Sicherheitswoche 40: die „eigentlich-keine-Sicherheitslücke“ in WinRAR, ein alter Fehler in Firefox und das Ups!-Update von Microsoft

In dieser Woche dreht sich unser Wochenrückblick um den Unterschied zwischen echten und theoretischen Bedrohungen.

Ich frage mich, was wäre, wenn alle Sicherheitsprobleme auf einmal verschwinden würden. Würde aus dem Threatpost.com-Newsblog eine Katzenseite werden? Hätte die Seite überhaupt eine Zukunft? Ich denke schon, wenn man das Entwicklungstempo der IT-Branche bedenkt: Derzeit versucht sie noch, ihre Kinderkrankheiten in den Griff zu bekommen, doch sobald das geschafft ist, sehen wir einer strahlenden Zukunft ins Auge. Ich glaube, dass wir eines Tages erwachsene, verantwortungsbewusste Ansätze für die IT-Sicherheit sehen werden.

Das Internet ist ein virtuelles Modell der echten Welt und spiegelt alles wider: einsame Genies, die in ihrer Garage ihr eigenes Google erfinden, große Konzerne, die um ihren Marktanteil kämpfen, einfache Anwender und schließlich auch diejenigen, die all diese Gruppen ausnutzen möchten. Es gibt zwar Maßnahmen, die das Leben der Cyberkriminellen schwerer machen, aber können wir sie für immer loswerden?

Etwas hat diesen Gedanken ausgelöst: Die meistgelesene Meldung der letzten Woche (über Fehler in Firefox) hat gar nichts mit IT-Sicherheit zu tun – naja, zumindest relativ gesehen. Die zweite Nachricht dreht sich um eine Sicherheitslücke, die irgendwie nicht mehr da ist. Und die dritte Meldung handelt von Microsofts Update, das gar nichts gemacht hat und dann einfach verschwunden ist.

Nun, es scheint, als wäre in der vergangenen Woche nichts passiert – also sprechen wir doch einfach über den Unterschied zwischen echten und theoretischen Bedrohungen. Wie immer, hier noch die Regeln der Sicherheits-News: Das Threatpost-Team wählt jede Woche drei wichtige Neuigkeiten aus, die ich hier ganz rücksichtslos kommentiere. Die älteren Episoden finden Sie hier.

Zero-Day -(Pseudo)-Sicherheitslücke in WinRAR-Archiven

Der Artikel. Die Forschungsarbeit. Das Feedback von RARLAB.

Der iranische Forscher Mohammed Reza Espargham hat eine Sicherheitslücke in WinRAR entdeckt – wobei: nicht in der Software selbst, sondern in selbst-extrahierenden Archiven. Das klingt zunächst recht kritisch. Indem eine Archivfunktion verwendet wird, kann man beim Extrahieren das Ausführen willkürlichen HTML-Codes erreichen, so dass damit Schadprogramme aus dem Internet heruntergeladen und installiert werden. Der Inhalt des Archivs ist dabei komplett sauber und harmlos. Die angreifbare Funktion kann Text auf dem Bildschirm darstellen, aber auch HTML annehmen und verarbeiten.

Die WinRAR-Entwickler halten das für Panikmache. Um das nachvollziehen zu können, muss man sich nur die Beschreibung des Fehlers vereinfachen: „Ein Anwender kann Probleme bekommen, wenn er eine seltsame, ausführbare Datei herunterlädt und startet.“ Habe ich da etwas verpasst? Das ist doch eine fundamentale und nicht patchbare Sicherheitslücke von Computern: Sie führen JEDEN Code aus, der auf ihnen gestartet wird. Das WinRAR-Team zitiert auch einen „Proof-of-Concept“ für eine andere „Zero-Day“-Lücke: Der Inhalt von selbst-extrahierenden Archiven kann auch automatisch ausgeführt werden, ohne dass der Anwender zustimmen muss. EIN VERHÄNGNIS!

Hier kommen die Kätzchen!

Beide Seiten haben aber irgendwie Recht. Manchmal kann sich die ungewöhnliche Nutzung eines Standard-Tools nachteilig auf die Sicherheit des Produkts auswirken. Eine Verschlüsselung kann sowohl zum Schutz persönlicher Daten als auch zum Verschlüsseln der Anwenderdaten durch Ransomware genutzt werden. Für das Sicherheitsproblem bei WinRAR haben wir also allenfalls einen Alarm-Code birnenfarben (mit einem Hauch hellgrün).

Allerdings ist da noch etwas: WinRAR ist weitverbreitet und wahnsinnig beliebt und muss – anders als andere Programme – nicht laufend aktualisiert werden. Anders als zum Beispiel ein Browser, läuft die Software auch ohne Aktualisierung ewig ohne Probleme. Vor ein paar Jahren haben wir einen Bericht zu einer Studie veröffentlicht, die zeigen sollte, wie oft die Anwender ihre angreifbare Software aktualisieren. Nun, sie tun das fast gar nicht: Es dauerte zum Beispiel sieben Wochen, damit zumindest 30 Prozent der Anwender auf die neueste Java-Version aktualisierten.

Unsere Experten haben eine kritische Sicherheitslücke in WinRAR 3.71 zusammen mit einigen älteren Fehlern entdeckt. Wir haben das nie weiter verfolgt, da der Fehler nur extrem schwer auszunutzen ist, aber wir haben die Aktualisierungen geprüft und waren schockiert, dass diese angreifbare Version von WinRAR fünf Jahre später auf Zehntausenden PCs lief – immer noch ungepatcht.

Das Abenteuer des leeren Windows-Updates

Der Artikel. Die Diskussion im Microsoft-Forum, bei der einige Details ans Licht kamen.

Am 30. September beschloss das Windows Update Center plötzlich, mit den Anwendern Kauderwelsch zu sprechen. Und zwar ganz buchstäblich: „Hello, this is a critical update for language packages. On installation, your computer will need uber#$^%@#$R@%@%@#$wham#@%#@%#^@^$@^ddles“. Die wenigen, die die Updates des Windows Update Center wirklich ansehen, waren verständlicherweise verwirrt. Da tauchte komisches Zeug auf, versuchte, sich selbst zu installieren, und verschwand dann wieder. Später fand man heraus, dass so etwas ähnliches auch schon am 20. August passiert ist.

Screenshot der entsprechenden Diskussion auf der Microsoft-Webseite

Später gab ein Microsoft-Sprecher zu, dass es sich um ein Test-Update handelte, das versehentlich an die Anwender ausgeliefert worden war und dass wir alle beruhigt sein könnten. Gab es einen Grund zur Sorge? Nun ja, wenn das Windows-Update-System wirklich kompromittiert gewesen wäre, hätte das in einer globalen digitalen Apokalypse im Stil eines Roland Emmerich enden können.

Stellen Sie sich nur vor, ein Cyberkrimineller würde willkürlichen Code an Millionen von Anwender ausliefern. Glücklicherweise ist das kaum machbar: Es gibt digitale Signaturen und Verschlüsselung. In einem unserer früheren Wochenrückblicke habe ich bereits über den unwahrscheinlichen Hack des WSUS geschrieben, der zeigt, dass das System nicht komplett zerstört werden kann.

Zumindest hoffen wir das.

14 Jahre alter Fehler in Firefox gepatcht

Der Artikel. Der Blog-Beitrag von Adblock Plus, dem größten Opfer des Fehlers. Der Fehler selbst.

Kurz: Firefox verbraucht viel Speicher. Mit der Veröffentlichung von Version 41 wurde das besser, vor allem, wenn man die Erweiterung AdBlock Plus installiert hat. Das Problem war irgendwie die Art, wie der Adware-Blocker und der Browser miteinander kommunizierten. Durch die Verarbeitung einer Adware-Blocking-Methode mit CSS reservierte der Browser zu viel Speicher (bis zu 2 GB!).

Ursprünglich tauchte dieser Fehler am 27. April 2001 in der Pre-Release-Version 0.9.3 auf. In diesem Jahr kamen auch die erste Version von Mac OS X, Windows XP und der allererste iPod heraus; es war das Jahr, als SATA und USB 2.0 vorgestellt wurden; das Jahr, indem das V.92-Modem-Protokoll abgelöst wurde und Microsoft endlich die Büroklammer abschaffte. Was für ein Jahr, richtig?

Und auch wenn er nervig war, so war der Fehler in Firefox doch harmlos. Ich frage mich sogar, ob 10 der 14 Jahre, in denen der Fehler existierte, nicht darauf verschwendet wurden, dass sich die Firefox- und Adblock-Entwickler gegenseitig die Schuld dafür gaben. Wirklich kritische Sicherheitslücken werden schließlich schnellstmöglich geschlossen, oder?

Oder auch nicht! Bei meiner Suche nach alten Fehlern, fand ich auch diesen hier: Red Hat und einige andere Linux-Distributionen prüfen die Echtheit von Updates und anderer installierter Software nicht. Theoretisch ist es damit möglich, die Kontrolle über ein kompromittiertes System zu übernehmen, wenn es von einer schädlichen Ressource installiert worden ist. Den Fehler gibt es seit dem 30. Januar 1999! Und damals ging es noch nicht einmal um Web-Ressourcen, sondern um infizierte Disketten! Er wurde erst im August 2014 ausgebessert (aber wahrscheinlich nicht komplett).

Ok, ok, das ist die Art von „Fehler“, die wir auch schon bei WinRAR angesprochen haben. Es ist noch nicht einmal ein richtiger Fehler, sondern eher eine Vermutung wie „wenn man einen Laptop in ein Lagerfeuer wirft, wird er verbrennen“. Ich bezweifle, dass geplant war, den Fehler auszubessern – wahrscheinlich stand er auf einer Fehlerliste, um hin und wieder Diskussionen über die Sicherheit von Linux anzustoßen. Aber ist der Fehler ein Beweis dafür, dass es mit der Sicherheit von Linux nicht gut bestellt ist? Natürlich nicht.

Ich würde sogar so weit gehen, zu behaupten, dass auch schnelle Patches für alle Sicherheitslücken die Sicherheit nicht verbessern würden. Hier sieht man, dass Software-Entwickler durchschnittlich etwa 100 bis 120 Tage für das Patching brauchen. Natürlich wäre es schön, wenn das schneller klappen würde, aber bedeutet das auch, dass alle ungepatchten Sicherheitslücken ausgenutzt werden? Nein. Es gibt so viele Angriffe und potenzielle Fehler, und jeder Versuch, alle Sicherheitslücken zu bearbeiten würde nur in Grundrauschen enden.

Übrigens gab es früher auf der Kaspersky-Webseite einen Bedrohungsindikator, der die allgemeine Bedrohungslage anzeigte. Dann wurde er zu einer Art Doomsday Clock. Das sah recht beeindruckend aus, hörte aber irgendwann auf, ein angemessener Monitor für das Sicherheitsniveau zu sein und wurde abegschaltet.

Heute haben jeder Anwender und jede Firma ihr eigenes Sicherheitsniveau und das hängt von verschiedenen Variablen ab: Insgesamte „Hackbarkeit“, der Wert der gespeicherten Daten und wie wichtig sie ihre eigene Sicherheit selbst nehmen.

https://twitter.com/DwightVJackson/status/646340189657305088

Was sonst noch passiert ist:

Es gab zwar viele Nachrichten in der vergangenen Woche, aber eigentlich nichts Besonders.

In Androids Stagefright-Engine wurde eine weitere Sicherheitslücke entdeckt, nachdem bereits im Sommer eine ähnliche Lücke gefunden worden war, die per MMS ausgenutzt werden kann. Die neue Lücke erlaubt es, willkürlichen Code auszuführen, wenn ein Anwender eine speziell erstellte Seite im Browser öffnet. Das Problem dabei liegt in der Art, wie die Metadaten einer Multimediadatei verarbeitet werden.

In Mac OS X (El Capitan) wurden 101 Fehler verbessert. Zudem wurde in iOS 9.0.2 ein weiterer Sperrbildschirm-Bypass-Fehler (über Siri) gepatched (Hey Siri, DROP TABLE).

Die lange Suche nach Embeddings in TrueCrypt brachte nichts zu Tage. Allerdings fanden die Forscher einen Fehler, der verschlüsselte Daten nicht entschlüsseln kann. TrueCrypt könnte allerdings dazu verwendet werden, Anwenderrechte zu erhöhen. Der Fehler wurde im TrueCrypt-Spin-Off VeraCrypt bereits ausgebessert.

Mobile Geräte können für DDoS-Attacken missbraucht werden. Und es gibt Vermutungen, dass ein JavaScript-Banner, das die Webseite des Opfers angreift, über Malvertising-Netzwerke eingeschmuggelt werden kann. Interessanterweise kosten solche Angriffe nur wenige Cent.

Oldies:

Bebe

Ein nicht-resistenter, gefährlicher Virus. Er infiziert .COM-Dateien des aktuellen Katalogs. Er vergrößert eine Datei, um ein Vielfaches eines Absatzes zu erreichen, kopiert sich dann selbst ans Ende der Datei und ändert die ersten 14 Bytes (PUSH AX;…; JMP FAR Loc_Virus). Da er nicht-resistent ist, erstellt er ein resistentes Programm. Er kopiert einen Teil seines Codes in die Interrupt Vector Table bei 0000:01CE und setzt den 1Ch-Interruption (Timer). Nach einiger Zeit wird die folgende Nachricht auf dem Bildschirm angezeigt:

VIRUS!

Skagi ‚bebe‘>

Sobald der Anwender „bebe“ eingibt, antwortet der Virus auf Russisch mit „Fig Tebe!“ („Leck mich!“), was auf sein Ursprungsland hindeutet. Im Code ist ein Fehler enthalten: Er stellt DTA nicht wieder her. Das kann in einem langsamen PC resultieren. Ein weiterer Fehler: Der Virus zieht die Pipeline in Intel-80×86-Prozessoren nicht in Betracht und modifiziert das Kommando nach dem aktuellen. Das führt dazu, dass er nur auf veralteten IBM-PC-Modellen läuft. Neben dem angesprochenen Text enthält er eine *.COM-Zeile.

Zitat aus „MS-DOS-Computerviren“ von Eugene Kaspersky, 1992, Seite 60. 

Hinweis: Diese Kolumne spiegelt die persönliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab übereinstimmen. Das ist Glücksache.

Tipps