zurück zur Übersicht

Low Five: Top Hacks im Januar

Verschlüsselungstrojaner Rapid

Eine sehr gefährliche, aber noch nicht weit verbreitete Ransomware ist „Rapid“. Normalerweise löschen sich die Verschlüsslungstrojaner nach ihrer getanen Arbeit – nicht so Rapid. Die Schadsoftware bleibt gerne langfristig auf dem System installiert und setzt sich im Autostart fest, um jede neue Datei fröhlich zu verschlüsseln. Über den Task-Manager sollte man die Malware schnellstens aus dem Autostart verbannen. Problematisch dabei ist es den Schädling zu identifizieren, da laut Bleepingcomputer.com der Name der ausführbaren Datei variiert. Ein Entschlüsselungstool existiert bisher noch nicht und ob sich eine Zahlung des geforderten Lösungsgeldes lohnt, bleibt  – wie bei jeder Ransomware – mehr als fraglich. Mehr zum Thema Ransomware >

Sicherheitslücken in Pixel-Smartphones

Mit den Fund zweier Sicherheitslücken in den Google Pixel-Smartphones verdiente sich ein chinesischer Sicherheitsforscher mehr als 100.00 US Dollar Preisgeld (im Rahmen einer Bug Bounty). Ermöglicht wird das durch einen Bug in Googles Open-Source-JavaScript-Engine V8 sowie einer Schwachstelle im Android-Modul libgralloc. Die Kombination dieser beiden Schwachstellen plus dem Aufruf einer speziell präparierten Webseite im Chrome Browser ermöglicht eine Code Injection in dem Systemprozess system_server. Die Sicherheitslücken sind mittlerweile gefixt und eine ausführliche Beschreibung ist auf dem Google Security Blog zu finden.

Blizzard

Über den Blizzard Update Agent waren 500 Millionen Spieler von Blizzard Computerspielen, wie zum Beispiel Diablo 3, Overwatch und World of Warcraft, angreifbar. Dem Sicherheitsforscher Tavis Ormandy zufolge, lauscht der Agent auf Port 1120, um zum Beispiel Updates entgegenzunehmen. An dieser Stelle kommt die Sicherheitslücke ins Spiel. Ist ein Angreifer im Besitz eines DNS Servers und einer Domain, kann er sich als Blizzard Seite ausgeben und sich so das Vertrauen des Agents erschleichen. Das potentielle Opfer muss jetzt noch die präparierte Website besuchen, damit Kommandos an den Agent gesendet werden können. Zunächst löste Blizzard das Problem über eine Blacklist, auf der die ausführbaren Dateien von einigen Webservern gelistet sind. Diese Lösung soll aber bald durch eine Whitelist ersetzt werden. Mehr zum Thema unter https://bugs.chromium.org/p/project-zero/issues/detail?id=1471&desc=3

Norwegen – Diebstahl von Patienten-Daten

Die norwegische Gesundheitsbehörde wurde gehackt. Es sind allerdings noch viele Fragen offen: das Ausmaß, der Zeitraum des Hacks, wie die Angreifer ins System gekommen sind und wie viele Daten wirklich gestohlen wurden. Allerdings ist inzwischen schon von etwa drei Millionen Betroffenen die Rede. Da möglicherweise auch Patientendaten von Politikern, Militär- und Regierungsbeschäftigten gestohlen wurden, könnte es sich auch um einen Spionagehintergrund handeln. Das sind bisher aber alles nur Spekulationen. Allerdings lässt sich politischer Aktivismus grundsätzlich bei Cyberangriffen nicht ausschließen (bei NotPetya könnte das auch der Fall gewesen sein, mehr dazu im Bericht hier)

Intel AMT

Ein Exploit ermöglicht das Aushebeln des Zugangsschutzes vieler Firmen Notebooks. Eine Funktion zur Fernwartung (AMT=Active Management) ermöglicht es physikalischen Zugang zu einem Notebook innerhalb von Sekunden zu erhalten, um beispielsweise eine Backdoor einzurichten. Über einen Reboot und Strg+P kann auf die AMT-BIOS-Erweiterung zugegriffen werden, da diese nicht wie der Rest des BIOS durch dessen Passwort gesichert wird. Wer AMT benötigt, sollte sein Laptop nicht unbeaufsichtigt lassen und das Standard Passwort („admin“) ändern. Bereits 2015 warnte das BSI vor dieser Sicherheitslücke.

Schreibe einen Kommentar