Monatliches Archiv:April 2020

29.04.2020

Böse GIFs: Microsoft-Teams-Konten mit verminten Bildern kapern

Über manipulierte GIFs haben es Forscher geschafft, Microsoft Teams Session-Token abzuluchsen, mit denen man Konten des Dienstes übernehmen kann. Sicherheitsforscher haben eine Schwachstelle in der Online-Kollaborationsplattform Microsoft Teams gefunden, über die sich mit Hilfe von manipulierten Bildern die Anmelde-Session eines anderen Benutzers übernehmen lässt. So kann ein Angreifer fremde Nutzerkonten allein dadurch kapern, dass die Besitzer dieser Konten ein bestimmtes GIF angezeigt bekommen. Dieser Angriff ließe sich auch automatisiert ausführen, um zum Beispiel alle Teams-Konten einer ganzen Organisation anzugreifen und vertrauliche Informationen, Firmen-Interna und Passwörter abzugreifen.

Die Sicherheitsfirma CyberArk, die diesen Angriff auf Microsoft Teams entdeckte, fand zwei für sie interessante Domains: Sowohl aadsync-test.teams.microsoft.com als auch data-dev.teams.microsoft.com ließen sich kapern und für die Zwecke der Forscher missbrauchen. Indem sie es schafften, Traffic für diese Domains auf eigene Server umzuleiten, schafften sie es, dass Microsoft Teams die Session-Token der Nutzer, die das bösartige GIF angezeigt bekamen, an sie schickte. Jedes Mal, wenn ein Nutzer dieses GIF anschaute, erhielten die Forscher per Session-Token eine Stunde lang Zugang zu dessen Teams-Konto.

Über eine solche Lücke könnten sich Angreifer theoretisch durch eine ganze Firma hangeln und haufenweise sensible Daten wie Geschäftsgeheimnisse oder Passwörter für die IT-Infrastruktur der Organisation abgreifen. Außerdem eignet sich ein solcher Angriff hervorragend für CEO Fraud. Man kapert so lange Konten, bis man die Kontrolle über das Teams-Konto eines hochrangigen Mitarbeiters hat und ordnet dann an, Gelder zu überweisen oder Finanzdaten herauszugeben. Mit der in Teams integrierten Kalender-Funktionalität lassen sich solche Betrügereien dann auch genau auf den Arbeitsalltag der Organisation abstimmen, um weniger Aufsehen zu erregen. Vor allem jetzt gerade, wo immer mehr Firmen auf Microsoft Teams und ähnliche Dienste umsteigen und eh fast alle Mitarbeiter im Homeoffice arbeiten, haben solche Angriffe wohl besonders hohe Erfolgschancen.

28.04.2020

Videochat-Programme

Videochat-Programme gibt es viele, aber welches kann was?

Wir haben die Funktionen kostenloser Angebote verglichen.

Videokonferenzen gehören nicht nur für Home-Office-Arbeiter zum Alltag, immer mehr Menschen treffen sich auch nach Feierabend zum Glas Obstschorle vor der Kamera. Während im Berufsleben häufig kostenpflichtige Videochat-Tools zum Einsatz kommen, gibt es auch etliche sehr gute Programme kostenlos – die sich jedoch stark im Funktionsumfang unterscheiden. Für diesen Überblick haben wir neun Produkte ausgewählt: Blizz von TeamViewer, Cisco Webex, Discord, Facebook Messenger, Google Hangouts, Jitsi Meet, Microsoft Teams, Skype und Zoom. Sie kommen allesamt von kommerziellen Anbietern, nur Jitsi Meet fällt etwas aus der Reihe: Die Jitsi-Software steht als Open Source zur Verfügung; wer will, baut damit einen eigenen Videokonferenz-Server auf. Für User ohne eigenen Server steht der öffentliche Server meet.jit.si zur Verfügung. Finanziert wird das Projekt von dem US-amerikanischen VoIP-Unternehmen 8&8. Apple Facetime (das laut Entwickler übrigens vorbildlich Ende-zu-Ende-verschlüsselt ist) haben wir außen vor gelassen, da die Software nur mit Apple-Geräten funktioniert.

Bei TeamViewer Blizz, Cisco Webex, Microsoft Teams und Zoom haben wir uns die abgespeckten Gratis-Varianten kostenpflichtiger Angebote angeschaut. Facebook und Skype sind grundsätzlich kostenlos, lediglich für das Anrufen von Mobil- und Festnetznummern muss man bei Skype Guthaben aufladen. Google Hangouts war und bleibt ebenfalls kostenlos, die kostenpflichtige Variante heißt seit Neuestem Google Meet und ist Teil des Geschäftskundenangebots G Suite. Discord ist der bunteste Vertreter der Auswahl: Die Software war ursprünglich ein Kommunikations- und Streaming-Tool nur für Gamer, wird inzwischen aber auch häufig außerhalb des Spielekontexts verwendet.

Wie viele dürfen?

Bei Teams, Zoom, Jitsi, Skype und Facebook dürften die meisten Privatnutzer nicht an die Teilnehmergrenze stoßen: 250, 100, 75 und jeweils 50 können hier mitmachen. Allerdings kann es bei Jitsi ab ungefähr 35 Menschen im Videochat zu Bild- und Tonaussetzern kommen – bei Massenveranstaltungen empfiehlt Jitsi deshalb, nur die Sprechenden in den Videochat zu holen und den Videostream ansonsten live auf YouTube zu streamen, die Funktion dafür ist integriert. Discord und Hangouts unterstützen zehn Teilnehmer, bei der kostenlosen Blizz-Version sind es sogar nur 5.

Sicherheit und Datenschutz

Die Frage, wie sicher Videochats sind, stellt sich nicht erst seit den Diskussionen um Zoom: Das Unternehmen hatte mit Ende-zu-Ende-Verschlüsselung geworben, was letztendlich eine Lüge war. Wie fast alle Videochat-Tools nutzt Zoom zwar eine Transport-Verschlüsselung vom und zum Server, dort werden die Anrufe aber unverschlüsselt verarbeitet. Von den hier vorgestellten Angeboten nutzt lediglich TeamViewer Blizz eine Ende-zu-Ende-Verschlüsselung – zumindest nach eigenen Angaben, überprüfen konnten wir das bislang nicht. Wer sichergehen will, dass niemand mithört und -guckt, sollte sich überlegen, Jitsi auf einem eigenem Server zu installieren. Ein weiterer Sicherheitstipp: Bei Anbietern, mit denen man ohne Account und nur mit einem Link an einem Videochat teilnehmen kann, sollte man ein Passwort einstellen. Sonst riskiert man, dass sich Unbefugte mit einem erratenen Link ins Gespräch einschleichen – das kommt offenbar so häufig vor, dass die englischsprachige Wikipedia bereits einen Begriff für den Vorgang listet: „Zoombombing“.

Als Auftragsverarbeiter dürfen die Videochat-Tools von dieser Zugriffsmöglichkeit gleichwohl nur Gebrauch machen, wenn es mit dem Vertrag nach Art. 28 DSGVO und den Weisungen des Kunden vereinbar ist. Der Anbieter könnte die Daten demnach weder für eigene Zwecke nutzen noch unautorisiert an Dritte weitergeben, ohne vertragsbrüchig zu werden. Dennoch empfiehlt es sich vor diesem Hintergrund, keine sensiblen Inhalte, wie etwa besondere Kategorien personenbezogener Daten oder Geschäftsgeheimnisse, über Videochats zu kommunizieren. Oder anders: Teilen Sie über Videochats nur Inhalte, die Sie guten Gewissens auch unverschlüsselt per E-Mail versenden würden.

24.04.2020

iPhones durch Zero-Day-Lücken in Apple Mail angreifbar

iOS-Nutzer sollten die Mail-App vorübergehend nicht benutzen, warnen Sicherheitsforscher. Schwachstellen erlauben unbemerktes Code-Einschleusen. Entfernte Angreifer können offenbar über manipulierte E-Mails Schadcode auf iPhones und iPads einschleusen – bis hin zu Geräten mit der aktuellen Version iOS 13.4.1.

Diese Schwachstellen in Apples vorinstallierter Mail-App werden bereits seit längerer Zeit für gezielte Angriffe eingesetzt, warnte die Sicherheitsfirma ZecOps. Unter iOS 13 lassen sich Angriffe auf diesem Weg ohne Nutzerinteraktion unbemerkt im Hintergrund ausführen, schreiben die Sicherheitsforscher. Unter iOS 12 klappe das nur, wenn der Angreifer auch Kontrolle über den Mail-Server hat, sonst müsse das Opfer erst dazu gebracht werden, die manipulierte E-Mail zu öffnen.

Apple-Patch liegt vor – aber noch nicht final

Ein Angreifer erhalte so Zugriff auf die Mail-App, könne bei Kenntnis einer Kernel-Schwachstelle aber auch das komplette iPhone oder iPad übernehmen, heißt es in dem Bericht. Die Lücken wurden an Apple gemeldet und der Hersteller hat diese in der Beta von iOS 13.4.5 inzwischen auch behoben, betont ZecOps, das Update ist aber noch nicht allgemein verfügbar. Man habe sich dazu entschieden, die Öffentlichkeit schon vor Freigabe des Apple-Patches zu informieren, da man bereits mehrere Angriffe auf Firmen und Einzelpersonen – darunter Manager, Journalisten und VIPs – protokolliert habe. Angreifer seien sich vermutlich bewusst, dass Apple die Lücken bald schließen wird, deshalb könnten sie derzeit mit Hochdruck in größerem Umfang eingesetzt werden. ZecOps geht davon aus, dass die Schwachstellen seit vielen Jahren in iOS existieren und auch schon länger – unbemerkt – für gezielte Angriffe eingesetzt werden.

Opfer merken angeblich nichts

Dem Bericht zufolge merkt das Opfer meist nichts, möglicherweise komme es zu einer vorübergehenden Verlangsamung der Mail-App. Bei fehlgeschlagenen Angriffen könne man unter Umständen E-Mails mit dem Text „This message has no content“ finden – dieser kann aber auch im Normalbetrieb erscheinen, seit iOS 13 klagen Nutzer teils über erhebliche Probleme mit der Mail-App.

Nutzer sollten vorerst auf die Verwendung von Apple Mail verzichten und auf einen alternativen E-Mail-Client ausweichen.

15.04.2020

Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet entdeckt!

Hacker haben Login-Daten für den Videokonferenzdienst Zoom erbeutet – auf welche Weise ist noch unklar.

Eine vorsorgliche Passwort-Änderung ist ratsam.

Mitarbeiter der IT-Sicherheitsfirma Cyble wollen im Darknet und in einschlägigen Untergrundforen mehrere hunderttausend Zugangsdatensätze für den Videokonferenzdienst Zoom entdeckt haben. Die jeweils aus E-Mail-Adresse, Passwort im Klartext sowie (mindestens teilweise) aus Meeting-URL und sechsstelligem Zoom-Host-Key bestehenden Datensätze wurden demnach für weniger als einen US-Cent pro Stück gebündelt zum Kauf angeboten. In einigen Fällen hätten die Kriminellen sie auch kostenlos online gestellt. Erste Verkaufsaktivitäten will Cyble Anfang April beobachtet haben. Aus einem Artikel auf der IT-News-Website Bleeping Computer, deren Team mit den Forschern von Cyble sprach, geht hervor, dass Cyble mehr als 530.000 gestohlene Zoom-Accounts à 0,0020 US-Cent als „Komplettpaket“ kaufte, um seine Kunden vor der potenziellen Gefahr warnen zu können. Das Unternehmen habe die Echtheit der gekauften Daten validiert. Das Bleeping-Computer-Team überprüfte und bestätigte seinerseits manuell die Echtheit einer kleinen Teilmenge aus hunderttausenden weiteren Datensätzen.

Datenleck, Credential Stuffing oder …?

Da Zoom in der Vergangenheit schon mehrfach durch Sicherheitsmängel von sich reden machte, scheint der Gedanke an ein großes Datenleck naheliegend. Unter anderem blockiert Google seit einigen Tagen die Zoom-Software auf den Computern seiner Mitarbeiter, nachdem diverse Sicherheitslücken und Datenschutz-Probleme bekannt wurden. Bislang hat Zoom allerdings nichts über ein Datenleck verlauten lassen; die Antwort auf eine entsprechende Anfrage steht noch aus.

Eine vorsorgliche Passwort-Änderung ist ratsam.!!!!!!

06.04.2020

Lücken in Safari: Forscher übernimmt Kamera und Mikrofon bei Mac und iPhone

Ein Security-Spezialist hat über mehrere Lücken in Safari Kamera und Mikrofon übernommen. Der Exploit funtioniert in macOS und iOS, Updates sind veröffentlicht. Über mehrere Lücken in Apples Browser Safari lassen sich Kamera und Mikrofon des Systems übernehmen, wenn ein Benutzer auf eine entsprechend präparierte Website gerät – Bedingung ist lediglich, dass der Benutzer bereits einer legitimen Website (wie skype.com) vertraut und darüber den Zugriff auf die Kamera erlaubt hat. Die Schwachstellen lassen sich sowohl in macOS als auch in iOS ausnutzen, betreffen also alle Macs sowie iPhone und iPad. Der Security-Spezialist Ryan Pickren fand insgesamt sieben Lücken in Apples Browserengine WebKit, von denen er drei für sein Angriffsszenario kombinierte. Die Schwachstellen hat Apple inzwischen über Updates geschlossen.

WebKit patzt beim Parsen von URIs

Pickren fand insgesamt sieben Zero-day-Schwachstellen in Safari (mit den Kennzeichnungen CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 sowie CVE-2020-9787) und meldete sie an Apple. Drei davon kombinierte er in einer Weise, die es einer mit entsprechendem Schadcode präparierten Website (oder einem Banner auf einer unverdächtigen Website) erlaubt hätte, sich Safari gegenüber als vertrauenswürdige Website auszugeben. Hat der Benutzer bereits einer solchen Website (beispielsweise Skype oder Zoom) den Zugriff auf Kamera und Mikrofon erlaubt, könnte ein Angreifer somit auf das System zugreifen und den Benutzer ausspionieren.

Ausgangspunkt der Schwachstellen ist das nachlässige Parsen von URIs durch die Browserengine WebKit. Beim Speichern von vertrauenswürdigen Websites unterscheidet WebKit nicht zwischen abweichenden Origins. Die folgenden Beispiele fasst Safari alle unterschiedslos als „beispiel.de“ auf: http://beispiel.de , https://beispiel.de , http://www.beispiel.de , fake://beispiel.de. Pickren beschreibt die Lücken und wie er es schaffte, damit schließlich Kamera und Mikrofon bei Apple-Geräten zu übernehmen, in einem sehr detaillierten Blogbeitrag auf seiner Website. Darin zeigt er auch den Code für sein Proof of Concept am Beispiel von Safari 13.0.4. Die entdeckten Schwachstellen meldete Pickren im Dezember vergangenen Jahres an Apple.