Freak, LNK und Rowhammer – #secuthursday KW 11/2015

Header-Logo Sicherheit am Donnerstag

Diesen Donnerstag: Die Welt ist wieder ein Stück sicherer, Microsoft patcht ein Problem, welches sie 2010 gelöst haben und der Beweis, dass nicht nur Pfannkuchen und Skateboards geflippt werden können.

Die letzten 7 Tage blieb es vergleichsweise ruhig und die Ticker lieferten eher erfreuliche Nachrichten über schnelle Patches für FREAK sowie das Vorhaben der Bundesregierung 180 Millionen Euro in IT-Sicherheit zu investieren. Des Administrators Freud‘ müsste das Leid der #secuthursday-Autoren sein – ist es aber nicht. Wir freuen uns stattdessen über Platz für grundlegende Forschung im Bereich Hardwaresicherheit.

1. Freak – Patches verfügbar

Seitdem wir letzte Woche über die FREAK-Lücke berichteten, waren die Hersteller der wichtigsten Betriebssysteme nicht untätig: Apple aktualisierte iOS auf Version 8.2 und behob damit auch vorhandene Fehler on iCloud Keychain, IOsurface sowie im Springboard. Für OS X (Lion, Mavericks und Yosemite) behebt das Security Update 2015-002 unter anderem die Schwachstelle mit den Export-Ciphern.

Google hatte schon letzte Woche begonnen, Patches an die Hersteller zu verteilen. Hier sind diese in der Pflicht Firmwareaktualisierungen an ihre Geräte auszuliefern.

Obwohl an der Entdeckung der Lücke beteiligt, ging Microsoft davon aus, dass seine Produkte nicht betroffen seien. Ein Irrtum, der schnell korrigiert wurde. Mit dem Patchday am 10.03.2015 wurde diese Sicherheitslücke (neben 54 weiteren) beseitigt. Nutzer von Windows Phones müssen sich noch gedulden, hier gibt es noch keine Lösung.

2. LNK-Lücke – Der Geist aus der Vergangenheit

Ein Patch im Jahr 2015, der ein 2008 entdecktes Problem löst, das von einem Patch aus dem Jahr 2010 nicht aus der Welt geschafft wurde. Der Fehler war nicht irgendeiner, sondern jene LNK-Lücke, welche z.B. von Stuxnet ausgenutzt wurde, um Industrieanlagen zu sabotieren. Über das HP Security Research Zero Day Initiative Team wurde nun entdeckt, dass der alte Patch nicht wirklich wirksam war. Da neben der LNK-Lücke mit dem letzten Patchday 54 weitere Sicherheitslöcher gestopft wurden, ist ein schneller Rollout auf allen Windows-System zu empfehlen. Bis jetzt scheinen auch keine Nebenwirkungen bekannt geworden zu sein, welche Microsoft in der Vergangenheit zwangen, Patches zurückzuziehen.

3. Rowhammer – Let the bit flip

Aus der Reihe interessante Entdeckungen, diesmal im Bereich Hardware: Forscher lassen Bits flippen, um an geschützte Speicherbereiche zu kommen und so höhere Rechte unter Linuxsystemen zu erlangen. Kurz erklärt: Moderne Speicherarchitektur ist so stark miniaturisiert, dass das Ansprechen einer Zelle immer die Nachbarzellen elektrisch beeinflusst. Mit dem Wissen wo sich systemrelevante Speicherbereichen befinden, penetrierten Forscher zwei andere Bereiche, welche diese Beeinflussung (flippen) im Zielbereich hervorrufen sollen. Am Ende der aufwändigen Prozedur lässt sich z.B. das System übernehmen oder eine Sandbox (in diesem Falle Chrome) verlassen.

Die wirklich lange Erklärung bietet z.B. Googles Project Zero, welche die oben genannten Forschungsergebnisse z.B. auf verschiedenen x86-Laptops genauer untersuchte. Systeme mit ECC-Speicherriegeln scheinen nicht betroffen zu sein, jedoch war die Anzahl der Systeme auch zu gering für generell haltbare Aussagen. Ein Testprogramm für eigene Versuche liefern die Forscher gleich mit. Im Fazit beschreiben sie die Möglichkeit für einen wirklich nutzbaren Exploit noch als gering, aber nicht unmöglich für die Zukunft. Hier seien die Hardwarehersteller gefragt, welche, analog den Softwareunternehmen, aktiv nach Löchern suchen müssten.

 

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.