Die Weekly Hacker News – 27.11.2023

von | Nov 27, 2023 | News | 0 Kommentare

Kritische Schwachstellen in ownCloud gefährden Nutzerdaten, Sicherheitsforscher umgehen Windows-Hello-Fingerabdrucksensoren, Nordkoreanische Hacker nutzen Zero-Day für Supply-Chain-Angriff , Millionenschwerer Rug Pull-Betrug aufgedeckt, Kontroverse um KI in Asylverfahren und Anpassung des Hacker-Paragrafen im Strafgesetzbuch


Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.

Inhalt laden

Wie immer auch auf Youtube und Peertube.


Schwachstellen und Exploits

Sicherheitsalarm bei ownCloud: kritische Schwachstellen gefährden Nutzerdaten

In einem beunruhigenden Szenario warnt die Entwicklergemeinschaft von ownCloud vor drei kritischen Sicherheitslücken, die ein erhebliches Risiko für die Integrität von Nutzerdaten darstellen.

Die erste Schwachstelle betrifft die GraphAPI App, die selbst nach ihrer Deaktivierung sensible Konfigurationsdetails der PHP-Umgebung preisgibt. Betroffen sind Versionen von 0.2.0 bis 0.3.0 der App, die Schwachstelle erhält einen kritischen Score von 10.0. Als Sofortmaßnahme empfiehlt ownCloud das Löschen einer bestimmten Datei und das Deaktivieren der phpinfo Funktion. Nutzer sollten außerdem umgehend ihre sensitiven Daten, wie beispielsweise das ownCloud-Admin-Passwort, aktualisieren.

Die zweite Sicherheitslücke ermöglicht es Angreifern ohne Authentifizierung, auf Dateien zuzugreifen, sie zu modifizieren oder zu löschen, sofern der Benutzername des Opfers bekannt ist. Diese Schwachstelle betrifft Core-Versionen von 10.6.0 bis 10.13.0 und wird mit einem Score von 9.8 bewertet.

Die dritte Lücke bezieht sich auf eine Validierungsschwäche bei Subdomains in der OAuth2 App vor Version 0.6.1. Ein Angreifer kann durch die Verwendung einer speziell gestalteten Weiterleitungs-URL die Validierungsprüfung umgehen, was zu einem hohen Score von 9.0 führt. Als vorübergehende Lösung empfiehlt ownCloud, die „Allow Subdomains“-Option zu deaktivieren.

Die zeitgleiche Veröffentlichung eines Proof-of-Concept-Exploits für eine kritische Schwachstelle in CrushFTP verstärkt die Dringlichkeit der Sicherheitsmaßnahmen. Diese Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, auf Dateien zuzugreifen, beliebige Programme auszuführen und Klartext-Passwörter zu erhalten.

Nutzer sind angehalten, sofortige Maßnahmen zu ergreifen, um potenzielle Risiken zu minimieren und die Sicherheit ihrer ownCloud-Instanzen zu gewährleisten.

Sicherheitsforscher umgehen Windows-Hello-Fingerabdrucksensoren

In einem dreimonatigen Forschungsprojekt hat das Offensive Research and Security Engineering-Team von Microsoft (MORSE) erfolgreich die Windows-Hello-Fingerabdrucksensoren auf drei führenden Laptops umgangen, darunter Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro Type Cover.

Ziel der Untersuchung war die Evaluierung der Sicherheit dieser Fingerabdrucksensoren, die für die Windows-Hello-Authentifizierung verwendet werden. Die Forschung förderte mehrere Sicherheitslücken zutage, die es den Analysten ermöglichten, die Authentifizierung auf allen drei Geräten vollständig zu umgehen.

Die umfangreiche Analyse beinhaltete Reverse Engineering von Software und Hardware sowie die Untersuchung von Match-on-Chip (MoC)-Sensoren und des Secure Device Connection Protocol (SDCP). Besondere Aufmerksamkeit gilt den Schwächen in der SDCP-Implementierung.

Die Autoren empfehlen Herstellern von biometrischen Authentifizierungslösungen, sicherheitskritische Protokolle zu aktivieren und unabhängige Sicherheitsüberprüfungen durchzuführen.

Die Ergebnisse dieser Forschung betonen die Notwendigkeit einer kontinuierlichen Weiterentwicklung von Sicherheitspraktiken in biometrischen Authentifizierungssystemen, um Angriffen dieser Art vorzubeugen.


Hacker-Gruppen und Kampagnen

Nordkoreanische Hacker nutzen Zero-Day für Supply-Chain-Angriff

Das National Cyber Security Centre (NCSC) und der National Intelligence Service (NIS) warnen vor einem Supply-Chain-Angriff der Lazarus-Hackergruppe. Diese nutzt eine Zero-Day-Schwachstelle in der Authentifizierungssoftware MagicLine4NX, um vor allem südkoreanische Institutionen zu infiltrieren.

Der Angriff startete mit der Kompromittierung einer Medien-Website, was einen gezielten ‚Watering Hole‘-Angriff ermöglichte. Durch Ausnutzung der Software-Schwachstelle erlangten die Hacker unbefugten Zugang zum Intranet der Zielorganisationen. Der Angriff, bekannt als ‚Dream Magic‘, betont die fortgesetzte Nutzung von Supply-Chain-Taktiken durch nordkoreanische Hacker.

Diese Vorgehensweise wurde bereits im März 2023 von der Lazarus-Untergruppe „Labyrinth Chollima“ gegen 3CX und kürzlich gegen Microsoft angewendet.

Es wird dringend davon abgeraten, Lösegelder zu zahlen, da dies keine Garantie für die Wiederherstellung von Dateien bietet und Sanktionsrisiken birgt. Unternehmen werden aufgerufen, proaktiv Maßnahmen zur Abwehr solcher Angriffe zu ergreifen.

Millionenschwerer “Rug Pull” Betrug aufgedeckt

Gemäß einem Bericht von IT-Sicherheitsforschern von Check Point Research wurde am 21. November 2023 ein anspruchsvoller Betrug aufgedeckt. Eine Gruppe von Betrügern nutzte eine gefälschte Token-Fabrik, um beinahe eine Million Dollar zu ergaunern. Das Threat-Intel-Blockchain-System von Check Point identifizierte den Täter und erkannte, dass diese Adresse in 40 verschiedenen Rug Pulls involviert war.

Die Betrüger begannen mit der Erstellung von gefälschten Tokens wie GROK 2.0, um gutgläubige Käufer anzulocken. Sie füllten einen Liquiditätspool, täuschten Handelsaktivitäten vor und lockten Investoren mit künstlich erzeugter Nachfrage. Die Betrüger machten sich zwei Smart Contracts zunutze, um den Token-Handel zu manipulieren.

In der Schlussphase zogen die Betrüger die Gelder aus dem Pool ab, nachdem genügend Käufer angelockt und den Token-Preis künstlich erhöht wurde. Die Forscher überwachen aktiv Domänen, die mit der betrügerischen Adresse in Verbindung stehen, und teilen Erkenntnisse über neue Bedrohungen, um Investoren zu schützen.


Wirtschaft, Politik und Kultur

Kontroverse um KI im Asylverfahren

Das Bundesamt für Migration und Flüchtlinge (BAMF) nutzt ein 18 Millionen Euro teures KI-System, um möglicherweise sicherheitsrelevante Informationen aus Asylanhörungen zu identifizieren. Das „Assistenzsystem für Sicherheitsmeldungen“ (ASS) ist seit 2022 aktiv und wird in allen BAMF-Außenstellen eingeführt. Die KI scannt Anhörungsprotokolle und benachrichtigt BAMF-Mitarbeitende über potenziell relevante Informationen, bevor diese an Sicherheitsbehörden weitergeleitet werden.

Die Anzahl der Meldungen hat seit 2017 zugenommen, jedoch ohne klaren Anstieg der Weiterleitungen. Kritiker, darunter die Linken-Abgeordnete Clara Bünger, sehen einen bedenklichen Eingriff in das Recht auf informationelle Selbstbestimmung der Geflüchteten. Die Debatte wirft grundlegende Fragen zur Sicherheit, Transparenz und dem Schutz der Privatsphäre auf, während Befürworter betonen, dass das System dazu dient, potenzielle sicherheitsrelevante Bedrohungen zu erkennen und zu melden.

Anpassung des Hacker-Paragrafen: zeitgemäße Änderungen im Strafgesetzbuch

Im November 2023 präsentierte das Bundesministerium der Justiz die Eckpunkte zur Modernisierung des Strafgesetzbuchs, beauftragt durch den Koalitionsvertrag. Der Fokus liegt auf der Überprüfung historisch überholter Straftatbestände, der Strafrechtsmodernisierung und der Entlastung der Justiz.

Besonders im Blickpunkt stehen die §§ 202a ff. StGB, die das Ausspähen und Abfangen von Daten sowie die Vorbereitung dieser Handlungen regeln. Die Modernisierung soll sicherstellen, dass das Identifizieren, Melden und Schließen von Sicherheitslücken legal und verantwortungsbewusst, beispielsweise in der IT-Sicherheitsforschung, durchgeführt werden kann. Symposien mit Expertinnen und Experten am 30. Juni und 4. Oktober 2023 dienten als Grundlage für Eckpunkte, die in einem Gesetzentwurf münden sollen. Dieser wird voraussichtlich in der ersten Jahreshälfte 2024 vorgelegt.

Die geplanten Veränderungen spiegeln den Willen zur zeitgemäßen Justiz wider, indem sie auf Evidenz, Fachliteratur und Expertenmeinungen setzen. Die klare Ausrichtung auf die Herausforderungen der digitalen Welt unterstreicht dabei den Anspruch, das Strafrecht an aktuelle Entwicklungen anzupassen und dabei ein ausgewogenes Verhältnis zwischen Sicherheit und Freiheit zu wahren.

Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!