{"id":6005,"date":"2015-08-24T11:25:07","date_gmt":"2015-08-24T11:25:07","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=6005"},"modified":"2022-05-26T17:53:12","modified_gmt":"2022-05-26T15:53:12","slug":"security-week-34","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/security-week-34\/6005\/","title":{"rendered":"Sicherheitswoche 34: Man kann nicht einfach patchen\u2026"},"content":{"rendered":"

Was f\u00fcr eine schlimme Woche war das f\u00fcr die Sicherheitsbranche. Nach gefundenen Fehlern<\/a>, Zero-Day-L\u00fccken und anderen von Forschern begehrten Kuriosit\u00e4ten<\/a>, kommen die schmerzlichen Nachwehen, und all das m\u00fcndet in angreifbare Software. Das ist wichtig, l\u00f6st aber oft auch Langeweile aus. Immer wenn mir unser News-Blog Threatpost<\/a> die drei wichtigsten Sicherheitsnachrichten vorstellt, bei denen es um das Patchen von Sicherheitsl\u00fccken geht, ist das meist schwer verdaulich.<\/p>\n

Nun, es ist deshalb nicht weniger wichtig! Es hei\u00dft, dass man nicht einfach so eine Sicherheitsl\u00fccke finden kann, aber noch schwieriger ist es, diese zu schlie\u00dfen, ohne dabei alles andere zu demolieren. Man kann viele Gr\u00fcnde finden, warum ein bestimmter Fehler nicht gepatcht werden kann \u2013 zumindest nicht sofort, oder im n\u00e4chsten Vierteljahr, oder\u2026 jemals. Doch das Problem muss trotzdem gel\u00f6st werden. Die heutige Hitparade bringt uns drei Geschichten zu Fehlern, die bedauerlicherweise noch nicht gepatcht wurden.<\/p>\n

Kurz zur Erinnerung: Das Threatpost-Team w\u00e4hlt jede Woche drei wichtige Neuigkeiten aus, die ich hier rastlos kommentiere. Die vorhergehenden Kommentare finden Sie hier<\/a>.<\/p>\n

Noch ein Android-Fehler, diesmal in Google Admin<\/h3>\n

Der Threatpost-Artikel<\/a>. Die Forschungsarbeit von MWR<\/a>.<\/p>\n

Was wurde gefunden?<\/em><\/p>\n

Ist Ihnen schon einmal aufgefallen, dass die Liebesbriefe von solchen Fehlern immer haufenweise eintrudeln? Wow, ein Auto ist gehackt worden<\/a>? Lasst uns ein Dutzend weiterer Sicherheitsl\u00fccken in Autos finden<\/a>! Das gleiche Muster kann man auch bei den aktuellen News rund um Android feststellen. Erst Stagefright<\/a>, dann ein paar kleinere Fehler, und jetzt Google Admin.<\/p>\n

\"\"<\/p>\n

Google Admin, eine von Androids System-Apps, kann URLs aus anderen Apps akzeptieren \u2013 und wie sich jetzt herausstellte wirklich jede, selbst solche, die mit \u201efile:\/\/\u201c beginnen. Dadurch k\u00f6nnen ganz einfache Netzwerkaktionen, etwa das \u00d6ffnen von Webseiten, zu kompletten Dateimanager-Dingen werden. Sollten eigentlich nicht alle Android-Apps voneinander isoliert sein? Sind sie nicht, und Google Admin hat h\u00f6here Rechte als andere Apps. Wenn man ihr also eine sch\u00e4dliche URL unterjubelt, kann eine App der Sandbox entkommen und pl\u00f6tzlich auf private Daten zugreifen.<\/p>\n

Wie wurde das gepatcht?<\/em><\/p>\n

Lassen Sie mich zun\u00e4chst kurz auf die unabh\u00e4ngige Forschungsarbeit eingehen, die die Sicherheitsl\u00fccke aufgedeckt hat. Das war bereits im M\u00e4rz. Gleichzeitig wurde auch Google dar\u00fcber informiert. F\u00fcnf Monate sp\u00e4ter pr\u00fcften die Forscher die L\u00fccke erneut und mussten feststellen, dass sie nach wie vor nicht geschlossen war. Am 13. August wurde sie daher \u00f6ffentlich gemacht, um Google dazu zu bringen, den Patch endlich zu ver\u00f6ffentlichen.<\/p>\n

\u00dcbrigens hat Google ein eigenes Forschungsteam, das ebenfalls nach solchen Fehlern sucht, und das nicht nur in der hauseigenen Software. Das so genannte Project Zero<\/a> gibt normalerweise 90 Tage Frist, bevor es Fehler ver\u00f6ffentlicht \u2013 wobei man sich fragen muss, ob Google es \u00fcberhaupt schafft, Fehler innerhalb von 90 Tagen zu verbessern.<\/p>\n

Aber bei Google Admin ging irgendetwas schief: Zum einen war etwas komplett falsch, zum anderen wissen wir alle, dass ein Patch das Problem nicht unbedingt auf allen Android-Ger\u00e4ten l\u00f6st. Sie fragen nach monatlichen Sicherheits-Updadtes<\/a>? Aber wie kann man dann ein halbes Jahr an einem einzigen Patch arbeiten? H\u00f6rt, h\u00f6rt.<\/p>\n

\"\"<\/p>\n

Offene Sicherheitsl\u00fccke in SCADA von Schneider Electric<\/h3>\n

Der Threatpost-Artikel<\/a>. Die Warnung von ICS-CERT<\/a>.<\/p>\n

Willkommen in der faszinierenden Welt der kritischen Infrastrukturen! Setzen Sie sich, machen Sie es sich bequem, dr\u00fccken Sie nicht auf den roten Knopf und ber\u00fchren Sie niemals die Kabel, die aus diesem Ding dort herausstehen. Ja, die sollen dort herausstehen. Das ist ok. Richtig, das ist schon seit ewigen Zeiten so. Wenn Sie diese Kabel ber\u00fchren, sind wir alle verloren.<\/p>\n

SCADA-Systeme sind ein Teil kritischer Infrastrukturen, die daf\u00fcr verantwortlich sind, wichtige Dinge zu steuern \u2013 von der Heizung in Ihrem Appartementgeb\u00e4ude bis zu Kernkraftwerken. Solche Systeme sollen nicht ver\u00e4ndert, ausgeschaltet oder neu gestartet werden. Man spielt nicht an ihren Parametern herum und man ber\u00fchrt einfach nichts!<\/p>\n

Sicherheitswoche 34: Ungepatchte #Sicherheitsl\u00fccken in #Android, #Mac OS X, Schneider Electric #SCADA<\/p>Tweet<\/a><\/blockquote>\n

Und bevor Sie selbst etwas daran \u00e4ndern, sollten Sie unseren Artikel dazu lesen<\/a>. Denn auch wenn solche Systeme wahnsinnig kritisch sind, laufen sie dennoch recht h\u00e4ufig auf regul\u00e4ren PCs mit dem guten, alten Windows. Anders als Firmen, die ihre Hardware und Software zumindest alle f\u00fcnf Jahre oder so erneuern, laufen einige Industrieroboter oder Zentrifugen, die ein paar t\u00f6dliche Chemikalien verarbeiten, 24 Stunden am Tag, und das jahrzehntelang.<\/p>\n

Was wurde gefunden?<\/em><\/p>\n

Nun, in einem dieser Systeme wurde eine ganze Menge Fehler entdeckt, und zwar im Modicon M340<\/a> von Schneider Electric, in der PLC Station P34 CPU. Die Sicherheitsl\u00fccken erlauben es einem Hacker, die Kontrolle \u00fcber alles zu \u00fcbernehmen, das von dem System gesteuert wird. Auch ein recht h\u00e4ufiger Fehler wurde gefunden (der \u00fcbrigens regelm\u00e4\u00dfig auch in Routern und Ger\u00e4ten des Internet der Dinge entdeckt wird), den wir als Hard-Coder-Rechte bezeichnen.<\/p>\n

\n

Risky Schneider Electric SCADA Vulnerabilities Remain Unpatched https:\/\/t.co\/2oGDTbr7qE<\/a> via @threatpost<\/a> pic.twitter.com\/eyPAY6Aikn<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) August 17, 2015<\/a><\/p><\/blockquote>\n