Diese Sicherheitswarnung ignorieren? – #secuthursday KW 13/2015

Header-Logo Sicherheit am Donnerstag

Diese Woche: Warum auch Sicherheitswarnungen Aufmerksamkeit beim Design erhalten sollten, ein BIOS-Rootkit namens LightEater und Sicherheitslücken in Drupal.

BIOS-Rootkit LightEater

War ein Rechner mit einem Trojaner oder Bootkit infiziert, half bisher ein Live Linux, welches ausschließlich im RAM läuft, oder der Austausch der befallenen Festplatte. Auch sichere Betriebssysteme wie Tails laufen ausschließlich im RAM, um sich vor Schädlingen auf der Festplatte zu schützen.

Auf der CanSecWest-Konferenz stellten die beiden Forscher Corey Kallenberg und Xeno Kovah nun einen Schadcode vor, der sich im BIOS des Rechners einnistet und diese Sicherheitmaßnahme aushebeln kann. Der LightEater genannte BIOS-Rootkit benötigt eine Windowsinstallation und Adminrechte, um bestehende UEFI-Lücken auszunutzen und Sicherheitsmechanismen zu umgehen, die ein unbefugtes flashen eigentlich verhindern sollten. Problematisch: Der Code vieler BIOS ähnelt sich und Rechner werden selten auf die neuste Version gepatcht.

Einmal aktiv, benutzt er den sogenannten System Management Mode (SMM), um unabhängig vom Betriebssystem Befehle auszuführen. Dieser Modus ermöglicht den vollen Zugriff auf den RAM-Inhalt, was das Abschöpfen wertvoller Informationen auch aus vermeintlichen sicheren Systemen ermöglicht. Die einzige Gegenmaßnahme stellt derzeit ein BIOS-Flash mit einer sauberen und aktualisierten Version dar. Einige Hersteller sollen schon an Updates arbeiten, berichtet heise security.

Polymorphe Sicherheitswarnungen gegen gelangweilte Nutzer

Wer häufig dieselbe Warnmeldung erhält, schenkt deren Inhalt immer weniger Beachtung. Zu diesem Ergebnis kommt eine Studie von Forschern der Universitäten Brigham Young, Pittsburgh und einem Google-Mitarbeiter.

Mit Hilfe der funktionellen Magnetresonanztomographie (fMRT) wurde die Aufmerksamkeit in den Hirnregionen von Testprobanden gemessen. Dabei erhielten gleich aussehende Meldungen eine abnehmende Aufmerksamkeit, während leichte Änderungen das Gehirn zu neuen Erkennungsphasen anregten.

Ähnlich der immer gleichen Werbeeinblendung, können Sicherheitsmeldungen uninteressant werden und ohne wirkliche Inhaltserfassung weggeklickt werden. Programmierer sollten darauf achten, dass sich wichtige Warnungen deutlich von Statusinformationen unterscheiden und dynamische Elemente enthalten, die das Gehirn zur einer Neuerkennung anregen. Der positive Nebeneffekt: Scam-Warnungen könnten in Ihrer Effektivität eingeschränkt werden.

Drupal-Update schließt zwei Sicherheitslücken

Das weltweit beliebte Content Management System Drupal schließt mit den neuen Versionen 6.35 und 7.35 zwei als moderat eingestufte Sicherheitslücken. Die erste Schwachstelle ermöglicht Angreifern unter bestimmten Umständen den Zugriff auf Nutzerkonten, ohne deren Passwort zu wissen. Die zweite Lücke (open redircet vulnerability) bezieht sich auf die Ziel-URL -Parameter, welche bei Ausführung einiger Aktion generiert werden, um den Nutzer auf folgende Seiten weiterzuleiten. Diese Ziele könnten präpariert werden und den Nutzer auf schädliche Seiten Dritter umleiten, so der Drupal-Security-Advice.

XSS-Lücke in Yoast Google Analytics-Plugin für WordPress

Letzte Woche das SEO-Plugin, diese Woche das Pendant für Google Analytics – Nutzer der Yoast-Plugins für WordPress sollten Ihre Installationen unbedingt überprüfen. Jouko Pynnönen von Klikki Oy entdeckte eine XSS-Lücke, welche es ermöglichte, JavaScript- oder HTML-Code  in WordPress Administrator Dashbord zu hinterlegen und so das Administrator-Konto zu übernehmen, bzw. das Plugin mit einem fremden Google Analytics Konto zu verbinden.

Letzte Aktualisierungen

Firefox vor Version 36.0.3 und ESR 31.5.2. und SeaMonkey vor V. 2.33.1 beinhalten Möglichkeiten zur Remote Code Execution. Quelle 1 & Quelle 2

Red Hat JBOSS Web Framework Kit Version 2.7.0.0 erlaubt expression language injection über „do“-Parameter – Update verfügbar. Quelle

 

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.