In den vorliegenden Security News finden sich die untenstehenden fünf Beiträge:

Infosec „Link Rap“

Die folgende Aufzählung beinhaltet aktuelle und sicherheitsrelevante Links und Kurzbeschreibungen:

• Forscher:innen haben ein System entwickelt, das in der Lage ist, das Passwort einer Person zu erraten, indem es die Wärmespuren analysiert, die von Fingerabdrücken auf Tastaturen und Bildschirmen hinterlassen werden – https://www.gla.ac.uk/…

• Interessante Ergebnisse von Sicherheitsforscher:innen bei WithSecure, die eine Schwachstelle in der Message Encryption (OME) von Office 365 gefunden haben, die den Electronic Code Book Modus verwendet. Dieser Modus ist generell unsicher, da er Informationen über die Struktur der gesendeten Nachrichten preisgeben kann, was zu einer teilweisen oder vollständigen Offenlegung der Nachricht führen kann – https://labs.withsecure.com/…

• Ein spannender Twitter-Thread über einen realen Angriff, bei dem sich ein eigenes Gerät – das mittels Drohne auf dem Dach der Firma platziert wurde – mit dem WLAN der Zielunternehmens verbinden konnten, um in dessen Confluence-Instanz einzudringen – https://twitter.com/…

• Der Zugang zu einer Kund:innen-Datenbank bei Toyota mit 300.000 E-Mail-Adressen blieb fünf Jahre lang frei zugänglich und unbemerkt. Ein Auftragnehmer lud 2018 Quellcode in ein öffentliches GitHub-Repository hoch, der versehentlich einen Zugangsschlüssel zur Toyota-Datenbank enthielt – https://techcrunch.com/…

• Autodiebe wurden in Frankreich festgenommen, nachdem sie sie Lexus- und Toyota-Fahrzeuge mit einem elektronischen Schnellstartschlüssel gestohlen hatten, der in einem tragbaren JBL-Lautsprecher versteckt war – https://cybernews.com/…

• Das DevOps-Sicherheitsunternehmen Sonatype gab bekannt, dass es im Jahr 2022 97.334 bösartige Bibliotheken in verschiedenen Ökosystemen entdeckt hat. Die Zahl ist verglichen mit den 12.000 im Vorjahr identifizierten Fällen dramatisch gestiegen – https://de.sonatype.com/…

• Die deutsche Nachrichtenagentur Stimme Mediengruppe wurde Opfer eines Ransomware-Angriffs, der dafür sorgte, dass das Unternehmen für eine gewisse Zeit keine Tageszeitungen drucken konnte – https://www.stimme-mediengruppe.de/…

• Wissenschaftler:innen der Polytechnischen Universität Hongkong veröffentlichten ein interessantes Paper über einen Angriff, der magnetische Interferenzen nutzt, die durch ein kabelloses Ladegerät verursacht werden, um bösartige Sprachbefehle an ein Smartphone zu senden – http://www4.comp.polyu.edu.hk/…

Randomisierte GUID

GUID (Globally Unique Identifier) werden in modernen Webanwendungen häufig als Token zum Zurücksetzen von Passwörtern verwendet. Es gibt jedoch verschiedene Versionen von GUIDs, und die Verwendung der falschen kann zu Sicherheitsrisiken führen. In diesem Blogbeitrag berichtet Daniel Thatcher über ein kürzlich aufgetretenes Account-Takeover-Problem, das durch die Verwendung eines nicht randomisierten GUID verursacht wurde.

Es gibt zwei Zeichen in jedem GUID, die einige Informationen über den GUID angeben: Das erste ist die Versionsnummer, die direkt nach dem zweiten Bindestrich steht und für die es fünf mögliche Werte gibt. Version 0 ist nur in dem GUID mit dem Wert Null enthalten, während Version 1 auf vorhersehbare Weise auf der Grundlage der aktuellen Uhrzeit, einer zufällig generierten “Clock-Sequenz” und einer “Node-ID” auf der Grundlage der MAC-Adresse des Systems generiert wird. Version 3 wird mit einem MD5-Hash eines angegebenen Namens und Namespace generiert, während nur Version 4 wirklich zufällig generiert wird und Version 5 mit einem SHA1-Hash eines angegebenen Namens und Namespace generiert wird.

Um den Passwort Rücksetz-Prozess – der die unsicher Version 1 GUID verwendet – anzugreifen, musste Thatcher die ungefähre Zeit, zu der der GUID generiert wurde, sowie die Node-ID und die Taktfolge des generierenden Systems kennen. Dazu stellte er eine Anfrage zum Zurücksetzen des Kennworts für ein Konto, das ihm gehörte, und untersuchte dann den GUID, die er über den Link zum Zurücksetzen des Kennworts erhielt. Mit diesen Informationen stellte er eine Anfrage zum Zurücksetzen des Passworts für das Konto des Opfers. Nun musste nur noch die Serverzeit zum Zeitpunkt der Anfrage ermittelt bzw. angenähert werden. Dies ist einfach, falls der Server den Data Header zurückliefert bzw. kann alternativ mittels Vergleich der in der GUID enthaltenen Server-Zeit der ersten Anfrage mit der lokalen Zeit am Systems der angreifenden Person angenähert werden.

Mit diesen Informationen konnte Thatcher eine Liste aller möglichen GUIDs erstellen, die als Token für die Kennwortrücksetzung in Frage kommen könnten. Anschließend brauchte er dann nur noch die Kennwortrücksetzung unter Verwendung jedes GUID aus der Liste zu übermitteln, bis er denjenigen fand, der vom Opfer verwendet wurde.

Dieses Problem ist nicht auf die Funktion zum Zurücksetzen von Kennwörtern beschränkt, aber dieses Beispiel zeigt, wie gefährlich die Verwendung einer unsicheren GUID-Version in Anwendungen sein kann.

Quelle: https://www.intruder.io/…

Audio-Deepfake erkennen

Mit dem Aufkommen der Deepfake-Technologie ist es einfacher denn je geworden, eine gefälschte Audioaufnahme zu erstellen, die realistisch klingt. Forscher der University of California, Berkeley, entwickelten nun eine neue Methode, um Deepfake-Audioaufnahmen zu erkennen.

Dazu messen sie akustischen und dynamischen Unterschiede zwischen Stimmproben, die von menschlichen Sprecher:innen organisch erzeugt wurden, und solchen, die von Computern synthetisch generiert wurden.

Dazu analysierten sie zunächst, wie man den Vokaltrakt akustisch modellieren kann. Die Forscher:innen bauten auf bekannten Techniken, die anhand anatomischer Messungen des Vokaltrakts  (Mund, Rachen, Nase) abschätzen können, wie eine Person (oder ein Tier) klingen würde, auf. Sie kehrten diese Techniken um, um aus einer Audioaufnahme rückzurechnen bzw. anzunähern, wie der Vokaltrakt der sprechenden Person konstruiert sein müsste, um den Eigenschaften der Audioaufnahme entsprechen zu können.

Ihre Hypothese war, dass die gefälschten Hörproben nicht durch die gleichen anatomischen Beschränkungen wie beim Menschen limitiert sind. Daher würde die Analyse der gefälschten Hörproben Formen des Vokaltrakts ergeben, die bei Menschen nicht möglich sind. Die Testergebnisse bestätigten ihre Hypothese. Bei der Extraktion von Vokaltrakt-Schätzungen aus Deepfake-Audio stellten sie fest, dass die Schätzungen oft nicht physisch möglich waren. So ergaben sich bei der Analyse von Deepfake-Audio häufig Vokaltrakte, die den gleichen relativen Durchmesser wie ein Trinkhalm aufwiesen, im Gegensatz zu menschlichen Vokaltrakten, die viel breiter und variabler in ihrer Form sind.

Abbildung 1: Visueller Unterschied zwischen organisch und per Deepfake erzeugter Vokaltrakte. (Quelle: https://theconversation.com/)

Diese neue Methode zur Erkennung von Deepfake-Audio ist ein spannendes Instrument zur Identifizierung von Deepfake-Angriffen. Es ist jedoch wahrscheinlich, dass sich die Deepfake-Technologie weiterentwickeln wird, sodass diese Methode in Zukunft möglicherweise aktualisiert werden muss, um effektiv zu bleiben.

Quelle: https://theconversation.com/…

Selbstextrahierende Archive

Die Verbreitung von Malware in passwortgeschützten Archiven ist seit langem eine der populärsten Angriffstechniken, um E-Mail-Sicherheitsfilter zu umgehen. Forscher:innen entdeckten nun eine Variante, die selbst-extrahierende, verschachtelte Archive verwendet, bei denen die Opfer das Passwort (das den Benutzer:innen normalerweise per E-Mail mitgeteilt wird) nicht mehr manuell eingeben müssen.

Trustwave hat bisher zwei Payloads entdeckt, die über diese Technik verbreitet werden: einen Cryptocurrency-Miner namens CoinMiner und einen Remote Access Trojaner (RAT) namens QuasarRat. Neben dem Mining von Kryptowährungen kann CoinMiner auch Daten aus Browsern und Microsoft-Outlook-Profilen stehlen. Er sammelt auch Informationen über das infizierte System mithilfe der Windows Management Instrumentation (WMI)-Schnittstelle und sendet sie an den Command-and-Control-Server. Schließlich legt er ein VBS-Skript im Startordner ab, um sicherzustellen, dass er auch bei einem Neustart des Systems erhalten bleibt.

Angreifer:innen haben bei Spam-Kampagnen ZIP- bzw. ISO-Archive verteilt, die als Rechnungen getarnt waren. Diese Archive dienten als Container für ausführbare Dateien mit PDF- oder Excel-Symbolen. Bei diesen Dateien handelt es sich in Wirklichkeit um selbstextrahierende RAR-Archive (SFX), die, wenn sie ausgeführt werden, mehrere andere Dateien in einem vordefinierten Verzeichnis entpacken: ein .bat-Skript, eine PDF-Datei und eine weitere .exe-Datei, bei der es sich um ein zweites passwortgeschütztes selbstextrahierendes RAR-Archiv handelt.

Ein Merkmal von SFX-Archiven ist, dass sie die Ausführung von Skriptbefehlen unterstützen. Das primäre Archiv ist so konfiguriert, dass es das .bat-Skript ausführt und die PDF-Datei öffnet. Das .bat-Skript führt wiederum das sekundäre SFX-Archiv aus und liefert auch das Kennwort für dieses Archiv, ohne dass es manuell eingegeben werden muss. Das sekundäre SFX-Archiv enthält den bösartigen Payload, die in .NET geschrieben und mit ConfuserEX, einem kostenlosen und quelloffenen Schutzprogramm für .NET-Anwendungen, verschleiert wurde. Da E-Mail-Sicherheitsfilter in der Regel nicht auf passwortgeschützte Archive zugreifen können, können sie somit auch nicht als bösartig erkannt werden.

Quelle: https://www.trustwave.com/…

Callback Phishing

Forscher;innen des Sicherheitsunternehmens Trellix haben eine interessante Phishing-Kampagne mit dem Namen BazarCall im Auge behalten, seit sie im Jahr 2020 erstmals Aufmerksamkeit erregte. Diese Kampagne entwickelte sich im Laufe der Zeit weiter und führte eine Social-Engineering-Technik namens “Callback Phishing” ein.

Ein Callback-Phishing-Angriff beginnt mit einer E-Mail, die eine gefälschte Rechnung für den Kauf eines teuren Abonnements oder eines anderen teuren Artikels enthält. Die Rechnung ist so gestaltet, dass sie legitim aussieht und oft das Branding eines seriösen Unternehmens oder Zahlungsdienstes wie PayPal imitiert, soll aber nur die Aufmerksamkeit des Opfers erregen. Durch das unerwartete Auftauchen einer teuren Rechnung soll der Empfänger oder die Empfängerin dazu verleitet werden, die in der E-Mail angegebene Supportnummer anzurufen, um die Rechnung anzufechten. Der Anruf geht dann direkt an die Person, die den Angriff gestartet hat, und die sich als Kundendienstmitarbeiter:in ausgibt. So kann diese Person dann verschiedene Social-Engineering-Methoden anwenden, um das Opfer dazu zu bringen, Malware auf seinen Systemen zu installieren.

In einigen Fällen teilen die Phishing-Betrüger:innen den Opfern mit, dass es sich bei den erhaltenen Rechnungen um Spam handelt und dass dies ein Hinweis darauf sein könnte, dass ihre Computer in irgendeiner Weise gefährdet sind. In anderen Fällen bitten die Betrüger:innen die Opfer um ihre IP-Adressen und teilen ihnen dann mit, dass die fehlerhaften Rechnungen auf Einkäufe zurückzuführen sind, die von einer anderen IP-Adresse an einem verdächtigen Ort getätigt wurden. Unabhängig davon, welche Form das Social Engineering annimmt: Letztendlich leiten die Betrüger:innen ihre Opfer auf eine gefälschte Support-Website weiter und fordern diese auf, eine Datei herunterzuladen und auszuführen, die helfen soll, das „angeblich festgestellte Problem“ auf irgendeine Weise zu lösen.

Das Ausführen dieser Datei löst die letzte Phase des Angriffs aus, bei der Malware auf dem System des Opfers installiert wird. Die Malware kann zusätzliche bösartige Pakete installieren, die Dateien des Opfers als Teil eines Ransomware-Angriffs verschlüsseln oder den Betrüger:innen helfen, eine Form des Zahlungsbetrugs zu vollenden, indem das Opfer den Betrüger:innen Fernzugriff auf seinen Computer gewährt, weil es davon ausgeht, weitere Hilfestellung zu erhalten.

Quellen: https://www.bleepingcomputer.com/… und https://www.trellix.com/…

Autor: Edin Spahic