Zum Wochendende noch ein kurzer Rückblick auf einige Sicherheitsthemen, die mir die letzten Stunden unter die Augen gekommen sind.
Anzeige
200.000 MikroTik-Router für Crypto-Jacking missbraucht
MikroTik-Router werden bevorzugt im Firmenumfeld eingesetzt. Sicherheitsforscher sind auf eine massive Kryptojacking-Kampagne gestoßen, die auf MikroTik-Router abzielt. Beim Angriff wird deren Konfiguration geändert, um eine Kopie des Coinhive-In-Browser-Crypto-Mining-Skripts in einige Teile des Web-Traffic zu injizieren.
another mass exploitation against @mikrotik_com devices (https://t.co/4MxQbnNStA)
hxxp://170.79.26.28/
CoinHive.Anonymous('hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3', #coinhive pic.twitter.com/Nr8MA0TbzY— MalwareHunterBR (@MalwareHunterBR) 30. Juli 2018
Die Kampagne scheint diese Woche angelaufen zu sein und war in den ersten Phasen hauptsächlich in Brasilien aktiv, begann aber später, MikroTik-Router auf der ganzen Welt anzusprechen. Die Hacker nutzen dabei einen Hacker Zero-Day-Exploit vom April 2018. Details sind bei Bleeping Computer zu finden.
Hoster EDIS (Österreich) gehackt
heise.de berichtet in diesem Beitrag von einem Hack beim österreichischen Hoster EDIS. Laut Mitteilung wurde eine interne API der Hostsoftware missbraucht, um bestimmte E-Mail-Adressen aus einem Projekt abzugreifen.
Anzeige
Sichere Bitfi crypto-currency wallet unsicher
Die Geschichte hat etwas von einem Slapstick. Der Anbieter Bitfi hat auch eine Crypto-Bitfi Currency Wallet (Speicher für Kryptogeld) im Portfolio. Unhackbar soll dieses Gerät ("raffinierteste Instrument der Welt") sein, sonst könnten Kriminelle das Cyber-Geld ja stehlen. Es wurde eine Prämie von 350.000 US $ (100.000 von John McAfee und 250.000 von Bitfi) ausgesetzt, für den der das Gerät hacken könnte.
Gab ein riesiges Presseecho. Binnen einer Woche wurde die 120 $ teure digitale Brieftasche als Stümperlösung entlarvt, wie The Register hier berichtet. Zunächst einmal erweist sich das "raffinierteste Instrument der Welt" als nichts anderes als ein billiges Touchscreen-Android-Handy mit herausgezogenen Komponenten, vor allem der Mobilfunkverbindung. Es wird von einem Mediatek MT6580 System-on-Chip betrieben und scheint einem Smartphone-Referenzdesign sehr ähnlich zu sein. Bitfi berechnet den Leuten 120 Dollar für etwas, das für 35 Dollar im Großhandel verkauft wird.
So now we have pictures of the bare @Bitfi6 board.
It's just a MEDIATEK MT6580.
No sign of a secure element.
Thanks to @Mindstalker612 pic.twitter.com/uhtYDxcQlm
— Ask Cybergibbons! (@cybergibbons) 29. Juli 2018
Auch das Bug Bounty-Programm ist schon sehr speziell. Das Unternehmen hat sehr spezifische Anforderungen an einen legitimen Hack gestellt: Sie müssen ein Bitfi-Telefon mit 50 Dollar in Krypto-Münzen mit einer unbekannten Passphrase erhalten und das Crypto-Guthaben von diesem Gerät entfernen. Das Gerät darf dabei nicht geöffnet oder beschädigt werden.
Das dürfte die Archillesferse des Geräts sein. Denn Leute, die es in den Fingern hielten, schreiben, dass die Rückseite mit Fingernägeln abgepult werden kann. Dann lässt sich die Firmware manipulieren, die Rückseite wieder anbringen und das Gerät einem Opfer übergeben. Ist eine Backdoor in der Firmware vorhanden, wird der Schlüssel des Opfer abgezogen und kann per Internet verschickt werden. Im The Register-Artikel sind weitere Informationen über Stümpereien der Hardware zu finden (z.B. keine Verschlüsselung zwischen Platine und Touchdisplay, so dass Eingaben abgefangen werden können. Mit solchen Wallets braucht es keine Feinde mehr.
1 Million Kontendaten von Fashion Nexus einsehbar
Die britische Bekleidungs- und Accessoire-Shopping-Websites Anbieter Fashion Nexus hat es wohl mit der Sicherheit der Kundenkonten nicht so ernst genommen. White-Hat-Hacker Taylor Ralston konnte auf Datenbanken mit persönlichen Daten von Kunden verschiedener Online-Modehäuser zugreifen, die die Technologie des E-Commerce-Anbieters nutzten. Der Anbieter hat den Vorgang bestätigt, spricht aber von einigen Tausend Datensätzen, während Sicherheitsforscher Troy Hunt 1,3 Million eindeutige Datensätze im Material gefunden hat, welches Ralston ihm zur Verfügung stellte. Details lassen sich bei The Register nachlesen.
Sicherheit beim Microsoft Wireless Display Adapter V2
Mit Microsofts Microsoft Wireless Display Adapter V2 (Miracast-Empfänger auf Linux-Basis) ist es mit der Sicherheit nicht zum Besten bestellt. Auf seclists.org findet sich dieser Beitrag, der Sicherheitslücken (CVE-2018-8306) auf Grund einer kaputten Zugriffskontrolle beschreibt. Die Miracast-Streams abgreifen wäre ja nicht das größte Problem, ein Angreifer kann über das Netzwerk auch auf Dienste der per Miracast verbundenen Dienste zugreifen und bekommt so u.U. Zugriff auf vertrauenswürdige Netzwerke in Firmen.
85 % aller Cyber-Angriffe nutzen nur 5 Dateitypen
Cyber-Angriffe werden meist über Spam mit Dateianhängen gefahren, wobei die Dateianhänge die Schadsoftware enthalten. Im Beitrag Just Five File Types Make Up 85% of All Spam Malicious Attachments wird berichtet, dass in 85% aller Angriffe nur fünf Dateitypen zur Verteilung des Schadcodes verwendet werden.
Anzeige
