HiSolutions Cybersecurity Digest Oktober 2024

 

Liebe Leserinnen, liebe Leser,

stolpern Sie auch manchmal über Überschriften, die Ihnen erstmal einen Schrecken einjagen, und die dann bei näherer Betrachtung nicht unwichtig, aber auch nicht ganz so dramatisch sind? Uns ging es diesen Monat bei vielen von uns gesammelten Themen so – und daher haben uns entschlossen, solche Themen nicht gleich beiseite zu legen, sondern die Einordnung in den Fokus rücken.

  • WSUS: mit oder ohne Ende? 
  • Sieht der Fernseher mit?
  • Kleine Wortänderung mit großer Wirkung – NIST-Passwortrichtlinie
  • Tor-Browser geknackt: Die Zwiebel hat eine Schale verloren!
  • perfctl – kein Administrationswerkzeug, sondern Malware
  • Wenn der extra eingekaufte Zugangsverwalter umgangen werden kann
  • Seitenkanal des Monats: USB-Sticks

Wir wünschen Ihnen viel Spaß beim Lesen. Wie immer ist Ihr Feedback herzlich willkommen. 

Mit besten Grüßen
Jörg Schneider

 

WSUS: mit oder ohne Ende?

Im September sorgte eine Ankündigung von Microsoft bei Windows-Server-Administratoren für Unruhe: Die WSUS-Funktion sei jetzt „deprecated“. Über WSUS verteilen viele Organisationen die System- und Anwendungsupdates von Microsoft. Das spart nicht nur Download-Bandbreite, wenn das Update nur einmal in die Organisation geladen wird, sondern ermöglicht das gezielte Freigeben und Zurückhalten von Updates. Soll damit jetzt Schluss sein?

Schaut man sich die ursprüngliche Nachricht näher an, geht das alles doch nicht so schnell. Tatsächlich wurde der Informationspost von Microsoft selbst auch noch einmal nachgeschärft, nachdem es viele Nachfragen gab. Der Status „deprecated“ heißt erst einmal nur, dass keine neuen Funktionen ergänzt werden. WSUS-Kenner mögen nun einwenden, dass es schon sehr lange keine neuen Funktionen mehr gab, und dass jetzt also eher der Status quo dokumentiert wurde. Auf der anderen Seite tut die Software, was sie tun soll, und es gibt auch keinen großen Änderungsdruck. 

So wird WSUS auch im kommenden Windows Server 2025 enthalten sein und damit in den kommenden Jahren weiter nutzbar bleiben. In dem Fall hängt die Nutzbarkeit nicht nur von der lokal laufenden Software, sondern auch vom Bereitstellen der nötigen Daten bei Microsoft ab. Und selbst das wird im Abkündigungspost für die weitere Zukunft zugesichert.

Kann also doch alles bleiben, wie es ist? Die Antwort ist wie immer: „Kommt darauf an“. Es besteht jedenfalls kein akuter Handlungsbedarf. Aber es ist ein guter Anlass, präventiv mögliche Alternativen für die Patch-Verteilung anzuschauen, falls die Funktion in der übernächsten Serverversion entfallen sollte. Microsoft selbst bietet mehrere alternative Lösungen für Clients und Server an – die jedoch alle Cloud-basiert sind. Auch mit anderen Softwareverteilungslösungen lassen sich inzwischen gut Betriebssystem-Updates verteilen. 

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-update-services-wsus-deprecation/ba-p/4250436

https://learn.microsoft.com/de-de/windows-server/get-started/removed-deprecated-features-windows-server-2025

 

Sieht der Fernseher mit?

Vielleicht haben Sie auch die Schlagzeile gesehen, dass Smart-TVs angeblich dabei erwischt wurden, wie sie Screenshots der angezeigten Bilder an die Hersteller schicken und das selbst dann, wenn die Inhalte per HDMI-Kabel zum Fernseher gelangen.

Müssen wir jetzt in den Besprechungsräumen die Fernseher, die dort als Leinwand-Ersatz eingezogen sind, wieder verbannen? Dafür muss man bis zum ursprünglichen wissenschaftlichen Artikel zurückgehen, der im November auf der ACM IMC’24 Konferenz in Spanien vorgestellt wird. Die Forscher haben sich die Funktionsweise der Automatic Content Recognition (ACR) in Fernsehern von LG und Samsung angeschaut. Sie haben die Geräte in verschiedenen Regionen mit unterschiedlichen Einstellungen und auch mit unterschiedlichen Inhaltsquellen in Betrieb genommen und dann den Netzwerkverkehr analysiert. Das im Netzwerk beobachtbare Verhalten war tatsächlich von all diesen Faktoren abhängig, und die Inhaltserkennung hat vermutlich auch versucht, per HDMI-Kabel zugespielte Inhalte zu erkennen. Da die Verbindungen verschlüsselt sind, konnten die Forscher nicht sagen, was genau übertragen wurde. Aber auch sie gehen nicht davon aus, dass es vollständige Screenshots des Bildinhalts waren, sondern Fingerprints, mit denen Unterhaltungsmedien wiedererkannt werden könnten. Außerdem wurden die Übertragungen bei den Geräten von beiden Herstellern gestoppt, sobald man die Inhaltserkennung im Menü des Fernsehers deaktiviert hat.

Noch leichter lässt sich das Risiko vermeiden, wenn die Smart-TV-Funktionen im Besprechungsraum nicht gebraucht werden: Dann kann man den Fernseher einfach ohne Netzwerkzugang betreiben – und er kann auch keine Geheimnisse verraten. 

https://arxiv.org/pdf/2409.06203

 

Kleine Wortänderung mit großer Wirkung – NIST-Passwortrichtlinie

In der letzten Veröffentlichung 800-63-4 hat das NIST die Richtlinien zum Umgang mit Digitalen Identitäten überarbeitet, unter anderem zum Thema Passwörter. Insbesondere die Maßgabe der periodischen Passwortänderung wurde von einem "SHOULD NOT" zu "SHALL NOT" geändert. Wenngleich also vorher eine regelmäßige Passwortänderung nicht empfohlen aber erlaubt war, ist dies zukünftig nicht mehr mit dem Standard konform. Auch die Nutzung der immer noch weit verbreiteten Sicherheitsfragen (knowledge based authentication - KBA) ist nun nicht mehr erlaubt.

Auch die bekannten Komplexitätsklassen werden infrage gestellt. Die explizite Anforderung von Sonderzeichen und Ziffern in Passwörtern erhöht zwar die Entropie der Zeichenfolge, tut dies aber auf eine vorhersehbare Art. Aus einem „passwort“ wird dann gerne ein „Passwort!“, was zwar auf dem Papier „sicherer“, für Angreifende aber leicht zu knacken ist. Es ist immer wichtig zu bedenken, wie Menschen auf technische und organisatorische Änderungen reagieren und die daraus resultierenden Folgen im Blick zu behalten. 

Übrigens: Das BSI hat seine Empfehlung zur Änderung der Passwörter in regelmäßigen Zeitabständen im Grundschutz aus dem Baustein ORP.4 bereits in der Edition 2020 entfernt.

https://pages.nist.gov/800-63-4/

https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2022/02_ORP_Organisation_und_Personal/ORP_4_Identitaets_und_Berechtigungsmanagement_Editon_2022.html

https://dl.acm.org/doi/10.1145/1866307.1866327

 

Tor-Browser geknackt: Die Zwiebel hat eine Schale verloren!

Schlagzeilen machten deutsche Ermittler wegen einer Plattform mit Child Sexual Abuse Material (CSAM) im TOR-Netzwerk. Nach offenbar jahrelangem Observieren von Entry-Knoten und einer Verfügung beim ISP konnte eine Schlüsselfigur festgenommen und verurteilt werden. Die genauen Details der Ermittlungen sind nicht öffentlich bekannt, weshalb über den Verlauf auch im TOR-Projekt diskutiert wird. Relevant war wohl der Einsatz eines Messenger-Dienstes, der die neuen Vanguards nicht einsetzte, sowie die „letzte Meile“ zum Entry-Knoten, die nach einer Abfrage der Ermittler beim ISP aufgedeckt wurde.

Aufgrund des hohen Aufwandes bei der Durchführung ist nicht von einer allgemeinen Kompromittierung des gesamten Netzwerkes auszugehen. Der Vorfall erinnert aber an bekannte Probleme aus der Vergangenheit, bei denen nicht das Protokoll selbst, sondern eine Anwendung darum herum gebrochen wurde (z. B. durch den Flash Player).

https://www.dw.com/de/qa-ist-das-tor-netzwerk-noch-sicher/a-70320968

https://blog.torprojekt.org/tor-is-still-safe/

https://blog.torprojekt.org/announcing-vanguards-add-onion-services/

https://torproject.github.io/manual/plugins/

 

perfctl – kein Administrationswerkzeug, sondern Malware

Heartbleed, Hafnium, xz und viele Weitere: Alle paar Monde bescheren uns Malware-Schmieden neue Exploits und Werkzeuge, die uns das Leben schwerer machen in unterschiedlichen Variationen und Größen. Sicherheitsforscher von Aqua Security fanden eine auffällige Linux-Malware namens perfctl, die wohl diverse Lücken ausnutzt, um weitreichend Systeme zu kompromittieren. 

Spannend sind die vielseitig genutzten TTPs (Tactics, Techniques, Procedures), die in der Laborumgebung beobachtet wurden. Die konkrete Sicherheitslücke ist allerdings bereits seit einem Jahr behoben; ein weitreichender Fallout blieb bisher aus.

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

 

Wenn der extra eingekaufte Zugangsverwalter umgangen werden kann

Der Cloud-Anbieter Okta hilft bei der Verwaltung von Zugängen zu Anwendungen und bietet eine Single-Sign-On-Lösung über Produktgrenzen hinweg an. Ende September meldete der Anbieter, eine „Sign-On Policy Bypass“-Lücke gefunden und behoben zu haben. Standen jetzt alle von Okta verwalteten Türen offen?

Für die genaue Bewertung muss man sich noch einmal den Unterschied zwischen Authentisieren und Autorisieren in Erinnerung rufen. Oktas Lösung kann beide Schritte übernehmen: Sicherstellen, dass der zugreifende User wirklich der ist, für den er sich ausgibt, und dann im nächsten Schritt entscheiden, ob dieser User den angefragten Dienst auch nutzen darf. Bei der vorliegenden Lücke konnte der zweite Schritt umgangen werden – es konnten also unter sehr bestimmten Voraussetzungen Nutzer in der Organisation auf Dienste und Inhalte zugreifen, für die sie nicht berechtigt waren. Das ist auch nicht gut, aber das Risiko war doch kleiner, als wenn jeder aus dem Internet Zugriff gehabt hätte.

https://trust.okta.com/security-advisories/okta-classic-application-sign-on-policy-bypass-2024/

 

Seitenkanal des Monats: USB-Sticks

Die meisten unserer „Seitenkanäle des Monats“ bezogen sich auf Forschungsarbeiten. Dort wurde zwar in praktischen Versuchen gezeigt, dass sie tatsächlich funktionieren, aber es blieb meistens unklar, ob es auch reale Vorfälle gab. Diesen Monat haben möchten wir einen realen Fall aus einem Bericht der Incident-Response-Kollegen von ESET vorstellen, in dem Daten von air-gapped Systemen abgeflossen sind.

Genutzt wurden dafür USB-Sticks. Das klingt nicht ganz so spektakulär wie Töne von flackernden Bildschirmen oder Drohnen mit halbdurchlässigen Spiegeln, aber es hat offenbar funktioniert.

Die Angreifer haben in der Organisation initial Rechner mit Internetzugang unter ihre Kontrolle gebracht. Wenn in diese dann ein USB-Stick eingesteckt wurde, haben sie den ersten Ordner darauf umbenannt, versteckt und dafür eine EXE-Datei mit dem Namen des Ordners und einem passenden Icon abgelegt. Sie ahnen schon, wie es weiterging: Wurde der USB-Stick dann später in einen anderen Rechner, z. B. ein vom Netz isoliertes System gesteckt, und der Nutzer wollte den Ordner öffnen, startete er stattdessen die Malware. Auch der Informationsaustausch zwischen dem kompromittierten System und dem Command-&-Control-Server lief dann über versteckte Dateien auf dem USB-Stick und das System mit Internetzugang.

Liest man den Artikel, kommen einem viele der Angriffsschritte bekannt vor. Es ist vor allem die Orchestrierung der vielen kleinen Schritte, die in Summe den Angriff so erfolgreich machte. Werfen Sie doch mal selbst einen Blick in den Beitrag und überlegen dabei, welche Ihrer Gegenmaßnahmen den Angriff entdeckt hätte.

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/​​​​​​​

 

Der nächste HiSolutions Cybersecurity Digest erscheint Mitte November 2024.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: