Mehrere Nachrichten aus dieser Woche beschreiben Angriffe wie Man-in-the-Middle sowie Mittel, um sie zu bekämpfen. Beginnen wir mit den relativ merkwürdigen Neuigkeiten: SwiftOnSecurity, ein Twitter-Benutzer, hat versehentlich
eine Zero-Day-Sicherheitslücke entdeckt, eine anonyme Person, die sich hauptsächlich auf nahezu sicheren Humor spezialisiert hat.
Die Sicherheitsanfälligkeit betrifft die Atlassian Companion-App, eine optionale Komponente des cloudbasierten Confluence-Collaboration-Diensts, mit der Sie mit Dateien auf Ihrem Computer arbeiten können: Sie lädt eine Kopie aus der Cloud herunter, überträgt sie an die Office-Software und sendet die geänderte Datei zurück. Bestandteil der Anwendung ist ein lokaler Webserver, auf den über eine öffentliche Domain mit dem
Merkmalnamen atlassian-domain-for-localhost-connections-only.com zugegriffen werden kann .
Die Domain wird in die lokale IP-Adresse 127.0.0.1 aufgelöst. Bei diesem Entwurf wird der Datenverkehr über SSL verschlüsselt. Das Problem ist, dass ein solches Schema von einem Angreifer, der DNS-Einträge ändern kann, recht einfach verwendet werden kann: Das Zertifikat für alle lokalen Benutzer der Anwendung ist das gleiche, und nichts hindert die Umleitung des lokalen Datenverkehrs zum Server des Angreifers mit anschließendem Zugriff auf private Daten. Laut The Register arbeitet Atlassian daran, diese Sicherheitsanfälligkeit zu beheben.
Forscher von Breakpointing Bad und der University of New Mexico (
Nachrichten ,
technische Beschreibung ) stellten eine weitaus raffiniertere Sicherheitslücke in einer Reihe von Linux-Distributionen (sowie in Android) fest. Anhand dieser Sicherheitsanfälligkeit können Sie herausfinden, ob das Opfer mit dem VPN verbunden ist und mit welchen Standorten es eine Verbindung herstellt. Dies funktioniert im Szenario „Zugangspunkte in einem Café“, wenn ein Benutzer eine Verbindung zu einem öffentlichen WLAN herstellt, das von einem Angreifer gesteuert wird. Zusätzlich zur Überwachung der Benutzeraktivität können durch die Sicherheitsanfälligkeit in einigen Fällen beliebige Daten in den TCP-Stream eingefügt werden und somit die Verbindung abfangen.
Die Sicherheitsanfälligkeit kann teilweise durch Netzwerkeinstellungen geschlossen werden, indem die Option "Pfadfilterung umkehren" aktiviert wird. Das Ändern der Einstellungen für diese Option in der systemd-Softwareversion vom 28. November 2018 ermöglichte die Implementierung des schwerwiegendsten Angriffsszenarios. Daher werden in der Liste der betroffenen Linux-Distributionen nur die neuesten Versionen von Ubuntu (19.10), Debian (10.2) usw. aufgeführt. Systemd ist jedoch nicht der Hauptschuldige: Es hängt alles von den Betriebssystemeinstellungen und den Funktionen des Netzwerkstacks ab, sodass die Liste der betroffenen Distributionen keine systemd enthält. Von den Tunneling-Protokollen sind OpenVPN, WireGuard und IKEv2 / IPSec anfällig, aber höchstwahrscheinlich nicht Tor.
Was ist noch passiert:Kaspersky Lab fasste die Ergebnisse des Jahres 2019 mit einem traditionellen Überblick über Bedrohungen und Ereignisse (
analytischer Teil,
Statistiken ) zusammen. Die Forscher versuchten unter anderem, grob zu berechnen, wie viel Strom die Benutzer der Sicherheitslösungen des Unternehmens einsparen, wenn böswillige Crypto Miner blockiert werden (auf infizierten Webseiten oder in Form von lokaler Software). Es stellte sich ein Minimum von 240 und ein Maximum von 1670 Megawattstunden heraus, in Geld sind es 900 Tausend bis 6,3 Millionen Rubel.
Mehr Mann in der Mitte. Checkpoint Software berichtete (
Nachrichten ,
mehr ) über einen gezielten Angriff auf ein israelisches Startup und eine chinesische Venture-Investor-Firma. Die Angreifer konnten die Korrespondenz zwischen den beiden Opfern abfangen. In einem entscheidenden Moment wurden die Daten für eine Überweisung gefälscht, wodurch eine Million Dollar anstelle eines Startups an Angreifer überwiesen wurden.
Mit dem Dezember-
Patch für Android wurden mehrere schwerwiegende Sicherheitslücken geschlossen, darunter eine, die zu einem dauerhaften Denial-of-Service führen kann. Zwei weitere Sicherheitslücken im Media Framework ermöglichen die Ausführung von beliebigem Code.
Um MITM-Angriffe auf Android-Handys zu bekämpfen, motiviert Google Anwendungsentwickler, die Verschlüsselung übertragener Daten zu implementieren. Das Unternehmen sprach von Erfolgen an dieser Front. Laut einem
aktuellen Bericht verwenden 80% der Anwendungen bei Google Play Verschlüsselung.
Der Verschlüsselungstrojaner
hat einen großen Anbieter CyrusOne (45 Rechenzentren in den USA und Europa)
angegriffen . Angreifer konnten ein Rechenzentrum in New York deaktivieren, sechs Kunden wurden verletzt.