Zuvor waren beim Wettbewerb Pwn2Own 2016 bereits Lücken in den Browsern Chrome und Safari aufgezeigt worden. Im Windows-10-Browser nutzten die Sicherheitsforscher zwei bislang unbekannte Lücken aus. Sie erlauben in Kombination mit zuvor ebenfalls unbekannten Windows-Schwachstellen die Ausführung von Schadcode.
In den Browsern Chrome und Safari wurden neue Schwachstellen aufgezeigt. Am ersten Tag des Wettbewerbs zahlten die Veranstalter HPE und Trend Micro für insgesamt 15 neu entdeckte Sichehreitslücken 282.500 Dollar. Die erlauben allesamt das Ausführen von Code mit Root- oder System-Rechten.
Das kostenlos verfügbare Themenpapier richtet sich an professionelle Anwender und IT-Verantwortliche in Firmen, Behörden und anderen Einrichtungen. In ihm werden konkrete Handlungsempfehlungen und Hilfestellungen für die Vorbeugung sowie angemessen Reaktion im Fall eines erfolgreichen Angriffs gegeben.
Auch zehn Tage, nachdem die Lücke bekannt wurde, durch die sich SSL/TLS-Verbindungen knacken lassen, haben viele Anbieter noch nicht angemessen reagiert. Einer Analyse von Skyhigh Networks zufolge waren von den zunächst betroffenen 653 Cloud-Diensten 620 sieben Tage später immer noch anfällig.
Werden speziell präparierte Medieninhalte durch Anwender geöffnet, bekommen Angreifer womöglich dessen Benutzerrechte. Das kann eine Remotecodeausführung zur Folge haben. Alles in allem gibt Microsoft zum März-Patchday 13 Sicherheits-Updates heraus, fünf davon beheben als “bedrohlich” eingestufte Lücken.
Diese Mails sind als offizielle Warnung vor der Ransomware Locky getarnt. Im Anhang enthalten sie eine EXE-Datei mit dem Namen “BKA Locky Removal Kit”. Dabei handelt es sich tatsächlich aber um einen Trojaner. Die Fake-Mails sind mit “Steven Braun (IT-Beauftragter) Bundeskriminalamt” unterzeichnet und dem Logo der Behörde versehen.
In erster Linie sind davon CPUs der Sandy-Bridge-Generation betroffen. Die Überwachung von Cache-Zugriffen erlaubt es ihnen, 2048-Bit- und 4096-Bit-RSA-Schlüssel auszuspähen. OpenSSL verteilt bereits seit Anfang März einen Patch für die Lücke.
Konkret handelt es sich um die Firebox-Neuvorstellungen M4600 und M5600. Sie verfügen über redundant ausgelegte Stromversorgungen sowie eine Möglichkeit zur modularen Anbindung von LAN-Ports. Dadurch eignen sie sich laut Hersteller als zentrales System in Hub-and-Spoke-Umgebungen.
Die Apps ahmen populäre Spiele wie Subway Surfer, Candy Crush Saga oder Grand Theft Auto sowohl bei Icon als auch Design und Beschreibung nach. Nutzer werden mit vermeintlich kostenlosen Versionen der Original-Apps gelockt. Allerdings dienen die gefälschten Apps dazu, Porno-Webseiten aufzurufen.
Die Lücken sind auf unzureichende oder veraltete Verschlüsselungsalgorithmen oder den Einsatz ungeeigneter oder unsicherer Zertifikate zurückzuführen. Ein kostenloser Test zeigt, ob der eigene E-Mail-Provider sichere SSL-Verbindungen nutzt.
Das geht aus einer Studie der MobileIron-Forschungsabteilung hervor, die in ihrem Sicherheits-Report das vierte Quartal 2015 beleuchtet. Zu den weiteren Ergebnissen zählt, dass die Zahl der durch Jailbreaks respektive Roots manipulierten iOS- und Android-Geräte in Firmen um 42 Prozent gestiegen ist.
Der von Kaspersky entdeckte Schädling nimmt nahezu 50 Android-Apps für Online-Banking und Online-Bezahlen ins Visier. Zudem richtet er sich mittels Phishing-Fenstern gegen Messenger wie WhatsApp und Social Networks wie Facebook. Als Urheber werden erfahrene und vermutlich russischsprachige Kriminelle vermutet.
Die Hintermänner der Ransomware Locky agieren ähnlich wie bei der Dridex-Malware und sind möglicherweise dieselben. Ein Schwerpunkt ihrer Aktivitäten liegt auf Deutschland. Sie missbrauchen dazu Adressdaten echter Firmen, um die Glaubwürdigkeit zu erhöhen.
Die EU-Behörde führt als Beispiele die Sicherheitslücken Freak und Logjam an, die aufgrund schwacher Verschlüsselung in Exportprodukten ausgenutzt werden konnten. Die könne aufgrund der gestiegenen, günstig verfügbaren Rechenleistung inzwischen sogar von Einzelpersonen geknackt werden.
Der Übergang von ISDN zur IP-Telefonie ist in vollem Gange. Durch Verschlüsselung bietet letztere trotz aller Bedenken eine höhere Sicherheit als die herkömmliche Telefonie, meint Christian Ebert von QSC im Expertenbeitrag für ITespresso.
Der Hersteller hält sie zwar nicht für so gravierend, wie sie die Entdecker von Googles Project Zero einstufen, will aber dennoch Patches bereitstellen. Allerdings kann das noch drei bis vier Wochen dauern. Die Lücken stecken in der Privatanwenderversion von Malwarebytes Anti-Malware.
Die neu eingeführte 700er-Serie besteht aus den zwei Modellen 730 und 750 mit 100 respektive 200 MBit/s Durchsatz sofern alle Sicherheitsfunktionen aktiviert sind. Sie richten sich an Büros mit bis zu 100 Mitarbeiter und kosten 499 beziehungsweise 799 Dollar. Bei Bedarf lassen sie sich mit WLAN (802.11ac) aufrüsten, optionale VDSL-Konnektivität soll bis Sommer folgen.
Das geht aus einer von Palo Alto Networks beauftragten Studie hervor, für die Angehörige der Hacker-Community befragt wurden. Der Jahresgewinn beträgt im Schnitt weniger als 30.000 Dollar. Die meisten Hacker geben zudem schnell auf, wenn sie nicht an hochwertige Daten gelangen.
Nach einiger Verwirrung darüber, welches nun genau das richtige Datum ist, scheint sich allmählich der 1. Februar durchgesetzt zu haben. Experten raten allerdings, Passwörter mehr als einmal im Jahr zu wechseln. Noch viel wichtiger ist ihnen aber, dass künftig mehr Nutzer sichere Passwörter wählen.
Einem NSA-Vertreter zufolge spielen die vieldiskutierten unbekannten Sicherheitslücken für die Arbeit des Geheimdienstes eine untergeordnete Rolle. Ein wirklich wichtiger Angriffspunkt seien beispielsweise privat genutzte Firmencomputer. Zudem übe man sich in Geduld, um letzendlich zum Ziel zu kommen.
Die Sicherheitslücke entsteht dadurch, dass die Versionen 2.0 bis 2.3 des Intel Driver Update Utility eine unsichere Verbindung zur Kommunikation mit Intels Servern herstellen. Ein Angreifer könnte sich daher dort per Man-in-the-middle-Angriff einklinken. So ließe sich Malware auf das angegriffene System zu schleusen.
Es hat nun den Verkauf der Firewall-Produktreihe Stonesoft und der Proxy-Firewalltechnologie Sidewinder an die Firma Raytheon Websense abgeschlossen. Die führt sie mit ihren bisherigen Angeboten zusammen und benennt sich in Forcepoint um. Mehrere im SaaS-Modell erbrachte Security-Dienste hatte Intel bereits im Oktober abgekündigt.
Sie betrifft zahlreiche Linux Distributionen, darunter Ubuntu, sowie auch Mac OS X. Ein Angreifer ist in der Lage, den Speicher eines SSH-Clients auszulesen. OpenSSH-Nutzer sollten sich beeilen, einen Patch einzuspielen, da der Sicherheitsanbieter Qualys schon Beispielcode für einen Exploit freigegeben hat.
Der anfällige Code steckt in einem Authentifizierungsprozess. Unter Ausnutzung der Schwachstelle ist es möglich, aus der Ferne auf einen Server mit Fortinets Software FortiOS zuzugreifen. Laut Hersteller wurde die Lücke aber bereits 2014 von ihm selbst erkannt und geschlossen.
Insgesamt stehen mit dem Januar-Patchday neun Sicherheitsaktualisierungen zur Verfügung. Sechs Updates schließen schwerwiegende Lücken in Internet Explorer, Edge, Office und Windows. Darüber hinaus gibt es Patches für Windows 8 und läuft der Mainstream-Support für Windows 7 aus.
Gegebenenfalls war ein Angreifer dadurch in der Lage, Schadcode einzuschleusen und auszuführen. Laut Tavis Ormandy legte der Passwortmanager gegenüber Dritten überdies sämtliche Passwörter offen. Obwohl mittlerweile ein Patch verfügbar ist, bewertet Ormandy das Werkzeug weiterhin als unsicher.
Informatikern der Universität Trier zufolge konnten sich bei Angeboten, die das weitverbreitete Verfahren verwenden, Unbefugte Zugriff auf Benutzerkonten und persönliche Daten verschaffen. Die zuständige IETF -Arbeitsgruppe hat ein Krisentreffen einberufen. Der Standard OAuth wurde inzwischen angepasst.
Sie greift ebenso wie ihre seit November 2015 kursierenden Vorgänger in erster Linie Webserver an, verschlüsselt sie und fordert Lösegeld. Bitdefender sind bislang über 600 Opfer bekannt. Das kostenlos verfügbare Entschlüsselungs-Tool des Herstellers funktioniert jedoch auch bei der neuen Version der Malware.
Unbefugte hätten dadurch auf Kosten von O2-Kunden mit VoIP-Anschlüssen telefonieren können. Sie benötigen dafür lediglich deren IPv4-Adresse. Laut O2 wurde die Lücke bislang nicht ausgenutzt. Eine weitere soll im Laufe des ersten Quartals 2016 vollständig geschlossen werden.
Viele Organisationen versäumen es immer noch, ihr geistiges Eigentum ausreichend zu schützen. Die Nutzung mobiler Geräte bringt zudem zusätzliche Probleme mit sich. Eine aktuelle Studie zeigt, dass aufgrund ihrer priveligierten Position insbesondere Führungskräfte gefährdet sind.
