Tag-Archive for » Angriff «

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt.

Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen.

Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden.

Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

Angriff auf Tor-Nutzer mit Javascript

torBenutzer des Tor-Browsers werden aktuell aktiv über eine Zero-Day-Lücke angegriffen, die letztlich einen Fehler im Speichermanagement des zugrundeliegenden  Firefox-Browsers ausnutzt.

Eventuell sind auch Nutzer des Firefox-Browsers ohne Tor-Bundle betroffen. Die Sicherheitslücke soll es Angreifern erlauben, ihren Code auf dem Rechner der Tor-Nutzer auszuführen. Der vermutlich verwendete Schadcode wurde schon auf einer Tor-Mailingliste gepostet. Browser-Hersteller Mozilla arbeitet noch an einem Patch, um die Sicherheitslücke zu schließen.

Sicherheitsforscher weisen darauf hin, dass der verwendete Angriff einer Attacke aus dem Jahr 2013 sehr ähnlich ist. So schreibt Twitter-Nutzer @TheWack0lian„Es ist eigentlich fast exakt der gleiche Payload wie er im Jahr 2013 benutzt wurde.“

Damals hatte die Bundespolizei der USA, das FBI, einen Server, der mutmaßlich an der Verbreitung von Missbrauchsdarstellungen an Kindern beteiligt war, mit diesem Exploit infiziert, um einzelne Tor-Nutzer zu enttarnen.

Das neue Perl 5.22

Wie immer im Frühsommer ist mit Perl 5.22 eine neue Version der Skriptsprache verfügbar. Einige neue Operatoren und Regex-Funktionen bereichern Perl für den normalen Perl-Nutzer, der obendrein auch noch merkliche Optimierungen geniessen darf.

Nahezu alle Neuheiten sind zuschaltbar, entweder zusammen oder einzeln mit dem in eckigen Klammern eingefügten [Namen] und außerdem in vielen Fällen noch als experimentell markiert – dann geht es mit spitzen Klammern: <Namen>.

Die „perlpolicy“ regelt jetzt zwar eindeutig, wann aus Experimenten reguläre Funktionen werden, aber wichtige Features wie <signatures>, <smartmatch> und <switch> bleiben weiterhin experimentell.

Der Doppel-Diamant-Operator (<<>>) funktioniert wie der einfache (<>), nur bemüht er beim Einlesen der Dateien aus @ARGV ein open mit drei Parametern, wodurch Angriffsmöglichkeiten ausgeschlossen werden.

Weitere Details zu Perl 5.22 finden Sie u.A. bei Heise.

Bei Yahoo angesteckt?

wurmWer sich in der letzten Woche eine Infektion zum Beispiel mit dem Onlinebanking-Trojaner ZeuS eingefangen hat und sich fragt, wie das Biest auf den Rechner gekommen ist, könnte zu den Yahoo-Geschädigten vom Jahreswechsel gehören.

Ab Silvester verteilte Yahoo nämlich fast eine Woche lang indirekt über eingeblendete Werbebanner Schadsoftware verschiedene Schädlinge wie den schon genannten Trojaner.

Die IT-Sicherheitsfirma Fox-IT hat auf der Yahoo-Seite speziell präparierte Werbeanzeigen entdeckt, die Besucher auf Angriffsseiten eines Exploit-Kits umleiteten.

Auf diesen Seiten wurden die Rechner der Besucher dann durch Sicherheitslücken in älteren Java-Versionen angegriffen. Fand das Exploit-Kit ein Schlupfloch, hat es nach Angaben von Fox-IT diverse Schädlinge wie beispielsweise den Onlinebanking-Trojaner ZeuS auf dem Rechner des Opfers platziert.

Seit Ende letzter Woche ist Yahoo wieder sauber und kann wieder ungefährdet angesteuert werden.

DDoS-Angriffe werden für Kriminelle mit Javascript einfacher

Bisher wurden für DDoS-Angriffe auf Internetseiten entweder zentral über einen Kommandoserver gesteuerte Botnets oder aber DDoS-Programme wie das von Anonymous favorisierte Low Orbit Ion Cannon (LOIC), das jeder Mit-Angreifer vor dem Einsatz downloaden und dann die anzugreifende Adresse eingeben muss, eingesetzt.

Beim „Dankeschön“ für die Abschaltung von Megaupload und die Verhaftung von Kim Schmitz in der letzten Woche nutzte die Hackergruppe eine neue Javascript-Variante für den DDoS-Angriff. Wer immer die entsprechend präparierte Seite aufrief, sendete damit massenweise http-Anfragen an den schon voreingestellten anzugreifenden Internetserver. Es können also auch Leute an dem Angriff teilnehmen, die sich dessen überhaupt nicht bewusst sind.

Diese Methode dürfte auch bald bei den immer häufigeren DDoS-Angriffen zur Erpressung von „Lösegeld“ über Ucash auftauchen.

Category: Javascript  Tags: , , , , , ,  Comments off

Die Lilupophilupop-SQL-Injection

SQL-Injections gehören im Internet-Zeitalter zu den größten Schwachstellen von Servern. Dabei werden Sicherheitslücken der Komponenten ausgenutzt, um über die Datenbanksprache SQL  eigene Befehle an die Datenbank abzusetzen.

So eine Methode, die sogenannte Lilupophilupop.com-SQL-Injection, hatte nach einem Bericht des Internet Storm Center inzwischen schon bei über einer Million Webserver Erfolg. Die Anzahl infizierter Seiten steigt noch weiter. Anfang Dezember waren es erst 80 Websites. Allein in Deutschland sin aktuell 50.000 Sites betroffen.
Bei Lilupophilupop werden die Internetseiten so infiziert, dass dem Besucher Schadsoftware untergeschoben wird. Ob die eigenen Seiten auch betroffen sind, kann man mit einer Suche nach der Zeichenkette “ <script src=http://lilupophilupop.com“ in Verbindung mit dem site:-Parameter leicht festgestellt werden. Erste Hilfe bringt die Sperrung der Domain lilupophilupop.com auf dem Server.

Der Angriff funktioniert auch nur, wenn man den Microsoft IIS als Server nutzt und dort auch noch ASP und die ColdFusion-Middleware von Adobe. LAMP-Server wie beim GSL-Webservice verwendet, sind gegen die Attacke sicher.

Category: Allgemein, MySQL  Tags: , , , , , ,  Comments off

Häufige Sicherheitslücken bei Webanwendungen

In einer vor Kurzem veröffentlichten Analyse des Open Web Application Security Projekts, kurz OWASP, wurden die häufigsten zehn Fehler in Webprogrammen und auch die dadurch erzeugten Schwachstellen dargelegt.

Im Jahr 2010 wurden als größtes Problem die Injection-Angriffe identifiziert.  Als nächstes folgen in der Liste das Cross Site Scripting und fehlerhaftes Anmeldungs- und Session-Management.

Hier die gesamte Fehlerliste der OWASP geordnet in der Reihenfolge der Häufigkeit ihres Auftretens:

  1. Injection
  2. Cross Site Scripting
  3. Broken Authentication and Session-Management
  4. Insecure Direct Object References
  5. Cross Site Request Forgery (CSRF)
  6. Security Misconfiguration
  7. Insecure Cryptografic Storage
  8. Failure to Restrict URL Access
  9. Insufficient Transport Layer Protection
  10. Unvalidated Transport Layer Protection

Der Report will auf diese Sicherheitsrisiken bei der Webprogrammierung hinweisen und vor allem die Entwickler von Webanwendungen für die typischen Fehler dieser Art bei der Programmierung sensibilisieren.

Category: Allgemein  Tags: , ,  Comments off