Liebe Leserinnen, liebe Leser,

in den nächsten Wochen wird es wieder Schlagzeilen regnen, denn die Zeit der Sommerkonferenzen zur IT-Sicherheit hat begonnen. Neben dem Ausblick auf deren Ergebnisse, gibt es auch in diesem Cybersecurity-Digest wieder eine Zusammenfassung von besonderen Themen des letzten Monats:

• Die Sommerlücken kommen 
• Vom Handy bis zur Cloud – die Lücken des Monats 
• Der Exploit im Exploit 
• Der Trojaner im Sprachmodell, der die KI zum Lügen bringt 
• Seitenkanal durch CPU-eigene Messmethoden

Wir wünschen Ihnen viel Spaß beim Lesen – Ihr Feedback ist wie immer herzlich willkommen!
Mit besten Grüßen
Jörg Schneider

Die Sommerlücken kommen

Während im ersten Bundesland die Sommerferien schon wieder vorbei sind, beginnt diese Woche die Sommersaison der Sicherheitskonferenzen: eine Serie von spektakulären Ankündigungen und tatsächlich auch spektakulären Neuigkeiten in der Security. Den Anfang machen die amerikanischen Konferenzen DEFCON, Blackhat US und BSidesLV – die praktischerweise alle in Las Vegas nach- und nebeneinander stattfinden. Daher wird der Block auch gern „Hacker Summer Camp“ genannt, obwohl alles drinnen stattfindet. Die akademischere Welt trifft sich in Anaheim zum USENIX Security Symposium und in Europa verabredet man sich in echten Zelten: Erst beim großen Chaos Communication Camp in der Nähe von Berlin und dann bei kleineren Camps wie dem Hacken Open Air in Gifhorn.

Bei vielen Darbietungen werden die Details erst im Vortrag selbst enthüllt und führen dann schnell zu spektakulären Schlagzeilen. Manchmal sind Schlagzeile und Vortrag spektakulärer als das sich tatsächlich für die Praxis ergebene Risiko, aber nicht selten sind auch wegweisende Entwicklungen dabei. Wenn Sie diesen Digest lesen, dann haben Sie vielleicht schon die ersten Nachfragen zu einigen Schlagzeilen im Postfach.

Zwei Themen machten schon im Vorfeld Schlagzeilen:

• Mehrere Schwachstellen wurden im TETRA Funkstandard entdeckt. Die Detailbeschreibungen teilten die Entdecker nicht nur auf die oben genannten Konferenzen, sondern auf insgesamt fünf verschiedene Vorträge auf. TETRA kommt hierzulande vor allem als BOS-Funk zum Einsatz (für Behörden und Organisationen mit Sicherheitsaufgaben). Durch die Art und Weise des Einsatzes und vor allem durch zusätzliche Ende-zu-Ende-Verschlüsselung sind diese nicht betroffen. 
• Forscher der TU Berlin zeigen, wie sie die zentrale Entertainmentsteuereinheit eines Tesla übernehmen konnten. „Entertainment“ klingt im ersten Moment nicht spektakulär, beinhaltet aber beispielsweise die geregelte Freischaltung von Fahrzeugfunktionen, die nur über zusätzliche Abos verfügbar sind – wie die Sitzheizung. Den Forschern gelang außerdem der Zugriff auf Schlüssel, mit denen sich das Fahrzeug bei den diversen Onlinefunktionen gegenüber dem Hersteller ausweist.

Neben den Vorträgen gibt es auch immer diverse andere Programmpunkte, unter anderem Wettbewerbe. Besonders spektakulär ist diesmal der Hack-a-Sat-CTF, für dessen Finalrunde extra am 7. Juli ein eigener Satellit in die Umlaufbahn gestartet wurde. 

Die einzelnen Konferenzprogramme finden sich hier:

• DEFCON - https://defcon.org/html/defcon-31/dc-31-schedule.html
• Black Hat US - https://www.blackhat.com/us-23/briefings/schedule/index.html
• BSides LV - https://bsideslv.org/talks
• Usenix Secury Symposium - https://www.usenix.org/conference/usenixsecurity23/technical-sessions
• Chaos Communication Camp 2023 - pretalx.c3voc.de/camp2023/schedule/ (Beitrag offline)
• TETRA - https://www.midnightblue.nl/tetraburst
• Tesla - https://www.blackhat.com/us-23/briefings/schedule/index.html#jailbreaking-an-electric-vehicle-in--or-what-it-means-to-hotwire-teslas-x-based-seat-heater-33049

Vom Handy bis zur Cloud – die Lücken des Monats

Zwei Vorfälle haben viele Administratoren im letzten Monat bewegt: Die Schwachstellen im Ivanti Endpoint Manager Mobile (EPMM), besser bekannt unter dem alten Namen MobileIron, und die gefälschten Zugangstoken für Microsofts Cloud. Gemeinsam ist beiden Fällen, dass sie initial bei der Analyse von Sicherheitsvorfällen entdeckt wurden.

Auch viele deutsche Unternehmen und Behörden nutzen MobileIron/Ivanti für die Verwaltung ihrer Smartphones und waren daher von der Lücke betroffen. Da die Handys regelmäßig mit dem Verwaltungsserver sprechen müssen, ist dieser meist zum Internet exponiert und damit leicht angreifbar. Der Hersteller hat eine aktualisierte Version nicht nur für die aktuellen Versionen, sondern auch für ältere Versionsstränge herausgebracht. Diese sollten dringend installiert werden, da die Lücke bereits ausgenutzt wurde. 

Aufgrund der vielen Betroffenen hat HiSolutions wieder die wichtigsten Punkte als Hilfe zur Selbsthilfe veröffentlicht und pflegt dort regelmäßig die neuesten Erkenntnisse nach: Zum Selbsthilfeleitfaden 

Microsoft musste ebenfalls einen erfolgreichen Fremdzugriff auf Mailpostfächer einräumen. Die Angreifer konnten mithilfe von gefälschten Zugangstoken direkt auf die Postfächer der betroffenen Organisation zugreifen. Dahinter steckte jedoch kein Fehler am Anmeldemechanismus, die Angreifer hatten vermutlich einen der privaten Signaturschlüssel und konnten dann ganz leicht beliebige Token ausstellen und korrekt signieren. Der betroffene Schlüssel wurde inzwischen gesperrt. Microsoft liefert außerdem weitere Informationen, mit denen potenziell Betroffene prüfen können, ob die Angreifer auch bei ihnen erfolgreich waren. Die Forscher bei Wiz Research haben sich mögliche Auswirkungen auf weitere Anwendungen über die Cloud-Maillösung hinaus angeschaut. Ihr Ergebnis ist, dass einige weitere Anwendungen (ob selbst entwickelt oder eingekauft), die ebenfalls Azure AD zur Anmeldung nutzen, betroffen sein könnten. Es ist aber unklar, ob die Angreifer dies tatsächlich ausgenutzt haben.

• Ivanti/MobileIron: 
  • https://forums.ivanti.com/s/article/CVE-2023-35081-Arbitrary-File-Write?language=en_US
  • https://research.hisolutions.com/2023/07/eine-10-von-10-ivanti-cve-2023%e2%80%9135078-hilfe-zur-selbsthilfe/
• Microsoft:
  • https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/
  • https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr

Der Exploit im Exploit

Der offene Informationsaustausch ist einer der Grundpfeiler der Sicherheitsgemeinschaft.  Dazu gehört auch das Veröffentlichen von Exploits. Meist kommen sie in Form von kleinen Tools, mit denen sich gerade bekannt gewordene Sicherheitslücken testweise ausnutzen lassen. Damit lässt sich dann das tatsächliche Risiko für betroffene Umgebungen leichter bestimmen.

In letzter Zeit häufen sich wieder Berichte, in denen Angreifer vorgebliche Exploits für aktuelle Lücken veröffentlichen. Doch statt zu prüfen, ob die angegebene Lücke vorhanden ist, greifen die das lokale System an, auf dem sie gestartet wurden. Dort hinterlassen sie dann, wie ganz klassische Trojaner, eine Malware auf dem System, um das System fernsteuern zu können oder an eingegebene Passwörter zu kommen. Die Vorgehensweise ist besonders erfolgreich, da akute Sicherheitslücken immer für Stress sorgen und man dann sehr erfreut ist, wenn es endlich mehr Informationen gibt – und sei es in Form von Exploits. Wird der vorgebliche Exploit dann noch direkt auf dem System eines Administrators ausgeführt, kann es für die Angreifer nicht besser laufen.

Also nehmen Sie sich auch in solchen Situationen immer die Zeit für eine Bewertung der Quelle und deren Reputation und führen sie Experimente immer in einer gesonderten Testumgebung aus!

• https://twitter.com/rootsecdev/status/1676570222474534912
• https://www.bleepingcomputer.com/news/security/fake-zero-day-poc-exploits-on-github-push-windows-linux-malware/

Der Trojaner im Sprachmodell, der die KI zum Lügen bringt

Dass die aktuellen LLM-basierten Chatbots nicht immer die Wahrheit ausgeben, ist hinlänglich bekannt. Es fehlt ihnen einfach das Konzept von richtig und falsch, sodass sie nur die statistisch wahrscheinlichste Antwort ausgeben.

Forscher haben darüber hinaus gezeigt, wie sie ein vorhandenes Sprachmodell so modifizieren konnten, dass es zu bestimmten Fakten überzeugend falsche Informationen ausgibt, gleichzeitig aber weiterhin zu allen anderen Fragen wie zuvor antwortet. Damit konnten sie dann auch Prüftools austricksen, die mit Stichprobenfragen die Qualität von trainierten Sprachmodellen bewerten. In die Malware-Sprache übersetzt: Sie konnten ihr trojanisiertes Sprachmodell am Virenscanner vorbeischmuggeln.

• https://blog.mithrilsecurity.io/poisongpt-how-we-hid-a-lobotomized-llm-on-hugging-face-to-spread-fake-news/

Weitere Sicherheitsaspekte beim Einsatz von KI haben wir in einem eigenen Blogpost zusammengefasst: https://research.hisolutions.com/2023/08/llms-sind-auch-nur-schuetzenswerte-informationen/

Seitenkanal durch CPU-eigene Messmethoden

Seitenkanalangriffe nutzen immer beobachtbare Nebenwirkungen von Berechnungen aus, um diese nachvollziehen oder sogar Schlüssel ableiten zu können. Das geht von der Auswertung der Helligkeit von LEDs an Smartcardreadern bis zur Sprungvorhersage bei den berühmten Lücken Spectre und Meltdown. 

Forscher der TU Graz haben einen weiteren Weg für Seitenkanalangriffe identifiziert: Die in modernen CPUs bereits eingebauten Sensoren zum aktuellen Stromverbrauch. Indem sie es dem parallel auf der gleichen CPU laufenden Programm extra schwer machten, konnten sie an den Stromverbrauchsschwankungen ablesen, was dieses parallele Programm gerade berechnet.

Neu ist die Idee nicht. Aber anstelle von komplizierten Messinstrumenten, die irgendwo auf der Platine Daten abgreifen, gelingt der Angriff direkt mit den von der CPU bereitgestellten Mitteln.

https://www.tugraz.at/en/tu-graz/services/news-stories/tu-graz-news/singleview/article/neue-cpu-sicherheitsluecke-analyse-des-energieverbrauchs-ermoeglicht-datenklau