Recent News Entries
09 Aug
Drunter und drüber geht es derzeit am Markt der mobilen Systeme. Da stehe in der iPhone-Ecke 0-day-Lücken im PDF-Parser im Raum, die dem ein oder anderen Benutzer die Möglichkeiten zum Remote-Jailbraik geben, gleichzeitig aber eine so große Gefahr darstellen, dass zum Beispiel das BSI explizit vor der Verwendung der Geräte warnt. Außerdem wirbt der russische Hersteller ElcomSoft mit einem Passwort-Cracker für das iPhone 4, der angeblich ohne jede Manipulation die Passwörter aus dem System ermitteln kann.
Auf der Android-Seite steht aktuell die Veröffentlichung des ersten Rootkits auf der Defcon. Und RIM schließlich, kämpft mit politischen Problemen in mehreren arabischen Ländern. Ausgehend von Saudi-Arabien beklagen diverse Regierungen die Undurchsichtigkeit und rechtliche Unerreichbarkeit der Blackberry-Dienste. Inzwischen haben die Kanadier eingelenkt und angekündigt, mehrere Server in der Region installieren zu wollen.
Remote iPhone Jailbreak Using PDF Exploit Should Serve as Wake-Up Call
How many ways can you remotely exploit an iPhone?
Apple preps iOS fix as Germany warns of iPhone peril
Cracking software retrieves iPhone 4 passwords
Rootkit für Android vorgeführt
UAE (Dubai) & Saudi Arabia To Ban BlackBerry Services With India To Follow
BlackBerry bows to Saudi Arabia
Samy Kamkar, der sich seit längerem mit der Problematik des an sich bereits beeindrucken Geolocation Trackings beschäftigt, hat auf der Black Hat eine XSS-Technik vorgestellt, mit der er die MAC-Adresse des ersten Routers von Webseiten-Besuchern und damit wiederum deren exakte Position ermitteln kann.
Hack uses Google Street View data to stalk its victims
Microsoft hat er der Tage nicht leicht. Kaum ist die Vernknüpfungs-Problematik gefixt, steht die nächste kritische Lücken in allen aktuellen Windows-Versionen ins Haus: Ein Remote Buffer Overflow im Win32k-Gerätetreiber.
Microsoft rushes out emergency fix for critical Windows bug
Unpatched kernel-level vuln affects all Windows versions
Quicklinks:
Private browsing modes in four biggest browsers often fail
Hacking into GSM for only $1500
Location-based quantum crypto now possible, boffins say
Dell outsourcer lifts US woman's saucy pix from PC
Google Wave wird eingestellt
P != NP möglicherweise bewiesen
Tool-Tipp:
Weaknet Linux – Penetration Testing & Forensic Analysis Linux Distribution
Posted at 20:08 by Christopher Schramm
31 Jul
Die LNK-Verwundbarkeit hält weiter Einzug in die Breite Masse der Malware. Mittlerweile wurde eine entsprechende neue Variante von Vobfus entdeckt, einem Wurm, der schon immer Verknüpfungen nutzt, bisher aber nur auf Social Engineering setzt. Auch der polymorphe Virus Sality und jetzt auch Zeus wurden entsprechend nachgerüstet.
Microsoft hat für die Nacht auf Montag einen Patch für alle unterstützten Systeme angekündigt.
LNK Vulnerability: Chymine, Vobfus, Sality and Zeus
Zeus bot latches onto Windows shortcut security hole
MS preps emergency patch for Windows shortcut peril
Wer ein WiFi-Netzwerk betreibt, kann dieses nun auch bei höchsten Sicherheitsmechanismen nur noch als begrenzt sicher bezeichnen. Eine entsprechende Problematik in IEEE 802.11 wurde auf der Black Hat vorgestellt. Basis ist, dass Group Temporal Keys, die für Broadcasts eingesetzt werden, keinen Schutz vor Spoofing und gefälschten Daten bieten. Die Problematik ist aber eher für Kryptographie-Experten interessant, als für einen tatsächlichen Angriff auf ein Netzwerk.
WPA2 Vulnerability Discovered – “Hole 196″ – A Flaw In GTK (Group Temporal Key)
Wireless network security weakness to demo at DEFCON
Weiteres von der Black Hat:
Armed with exploits, ATM hacker hits the jackpot
Cell phone eavesdropping enters script-kiddie phase
Delegate hacks into Black Hat streaming video
Quicklinks:
Battle joined for future of open source IPS
Mariposa mastermind arrested in Slovenia
Posted at 09:07 by Christopher Schramm
26 Jul
WikiLeaks hat heute einen Großteil von insgesamt 91000 Berichten und Dokumenten zum Afghanistan-Krieg veröffentlicht. Es handelt sich dabei um eine Zusammenstellung von Geheim-Dokumenten aus den USA. Woher die Daten kommen ist noch vollkommen unklar, die Medien halten sie aber jedenfalls für authentisch.
War Diary
90.000 Afghanistan-Geheimakten im Netz
Die Probleme mit Windows-Verknüpfungen haben es vor einigen Tagen in "Massen-Malware" geschafft. Eset entdeckte zum einen den neuen Wurm Chymine, der mittels der Lücke einen Keylogger installiert, sowie eine neue Variante des Autorun-VB-RP-Wurms, die mit dem Exploit als weitere Verbreitungsmethode nachgerüstet wurde.
Unterdessen warnt F-Secure vor einer entscheidenden Erweiterung in Microsofts Advisory. Dort wird beschrieben, dass das Problem auch in Dokumenten ausgenutzt werden kann, die das Einbetten von Verknüpfungen unterstützen, insbesondere also MS-Office-Dokumente.
Unpatched shortcut vuln exploited by mainstream malware
LNK Vulnerability: Embedded Shortcuts in Documents
Removing SCADA worm could disrupt power plants
Dell kämpft mit "Hardware-Problemen". Auf Ersatz-Server-Motherboard spukt ein Spybot-Wurm, der sich munter verbreitet, wenn die Platine ans Netz angeschlossen wird. Scheinbar ist intern bereits die Ursache gefunden, benannt wurde diese bisher aber nicht.
Dell warns on spyware infected server motherboards
Dell blames staff for malware infection
Ein höchst kritisches Problem birgt auch die Version 3.8.6 der vBulletin-Foren-Software. Sucht man in der FAQ nach "Database", so spuckt das System sämtliche Parameter für die Datenbankverbindung aus - Zugangsdaten eingeschlossen.
vBulletin vuln gifts admin credentials to unwashed masses
Quicklinks:
Adobe to fortify widely exploited Reader with security sandbox
Google Chrome bug bounty ups Mozilla's ante
iPhone thief nabbed by GPS, cops say
38 states grill Google on three-year Wi-Fi slurp
Mariposa botnet suspects quizzed in Slovenia
Posted at 07:07 by Christopher Schramm
20 Jul
Für Aufsehen sorgt seit einigen Tagen eine höchst kritische 0-day-Verwundbarkeit sämtlicher (noch unterstützter) Windows-Versionen. Zunächst wurde das Exploit vom weißrussischen Unternehmen VirusBlokAda entdeckt. Das Stuxnet getaufte Rootkit nutzt ein mittlerweile von Microsoft bestätigtes Problem in der Behandlung von .lnk-Dateien - den sogenannten Verknüpfungen -, das dazu führt, dass beim Anzeigen des zugehörigen Symbols eine referenzierte Binärdatei ausgeführt wird. Es genügt also, lediglich in ein entsprechendes Verzeichnis - z. B. auf einem Wechseldatenträger oder einer SMB-Freigabe - zu browsen.
Seit Sonntag ist der Exploit Code im Netz. Das Stuxnet-Rootkit ist aber nach wie vor die einzige (bekannte) Malware, die die Lücke nutzt. Interessant sind auch die Ziele, auf die es dieses Rootkit abgesehen hat: SCADA-Kontrollsysteme, die in Kraftwerken und Industrie eingesetzt werden.
Windows Shortcut Flaw underpins power plant Trojan
MS confirms Windows shortcut zero-day flaw
Code for Shortcut Zero-Day Exploit is Public
Eine komplexe DNS-Rebinding-Attacke, die angeblich Millionen von privater Router betrifft, will Craig Heffner, Berater bei Seismic, auf der Black-Hat-Konferenz in gut einer Woche vorstellen. Der Angriff besteht aus zwei Phasen: Zunächst wird auf einer Webseite JavaScript genutzt, um die IP-Adresse des Besuchers als eine Adresse der Webseite vorzugeben (DNS-Rebinding oder "Jedi-mind trick", wie El Reg es nennt). Anschließend greift diese Webseite offensichtlich den Router an, wobei sie bekannte Sicherheitsprobleme und schwache Passwörter ausnutzt.
Flaw could expose 'millions' of home routers
Der Blog-Dienst Blogetery ist am 9 Juli unerwartet mitsamt seiner rund 70000 Nutzer vom Netz gegangen. Hintergrund ist offensichtlich eine entsprechende Aufforderung nicht näher bekannter US-Behörden, nachdem dort angeblich Exekutionsziele und Bombenanleitungen von al-Qaida entdeckt wurden.
Der Fall ist nach IPBFree.com bereits das zweite mysteriöse Abschalten eines Online-Dienstes diesen Monat.
Blog service shut down by order of US law enforcement
Quicklink:
Mozilla sextuples bug bounty to $3,000
Posted at 12:07 by Christopher Schramm
14 Jul
Mit dem gestrigen Patch Tuesday hat Microsoft nicht nur die letzten Patches für Windows 2000 ausgeliefert, sondern ebenso für Windows XP mit Service Pack 2. Ein drastischer Schritt, wenn man einen Blick auf die Zahlen wirft: Von den Nutzern des mit über 50% nach wie vor mit großem Abstand weit verbreitetsten Betriebssystems betreibt ein etwa ebenso hoher Anteil noch SP2. Einige drängt der Schritt sicherlich zum Upgrade, die breite Masse wird dadurch aber wohl eher die nächsten Jahre zu Zombie-Futter.
Patch Tuesday sounds death knell for Win XP SP2
Beim Thema Statistiken ein interessantes Umfrageergebnis von F-Secure in Deutschland, England und Schweden: Rund die Hälfte der Befragten nutzt bestimmte Logiken, um Passwörter für Seiten zu erstellen und zu nutzen. Jeweils etwa 20% nutzen ein und dasselbe Passwort für alle Dienste bzw. notieren die genutzten Passwörter. Der Rest von etwa 10% - am Stärksten in England - verlässt sich auf die Passwort-Vergessen-Funktion.
Do you reuse your passwords?
Posted at 13:07 by Christopher Schramm