Letzte Woche hat das Google Project Zero-Team die Details einer Sicherheitsanfälligkeit in Windows 10 bekannt gegeben, die es einem Angreifer ermöglicht, Systemberechtigungen auf dem Computer eines Opfers zu erlangen.
Das Überraschende an dem Problem ist, dass es bei einem echten Angriff in Kombination mit einer anderen, kürzlich ebenfalls gefundenen Sicherheitslücke im Google Chrome-Browser verwendet wurde. Sie fanden einen Fehler im FreeType-Font-Handler (bereits geschlossen), der es ermöglichte, aus der Sandbox zu entkommen. Eine Reihe von Sicherheitslücken machten ein solches Szenario möglich: Das Opfer wird auf eine infizierte Webseite gelockt, Angreifer führen Code außerhalb der sicheren Umgebung des Browsers aus und eine Sicherheitslücke in Windows gibt ihnen die volle Kontrolle über das System.
Dieses Szenario ist spekulativ: Google gibt die Details des Angriffs selbst nicht bekannt. Gleichzeitig wendete das Project Zero-Team die Zero-Day-Offenlegungsregel für Sicherheitslücken an und gab Microsoft nur sieben Tage Zeit, um den Patch zu veröffentlichen. Zum Zeitpunkt der Veröffentlichung ist der Patch für Windows noch nicht verfügbar: Er wird höchstwahrscheinlich in den regulären Updates enthalten sein, die für den 10. November geplant sind. Traditionell gab es einen eher ätzenden Meinungsaustausch: Microsoft ist der Ansicht, dass das Sicherheitspersonal von Google die Veröffentlichung hätte tolerieren können. Project Zero ist zuversichtlich, dass die Anbieter dazu ermutigt werden, einen Patch schneller zu veröffentlichen - möglicherweise sogar außerhalb des Standardplans.
Quellen
Windows 10-Fehler: ArsTechnica- Artikel , technische Informationen .
Sicherheitslücke in Google Chrome: Technische Daten und Diskussion im Project Zero Bug Tracker.
Sicherheitsanfälligkeit CVE-2020-117087 betrifft mindestens Windows 10 und Windows 7. Es ist in einer der Systemfunktionen für die Datenverschlüsselung vorhanden. Ein Fehler in der Informationsverarbeitung verursacht einen Pufferüberlauf und schafft Bedingungen für die Ausführung von beliebigem Code mit Systemberechtigungen. Der technische Artikel zu Project Zero zeigt die Logik der anfälligen Funktion im Pseudocode und enthält auch ein PoC-Skript, das zum Absturz des Systems führt.
Die Sicherheitsanfälligkeit im Chrome-Browser betrifft höchstwahrscheinlich andere Browser, die auf der Blink-Engine basieren. Vielleicht nicht nur Browser: Der Fehler wurde im Code einer Drittanbieter-Bibliothek gefunden . Interessanterweise bestätigt Microsoft die aktive Ausnutzung der Sicherheitsanfälligkeit in Windows nicht, während Google etwas anderes glaubt. Wenn der eigentliche Angriff stattgefunden hat (Informationen darüber wurden nicht bekannt gegeben), war die erste Phase in jedem Fall der Chrome-Browser. Ein Schwachstellen-Patch in der FreeType-Bibliothek machte diese spezielle Angriffsmethode unmöglich. Dies schließt natürlich nicht aus, dass die Sicherheitsanfälligkeit in Windows auf andere Weise ausgenutzt werden kann.
Was sonst noch passiert ist:
Die Experten von Kaspersky Lab haben im dritten Quartal dieses Jahres einen Bericht über DDoS-Angriffe veröffentlicht. Die Gesamtzahl der Kampagnen ist im Vergleich zum vorherigen Zeitraum, in dem eine ungewöhnlich hohe Aktivität von Cyberkriminellen verzeichnet wurde, die offenbar mit einer Pandemie verbunden war, erheblich zurückgegangen.
Sophos hat eine Phishing-Technik für Facebook-Passwörter gemeldet , mit der versucht wird, die Zwei-Faktor-Authentifizierung zu umgehen. Den Benutzern wird angeboten (unter Androhung des Löschens der Seite), die angebliche Beschwerde wegen Urheberrechtsverletzung anzufechten. Auf einer gefälschten Konto-Anmeldeseite werden sie aufgefordert, einen Benutzernamen, ein Kennwort und einen Einmalcode einzugeben, um sich bei dem Konto anzumelden.
In Finnland sind die Daten von mindestens 300 Klienten des Vaastamo-Psychotherapiezentrums durchgesickert. Einige der Aufzeichnungen wurden veröffentlicht, einige Patienten erhielten Lösegeldforderungen in Höhe von etwa 200 Euro in Kryptowährung und drohten mit der Veröffentlichung sensibler Informationen. Zuvor versuchten Cyberkriminelle auf traditionelle Weise, Geld von der betroffenen Organisation zu bekommen - sie forderten fast eine halbe Million Euro von ihr.
Eine etwas weniger gefährliche Verwendung personenbezogener Daten ist ein Angriffauf Kundenkonten in der Restaurantkette. Die Konten einiger Clients wurden entführt, höchstwahrscheinlich durch die Methode des Ausfüllens von Anmeldeinformationen: Die Angreifer konnten das Kennwort erraten, da es in anderen bereits gehackten Diensten verwendet wurde. Das Ergebnis: der Verlust erheblicher Beträge, da Großaufträge im Auftrag der Kunden eingingen. Cyberkriminelle arbeiteten buchstäblich für Lebensmittel.
In der Veröffentlichung, Wordpress 5.5.2 Abschalten kritische Schwachstelle , dass die Kontrolle über eine ungepatchte Web - Site zu erhalten erlaubt. Dies ist ein seltener Fall eines schwerwiegenden Problems im CMS-Code, nicht bei Plugins von Drittanbietern.