it-sicherheit.li

News rund um IT-Sicherheit

Kategorie: Sicherheitslücke (Seite 1 von 2)

Hit me Baby one more time

Juni 8, 2017 / / 1 Kommentar

Das grösste Problem von Hackern ist neben „wie komme ich auf den Client“ auch, „wie kommuniziere ich mit meinen C&C Servern“

 

Sicherheitsforscher von Eset haben herausgefunden wie es die Hackergruppe Turla macht. Ihr Trojaner benutzt unter anderem den Instagram Account von Britney Spears.

Die Hacker von Turla infizieren den Browser Ihrer Opfer mit einer Firefox Extenstion. Mit dieser Erweiterung können Sie die Computer der betroffenen Personen komplett übernehmen.  Die Erweiterung gibt sich als vermeintliche Sicherheitssoftware aus und wird so freiwillig von den Benutzern heruntergeladen somit ist die erste Frage „wie komme ich auf den Client“ erledigt. Bleibt noch die zweite Frage offen.

Instagram

 

Durch einfache Kommentare auf Sozialen Netzwerken wie dem Instagram Account von Britney Spears. Mittels ein wenig Programmiermagie verbreiten die Hacker anschliessend die URL der C&C Server, als Kommentare getarnt.

Der Trojaner liest diese Kommentare aus und ermittelt daraus die URL der C&C Server.

 

So ist z.B. dieser Kommentar: #2hot make loved to her, uupss #Hot #X (inklusive der in Instagram unsichtbaren Unicode Zeichen) konvertiert, folgende URL http://bit.ly/2kdhuHX

Diese URL führt zu kompromittierten Servern von Botschaften oder Stadtverwaltungen.

Edit:

Dieser Link wurde von bit.ly bereits deaktiviert. Vermutlich werden jedoch schon neue Links im Umlauf sein.

Laut den Sicherheitsforscher ist eines der Add-Ins fr Firefox, welches diese Backdoor öffnet folgendes.

Turla

 

Bei diesem Update vom 13 April 2017 wird die Backdoor implementiert.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Keylogger lauscht mit

Mai 12, 2017 / / Keine Kommentare

Thorsten Schröder von der Firma Modzero hat, bei Sicherheitsanalyse eine gravierende Sicherheitslücke in HP Laptops entdeckt.

Der eingesetzte Audio-Treiber schneidet Tastatureingaben mit. Dies vermutlich um die Tasten „lauter und leiser“ oder auch Mikrofon an oder aus zu erkennen. Das gefährliche ist jedoch das alle Eingaben in ein .log File geschrieben werden welches unter C:\Users\Public\MicTray.log ersichtlich ist.

Die Audiokomponenten werden vom Hersteller Conexant geliefert, auch der besagte Treiber wird von dieser Firma bereitgestellt.

Thorsten Schröder hat herausgefunden dass dieser Treiber seit mindestens Weihnachten 2015 besteht und auf HP-Rechnern zum Einsatz kommt.

Die Log Datei wird zwar nach jedem Neustart überschrieben, problematisch wird dies jedoch bei Personen die Ihren Laptop oder PC selten ausschalten und lieber den Energiesparmodus verwenden.  In diesem Fall wird die Log Datei immer weiter wachsen und alle Eingaben und Kennwörter enthalten.

Um herauszufinden ob der lauschende Audiotreiber installiert ist kann nach folgendem Programm gesucht werden:

C:\Windows\System32\MicTray64.exe

oder

C:\Windows\System32\MicTray.exe

Empfohlen wird diese Programme zu entfernen oder umzubenennen.

Der Nachteil ist dass, sobald diese Programme deaktiviert sind, die Sondertasten für Audioeinstellungen nicht mehr funktionieren werden.

 

Folgende Geräte sind, nach Aussagen von Modzero betroffen:

HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
Facebooktwittergoogle_plusredditpinterestlinkedinmail

IIS 6.0 Totgeglaubte leben länger

März 28, 2017 / / Keine Kommentare

Eigentlich ist der IIS 6.0 schon längst überholt und wird auch nicht mehr gepatcht. Dennoch wird er noch rege „eingesetzt“. Meistens dümpelt der Service als vergessene Leiche noch irgendwo in der Infrastruktur umher. über die Suchmaschine Censys  konnten noch über 100`000 IIS 6.0 Server in der Schweiz gefunden werden.

Was ist jetzt genau das Problem? Es interessiert sich sowieso niemand mehr für eine so alte Infrastruktur. Das sehen Hacker wohl etwas anders. Auf GitHub ist ein Exploit aufgetaucht das genau auf diese IIS Version abzielt.

Der WebDAV-Dienst des IIS 6.0 verfügt über einen Pufferüberlauf, dieser lässt sich über das Internet ausnutzen. Das Exploit senden einen, speziell zusammengestellten Header für eine PROPFIND Anfrage an den IIS und speziell an den WebDAV-Dienst. Diese Anfrage lässt den Puffer überlaufen und startet letztendlich „nur“ den Taschenrechner auf dem Server.

Laut dem Autor wurde die Schwachstelle bereits vor einem Jahr ausgenutzt. Ob dort auch nur der Taschenrechner gestartet wurde, oder andere Kommandos ausgeführt wurden, ist nicht klar.

Das Problem an veralteter Software ist dass sie nicht mehr gepatcht wird. Und auch wenn es „alte Geräte“ sind. Stehen sie doch in einem Netzwerk und haben ev. Zugriff auf sensible Daten.

Daher gilt, nicht mehr Unterstützte Software durch neue ersetzen oder vom System abschotten.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Nicht mehr die eigenen Finger schmutzig machen

Januar 16, 2017 / / Keine Kommentare

Am 13. Januar wurde im Daily Security Byte von Watchguard durch Corey Nachreiner erklärt wie aufgrund von Selfies die Fingerabrücke von Personen kopiert und bei Biometrischen Sicherheitsmechanismen eingesetzt werden können.

Die Gefahr schein sehr gering das der Winkel, die Belichtung und viele andere Faktoren eine Rolle spielen. Dennoch ist es nicht auszuschliessen das es Möglichkeiten gib, durch Fotos Biometrische Merkmale zu kopieren.

 

Vor allem bei Fotos mit dem „Peace Sign“ sei es möglich die Fingerabdrücke zu kopieren.

Bis jetzt ist es jedoch sicher seine Finger mit der Öffentlich zu teilen. Wollen wir mal schauen wie lange noch.

Die ausführlichen Berichte könnt Ihr hier nachlesen.

Secplicity

http://arstechnica.com/security/2014/12/politicians-fingerprint-reproduced-using-photos-of-her-hands/

https://phys.org/news/2017-01-japan-fingerprint-theft-peace.html

http://www.snopes.com/hackers-peace-sign-fingerprints/

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Neuer Support Scam entdeckt.

September 28, 2016 / / Keine Kommentare

lock-screen

Lawrence Abrahams von Bleeping Computers hat einen neuen Technical Support Scam entdeckt.

Der Scam lädt eigentlich nur eine gefälschte Fehlermeldung herunter auf welcher gemeldet wird dass man sich telefonisch bei einem Techniker unter der angegebene  Nummer melden soll.

Bei näherem Untersuchen stelle man jedoch fest dass sich im Quellcode Hintertüren fanden durch welche, die Entwickler, Remotecode ausführen konnten und so auf den infizierten Computer Zugriff erhielten.

Der Hauptteil dieser Software ist die Datei WinCPU.exe, diese stellt nach dem Starten sofort eine Verbindung zu einem Command & Control Server her und wartet auf „Anweisungen“

 

So eine Adware kann eingesetzt werden um Befehle an den Client zu senden und dadurch einen Anruf bei der, unter Umständen, kostenpflichtigen „Hotline“ zu beschleunigen, oder dem geschädigten einen überteuerten „Virenschutz“ zu verkaufen.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Yahoo Hack ist grösser als man denkt.

September 27, 2016 / / Keine Kommentare

photo-1472851294608-062f824d29cc

Wie Yahoos CISO Bob Lord sagte:

We have confirmed that a copy of certain user account information was stolen from the company’s network in late 2014 by what it believes is a state-sponsored actor. The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers. The ongoing investigation suggests that stolen information did not include unprotected passwords, payment card data, or bank account information; payment card data and bank account information are not stored in the system that the investigation has found to be affected. Based on the ongoing investigation, Yahoo believes that information associated with at least 500 million user accounts was stolen and the investigation has found no evidence that the state-sponsored actor is currently in Yahoo’s network.

Im Jahr 2014 wurden ca. 500 Millionen Userdaten von Yahoos Datenbanken gestohlen.  Erst jetzt wurde dies jedoch bestätigt. Für alle die sich nun denken, zum Glück habe ich kein Yahoo Konto. Ihr könntet ein Yahoo Konto haben ohne es zu wissen. Genauso wie Google Apps for Work anbietet, bietet auch Yahoo Dienstleistungen für Unternehmen an, unter anderem, Mailhosting.  hat auf seinem Blog beschrieben dass bis zu 572,162 Domains diesen Mailservice von Yahoo in Anspruch nehmen. Die Jungs von Bitcrack haben ein Online Tool entwickelt mit welchem getestet werden kann ob eure Domain unter den Betroffenen ist.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky in neuem Gewand

September 27, 2016 / / Keine Kommentare


Eine neue Variante des Locky Trojaners ist aufgetaucht. Die Daten werden nun mit der Endung .ODIN verschlüsselt. Dies hilft Locky natürlich zur Verschleierung da es auf den ersten Blick so aussieht als wurde man von der Ransomware ODIN infiziert. Auch Locky mit seiner neuen .ODIN Endung wird vorwiegend über SPAM E-Mails verteilt. Wenn der Empfänger einen Doppelklick auf den Anhang macht, ladet Locky einen verschlüsselten DLL installer herunter und führt diesen mithilfe der Rundll32.exe aus. Einmal ausgeführt verschlüsselt Locky sämtliche Files des betroffenen Rechners sowie weitere Netzlaufwerke und verbundene USB Speichergeräte oder sogar Cloud Dienste. Die Dateien auf den Geräten werden umbenennt und mit der Dateiendung .ODIN versehen.

Untenstehend eine Liste aller betroffenen Dateiformate:

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key

Das Vorgehen ist weiterhin das selbe und auch für diese Variante von Locky gibt es kein Entschlüsselungstool

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Passwort Leakes? nicht bei mir!

September 7, 2016 / / Keine Kommentare

powned

Die letzten Tage und Wochen hört man immer wieder über neue Leaks von Passörter, Benutzerdaten, Hashes usw.. Aber was betrifft mich das, meine Daten sind sicher. Diese Überlegung haben die meisten Benutzer, aber sind wirklich nur die „blöden“ betroffen. Nein. selbst mich hat es erwischt, vor Jahren bei einem Adobe Leak und auch bei letzten Dropbox Passwort Leak waren Daten von mir beteiligt.

Wie finde ich heraus ob meine Daten betroffen sind?

Was soll ich nun tun?

Das sind die beiden Fragen die einen brennen wenn man von geklauten Daten hört.

Es gibt div Portale um sich zu vergewissern ob man betroffen ist oder nicht. Meine Favoriten sind haveibeenpwned.com und www.leakedsource.com hier wird schnell und einfach angezeigt ob und wenn ja von welchem Breach die Daten Online sind.  Ebenfalls kann man herausfinden was alles preisgegeben wurde E-Mailadresse, Passworthash, Passwort im Klartext usw…

Jetzt sind meine Daten im Internet frei zugänglich für alle die wollen oder genug bezahlen. Was mach ich nun?

Das wichtigste zuerst. Egal wie lange der Leak zurückliegt, das Kennwort sollte geändert werden. Die Mailadresse ist verfügbar aber das Kennwort kann immer geändert werden. Weiters kontrollieren ob alle Einstellungen noch so sind wie man sie hinterlassen hat, alle Daten vorhanden und nicht verändert sind. Sollte sich ein Finanzieller oder Persönlicher Schaden, aufgrund des Breaches, zugetragen haben. Kontakt mit dem Betreiber aufnehmen um weitere Schritte einzuleiten.

Also checkt eure E-Mail Adressen und ändert eure Passwörter wenn Ihr betroffen seid.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Sicherheitslücke in FortiGate Firewalls

August 19, 2016 / / Keine Kommentare

FortiGate warnt vor Sicherheitslücken im FortiOS bis einschliesslich Version 4.X.

Betroffene FortiOS:

4.3.8 and below
4.2.12 and below
4.1.10 and below

Wer eine der Verwundbaren Versionen einsetzt sollte dringend auf eine Abgesicherte Version 5.x aktualisieren.

Werden Geräte verwendet welche nicht mit 5.x kompatibel sind kann auf 4.3.9 oder höher gepatcht werden.

Durch die Lücke können sich unbefugte, aus der Ferne Admin-Rechte erlangen und so auf die Firewall zugreifen.

 

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

USB-Sticks Lost and Found

August 12, 2016 / / Keine Kommentare

Pendrives and memory cards

Ihr geht gemütlich die Strasse lang, plötzlich seht Ihr einen USB-Stick auf dem Gehweg liegen. Würdet Ihr diesen aufnehmen und bei euch einstecken?

48% befragten Personen würden diesen Stick mitnehmen und einstecken. Das trotz des Wissens das 30% aller Malware Infektionen auf USB-Geräte zurückzuführen ist.

Es gibt drei Arten von Gefährlichen USB-Sticks.

  • Social Engineering
  • HID Spoofing
  • Driver 0-Day

Social Engineering Sticks beinhalten html Dateien welche mit einem Anmeldefenster dem Benutzer Benutzername und Passwörter entlocken.

HID Spoofing Sticks geben sich als Eingabegerät aus simulieren Tastenschlägen und geben diese an den Computer weiter.

Driver 0-Day Sticks infizieren den Computer direkt mit Malware und übernehmen so das Gerät.

Wie wird so ein Stick erstellt und was beinhaltet er alles? Das könnt Ihr HIER sehen.

Danke an Elie Bursztein für seine Präsentation, die Anleitung und den Test.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail
Ältere Beiträge

Durch die Nutzung dieser Website erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Nähere infos

Nähere infos Datenerfassung deaktivieren

© 2025 it-sicherheit.li

Theme von Anders NorénHoch ↑