Schlagwort-Archive: Sicherheitslücke

Patches für Sicherheitslücken von Adobe, Citrix, Intel und vBulletin

Originalartikel von Trend Micro

Schwachstellen setzen Unternehmenssysteme der Kompromittierung aus. Jetzt, da viele Mitarbeiter von zu Hause aus arbeiten und Geräte ausserhalb der sicheren Büroumgebungen betreiben, ist die Notwendigkeit, Schwachstellen zu beheben, sobald sie entdeckt werden, noch dringlicher geworden. Neben Microsoft haben kürzlich auch die folgenden Anbieter Patches veröffentlicht: Adobe, Citrix, Intel und vBulletin. Es folgt eine Zusammenfassung dieser kürzlich bekannt gewordenen Schwachstellen, und Organisationen sind gut beraten, sofort zu prüfen, ob die von ihnen verwendete Software von diesen Schwachstellen betroffen ist.

Adobe-Sicherheitslücken

26 Lücken in eigenen Produkten wie Adobe Acrobat und Adobe Reader hat der Anbieter Im Rahmen der aktuellen Veröffentlichungen von Fixes behoben. Elf davon sind als „kritisch“ eingestuft worden. Bei den beiden CVE-2020-9696 und CVE-2020-9712 handelt es sich um Security Bypass-Probleme, die die Ausführung beliebigen Codes ermöglichen. Die kompletten Einzelheiten zu den Schwachstellen werden noch veröffentlicht.

Verschiedene Sicherheitsforscher hatten Adobe von den Schwachstellen in Kenntnis gesetzt. Abdul-Aziz Hariri von der Trend Micro Zero Day Initiative (ZDI) entdeckte CVE-2020-9712 sowie vier weitere als „wichtig“ eingestufte Lücken (CVE-2020-9697CVE-2020-9706CVE-2020-9707CVE-2020-9710).

Citrix-Sicherheitslücken

Citrix veröffentlichte ein Security Bulletin, in dem der Anbieter die Entdeckung von fünf Sicherheitslücken in einigen Versionen von Citrix Endpoint Management (CEM), auch als XenMobile bekannt, ankündigte. Die beiden CVE-2020-8208 und CVE-2020-8209 gelten als „kritisch“.

Während über vier der Lücken nur wenige Informationen durchgedrungen sind, handelt es sich bei CVE-2020-8209 um einen Path Transversal-Fehler, der durch eine ungenügende Input-Validierung entsteht. Solche Schwachstellen ermöglichen es Angreifern, beliebige Dateien auf Servern zu lesen. Laut Andrew Menov, Experte bei Positive Technologies, können Bedrohungsakteure sie ausnutzen, indem sie eine URL erstellen und sie unter nichtsahnenden Benutzern verbreiten. Folgen diese der URL, könnten die Angreifer dann auf Dateien einschliesslich Konfigurationsdateien und Verschlüsselungs-Keys ausserhalb des Root-Verzeichnisses des Webservers zugreifen. Weitere Einzelheiten sollen noch folgen.

Intel-Sicherheitslücken

Intel veröffentlichte kürzlich Fixes für 22 Sicherheitslücken mit Bewertungen von „niedrig“ bis „kritisch“. Die kritische Lücke CVE-2020-8708 betrifft Intel Server Boards, Serversysteme und Rechenmodule vor der Version 1.59. Sie ermöglicht es nicht autorisierten Benutzern, die Authentifizierung zu umgehen und die Privilegien über angrenzende Zugriffe zu erhöhen.

Dmytro Oleksiuk, ein Informationssicherheitsforscher und -entwickler, der den Fehler entdeckte, erklärte gegenüber Threatpost, dass dieser Fehler in der Firmware von Emulex Pilot 3 sitzt. Emulex Pilot 3 wird von Motherboards verwendet und hilft dabei, Serverkomponenten in einem einzigen System zusammenzuhalten.

vBulletin-Sicherheitslücken

Eine im letzten Jahr bei der Internetforums-Software entdeckte Sicherheitslücke, die mittlerweile als geschlossen galt, scheint immer noch gefährlich zu sein. Das zeigten Proof-of-Concept Codes des Sicherheitsforschers Amir Etemadieh (Zenofex). Es geht um CVE-2019-16759, ein Fehler in vBulletin Versionen 5.x bis 5.5.4, der Remote Code Execution (RCE) ermöglicht über die Nutzung eines speziellen POST Requests. Zwar wurde schon seit langem ein Patch veröffentlicht, aber die Untersuchungen haben ergeben, dass Angreifer die Schwachstelle immer noch ausnutzen können, und es gibt PoCs in Bash, Python und Ruby. Bislang wurde noch kein offizieller neuer Patch veröffentlicht. Der Forscher hat einen temporären Workaround vorgestellt, den Administratoren anwenden können.

Schutz für Systeme

Folgende Massnahmen können zum Schutz vor Sicherheitslücken beitragen:

  • Systeme sofort patchen.
  • Regelmässige Updates von Software, Firmware und Anwendungen. Installieren der neuesten Versionen, denn diese enthalten auch die neuesten Fixes.
  • Einsatz von Sicherheitslösungen. Ein mehrschichtiger Sicherheitsansatz ist sinnvoll, vor allem in den Fällen, in denen Patches nicht sofort verfügbar sind.

Die folgenden Trend Micro-Lösungen erhöhen ebenfalls den Schutz vor Sicherheitslücken:

Trend Micro Deep Security und Vulnerability Protection schützen Nutzer vor der vBulletin-Sicherheitslücke mithilfe der folgenden aktualisierten Regel:

  • 1010366 – vBulletin ‚widgetConfig‘ Unauthenticated Remote Code Execution Vulnerability (CVE-2019-16759)

CurveBall: Öffentlicher PoC für kritischen Microsoft-NSA Fehler

Die Sicherheitsforscher Saleem RashidKudelski Security und Ollypwn haben Proof-of-Concept Code veröffentlicht für die Ausnutzug von CurveBall (CVE-2020-0601). Es ist die erste Sicherheitslücke, die die National Security Agency (NSA) gemeldet hatte. Die Lücke ist im ersten Zyklus 2020 der Patch Tuesday-Updates berücksichtigt worden und betrifft die Validierung des CryptoAPIs der Elliptic Curve Cryptography (ECC)-Zertifikate sowie die Public Key Infrastructure (PKI) in Windows. Unternehmen und Nutzern wird das sofortige Patchen ihrer Systeme empfohlen, um den Missbrauch dieser Sicherheitslücke zu verhindern.

Der Machbarkeitsbeweis zeigt, wie sich der Fehler auf eine der kryptografischen Implementierungen der Windows CryptoAPI (Crypt32.dll)-Bibliotheksfunktion auswirken kann. Die Forscher warnen vor den möglicherweise ernsten Folgen, denn jede Software, die sich auf die Windows  CertGetCertificateChain()-Funktion verlässt, um die Gültigkeit eines ECC X.509-Zertifikat zu prüfen, kann fälschlicherweise einer bösartigen Zertifikatskette (einschließlich solcher von Drittanbietern) die Vertrauenswürdigkeit bescheinigen. Zu den betroffenen Microsoft-Versionen gehören Windows 10 und Windows Servers 2016 sowie 2019.

Nutzt ein Angreifer den Fehler aus, kann er die Gültigkeit des ECC für Dateien, Anwendungen, Netzwerkverbindungen, Emails und ausführbaren Dateien fälschen und sie als vertrauenswürdig, von einem legitimen Anbieter abstammend darstellen. Die gefälschte Gültigkeit ermöglicht unter anderem den Zugriff auf die Entschlüsselung von vertraulichen Informationen über Benutzerverbindungen, Man-in-the-Middle-Angriffe und die Ausnutzung aus der Ferne.

Microsoft stellt in dem Security Advisory fest, dass die Ausnutzung des Fehlers wahrscheinlich ist, vor allem, da öffentliche Demo-Codes verfügbar sind. Die NSA erklärt in ihrem Cybersecurity Advisory, dass die verfügbaren Patches lediglich der Minderung der Bedrohung dienen, obwohl einige Forscher bereits festgestellt haben, dass ein Update für Windows Defender veröffentlicht wurde, um aktive Exploit-Versuche zu erkennen und Benutzer zu warnen. Anwendern wird empfohlen, die Patches so schnell wie möglich herunterzuladen.

Trend Micro-Lösungen

Trend Micro-Anwender sind vor der Bedrohung über folgende Regeln geschützt:

Detailliertere Informationen dazu gibt es auf der Business Support-Seite.

Neue Sicherheitslücken bedeuten nicht zwangsläufig neue Probleme

von Richard Werner, Business Consultant

Wieder sind zwei neue Sicherheitslücken aufgetaucht, die betroffene Nutzer und Unternehmen vor Herausforderungen stellen werden. Diesmal sind die Microsoft-Browser Edge und Internet Explorer betroffen. Es handelt sich dabei um so genannte Zero Days, denn zum Zeitpunkt der Veröffentlichung war vom Hersteller noch kein Patch verfügbar. Diese Situation kennt nur Verlierer.

Die Situation wäre möglicherweise vermeidbar gewesen, folgt man den Auskünften des Sicherheitsforschers, der diese Lücken entdeckt hat: Er behauptet, Microsoft bereits zehn Monate vor der Veröffentlichung über seine Ergebnisse informiert zu haben. Nun ist der Anbieter eigentlich nicht dafür bekannt, solche Hinweise zu ignorieren. Die Erfahrung zeigt vielmehr, dass dessen Prozesse daraufhin optimiert sind, in solchen Fällen schnell und akkurat zu reagieren. Eine solche Verzögerung mag deshalb durchaus unbeabsichtigt oder zufällig entstanden sein. Das Resultat ist aber leider eine „Lose-Lose-Lose-Situation“.

Lose-Lose-Lose-Situation
Auf der einen Seite steht ein junger Sicherheitsforscher, der sich gezwungen sieht, seine Ergebnisse zu veröffentlichen. Da Millionen Nutzer davon betroffen sind und zu erwarten ist, dass innerhalb der nächsten Wochen bereits Angriffe auf diese Schwachstellen folgen werden, wird er wohl wenig Dank ernten.

Der zweite Verlierer ist Microsoft. Das Unternehmen ist nun gezwungen zu reagieren und erklärt der Öffentlichkeit entweder, warum kein Einschreiten notwendig ist (aus unserer Sicht eher unwahrscheinlich), oder stopft schnellstmöglich diese Lücke. Ein Image-Schaden und deutlicher Mehraufwand werden dabei auf jeden Fall die Folge sein.

Der dritte Verlierer – vermutlich der einzige, auf den es wirklich ankommt – sind die Nutzer. Wahrscheinlich werden sie demnächst einen Patch als Notfallmaßnahme erhalten, den sie sofort installieren müssen. Wir können nur hoffen, dass dem Hersteller genügend Zeit für eine vernünftige Qualitätssicherung bleibt. Zwangsläufig aber wird es ungemütlich, denn Cyberkriminelle haben durch die Offenlegung leider eine Blaupause dafür erhalten, wie sie angreifen können, und haben damit potenziell einen mehrtägigen Vorsprung. Besonders fatal ist, dass die allermeisten Menschen vermutlich überhaupt nichts von dieser Diskussion mitbekommen und solchen Angriffen komplett unvorbereitet gegenüberstehen.

Weiße Märkte
Ironischerweise vollzieht sich dieser Vorfall ziemlich genau zwei Wochen nach Abschluss des weltweit größten Hacking-Wettbewerbs Pwn2Own. Dieser wird von der Trend Micro Zero Day Initiative organisiert, dem weltweit ersten und größten herstellerunabhängigen sogenannten Weißen Markt. Auch hier geht es um Sicherheitslücken und Sicherheitsforscher stellen ihr Können unter Beweis. Und auch hier ist ihnen die Aufmerksamkeit der Szene für einen solchen Hack gewiss. Im Unterschied zu dem genannten Fall werden bei Pwn2Own allerdings für solche Hacks Preisgelder bis hin zu sechsstelligen Beträgen gezahlt. Außerdem sind betroffene Hersteller teilweise mit eigenen Entwicklungsressourcen vor Ort, um die Schwachstellen direkt zu beheben. Nur in den allerseltensten Fällen ignoriert ein Anbieter bei Pwn2Own entdeckte Sicherheitslücken. Dafür gibt es festgelegte Prozesse für eine verantwortungsvolle Veröffentlichung.

Lose-Lose-Lose wird zu Win-Win-Win
Die Weißen Märkte wurden geschaffen, um solche Sicherheitslücken verantwortungsvoll zu schließen. Davon profitieren alle: Die Internetgemeinde wird in der Regel ohne große Verzögerung geschützt. Zudem gibt es keinen Vorlauf für Cyberkriminelle, um einen Zero Day auszunutzen. Auch dem betroffenen Anbieter bleibt in der Regel ein angemessener Zeitraum für die Qualitätssicherung. Durch die 13-jährige Zusammenarbeit mit Herstellern werden ein „versehentliches Übersehen“ oder der Kontakt zu den falschen Ansprechpartnern praktisch ausgeschlossen. Letztendlich profitiert auch der Sicherheitsforscher durch mehr Prestige und ein durchaus nennenswertes Preisgeld. Pwn2Own und ähnliche Veranstaltungen existieren, damit solche unkoordinierten Veröffentlichungen nicht mehr notwendig sind. Schließlich wollen wir alle sichere Software – aber vor allem wollen wir in diesem Zusammenhang gelöste Probleme und nicht nur gute Ratschläge.

Tesla wird Partner für Hacking-Wettbewerb Pwn2Own 2019

Der diesjährige Hacking-Wettbewerb Pwn2Own wird vom 20. bis 22. März in Vancouver stattfinden und wird von der Zero Day Initiative (ZDI) von Trend Micro organisiert. Die Veranstaltung umfasst in diesem Jahr erstmals eine Automotive-Kategorie.

Die Liste der zu hackenden Geräte wurde in diesem Jahr um ein Tesla Model 3 erweitert. Damit setzt der diesjährige Pwn2Own-Wettbewerb den verstärkten Fokus auf IoT-Geräte (Internet of Things/Internet der Dinge) fort, der bereits den Ende 2018 durchgeführten Pwn2Own Tokyo ausgezeichnet hat. Dort standen erstmals Consumer-IoT-Geräte auf der Liste der anzugreifenden Geräte. Tesla führte als erster Automobilhersteller bereits 2012 Over-the-Air-Updates durch und lieferte seitdem hunderte solcher Updates aus. Die Teilnahme des Unternehmens an dem Wettbewerb stellt einen weiteren Schritt hin zur Ära der vernetzten Geräte dar.

„Seit 2007 ist Pwn2Own zu einem branchenweit führenden Wettbewerb geworden, der die Schwachstellenforschung bei den heute wichtigsten Plattformen fördert“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Über die Jahre haben wir immer wieder neue Kategorien und Ziele hinzugefügt, um den Fokus der Forscher auf solche Bereiche zu lenken, die für Unternehmen und Verbraucher wichtiger werden. In diesem Jahr arbeiten wir mit einigen der wichtigsten Unternehmen der Technologie-Branche zusammen, um dieses Engagement weiter auszubauen und relevante Schwachstellenforschung zu ermöglichen.“

Anzugreifende Geräte

Die Partnerschaften erweitern die Liste der Ziele des Wettbewerbs um neue Plattformen. Dazu zählen unter anderem Virtualisierungsplattformen, Unternehmensanwendungen und Web-Browser. Die vollständige Liste der anzugreifenden Geräte umfasst die Kategorien Automotive, Virtualisierung, Browser sowie Unternehmensanwendungen und serverseitige Funktionen. Einzelheiten dazu finden Sie hier.

Fazit

Mit der diesjährigen Ausweitung des Pwn2Own kommt Trend Micro dem Ziel näher, durch Partnerschaften mit den wichtigsten Anbietern in diesen Bereichen die vernetzte Welt sicherer zu machen. Das Unternehmen hat dazu vor Kurzem mehrere Initiativen verkündet, unter anderem ein Joint Venture mit Moxa, sowie ein Programm, mit dem IoT-Hersteller die Sicherheit ihrer Geräte während des Entwicklungsprozesses verbessern können.

CVE-2017-5689: Riskante Intel Management Engine Lücke

Originalartikel von Vít Šembera, Threat Researcher

Intel veröffentlichte kürzlich ein Security Advisory, in dem mehrere Sicherheitslücken in der Management Engine (ME) beschrieben sind. Das Advisory liefert für ME, Trusted Execution Technology (TXT) und Server Platform Services (SPS) kritische Firmware-Updates für die Versionen 8.X-11.X, die mehrere CVE IDs mit CVSS-Werten zwischen 6.7 und 8.2 abdecken. Es gibt aber eine weitere Sicherheitslücke, die vor allem für Unternehmenscomputer und
-netzwerke ein noch höheres Risiko bedeuten kann: CVE-2017-5689, eine Privilege-Escalation-Lücke.

Weiterlesen