“In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt”, steht in der Empfehlung.
Soso…
Außerdem ist dauernd von einer Sicherheitsanfälligkeit die Rede. Soll das heißen, der Internet Explorer ist jetzt anfällig für Sicherheit?
Am 10.01. hatte ich von einer Schwachstelle in D-Link Routern berichtet. Heute liegt der D-Link Media Alert mit der Stellungnahme zur Sicherheitslücke in D-Link Routern in meiner Inbox. Woher auch immer D-Link meine Adresse hat?! Das nenne ich ganze Arbeit in Sachen Informationskampagne. Bitte sehr:
Stellungnahme zu Sicherheitslücke in D-Link Routern
Die für D-Link Router seitens SourceSec gemeldeten Sicherheitsschwachstellen im HNAP-Protokoll (Home Network Administration Protocol) beschreiben eine Sicherheitslücke in drei Router-Modellen für den US-amerikanischen Markt: Typ DI-524 (HW-Revision C1, Firmware-Revision 3.23), DIR-628 (HW-Revision B2, Firmware-Revisionen1.20NA und 1.22NA) und DIR-655 (HW-Revision A1, Firmware-Revision 1.30EA). Die aufgeführten Router-Modelle wurden in Deutschland, Österreich und der Schweiz zu keinem Zeitpunkt vertrieben.
Die D-Link Entwicklungsabteilung hat zwischenzeitlich proaktiv geprüft, inwieweit die gemeldete Sicherheitslücke auch in Deutschland, Österreich und der Schweiz erhältliche Router betrifft. Folgende Modelle besitzen keinerlei Implementierung von HNAP bzw. sind nach unseren Tests nicht über das Protokoll ansprechbar: DI-304, DI-524, DI-604, DI-624, DI-724GU, DI-804HV, DIR-100, DIR-300, DIR-301, DIR-320, DIR-600, DIR-615, DIR-685, DIR-825, DSL-2543B, DSL-2641B, DSL-2740B, DSL-2741B, DVA-G3342SD, DVA-G3342SB. Gleiches gilt für nicht aufgeführte, ältere Router-Modelle sowie weitere Produktkategorien wie Switches, NAS oder Printserver.
Bei drei aktuell im Handel erhältlichen Router-Modellen wurde für einzelne Hardware-Revisionen eine Sicherheitslücke im HNAP-Protokoll festgestellt. Parallel zu den Tests konnte D-Link hier sofort einen Lösungsansatz erarbeiten. So stehen für die Modelle DIR-635 (HW-Revision B), DIR-655 (HW-Revision A) und DIR-855 (HW-Revision A2) sowie für in der Vergangenheit ausgelieferte Modelle vom Typ DIR-615 (HW-Revision B1-B3) ab sofort Firmware Updates unter ftp.dlink.de zur Verfügung.
Ferner bietet D-Link unter dem angegebenen Link für die bereits abgekündigten Router DI-634M (HW-Revision B1) und DIR-635 (HW-Revision A) innerhalb der nächsten Tage neue Firmware Lösungen zum Download an.
Wir bedauern die aufgekommene Problematik sehr und möchten betonen, dass es sich bei dieser Sicherheitslücke nicht um einen absichtlich versteckten Administratorzugang handelt. D-Link ist kontinuierlich bestrebt, Netzwerke so sicher wie möglich zu machen und legt bei der Produktentwicklung höchstes Augenmerk auf die Erfüllung aktueller Sicherheitsanforderungen und Qualitätsstandards.
Zur aktuellen Schwachstelle (CVE-2010-0249) im Internet Explorer 6, 7 und 8 gibt es nun das passende Modul für das Metasploit Framework, mit dem nicht nur Penetrationstests durchgeführt werden können, sondern natürlich auch Angriffe. Im Metasploit-Blog wird das Modul genauer beschrieben, das im Moment nur für den Internet Explorer 6 funktioniert. Die Entwickler haben das Modul bisher für Windows XP SP3 mit IE 6 getestet.
Stellen Sie sich vor, sie reisen mit Ihrem biometrischen Pass in die USA ein und werden direkt als Osama Bin Laden verhaftet. Sie sagen “Ich bin aber der spanische Politiker Gaspar Llamazares.” Daraufhin sagt der Beamte: “Dann nehmen wir sie eben als Atiyah Abd al-Rahman fest. Sie haben sich zwar das Gesicht operieren lassen, aber die Haare konnten sie nicht verändern!”
Wer ist jetzt wer? Und sind vielleicht sogar die Augen links und die Augen in der Mitte auch gleich? Und wer von den dreien soll Osama Bin Laden sein? Osama Bin Laden hat man auf dem Fahndungsfoto mittlerweile einen Turban aufgesetzt.
Wer jetzt glaubt, dass ich zu den Verschwörungstheoretikern abrutsche, der irrt: Die Fahndungsfotos gibt es z.B. bei The Guardian und berichtet wurde z.B bei Focus oder bei El Periódico.
Nachdem die Schwachstelle in mehreren Adobe Produkten mittlerweile geschlossen ist, geht es nun mit dem Internet-Explorer in die nächste Runde:
Eine Schwachstelle wird bekannt
Eine Schwachstelle wird “in the wild” durch Angreifer genutzt
Ein Work-Around wird bereit gestellt
Ein Patch schließt die Schwachstelle
Im Artikel Gezielte Angriffe: Adobe Reader and Acrobat 9.2 hatte ich diesen Kreislauf kurz beleuchtet und danach im Blog für die Adobe-Schwachstelle dokumentiert. Weil es so schön passt, nehme ich die aktuelle Schwachstelle (CVE-2010-0249) im Falle des Internet-Explorers auch noch als Beispiel, bevor ich später thematisiere, wie man – privat oder als Unternehmen – auf diese Herausforderungen reagieren sollte.
“Schwachstelle wird bekannt” und “Eine Schwachstelle wird “in the wild” durch Angreifer genutzt” haben wir bereits hinter uns (Cyber-War gegen Rechtsanwälte). Den ersten Work-Around präsentiert zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI): Anderen Browser benutzen, bis die Luft wieder rein ist
Am 29. Dezember habe ich mich der Diskussion um die Nacktscanner angeschlossen und kurz überlegt, wie man als Terrorist statt Flugzeugen nun ICEs in den Abgrund rasen lassen kann. Heute muss ich im Blog von Jörg Rings den Hinweis auf einen Beitrag lesen, dass der Physiker Werner Gruber im ZDF zeigt, wie man Zünder, Thermit und Feuerzeug durch einen im Studio aufgebauten Nacktscanner schafft – und das im Beisein des Vorsitzenden des Innenausschusses im Bundestag Wolfgang Bosbach, der das alles gar nicht lustig findet.
Nachdem das Handy und des Mikro gefunden wurde, fragt der Moderator: “Haben Sie sonst noch irgendwas dabei?” “Jo, jede Menge”, antwortet Werner Gruber und greift sich in den Mund: “Hier hätten wir einen Zünder. Hier hätten wir Thermit (…) dann hätten wir noch hier ein Pflaster, wo wir eine Eprouvette haben (…) und dann habe ich auch noch ein Feuerzeug.”
Manche Angreifer geben sich richtig mühe, um an Nutzernamen und Passwörter zu kommen. Sie schreiben Phishing-Mails, bauen Websites nach und nutzen Cross-Site-Scripting. Andere (z.B.: http://TwitterBuilding.com) machen es sich leichter und fragen einfach freundlich. Immerhin schon 6644 Menschen gaben ebenso freundlich Antwort:
Das Trend Micro Malware Blog hatte von der Seite berichtet. Wer nicht täglich hunderte von Blogs lesen will, dem sei gesagt, dass Firefox so nett ist, auf den Betrugsversuch hinzuweisen:
Eigentlich war es ja zu erwarten, dass das Erdbeben in Haiti missbraucht werden würde um Malware zu verteilen. Darüber berichtet auch das Sunbelt Blog in einem Beitrag. Es geht um gefährliche Suchanfragen an Suchmaschinen – speziell um die Suche nach haiti earthquake donate. Mit dem WOT Add-on für Firefox wird man vor dem bösartigen Link gewarnt:
Die Rechtsanwaltskanzlei GH&P aus Kalifornien hatte gemacht, was Rechtsanwaltskanzleien eben so machen: Für den Mandanten CYBERsitter.comgeklagt. Allerdings gegen niemand geringeren als die chinesische Regierung. In dem Fall geht es um nicht weniger als 2,2 Mrd. $ Schadensersatz.
Die Kanzlei GH&P gehört zu den über 30 Unternehmen, die am Montag einem Angriff (u.a. über eine 0-Day-Schwachstelle des Internet Exporers) angegriffen wurden. Sieben dieser Firmen sind Partner der Firma CYBERsitter, dem Mandanten der Kanzlei.
InformationWeek hatte berichtet, dass die Angriffe über E-Mails durchgeführt wurden, die Links auf die eigentliche Schadsoftware enthielten. Ob sie damit erfolgreich gewesen sind, ist unklar. CYBERsitter war bereits im Juni letzten Jahres von einer ähnlichen Attacke heimgesucht worden, von der bericht wurde, dass sie ebenfalls von chinesischem Boden aus geführt worden wäre.
Auf der Website http://kiradoor.weebly.com wirbt die Firma KIRA DOOR SECURITY SYSTEM ganz unverfänglich für Sicherheitssysteme für Türen.
“We are specialized in door security system since 2005. We provided the best security slots on market to our customers all around the world, some of them made lot of money in thanks to our products” heißt es auf der Website.
Wie? Man kann mit Sicherheitssystemen für Türen Geld machen? Wie soll das denn gehen? Schön, dass uns die Website mit einem Video auf die Sprünge hilft, in dem etwa ab Minute 2:30 auch klar wird, warum die Hände Handschuhe tragen:
Die Preisliste für das “Tür-Zubehör” sieht wie folgt aus:
NEW SMALL DESIGN SLOT 1090 $ USD
NEW MEDIUM DESIGN SLOT 1290 $ USD
SMALL SLOT 690 $ USD
MEDIUM SLOT 549 $ USD
Ach ja, für alle die, die von Ihrem Mobile aus das Viedeo nicht sehen können, oder einfach immer noch nicht verstanden haben, um was es hier geht: Es handelt sich um einen Online-Shop für Skimming-Zubehör. Als Skimming bezeichnet man einen Man-in-the-middle-Angriff, bei dem illegal die Daten von Kreditkarten oder Bankkarten ausspäht werden, indem die Daten vom Magnetstreifen ausgelesen und auf gefälschte Karten kopiert werden. Das kann man zum Beispiel machen, indem man das “Tür-Zubehör” an einem Geldautomat installiert.
Was die Hologramme für die gefälschten Karten kosten, hatte ich bereits vorher in der Cybercrime-Preisliste veröffentlicht.
Ps(i)²™ und Sebastian Klipper (CISSP®, T.I.S.P.®) stehen für exzellentes Know-how und innovative Security- Management- Lösungen. Der Verfasser zahlreicher Fachartikel und Bücher arbeitet in Berlin als Unternehmensberater und Autor. Lernen Sie ihn bei einem seiner Vorträge persönlich kennen oder nutzen Sie eine der weiteren Kontaktmöglichkeiten.
ψ² Security Consulting
Sie benötigen Unterstützung bei der Anwendung der Normenreihe ISO/IEC 27000? Oder möchten Sie in Ihrem Unternehmen lieber die BSI Standards anwenden?
Holen Sie sich das Know-how des "Klipper on Security"- Autors in Ihr nächstes Projekt. Erfahren Sie mehr über ψ² Security Consulting: ψ² = Ps(i)²
Nach Bekanntwerden der Schwachstelle im Internet Explorer und den ersten Angriffen gibt Microsoft nun einige Handlungsempfehlungen:
Zur aktuellen 
