Wordpress ist unbestritten das weltweit beliebteste Content Managementsystem für Blogs. Jetzt hat die US-IT-Expertin Yan eine neue Sicherheitslücke in Wordpress entdeckt: Der „wordpress_logged_in“ genannte Cookie wird demnach unverschlüsselt per HTTP zum jeweiligen Endgerät gesendet, von dem aus sich der legitime Anwender einloggt.
Dabei sollte die Eigenschaft “secure flag” bei sicherheitsrelevanten Cookies immer gesetzt sein, so dass sie niemals im Klartext gesendet werden. Die Folge: Erbeutet ein Angreifer den “wordpress_logged_in“-Cookie, kann er sich von beliebigen anderen Rechnern aus ohne weitere Anmeldedaten bei einem Wordpress-Blog einloggen.
Und der Cookie wird auch nicht ungültig, wenn sich der tatsächliche Besitzer ein- oder ausloggt, sondern funktioniert weiter als Zweitschlüssel. Nach eigener Angabe gelang es der Sicherheitsfachfrau nicht, das Original-Passwort zu ändern, da Wordpress offensichtlich ein Sicherheits-Cookie (wordpress_sec) dafür verwendet.
Doch mit dem Zweitschlüssel lassen sich Postings in dem fremden Blog veröffentlichen, neue Seiten anlegen, private Postings lesen, Kommentare in anderen Blogs posten oder Blog-Statistiken aufrufen. „Nicht schlecht für ein einziges Cookie“, schreibt Yan. Auch die Zwei-Faktor-Authentifizierung lässt sich so einschalten - und der rechtmäßige Nutzer aussperren. Ist sie aktiviert, lässt sich diese ebenfalls durch Cookie-Diebstahl umgehen, da auch der für die Zwei-Faktor-Anmeldung verwendete Cookie unverschlüsselt gesendet wird.
Yan rät dazu, keine Wordpress-Seite aufzurufen, während man in seinem WP-Account eingeloggt ist und ein unsicheres lokales Netzwerk benutzt. In einem Update ihres Blogbeitrags gibt sie zu Beginn nun noch weitere Tipps, wie Wordpress-Nutzer ihre Blogs absichern können.
Wordpress erklärte dazu, dass die kommende Version die entdeckten Fehler beheben soll. Dann soll der Authentifizierungs-Cookie nach jeder Session außer Kraft gesetzt sein und die SSL-Verschlüsselung verbessert werden.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Zwar haben viele Anwender das seit April bereitstehende Windows 8.1 Update bereits installiert - aber eben noch nicht alle. Für Microsoft ist es jedoch sehr wichtig, dass möglichst alle Kunden rasch auf die jeweils aktuelle Windows-Version updaten, da diese typischerweise den besten Schutz gegen Angriffe bietet.
Kunden, die das kostenfreie Update auf Windows 8.1 Update noch nicht installiert haben, sollten dies bis zum 10. Juni 2014 tun. Denn nach diesem Datum wird Microsoft keine Sicherheitsupdates mehr für Windows 8.1 bereit stellen. [Update] In der vorherigen Version des Textes wurde nicht genau getrennt zwischen Windows 8 und Windows 8.1; Windows 8 wird auch weiterhin mit Sicherheitsupdates versorgt, Nutzer von Windows 8.1 sollten jedoch Windows 8.1 Update installieren. [/Update]
Wir sind zuversichtlich, dass die Nutzer, die das Update bislang noch nicht installiert haben, dies innerhalb der verbleibenden gut zwei Wochen tun werden.
Anwender, die Updates durch Windows Update installieren lassen, sollten bereits seit April mit Windows 8.1 Update arbeiten. Nur Nutzer, die Updates von Hand installieren, sind gefordert.
Details zur manuellen Installation von Windows 8.1 Update gibt es auf unserer Webseite.
Ganz grundsätzlich gilt: Neuere Versionen einer Software oder eines Betriebssystems sind immer besser gegen Attacken geschützt als deren Vorgänger. Hersteller wie Microsoft machen ihre Produkte von Version zu Version stabiler und Kriminellen damit deren Handwerk schwerer. So wurden im Lauf der Jahre seit Einführung von Windows Vista zahlreiche Schutzfunktionen in Windows integriert, die es den Programmieren von Exploits und Schadsoftware jeweils schwerer machten. Daher sind auch die Infektionsraten bei moderneren Betriebssystemen in aller Regel erheblich niedriger als bei deren Vorgängern (siehe Bild). Statistiken hierzu liefert zweimal pro Jahr unser Security Intelligence Report (SIR).
Liebe Podcast-Zuhörer,
aufgrund von Ressourcen-Engpässen, konnten wir die letzten zwei Flashs nicht einzeln einsprechen und bitten vielmals um Entschuldigung. Wir versprechen Besserung :-)
Dafür ist aber jetzt eine Art Sonderausgabe live, zusammen mit allen Infos auch schon aus der aktuellen Ausgabe 10/2014.
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_08-10.mp3
Link zum TechNet Newsflash in Schriftform:
http://www.microsoft.com/germany/technet/newsflash/aktuell.htm
Link zum RSS Feed:
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml
Wie immer: viel Freude beim Zuhören und späteren Durchstöbern der angekündigten Ressourcen!
Euer TechNet-Team
“Bekannte Schwachstellen scheinen nie zu sterben” stellen die Sicherheitsexperten von Imperva in ihrem aktuellen Sicherheitsreport fest. Der Report wertet die Top Ten der zum Angriff auf Web-Applikationen missbrauchten Schwachstellen im April 2014 aus. Erhoben hat Imperva die Daten durch seiner Kunden, die anonym Daten zu neuen Angriffen mitteilen können. Dabei stellte der Anbieter fest, dass nach wie vor Attacken auf steinalte Schwachstellen – für die es längst Updates gibt – zum Standardrepertoire der kriminellen Hacker gehören. Denn offensichtlich gibt es im Netz nach wie vor ungepatchte Systeme, so dass die Attacken von Erfolg gekrönt sind.
Angreifer müssen sich also gar nicht eines raren Zero-Days-Exploits – also eines Angriffs auf eine Schwachstelle, für die noch kein Update existiert – bedienen, sondern können sich auf den Missbrauch lange existierender und bekannter Schwachstellen konzentrieren: Im April 2014 wurden Angriffe auf Schwachstellen in Web-Servern entdeckt, die dank vorhandener Updates seit 2009 geschlossen sein könnten, berichtet Imperva. Die Motivation der Kriminellen ist schnell erklärt: Sie bevorzugen bekannte IT-Schwachstellen, da diese leichte Beute sind, die sich ohne Einkauf oder Entwicklung eines Zero-Day-Exploits bequem und einfach erlegen lässt. Warum hingegen die Serverbetreiber so fahrlässig mit der Sicherheit ihrer Systeme umgehen, erläutert der Report nicht.
Auch in Microsoft Windows werden relativ häufig bekannte Schwachstellen attackiert, für die schon lange Updates existieren. Ende 2011 belegte der Security Intelligence Report v11, dass weniger als ein Prozent der von Microsoft analysierte Cyber-Angriffe auf Zero-Day-Exploits zurückzuführen ist. Im Umkehrschluss heißt das: 99 Prozent aller Attacken im Windows-Umfeld wären durch die Installation vorhandener Updates zu verhindern. Von daher der wiederholte Rat: Updates – wann immer möglich – sofort installieren lassen. Bei Windows hilft hier das automatisch arbeitende Microsoft Update. Im Fall der eingangs genannten Web-Anwendungen ist wahrscheinlich Handarbeit gefragt – deren Erfolg sich aber mit Sicherheit auszahlen wird.
Die Analysten von techconsult bildeten für die unabhängige Studie “Security Bilanz Deutschland” zwei Indizes: Den Gefährdungsindex und den Sicherheitsindex. Der Sicherheitsindex ist der Grad der Relevanz und Umsetzung einer großen Anzahl von theoretisch möglichen Lösungen und Maßnahmen, die Unternehmen zum Schaffen von IT- und Informationssicherheit ergreifen.
Der Indexwert für das Sicherheitspotenzial erreicht im Gesamtdurchschnitt 57 von 100 Punkten. Dieses Niveau zeigt deutlich, dass der Mittelstand noch weit vom Beherrschen der relevanten Sicherheitsaspekte entfernt ist.
Die Studie zeigt auch, dass es deutliche Unterschiede zwischen den Branchen gibt: So führt die Industrie mit 60 Indexpunkten knapp vor den Banken und Versicherungen mit 59 Punkten das Feld an. Die Dienstleister liegen mit 57 Punkten genau im Durchschnitt. Öffentliche Verwaltungen und Non-Profits liegen mit 54 Punkten drei Zähler unter dem Schnitt, das Schlusslicht bildet der Handel mit nur 52 Punkten.
Der Index für das Gefährdungspotenzial bildet die Bedrohungslage und den Schutz vor diesen Bedrohungen ab. Die besten 25 Prozent der Unternehmen erreichen Durchschnittwerte jenseits der 78-Punkte-Marke. Unternehmen, die gut bis sehr gut hinsichtlich IT- und Informationssicherheit aufgestellt sind, erreichen also mehr als 20 Punkte höhere Indexwerte. Die 25 Prozent der schlechtesten Unternehmen erreichen nur Werte von 38 Punkten oder weniger.
Die Gefährdung, der sich die Unternehmen ausgesetzt sehen, führt zu einem Indexwert von 46 Punkten. Die einzelnen Branchen unterscheiden sich hier nur marginal. Im Handel liegt das wahrgenommene Gefährdungspotenzial leicht niedriger bei 44 Punkten, bei Banken und Versicherungen sowie Öffentliche Verwaltungen und Non-Profits liegt der Indexwert mit 47 Punkten leicht höher. Werte von unter 50 Punkten legen den Schluss nah, dass sich die Befragten keiner dramatischen Bedrohung ausgesetzt sehen und ihre Schutzmaßnahmen subjektiv als ausreichend empfinden.
Aktuell haben mittelständische Unternehmen und Organisationen laut der Studie nicht nur deutlichen Nachholbedarf in Sachen Datenschutz und Informationssicherheit, sondern sind auch nur bedingt dazu geeignet, dem selbst wahrgenommenen Gefährdungspotential standzuhalten.
Befragt wurden für die Studie über 500 repräsentativ ausgewählte kleine und mittelständische Unternehmen in Deutschland im Zeitraum Mitte Januar bis Mitte Februar 2014. Sie soll jährlich wiederholt werden, um die Entwicklung der IT- und Informationssicherung kleiner und mittelständischer Unternehmen in Deutschland nachhaltig verfolgen zu können.
Die in der Studie ausgewiesenen Indexwerte finden sich im Security Consulter wieder, ein Self-Check-Tool von heise Security und techconsult. Es kann kostenlos und anonym Sicherheitsücken und Gefährdungspotenziale in Unternehmen aufzeigen.
Abgefragt werden dabei alle relevanten Sicherheitsaspekte eines Unternehmens. Im Self Check schätzt der Nutzer selbst ein, wie wichtig einzelne technische, organisatorische und rechtliche Vorkehrungen zur IT-Sicherheit und Informationssicherheit für sein Geschäft sind und wie gut deren Umsetzung realisiert wurde. Der Sicherheitsstatus des Unternehmens wird sofort angezeigt, so dass sofort gehandelt werden kann.
Hinweis: Ich bin Mitglied im Partnerbeirat der “Security Bilanz Deutschland”.
Der IT-Sicherheitsexperte Graham Cluley berichtet in seinem Blog, dass Anwender unter Umständen fahrlässig Fremden zugriff auf ihre privaten, bei den File-Hosting-Anbietern Dropbox und Box.com gespeicherten Daten gewähren.
Entdeckt wurde die Sicherheitslücke von der File-Sharing-Firma Intralinks bei der Untersuchung von per Google Analytics gewonnen Daten und Google Adwords-Berichten: Intralinks hat, wie viele andere Unternehmen, Anzeigen auf Google gebucht. Sie erscheinen, wenn ein Nutzer den Namen eines der Konkurrenten eintippt. Wer beispielsweise bei Google nach “dropbox secure file sharing” such, bekommt automatisch die Text-Anzeigen der Dropbox-Mitbewerber zu sehen.
Als Intralinks die Daten ihrer Google Adwords-Kampagne untersuchte, die auf die Konkurrenz von Box.com und Dropbox reagiert, fanden sie komplette, anklickbare URLs. Ein Klick auf diese Links bringt laut Intralinks ungehinderten Zugang zu Dokumenten, die nichtsahnende Anwender bei den Filehostern abgelegt haben – darunter persönliche und vertrauliche Informationen wie Einkommenssteuer-Rückzahlungen oder Kreditanträge.
Wie kommen Google Ads-Kampagnen an diese privaten URLs? Es gibt zwei Wege, durch die Nutzer unbeabsichtigt die URL eines Ordners bei Dropbox oder Box.com preisgeben:
1. Anwender haben die Links, die auf privaten Dateien und Ordner zeigen, in den Suchschlitz von Google eingegeben, anstatt dafür die Adresszeile des Browsers zu nutzen. Dies können sowohl die Nutzer der jeweiligen File-Hosting-Dienste gewesen sein, als auch deren Kontakte, denen sie den vertraulichen Link haben zukommen lassen. In jedem Fall erhält der Advertising-Server diesen Link als Teil der bezugnehmenden URL, und zeigt ihn an, wenn der Nutzer auf eine Google-Anzeige klickt. Nachdem Dropbox und Box.com laut Intralinks auf die Authentifizierung des Nutzers bei einem Shared Link bei einem Shared Link verzichten, können beliebige Google-Anzeigenbucher solche Links missbrauchen.
2. Enthält ein Dokument, das in Dropbox gespeichert ist, einen anklickbaren Link zu einer anderen Webseite, zeigt die Vorschau von Dropbox automatisch die Seite als Preview an.
Der Share-Link für dieses Dokument enthält den Link in der bezugnehmenden URL, die an Dritte geschickt werden kann. Das bedeutet wiederum: Share-Links, die für eine bekannte Gruppe gedacht sind und die sensible Informationen enthalten, können unbekannten Dritten angezeigt werden.
Richard Anstey, CTO von Intralinks für die Region EMEA, erklärte die Dimension des Problems: In nur einer Anzeigen-Kampagne bei Google wurden fünf Prozent der Treffer gefunden, die komplette Links oder geteilte Dokumente enthielten, die kein Passwort vor fremdem Zugriff und Download schützte. Das können schon bei einer kleinen Kampagne über 300 Dokumente sein. In einem Fall wurden so auch sensible Informationen einer Firma und ein Business-Plan gefunden.
Sowohl Dropbox als auch Box.com warnen den Nutzer vor dieser Möglichkeit mit einem Hinweis. Laut Clueley sind sich aber viele Nutzer dieses Problems nicht bewusst. Nur Nutzer der kostenpflichtigen Dropbox-Business-Version können den Zugriff auf Shared Links begrenzen. Wer auf Nummer Sicher gehen will, sollte auf die Business-Version umsteigen, rät Clueley, und die Sicherheitseinstellungen für Shared Links überprüfen. Oder die Shared Links-Funktion nicht benutzen und diese löschen, sobald sie nicht mehr gebraucht werden. Box-Nutzer der privaten und Business-Version haben die Möglichkeit, die Einstellungen für Shared Links so einzustellen, dass kein unerlaubter Zugriff möglich ist. Und natürlich sollten Anwender keinesfalls die URL, die auf ihre privaten Daten zeigt, in eine Suchmaschine eingeben.
Dropbox hat inzwischen das Problem der Shared-Link-Verwundbarkeit erkannt und dazu einen Blogeintrag veröffentlicht. Doch das Problem des fremden Zugriffs auf Links ist noch nicht komplett gelöst.
Am 13. und 14. Mai findet in Darmstadt die Synopsis statt, die Microsoft Konferenz für neue Impulse in IT und Business. Aus erster Hand erfahren Sie hier alles, was es bei den Mega-Trends „Big Data und Hybrid Cloud“, „Mobility und Modern Apps“, „Cloud“ und „Social Business“ an Neuem gibt. Individuelle hybride Cloud-Strategien fassen das Beste aus den Megatrends zusammen und bilden mit der IT-Infrastruktur von Microsoft die Triebfeder für Ihr Business von morgen. Die Synopsis bietet eine volle Agenda mit interessanten Vorträgen für Entscheider und IT Professionals.
Mit Microsoft TechNet haben Sie jetzt die Möglichkeit, eines von insgesamt 40 Freitickets für die Synopsis 2014 zu erhalten. Schicken Sie uns dazu einfach eine E-Mail mit dem Betreff „Synopsis 2014“ an die E-Mail Adresse tntoolbx@microsoft.com. Die ersten 40 Einsendungen bis spätestens Freitag, 09.05.2014, gewinnen. Die Mehrfachteilnahme eines Teilnehmers ist ausgeschlossen.
Zur Vorbereitung auf die Vorträge im Rahmen der Synopsis empfehlen wir Ihnen die IT Pro Academy, das Wissensportal für IT Professionals.
Wir wünschen Ihnen ein schnelles Händchen und viel Glück beim Gewinnspiel!
P.S.: Wer es nicht unter die 40 schnellsten Einsendungen geschafft hat, hat hier die Möglichkeit, ein Ticket zum regulären Preis von 399,00 € zu erwerben.
Teilnahmebedingungen:
Wie BBC News berichtet, wird die schwerwiegende Lücke in OpenSSL, Heartbleed genannt, inzwischen auch zum Kampf gegen kriminelle Hacker eingesetzt: Laut BBC haben IT-Sicherheitsexperten per Heartbleed kriminelle Hacker angegriffen, in dem sie sich Informationen aus Untergrund-Chatrooms besorgten, in denen die Kriminellen mit gestohlenen Daten handelten. Heartbleed habe der BBC zufolge Anti-Malware-Experten den Zugang zu Foren ermöglicht, die sonst sehr schwer zu öffnen gewesen wären.
Experten gehen davon aus, dass der Bug noch viele Jahre eine Herausforderung für die IT-Sicherheit sein wird. Der französische Anti-Malware-Spezialist Steven K. sagte der BBC: "Das Potential dieser Verwundbarkeit für Black-Hat-Dienste ist enorm groß." Heartbleed habe aber auch vielen Hacker-Foren kritische Sicherheitslücken beschert, die sie verwundbar für Angriffs-Tools machen. Steven K. berichtet der BBC, dass er spezielle Tools einsetzt, um geschlossene Foren wie “Darkode“ und “Damagelab” zu attackieren. Darkode sei dank dem Heartbleed-Bug angreifbar geworden und es sei ihm damit gelungen, das Forum zu überwachen.
Paul Mutton, ein Sicherheits-Experte von Netcraft, erklärte, dass die Gefahr durch Heartbleed auch nach der Erkennung weiter bestehe, da viele Websites noch immer nicht die Sicherheitslücken geschlossen hätten, die durch Heartbleed entstanden seien und zum Beispiel ihre kompromittierten Sicherheitszertifikate noch nicht ersetzt hätten. Wird der Private Key des TLS-Zertifikats per Heartbleed abgesaugt, können Kriminelle perfekt aussehende Phishing-Versionen der eigentlichen Website ins Netz stellen.
Auch viele Webbrowser hätten laut Mutton Probleme, die Sicherheitszertifikate von Webseiten richtig zu prüfen. Die Gefahr, die von Heartbleed ausgeht, werde noch für einige Jahre anhalten, so Mutton. Dies gelte auch für Geräte wie Router für Privathaushalte.
Betroffen sind auch Überwachungskameras, moderne Babyphones und Heimnetzwerke, die Heizung und Strom in Häusern überwachen und steuern. Wired hat Ende April in einem Artikel aufgelistet, welche Systeme durch Heartbleed angreifbar sind – darunter auch Videokonferenz-Anlagen. Auch für Kontrollsysteme von Industrieanlage werden Patches aufgespielt, welche die Gefahren eines Angriffs eindämmen sollen. Genaue Zahlen, wie oft der Heartbleed-Bug ausgenutzt werde, gibt es nicht: Mangels entsprechender Logs passierten die Angriffe vor Bekanntwerden der Schwachstelle im Zweifel ohne dass Serverbetreiber davon etwas mitbekamen.