bedrohungsfeed

Sicherheitslecks in Zoom-Meetingsoftware abgedichtet

Zwei Sicherheitslücken meldet der Hersteller in seiner Konferenz-Software Zoom: Das Leck mit dem größten Risiko öffnet sich aufgrund eines potenziellen Pufferüberlaufs, durch den Angreifer den Dienst oder die Anwendungen zum Absturz bringen oder gar beliebigen Code ausführen könnten. Zoom selber bewertet die Lücke mit der Risikostufe „hoch“ und errechnet einen CVSS-Score von 7.3. Die andere Schwachstelle könnte den Status des Prozessspeichers offenbaren – und infolgedessen bösartigen Akteuren Einsicht in beliebige Speicherbereiche des Prozesses ermöglichen. Angreifer könnten dadurch unbefugt an sensible Informationen gelangen. Der Hersteller stuft das als mittleres Risiko mit einem CVSS-Score von 5.3 ein. Betroffen sind recht viele Programme und Dienste des Herstellers. Zu den weit verbreitetsten darunter zählen unter anderem der Zoom Client für Meetings für Android, Blackberry, Chrome, intune, iOS, Linux, macOS und Windows. Aber auch in den Zoom OnPremise Meeting Connectors und den Zoom Meeting SDKs sowie diversen weiteren Anwendungen schließen neue Fassungen die Sicherheitslücken. Die neuen Security-Bulletins sind auf der Zoom-Sicherheitsmeldungen-Übersichtsseite eingereiht. Dort hat das Unternehmen ausführlich alle betroffenen Software-Produkte und Versionsstände aufgelistet. Aktualisierte Pakete stehen für alle bereit. Die fehlerbereinigten Zoom Clients sowie den Controller für Zoom Rooms finden Nutzer auf der öffentlichen Download-Seite. Die anderen aktualisierten Pakete erhalten Administratoren über die ihnen bekannten Zugänge. Nutzer und Administratoren der Videokonferenzlösungen sollten sie aufgrund der potenziellen Auswirkungen zeitnah einspielen.

Quelle: Heise

Patchvorgang von Bitdefender Endpoint Security Tools manipulierbar

Aufgrund von drei Sicherheitslücken könnten Angreifer Systeme mit Bitdefender Endpoint Security Tools attackieren. Die Antiviren-Software gibt es für Linux, macOS und Windows. Die Installation von reparierten Versionen soll automatisch vonstattengehen. Als besonders gefährlich gilt eine als „kritisch“ eingestufte Sicherheitslücke (CVE-2021-3554) in der Linux-Version der Schutzsoftware. Aufgrund von unzureichenden Zugriffsbeschränkungen könnte ein Angreifer laut den Angaben einer Warnmeldung auf die patchesUpdate-API zugreifen. Im Anschluss soll die Manipulation der Update-Adresse möglich sein. Ob Angreifer Opfern nach einer erfolgreichen Attacke über diesen Weg mit Schadcode präparierte Updates unterschieben können, geht derzeit aus der Beschreibung nicht hervor. Die beiden anderen Schwachstellen (CVE-2021-3553, CVE-2021-3554) sind jeweils mit „mittel“ eingestuft. Klappt eine Attacke (SSFR), sollen Angreifer das Endpoint Protection Relay als Proxy für entfernte Hosts missbrauchen können. Gegen die geschilderten Attacken sind die Versionen 3.3.6.201 und 6.6.27.390abgesichert. Alle vorigen Ausgaben sollen verwundbar sein.

Quelle: Heise

Angreifer könnten die Kontrolle über Videoüberwachungssysteme von Qnap erlangen

Wenn in Unternehmen Videoüberwachungssysteme von Qnap zum Einsatz kommen, sollten Admins die Firmware auf den aktuellen Stand bringen. Geschieht dies nicht, könnten Angreifer nach erfolgreichen Attacken eigene Befehle auf Systemen ausführen. Qnap zufolge sind ausschließlich Netzwerk-Videorekorder der VS Series NVR betroffen. In einer Warnmeldung stuft der Hersteller eine Sicherheitslücke (CVE-2021-38685) als „kritisch“ ein. Die Schwachstelle findet sich in der QVR-Software. Attacken sollen aus der Ferne möglich sein und Angreifer in die Lage versetzen, eigene Befehle ausführen zu können. Weitere Details sind zurzeit nicht bekannt. Die zweite Schwachstelle (CVE-2021-38686 „hoch“) betrifft einen Fehler bei der Authentifizierung von QVR. Die Entwickler geben an, beide Sicherheitsprobleme ab QVR 5.1.6 build 202111109 gelöst zu haben. Diese Version kann man ab sofort über die Systemeinstellungen der betroffenen Videoüberwachungssysteme installieren.

Quelle: Heise

Sicherheitsupdates iDRAC: Angreifer könnten Dell-Server ausknipsen

Angreifer könnten Server mit der Dell-Software EMC iDRAC8 und EMC iDRAC9 attackieren. Sind etwa DoS-Attacken erfolgreich, könnten Server nicht erreichbar sein. Admins sollten die verfügbaren Sicherheitsupdates zeitnah installieren. Über die iDRAC-Software können Admins aus der Ferne auf Server zugreifen und sie verwalten, um beispielsweise Aktualisierungen vorzunehmen. Wie aus einer Warnmeldung hervorgeht, haben die Entwickler insgesamt vier Sicherheitslücken geschlossen. Die als am gefährlichsten eingestufte Schwachstelle (CVE-2021-20235 „hoch“) betrifft die Nachrichtenaustauschbibliothek ZeroMQ. Hier könnten entfernte Angreifer ohne Anmeldung ansetzen und wenn die CURVE/ZAP-Authentication nicht aktiv ist, Speicherfehler auslösen und dadruch unter anderem die Datenintegrität gefährden. Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2021-36299 „hoch“) könnten Dell zufolge entfernte, aber authentifizierte Angreifer ausnutzen, um verwundbare Systeme mit präparierten Anfragen zu stören. Das könnte zu DoS-Zuständen führen. Auch die Offenlegung von Informationen ist vorstellbar. Davon ist der Versionsstrang 4.40.00.00 betroffen. Die Ausgaben 4.40.29.00 und 5.00.00.00 sollen gegen solche Attacken abgesichert sein. Zwei weitere Schwachstellen (CVE-2021-36300 „mittel“, CVE-2021-36301 „mittel“) könnte Angreifern als Einstiegspunkte für unberechtigten Dateizugriff und Zugriff auf das Betriebssystem dienen. In beiden Fällen soll das ohne Authentifizierung und aus der Ferne gelingen. Auch hier schaffen die Versionen 4.40.29.00, 5.00.00.00 und 5.00.10.00 Abhilfe. Kommt noch iDRAC8 zum Einsatz, hilft die Aktualisierung auf 2.80.80.80. Wenn Admins die Updates derzeit nicht installieren können, können sie den Entwicklern zufolge Server durch die Deaktivierung des Group-Manager-Features unter iDRAC9 temporär vor Attacken auf CVE-2021-20235 schützen.

Quelle: Heise

VMware dichtet Schwachstellen in vSphere Web Client ab – zum Teil

In VMwares vSphere Web Client klaffen Sicherheitslücken, durch die Angreifer unter anderem an sensible Informationen gelangen könnten. Mit aktualisierten vSphere-Server-Versionen dichtet der Hersteller die Schwachstellen ab. Die Software Cloud Foundation (vCenter Server) 3.x ist ebenfalls betroffen. Dafür steht eine Aktualisierung dem Hersteller zufolge jedoch noch aus. Die schwerwiegendste Schwachstelle tat sich dadurch auf, dass der vSphere Web Client ohne Autorisierung beliebige Dateien einlesen konnte (CVE-2021-21980). In Folge dessen könnten Angreifer mit Zugriff auf den Port 443 des vCenter Servers an sensible Informationen gelangen, erläutert VMware in seiner Sicherheitsmeldung. Das Risiko schätzt das Unternehmen als hoch ein und bewertet es mit einem CVSS-Score von 7.5. Eine weitere Lücke mittleren Risikos steckte zudem im vSAN Web Client Plug-in des vSphere Web Client (CVSS 6.5). Sie ermöglichte es böswilligen Nutzern, eine sogenannte Server Side Request Forgery (SSRF) auszulösen. Dadurch könnte ein Angreifer den Server veranlassen, Anfragen an andere Systeme zu senden (CVE-2021-22049). Interessierten liefert der Punkt 10 des Hintergrundartikels zu den größten Risiken laut OWASP Top Ten 2021 nähere Details zu SSRF. Betroffen von den Lücken sind vCenter Server 6.5 und 6.7, für die die fehlerbereinigten Fassungen 6.5 U3r respektive 6.7 U3p bereitstehen. VMware hat sie in obiger Sicherheitsmeldung als Downloads verlinkt. Für das ebenfalls betroffene Cloud Foundation (vCenter Server) sei ein Patch demzufolge aber noch ausstehend. Die angebotenen Aktualisierungen sollten Administratoren zeitnah installieren. Sobald die Cloud Foundation-Updates verfügbar werden, empfiehlt sich auch deren zügige Anwendung. Gegebenenfalls lohnt sich auch ein Upgrade auf Cloud Foundation 4.x, da diese Version ebenso wie vCenter Server 7.0 dem Hersteller zufolge von den Lücken nicht betroffen ist.

Quelle: Heise

Android-Smartphones: Lücken in der Audio-Firmware von Mediatek-SoCs​

Sicherheitsforscher haben Schwachstellen in Smartphone-Chips des taiwanischen Herstellers Mediatek entdeckt, die ein Angreifer theoretisch ausnutzen könnte, um Gespräche mitzuhören. Die als mittelschwer eingestuften Lücken stecken in der Firmware des Audiosignalprozessors (DSP) auf dem SoC, teilte Check Point Research am Mittwoch mit. Mediatek hat diese und andere Lücken in einem Security Bulletin vom Oktober angezeigt sowie den Smartphoneherstellern ein Firmware-Update zur Verfügung gestellt (CVE-2021-0661CVE-2021-0662CVE-2021-0663). Ausgangspunkt waren Überlegungen, ob und wie sich die Architekturen des DSP und der KI-Einheit auf einem SoC für einen Angriff nutzen lassen. Auch in der aktuellen Prozessorgeneration „Dimensity“ nutzt Mediatek in diesen Einheiten eine Prozessorarchitektur, deren Standardbefehlssätze mit hauseigenen Instruktionen erweitert werden können, erläutern die Sicherheitsexperten. Für die Untersuchung haben sie die Firmware des DSP per Reverse Engineering nachkonstruiert. Sie benutzten dafür ein Xiaomi Redmi Note 9 5G mit Mediateks Mittelklasse-SoC „Dimensity 800U“ (MT6853) und Android 11 (MIUI Global 12.5.2.0), das seit etwa einem Jahr auf dem Markt ist. Der Angriffsvektor geht über die Kommunikation des Android-Systems mit dem Treiber des Audiosignalprozessors, erläutern die Forscher von Check Point. Installiert ein Nutzer eine präparierte und mit entsprechenden Rechten ausgestattete App auf dem Smartphone, könnte diese über eine Bibliothek, die mit dem Audiotreiber kommuniziert, Code in dessen Firmware einschleusen. Letzten Endes könne die Anwendung den Audiodatenstrom ausleiten und so Gespräche mitschneiden. „Zusammenfassend lässt sich sagen, dass wir einen völlig neuen Angriffsweg über die Android-API nachgewiesen haben“, sagte Slava Makkaveev von Check Point. Die Sicherheitsforscher haben Mediatek und auch dessen Großkunden Xiaomi frühzeitig informiert, die beide kooperiert haben. Mediatek hat die Lücken geschlossen und in seinem Oktober-Bulletin veröffentlicht. Es liegt nun an den Smartphone-Herstellern, die neue Firmware an die Geräte im Markt zu verteilen. „Würden die Schwachstellen nicht behoben, hätte ein Hacker sie ausnutzen können, um Gespräche von Android-Nutzern abzuhören“, sagte Makkaveev. „Außerdem hätten die Sicherheitslücken von den Geräteherstellern selbst für eine massive Abhör-Kampagne missbraucht werden können. Unsere Botschaft an die Android-Nutzer lautet daher, dass sie ihre Geräte um die neuen Sicherheits-Updates aktualisieren sollten, um geschützt zu sein.“ Allerdings müssten Angreifer einen vergleichsweise hohen Aufwand betreiben, um die Schwachstellen auszunutzen. Angesichts einer Vielzahl von Smartphone-Modellen mit unterschiedlichen Android-Versionen scheint eine kommerzielle Ausbeutung eher unwahrscheinlich. Auch Check Point räumt ein, dass es „keine konkreten Beweise für einen Missbrauch irgendeiner Art“ gibt.

Quelle: Heise

Nach Windows-Update: Zero-Day-Lücke erlaubt lokale Rechteausweitung

In Windows steckt eine Sicherheitslücke, die mit den November-Updates geschlossen werden sollte. Sie ermöglichte lokalen Nutzern, ihre Rechte im System auszuweiten. Damit sollte das Thema eigentlich erledigt sein. Doch laut Sicherheitsforscher Abdelhamid Naceri, der die Lücke gemeldet hatte, wurde die Lücke nicht richtig gepatcht, sodass er die Rechte weiterhin unbefugt manipulieren konnte. Die ursprüngliche Schwachstelle war bereits eine Rechteausweitung im Windows Installer (CVE-2021-41379), die Microsoft mit dem Schweregrad CVSS 5.5 – mittleres Risiko – eingestuft hat. Bei der Analyse des Patches gegen die Schwachstelle stieß Naceri eigenen Angaben zufolge auf zwei weitere Sicherheitslücken. In einem Github-Projekt erläutert er Details und liefert auch eine Proof-of-Concept-(PoC)-Software. Ciscos IT-Sicherheitsforschungsabteilung Talos hat erste Malware-Samples in freier Wildbahn entdeckt, die diesen neuen Angriff aufgreifen und zur Rechteausweitung im System ausnutzen. Der renommierte IT-Sicherheitsexperte Kevin Beaumont bestätigt die Funktion des Exploits und damit auch die Sicherheitslücken via Twitter. Betroffen sind Naceris Erläuterungen zufolge alle aktuell unterstützten Windows-Versionen, einschließlich Windows 11 und Server 2022. Sein Demo-Exploit namens InstallerFileTakeOver verschafft auch einem eingeschränkten Benutzer Zugriffsrechte auf beliebige Dateien; das ist gleichbedeutend mit System-Rechten. Vorsorglich weist Naceri darauf hin, dass sein Vorgehen beim Ausnutzen der Lücke den Microsoft Edge elevation service DACL erfordert, der auf manchen Server-Versionen nicht verfügbar sein könnte. Für Abhilfe könne man aufgrund der Komplexität der Schwachstelle bislang nur auf einen neuen, wirksamen Patch von Microsoft warten, meint Naceri. Jeder Versuch, die ausführbare Datei des Windows Installers direkt zu patchen, würde diesen zerstören.

Quelle: Heise

FBI warnt vor Einbrüchen via VPN-Software

Das FBI hat eine Untersuchung von Angriffen veröffentlicht, bei denen Cyberkriminelle Sicherheitslücken in VPN-Software ausnutzen, um in Netzwerke einzubrechen und sich schließlich sogar darin einzunisten. Im konkreten Fall ermöglichte die analysierte Schwachstelle Zugriff zu einer uneingeschränkten Datei-Upload-Funktion, mit der Angreifer eine Webshell für weitere Aktivitäten mit root-Rechten hochladen konnten. Sicherheitslücken etwa in VPN-Lösungen zum Einbruch in Netzwerke zu missbrauchen, gehört inzwischen zum Standard-Repertoire der Cyber-Gangs. Seit über einem Jahr taucht das vorne in der gemeinsam erstellten Liste der am häufigsten routinemäßig ausgenutzten Schwachstellen der US-amerikanischen CISA, der australischen ACSC, der United Kingdom NCSC sowie des FBI mit auf. Die FBI-Forensiker haben Angriffe auf die aktuell untersuchte Sicherheitslücke bis mindestens Mai 2021 zurückverfolgen können. Die Angreifer nutzten sie der detaillierten Analyse zufolge für Advanced Persistent Threat-Attacken (APT) – also dazu, sich in das Netzwerk einzuschleichen, festzusetzen, lange Zeit darin unerkannt aktiv zu bleiben und sich fortzubewegen. In der Regel starten solche Gruppen derartige Netzwerkunterwanderungen, um etwa unbefugt Daten abzugreifen oder via Einschleusen von Ransomware Lösegeld zu erpressen. In der Warnung nennt das FBI die VPN-Software FatPipe WARP, MPVPN sowie IPVPN als betroffen. Die jüngsten Versionen 10.1.2r60p93 und 10.2.2r44p1 sollen die Sicherheitslücken schließen. Nutzer der Software können die aktualisierten Fassungen beim Hersteller erhalten. Sicherheitsforscher von Claroty haben derweil Sicherheitslücken in zumeist im industriellen Umfeld eingesetzte VPN-Lösungen auf OpenVPN-Basis entdeckt. Diese sind teilweise als kritisch einzustufen und erlaubten Angreifern ebenfalls das Einschleusen von Schadcode. Die Lücken machen sich offenbar zunutze, dass der OpenVPN-Dienst lokal im SYSTEM-Kontext läuft. Die Benutzeroberfläche arbeitet hingegen mit niedrigen Rechten und sendet ihre Kommandos im Klartext und ohne Authentifizierung an diesen Dienst. Anwendungen können dem Dienst daher bösartig manipulierte Konfigurationen unterschieben und beliebigen Code mit den Rechten des Dienstes – also SYSTEM – ausführen. So beschreibt es eine Sammelmeldung des VDE-CERT etwa zu mbDIALUP (CVE-2021-33526). Dies könnte etwa mit einem JavaScript-Link in einer Webseite geschehen, auf den ein Nutzer der Software klickt. Eine zweite Schwachstelle in mbDIALUP ermöglichte es (CVE-2021-33527), Befehle ans Betriebssystem zu senden. Die Versionen mbDIALUP 3.9R0.5 und neuer dichten die Sicherheitslecks ab. Ähnliche Sicherheitslücken mit möglicher Rechteausweitung schließt Siemens in SINEMA Remote Connect Client mit Version V3.0 SP1 und neuer (CVE-2020-14498). Nutzer der HMS eCatcher VPN-Lösung sollten auf Version 6.5.5 oder neuer aktualisieren, um diese Fehler auszubügeln (CVE-2020-14498). Schließlich fanden die Claroty-Sicherheitsforscher solche Lücken noch im PerFact OpenVPN-Client (CVE-2021-27406). Auch in industriellen Umgebungen müssen Administratoren die eingesetzten Softwarelösungen auf dem aktuellen Stand halten, um erfolgreiche Angriffe auf die Infrastruktur und potenziell größeren materiellen Schäden zu verhindern. Die eingesetzten VPN-Lösungen sollten sie spätestens jetzt einmal auf Aktualität prüfen und gegebenenfalls Sicherheits-Updates zeitnah ausrollen.

Quelle: Heise

GoDaddy-Datenpanne betrifft 1,2 Millionen WordPress-Kunden

Der US-amerikanische Hosting- und Domain-Riese GoDaddy teilte am Montag mit, dass sich eine „unbefugte dritte Partei“ Zugang zu den persönlichen Daten von mehr als 1,2 Millionen Kunden seines WordPress-Hostingdienstes verschafft hat. In einem an die US-Börsenaufsichtsbehörde gerichteten Schreiben erklärte GoDaddy, dass der Vorfall am 17. November entdeckt wurde, nachdem man „verdächtige Aktivitäten“ in der Managed WordPress Hosting-Umgebung festgestellt habe. Die anschließende Untersuchung ergab, dass ein Hacker seit mehr als zwei Monaten Zugang zu den Servern des Unternehmens hatte. In dem Dokument heißt es, dass GoDaddy davon ausgeht, dass die Sicherheitslücke erstmals am 6. September 2021 auftrat. Nach derzeitigem Kenntnisstand hat sich der Hacker laut GoDaddy Zugang zu den E-Mail-Adressen und Kundennummern von bis zu 1,2 Millionen aktiven und inaktiven Managed WordPress-Kunden verschafft, sowie dem ursprünglichen WordPress-Admin-Passwort, das GoDaddy den Kunden bei der Erstellung einer Website schickt. Bei aktiven Kunden wurden zudem sFTP- und Datenbank-Benutzernamen und -Kennwörter offengelegt; bei einem Teil aktiver Kunden darüber hinaus der private SSL-Schlüssel. Nach eigenen Angaben hat GoDaddy mehr als 20 Millionen Kunden. „Wir haben verdächtige Aktivitäten in unserer Managed WordPress Hosting-Umgebung festgestellt und sofort eine Untersuchung mit Hilfe einer IT-Forensik-Firma eingeleitet und die Strafverfolgungsbehörden kontaktiert“, schreibt Demetrius Comes, Chief Information Security Officer bei GoDaddy, in der Mitteilung. „Wir bedauern diesen Vorfall und die Besorgnis, die er bei unseren Kunden hervorruft, aufrichtig.“ Nach eigenen Angaben hat GoDaddy die durch den Hack aufgedeckten sFTP- und Datenbank-Passwörter bereits zurückgesetzt. Außerdem wurde das Passwort des Administratorkontos für Kunden zurückgesetzt, die noch das Standardpasswort verwendeten. Das Unternehmen erklärte, dass es dabei sei, neue SSL-Zertifikate für die betroffenen Kunden auszustellen und zu installieren. Dieser Prozess sei etwas komplizierter als das Zurücksetzen von Passwörtern. Es ist nicht die erste Datenpanne des Unternehmens. Im Jahr 2018 wurden durch einen AWS-Fehler Daten auf GoDaddy-Servern offengelegt. Die Angreifer hatten SSH-Zugriff auf rund 28.000 Hosting-Accounts. Der unbefugte Zugriff blieb mehrere Monate lang unbemerkt. Anfang 2020 griff ein Hacker auf die SSH-Konten einiger Kunden zu, wie aus einem Schreiben an die Behörden (PDF) vom Mai 2020 hervorgeht. In der Adventszeit im vergangenen Jahr hatte GoDaddy mit Phishing im eigenen Teich für Aufsehen gesorgt. Der Webhoster versprach seinen Mitarbeitern in einer Email einen Bonus; testete damit aber nur deren Affinität, auf Spam hereinzufallen. Im April übernahm Godaddy für umgerechnet rund 100 Millionen Euro zahlreiche Top-Level-Domains (TLD) von seinem US-Konkurrenten Minds + Machines (MMX). Auch .bayern und .nrw wechselten den Betreiber.

Quelle: Heise

Jetzt patchen! Gehackte Exchange Server als Spam-Schleuder missbraucht

Spam-Mails sind immer noch die Hauptschlupflöcher für Trojaner, um Computer zu infizieren. Das Problem ist, dass solche Mails nicht nur für das menschliche Auge immer glaubhafter werden: Mit etwas Vorarbeit verschicken Kriminelle solche Mails derzeit innerhalb von Firmennetzwerken, um eine Filterung und Quarantäne-Mechanismen zu umgehen. Einem Bericht von Sicherheitsforschern von Trend Micro zufolge passiert das momentan gehäuft über gehackte Exchange Server. Dafür nutzen die Angreifer der von den Forschern identifizierten Squirrelwaffle-Gruppe die ProxyLogon- und ProxyShell-Lücken in Microsoft Exchange aus. Die beobachteten Attacken sollen zurzeit den Nahen Osten betreffen. In welchem Umfang die Angriffe stattfinden, ist zum gegenwärtigen Zeitpunkt nicht bekannt. Sind die Attacken erfolgreich, sollen die Angreifer aber keine Malware abladen und sich vom gehackten Server auch nicht weiter in Netzwerken ausbreiten (Lateral movement). Mit dieser Strategie wollen sie Logging-Tools keinen verdächtigen Datenverkehr liefern, auf den Admins aufmerksam werden könnten. Vielmehr sollen sie gewissermaßen verdeckt die E-Mail-Transport-Server-Software zum internen Versand von Spam-Mails missbrauchen. Durch das interne Versenden steigt den Forschern zufolge die Wahrscheinlichkeit, dass aus Sicherheitsgründen gesetzte Filter und Quarantäne-Regeln ins Leere laufen. Außerdem sehen von einem vermeintlich vertrauenswürdigen internen Kontakt stammende Mails glaubhafter aus. Zusätzlich sollen die Angreifer in den Mails an bestehende Projekte anknüpfen, um die Glaubwürdigkeit weiter zu steigern. In Kombinationen mit dem internen Versand könnten so Mails mit einem gefährlichen Dateianhang zum Opfer durchkommen und es dazu bringen, etwa ein mit Makros präpariertes Excel-Dokument zu öffnen und so Schadcode auf Computer zu holen. Um den internen E-Mail-Versand mittels gehackter Exchange Server zu verhindern, sollten Admins sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind. Sicherheitspatches gibt es seit März (ProxyLogon) und April 2021 (ProxyShell). Erst vergangene Woche warnte das Notfall-Team des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund, dass in Deutschland noch tausende öffentlich erreichbare potenziell verwundbare Exchange Server in Betrieb sind.

Quelle: Heise

Sicherheitsupdate: Attacken auf Drupal-Admins vorstellbar

Angreifer könnten mit dem CMS Drupal erstellte Websites attackieren. Insgesamt stufen die Entwickler das Risiko als „moderat kritisch“ ein. Die beiden Schwachstellen (CVE-2021-41164 „hoch“, CVE-2021-41165 „mittel“) betreffen den in Drupal integrierten CKEditor. Websites sollen einer Warnmeldung zufolge aber nur attackierbar sein, wenn der CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist. Ob das standardmäßig der Fall ist, geht aus der Meldung nicht hervor. Ist diese Voraussetzung erfüllt, könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es vorstellbar, dass etwa Admins ins Visier von XSS-Attacken geraten. Die Versionen 8.9.20, 9.1.14 und 9.2.9 sollen gegen solche Angriffe abgesichert sein. Für den Versionsstrang 9.1.x ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr. Für Drupal 8 ist es der finale Sicherheitspatch. Da Drupal 7 den CKEditor nicht einsetzt, ist diese Ausgabe nicht betroffen.

Quelle: Heise

Azure Active Directory: Sicherheitslücke entblößt private Schlüssel

Zufällig, wie sie selbst beschreiben, stießen Penetration Tester um Karl Fosaaen vom Unternehmen NetSPI auf eine verdächtige Zeichenkette in einem App-Registration-Manifest im Azure Active Directory, das man als AAD-Nutzer in der Azure-Oberfläche einsehen kann. Was dort unterhalb des Eintrags keyCredentials mit Base64 encodiert stand, entpuppte sich nach dem Dekodieren als privater Schlüssel im PFX-Format. Um herauszufinden, wie ein solcher so öffentlich einsehbar im Manifest landen konnte, legten sie einen neuen Automation-Account an und aktivierten den „Run-As“-Haken in der Oberfläche. Das Konzept kennen Windows-Server-Administratoren ohne Azure von geplanten Aufgaben, die im Namen eines Funktionsbenutzers eingerichtet und ausgeführt werden können. Dass jeder AAD-Nutzer die Schlüsseldaten so einfach aus einem JSON-Objekt auslesen kann, macht eine Rechteausweitung möglich. Zum Test legten die Forscher einen Account ohne Rechte an und bauten ein PowerShell-Skript, das automatisch nach den Zertifikaten des Automations-Accounts suchte. So konnten sie beweisen, dass sich ein Nutzer ohne weitere Rechte automatisiert Zugriff auf Zugangsdaten mit der Contributor-Rolle beschaffen konnte. Mit diesen Ergebnissen informierten sie am 7. Oktober 2021 das Microsoft Security Response Center (MSRC) und die Redmonder reagierten. Am 29.10. konnte NetSPI feststellen, dass Abhilfe geschaffen wurde, nachdem man vorher im Kontakt mit Microsoft stand und Details zur Lücke ausgetauscht hatte. Die Lücke hat die CVE-2021-42306 bekommen und wurde geschlossen. Microsoft konnte in seinen Logs keine Hinweise darauf finden, dass das Problem ausgenutzt wurde. Obwohl die privaten Schlüssel jetzt nicht mehr ausgelesen werden könnten, besteht das Risiko, dass sie schon vorher jemand unberechtigt abgerufen hat – daher sollten die Zertifikate ausgetauscht werden. Wer Run-As-Accounts mit automatisch generierten Zertifikaten in Azure Active Directory nutzt, die zwischen dem 15.10.2020 und dem 15.11.2021 ausgestellt wurden, sollte den Schritten in Microsofts GitHub-Repository mit Reparaturanweisungen folgen. Betroffen sein können auch Nutzer von Azure Migrate und Azure Site Recovery. Wann bei diesen Produkten Handlungsbedarf besteht, beschreibt Microsoft in einem Blogpost und stellt Anleitungen bereit.

Quelle: Heise

Qnap veröffentlicht NAS-Updates und deaktiviert aus Sicherheitsgründen eine App

Aufgrund von mehreren Sicherheitslücken könnten Angreifer NAS-Systeme von Qnap ins Visier nehmen und nach erfolgreichen Attacken Schadcode ausführen. Da ein Sicherheitsupdate noch nicht verfügbar ist, haben die Entwickler eine App temporär entfernt. Am gefährlichsten gelten zwei mit dem Bedrohungsgrad „hoch“ eingestufte Schadcode-Lücken in den Betriebssystemen QTS und QuTS hero und Multimedia Console. Die Schwachstelle in den Systemen geht auf das Apple File Protocol (AFP) zurück. Hier könnten Angreifer ansetzen und durch einen ausgelösten Speicherfehler (heap-based buffer overflow) Schadcode ausführen. Wie eine Attacke aussehen könnte, ist zurzeit nicht bekannt. Den Entwicklern zufolge sind dagegen die folgenden Versionen abgesichert:

  • QTS 5.0.0.1808 build 20211001
  • QTS 4.5.4.1800 build 20210923
  • QTS 4.3.6.1831 build 20211019
  • QTS 4.3.3.1799 build 20211008
  • QuTS hero h5.0.0.1844 build 20211105
  • QuTS hero h4.5.4.1813 build 20211006

Die Multimedia-Console-Lücke (CVE-202138684) kann ebenfalls als Schlupfloch für Schadcode dienen. Auch hier sind keine Details zu Angriffsszenarien bekannt. Qnap hat die reparierten Ausgaben 1.4.3 (2021/10/05) und 1.5.3 (2021/10/05) veröffentlicht. Die Lücke (CVE-2021-34358 „mittel“) in QmailAgent könnten als Ansatzpunkt für eine CSFR-Attacke dienen. Abhilfe schafft QmailAgent ab 3.0.2 (2021/08/25). Für die Schwachstelle (CVE-2021-38681 „mittel“) in Ragic Cloud DB gibt es noch kein Sicherheitsupdate. Demzufolge hat Qnap die Anwendung temporär aus dem App Center entfernt, bis ein Patch verfügbar ist.

Quelle: Heise

Sicherheitsupdates: Angreifer könnten Netgear-Router über Root-Lücke attackieren

Wer Netzwerkhardware von Netgear besitzt, sollte die Firmware auf Aktualität prüfen. Unter bestimmten Umständen könnten Angreifer Extender, Modems und Router attackieren und eigenen Code mit Root-Rechten ausführen. Der Hersteller rät zu einem zügigen Update. Das klingt erst mal nach einer kritischen Einstufung. Da ein Angreifer der Warnmeldung von Netgear zufolge aber Netzwerkzugriff haben muss, ist die Sicherheitslücke (CVE-2021-34991) mit dem Bedrohungsgrad „hoch“ eingestuft. Die Schwachstelle findet sich im UPnP-Service, der standardmäßig am TCP-Port 5000 lauscht. Hier könnte ein Angreifer aufgrund einer unzureichenden Überprüfung mit einer präparierten Anfrage einen Speicherfehler auslösen. Klappt das, sollen Angreifer Schadcode mit Root-Rechten ausführen können. Konkret betroffen sind beispielsweise Extender der EX3700-Serie, R6400-Router und DSL-Modems der D6220-Reihe. Die bedrohten Modelle und die gegen die geschilderte Attacke abgesicherten Firmware-Versionen listet Netgear in der Warnmeldung auf. Die Entwickler geben an, dass sie derzeit noch weitere reparierte Versionen testen und veröffentlichen wollen. Für welche Modelle das der Fall ist, ist derzeit nicht bekannt.

Quelle: Heise

Jetzt patchen! CERT-Bund warnt vor Zombie-Exchange-Servern

Admins von Microsoft Exchange haben es dieser Tage nicht leicht: Seit Monaten nehmen Angreifer Exchange-Server ins Visier und übernehmen nach erfolgreichen Attacken in einigen Fällen sogar die volle Kontrolle. Nun warnt das Notfall-Team des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT-Bund, dass in Deutschland noch tausende öffentlich erreichbare potenziell verwundbare Server in Betrieb sind. Wie das CERT-Bund auf Twitter verkündet, haben sie in einer aktuellen Untersuchung über 8000 direkt über das Internet via Outlook Web Access (OWA) erreichbare Exchange-Server mit der veralteten Version 2010 gesichtet. Das sind rund 15 Prozent alle über OWA erreichbaren Exchange Server in Deutschland. Für Exchange 2010 ist der Support je nach installiertem Service Pack schon seit acht Jahren ausgelaufen. Den Großteil machen Exchange 2010 mit SP3 aus. Hier lief der Support vor rund einem Jahr aus. Diese Ausgaben bekommen seitdem keine Sicherheitsupdates mehr; sie sind durch Attacken gefährdet. Auch wenn Exchange 2010 den Angaben von Microsoft zufolge nicht über die ProxyShell-Lücken und jüngst für Schlagzeilen sorgenden Lecks attackierbar ist, sollten Admins Server mit nicht mehr im Support befindlichen Versionen zügig auf den aktuellen Stand bringen. Andernfalls ist es nur eine Frage der Zeit, bis ein Angreifer über die öffentlich erreichbaren verwundbaren Server stolpert und einen Exploit drauf ansetzt.

Quelle: Heise

Jahrelange Sicherheitslücke im JavaScript-Repository NPM

Die Microsoft-Tochter Github, Betreiberin des JavaScript-Paketregisters NPM, meldet eine gravierende Sicherheitslücke in NPM: Mindestens seit September 2020 konnten NPM-Benutzer nach ihrer Anmeldung aufgrund eines Bugs neue Versionen beliebiger Pakete hochladen. Wie Githubs Chief Security Officer Mike Hanley in einem Blogbeitrag erklärt, haben Kajetan Grzybowski and Maciej Piechota die Lücke im Rahmen des Security Bug Bounty Program entdeckt. Sie wurde mit hoher Wahrscheinlichkeit nicht ausgenutzt, solange sich das über das eigene Monitoring nachweisen lässt. Allerdings reicht das nur bis September 2020 zurück, und die Lücke besteht bereits länger – wie lange genau, sagt Hanley nicht.

Quelle: Heise

Lücken in Industrie-IoT-Protokoll ermöglichen Fremdsteuerung

Industrielle Internet-of-Things-Umgebungen etwa für autonomes Fahren, Maschinen im Gesundheitswesen oder militärisch taktische Systeme nutzen oftmals ein proprietäres Protokoll namens Data Distribution Service (DDS) zum Datenaustausch. Forscher haben nun Sicherheitslücken in diversen Implementierungen aufgedeckt, für die es bisher nur zum Teil Sicherheits-Updates gibt. „DDS wurde für industrielle Anforderungen entwickelt und sitzt tief im Steuerungsnetzwerk. So könnten eine beliebige Anzahl von Endpunkten wie Sensoren oder Aktoren transparent miteinander […] kommunizieren, […] unabhängig von der Komplexität der Daten“, erklären die Forscher Ta-Lun Yen, Federico Maggi und Erik Boasson das Protokoll. So könnte ein Windrad Ist-Zustände via DDS an die zentrale Steuerung kommunizieren, die mit Regelanweisungen an das Windrad darauf reagiert. Weitere Informationen zum Protokoll liefert die DDS-Foundation. Die Forscher haben sicherheitsrelevante Fehler in diversen DDS-Implementierungen entdeckt und der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) gemeldet. Diese bestätigt die Analyse der Forscher und stuft den Schweregrad der Lücken zwischen mittel und hoch ein (CVSS-Score bis zu 8.6). Betroffen sind diverse Implementierungen des DDS-Protokolls:

  • Eclipse CycloneDDS vor Version 0.8.0
  • eProsima Fast DDS vor Version 2.4.0
  • GurumDDS alle Versionen
  • OCI OpenDDS vor Version 3.18.1
  • RTI Connext DDS Professional und Connext DDS Secure in Version 4.2.x bis 6.1.0 sowie Connext DDS Micro Version 2.4 und neuer
  • TwinOaks Computing CoreDX DDS vor Version 5.9.1

Das dürfte reihenweise Industriegrößen treffen. Die Eclipse-Foundation zum Beispiel listet unter anderem Prozessor-IP-Lieferant ARM, Intel, Bosch und LG als Nutzer auf. Bekannte Luftfahrt- und Rüstungsunternehmen sowie die NASA setzen anscheinend OpenDDS ein. Für die meisten der betroffenen Implementierungen stehen Aktualisierungen bereit, die die Lücken schließen. Die US-amerikanische CISA hat laut Sicherheits-Advisory allerdings das südkoreanische Unternehmen Gurum jedoch nicht erreichen können, weshalb hier der Update-Status unklar ist.

Quelle: Heise

Blacksmith: RAM-Sicherheitslücke Rowhammer ist schlimmer als angenommen

Ein Forschungsteam hat einen neuen Dreh entwickelt, wie sich die im Prinzip seit Jahren bekannten Rowhammer-Attacken auf die meisten aktuellen DDR4-Speichermodule durchführen lassen. Das Problem ist damit schlimmer als bisher angenommen, weshalb der „Blacksmith“ genannte Angriff unter der Kennnummer CVE-2021-42114 eine „kritische“ Bewertung im Common Vulnerability Scoring System (CVSS) erhält: 9 von 10 möglichen Punkten. Das Forschungsteam der ETH Zürich, Vrije Universiteit Amsterdam und Qualcomm kritisiert vor allem die Trägheit der Hardware-Industrie: Das Rowhammer-Prinzip ist schon seit 2012 bekannt, im Jahr 2015 hat Googles Forschungsteam praxisrelevante Angriffe entwickelt. Sechs Jahre später gibt es immer noch keine zuverlässige Absicherung. Für Blacksmith hat das Team rund um Kaveh Razavi einen Automatismus entworfen, der angreifbare Speicherzellen findet und sogenannte Bit-Flips verursacht, ohne dass bisherige Abwehrmechanismen wie Target Row Refresh (TRR) in den DRAM-Chips die Angriffsmuster erkennen. An der grundlegenden Funktionsweise von Rowhammer ändert der Blacksmith getaufte Angriff nichts: Rowhammer nutzt den Aufbau von SDRAM-Bausteinen aus, die aus Milliarden winziger Speicherzellen mit jeweils einem Kondensator-Transistor-Paar bestehen. Informationen werden über den Ladungszustand gespeichert, allerdings greifen Schreib-Leseverstärker (Sense Amps) und Spalten-Decoder immer auf längere Zeilen (Rows) zu, die elektrisch miteinander verbunden sind und sich somit untereinander beeinflussen. „Hämmert“ man nun eine Speicherzelle mit unzähligen Lesebefehlen zu, kann das den Ladungszustand benachbarter Zellen so weit verändern, dass eine Ladungsgrenze überschritten und die Information falsch ausgelesen wird. Das enthaltene Bit „flippt“ von 0 zu 1 oder von 1 zu 0. Infolge lassen sich vermeintlich sicher gegeneinander abgeschottete Speicheradressgrenzen überwinden – User- und Kernel-Space etwa verschwimmen. Das Forschungsteam hat 40 verschiedene Module mit SDRAM-Bausteinen der drei größten Hersteller Samsung, SK Hynix und Micron getestet. Bei allen hat Blacksmith Bit-Flips auslösen können – teilweise in Sekundenschnelle, teilweise erst nach Minuten, selten nach Stunden. Da Rowhammer-basierte Attacken zahlreiche Bits verändern müssen, um im Verbund mit anderen Angriffsmustern ein Datenleck herbeizuführen, sind insbesondere die schnellen Bit-Flips relevant. Die Sicherheitslücke RAMBleed umging schon 2019 bestehende Maßnahmen, Blacksmith schafft das jetzt aber automatisiert und vergleichsweise schnell. Dabei handelt es sich quasi um ein Wettrennen mit dem Target Row Refresh (TRR), der Rowhammer-Muster erkennen und Speicherreihen aktualisieren soll, bevor ein Bit flippt. In der Zusammenfassung schreibt die ETH Zürich, dass TRR in der heutigen Form viel zu langsam ist. Blacksmith versteckt sich durch abwechselnde Zugriffsmuster vor TRR und zeigt auf, welche Adressräume angreifbar sind. SDRAM mit der Fehlerkorrektur Error Correction Code (ECC) bremst Blacksmith, schafft aber keine sichere Abhilfe. Zu verschlüsseltem RAM, gegebenenfalls mit unterschiedlichen kryptografischen Schlüsseln pro virtueller Maschine, macht das Paper (PDF) keine Angaben. Für Desktop-PCs und Notebooks ist Blacksmith keine schwerwiegende Bedrohung, weil es dafür viel simplere Angriffe gibt. Rowhammer und Blacksmith zielen vielmehr auf (Cloud-)Server ab, die bei schlechter Wartung und unzureichendem Monitoring anfällig sind. Bisher muss der Angriff lokal ausgeführt werden, das Forschungsteam nimmt allerdings an, dass Blacksmith auch per Javascript aus der Ferne funktioniert.

Quelle: Heise

Windows Sonder-Updates gegen DC-Authentifizierungsprobleme und Druckprobleme

Mit den Sicherheitsupdates vom 9. November 2021 für Windows gibt es in Unternehmensumgebungen gegebenenfalls Probleme, wenn Domain Controller (DC) zum Einsatz kommen. Nach Installation der November-Updates kann es auf DCs zu Authentifizierungsfehlern kommen, die mit Kerberos-Tickets zusammenhängen, die über S4u2self erworben wurden. Microsoft hat einen Support-Beitrag dazu veröffentlicht, der die Details der Szenarien beschreibt. Betroffen sind demnach Systeme mit Windows Server 2008 R2 bis Windows Server 2019, die als Domain Controller fungieren. Zum 14. November 2021 hat Microsoft dann die nachfolgenden, außerplanmäßigen Updates zum Korrigieren der DC-Authentifizierungsfehler veröffentlicht.

  • Update KB5008602 (Microsoft Update Catalog): Windows 10 Enterprise 2019 LTSC, Windows 10 IoT Enterprise 2019 LTSC, Windows 10 IoT Core 2019 LTSC und Windows Server 2019
  • Update KB5008601 (Microsoft Update Catalog): Windows 10 Version 1607 und Windows Server 2016
  • Update KB5008603 (Microsoft Update Catalog): Windows Server 2012 R2
  • Update KB5008605 (Microsoft Update Catalog): Windows Server 2008 R2

Allen diesen Sonder-Updates ist gemein, dass sie nicht über Windows Update bereitgestellt werden. Vielmehr müssen Administratoren die Updates manuell aus dem Microsoft Update Catalog herunterladen und auf betroffenen Systemen installieren. Da in Unternehmensumgebungen die Verteilung der Patches in der Regel über verwaltete Umgebungen erfolgt, bedeutet dies, dass Administratoren die heruntergeladenen Update-Pakete in Verwaltungslösungen wie Windows Server Update Service (WSUS) importieren müssen. Bei einigen Updates (wie obigen KB5008601 für Windows Server 2016) gibt Microsoft in den Supportbeiträgen explizit an, dass auch nach der Installation dieser außerplanmäßigen Patches Druckprobleme auftreten können. Insbesondere listet das Unternehmen folgende Fehler als bekannt auf, die auf den Windows-Stationen auftreten können:

  • 0x000006e4 (RPC_S_CANNOT_SUPPORT)
  • 0x0000007c (ERROR_INVALID_LEVEL)
  • 0x00000709 (ERROR_INVALID_PRINTER_NAME)

Noch arbeitet Microsoft an der Behebung dieser Probleme und konnte sie nicht abschließend lösen. Zu den Druckproblemen hatte Microsoft im Windows Health-Dashboard entsprechende Einträge mit weiteren Hinweisen veröffentlicht. Und auch heise online hatte im Oktober über die sich seit Sommer hinziehenden PrintNightmare-Druckprobleme unter Windows berichtet. Betroffene Kunden können vom Microsoft Support auf Anfrage eine ADMX-Datei erhalten, die bei der Installation einen Eintrag in der Registrierung setzt, um die „Known Issues Rollback“-Funktion (KIR) anzustoßen. Diese rollt dann für die betroffene Windows-Version den Teil des Sicherheitsupdates zurück, die für diesen Druckerfehler verantwortlich ist. Dies sollte zumindest einige der Probleme beheben.

Quelle: Heise

E-Mail-Server des FBI gehackt – für Fake-Warnungen über Cyber-Angriffe genutzt

Unbekannten Angreifern ist es gelungen, E-Mails von einem Konto auf Servern des FBI zu verschicken. Am frühen Samstagmorgen (deutscher Zeit) des 13.11.2021 kämpften viele US-Administratoren mit einer plötzlichen E-Mail-Flut. Absender war vermeintlich das US Federal Bureau of Investigation (FBI). In den E-Mails mit dem Betreff „Urgent: Attacker in the System“ wurde vor einer „sophisticated chain attack“ eines Advanced Threat Actors gewarnt. Die Nachricht wurde von der IP-Adresse 153.31.119.142 (mx-east-ic.fbi.gov) mit dem Absender eims@ic.fbi.gov verschickt. Wer sich den Text der Mail genauer anschaute und in der Sicherheitsszene bewandert war, kam aber schnell darauf, dass diese Warnung ein Fake sein musste. Denn als Threat Actor wurde Vinny Troia, benannt. Troia ist der Leiter der Sicherheitsforschung der Dark-Web-Intelligence-Unternehmen NightLion und Shadowbyte. Der Mann wurde daraufhin mit Telefonanrufen betroffener Anwender überhäuft. Die gemeinnützige Organisation SpamHaus bestätigt bald in einem Tweet, dass die Warn-E-Mails in der Tat vom FBI/DHS (Federal Bureau of Investigation/ Department of Homeland Security) stammen, aber vom Inhalt schlicht Fakes sind. Diese gefälschten Warn-E-Mails werden an Adressen gesendet, die offenbar aus der ARIN-Datenbank entnommen wurden. Insgesamt geht man von mehr als 100.000 E-Mails aus, die bei den Empfängern eine Menge Störungen verursachten, weil die Kopfzeilen der Nachrichten echt waren und sie von der FBI-Infrastruktur versandt wurden. Spamfilter ließen diese Nachrichten unbeanstandet durch. SpamHaus schrieb später, dass auf Basis ihrer Telemetrie die Mails in zwei Wellen um 5:00 Uhr (UTC) und um 7:00 Uhr (UTC) versandt wurden. Da diese Mails aber keine Namen oder Kontaktinformationen im Signaturteil enthalten, fordert SpamHaus die Empfänger auf, vorsichtig zu sein. Einige Stunden später veröffentlichte das FBI eine dünne Stellungnahme mit dem Inhalt, dass dem FBI und der CISA der Vorfall bekannt sei, bei dem gefälschte E-Mails von einem @ic.fbi.gov-E-Mail-Konto versendet wurden. Die Situation sei noch nicht abgeschlossen, und man könne zum aktuellen Zeitpunkt keine weiteren Informationen zur Verfügung stellen. Die betroffene Hardware wurde nach der Entdeckung des Problems schnell vom Netz genommen. Das FBI fordert die Öffentlichkeit auf, weiterhin vorsichtig gegenüber unbekannten Absendern in Mails zu sein und bittet dringend, verdächtige Aktivitäten an ic3.gov oder cisa.gov zu melden. Da die betreffenden Mails aber von den vertrauenswürdigen E-Mail-Servern stammen, hilft dieser Hinweis den Betroffenen nicht wirklich weiter. Wer die Hintermänner des Hacks waren, ist unbekannt. Sicherheitskreise spekulieren über die Hintergründe. So ist eine Rufschädigung von Vinny Troia und seinen Unternehmen ein mögliches Motiv. Oder jemand wollte zeigen, dass auch die IT-Infrastruktur des FBI gehackt werden kann.Inzwischen hat sich eine Person mit dem Namen „Pompompurin“ gemeldet und gibt an, die Aktion als Hinweis auf eine schwere Coding-Lücke beim FBIausgeführt zu haben. Über das Law Enforcement Enterprise Portal (LEEP) war ein illegaler Zugriff auf das E-Mail-System des FBI möglich, da bei der Registrierung eines Nutzerzugangs ein Passcode im HTML-Code der Webseite weitergegeben wurde. „Pompompurin“ reichte ein kleines Script, um über diesen Mechanismus Tausende Mails über das FBI-E-Mail-System zu versenden. Diese Möglichkeit ist seit Samstag nicht mehr gegeben, da das FBI diese Funktion abgeschaltet hat.

Quelle: Heise

Zoom dichtet Sicherheitslücken in mehreren Produkten und Clients ab

In einigen Programmen des Videokonferenzdienstes Zoom wurden Sicherheitslücken gefunden. Der Hersteller schließt diese mit neuen Programmversionen. Die gravierendste Schwachstelle mit hohem Schweregrad (CVE-2021-34417, CVSS 7.9) fand sich in der Netzwerk-Proxy-Seite des Webportals der im lokalen Netz installierbaren Zoom On-Premise Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector und Virtual Room Connector Load Balancer. Die als Netzwerk-Proxy-Passwort übergebenen Daten wurden nicht korrekt überprüft und hätten von einem Webportal-Administrator zum Einschleusen von Befehlen aus der Ferne – ausgeführt als root – missbraucht werden können. In denselben Programmen fand sich auch eine Lücke mit mittlerem Risiko (CVE-2021-34418, CVSS 4.0), die zu einem Absturz des Login-Dienstes führen könnte. Es fehlte eine Prüfung, ob bei der Anmeldung auch ein NULL-Byte gesendet wurde, das typischerweise das Ende einer Zeichenkette markiert. Details und genaue Versionsnummern finden sich auf der Zoom Security-Bulletin-Seite. Das Windows-Installationsprogramm des Zoom Client für Meetings hat zudem die digitalen Signaturen von Dateien mit .msi-, .ps1- und .bat-Endungen nicht korrekt überprüft (CVE-2021-34420, CVSS 4.7). Solche Dateien entpackt der Installer und nutzt sie zu Installation der Software. Durch den Fehler hätten Angreifer dem Bericht zufolge bösartige, manipulierte Software installieren können. In der Linux-Version des Zoom Client für Meetings könnten Angreifer eine manipulierte Fernsteuerungsanfrage bei einer Sitzung mit Screensharing senden, die einen Fehler zum HTML-Einschleusen ausnutzt (CVE-2021-34419, CVSS 3.7). Dies soll Teilnehmer so einer Sitzung für Social-Engineering-Angriffe verwundbar gemacht haben. Für alle gemeldete Lücken stehen aktualisierte Softwarepakete bereit. Die Server-Software lässt sich zwar nicht öffentlich herunterladen, Clients listet der Hersteller jedoch auf der Download-Seite. Administratoren und Nutzer sollten diese Updates bei nächster sich bietender Gelegenheit einspielen.

Quelle: Heise