factor! - BLOG

factor! - BLOG

Herzlich Willkommen zum unserem Blog!

Oracle veröffentlicht massives Patch-Paket

Quelle: Heise Verlag Online

Insgesamt schließt das Update 104 Lücken, 37 davon in Java. Vier der Java-Lücken schätzt Oracle mit dem höchstmöglichen Schweregrad ein. Betroffen sind die Java-Versionen 5 bis 8.

Mit seinem Critical Patch Update für April hat Oracle 104 Sicherheitslücken in insgesamt 34 verschiedenen Produkten geschlossen. Darunter sind Fixes für Java 5,6,7 und auch bereits für das vor vier Wochen erschienene Java 8. Des weiteren schließt die Firma Lücken in Oracle Database 11 und 12, der Fusion Middleware, in Solaris, MySQL und in VirtualBox.

Unter den Sicherheitsupdates befinden sich vier für Lücken mit dem höchstmöglichen CVSS Base Score von 10.0 – diese müssen als sehr kritisch angesehen werden und betreffen die Java Versionen 5 bis 8. Fünf weitere Java-Lücken haben einen Base Score von 9.3, ebenso wie eine Lücke in Oracles Secure Global Desktop.

Insgesamt schließt die Firma 37 Java-Lücken, die bis auf eine Ausnahme über das Netzwerk ausgenutzt werden können; die meisten, ohne dass eine Authentifizierung erfolgen muss. Die Mehrzahl der Java-Lücken wurden vertraulich an Oracle gemeldet. Noch ist nicht klar, wie viele der 30 Lücken, die Sicherheitsexperte Adam Gowdiak am Anfang des Monats veröffentlicht hatte, von Oracle als Teil des Critical Patch Updates geschlossen wurden.

Eine detaillierte Liste aller im Update-Paket enthaltenen Sicherheitsupdates findet sich auf Oracles Webseite zu dem Update. Auf Grund der Schwere der zugrundeliegenden Lücken empfiehlt die Firma ihren Kunden, die Updates so schnell wie möglich einzuspielen. (fab)

Verschlüsselung gängiger RFID-Schließanlagen geknackt

Quelle: Heise Verlag Online

RFID-Transponderkarten, die für die elektronische Zutrittskontrolle genutzt werden, lassen sich Sicherheitsexperten zufolge oft "trivial einfach" klonen.

Schlechte Nachrichten für alle, die ihren klassischen Haus- oder Büroschlüssel durch eine Chipkarte ersetzen wollen oder dies bereits getan haben: Die zugehörigen RFID-Transponder für einschlägige elektronische Schließsysteme könnten teils "trivial einfach" geklont werden. Dies erklärte Ralf Spenneberg, Chef der Firma OpenSource Training, am Montag auf dem 32. Chaos Communication Congress in Hamburg.

Spenneberg und sein Mitstreiter Oguzhan Cicek konzentrierten sich bei ihrer gemeinsam mit der Firma OpenSource Security durchgeführten Analyse auf den Hitag-S-Transponder des niederländischen Halbleiterkonzerns NXP. Dieser funkt auf der Kurzwellenfrequenz 125 kHz und arbeitet mit einem 48-Bit-Schlüssel sowie einem 24-Bit-Passwort. Zum Einsatz komme ein undokumentiertes Verschlüsselungsverfahren, das als ungebrochen und so als "sicher" gelte, erläuterte Spenneberg. Andere "Cipher" aus der gleichen Transponderfamilie seien aber bereits geknackt worden, darunter der "Hitag 2"

Analyse
Elektronische Schließsysteme arbeiten laut Spenneberg teils online, wobei die Schließberechtigung zentral gespeichert werde. In der Regel werde dazu nur die Identifikation des Transponders ausgelesen. Sobald man diese Nummer emulieren könne, habe man also einen Schlüsselklon. Es gäbe aber auch Fälle, in denen eine Authentifizierung durchgeführt würde. Dies mache die Sache etwas schwieriger.

Bei der Offline-Variante ist die Zugangserlaubnis auf dem Transponder selbst gespeichert, führte Spenneberg aus: "Wenn ich ihn auslesen oder beschreiben kann, bin ich in der Lage, die Berechtigung zu ändern." Häufig unterliefen den Herstellern der Schließanlagen schon an diesem Punkt "grobe Schnitzer". Beim Hitag S komme bei dieser Variante zwar zusätzlich eine Authentifizierung dazu. Trotzdem sei es oft schon möglich, "im Vorbeigehen" eine Schlüsselkopie herzustellen, wenn der Transponder ungeschützt in der Tasche aufbewahrt werde. In öffentlichen Verkehrsmitteln etwa könnte "der Nebenmann mit dem Rucksack" die vermeintlichen Geheimnisse aus etwa 30 Zentimeter Entfernung auslesen.

Angriff
Für einen "analytischen Angriff" müsse man Authentifizierungsvorgänge beziehungsweise den dabei stattfinden Kommunikationsaustausch mitlesen, berichten die Experten. Im Detail habe sich das Team die Kommando-Schnittstelle für den Koprozessor genauer angeschaut. Dabei habe man keine spezifischen Befehle beim Hitag S entdeckt, mit denen Daten im Eeprom gespeichert würden. So lag es nahe, dass das Verschlüsselungsverfahren ähnlich ablaufe wie das bereits ausgehebelte beim Hitag 2.

Mit Reverse Engineering und mehreren gängigen Angriffsmethoden wie Replay- und Brut-Force-Attacken sowie dem RFID-Testgerät Proxmark3 rückten die Tüftler dem Cipher auf den Leib. Bei der Analyse habe ihnen dabei ein Designfehler sowie die vergleichsweise kurze Schlüssellänge in die Hände gespielt, konstatierte Cicek. Auch das Erfüllbarkeitsproblem der Aussagenlogik habe man sich zunutze gemacht und eine entsprechende Formel erstellen können. Am Ende sei der Hitag S komplett ausles- und emulierbar gewesen. Insgesamt habe es mit einem verfeinerten Verfahren schließlich nur noch fünf Minuten gedauert, den Transponder zu klonen. Unter bestimmten Umständen sei es so auch möglich, die Schließberechtigung etwa von "Praktikant" auf "Chef" zu erweitern.

Stand der Dinge
Andere Transponder im unteren Frequenzbereich seien laut Spenneberg entweder bereits gebrochen oder würden Verfahren verwenden, die genauso leicht zu knacken seien. Aber auch unter den RFID-Lösungen, die in höheren Frequenzbereichen arbeiteten, gebe es bereits Systeme, die bereits seit Langem gebrochen seien – etwa Mifare Classic oder Legic Prime.

Betroffen sind laut Spenneberg unter anderem Schließsysteme Winkhaus BlueSmart, Abus Seccor Codeloxx-L, Bosch PegaSys Terminal und Uhlmann & Zacher Clex Prime. Er kündigte an, dass sein Unternehmen an Neujahr eine einschlägige Sicherheitswarnung veröffentlichen werde. Einige Hersteller hätten auf die Erkenntnisse geantwortet, dass die untersuchten Verfahren nicht mehr dem Stand der Technik entsprächen. Man habe zudem nie behauptet, dass die RFID-Anlagen "sicher" seien, sondern vermarkte sie nur als "Kontroll- oder Organisationssysteme". Pech nur für Nutzer in großen privaten Bürokomplexen, Krankenhäusern oder Behörden, bei denen es oft um etliche Schlösser geht. NXP sei ebenfalls vor einigen Monaten kontaktiert worden. Das Unternehmen hat seine Kunden daraufhin intern informiert. (nij)

Flash-Player deaktivieren! Schon wieder Angriffe auf ungepatchte Lücke

flash0day-74f4e8ea9d9709feUnd täglich grüßt die Flash-Lücke: Nur eine Woche war Ruhe, jetzt ist die nächste kritische Schwachstelle aufgetaucht. Da diese bereits ausgenutzt wird, sollte Flash wieder ein mal abgeschaltet werden.

Erneut nutzen Online-Ganoven eine zuvor unbekannte Sicherheitslücke im Flash Player aus. Die Lücke klafft in allen Flash-Versionen, einschließlich der erst vor einer Woche veröffentlichten Version 16.0.0.296. Laut der Antivirenfirma Trend Micro hat passender Angriffscode bereits Einzug in ein Exploit-Kit (vermutlich Angler) gehalten.

DailyMotion greift an
Das Unternehmen hat den Exploit auf dem populären Videoportal DailyMotion entdeckt. Alleine die Nutzer von Trend Micro haben ihn mehrere tausend Mal abgerufen, wie eine Auswertung von Telemetriedaten ergab. Der Angriffscode ist offenbar über ein Anzeigennetzwerk auf das Videoportal gelangt. Es ist daher wahrscheinlich, dass weitere Sites als Virenschleudern fungieren. Der kritischen Zero-Day-Lücke wurde die CVE-Nummer CVE-2015-0313 zugeteilt.

Laut Adobe sind die folgenden Versionen des Flash-Players verwundbar:

Adobe Flash Player 16.0.0.296 und älter für Windows und Macintosh
Adobe Flash Player 13.0.0.264 und älter
Adobe Flash Player 11.2.202.440 und älter für Linux
Diese Woche wird gepatcht!
Die aktuellen Angriffe zielen offenbar auf Nutzer von Windows 8.1 ab, die mit dem Internet Explorer oder Firefox surfen. Das muss allerdings nicht heißen, dass alle anderen auf der sicheren Seite sind – schließlich können die Angreifer ihren Code jederzeit anpassen. Adobe hat einen Patch für diese Woche angekündigt; das wäre bereits der vierte im noch jungen Jahr. Bis das Sicherheitsupdate bereit steht, sollte man Flash deaktivieren. Da der Schadcode über Anzeigennetzwerke verteilt wird, kann er überall lauern. (rei)

Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei

Virus im Wordmantel

viren-welle.pngDerzeit sollte man jeden Dateianhang in einer E-Mail kritisch betrachten. Denn in letzter Zeit häufen sich Vorfälle, bei denen etwa präparierte Word-Dateien Computer infizieren. Die aktuelle Viren-Welle ist bis ins NRW-Innenministerium vorgedrungen.

Wer gegenwärtig seine E-Mails abruft, sollte bei Dateianhängen besonders wachsam sein; auch wenn die Absenderadresse von einem Bekannten stammt. Denn aktuell rollt eine Viren-Welle durch das Internet, bei der die Schädlinge – in erster Linie Verschlüsselungstrojaner – mit auf den ersten Blick harmlosen Word-Dokumenten (.doc) oder Zip-Dateien (.zip) daherkommen.

Die Word-Dateien weisen gefährliche Makros auf und die Archive enthalten bösartige ausführbare Dateien (.exe) oder JavaScript (.js). Auf JavaScript setzen die Angreifer, da dieses von vielen Mailservern nicht blockiert wird. Von der Viren-Welle sind in erster Linie Windows-Nutzer betroffen.

Mehrere Schritte bis zum Befall nötig
Im Normalfall passiert beim Empfang einer entsprechenden E-Mail erst mal gar nichts. Öffnet der Empfänger den Anhang, kann zum Beispiel eine bösartige ausführbare Datei den Computer verseuchen. Versteckt sich der Schadcode in einem Zip-Archiv, muss man erst dieses Öffnen und dann die entpackte Datei ausführen. Es sind also mehre Schritte vom Nutzer nötig, um die Infektion einzuleiten.

Lesen Sie dazu auch:
Analysiert: Das Comeback der Makro-Malware
Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf.

Da die Ganoven ihre Malware anscheinend regelmäßig warten, kommen die Anbieter von Antiviren-Anwendungen nicht hinterher, denn Leser von heise online berichten, dass ihre Virenscanner oft nicht anspringen.

Gefährliche E-Mail von Oma
Einige Leser melden zudem, dass sie auch von Bekannten und Verwandten E-Mails mit bösartigem Dateianhang erhalten haben. Man sollte den Anhang also selbst bei einem bekannten Absender nicht gleich abnicken. Denn oft nutzen Ganoven gekaperte E-Mail-Konten für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounts gleich mit.

Das Erschreckende dabei ist, dass sich die Angreifer immer glaubwürdigere Formulierungen überlegen, damit man den gefährlichen Dateianhang öffnet. In der Vergangenheit haben krude Sätze selbst unbedarfte Nutzer aufhorchen lassen.

Derzeit sind vor allem gefälschte Bewerbungen und Rechnungen im Umlauf. Ein Leser von heise online berichtet von einer vermeintlichen Rechnung eines Autohauses, das Kunde des Unternehmens ist, in dem der Leser arbeitet. Ein geschickt eingefädelter Angriff.