Sie sind hier: Home » Virenwarnung » Sicherheitslecks

Unbemerkt Phishing-Angriffe durchführen

Masque Attack: Sicherheitslücke ermöglicht unbemerkte Angriffe auf iOS-Geräte
Angreifer können durch Sicherheitslücke Warnhinweise umgehen und URL-Schemen bekannter Apps missbrauchen

FireEye hat im November 2014 die schwerwiegende Sicherheitslücke "Masque Attack" im Betriebssystem iOS entdeckt. Die Sicherheitslücke erlaubte Angreifern, legitime Apps auf iOS-Geräten durch schädliche Anwendungen zu ersetzen. Dazu mussten Nutzer lediglich dazu verleitet werden, manipulierte Links in SMS, E-Mails oder mobilem Internetbrowser zu öffnen. FireEye hat Apple über weitere Sicherheitslücken informiert, bei denen Masque Attacks auf vier verschiedene Arten zum Einsatz kommen. Die Sicherheitslücke "Masque Attack II" wurde nun mit dem jüngsten iOS 8.1.3 Security Content Update von Apple weitgehend geschlossen.

Mit Masque Attack II lassen sich der Warnhinweis "nicht vertrauenswürdiger App-Entwickler” umgehen und falsche IOS-URL-Schemen verwenden Mit dem jüngsten Sicherheitsupdate von Apple konnte das Umgehen des Warnhinweises unterbunden werden. Die Umleitung auf ein falsches iOS-URL-Schema konnte bisher nicht verhindert werden.

Umgehung des Warnhinweises "nicht vertrauenswürdiger App-Entwickler"
Wenn ein iOS-Nutzer eine App mit dem Gerät bisher unbekannter Signatur zum ersten Mal öffnet, wird er per Push-Up-Nachricht gefragt, ob er dem Entwickler "vertraut". Solange der Nutzer nicht bestätigt, wird die App nicht gestartet. Apple riet zum Schutz vor Masque Attacks im November, diese Meldungen mit "nicht vertrauen" zu beantworten. FireEye hat Apple nun darauf hingewiesen, dass diese Maßnahme keinen zuverlässigen Schutz bietet.

Der Warnhinweis kann nach Erkenntnissen von FireEye durch eine Sicherheitslücke umgangen werden. Wenn ein iOS-URL-Schema aufgerufen wird, starten manche dieser Anwendungen, ohne einen entsprechenden Warnhinweis anzuzeigen. Dabei ist es irrelevant, ob die App schon einmal zuvor aufgerufen wurde. Auch, wenn der Nutzer zuvor mit "nicht vertrauen" reagierte, startet iOS Apps mit unbekannter Signatur unmittelbar nach dem Aufrufen eines URL-Schemas. Mit anderen Worten: Wenn der Nutzer auf einen manipulierten Link in einer SMS oder E-Mail klickt, startet die auf dem Gerät installierte App, ohne nach der Freigabe des Nutzers zu Fragen und ignoriert sogar vorheriges Ablehnen durch den Nutzer. Angreifer können diesen Umstand nutzen, um eine manipulierte App per Masque Attack zu starten.

Bei der Programmierung von Malware, die App-URL-Schemen beliebter Apps verwendet, könnte ein Angreifer auch die Nutzeroberfläche so gestalten, dass sie unbemerkt Phishing-Angriffe durchführt. So wäre es dem Angreifer beispielsweise möglich, an wichtige Login-Daten zu gelangen.

Dieser Bug wurde bei den iOS-Versionen 7.1.2, 8.1.1, 8.1.2 und 8.2 Beta festgestellt. Apple hat ihn kürzlich für die aktuelle Version iOS 8.1.3 geschlossen. Laut einer Erhebung des App Stores vom 2. Februar 2015 verwenden 28 Prozent der Geräte ältere iOS-Versionen (iOS 7 oder niedriger), die nach wie vor auf diese Weise angreifbar sind. Auch die 72 Prozent der Geräte, die iOS 8 verwenden, sind gefährdet, wenn sie eine ältere Version als iOS 8.1.3 verwenden. FireEye rät Nutzern älterer iOS-Versionen zu einem baldigen Upgrade.

Missbrauch von URL-Schemen
Auf den ersten Blick erscheint die Verwendung desselben URL-Schemas durch unterschiedliche Apps als absichtliches Feature des iOS App Stores, um Entwicklern das Teilen der URL-Schemen zu ermöglichen. Doch auch namhafte Apps teilen ihr URL-Schema mit anderen, unbekannteren Apps. So hat FireEye insgesamt 28 Apps im App Store entdeckt, die das URL-Schema "fb://" der Facebook-App verwenden. Nur 16 von ihnen wurden von Facebook selbst veröffentlicht. Das URL-Schema "fb118493188254996” wird sogar von mindestens 8.048 Apps verschiedener Entwickler im App Store verwendet.

Angreifer haben dadurch die Möglichkeit, Malware mit dem URL-Schema einer legitimen App im App Store zu platzieren. Einmal auf ein Gerät gelangt, können sie die Nutzeroberfläche einer echten App dazu verwenden, Phishing-Angriffe durchzuführen und dadurch Daten abzufangen.

Fazit
Sowohl App Store als auch die iOS-Plattform erlauben Apps unterschiedlicher Entwickler nach wie vor, dieselben URL-Schemen zu verwenden. Das endgültige Schließen der dadurch entstandenen Sicherheitslücke könnte für Apple mit Schwierigkeiten verbunden sein. Darüber hinaus besteht weiterhin Gefährdung durch zwei weitere Arten der Masque Attacks, an deren Unterbindung Apple derzeit noch arbeitet. (FireEye: ra)

FireEye: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Achtung: Sicherheitslücke in OpenSSL

"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.

15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen

15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools

15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances

15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android

15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort – nicht. Testen Sie erst !

15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen

15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen

15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen

15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke

15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden

Meldungen: Sicherheitslecks

Firmware der Geräte aktualisieren
Die Forscher des Kaspersky ICS CERT haben mehrere Schwachstellen in einem verbreiteten Framework von CODESYS entdeckt, das für die Entwicklung industrieller Geräte wie speicherprogrammierbarer Steuerungen (SPS) und Mensch-Maschine-Schnittstelle (MMS) verwendet wird; sie werden in fast jeder automatisierten Industrieanlage von der kritischen Infrastruktur bis hin zu Produktionsprozessen eingesetzt. Die entdeckten Sicherheitslücken hätten es einem potenziellen Angreifer ermöglicht, Angriffe sowohl lokal als auch remote durchzuführen. Die Schwachstellen wurden vom Hersteller behoben. SPS sind Geräte, die Prozesse automatisieren, die bisher manuell oder mit Hilfe komplexer elektromechanischer Geräte durchgeführt wurden. Damit diese korrekt funktionieren, müssen sie entsprechend programmiert werden. Die Programmierung erfolgt über ein spezielles Software-Framework, mit dessen Hilfe Ingenieure Anweisungen für Prozessautomatisierungsprogramme codieren und hochladen können. Damit wird auch eine Laufzeitumgebung (Runtime Execution Environment) für den SPS-Programmcode zu Verfügung gestellt. Die Software wird in verschiedenen Umgebungen eingesetzt, darunter in der Produktion, für die Energieerzeugung oder in Smart-City-Infrastrukturen.
Schwachstelle in Intel-Prozessoren
Bitdefender hat eine neue Sicherheitslücke identifiziert, die sämtliche moderne Intel-Prozessoren betrifft. Diese Prozessoren nutzen die CPU-Funktion Speculative Execution, über die eine Side-Channel-Attacke erfolgen kann. Die Schwachstelle ermöglicht Zugriff auf Passwörter, Token, private Unterhaltungen sowie andere vertrauliche Daten von Privatanwendern und Unternehmen. Alle Rechner, bei denen neuere Intel-Prozessoren zum Einsatz kommen und auf denen Windows ausgeführt wird, sind betroffen, inklusive Server und Notebooks. Über ein Jahr hat Bitdefender mit den Technologiepartnern an einer Veröffentlichung dieser Schwachstelle gearbeitet - Patches stehen nun zur Verfügung oder werden in Kürze veröffentlicht.
BlueKeep-Sicherheitslücke Wochen bekannt
Vor ein paar Wochen wurde die BlueKeep-Sicherheitslücke bekannt. Trotz des enormen Gefahrenpotenzials und obwohl Microsoft zeitnah einen Patch bereitgestellt hat, sind viele Systeme weiterhin ungepatcht und bleiben damit anfällig für Cyberangriffe. Das ist riskant, denn die Sicherheitslücke BlueKeep im Remote Desktop Protocol (RDP) weist ein ähnlich hohes Gefahrenpotenzial wie EternalBlue auf. EternalBlue war die Sicherheitslücke, die die verheerende Ransomware-Attacke WannaCry im Jahr 2017 ausnutzte. Die Bedrohung durch BlueKeep wird immer mehr zu einem realen Risiko, denn mittlerweile existieren erste Exploits, die die Sicherheitslücke ausnutzen können. Das Department of Homeland Security (DHS) hat einen funktionierenden Exploit entwickelt und auch Personen aus dem Privatsektor berichten, dass sie über einen Remote Code Exploit verfügen. Neben Microsoft raten daher auch Organisationen wie der BSI und die NSA dringend zu Gegenmaßnahmen.
Ein Hardware-Designfehler
Ein Bitdefender-Forscherteam hat eine Schwachstelle bei einigen modernen Intel-CPUs aufgedeckt. Diese wird in einem Sicherheitshinweis dokumentiert, der am 14. Mai 2019, 19 Uhr deutscher Zeit, veröffentlicht worden ist. Die neue Schwachstelle namens YAM ("Yet Another Meltdown") überwindet die architektonischen Sicherheitsvorkehrungen des Prozessors und ermöglicht es unprivilegierten Anwendungen im normalen Benutzermodus, auf dem betroffenen Computer verarbeitete Kernel-Modus-Speicherinformationen zu stehlen.
Privilegien-Erweiterung durch Dritte
Kaspersky Lab hat eine zuvor unbekannte Schwachstelle - eine so genannte Zero-Day-Schwachstelle - in Microsoft Windows entdeckt. Eine bisher nicht identifizierte kriminelle Gruppe war dadurch in der Lage, die volle Kontrolle über ein anvisiertes Gerät zu erlangen. Die Cyberkriminellen hatten es auf den Kernel des Systems mittels einer Backdoor abgesehen, die aus einem wesentlichen Element des Windows-Betriebssystems aufgebaut war.Mittels Backdoors können Bedrohungsakteure infizierte Computer diskret für bösartige Zwecke nutzen. Eine solche Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen. Eine Backdoor, die allerdings einen unbekannten Fehler, also eine Zero-Day-Schwachstelle, im System ausnutzt, kann unentdeckt bleiben. Die Exploit-Prevention-Technologie von Kaspersky Lab konnte den Versuch, die unbekannte Schwachstelle im Windows-Betriebssystem von Microsoft auszunutzen, jedoch erkennen.

Ein so genannter Command-Injection-Fehler Schadhafte Banner-Werbung zielt auf Windows-System

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.