch möchte ich ein wenig Aufmerksamkeit auf ein Event lenken, welchem normalerweise aufgrund seiner Regelmässigkeit relativ wenig Beachtung geschenkt wird - dem Microsoft Patch Day.

Genauer gesagt einer der Schwachstellen, die mit diesem gepatcht wird: CVE 2019-0708. Kurz und knapp:

  • Remote Code Execution in RDP
  • Präsent in allen Versionen von Windows bis inklusive Windows 7 / Windows Server 2008R2
  • Keine Authentifizierung notwendig
  • Keine bekannte Ausnutzung "in the wild", erster PoC-Code kursiert bereits
Auch wenn es wohl offensichtlich ist: RDP ist kein unpopuläres Protokoll. Die Zahlen variieren, je nachdem welchen der vielen Internetscanner man befragt, aber alleine in Österreich sind zwischen 5.000 und rund 30.000 Geräte zu finden, die auf Port 3389 erreichbar sind. Nicht eingerechnet sind die vielen Geräte, deren einzige Sicherheitsmassnahme zu sein scheint, RDP auf Port 3388 lauschen zu lassen.

Weltweit geht die Zahl der Geräte in die Millionen, und selbst wenn nur ein Bruchteil davon verwundbar sein sollte kann eine Schadsoftware mit Wurmcharakter hier massiven Schaden anrichten. Auch wenn, wie in sozialen Medien diskutiert, der existierende PoC-Code (der gerne für die erste Zeit von Malwareautoren 1:1 kopiert wird) instabil ist und eher zu Bluescreens als Remote Code Execution führt.

Das Ausnutzen der Schwachstelle in WhatsApp hingegen ist, Gerüchten zufolge, alles andere als trivial. Die Ende-zu-Ende Verschlüsselung in WhatsApp schützt die Nutzer sehr effektiv vor Massenüberwachung, und mehr kann man in dem Fall nicht erwarten. Ein Angreifer mit den Mitteln eines Staates ist ein Gegner, vor dem man sich nicht einfach durch die Verwendung einer vermeintlich sicheren Chat-App schützt. Für die breite Masse also etwas, wovor man sich nicht notwendigerweise fürchten muss.

Ich bin in dem Fall, so sehr ich die Forschungsarbeit in dem Bereich für wichtig halte & so sehr ich mir Sorgen um die Sicherheit der im Geschäftsbereich populärsten Architektur mache, jemand der sagt: "RIDL" und "Fallout" sind für den Moment noch theoretische Angriffe, also nichts worum wir uns immanent Sorgen machen müssen.

Selbiges gilt, aus anderen Gründen, für die Schwachstelle in Cisco-Geräten. Das ist sehr wohl etwas, dass Sorge hervorrufen sollte, nachdem es momentan noch keine bekannten Massnahmen zur Mitigation (oder gar Patches) gibt - hier gilt es zu beobachten und die Vorgehensweise an die Möglichkeiten der eigenen Organisation anzupassen.

Persönlich sehe ich die Gefahr auch hier eher noch abstrakt. Es wird, wie mit UEFI-Malware, noch etwas dauern, bis solche Schwachstellen aktiv von nichtstaatlichen Akteuren ausgenutzt werden.

Die aufmerksamkeitstechnisch etwas ignorierte RDP-Schwachstelle hingegen könnte uns sehr bald Kopfschmerzen bereiten. Auch wenn es nicht ganz so cool ist: Sofern irgendwie möglich patchen. Jetzt.

Post Scriptum: Wer sich nicht sicher sein sollte, ob der eigene RDP-Server im Netz hängt, der braucht nur in seine Inbox zu schauen - CERT.at informiert Netzbetreiber bereits seit einiger Zeit täglich per Mail genau darüber.

Autor: Alexander Riepl

<< Vorige Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
Kritische RCE Schwachstelle in Oracle WebLogic Server
19. Juni 2019 | Beschreibung | Mehrere ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/8/14 - 13:04:51
Haftungsausschluss / Datenschutzerklärung