Seite 73 von 74 ErsteErste ... 236371727374 LetzteLetzte
Ergebnis 721 bis 730 von 737

Thema: Diskussion über aktuelle Bedrohungen

  1. #721
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    Mehrere Sicherheitslücken in der WPA3-Personal-Anmeldung von WLANs erlauben es Angreifern unter bestimmten Umständen, den Traffic von Geräten abzuhören.

    Der noch junge WLAN-Sicherungsstandard WPA3 erlebt sein erstes Sicherheitsdebakel: Die Forscher Mathy Vanhoef und Eyal Ronen haben eine Reihe von Schwachstellen im Handshake gefunden, mit dem Access Points und Clients im WPA3-Personal-Modus den Sitzungsschlüssel für die Verbindung aushandeln.

    Über Seitenkanal- und Downgrade-Attacken kann ein Angreifer wichtige Informationen auslesen, mit deren Hilfe er, ähnlich wie bei einem Dictionary-Angriff, das gemeinsame WLAN-Passwort rekonstruieren und so den Datenverkehr zwischen Geräten im Netz und dem Access Point entschlüsseln kann.

    Das Forscherteam von der Tel Aviv University und der KU Leuven hat in Zusammenarbeit mit der Industrievereinigung Wi-Fi Alliance (WFA) und Geräteherstellern dafür gesorgt, dass Software-Updates für die Lücke bereitstehen. Laut WFA sind bislang keine Angriffe auf die "Dragonblood" getaufte Schwachstelle bekannt.

    "Dragonfly"- Designmängel als Angriffspunkt

    Der Angriff missbraucht Design-Schwächen im Protokoll Simultaneous Authentication of Equals (SAE, auch Dragonfly genannt), das die WPA2-Funktion Pre-Shared Key (PSK) ersetzt, um eine Anmeldung an WPA3-gesicherten WLANs mit einem gemeinsamen Passwort zu erlauben. Das Device Provisioning Protocol (DPP) zum Einbinden von Clients über NFC oder durch QR-Code-Scan ist nicht betroffen.

    Dragonfly kommt außerdem bei der Anmeldemethode EAP-PWD zum Einsatz, die optional in WPA- und WPA2-gesicherten WLANs verwendet werden kann. EAP-PWD ist ebenfalls verwundbar, aber laut Einschätzung der Forscher nur relativ selten in Gebrauch.

    Neben zwei Seitenkanal- und zwei Downgrade-Sicherheitslücken, die zum Rekonstruieren des WLAN-Passworts missbraucht werden können, fanden die Forscher auch eine Denial-of-Service-Lücke, mit deren Hilfe sich ein WPA3-kompatibler Access Point lahmlegen lässt.

    Proof-of-Concept steht noch aus

    Eine der Downgrade-Attacken lässt sich nur ausführen, wenn das anzugreifende WLAN den für ältere Clients nötigen Mischbetrieb WPA2/3, also WPA2 und WPA3 gleichzeitig, unterstützt. Der zweite Downgrade-Angriff setzt voraus, dass das Netzwerk mehr als einen Verschlüsselungsalgorithmus unterstützt – zum Beispiel zwei unterschiedliche elliptische Kurven.

    Für den ersten der Seitenkanal-Angriffe (Cache-Based Side-Channel Attack) muss ein Hacker die Möglichkeit haben, Schadcode auf einem im WLAN angemeldeten Gerät auszuführen; dafür genügen einfache Nutzerrechte. Der zweite Seitenkanal-Angriff (Timing-Based Side-Channel Attack) bedient sich einer Timing-Schwachstelle, die bei mathematischen Operationen mit bestimmten primen Restklassengruppen (MODP-Gruppen 22, 23 und 24) auftritt. Dieser Angriff ähnelt einem Offline-Wörterbuch-Angriff, wie er bei WPA2 üblich ist. Weitere Details zu allen Schwachstellen finden sich auf der den Dragonblood-Angriffen gewidmeten Webseite.

    Die Forscher haben bisher kein Proof-of-Concept oder Beschreibungen veröffentlicht, die detailliert genug wären, um die Angriffe nachzubauen. Sie sagen, dass sie den Herstellern erst genügend Zeit geben wollen, Patches einzuspielen. Allerdings stellen sie auf ihrer Webseite eine Reihe von Tools bereit, mit denen man prüfen kann, ob die eigenen WPA3-Installationen angreifbar sind.

    Schwachstellen wären im Vorfeld zu verhindern gewesen

    In ihrer wissenschaftlichen Veröffentlichung Dragonblood: A Security Analysis of WPA3’s SAE Handshake kritisieren die beiden Entdecker der Lücken die Wi-Fi Alliance. Ein offenerer Entwicklungsprozess des WPA3-Standards hätte die Downgrade-Attacke zumindest bei Netzen verhindert, die WPA2 und WPA3 unterstützen. Sie sagen allerdings auch deutlich, dass sie trotz der Schwachstellen davon überzeugt sind, dass WPA3 eine klare Verbesserung gegenüber den früheren WLAN-Sicherheitsstandards darstellt. Einer der beiden Forscher, Mathy Vanhoef, hatte Ende 2017 den KRACK-Angriff gegen WPA2 entdeckt und gab damit den Anstoß zur Entwicklung von WPA3 durch die Wi-Fi Alliance.

    Die WFA sagte in einer Stellungnahme, dass die Sicherheitslücken durch Software-Updates behoben werden können, die nicht beeinflussen würden, wie gut Geräte in WLANs miteinander umgehen. Es gäbe bisher keine Hinweise darauf, dass die Sicherheitslücken aktiv ausgenutzt würden. Alle betroffenen Hardware-Hersteller seien informiert worden und rückwärtskompatible Software-Updates würden bereits verteilt.

    Den Sicherheitslücken wurden die aufsteigenden CVE-Nummern CVE-2019-9494 bis CVE-2019-9499 zugewiesen.
    quelle : https://www.heise.de/security/meldun...n-4393108.html
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

  2. #722
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    0day im Internet Explorer: Dateidiebstahl auf Windows-PCs

    Der Sicherheitsforscher John Page beschreibt eine Zero-Day-Lücke im Internet Explorer, über die Angreifer Dateien stehlen können. Microsoft will anscheinend keinen Patch dagegen ausliefern und hat den Fall geschlossen. Dabei könnte das Problem selbst Anwender treffen, die den IE selbst gar nicht mehr nutzen.

    Internet Explorer ist nämlich seit 1995 in allen Windows-Versionen enthalten und standardmäßig mit den MHT-Dateien verknüpft, in denen Microsoft früher Web-Seiten archivierte (MIME HTML). Heute kommt das MHT-Format praktisch nicht mehr zum Einsatz. Aber als heise Security eine MHT-Datei auf einem aktuellen Windows-10-System doppelt klickte, öffnete sich prompt der Zombie-Browser aus Redmond. Wie Page erklärt, hätte diese MHT-Datei wegen eines Fehlers bei der Behandlung von XML-Objekten eine beliebige Datei des Windows-Systems stehlen und auf einen externen Server hochladen können.

    Kein Patch in Sicht
    Page hat dieses Problem nach eigenen Angaben bei Microsoft gemeldet. Deren Sicherheitsteam antwortete jedoch nur mit einem Hinweis, dass man einen Fix für eine spätere Version in Betracht ziehe und den Fall damit schließe. Daraufhin veröffentlichte Page die Informationen zu dem IE-Sicherheitsproblem beim Umgang mit External XML Entities und dokumentiert den möglichen Angriff in einem Youtube-Video.

    Eine bösartige MHT-Datei könnte als Dateianhang einer Mail ankommen oder als Download von einer Web-Seite. Dann müsste der Angreifer sein anvisiertes Opfer nur noch dazu bewegen, diese Datei auch tatsächlich zu öffnen. Anwender und Administratoren sollten beim Umgang mit MHT-Dateien also große Vorsicht walten lassen und diese im Zweifelsfall lieber löschen als öffnen.
    Quelle : https://www.heise.de/security/meldun...s-4398797.html
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

  3. #723
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    Adblock-Filter lassen sich für Malware-Angriffe ausnutzen

    Der Sicherheitsforscher Armin Sebastian hat in dieser Woche auf eine potenzielle Schwachstelle in den Filtern mehrerer Werbeblocker Plus hingewiesen. Die Filteroption wurde bereit im Juli des vergangenen Jahres bei Adblock Plus eingeführt. Sie ermöglicht das Umschreiben (Redirect) von Anforderungen und wurde mittlerweile auch in uBlock und Adblock integriert.

    Die Filteroption Rewrite wird von den Werbeblockern unter anderem dafür genutzt, Tracking-Daten zu entfernen oder Werbeanzeigen über Umleitungen von Anfragen zu blockieren. Die Werbeblocker-Filteroption ermöglicht es Betreuern von Filterlisten unter bestimmten Bedingungen, beliebigen Code in Webseiten einzufügen. Von Angreifern kann die neue Filteroption unter anderem dazu genutzt werden, HTTP-Anfragen umzuschreiben, um damit Javascript-Code nachzuladen. Die Filter erlauben dies zwar nur innerhalb eines Hosts, mit einem einfachen Trick lässt sich diese Beschränkung jedoch umgehen. Die Auswirkungen sind vergleichbar mit einer Cross-Site-Scripting-Lücke.

    Von der Sicherheitslücke sind Adblock Plus und Adblock betroffen.
    In Ublock Origin wurden die Filter hingegen nicht integriert. Der Werbeblocker ist somit nicht betroffen.
    Adblock Plus hat bereits mit einer Stellungnahme reagiert und kündigte an, die Rewrite-Filter in der nächsten Version wieder entfernen zu wollen.
    Quelle : https://www.pcwelt.de/news/Adblock-F...103463&pm_ln=3
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

  4. #724
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    Android-App "WiFi Finder" leakte private WLAN-Passwörter

    Der Sicherheitsforscher Sanyam Jain hat auf einem Server eine ungeschützte Datenbank mit mehr als zwei Millionen WLAN-Zugangsdaten entdeckt. Wie Jain gegenüber dem IT-Newsportal TechCrunch berichtete, stammten die Daten aus der Android-App "WiFi Finder" des Entwicklers "Proofusion".

    Die App, die bis vor kurzem in Googles Play Store zum Download bereitstand, verzeichnete mehr als 100.000 Installationen. Laut Beschreibung sollte sie Nutzern die Suche nach und das Verbinden mit öffentlichen WLAN-Hotspots – etwa in Cafés und Restaurants oder auf Flughäfen – in "über 100.000 Städten weltweit" erleichtern. Unter anderem ermöglichte sie es Nutzern, WLAN-Zugangsdaten in die Datenbank der App-Entwickler zu laden, um sie mit anderen zu teilen.

    Mittlerweile wurde nicht nur WiFi Finder, sondern auch eine zweite von Proofusion veröffentlichte App namens "Call Recorder" zum Aufzeichnen von Telefongesprächen aus dem Play Store entfernt.

    "Zahllose" Heimnetzwerke Teil des Leaks
    Offenbar beinhaltete WiFi Finder keine (oder zumindest keine ausreichenden) Überprüfungsmechanismen oder Beschränkungen bezüglich der an den Server zu übermittelnden Daten, so dass laut TechCrunch auch Zugangsdaten zu Heimnetzwerken in Proofusions Datenbank landeten. Im Einzelnen handelte es sich dabei jeweils um den Netzwerknamen, die Geokoordinaten, den Basic Service Set Identifier (BSSID) als eindeutige Kennung der Funkzelle eines
    Access Points sowie das Netzwerk-Passwort im Klartext.

    Wie viele der zwei Millionen Zugangsdaten in der Datenbank zu privaten Netzwerken gehören, ist unklar. TechCrunch berichtet von "zahllosen" betroffenen Heimnetzwerken, von denen sich zehntausende in den USA befinden sollen.

    Datenbank mittlerweile offline
    Eigenen Angaben zufolge versuchte das TechCrunch-Team mehr als zwei Wochen lang, den von ihnen in China vermuteten Entwickler Proofusion zu kontaktieren – allerdings ohne Erfolg. Dessen Webhoster DigitalOcean hingegen, mit dem sich TechCrunch anschließend in Verbindung setzte, reagierte umgehend, indem er die Datenbank innerhalb eines Tages entfernte.
    Quelle : https://www.heise.de/security/meldun...r-4405783.html
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

  5. #725
    Senior Mitglied
    Registriert seit
    Mar 2011
    Beiträge
    450
    Danke / Gefällt mir
    Google Chrome wurde aktualisiert:

    Chrome 74 hat 39 Sicherheitspatches an Bord
    Quelle: https://www.heise.de/security/meldun...d-4405624.html

  6. #726
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

    "Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren." erklärt das BSI in einer aktuellen Warnung. Das Bundesamt für Sicherheit in der Informationstechnologie registriere derzeit verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners enden.

    Dynamit-Phishing

    Der erste Schritt sind dabei meist breit angelegte Dynamit-Phishing-Kampagnen, wie die von Emotet, um sich Zugang zum Netz zu verschaffen. Danach breiten sich die Angreifer dort systematisch weiter aus. Häufig sehe man es auch, dass etwa nach einem Einbruch bei einem IT-Dienstleister dessen Kunden attackiert werden. Im nächsten Schritt werden teilweise Backups lokalisiert und gelöscht und selektiv kritische Systeme manuell mit Ransomware infiziert. Diese wird dann zeitgleich auf allen Systemen gestartet.

    Die folgenden Lösegeldforderungen liegen wesentlich höher als bei den herkömmlichen Ransomware-Infektionen. Die Erpresser orientieren sich dabei nach dem vermuteten Wert der Daten für den Betrieb und an dessen finanziellen Möglichkeiten. Da es sich um teilweise "existenzbedrohende Datenverluste" handelt, können die Angreifer ungeniert in die Vollen gehen; in mehreren Fällen wurden auch individuelle Zahlungen ausgehandelt.

    Wissen schützt!

    Vor allem kleinere und mittelständische Unternehmen sind bisher nicht oder völlig unzureichend auf diese neuartige Bedrohung vorbereitet.
    Quelle : https://www.heise.de/security/meldun...n-4406590.html
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

  7. #727
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    Statistik: Deutlich mehr Malware für den Mac

    Das Sicherheitsunternehmen Malwarebytes hat vor einem deutlichen Anstieg von Schadsoftware für macOS gewarnt. Im "Cybercrime Tactics and Techniques"-Bericht für das erste Quartal 2019 heißt es, man habe im Vergleich zum Vorquartal 62 Prozent mehr neue Malware entdeckt. Im Bereich Adware, also unerwünschten Programmen, die Werbung ausspielen und dabei unter anderem Interneteinstellungen manipulieren, soll das Wachstum gar bei über 200 Prozent gelegen haben.

    Malware, Adware, falsche "Cleaner"
    Grund für den Anstieg scheint zu sein, dass Angreifer zunehmend dazu übergehen, Mal- und Adware systemübergreifend zu entwickeln. Dabei setzen sie auf Programmiersprachen wie Python, die auf unterschiedlichen Plattformen verfügbar sind. Malware nennt hier etwa MITM-Angriffe über Proxies, die versuchen, auch SSL-verschlüsselte Verbindungen zu knacken.

    Weiterhin ein großes Problem stellen sogenannte Cleaner-Apps dar, die so tun, als würden sie macOS-Systeme von Datenschädlingen, unnötigen Inhalten oder Dateileichen befreien, dabei aber schlicht versuchen, unbedarften Nutzern Geld aus der Tasche zu ziehen. Manchmal werden diese Programme auch mit Adware kombiniert und haben somit einen doppelten "Einnahmestrom".

    Programme werden Cross-Platform
    Bitcoin-Miner sind mittlerweile ebenfalls auf dem Mac angekommen; zwar ist dieses Thema mittlerweile unter macOS laut Malwarebytes weniger aktiv, dafür gibt es mittlerweile aber auch Programme, die versuchen, auf dem Mac vorhandene Wallets zu stehlen. Einen Anstieg haben die Sicherheitsexperten auch bei verschiedenen Backdoors festgestellt, mit denen Angreifer Macs fernsteuern können.

    Zuletzt hatten Malware-Autoren gar versucht, Windows-Trojaner über an Apple-Kunden gerichtete Mails zu verteilen. Apples hauseigener Malware-Filter XProtect musste zuletzt zudem für so genannte Windows-Portable-Executable-Dateien (.PE) scharfgeschaltet werden, die erste Angreifer nutzen, um Cross-Platform-Malware zu verbreiten.
    Quelle : https://www.heise.de/mac-and-i/meldu...c-4408038.html
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

  8. Gefällt mir Merlin gefällt dieser Beitrag
  9. #728
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    S/MIME und PGP: E-Mail-Signaturprüfung lässt sich austricksen

    In vielen E-Mail-Programmen ließen sich bis vor kurzem digitale Signaturen von Nachrichten mit relativ einfachen Tricks fälschen. Die zugrundeliegenden kryptografischen Verfahren sind nicht betroffen, stattdessen kann ein Angreifer eine solche Software dazu bringen, unsignierte E-Mails fälschlicherweise als signiert und damit als vertrauenswürdig anzeigen zu lassen. Betroffen sind sowohl Umsetzungen von S/MIME als auch PGP. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt nun, E-Mail-Programme auf dem aktuellen Stand zu halten und das Anzeigen von HTML-Code sowie das Nachladen externer Inhalte zu deaktivieren.

    Signaturen von E-Mails, ob dabei nun S/MIME oder PGP zum Einsatz kommen, sollen dem Empfänger sicherstellen, dass die Nachricht auch wirklich vom Absender kommt (Authentizitäts-Prüfung) und nicht auf dem Transportweg manipuliert wurde (Integritäts-Prüfung). Auch ohne Angriff auf die verwendeten kryptografischen Verfahren lässt sich in vielen Fällen die Prüfung durch die E-Mail-Software des Empfängers austricksen, wie Forscher nun herausfanden.

    Veröffentlicht wurden die Schwachstellen von einer Gruppe von deutschen Sicherheitsforschern, darunter Mitarbeiter der Universität Bochum und der Fachhochschule Münster. Beteiligt sind auch Sebastian Schinzel – einer der Entdecker der Efail-Lücke – und Security-Journalist und Sicherheitsforscher Hanno Böck. Insgesamt testeten die Forscher 22 E-Mail-Programme auf S/MIME-Schwachstellen und konnten 15 davon erfolgreich angreifen. Von 20 auf PGP-Schwachstellen abgeklopfte Programme gelang es ihnen bei 14 die Signaturprüfung auszutricksen.

    Betrug mit Recycling gültiger Signaturen
    Die Forscher bedienen sich einer Reihe unterschiedlicher Tricks, um das E-Mail-Programm eines Empfängers dazu zu kriegen, eine unsignierte E-Mail fälschlicherweise als signiert anzuzeigen. Unter anderem machen sie sich dabei zunutze, wie E-Mail-Programme damit umgehen, wenn nur ein Teil einer S/MIME-Nachricht signiert ist oder wenn die Nachricht die Signaturen von mehr als einem Absender enthält. Wie sich herausstellte kann ein Angreifer bei seiner gefälschten E-Mail mit ungültiger Signatur etwa eine zweite Nachricht mit gültiger Signatur mitschicken. Viele Mailprogramme zeigen dann die gefälschte Nachricht an, prüfen aber die Signatur der anderen Nachricht – was dazu führt, dass es für den Empfänger so aussieht als hätte die Nachricht des Angreifers eine gültige Signatur. Für diesen Angriff braucht der Angreifer allerdings eine beliebige signierte Nachricht der Person, in deren Namen er E-Mails fälschen will.

    Dieses Problem besteht, weil bei S/MIME der Inhalt einer Nachricht auf zwei Arten in die E-Mail eingefügt werden kann: Direkt im Cryptographic Message Syntax (CMS) als sogenannter eContent oder als separater MIME-Teil. Das erlaubt es dem Angreifer, gleich zwei signierte Nachrichten-Teile einzufügen. Wie sich herausstellt, können viele E-Mail-Programme damit nicht richtig umgehen. Bis vor kurzem, als diese Schwachstelle nach der Veröffentlichung der Forscher mit entsprechenden Updates bereinigt wurde, waren hier unter anderem Apple Mail und Mozilla Thunderbird angreifbar.

    Teilweise signierte E-Mails verwirren OpenPGP-Clients

    Die Signaturprüfung von GnuPG, die von den meisten E-Mail-Programmen verwendete Umsetzung des OpenPGP-Standards, lässt sich ebenfalls austricksen. So ist es möglich, nur einen Teil einer OpenPGP-Mail zu signieren, was dazu führt, das viele E-Mail-Programme nicht mehr korrekt anzeigen, ob eine Mail als Ganzes eine gültige Signatur enthält. Das lässt sich dazu missbrauchen, eine gefälschte Nachricht durch das Einbetten eines anderweitig signierten Teils als signiert anzeigen zu lassen, obwohl das nicht der Fall ist. Hierzu betteten die Forscher einen MIME-Teil unsichtbar als Iframe ein. Außerdem gelang es ihnen, einen mit PGP inline signierten Nachrichtenteil in einer HTML-Mail zu verstecken.

    Diese Technik führt dazu, dass dem Opfer nur der unsignierte Teil der E-Mail angezeigt wird, nicht aber der Teil mit der gültigen Signatur – der zum Beispiel aus einer ganz anderen Nachricht stammt, die in einem komplett anderen Kontext verfasst wurde. Da das E-Mail-Programm aber davon ausgeht, dass die gesamte Mail signiert wurde und das auch so anzeigt, sieht es für den Empfänger so aus, als sei der sichtbare Teil der Nachricht signiert.

    MIME-Manipulation, falsche Absender, HTML-Tricksereien
    Außerdem dokumentiert das Forscherteam eine Reihe weiterer Angriffe, die zum Teil schon bekannt waren und zeigt auf, dass auch von diesen Angriffen sehr viele beliebte E-Mail-Client-Programme betroffen sind. So bauen sie etwa unkonventionelle MIME-Strukturen, mit denen E-Mail-Programme oft nicht sauber umgehen. Auch hier lässt sich unsignierter Inhalt anzeigen und signierter Inhalt verstecken. So lassen sich E-Mail-Empfänger davon überzeugen, dass ein Nachrichtentext vom angeblichen Absender signiert wurde, obwohl lediglich ihr Mail-Programm die Signatur eines komplett anderen Nachrichtenteils prüft, der ihnen gar nicht angezeigt wird.

    Die Forscher schafften es außerdem, E-Mail-Programme so auszutricksen, dass sie die gültige Signatur eines Absenders anzeigen, obwohl die Nachricht in Wirklichkeit vom Angreifer signiert wurde. Das könnte etwa dazu missbraucht werden, einem Mitarbeiter eine E-Mail seines Chefs zu schicken, die so aussieht, als wäre sie vom Vorgesetzten (chef@firma.de) digital signiert worden, wenn sie in Wirklichkeit vom Angreifer (angreifer@hacker.de) signiert wurde. Zusätzlich sind eine Reihe von E-Mail-Programmen über HTML- und CSS-Code in E-Mails angreifbar. Angreifer könnten so Teile ihrer Benutzeroberfläche manipulieren und es für den Empfänger so aussehen lassen, als wäre eine angezeigte E-Mail korrekt signiert, obwohl sie es in Wirklichkeit nicht ist.

    Betroffene E-Mail-Programme
    Auf Windows fanden die Forscher Schwachstellen in Thunderbird, Outlook mit GpgOL, Windows 10 Mail, Windows Live Mail, The Bat, eM Client und Postbox. Unter Linux waren Evolution und Trojitá angreifbar. Auf dem Mac sind Apple Mail mit GPG Suite, MailMate und Airmail betroffen. Android ist mit K-9 Mail über OpenKeychain, R2Mail2 und MailDroid mit Flipdog-Plug-in und mit der App Nine verwundbar. Mail App auf iOS ist ebenfalls angreifbar. Auch die Web-basierten E-Mail-Programme Roundcube (mit Enigma oder rc_smime) und Mailpile (mit GnuPG) lassen sich austricksen. Weitere E-Mail-Programme enthalten kleinere Bugs, über die sich die Signaturprüfung wenigstens zum Teil manipulieren lässt.

    Laut BSI haben die Forscher die Entwickler der entsprechenden Software im Vorfeld ihrer Veröffentlichung informiert und es wurden Sicherheitsupdates verteilt, welche die beschriebenen Probleme beheben sollen. Die Behörde empfiehlt deswegen allen Anwendern, ihre E-Mail-Programme auf dem neuesten Stand zu halten und entsprechende Updates zeitnah einzuspielen, wenn das nicht bereits geschehen ist.
    Sichere Krypto-Verfahren allein sind nicht genug

    Die Forscher weisen in ihrer wissenschaftlichen Abhandlung zu den Sicherheitslücken darauf hin, dass ihre Arbeit verdeutlicht, dass man sich nicht allein auf intakte Krypto-Verfahren verlassen kann. Selbst wenn die zugrunde liegenden Krypto-Funktionen sicher sind, können Angreifer sich oft andere Schwachstellen der verwendeten Protokolle, deren Implementation oder der Benutzeroberfläche der jeweiligen Software zunutze machen. Sie empfehlen den Verfassern der OpenPGP-, MIME- und S/MIME-Standards, Software-Entwicklern konkrete Implementations-Empfehlungen mit an die Hand zu geben, um solche Schwachstellen in Zukunft zu verhindern. Außerdem geben sie zu Bedenken, dass sie beim Untersuchen der getesteten E-Mail-Programme durch Fuzzing des öfteren unerwartete Abstürze der Software provozieren konnten. Das deutet auf weitere Schwachstellen in den Programmen hin.

    Die vorgelegten Forschungsergebnisse zeigen außerdem wieder einmal, wie problematisch HTML-Code und das Einbetten externer Inhalte in E-Mails sind. Eine Einschätzung, die auch das BSI in seiner Warnung zu der Veröffentlichung teilt. Die Behörde empfiehlt demnach für den sicheren Einsatz der erwähnten E-Mail-Programme: "Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind."
    Quelle : https://www.heise.de/security/meldun...n-4411230.html
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

  10. #729
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    Entschlüsselungstool für Erpressungstrojaner MegaLocker/NamPoHyu verfügbar

    Ab sofort können Opfer des Verschlüsselungstrojaners MegaLocker/NamPoHyn aufatmen: Entwickler des Herstellers von Anti-Viren-Software Emsisoft haben ein kostenloses Entschlüsselungstool veröffentlicht.

    Samba-Server im Visier
    Wer auf seinem Computer mit der Dateiendung ".nampohyu" versehene verschlüsselte Dateien vorfindet, sollte sich den Emsisoft Decrypter for MegaLocker herunterladen. Der Schädling hat es seit Mitte April auf Samba-Server abgesehen.

    Das Besondere an MegaLocker ist der IT-Nachrichtenseite Bleepingcomputer.com zufolge, dass Angreifer den Trojaner lokal auf dem eigenen Computer laufen lassen und Server aus der Ferne verschlüsseln. Um Zugriff zu bekommen, sollen sie nach ungeschützten Samba-Server scannen und via Brute-Force-Attacken Passwörter rekonstruieren.

    Dateien entschlüsseln
    Damit das Tool funktioniert, müssen von der Ransomware Betroffene über eine Erpresserbotschaft verfügen. Das sollte aber kein Problem sein: Die Datei liegt im Txt-Format in mehrfacher Form über den ganzen Computer verteilt vor.

    Auf Basis der Datei kann das Tool den Schlüssel für betroffene Daten errechnen. Anschließend wählt man Ordner mit verschlüsselten Dateien aus. Nach einem Klick auf die Schaltfläche "Start" beginnt der Entschlüsselungsprozess.

    Malware-Entwickler angefressen
    Ein genereller Tipp für Ransomware-Opfer ist, verschlüsselte Dateien aufzubewahren. Wie in diesem Fall erscheinen oft nach einigen Wochen oder Monaten kostenlose Entschlüsselungstools. Genau dazu hat auch Bleepingcomputer in seinem Forum geraten.

    Dort hat sich nun der Entwickler von MegaLocker gemeldet und damit gedroht, Lösegeldsummen zu verdoppeln und den Verschlüsselungsalgorithmus anzupassen, damit das Tool nicht mehr funktioniert. Derzeit wurde aber noch keine aktualisierte Version des Schädlings gesichtet.
    Quelle : https://www.heise.de/security/meldun...r-4415835.html
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

  11. Gefällt mir Merlin gefällt dieser Beitrag
  12. #730
    Globaler Moderator Avatar von Tomba
    Registriert seit
    Feb 2012
    Ort
    Öhringen (Baden-Württemberg)
    Beiträge
    1.334
    Danke / Gefällt mir
    Fake-Bewerbungsmails: Trojaner versteckt sich erfolgreich vor Antiviren-Software

    Wer dieser Tage eine E-Mail mit dem Betreff "Bewerbung für die ausgeschriebene Stelle" oder "Bewerbung auf Ihre Stellenausschreibung" erhält, sollte aufhorchen: Heise Security liegen mehrere Mails dieser Art vor, die ein Word-Dokument mitbringen, das einen Trojaner auf Windows-Computer holt. Vor allem Personaler sollten sich vor solchen Mails in Acht nehmen. Absender und Betreffzeile der Nachrichten variieren.

    Gar nicht erst Öffnen!
    Der Dateiname des Dokuments besteht aus Ziffern – beispielsweise 418177678.doc – und es ist mit Makros versehen. Wer die Datei öffnet, wird aufgefordert die Makros zu aktivieren, um die Kompatibilität zu gewährleisten und das Dokument lesen zu können.

    Das sollte man auf gar keinen Fall machen! Ansonsten holt man sich den Erpressungstrojaner Gandcrab auf den PC, haben Sicherheitsforscher von Hornet Security herausgefunden. Die Makros öffnen ihnen zufolge ein verstecktes Terminal, um mit PowerShell Kommandos auszuführen und so Gandcrab herunterzuladen und auszuführen. Der Schädling verschlüsselt Dateien und fordert ein Lösegeld.

    So wie es aussieht, sind die Makros für Microsoft Word ausgelegt. Heise Security hat das Dokument in LibreOffice geöffnet und die Makros hatten dort keine Funktion.

    Unter dem Radar von AV-Software

    Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können. Dementsprechend schlug zum Zeitpunkt der Meldung keiner der 58 Scanner der Analyseplattform Virustotal an.

    Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben. Wer so eine Nachricht bekommt, sollte sie löschen und den Anhang am besten gar nicht erst herunterladen geschweige denn öffnen.
    Quelle : https://www.heise.de/security/meldun...e-4419591.html
    Gruß : Tomba

    Win 10 Pro 1809 64 Bit - Avast Premier 19.5.2378 - Malwarebytes Free - Firefox Quantum 67.0.2

Ähnliche Themen

  1. Sammelthread Diskussion über staatliche Überwachung
    Von Steven Winderlich im Forum Smalltalk
    Antworten: 426
    Letzter Beitrag: 07.05.19, 13:13
  2. Gelöst Seltsamen Warnhinweise und Bedrohungen
    Von ontaro im Forum Avast 2014
    Antworten: 12
    Letzter Beitrag: 12.01.14, 22:48
  3. Sammelthread Internet Explorer 9 Diskussion
    Von Auggie im Forum Smalltalk
    Antworten: 81
    Letzter Beitrag: 18.04.11, 17:20
  4. Diskussion: avast! FAQ/Knowledgebase
    Von Merlin im Forum Smalltalk
    Antworten: 16
    Letzter Beitrag: 21.04.10, 23:05
  5. Antworten: 7
    Letzter Beitrag: 20.01.10, 19:54

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •