Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Das Einspielen von Sicherheits-Updates ist ein zentraler Baustein der IT-Sicherheit. Soft- und Hardware haben Sicherheitslücken, die irgendwann bekannt werden. Dann muss man die möglichst flott schließen und die hoffentlich vom Hersteller bereitgestellten Patches einspielen, bevor die Lücke ausgenutzt wird. Doch manchmal ist sofort patchen immer noch nicht schnell genug. Das illustriert ein genauerer Blick auf die Timeline eines aktuellen Vorfalls im Virustotal-Umfeldsehr gut.

Ein unscheinbares Sicherheitsproblem​

Ursprung war ein unscheinbares Sicherheitsproblem: "Patched security vulnerability in DjVu reader" hieß es in den Release-Notes der Version 12.24 von exiftool. Das ist ein kleines Perl-Skript, mit dem man die Meta-Informationen in Bildern auslesen und bearbeiten kann. Ich habe das im Rahmen von Recherchen mehrfach benutzt und auch um vor einer Veröffentlichung auf heise die GPS-Koordinaten aus Smartphone-Fotos zu entfernen.

Viele Server nutzen exiftool, um hochgeladene Bilder automatisiert von Meta-Daten zu befreien. Allerdings hat das Skript in DjVu-Dateien diese Meta-Daten nicht ausreichend gefiltert, sodass man recht einfach eigene Befehle einschleusen konnte, die bei der Analyse von Bildern dann ausgeführt wurden (CVE-2021-22204).

Timeline eines erfolgreichen Angriffs​

Das meldete ein Sicherheitsforscher am 7. April 2021 zunächst noch vertraulich über die Bug-Bounty-Plattform HackerOne beim betroffenen GitLab. Die reagierten schnell, reichten das an die exiftool-Maintainer weiter, die schon am 13. April eine gepatchte Version 12.24 bereitstellten und am 14. April erhielt der Forscher 19.000 US-Dollar Belohnung. Doch damit war die Geschichte nicht vorbei. Am 30. April – also mehr als zwei Wochen danach – reichte CySrc bei Googles Vulnerability Reward Program einen Bericht ein. Sie hatten festgestellt, dass ihnen bei Virustotal hochgeladene DjVu-Bilder Zugriff auf Scan-Server bescherten. Hatten die Betreiber dieser Server die Patches verschlafen?

Vermutlich nicht. Ich denke eher, dass die sich einfach auf die Sicherheits-Updates ihrer Linux-Distribution verlassen haben. Und bei Debian etwa kam das erst am 2. Mai; bei Fedora sogar erst am 4. Mai. Es gab also nach der Veröffentlichung des Patches, der das Problem offenlegte, ein Zeitfenster von über 2 Wochen, in dem Linux-Systeme mit exiftool anfällig waren für eine bekannte, leicht auszunutzende Sicherheitslücke. CySrc nutzte dieses Zeitfenster, um bei Googles Vulnerability Reward Program zu punkten (wobei nicht klar ist, ob sie eine Prämie bekamen). Aber genauso gut hätten staatliche APT- oder Cybercrime-Hacker dieses Einfallstor für ihre Zwecke ausnutzen und damit echten Schaden anrichten können.

Beinahe-Zero-Days​

Exiftool ist nur ein Beispiel für solche Beinahe-Zero-Days, die wahrscheinlich sogar eine größere Bedrohung für Firmen darstellen, als die viel gehypten, echten Zero-Day-Lücken. Bei letzteren hat man gar keinen Vorlauf, um sich durch Patches oder Mitigations vor Angriffen zu schützen. Doch diese Lücken sind teuer, schwer zu finden und oftmals auch nicht einfach auszunutzen.

Für Beinahe-Zero-Days haben andere den Großteil der Arbeit bereits erledigt und nicht nur die Sicherheitslücke aufgespürt und auf Ausnutzbarkeit bewertet, sondern oft auch schon Proof-of-Concept-Exploits entwickelt, die man nur noch mit einer eigenen Payload scharf schalten muss. Wer also die entsprechenden Mailing-Listen von Open-Source-Projekten aktiv beobachtet, kann da aus dem Vollen schöpfen.

Wie soll man sich davor schützen? Ich muss gestehen, dass ich da recht ratlos bin. Man kann ja unmöglich alle relevanten Projekte selbst verfolgen und Updates am Distributionsprozess vorbei installieren. Darüber habe ich übrigens auch gerade mit Felix von Leitner diskutiert, der sich mit dem Thema des Patch Managements intensiv beschäftigt hat. Das ist einer der Gründe, warum ich mich auch schon sehr auf seinen Vortrag "Die andere Seite der Medaille – was Sie über Patch-Management wissen sollten" auf der heise Security Tour 2022 freue.
Quelle: heise
 
Die sollten mal Android und die Update Politik der Hersteller unter die Lupe nehmen!
Denn hier gibt es den größten Super-GAU!
Wie viele Sicherheitslücken gibt, es im Androidsystem, die nie gefixt worden sind?
Insbesondere ältere Android Versionen, wo der Support von Seiten Google noch nicht beendet wurde.
 
Zurück
Oben