Das Internet braucht mehr Katzen: Warum Sie Skype for Business unbedingt aktualisieren sollten

vulnerability

Schwachstelle in Skype for Business ermöglicht Denial-of-Service Angriff durch Emojis bei ungepatchten Clients. Unbedingt updaten!

Katzen im chat

Kommunikation ist der Schlüssel zum Erfolg, insbesondere in unserer schnelllebigen Zeit. Unternehmen setzen auf leistbare, digitale Technologien, um die Produktivität hoch zu halten und möglichst effizient mit Kundenanfragen umzugehen. Doch was würde passieren, wenn Sie keinen Zugriff mehr darauf hätten? Was, wenn Sie just in diesem Moment eine wichtige Telefonkonferenz für eine dringende Subvention starten wollten? Oder wenn Ihre Support-Mitarbeiter plötzlich keine Kundengespräche mehr annehmen können, um diese durch brenzlige Details ihrer Computerkonfiguration zu coachen?

Das wäre vermutlich nicht Ihr Lieblingstag.

Applikationssicherheit als Qualitätsmerkmal

Vor einiger Zeit entdeckte das SEC Consult Vulnerability Lab, eine Denial-of-Service-Schwachstelle (DoS) in Skype for Business und Lync 2013. Mit einer bestimmten Anzahl an Emojis könnte man den Empfänger der Nachricht effizient außer Gefecht setzen. Ein ähnliches Problem dürfte es bereits Anfang 2015 gegeben haben, als animierte Emoticons die CPU-Last der Skype-Benutzer förmlich explodieren ließen. Damals wie heute wurde die Problematik in nur einem Patch-Zyklus sofort thematisiert. Heute sind viele Softwareunternehmen leider viel zu träge, um auch nur annähernd so schnell reagieren zu können wie Microsoft.

Gefahrenabschätzung

Unternehmen sehen sich mit Herausforderungen intern wie extern konfrontiert. Mitarbeiter arbeiten schon lange nicht mehr von einem zentralen Firmenstandort aus, sondern sind auf der ganzen Welt verteilt. Um mit der steigenden Kundenerwartung nach permanenter Verfügbarkeit und Erreichbarkeit ohne große Umsatzeinbußen mithalten zu können, sind Tools wie Lync und Skype for Business in vielen Branchen schlichtweg unentbehrlich geworden. Im Februar 2012 – das ist eine halbe Ewigkeit im digitalen Zeitalter – war Lync bzw. Skype for Business bereits bei 90 der Fortune 100 und 70% der Fortune 500 im Einsatz. Bis zum Ende des Jahres 2018 wird erwartet, dass über 100 Millionen Menschen in Call-Centern, Support-Abteilungen und verteilten Teams mit dem Tool arbeiten werden.

Nachdem Skype for Business bereits jetzt sehr weit verbreitet ist, wurde ein Responsible-Disclosure-Prozess mit Microsoft eingeleitet, um die Schwachstelle zu beheben. Ein entsprechendes Update findet sich als kritischer Fix im Patch Tuesday von November 2018.

 

Wie funktioniert die DOS-Attacke in Skype for Business?

Ein (böswilliger) Sender schickt Ihnen eine Einladung zu einem Chat-Meeting oder kontaktiert Sie direkt über Skype for Business mit einer Unmenge an Emojis.  Spürbar wird es bereits ab 100 Emojis der Nachricht, bei 800 kommt Ihr eigener Skype-Client komplett zum Erliegen. So lange der Sender weiterhin Emojis schickt, bleibt Ihr Skype-Client unbenutzbar.

Risikoanalyse: bin ich betroffen?

Sie können natürlich unser Proof-of-Concept im zugehörigen Advisory  ausprobieren, wie Ihr Skype-Client reagiert, wenn er ein paar Hundert Emojis erhält. Wir würden jedoch eine einfache Alternative empfehlen, indem Sie überprüfen, ob folgende Voraussetzungen bei Ihnen zutreffen:

  • Skype for Business 2016 MSO (16.0.93).64-Bit oder älter
  • Lync 2013 (15.0) 64-Bit als Bestandteil von Microsoft Office Professional Plus 2013 oder älter
  • laufend auf einem Windows-Betriebssystem

 

Wie Sie sich dagegen schützen können

Bitte installieren Sie den aktuellen Patch für Skype for Business bzw. Lync von Microsoft (ebenso wie alle anderen Sicherheitsupdates, die Ihnen eventuell entgangen sind). Teilen Sie auch diesen Artikel mit Freunden und Kollegen, damit diese ebenfalls gewarnt sind und entsprechende Sicherheitsvorkehrungen treffen können:

Verringertes Risiko durch Patch Management

Wenn Sie in Ihrem Unternehmen für IT und/oder Security zuständig sind, brauchen wir Ihnen nicht zu erklären, wie wichtig kontinuierliches Patch Management (in der Theorie) ist. Wissen Sie auch, wie viel Umsatz es kosten würde, wenn Ihre Sales-Abteilung einem Denial-of-Service-Angriff zum Opfer fallen würde? Wie lange würde Ihre IT-Abteilung brauchen, die Attacke zu stoppen (ohne dabei wiederum die Verkaufs-Produktivität einzuschränken).

Während Sie eine überschlagsmäßige Rechnung dazu anstellen, bedenken Sie bitte auch, dass es nur zwei Tage gibt, an denen Sie die Sicherheit Ihres Firmennetzwerks nicht verbessern können: Gestern und morgen. Tatsächlich ist heute der beste Tag, um damit anzufangen, ein Netzwerk – und in der Grundeinstellung sind sie ausnahmslos unsicher – sicherer zu machen. Zögern Sie nicht, mit den Experten des SEC Consult Vulnerability Lab in Kontakt zu treten, um einen wichtigen Vorsprung bei der sicheren Systemverwaltung, beim Patch-Management und in weiterer Folge der Erkennung von Sicherheitsvorfällen zu erhalten.

 

Vorbeugende und überbrückende Sicherheitsmaßnahmen

Leider ist das Einspielen von aktuellen Softwareversionen oder Patches für viele Unternehmen, egal ob groß oder klein, keine triviale Angelegenheit. Tatsächlich sind 41% der Firmen, die Lync oder Skype for Business nutzen, eher „klein“ mit einem jährlichen Umsatz von unter 50 Millionen US$. Weitere 19% sind mittelgroß und nur 29% sind groß mit einem Umsatz von 1000 Millionen US$ oder mehr.

Sofern es für Sie nicht möglich ist, Ihr System mit dem neuesten Patch abzusichern oder Sie haben bereits das erste Phishing-Email mit einer Einladung zu einem „tödlichen“ Meeting in Ihrem Posteingang gesichtet, empfehlen wir folgenden Workaround (solange Ihr Programm noch reagiert):

  • Blockieren Sie den böswilligen Sender
  • Deaktivieren Sie Emojis in Skype komplett
  • Seien Sie sehr restriktiv mit den Privatsphäre-Einstellungen von Skype for Business, z. B. dass Sie nur von Personen kontaktiert werden dürfen, die sich bereits auf Ihrer Kontaktliste befinden. Sollte der Skype-Account einer Person von Ihrer Kontaktliste gehackt werden, nutzt Ihnen diese Einstellung freilich nichts.

Hinweis: Obige Maßnahmen wirken nur präventiv, d.h. bevor ein etwaiger Angriff gestartet hat und solange Ihr Programm noch auf Eingaben reagiert.

 

Weitere aktuelle Schwachstellen

Leser, die diesen Artikel gelesen haben, fanden auch folgende Schwachstellen interessant:

 

 

Der zugrundeliegende Research wurde von Sabine Degen im Auftrag des SEC Consult Vulnerability Lab durchgeführt und als Security Advisory veröffentlicht.