Ihr Partner
in Sachen EDV


Hardware
Software
Netzwerktechnik

Aktuelle Meldungen

 

BIOS/UEFI mit Ransomware infiziert

Ein Proof-of-Concept belegt, dass auch das Rechner-BIOS einer Ransomware zum Opfer fallen kann.
Sicherheitsforscher haben gezeigt, dass sich das BIOS/UEFI eines Computers trotz aktuellem Windows 10 und diversen aktivierten Sicherheitsmechanismen mit einem Erpressungstrojaner infizieren lässt.
Die diesjährige Ausgabe der seit Jahren während der RSA Conference dargebrachten Präsentation "Hacking Exposed" füllten Cylance-Boss Stuart McClure und seine Mitstreiter unter anderem mit zwei Hacks der außergewöhnlicheren Art: In einer der Live-Demos infizierten sie das Unified Extensible Firmware Interface (UEFI) eines aktuellen Gigabyte-Mainboards (Intel Skylake) mit einem Verschlüsselungstrojaner. Laut McClure sind auch Mainboards anderer Hersteller angreifbar, man müsse lediglich die Payload an die UEFI-Variante anpassen.
Zwar sind BIOS- beziehungsweise UEFI-Schädlinge an sich nichts Neues: Lösegeld-Malware wurde in diesem Bereich bisher aber weder gesichtet, noch demonstriert.
BIOS-UEFI-Lücken
Der zur Demo verwendete Computer lief den Sicherheitsforschern zufolge mit einem vollständig gepatchten Windows 10 – die Schutzmechanismen Device Guard, Secure Boot und Virtual Secure Mode sollen ebenfalls aktiv gewesen sein. Wie Angreifer diese Sicherheitsmechanismen umgehen können, beschrieben andere Sicherheitsforscher bereits Anfang 2015. Die Ansätze fußen auf BIOS-UEFI-Lücken.
Die Infektion in der Live-Demo begann mit einem präparierten Word-Dokument, das per Makros und Powershell einen Dropper herunterlud. Dieser wiederum zog den BIOS-Updater des Mainboard-Herstellers aus dem Netz und installierte ihn. An dieser Stelle wäre es in der Realität aber knifflig geworden, da ein potentielles Opfer die Installation bestätigen muss.
Digitale Signatur? Fehlanzeige
Mit nicht näher genannten Exploits umgingen die Sicherheitsforscher den Schreibschutz des Flash-Speichers und konnten so ihre um die Ransomware erweiterte Variante der Firmware auf das Mainboard flashen. An dieser Stelle machte es ihnen der Mainboard-Hersteller unnötig leicht: Die Flasher-Software überprüft das Update nicht auf Integrität, keine der Komponenten ist McClure zufolge digital signiert.
Nach einem Neustart des Computers erschien umgehend der Sperrhinweis. Ein Aufruf der UEFI-Einstellungen wird ebenso unterbunden wie ein Start des Betriebssystems. Laut McClure können nur die Mainboard- und UEFI-Hersteller eine derartige Attacke verhindern. Entweder durch digitale Signaturen oder einen Check des BIOS beim Start durch ein zweites BIOS, wie es etwa Dell anbietet. Fallen hier Ungereimtheiten auf, überschreibt der Prozess die manipulierte Firmware mit einer intakten.
(Quelle: https://www.heise.de/newsticker/meldung/BIOS-UEFI-mit-Ransomware-infiziert-3630662.html)

 

"Ändere-dein-Passwort-Tag"

Pro und Contra Passwortwechsel Update
Ist es sinnvoll, sein Passwort regelmäßig und vorsichtshalber zu ändern? Was in einigen Firmen verpflichtend ist, ist in Security-Kreisen umstritten. Unter Umständen kann das sogar kontraproduktiv sein.
In einer aktuellen Pressemeldung zum "Ändere-dein-Passwort-Tag" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist hauptsächlich von individuellen und komplexen Passwörtern die Rede. Die Änderung eines Kennwortes empfiehlt das BSI in dieser Meldung nur für den Ernstfall; also wenn der Verdacht besteht beziehungsweise klar ist, dass ein Online-Dienst Opfer einer Hacker-Attacke geworden ist. Allgemein rät das BSI aber dazu, Passwörter regelmäßig zu wechseln.
In einigen Firmen gibt es die Vorschrift, dass Mitarbeiter regelmäßig ihr Passwort ändern müssen. Das kann unter Umständen hilfreich sein, wenn zum Beispiel ein Netzwerk bereits kompromittiert ist: Durch den regelmäßigen Passwortwechsel sperrt man Angreifer immer wieder aus.
Doch der britischen Communications Electronics Security Group (CESG), eine Abteilung des Nachrichtendiensts GCHQ, zufolge, führe das in der Praxis nicht zu höherer Sicherheit. Mitunter könnte eine derartige Anordnung sogar ein Sicherheitsrisiko darstellen: Damit man sich Passwörter einfacher merken kann, neigt man dazu, das gleiche Passwort für mehrere Dienste zu verwenden oder Passwörter nur minimal zu ändern. Ein zwangsweise neu gewähltes Passwort ähnelt also oft dem vorherigen.
"Dumme Nutzer mit schwachen Passwörtern"
Passwörter können an vielen Stellen ein Sicherheitsproblem sein – doch nicht immer ist der Nutzer mit seinem schwachen Kennwort Schuld. Vielmehr sollte man die Anbieter von Online-Diensten in die Pflicht nehmen, Passwörter auf ihren Servern sicher abzulegen. Schließlich vertraut man den Diensten seine persönlichen Daten an.
Oft liegen Passwörter dort im schlimmsten Fall im Klartext oder nur unzureichend geschützt, etwa mit den schon lange als unsicher geltenden Hash-Verfahren MD5/SHA1. Für einen effektiven Kennwort-Schutz sollte bcrypt oder PBKDF2 zum Einsatz kommen.
Zudem sollten Anbieter von Online-Diensten ihre Passwortfelder effektiver vor Brute-Force-Angriffen schützen. Etwa das Verzögern vor einer erneuten Passwort-Eingabe nach einer Fehleingabe bewährt sich an dieser Stelle. Zudem gibt es schwache Passwort-Reset-Mechanismen, über die man Passwörter abfangen könnte.

 

Microsoft startet Abschiedskampagne für Windows 7

In drei Jahren endet der Support für das derzeit meistverbreitete Betriebssystem. In einer Pressemitteilung weist Microsoft darauf hin, dass das ernst gemeint ist.
Wie für jede Windows-Version verspricht Microsoft auch für Windows 7 eine Support-Dauer von zehn Jahren. Solange stellt Microsoft kostenlos Sicherheitsupdates bereit. Am 14. Januar 2020, also in drei Jahren, endet dieser Zeitraum.
Microsoft will ihn offensichtlich keinesfalls verlängern: In einer Pressemitteilung nennt Microsoft das Support-Ende als "eine logische Entscheidung", denn Windows 7 könne "nicht mehr mit den gestiegenen Sicherheitsanforderungen mithalten", weil es auf "längst veralteten Sicherheitsarchitekturen" basiere. Beispiele für die Fortschritte bei Windows 10 nennt Microsoft allerdings nur wenige, etwa "Windows Hello" (Anmeldung via Gesichtserkennung) sowie die "Windows Defender Advanced Threat Protection", die jedoch nur Systeme im Enterprise-Umfeld besser vor Gefahren absichern soll.
Frühzeitige Beschäftigung mit dem Umstieg
Die frühe Ankündigung begründet Markus Nitschke, Geschäftsleiter Windows bei Microsoft Deutschland, mit den Erfahrungen von Windows XP: Dort "haben wir gesehen, dass sich Unternehmen frühzeitig mit dem Umstieg beschäftigen sollten, um spätere Risiken oder Kosten zu vermeiden".
Im gleichen Atemzug freut sich Microsoft darüber, das laut statcounter.com Windows 7 zumindest in Deutschland nicht mehr das meist verbreitete Betriebssystem ist, sondern nun knapp hinter Windows 10 liegt (33,51 % zu 34,18 %). Weltweit gesehen liegt Windows 7 aber ebenfalls laut statcounter.com weiterhin deutlich auf Platz 1 (40,24 %).
Für den Windows-7-Vorgänger Vista ist bereits am 11. April dieses Jahres Schluss mit dem Support. Allzu viele Anwender dürfte das aber nicht mehr betreffen: StatCounter führt Vista schon nur noch unter Sonstiges.


(Quelle: https://www.heise.de/newsticker/meldung/Microsoft-startet-Abschiedskampagne-fuer-Windows-7-3595451.h[..]

 

98 Sekunden bis zur Infektion

Ein Sicherheitsforscher nimmt eine IP-Sicherheitskamera in Betrieb. Kurze Zeit später befindet sich dieses in den Fängen von zwei Botnetzen.
Der Sicherheitsforscher Rob Graham hat einen Selbstversuch gestartet, um herauszufinden, wie schnell ein IoT-Gerät mit Malware infiziert wird. Dafür kaufte er eine IP-Überwachungskamera, pflegte diese in sein Netzwerk ein und twitterte über den Infektionsstand.
Sein Selbstversuch fand in einem von ihm speziell konfigurierten und isolierten Test-Netzwerk statt. Wer nicht ausreichend sattelfest in Netzwerk-Sicherheit ist, sollte lieber die Finger von derartigen Experimenten lassen. Graham setzte unter anderem auf eine Firewall, um den aus- und eingehenden Netzwerkverkehr via Rate Limiting zu kontrollieren, damit es im Ernstfall nicht zu von ihm ausgehenden DDoS-Attacken kommt.
Kaum online, schon infiziert
Eigenen Angaben zufolge geriet die IP-Kamera bereits nach 5 Minuten in das Visier eines Botnetzes – dabei soll es sich aber nicht um das Mirai-Botnetz gehandelt haben. Anschließend wurden technische Infos des IoT-Gerätes abgezogen und Bibliotheken heruntergeladen, um die Infektion einzuleiten. Dieser Vorgang hat insgesamt 98 Sekunden gedauert, erläutert Graham.
Kurz darauf soll zusätzlich die Mirai-Malware zugeschlagen haben. Der Source-Code des mächtigen DDoS-Tools Mirai wurde im Oktober veröffentlicht. Die infizierte Kamera habe dann in hoher Rate SYN- und Telnet-Pakete heraus gefeuert, um neue Opfer zu finden. Dank Grahams Vorkehrungen, sollen aber keine Pakete raus gegangen sein.
In jüngster Vergangenheit gingen vom Mirai-Botnetz massive DDoS-Attacken aus. Ein Angriff auf den DNS-Anbieter Dyn sorgte dafür, dass Dienste wie Twitter und Netflix zeitweilig nicht erreichbar waren. Auch die Webseite des Security-Bloggers Brian Krebs brach unter einer vom Mirai-Botnetz ausgehenden Datenflut zusammen. Ein französischer Web-Hoster meldete eine DDoS-Attacke mit einem Rekord-Volumen von 1,1 Terabit pro Sekunde.
(Quelle: https://www.heise.de/security/meldung/98-Sekunden-bis-zur-Infektion-IoT-Botnetz-im-Selbstversuch-349[..]

 

Patchday: Microsoft schließt Lücken

Wie angekündigt, kümmert sich Microsoft unter anderem um im Fokus von Angreifern befindliche Zero-Day-Lücken. Außderdem stehen Patches für weitere kritisch Schwachstellen bereit.
An diesem Patchday stellt Microsoft vierzehn Sicherheitsupdates bereit, die insgesamt 68 Schwachstellen in Edge, Internet Explorer, Office, SQL Server und Windows (Client und Server) schließen. Sechs Sicherheitsupdates sind als kritisch eingestuft und die restlichen acht als wichtig.
Unter den Schwachstellen befinden sich zwei Zero-Day-Lücken, die Angreifer derzeit aktiv ausnutzen. Setzen Angreifer bei der Lücke mit der Kennung CVE-2016-7255 an, sollen sie sich lokal höhere Rechte erschleichen können, um so aus der Sandbox eines Webbrowsers auszubrechen. Ausgangspunkt soll dabei ein bestimmter Systemaufruf über win32k.sys sein. Googles Chrome und Microsofts Edge sollen dafür nicht anfällig sein. Zudem funktioniere ein Übergriff nur in Kombination mit einer kürzlich geschlossenen Flash-Lücke, erläutert Microsoft in einer Ankündigung für den Fix. Das Sicherheitsupdate stuft Microsoft als wichtig ein.
Die zweite unter Attacken stehende Lücke klafft in der Schriften-Bibliothek von Windows und gilt als kritisch. Bringt ein Angreifer ein Opfer dazu etwa eine Webseite mit einer präparierten Schriftart zu besuchen, kann er unter gewissen Umständen Code ausführen und Computer übernehmen.
Weitere kritische Lücken
Auch in Edge klafft eine als kritisch eingestufte Schwachstelle. Für einen erfolgreichen Übergriff muss ein Angreifer Opfer auf eine manipulierte Webseite locken. Anschließend soll er sich die Rechte des jeweiligen Nutzers erschleichen können.
Die letzten beiden kritischen Lücken klaffen in verschiedenen Windows-Versionen. Für einen erfolgreichen Angriff muss ein Opfer jedoch eine spezielle Anwendung ausführen, damit ein Angreifer Code aus der Ferne ausführen kann.
Die Sicherheitsupdates für die verbleibenden Lücken stuft Microsoft als wichtig ein und empfiehlt ein zügiges Installieren. Nutzen Angreifer diese Lücken in Internet Explorer, Microsofts SQL Server, Office und Windows aus, kann es unter gewissen Voraussetzungen zu Remote Code Execution kommen oder Angreifer können sich höhere Rechten erschleichen.
Neue Info-Plattform für Lücken
Bisher hat Microsoft Informationen zu Sicherheitslücken ausschließlich über die Security-Bulletin-Webseite publiziert. Ab sofort kann man sich auch über den kürzlich gestarteten Security Updates Guide informieren. Dort findet man unter anderem auch die Einstufung des Schweregrades einer Schwachstelle durch den CVSS Score. Zudem soll es möglich sein, über die RESTful-API Update-Informationen automatisch erfassen zu können. Dieser neue Service soll die Security Bulletins nach dem 10 Januar 2017 ersetzen.

(Quelle: https://www.heise.de/security/meldung/Patchday-Microsoft-schliesst-Zero-Day-Luecken-in-Windows-Co-34[..]

 
 
Netzwerk | Viren Problem | Microsoft | Avira | Nürnberg | Server | Exchange | Typo3 | Office | Fujitsu | Fürth | EDV Problem | Netzwerktechnik | Datensicherung | Datenrettung | Erlangen | EDV Hilfe | Notebook | Hyper-V | Virtualisieren | Suchmaschinenoptimierung | Acronis | Schwabach | Webdesign | Outlook | Windows 8 |
Eibach Reichelsdorf Katzwang Schweinau Gartenstadt Stein Sündersbühl Schwabach Roth Erlangen Fürth Kornburg Wendelstein Zirndorf Mühlhof Regelsbach Büchenbach Gerasmühle Johannis Langwasser Neusses