Hier finden Sie die Top 10 der im Jahr 2023 vom SEC Consult Vulnerability Lab entdeckten Schwachstellen.
Von Schmugglern, Hummeln und Dinosauriern – und wie man die Weltherrschaft übernehmen kann
news
![[Translate to German:] handprint biometric authentication](/fileadmin/_processed_/f/d/csm_sec-consult-h-biometric-handprint-kl_2a37bd479f.jpg)
Umgehung der biometrischen Android-Authentifizierung
Sie sind heute immer und überall: Smartphone und Co. Das mobile Betriebssystem Android verwendet zum lokalen Schutz der Daten die biometrische Authentifizierung per FingerprintManager-API (in älteren Versionen) oder BiometricPrompt-API (seit Android 9). Mit einem Frida-Skript klinkte sich ein Experte des Vulnerability Lab in die authenticate-Methode der BiometricPrompt-API ein, um einen Authentifizierungsversuch zu erkennen. Innerhalb des Hooks macht das Skript dann einen Rückruf an onAuthenticationSucceeded, um eine erfolgreiche Authentifizierung auszulösen. Zwar sind die Hürden für einen potenziellen Angreifer ziemlich hoch, denn er muss Root-Rechte auf dem Gerät des Opfers haben oder das Opfer zur Installation einer modifizierten Version einer App mit unzulässiger biometrischer Authentifizierung überreden sowie physischen Zugriff auf das Gerät haben, dennoch wäre mehr Sorgfalt von Seiten der Hersteller zu wünschen.
Researcher: Leonard Eschenbaum
Mehrere Sicherheitslücken in m-privacy TightGate-Pro
TightGate-Pro ist ein Remote-Controlled Browser System (ReCoBS), das nicht auf den eigenen Geräten, sondern auf einem Remote-Server läuft, auf den per VNC zugegriffen werden kann. Das soll verhindern, dass das Host-Gerät des Nutzers angegriffen werden kann. SEC Consult-Experten entdeckten mehrere Schwachstellen im Server, die es Angreifer:innen ermöglichen, die VNC-Sitzungen anderer Benutzer:innen einzusehen, die VNC-Sitzung mit Keyloggern zu infizieren und interne Phishing-Angriffe zu starten. Außerdem kann ein TightGate-Pro-Administrator bösartige PDFs auf den User:innen-Endpunkt pushen. Die nur über einen SSH-Tunnel erreichbaren Update-Webserver sind zudem stark veraltet, sie stammen aus dem Jahr 2003. Gelöst werden kann das Problem mit der Installation von „Prestable“-Paketen oder mprivacy-tools_2.0.406g, tightgatevnc_4.1.2~1 und rsbac-policy-tgpro_2.0.159, wenn sie als Hotfix verfügbar sind.
Researcher: Daniel Hirschberger, Steven Kurka, Marco Schillinger
![[Translate to German:] typing on smartphone](/fileadmin/user_upload/sec-consult/Dynamisch/Blogartikel/2023_10/sec-consult-h-phone-computer-person.jpg)
Bei Anruf Diebstahl „dank“ modernen Telefonbetrugs
Im Vulnerability Lab wurde im Vorjahr auch eine Mobile-Banking-Anwendung bewertet, die die Möglichkeit bietet, Telebanking-Funktionen über Telefonanrufe zu nutzen. Im begleitenden Blogbeitrag beschreiben die Forscher, wie sie die mit impliziten Intents verbundenen Gefahren untersuchten und sich dabei auf ein spezifisches Szenario konzentrierten, bei dem eine bösartige App sensible Daten abfängt, die während eines Telefonanrufs über DTMF-Signale übertragen werden. Durch diese Schwachstelle können Betrüger:innen unauffällig Geldtransaktionen von bis zu 5.000 € im Namen anderer Nutzer:innen durchführen. Neben den finanziellen Schäden besteht auch die Gefahr von Identitätsdiebstahl durch einen Angriff über diesen Vektor.
Researcher: Fabian Densborn and Leonard Eschenbaum
![[Translate to German:] Burp Collaborator](/fileadmin/_processed_/4/0/csm_sec-consult-h-Burp_Collaborater_34262af164.png)
DNS Analyzer - Detecting DNS vulnerabilities with Burp Suite
Das Team von SEC Consult analyisiert DNS-Schwachstellen in Webapplikationen mit der Erweiterung der Pentest-Anwendung Burp Suite. Unser Sicherheitsexperte Timo Longin hatte bereits den DNS Analysis Server entwickelt, der eine feinkörnige DNS-Analyse ermöglicht: ein großartiges Tool, das aber die Einrichtung einer eigenen Domain, eines Servers usw. benötigt. Schlanker ist die neue Burp-Suite-Erweiterung zum Aufspüren von DNS-Schwachstellen in Webanwendungen – im Blogbeitrag dazu gibt es eine genaue Anleitung, wie das am besten geht. Auch wenn die Bug-Bounty-Jagd nun einfacher ist, sollte eine DNS-Schwachstelle erst dann gemeldet werden, wenn die Infrastruktur in den Anwendungsbereich des Bug-Bounty-Programms fällt und die problematische Stelle durch eine eingehende DNS-Analyse bestätigt wurde.
Researcher: Timo Longin
![[Translate to German:] Velociraptor](/fileadmin/user_upload/sec-consult/Dynamisch/Blogartikel/2023_04/sec-consult-h-velociraptor-bumblebee.jpg)
Hummeljagd mit einem Velociraptor
Ein Experte des SEC Defence-Teams analysierte BumbleBee, eine Malware, die von Cyberkriminellen hauptsächlich für Datenexfiltration missbraucht wird und für Ransomware-Vorfälle bekannt ist. Sie wird in der Regel über bösartige ISO-Images verbreitet und nutzt Thread-Hijacking-E-Mails, um die Opfer zum Herunterladen und anschließenden Öffnen der ISO-Datei zu verleiten. Dazu verwendete unser Researcher Detektionsmethoden, die dabei helfen können, eine Infektion bereits im Anfangsstadium zu erkennen und somit weitere bösartige Aktivitäten, die von BumbleBee ausgehen, zu verhindern. Sie beruhen auf Open-Source-Tools (z. B. Velociraptor) und -Regeln (z. B. Yara, Sigma) und können daher von jedem Unternehmen bzw. auch der breiten Öffentlichkeit genutzt werden. Da BumbleBee in enger Beziehung zu anderen Malware-Familien wie Emotet oder IcedID und Ransomware-Gruppen steht, ist eine proaktive Suche nach BumbleBee-Aktivitäten sinnvoll, um auch andere bösartige ausführbare Dateien zu erkennen.
Researcher: Angelo Violetti
Sicherheitslücke durch Argument Injection in mehreren Atos Unify OpenScape-Produkten
Unify, das Collaboration-Tool von Atos, war Gegenstand eines weiteren kritischen Blicks eines Kollegen aus dem Vulnerability-Lab. Er entdeckte in der administrativen Weboberfläche der Atos Unify OpenScape-Produkte „Session Border Controller“, „Branch“ und „BCF“ eine kritische Argument-Injection-Schwachstelle. Dabei kann durch Manipulation der Eingabeparameter ein nicht authentifizierter Angreifer über SSH einen Root-Zugriff auf die Anwendung erlangen, die Authentifizierung in der administrativen Schnittstelle umgehen und als beliebiger (administrativer) Benutzer Zugriff erhalten. Der Hersteller stellte einen Patch für die betroffenen Produkte zur Verfügung, dies betrifft Atos Unify OpenScape Session Border Controller Firmware Version V10 >=R3.4.0; Atos Unify OpenScape Branch Version V10 >=R3.4.0 sowie Atos Unify OpenScape BCF Version V10 >=V10R10.12.00 und V10R11.05.02.
Researcher: Armin Weihbold
![[Translate to German:] Tablet and pen](/fileadmin/_processed_/8/e/csm_sec-consult-h-tablet-pen_aff7774fd5.jpg)
Visuelles Spoofing von Signaturen in PDFs
Ein SEC Consult-Mitarbeiter befasste sich in seiner Bachelorarbeit mit der Frage, ob es möglich ist, das Verhalten und das Aussehen von signierten Dokumenten zu imitieren, indem man die interaktiven Möglichkeiten von PDFs nutzt. Er untersuchte die aktuellen Implementierungen der PDF-Spezifikation und testete das Spoofing visueller Signaturen mit den häufig verwendeten Anwendungen Adobe Acrobat Reader DC, Foxit Reader und Okular, die Bewertung erfolgte auf Windows 10. Das Ergebnis: Kern der Bedrohung war die Art der Nutzung von JavaScript im Adobe Acrobat Reader DC, die eine glaubhafte visuelle Signaturfälschung ermöglichte. Durch die eingeschränkte Unterstützung von JavaScript in den anderen Anwendungen waren diese weniger angreifbar. Am einfachsten lässt sich das Spoofing von visuellen Signaturen erkennen, wenn die PDF-Datei mit deaktiviertem JavaScript in den Anwendungseinstellungen angezeigt wird. Wenn Sie auch ein Gefühl für das Spoofing visueller Signaturen bekommen wollen, können Sie das auch selbst mit unserem Proof-of-Concept-Spoofing für Adobe Acrobat Reader DC herausfinden, das auf unserem Blogbeitrag zum Download zur Verfügung steht.
Researcher: Tobias Friese
![[Translate to German:] Glitching Setup](/fileadmin/user_upload/sec-consult/Dynamisch/Blogartikel/2024_01/Figure_2_Glitching_setup_Logo.png){kind=logo}
SECGlitcher (Teil 1): Reproduzierbares Voltage Glitching auf STM32-Mikrocontrollern
Mit dem sogenannten Voltage Glitching wird bei Hardware-Sicherheitstests versucht, den normalen Betrieb eines Geräts zu umgehen oder zu verändern, indem eine Störung oder eine kurze, aber präzise Unterbrechung in die Versorgungsspannung injiziert wird. Um herauszufinden, wie das Verfahren für Sicherheitsbewertungen zugänglicher und nutzbarer gemacht werden kann, widmeten sich zwei Kollegen der STM32-Mikrocontroller-Serie, die für ihre Vielseitigkeit und Erschwinglichkeit bekannt ist und daher häufig in IoT-Produkten eingesetzt wird. Da die Nachbildung von Glitches vor allem wegen der Verwendung von kundenspezifischer Hardware und oft unveröffentlichten Glitching-Parametern und Setups schwierig sein kann, entwickelte das Team den SECGlitcher, durch dessen Einsatz gezeigt werden konnte, dass die STM32-Serie als unsicher angesehen werden muss, selbst wenn Ausleseschutzmaßnahmen aktiv sind.
Researchers: Gerhard Hechenberger and Steffen Robertz
![[Translate to German:] DNS](/fileadmin/_processed_/b/c/csm_image-2023-11-19_21-13-19_03b8b520c8.png)
TRAP; RESET; POISON; – wie man ein Land im Kaminsky-Stil übernimmt
Im Rahmen eines Forschungsprojekts des SEC Consult Vulnerability Lab wurde eine exotische DNS-Cache-Poisoning-Schwachstelle entdeckt, durch die die DNS-Namensauflösung eines ganzen Landes hätte manipuliert werden können. Das DNS ist 16 Jahre nach Dan Kaminskys Entdeckung einer grundlegenden Schwachstelle immer noch ein wichtiger und manchmal anfälliger Teil der Internet-Infrastruktur. Wenn die Angriffskette von TRAP; RESET; und POISON; durchlaufen wurde, bieten sich den Cyberkriminellen viele Möglichkeiten zur Attacke wie etwa Denial of Service (DoS), die Umleitung von Datenverkehr zu einem Angreiferserver, E-Mail-Spoofing oder die Umgehung der Domänenüberprüfung.
Researcher: Timo Longin
Siemens-A8000-Prozessormodul: Mehrere Schwachstellen inklusive nicht authentifizierter Remote-Code-Ausführung
Forscher des Vulnerability Lab stellten fest, dass Siemens A8000 CP-8050 und CP-8031 PLCs von einer Remote Code Execution-(RCE-)Schwachstelle betroffen sind. Durch das Senden einer manipulierten HTTP-Anfrage an den Siemens Toolbox II-Port 80/443 können beliebige Befehle ohne vorherige Authentifizierung ausgeführt werden. Dies führt zu einer vollständigen Kompromittierung des Geräts und kann dessen Betrieb beeinträchtigen. Darüber hinaus kann jede:r Benutzer:in, die oder der Zugriff auf die SICAM-WEB-Oberfläche hat, Systembefehle einschleusen, die als „root“ über die Diagnosefunktion Ethernet Package Capture ausgeführt werden. Auch ein „root“-Passwort-Hash ist auf allen Geräten fest einprogrammiert. Mit einem Update auf die Firmware CPCI85 V05 oder eine neuere Version kann die Schwachstelle beseitigt werden. Umgehen lässt sich das Problem durch die Einschränkung des Netzwerkzugriffs auf das Modul A8000 CP-8050/CP8031 oder die Deaktivierung der Toolbox-II-Kommunikation an Port 80/443. Zusätzlich sollte der physische Zugriff auf die PLC während und auch nach ihrem Lebenszyklus streng begrenzt werden.
Researchers: Stefan Viehböck, Christian Hager, Steffen Robertz, Gerhard Hechenberger, Gorazd Jank, Constantin Schieber-Knoebl
![[Translate to German:] SMTP Smuggling](/fileadmin/_processed_/a/8/csm_SMTP_Smuggling-Overview_Header_7787744911.png)
SMTP Smuggling ermöglicht weltweites E-Mail-Spoofing
Der Gewinner des Jahres der Top-10-Heldentaten des SEC Consult Vulnerability Lab ist eindeutig die Entdeckung einer neuartigen Exploit-Technik zum Fälschen von E-Mails, die gezielte Phishing-Angriffe ermöglicht. Damit belegte SEC Consult auch Platz 3 unter den PortSwigger Top 10 der Web-Hacking-Techniken des Jahres 2023. Interpretationsunterschiede des SMTP-Protokolls ermöglichen es, gefälschte E-Mails zu schmuggeln bzw. zu versenden – daher die Bezeichnung SMTP Smuggling – und dennoch SPF-Abgleichsprüfungen zu bestehen. Das Problem betrifft Infrastrukturen bekannter Dienste wie Microsoft Exchange Online und Ionos und führt dazu, dass E-Mails von Millionen von Domänen geschmuggelt werden können. Zwar haben Microsoft und GMX dieses Problem umgehend gepatcht, doch SMTP Smuggling zu Cisco Secure E-Mail-Instanzen sind mit den Standardkonfigurationen immer noch möglich. Wie die Standardkonfigurationen sicher gemacht werden können, erfahren Sie im Blogbeitrag.
Researcher: Timo Longin
