Letzte Woche ereigneten sich drei interessante Ereignisse im Bereich der Informationssicherheit gleichzeitig: Die ausgenutzte Sicherheitsanfälligkeit in WhatsApp wurde geschlossen, Patches für kritische Sicherheitsanfälligkeiten in Windows wurden auch für nicht unterstützte Betriebssystemversionen veröffentlicht, und Intel stellte ein weiteres Spectre-ähnliches Problem fest. Beginnen wir mit einer Sicherheitsanfälligkeit in der Komponente Remotedesktopdienste (
Nachrichten , Microsoft-Blogbeitrag). Die technischen Details der Sicherheitsanfälligkeit wurden nicht bekannt gegeben, aber es ist bekannt, dass Sie mit dem Fehler die Kontrolle über das System mithilfe des RDP-Protokolls ohne Genehmigung erlangen können.
Sicherheitslücken sind von Windows 7 und Windows 2008 Server sowie von nicht unterstützten Windows XP- und Windows 2003-Servern betroffen. Der Artikel von Brian Krebs
weist auf die Ähnlichkeit der Sicherheitsanfälligkeit mit dem
EternalBlue- Fehler im SMB-Protokoll hin, der 2017 zu einer groß angelegten Epidemie des WannaCry-Ransomware-Trojaners führte. In diesem Fall kann der Angreifer auf jedes nicht gepatchte System zugreifen, auf das über das RDP-Protokoll zugegriffen werden kann, und über dieses System den Angriff auf andere Computer im lokalen Netzwerk übertragen. Trotz der schnellen Veröffentlichung des Patches werden wir höchstwahrscheinlich immer noch von den Konsequenzen der Verwendung dieses Fehlers erfahren.
Um die Wahrscheinlichkeit eines groß angelegten Angriffs zu verringern, hat Microsoft Patches für Windows XP und 2003 Server veröffentlicht, die vom Unternehmen nicht mehr offiziell unterstützt werden. Am 14. Mai schloss Microsoft mehrere weitere Sicherheitslücken, darunter den kritischen Fehler
CVE-2019-0863 im Windows
-Fehlerberichtssystem . Im Gegensatz zum Problem in RDP betrifft diese Sicherheitsanfälligkeit moderne Versionen des Betriebssystems bis Windows 10 und kann zum Eskalieren von Berechtigungen verwendet werden. Diese Sicherheitsanfälligkeit wird von Cyberkriminellen aktiv ausgenutzt.
Der am meisten diskutierte Vorfall der vergangenen Woche war der Bericht über eine schwerwiegende Sicherheitslücke im WhatsApp-Messenger (
Nachrichten ). Sicherheitslücke
CVE-2019-3568 wurde
am 13. Mai durch das WhatsApp-Update für Android und iOS geschlossen. Interessanterweise war bei der Ankündigung der neuen Version für Android die Hauptänderung überhaupt kein Patch, sondern eine „Vollbildanzeige von Aufklebern“:
In der Diskussion wurde festgestellt, dass normale Benutzer den Client aufgrund der Aufkleber eher aktualisieren und bisher nur wenige über Sicherheit nachdenken. Check Point Software analysierte den Patch und
fand einige neue Überprüfungen der Paketgröße des SRTCP-Protokolls, das für die Internettelefonie verwendet wird. Anscheinend verursachte das Fehlen dieser Überprüfungen einen Pufferüberlauf. Aber was als nächstes geschah - niemand weiß, wir können nur davon ausgehen, die Kontrolle über die Anwendung und Exfiltration der Daten zu erlangen. Es wurde jedoch viel über die Quelle des Exploits gesprochen.
Nach Angaben der Financial Times wurde die aktive Ausbeutung des Exploits gleichzeitig auf Facebook (dem derzeitigen Eigentümer des Boten) und in der Menschenrechtsorganisation Citizen Lab festgestellt. Letzterer wurde von einem britischen Anwalt kontaktiert, der mehrere Videoanrufe von unbekannten Nummern auf einem Apple-Telefon mit installiertem Messenger erhielt. Um die Sicherheitsanfälligkeit auszunutzen, müssen Sie ein speziell vorbereitetes Datenpaket an den Adressaten senden, das der WhatsApp-Client als Videoanruf wahrnimmt. Der Anruf muss nicht beantwortet werden. Nach Angaben der Financial Times wurde die Sicherheitslücke von der NSO Group gefunden, die sich auf den Verkauf von Exploits an Regierungsbehörden und Spezialdienste spezialisiert hat. Der Entwickler konnte anhand von Metadaten identifiziert werden.
Eine interessante Entwicklung der Geschichte war der Posten des Gründers des Telegrammboten Pavel Durov (
Original ,
Übersetzung auf Habré) mit dem Titel "Warum WhatsApp niemals sicher sein wird". Wie sicher ist das Telegramm selbst - auch ein technisches und emotionales Diskussionsthema. Aber das ist nicht der Punkt: Durovs Beitrag ist ein Beispiel dafür, wie Sicherheit zu einem Werbemittel wird. Ein Vorteil (real oder imaginär), der einen wesentlichen Teil der Zielgruppe für wichtig hält. Das sind gute Nachrichten: Wenn Marktteilnehmer ihre Dienste irgendwie als vor Hacking geschützt bewerben müssen,
müssen sie früher oder später
wirklich etwas in diese Richtung tun .
Wir werden die Nachrichtenüberprüfung mit vier neuen Angriffen auf Kanäle von Drittanbietern (
Nachrichten ) abschließen. Entsprechende Schwachstellen wurden in Intel-Prozessoren gefunden, sie wurden bei internen Überprüfungen im Unternehmen selbst (ein ausführlicher Artikel auf der
Intel- Website) sowie bei Forschern einer technischen Universität in Graz in Österreich (Minisite mit einer "sprechenden" URL
cpu.fail ) entdeckt.
Unabhängige Forscher identifizierten vier Angriffsvektoren und skizzierten für jeden ein realistisches Szenario, um Daten zu erhalten, die für den Angreifer von Interesse sind. Im Falle eines Zombieload-Angriffs ist dies der Verlauf der im Browser besuchten Seiten. Mit dem RIDL-Angriff können Sie Geheimnisse aus Anwendungen ziehen, die auf dem System oder auf virtuellen Maschinen ausgeführt werden. Der Fallout-Angriff kann nur andere Angriffe verstärken und Informationen zum Lesen von Daten empfangen, die zuvor vom Betriebssystem in den Speicher geschrieben wurden. Schließlich kann die Store-to-Leak-Weiterleitungsmethode theoretisch verwendet werden, um ASLR zu umgehen.
Bei Intel versuchen sie, die kreativen (und leicht beängstigenden) Namen der Angriffe nicht zu übernehmen und nennen sie komplexe mikroarchitektonische Datenabtastung. Die MDS-Technik ermöglicht es einem lokalen Prozess, unzugängliche Daten aus dem Speicher zu lesen, wobei dieselbe Angriffsmethode auf Kanäle von Drittanbietern verwendet wird wie bei der zuvor entdeckten Spectre-Familie. Intel verspricht, Schwachstellen in den nächsten Prozessorrevisionen zu schließen, und CPUs der 8. und 9. Generation sind von diesem Angriff teilweise nicht betroffen. Für den Rest der Prozessoren wird ein Mikrocode-Update veröffentlicht. Um die Sicherheit vor der (bisher theoretischen) Bedrohung zu erhöhen, müssen Sie wie üblich einen
Leistungsabfall zahlen.
Laut Intel sind dies einige Prozent, aber hier ist die Tatsache, den Sicherheitspreis zu bestimmen, interessant, die wir alle zahlen müssen.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.