Skip to content

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 2

Es geht weiter mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT. Auf der List der Top IoT Vulnerabilities von OWASP steht auf Platz 1 das "Insecure Web Interface". Die ersten dort aufgeführten Schwachstellen werden auf der List der OWASP Top 10 der Webschwachstellen unter dem Punkt A1, Injection zusammengefasst. Einen Teil davon habe ich bereits im ersten Teil behandelt: SQL Injection, LDAP Injection und XPath Injection. In dieser Folge geht es um die fehlenden Schwachstellen bzw. Angriffe.

OWASP Web Top 10 A1: Injection

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 2" vollständig lesen

0-Day-Exploit für Firefox unterwegs, Update veröffentlicht

Zur Zeit laufen Angriffe mit einem 0-Day-Exploit auf die Windows-Version des TorBrowsers, die auch gegen den ihm zu Grunde liegenden Firefox funktionieren. Die Firefox-Entwickler kennen die Schwachstelle mit der CVE-ID CVE-2016-9079 seit dem 29. November, und inzwischen wurden Updates für Firefox und TorBrowser veröffentlicht.

Sie sollten die Updates schnellstmöglich installieren, bevor die Cyberkriminellen anfangen, den Exploit im großen Maßstab für Drive-by-Infektionen einzusetzen.

Schwachstelle in SVG-Animationen

"0-Day-Exploit für Firefox unterwegs, Update veröffentlicht" vollständig lesen

Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 1

Ab dieser Folge geht es hier um die gefährlichsten Schwachstellen in den Geräten des IoT. Dabei orientiere ich mich an den Top IoT Vulnerabilities von OWASP. Auf Platz 1 steht dort das "Insecure Web Interface". Und in der Tat hat man den Eindruck, die Entwickler der Weboberflächen für die IoT-Geräte hätten es darauf angelegt, alle Schwachstellen, die man im Web vor 10 oder 15 Jahren gemacht hat, in ihren Oberflächen zu wiederholen.

Die Top 10 der Web-Schwachstellen in einem Punkt

"Die IoT Top 10, #1: Unsichere Weboberflächen, Teil 1" vollständig lesen

IoT-Sicherheit: Passwort ändern nicht vergessen!

Ein der größten Gefahren im IoT geht von Default-Zugangsdaten aus: Werden die bei der Installation nicht auf individuelle Werte geändert, kann Schadsoftware mit den i.A. bekannten Default-Zugangsdaten auf das IoT-Gerät zugreifen und es z.B. in ein Botnet integrieren. Und das gilt für alle Zugangsdaten, egal ob Telnet, Fernwartung, Weboberfläche, ... - einem Angreifer ist jeder Weg Recht, Zugriff auf ein Gerät zu bekommen.

Mirai: 62 Zugangsdaten reichen aus

"IoT-Sicherheit: Passwort ändern nicht vergessen!" vollständig lesen

Drucksache: PHP Magazin 1.17 - Mit Proxy und Proxykonfiguration gegen HTTPS

Im PHP Magazin 1.2017 ist ein Überblick über Angriffe auf SSL/TLS erschienen.

Dass SSL nicht mehr ausreichend sicher ist und durch TLS in einer möglichst hohen Version ersetzt werden sollte ist seit längerem bekannt. Aber selbst dann sind Angriffe auf HTTPS möglich, und das ganz ohne TLS-Schwachstelle. Und zwar über das Web Proxy Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt) und die davon verwendeten Proxy Auto-Config (PAC) Dateien.

"Drucksache: PHP Magazin 1.17 - Mit Proxy und Proxykonfiguration gegen HTTPS" vollständig lesen

November-Patchday: Wieder mal ein 0-Day-Exploit für Windows unterwegs

Am November-Patchday hat Microsoft wieder mehrere 0-Day-Schwachstellen behoben. Darunter auch eine, die bereits ausgenutzt wird, um Code einzuschleusen.

Damit steht es beim "Wettstreit" um die meisten 0-Day-Exploits zwischen Adobe und dem Rest der Welt wieder unentschieden: Dieses Jahr wurden 10 0-Day-Exploits entdeckt, 5 davon gehen auf das Konto des Flash Players. Adobe hat zwar auch ein Security Bulletin für den Flash Player veröffentlicht, aber keine 0-Days zu melden. Die aktuelle 0-Day-Schwachstelle wurde ja bereits Ende Oktober außer der Reihe behoben.

Remote Code Execution in der Font-Library

"November-Patchday: Wieder mal ein 0-Day-Exploit für Windows unterwegs" vollständig lesen

USB-Sicherheit 2016: Noch mal Angriffe auf kabellose Mäuse

Angriffe auf kabellose Tastaturen und Mäuse habe ich bereits vorgestellt, nun gibt es einen Nachschlag. Gerhard Klostermeier und Matthias Deeg von Syss haben sich ebenfalls der kabellosen Tastaturen und Mäuse angenommen und dabei festgestellt, dass zwar die untersuchten Tastaturen ihre Kommunikation verschlüsseln und authentifizieren, nicht aber die Mäuse. Die beiden Forscher haben ihre Ergebnisse bereits auf einigen Sicherheitskonferenzen vorgestellt, so z.B. auf der Ruxcon 2016 (Präsentation als PDF), weitere folgen.

(Fast) nichts Neues

"USB-Sicherheit 2016: Noch mal Angriffe auf kabellose Mäuse" vollständig lesen

AtomBombing - Der Angriff klingt schlimmer, als er ist

Sicherheitsforscher von Ensilo haben einen neuen Angriff auf Windows vorgestellt: AtomBombing. Schon der Titel der Beschreibung klingt schlimm: "AtomBombing: A Code Injection that Bypasses Current Security Solutions". Aber worum geht es überhaupt?

Beim neuen Angriff geht es um das Einschleusen von Code. Das ist natürlich etwas, was Angreifer äußerst gerne machen, können sie doch nur so die Kontrolle über einen Rechner übernehmen. Allerdings hat das Ganze einen Haken: Es setzt voraus, dass bereits bösartiger Code auf dem Rechner läuft. Der kann über AtomBombing dann Code in andere Prozesse einschleusen und so Schutzmaßnahmen unterlaufen.

Also ist das alles gar nicht so schlimm, wie es auf den ersten Blick scheint. Mehr dazu erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

USB-Sicherheit 2015: Ein 0-Day-Exploit für Windows - auf USB-Sticks

Die letzte Schwachstelle, die ich im Rahmen dieser kleinen Serie zu Schwachstellen in und Angriffen auf bzw. über USB vorstellen möchte, habe ich bereits hier im Blog behandelt. Es geht um die "Mount Manager Elevation of Privilege Vulnerability", die Microsoft am August-Patchday 2015 vorgestellt hat.

Ein 0-Day-Exploit auf USB-Sticks

"USB-Sicherheit 2015: Ein 0-Day-Exploit für Windows - auf USB-Sticks" vollständig lesen

USB-Sicherheit 2015: Angriffsziel Geldautomat - Jackpotting "in the wild"

Heute kommen wir zum ersten angekündigten Angriff aus dem Jahr 2015. Warum ich den erwähne, obwohl es eigentlich doch nur um Angriffe aus dem Jahr 2016 gehen sollte? Weil das Ziel doch etwas ungewöhnlich ist und der Angriff damit zeigt, dass man überall mit Angriffen über USB rechnen muss. Zumindest, wenn es sich für die Angreifer so lohnt wie in diesem Fall.

Banküberfall auf die sanfte Art

"USB-Sicherheit 2015: Angriffsziel Geldautomat - Jackpotting "in the wild"" vollständig lesen

USB-Sicherheit 2016: Angriffe auf kabellose Tastaturen und Mäuse

Bisher erfolgten die Angriffe auf und über USB immer über bösartige USB-Geräte, die an den Rechner angeschlossen wurden. Selbst das nach der Kompromittierung des Rechners über WLAN mit dem Angreifer kommunizierende USB-Device von Rogan Dawes und Dominic White muss für den Angriff erst mal an den Rechner angeschlossen werden. Der in dieser Folge vorgestellte Angriff dagegen erfolgt über Funk und richtet sich gegen kabellose Tastaturen und Mäuse, die eigene Funkverbindungen statt Bluetooth nutzen.

MouseJack - Angriffe auf kabellose Tastaturen und Mäuse

"USB-Sicherheit 2016: Angriffe auf kabellose Tastaturen und Mäuse" vollständig lesen

Drucksache: Entwickler Magazin 6.16 - Festplattenverschlüsselung im Visier

Im Entwickler Magazin 6.16 ist ein Artikel über Angriffe auf Festplattenverschlüsselungen erschienen.

"Schlimmer geht immer" trifft in der IT-Sicherheit ja leider sehr oft zu, so auch in diesem Artikel. An welche Festplattenverschlüsselung haben Sie gedacht, als Sie den Titel gelesen haben? An die Festplattenverschlüsselung im Rechner, oder an externe, selbst verschlüsselnde Festplatten? Es geht leider um beide.

"Drucksache: Entwickler Magazin 6.16 - Festplattenverschlüsselung im Visier" vollständig lesen