Cyberattacken, Hackerangriffe, Sicherheitslücken und Datenklau

[bananensaft]

@Klaus986 ja. Und was hat das jetzt mit meinem Beitrag zu tun? Mir ist schon klar, dass Software weiter entwickelt wird.
Aber ob Lücken entstehen und welche ist eine Frage des Aufwandes und des Entwicklungsprozesse. Wenn ich Sicherheit von Anfang an mitdenke und einplane und damit auch bezahle, ist das anders als wenn ich erst mal mache und hinterher den Kram sicher bekommen will.

 

[jandroid]

Vorsicht vor gehackten Amazon-Shops mit vermeintlich günstigen Angeboten!

Auf mydealz wird wieder vor gehackten Amazon-Shops gewarnt: Warnung vor Fake-Angeboten auf Amazon - gehackte Shops | mydealz

Derzeit hat es offensichtlich diesen Shop getroffen: Amazon.de Verkäuferprofil: plattenkiste

Seid vorsichtig. Immer über Amazon direkt bezahlen!

 

[Yawl]

Die von Russland unterstützte Hackergruppe "Midnight Blizzard" (auch bekannt unter Nobelium) hat es auf Microsoft abgesehen und offensichtlich auch Zugangsdaten angegriffen.

Offizielle Meldungen von Microsoft [Englisch]:
Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog | Microsoft Security Response Center

Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog | Microsoft Security Response Center

Weitere Meldungen:
Midnight Blizzard: Microsoft erneut erfolgreich angegriffen

Midnight Blizzard: Hacker bohren noch immer in Microsofts Systemen herum

Russische Angreifer klauen Quellcode von Microsoft

Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen

HP soll auch gehackt worden sein:
Doppelter Ärger: Midnight Blizzard erschüttert Microsoft und HPE im Hacking-Fiasko - Skyhigh Security

Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt

 

[DOT2010]

Man hat doch neulich erst ne Russengruppe ausgehebelt, die schießen wohl wie Pilze aus dem Boden... Putin muss ja echte Probleme haben.
Solche Leute könnte man in der aktuellen Zeit auch als Spione betrachten und auch als solche Behandeln und Verurteilen. Da wird klein Dimitri aber ganz schön Alt sein wenn er die Sonne wieder erblicken darf.

 

[chk142]

Man hat doch neulich erst ne Russengruppe ausgehebelt, die schießen wohl wie Pilze aus dem Boden... Putin muss ja echte Probleme haben.
Solche Leute könnte man in der aktuellen Zeit auch als Spione betrachten und auch als solche Behandeln und Verurteilen.

Warum?

Mal ganz abgesehen gibt es das aus "Fernost" schon sehr lange, und ist kein neues Phänomen.

 

[DOT2010]

@chk142 Naja man könnte es ja mit der Lage seit 2 Jahren begründen. Früher waren das eben nur Hacker 0 8 15 Kriminelle, natürlich ab und zu auf Staatlichem Rezept... machen doch die Amis nicht anders... aber da war ja kein Krieg.

 

[martinfd]

Ich hab' gerade "Spässkes" mit o2:

Letzten Dienstag hab' ich erstmals eine SMS mit einem Sicherheitscode zur Passwortänderung bekommen, die ich nicht veranlasst habe. Ich konnte mich aber ganz "normal" in meinen Account einloggen und hab' zur Vorsicht dort mal mein Passwort geändert (PW-Manager: 10 Zeichen kryptisch durcheinander, wie alle meine Passwörter).

Am Donnerstag wollte ich mich einzuloggen, wurde aber mit der Information konfrontiert, dass mein Account wegen zu vieler fehlerhafter Passworteingaben gesperrt sei. In Absprache mit dem Support hab' ich das Passwort erneut geändert und auch eine neue persönliche Kundenkennzahl festgelegt. Ganz offensichtlich hat da jemand versucht, Zugriff auf mein o2-Konto zu erlangen

Danach lief erstmal alles wieder normal, bis ich heute dann festgestellt hab', dass mir auf der o2-website ein Datenverbrauch von 1,1GB angezeigt wurde (etwa die Summe der drei Geräte, die sich dieses Volumen teilen und stimmt auch etwa mit dem überein, was das Handy an mobiler Datennutzung registriert hat). In der Mein o2-App auf dem Handy wurden mir 2,1GB angezeigt, also 1GB mehr und passte auch nicht mit der Summe der angezeigten Geräte zusammen.

Also wieder beim Support angerufen, wo man mir sagte, dass dort sogar 3,1GB Verbrauch registriert wären, man könne aber nicht im Einzelnen sehen, welches Gerät wieviel verbraucht hat. Man hat mir dann versichert, dass mit meinem Konto alles in bester Ordnung sei und es sich nur um technische Probleme handle, hat mir großzügig 200GB Volumen für einen Monat geschenkt und den Fall an die "Fachabteilung" verwiesen ... ich bin gespannt

Beiträge automatisch zusammengeführt: 18.03.2024

Nachtrag: gerade ist auf mysteriöse Weise der Verbrauch in der Mein o2-App wieder auf 1,1GB gefallen ... ob in der Fachabteilung jemand den richtigen Stecker gefunden hat?

 

[Observer]

Sind die 200 GB noch da? Viel wichtiger . . . . . . grins

 

[martinfd]

Klar - sofort geguckt

 

[Lopan]

"Lustige" Nummer

Es war einmal...

vor 2 Jahren ca., da erzählte Frau Lopan, dass ein DSL Techniker in der Nachbarschaft (Kasten, Straße) tätig war.

Da Herr Lopan mißtrauisch wurde und den Router befragte, ergab sich doch tatsächlich eine Veränderung...

... die zur Verfügung stehende Kapazität der DSL Leitung hatte sich auf wundersame Weise halbiert!?

Nach etlichen Telefonaten mit dem DSL Anbieter und Beweis-Einreichung von Router-Bildern hat man dann doch einmal die Leitungen geprüft und festgestellt, dass der Techniker wohl Leitungen vertauscht hatte, sprich wir hatten wohl nun die Leitung eines Nachbarn und dieser unsere.

Bereits am nächsten Tag stand wohl wieder ein Techniker am Straßen-Kasten (ich war im Büro) und hat den Schlamassel behoben.

Solche Dinge passieren. Nur glaubt einem niemand, wenn die Sturmtruppe einmarschiert, weil man sich angeblich den noch unveröffentlichten Blockbuster genehmigt hat.

Entschuldigung des DSL Anbieters = Fehlanzeige

Ein Irrtum ist immer möglich, aber ohne eine Erklärung und kurze Entschuldigung?

Das ist der ganz "normale" Wahnsinn hier.^^

Und die Moral von der Geschicht? ... die gibt es nicht.

 

[jandroid]

xz-Attacke: Hintertür enträtselt - weitere Details zu betroffenen Linux-Distros​

Sehr aufschlussreicher und interessanter Artikel auf heise.de für alle Linux Nutzer. Liest sich wie ein Krimi.
Man muss sich aber ein bisschen einlesen in die Materie. Technisches Verständnis ist Voraussetzung.

Es geht um die sogenannte xz-Attacke.
Hintergrund: In die xz-Tools, die in vielen Open-Source-Plattformen enthaltenen sind, wurde eine Backdoor eingebaut, über die Angreifer auf dem Zielsystem Schadcode ausführen konnten:

"Experten halten die Hintertür in liblzma für den bis dato ausgeklügeltesten Supplychain-Angriff. Er erlaubt Angreifern, aus der Ferne Kommandos einzuschleusen."

Nach der Entdeckung einer Hintertür in den xz-Tools, die in vielen Open-Source-Plattformen enthalten sind, wurden am heutigen Karsamstag weitere Details bekannt. So handelt es sich bei der Backdoor um eine Möglichkeit für die Angreifer, eigenen Code auf den Zielsystemen auszuführen, den sie zuvor geschickt versteckt haben. Einen Netzwerk-Scanner zur Erkennung der Backdoor zu schreiben, scheint derzeit nicht möglich.

Clevere Hintertür führt Schadcode aus​

In einem Diskussionsfaden auf der Social-Media-Plattform BlueSky analysiert der Sicherheitsexperte und Kryptograf Filippo Valsorda die Hintertür. Diese ist bemerkenswert einfallsreich entworfen und nutzt einen RSA-Schlüssel als Transportmedium für den Schadcode. Beim Aufbau einer neuen SSH-Verbindung zu einem Server mit trojanisierten xz-Bibliotheken wird jener bereits beim Schlüsselaustausch übertragen, auf Plausibilität überprüft und schließlich entschlüsselt und ausgeführt.

Somit können zwar Angreifer ohne Zugangsdaten Code ausführen, einen Netzwerk-Scanner wie für andere Sicherheitslücken können Sicherheitsexperten aber wohl nicht schreiben. Ihnen fehlt schlicht das Schlüsselmaterial der Backdoor-Autoren: Sobald die Hintertür eine ungültige Signatur erkennt, stellt sie ihre Arbeit ein und setzt die Ausführung von normalem OpenSSH-Code fort. Die Überprüfung auf Hintertüren kann also nur lokal erfolgen. Auch eine Yara-Regel für die Signatur der Backdoor steht mittlerweile bereit.

Projektübernahme mit Psychotricks​

Der Angriff war offenbar von langer Hand geplant. Der Angreifer "Jia Tan" erstellte sein Github-Konto im Jahr 2021 und konzentrierte sich ab 2022 auf das xz-Projekt. Er hat mithilfe mehrerer Komplizen oder Fake-Accounts, die psychologischen Druck auf den Hauptentwickler aufgebaut haben, nicht nur Kontrolle über das Projekt erlangt, sondern auch Linux-Distributionen dazu gedrängt, die von ihm präparierten Versionen der Pakete schnellstmöglich in ihre Systeme zu übernehmen. So sei er bei einem Fedora-Autor vorstellig geworden und habe diesen aufgrund "toller neuer Features" überzeugen wollen, xz 5.6.x in die rpm-basierte Distribution aufzunehmen.

Ein Komplize mit dem Pseudonym "Hans Jansen" ging derweil beim Debian-Projekt Klinken putzen und warb um Aktualisierung des Pakets. Sein Vorwand: Die neue Version behebe ein Problem mit dem Programmier-Werkzeugkasten Valgrind – das jedoch erst durch den Einbau der Hintertür aufgetreten war. In Kommentaren lobten Pseudonyme wie "krygorin4545" und "misoeater91" den angeblichen Bugfix, vermutlich Fake-Accounts zur Stimmungsmache. Das Debian-Projekt entschied sich, die mit Hintertür versehene xz-Version in die instabile Version "Sid" aufzunehmen.

Betroffene Distributionen​

Bereits seit Donnerstagabend gibt es aktualisierte Pakete für OpenSUSE "Tumbleweed" – diese Rolling-Release-Version von OpenSUSE ohne feste Versionen enthielt ebenfalls ein löchriges xz-Paket. In stabile Debian- oder Ubuntu-Versionen hat die Hintertür es nicht geschafft, wohl aber in Debian "testing" und "unstable". Andere betroffene Linux-Varianten hatten wir bereits in unserer ersten Meldung genannt.

Der macOS-Paketmanager Homebrew hingegen ist nicht direkt betroffen. Zwar enthält Homebrew eine mit Hintertür versehene Version von liblzma, die Hintertür wird jedoch nur bei deb- und rpm-basierten Distributionen als Teil des Paket-Erstellungsprozesses scharf geschaltet, schreibt einer der Entwickler auf Github.

Außerdem muss liblzma von OpenSSH geladen werden, obwohl diese Software die Bibliothek eigentlich nicht nutzt. Allerdings kann die Hintertür über indirekte Abhängigkeiten doch in OpenSSH landen. Beispielsweise patchen viele Distributionen OpenSSH, damit es systemd-notify unterstützt. Die systemd-Bibliothek libsystemd nutzt wiederum liblzma, sodass über diese Indirektion der Schadcode geladen wird.

Damit die Hintertür dann auch ausgeführt wird, müssen neben der gültigen Signatur noch weitere Vorbedingungen erfüllt sein:

1. Die Umgebungsvariable TERM – üblicherweise Kennzeichen für eine interaktive Terminal-Sitzung – darf nicht gesetzt sein,
2. Der Zielprozess muss /usr/sbin/sshd heißen,
3. weder die Umgebungsvariablen LD_DEBUG noch LD_PROFILE sind gesetzt,
4. eine Sprache ist mittels der Umgebungsvariable LANG festgelegt
5. keine Debugging-Session mittels rr oder gdb findet statt.

Trifft eine der Vorbedingungen nicht zu, verweigert die Hintertür den Dienst.

Lücken veröffentlichen: Ja oder nein?​

Auf der Mailingliste oss-security (auf der die Hintertür durch ihren Entdecker entlarvt worden war) entspann sich unterdessen eine lebhafte Diskussion hochrangiger Security-Experten um das Für und Wider von Embargos auf Sicherheitslücken. Während Marc Deslauriers von Canonical die bei 0days üblichen Kommunikationssperren verteidigte, sprach sich Tavis Ormandy von Google für radikale Offenheit aus: Von Deslauriers leicht provokant gefragt, ob er die unverzügliche Veröffentlichung von Chrome-Sicherheitslücken befürworte, schrieb Ormandy: "Ja! Wenn jemand Wissen über irgendeine Software mit Backdoors oder [..] einem aktiven Zero-Day-Exploit hat, rate ich demjenigen – bitte –, dieses Wissen zu veröffentlichen."

Der Entdecker, Andres Freund, gab zu Protokoll, dass er die Verschwörung nur aufgrund "einer Reihe von Zufällen" entdeckt habe: Er beobachtete einige SSH-Prozesse mit überraschend hohem Ressourcenverbrauch, erinnerte sich des angeblichen Valgrind-Fehlers und zählte eins und eins zusammen.

Auch der Projektleiter des xz-Projekts, Lasse Collin, hat sich mittlerweile aus einer selbst verordneten Internet-Auszeit zu Wort gemeldet. Der Entwickler hat einige der durch Jia Tan gemachten Änderungen an der Projekt-Infrastruktur zurückgenommen und klargestellt, dass nur er selber Zugriff auf die Projektdaten unterhalb der Domain "tukaani.org" habe. Der böswillige Tan hatte durch die Übertragung der Git-Repositories zu Github größere Kontrolle über das Projekt an sich gerissen. Die Konten des Projekts und der Entwickler Tan und Collin bei Github sind derzeit gesperrt.

Rufe nach mehr Unterstützung für Open-Source-Projekte werden nun lauter. Der Entwickler der Python-Netzwerkbibliothek Twisted schrieb dazu auf Mastodon, er hoffe wirklich, die übliche Praxis, sein "gesamtes gottverdammtes Produkt auf den Schultern einer überarbeiteten Person ruhen zu lassen, die langsam einen Nervenzusammenbruch bekäme, ohne diese finanziell oder strukturell irgendwie zu unterstützen" würde nun in der gesamten Branche auf den Prüfstand gestellt.

Wer Hans Jansen, Jia Tan und ihre Komplizen sind, ist noch ungewiss. Die Komplexität und Rafinesse des Angriffs deutet, so die Meinung mancher Experten, auf einen staatlich gelenkten Angriff hin. Details liegen jedoch noch im Dunkeln – die Jagd nach den Tätern hat begonnen.

Quelle: xz-Attacke: Hintertür enträtselt, weitere Details zu betroffenen Distros (cku)

'DerStandard' titelt sogar etwas reißerisch:
Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist

Aber auch dieser Artikel ist sehr interessant:
"Nur durch Benchmarks eines einzelnen Programmierers fliegt die über Jahre vorbereitete Unterwanderung von Millionen Systemen auf. Dahinter dürften staatliche Angreifer stehen."

[von Andreas Proschofsky, 31.3.2024]

Mit starken Worten und Superlativen gilt es in Fragen Computersicherheit immer sparsam umzugehen, nicht jede schlimm klingende Lücke stellt in der Realität auch eine Bedrohung dar. Bei dem, was nun rund um eine viel genutzte Open-Source-Komponente bekannt wird, können die Worte aber gar nicht stark genug sein. Geht es dabei doch um den jahrelang vorbereiteten Versuch, eine Hintertür auf hunderte Millionen Systeme einzuschmuggeln. Ein Versuch, der nur dank eines einzelnen, besonders aufmerksamen Entwicklers gestoppt werden konnte, bevor es zu größerem Schaden kommen konnte.

Unterwanderung​

In aktuellen Versionen der xz-utils ist eine Hintertür versteckt, über die Angreifer von außen Systeme übernehmen können, schrieb am Freitag zunächst der Softwareentwickler Andres Freund in einer Mail an die Open Source Security Mailing List. Kurz danach folgten die ersten Warnungen von Linux-Distributionen, die an Deutlichkeit nichts vermissen ließen: Die Nutzer von betroffenen Systemen sollten umgehend deren Nutzung einstellen und die Rechner komplett neu aufsetzen, formulierte es etwa Red Hat drastisch.

Bei den xz-utils handelt es sich um eine jener Softwarekomponenten, die eine wichtige Rolle in der weltweiten Computerinfrastruktur spielen, die der weiteren Öffentlichkeit aber wenig bekannt sind. Die darin enthaltene liblzma wird von zahlreichen anderen Softwareprojekten zum Packen und Entpacken von Daten verwendet. Unbekannten Angreifern ist es nun gelungen, in den veröffentlichten Versionen 5.6.0 und 5.6.1 der xz-utils Schadcode unterzubringen, um über diesen Weg dann die Fernwartungssoftware OpenSSH zu unterwandern.

Wer betroffen ist​

Die gute Nachricht dabei: Diese Versionen sind bisher noch relativ wenig verbreitet, bei den großen Linux-Distributionen war sie zuletzt nur in Testversionen zu finden. Von dem Problem betroffen sind etwa Fedora Rawhide, Debian Testing und Unstable sowie openSUSE Tumbleweed. Die jeweils stabilen Versionen dieser Distributionen laufen hingegen alle noch mit älteren, nicht unterwanderten Generationen der xz-utils.

Im Detail wird es dann schon komplizierter: Wer etwa gerade die aktuelle Beta von Fedora 40 testet, könnte mit etwas Pech betroffen gewesen sein, das entsprechende Update war nur kurz verfügbar. Ebenfalls einige Tage lang ausgeliefert wurde die unterwanderte Version von Kali Linux und Arch Linux.

Reaktion​

Das macht auch klar, wie viel Glück die Computerwelt in diesem Fall hatte: Einige Wochen später wären die xz-utils wohl bereits in den stabilen Versionen diverser großer Linux-Distributionen gelandet. Mittlerweile haben all die erwähnten Projekte Updates ausgeliefert, mit denen die unterwanderten Versionen entfernt werden, das System auf eine ältere Version der xz-utils zurückkehrt.

Wer eine der betroffenen Linux/Unix-Distributionen einsetzt, sollte sich überlegen, diese komplett neu aufzusetzen. Zumindest ist aber ein umgehendes Update auf eine sichere Version dringend anzuraten. Ebenfalls kurzfristig wurde die unterwanderte Version der xz-utils via Homebrew unter MacOS ausgeliefert, das von Entwicklerinnen und Entwicklern viel genutzt wird. Andere User sind nach aktuellem Wissenstand nicht betroffen, für die breite Masse an Computerusern besteht also kein Handlungsbedarf, da der Angriff rasch genug gefunden wurde.

Benchmarks als Sicherheits-Tool​

Dass nichts Schlimmeres passiert ist, ist dabei der Performance-Besessenheit des bereits erwähnten Andres Freund zu verdanken. Dem bei Microsoft angestellten PostgreSQL-Datenbank-Entwickler waren bei aktuellen Benchmarks seltsame Ausreißer aufgefallen: Das Einloggen via SSH dauerte plötzlich mehr als doppelt so lang, zudem verbrauchte der SSH-Prozess auch nach erfolgter Authentifizierung unerwartet viel Rechenzeit.

Freund spricht davon, dass der Login "viel" langsamer war, den meisten dürfte das aber wohl kaum aufgefallen sein, ging es hier doch um ein paar hundert Millisekunden mehr. Bei seinen weiteren Analysen stellte er fest, dass über die liblzma Schadcode nachgeladen wurde, der einen installierten OpenSSH-Server unterwandert, und den Angreifern einen Fernzugriff auf das System ermöglicht.

Spurensuche​

In den vergangenen Tagen hat sich die Sicherheits- und Open-Source-Welt nun auf die Spurensuche gemacht, und was man dabei zu Tage gefördert hat, ist ziemlich beunruhigend. Scheint die Unterwanderung doch nicht nur von langer Hand geplant gewesen zu sein, die Angreifer gingen dabei auch äußerst geschickt vor, um ihre Aktivitäten zu verschleiern. Das beginnt damit, dass die Unterwanderung des xz-utils-Codes nicht über eine klassische Attacke erfolgte, vielmehr wurde das Projekt gezielt unterwandert.

Die Entwicklung der Geschichte lässt sich dabei über öffentlich verfügbare Informationen gut nachvollziehen, der Entwickler Evan Boehs fasst die Eckpunkte auf einer eigenen Webseite zusammen: So hatte der hauptsächlich für die Wartung des Projekts zuständige Entwickler Lasse Collin schon länger über Überlastung und psychische Probleme geklagt. Im April 2022 tauchen dann einige davor und danach nie wieder gesehene Konten auf der Mailingliste von xz-utils auf, die Collin unter Druck setzen, sich einen Co-Maintainer zu suchen.

Kurz davor hatte ein unter dem Namen Jia Tan auftretender Entwickler einen ersten – trivialen – Patch für die xz-utils auf der Mailing-Liste gepostet. Es folgen weitere Beiträge, irgendwann macht Collin dann Jia zum Co-Maintainer des Projekts.

Sicherheitstests: Ausgehebelt​

In dieser Rolle übernimmt er im Juli 2023 einen vermeintlich harmlosen Code-Beitrags, in Wirklichkeit handelt es sich dabei um erste Vorbereitungsarbeiten für die folgende Unterwanderung. Diese Änderung führt nämlich zu Problemen bei automatisierten Sicherheitstests mit Googles oss-fuzz, die die xz-utils wie viele andere Open-Source-Projekte regelmäßig durchlaufen.

Mittlerweile ist Jia zum offiziellen Kontakt zu oss-fuzz für die xz-Utils aufgestiegen. In dieser Rolle gelingt es ihm nun mit dem Verweis auf die – von ihm selbst eingeführten – Probleme, gewisse Checks für die xz-utils bei oss-fuzz deaktivieren zu lassen. Das offenbar bereits mit dem Blick auf die kommenden Monate, geht es in Wirklichkeit doch darum, zu verhindern, dass die Einführung des eigentlichen Schadcodes auffliegt.

Nicht so harmlose Tests und geschickte Tarnung​

Anfang 2024 folgt dann der nächste große Schritt. Jia fügt dem Projekt eine Reihe von Tests hinzu, da so etwas durchaus üblich ist, fällt das nicht auf, zumal es sich um Binärdateien handelt, und solche Tests üblicherweise ohnehin nicht auf Produktivsystemen ausgeführt werden. In Wirklichkeit verbirgt sich darin bereits jener Schadcode, der später zum Einsatz kommen soll.

Die Tarnung kennt aber noch eine weitere Ebene: In den offiziellen Codeverzeichnissen findet sich nämlich keinerlei Zeile, die diesen Schadcode ausführt. Dieser "Trigger" ist lediglich in den veröffentlichten Tarballs, in denen der Source-Code zum Download angeboten wird, zu finden.

Hier machen sich die Angreifer eine Schwäche in der Open-Source-Praxis zunutze: Während Codebeiträge dank Versionskontrollsystemen wie Git gut nachvollziehbar sind, unterliegt die Erstellung dieser Tarballs den jeweiligen Projektverantwortlichen. Diese machen das auf unterschiedlichen Wegen, standardisierte oder gar reproduzierbare Tools werden üblicherweise nicht genutzt. Das erklärt auch, warum die Unterwanderung der xz-utils zunächst niemandem auffällt.

Druck aufbauen​

Bemerkenswert ist aber auch, was sich in den Tagen vor dem Auffliegen der Affäre tut: Jia versucht nämlich gemeinsam mit weiteren – wieder zuvor und danach unbekannten Accounts – Druck auf mehrere Projekte auszuüben, damit diese die neue xz-utils-Generation in ihre nächsten Distributions-Releases aufnehmen.

Belegt ist das etwa bei Debian und Fedora, bei beiden wird damit argumentiert, dass die neue Version Fehler behebt. Das stimmt für die Version 5.6.1 übrigens wirklich, bereinigt diese doch einige Crashes – die allerdings mit der Hintertür in der Version 5.6.0 eingeführt wurden. Auch bei Ubuntu gab es den Versuch, die neue Version noch in die Beta für das in wenigen Wochen zur Veröffentlichung anstehende Ubuntu 24.04 unterzubringen.

Viele Fragen sind noch offen​

Zum eigentlichen Schadcode laufen derzeit noch die Analysen, erste Einschätzungen sprechen aber von einer sehr ausgeklügelten Vorgehensweise. So lässt sich die Hintertür nur unter gewissen Bedingungen ausnutzen, reagiert zudem nur, wenn der Angreifer den richtigen, geheimen Schlüssel dafür hat, und tarnt sich sonst geschickt.

Zudem läuft derzeit die Untersuchung von anderen Codebeiträgen, die Jia über die Jahre beigesteuert hat. So wurde bereits eine weitere, geschickt getarnte Schwächung der xz-utils-Sicherheit entdeckt. Über das Einfügen eines einzelnen Zeichens – eines Punkts – an der richtigen Stelle wurde verhindert, dass die Sandbox Landlock, und damit eine weitere Schutzmaßnahme, je aktiviert wurde. Auch in einem anderen Projekt, der libarchive, wurde mittlerweile ein "fehlerhafter" Code-Beitrag von Jia rückgängig gemacht, der unter gewissen Umständen die Sicherheit geschwächt hat.

Das waren keine Hobby-Hacker​

Bleibt die Frage, wer eigentlich hinter all dem steht. Konkrete Zuordnungen sind bei all dem immer schwierig, überhaupt sollte man mit so etwas in diesen Dingen vorsichtig sein, versierte Angreifer wissen gut, ihre Spuren zu verwischen. Die Komplexität der Attacke, der lange Zeitrahmen: All das legt aber nahe, dass es sich dabei um einen staatlichen Akteur handelt.

Rechnet man, auf wie vielen Systemen diese Komponenten zum Einsatz kommen, welch große Rolle gerade Linux im Serverbereich aber auch auf vielen Client-Systeme einnimmt, lässt es sich nicht anders sagen: Die Computerwelt ist in diesem Fall mit viel Glück an einer Sicherheitskatastrophe vorbeigeschrammt. Dass es ein großer Zufall, dass ihm all das überhaupt aufgefallen ist, betont übrigens auch der Entdecker der Hintertür, Andres Freund.

Der Vorfall zeigt strukturelle Probleme auf​

Doch diese Freude dürfte von kurzer Dauer sein, wirft die Episode doch einige unerfreuliche Fragen auf. Etwa, wie es im Jahr 2024 noch immer sein kann, dass auf vielen Millionen Rechnern eingesetzte Komponenten bis heute von schwer überarbeiteten Hobby-Entwicklern gewartet werden. Obwohl durchaus bekannt ist, dass genau solche Projekte zu einem immer größeren Ziel für Angreifer werden.

So hat etwa Google erst vor wenigen Tagen davor gewarnt, dass solche Drittsoftware angesichts der besseren Sicherheit bei den großen Zielen immer stärker in den Fokus von Angreifern kommen. Und auch im Interview mit dem STANDARD hatte Googles Red-Team-Chef und Sicherheitsexperte Daniel Fabian vor einigen Monaten auf die wachsende Gefahr von solchen Supply-Chain-Attacken hingewiesen. Insofern ist es auch nicht überraschend, dass derzeit viele Rufe laut werden, dass große Firmen mehr Verantwortung zur Unterstützung dieser Projekte übernehmen müssen.

Das Unsicherheitsgefühl​

Und so erfreulich es ist, dass selbst so gut getarnte Attacken dank Micro-Benchmarks eines einzelnen Entwicklers auffliegen, so bleibt doch die Realität: Wäre diese Hintertür performanter, wäre sie wohl noch länger nicht entdeckt worden. Insofern lässt sich auch der Zweifel nicht ganz verdrängen, die Frage, ob Ähnliches nicht schon bei anderen Projekten gelungen ist, ohne dass es bislang aufgeflogen ist.

Eine Liste der betroffenen Distributionen findet man hier: XZ Backdoor Attack CVE-2024-3094: All You Need To Know

 

[braindealer]

In Debian bereits gefix...war Testing, Unstable und Experimental betroffen, Stable hat eine kleinere VersionsNr. der xz-ultilities

Auszug aus der Debian Security ML

Compromised packages were part of the Debian testing, unstable and
experimental distributions, with versions ranging from 5.5.1alpha-0.1
(uploaded on 2024-02-01), up to and including 5.6.1-1. The package has
been reverted to use the upstream 5.4.5 code, which we have versioned
5.6.1+really5.4.5-1.

Users running Debian testing and unstable are urged to update the
xz-utils packages.

 

[LotharFrohwein]

Android-Malware Rafel RAT aufgedeckt

Trotz der Vielfalt der Android-Versionen kann die Malware in der Regel mit allen Versionen arbeiten. Neuere Versionen des Betriebssystems stellen die Malware jedoch in der Regel vor größere Herausforderungen bei der Ausführung ihrer Funktionen. Mehr als 87 Prozent der betroffenen Opfer verwenden Android-Versionen, die nicht mehr unterstützt werden und folglich keine Sicherheitsupdates erhalten.

 

[591100]

Kein Wort dazu wie das RAT auf die Geräte gelangt? Oder habe ich das überlesen?

Werden denn tatsächlich Sicherheitslücken in den abgekündigten Versionen genutzt, oder ist es am Ende "nur" ein trojanisches Pferd, sprich eine APK, die darum bittet installiert zu werden – und anschließend um die Genehmigung weitreichender Rechte bettelt (alle Dateien verwalten, Device Admin, Accessibility).

 

[LotharFrohwein]

Kein Wort dazu wie das RAT auf die Geräte gelangt? Oder habe ich das überlesen?

Nein nichts dazu in diesem Artikel stimmt, unterm Strich wahrscheinlich auch nur für ältere Systeme relevant, wie da ja zu lesen ist, aber von denen laufen ja noch einige.
Auf Heise und Golem hat es diese Nachricht mal noch nicht geschafft, immerhin konnt ich hier :

Gefährlicher RAT lauert meist in veralteten Android-Handys

Bissel mehr dazu finden.

 

[Yawl]

TeamViewer-Angriff: Die Spur führt nach Russland​

Die Eindringlinge von "Cozy Bear" hatten offenbar die Zugangsdaten eines TeamViewer-Angestellten erbeutet, um in die IT-Infrastruktur einzudringen.

Wie bereits gestern vermutet, stecken wohl russische Cyberspione hinter dem Angriff auf TeamViewer. Das Unternehmen bestätigte, dass interne und externe Sicherheitsexperten die Gruppierung "Cozy Bear" (in Microsoft-Sprache "Midnight Blizzard", auch als APT29 bezeichnet) hinter der Attacke vermuten. Cozy Bear steht in Zusammenhang mit dem russischen Militärgeheimdienst.

Quelle und weiterer Text: TeamViewer-Angriff: Die Spur führt nach Russland