{"id":227953,"date":"2020-02-07T10:37:11","date_gmt":"2020-02-07T09:37:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227953"},"modified":"2020-02-07T20:07:50","modified_gmt":"2020-02-07T19:07:50","slug":"sicherheitsinfos-cnet-kompromittiert-und-mehr-7-2-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/07\/sicherheitsinfos-cnet-kompromittiert-und-mehr-7-2-2020\/","title":{"rendered":"Sicherheitsinfos: CNET kompromittiert und mehr&hellip; (7.2.2020)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Kurzer \u00dcberblick \u00fcber Sicherheitsthemen der letzten Stunden, f\u00fcr die ich keinen separaten Blog-Beitrag erstelle. Die Webseiten von CNET waren m\u00f6glicherweise kompromittiert und lieferten Malware aus. In Yealink VoIP-Telefonen existieren Schwachstellen. Es gibt eine Phishing-Kampagne, die unter Android Google Play Protect deaktivieren und den Anubis Trojaner ausliefern kann \u2013 und einiges mehr.<\/p>\n<p><!--more--><\/p>\n<h2>CNET-Seite mit Malware infiziert?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/c5d606378b7547cea96c9410e81d4058\" alt=\"\" width=\"1\" height=\"1\" \/>Der folgende Tweet von Bleeping Computer gibt an, dass es Cyber-Kriminellen m\u00f6glicherweise gelungen ist, den CNET-Seiten Malware unterzuschieben. Der Download-Link f\u00fcr den VSDC Video-Editor, der \u00fcber CNET verteilt wurde, sei kompromittiert worden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Download link for VSDC video editor on CNET was compromised. Changed fake VSDC site pushing a variety of RATs and Keyloggers.<a href=\"https:\/\/t.co\/DMKHP1gPf0\">https:\/\/t.co\/DMKHP1gPf0<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1225570435754070017?ref_src=twsrc%5Etfw\">February 7, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die gef\u00e4lschte VSDC-Site, von der der Download erfolgen sollte, bot angeblich eine Vielzahl von RATs (Remote Access Tools) und Keyloggern statt des Video Editors an. Das Merkw\u00fcrdige an der Sache: Der Link auf Dr. Web f\u00fchrt nun auf eine leere Seite und ich habe dort auch nichts dergleichen gefunden. Falls wer zuf\u00e4llig den VSDC heruntergeladen haben sollte, mal mit Virenscannern \u00fcberpr\u00fcfen \u2013 aber m\u00f6glicherweise ist es nur ein falscher Alarm.<\/p>\n<h2>Phishing Angriff blockiert Google Play Protect<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/457ce1455e9c4626af2eb7dbad92f0fc\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsforscher sind auf eine Phishing-Kampagne gesto\u00dfen, die unter Android den Google Play Protect-Schutzmechanismus deaktiviert und den Anubis Trojaner ausliefert.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Phishing Attack Disables Google Play Protect, Drops Anubis Trojan &#8211; by <a href=\"https:\/\/twitter.com\/serghei?ref_src=twsrc%5Etfw\">@serghei<\/a><a href=\"https:\/\/t.co\/eAYJoYwvvW\">https:\/\/t.co\/eAYJoYwvvW<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1225503668570673157?ref_src=twsrc%5Etfw\">February 6, 2020<\/a><\/p><\/blockquote>\n<p><span id=\"preserve0f6828e3532b475c922f98f64ebec853\" class=\"wlWriterPreserve\"><script charset=\"utf-8\" src=\"https:\/\/platform.twitter.com\/widgets.js\" async><\/script><\/span><\/p>\n<p>Der Anubis-Banktrojaner kann Informationen aus mehr als 250 Bank- und Shopping-Anwendungen stehlen, wie Bleeping Computer in dem oben verlinkten Artikel erl\u00e4utert. Die Phishing-Kampagne nutzt eine hinterh\u00e4ltige Methode, um die potenziellen Opfer dazu zu bringen, die Malware auf ihren Ger\u00e4ten zu installieren: Die Nutzer werden aufgefordert, Google Play Protect zu aktivieren. Geben die Nutzer diese Option nach der Erteilung von Berechtigungen f\u00fcr die App frei, wird Google Play in Wahrheit auf dem Ger\u00e4t deaktiviert.<\/p>\n<p>Nachdem der Benutzer die heruntergeladene APK installiert hat ung gefragt wurde, ob er Google Play Protect verwenden m\u00f6chte, wird das Ger\u00e4t des Opfers mit dem Anubis-Trojaner infiziert.<\/p>\n<p>Um die Malware zuzustellen, verwenden die Angreifer einen b\u00f6sartigen Link, der in die Phishing-E-Mail eingebettet ist und eine APK-Datei herunterl\u00e4dt, die als Rechnung getarnt ist, wie Sicherheitsforscher von Cofense herausgefunden haben.<\/p>\n<h2>Schwere Sicherheitsl\u00fccke bei Yealink VoIP-Telefonen<\/h2>\n<p>Keine Ahnung, ob Yealink VoIP-Telefone in Deutschland im breiten Einsatz sind. Das Sicherheitsunternehmen VTrust hat jedenfalls Sicherheitsl\u00fccken im Autoprovisioning aufgedeckt. Angreifer k\u00f6nnen auf die VoIP-Zugangsdaten, Anruferlisten, Telefonb\u00fccher, Tastenbelegungen und andere spezifische Daten zugreifen. VTrust hatte heise im November 2019 auf die Schwachstellen hingewiesen \u2013 der Hersteller reagierte wohl sehr schleppend auf Meldungen von heise. Die Details lassen sich in <a href=\"https:\/\/www.heise.de\/ct\/artikel\/VoIP-Telefone-Schwere-Sicherheitsluecke-bei-Yealink-entdeckt-4654580.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem heise-Artikel<\/a> nachlesen.<\/p>\n<h2>Kritische Bluetooth-Schwachstelle in Android<\/h2>\n<p>In Android gibt es eine kritische Bluetooth-Schwachstelle, die am Montag durch ein Sicherheitsupdate geschlossen wurde. Aber viele Nutzer werden kein solches Update bekommen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Critical Android Bluetooth Flaw Exploitable without User Interaction &#8211; by <a href=\"https:\/\/twitter.com\/Ionut_Ilascu?ref_src=twsrc%5Etfw\">@Ionut_Ilascu<\/a><a href=\"https:\/\/t.co\/z5mxUmn8NQ\">https:\/\/t.co\/z5mxUmn8NQ<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1225581037838880776?ref_src=twsrc%5Etfw\">February 7, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bleeping Computer weist in obigem Tweet auf die Schwachstelle hin und verlinkt auf einen Artikel mit Details. Android 10 ist von CVE-2020-0022 wohl nicht so stark betroffen, da dort ein Absturz erfolgt. Bei ZDNet gibt es einen <a href=\"https:\/\/www.zdnet.com\/article\/google-fixes-no-user-interaction-bug-in-androids-bluetooth-component\/\" target=\"_blank\" rel=\"noopener noreferrer\">weiteren Artikel<\/a> zum Thema.<\/p>\n<blockquote><p>Erg\u00e4nzung: Von Jonathan Knudsen, Senior Security Strategist bei Synopsys habe ich noch einen Kommentar zur Schwachstelle erhalten:\u00a0Die Ver\u00f6ffentlichung von CVE-2020-0022 hebt drei Schl\u00fcsselaspekte der heutigen Cybersicherheitslandschaft hervor.<\/p>\n<p>Erstens: Die verwendete Software ist abh\u00e4ngig von einer riesigen Lieferkette von Softwarekomponenten. Schwachstellen in einer Komponente haben eine weit reichende Auswirkung auf die nachgelagerte Software. Die Schwachstelle liegt hier im Bluetooth-Subsystem von Android [&#8230;]. Nicht alle Versionen von Android sind davon betroffen, aber die Auswirkungen sind dennoch ersch\u00fctternd.<\/p>\n<p>Zweitens sind Updates von entscheidender Bedeutung. CVE-2020-0022 kann von jedem, der sich in Reichweite Ihres anf\u00e4lligen Telefons befindet und Ihre Bluetooth-MAC-Adresse herausfinden kann, ausgenutzt werden. Als Benutzer ist es wichtig, \u00fcber Aktualisierungen auf dem Laufenden zu bleiben und sie rechtzeitig anzuwenden. Leider gibt es f\u00fcr viele anf\u00e4llige, etwas \u00e4ltere Android-Ger\u00e4te keinen kontinuierlichen Software-Aktualisierungs-Support vom Hersteller, was bedeutet, dass Benutzer mit zwei unattraktiven Optionen konfrontiert werden: entweder Bluetooth vollst\u00e4ndig deaktivieren oder ein neueres Ger\u00e4t kaufen.<\/p>\n<p>Schlie\u00dflich ist die Art und Weise, wie die Schwachstelle lokalisiert wurde, wichtig: Die Entdeckung erfolgte durch Fuzzing. Fuzzing ist eine Sicherheitstesttechnik, bei der absichtlich fehlerhafte Eingaben an ein Zielsystem geliefert werden, in der Hoffnung, einen Fehler zu verursachen. Es ist eine \u00e4u\u00dferst effektive Technik zur Lokalisierung von Schwachstellen in Software und als solche sowohl bei Angreifern als auch bei sicherheitsbewussten Produktteams beliebt. Wir hoffen, dass die Fuzzing-Techniken, die CVE-2020-0022 gefunden haben, in das Testschema f\u00fcr das Android-Bluetooth-Subsystem aufgenommen werden.<\/p><\/blockquote>\n<h2>Weitere japanische Unternehmen gehackt<\/h2>\n<p>Nachdem der Hack von Mitsubishi bekannt wurde (siehe <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/26\/mitsubishi-electric-hack-per-trend-micro-officescan-0-day\/\">Mitsubishi Electric: Hack per Trend Micro OfficeScan 0-day<\/a>), kristallisiert sich nun heraus, dass mindestens vier japanische Unternehmen, die im Verteidigungsbereich Auftr\u00e4ge abwickeln, gehackt wurden. Catalin Cimpanu listet die betreffenden Firmen nachfolgend auf.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">The name of the other two Japanese defense contractors have now been made public<\/p>\n<p>The four hacked contractors are:<br \/>\n1) Mitsubishi Electric<br \/>\n2) NEC<br \/>\n3) Kobe Steel<br \/>\n4) Pasco<a href=\"https:\/\/t.co\/bBlL7CkYVz\">https:\/\/t.co\/bBlL7CkYVz<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1225530550653476864?ref_src=twsrc%5Etfw\">February 6, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Details finden sich bei Bleeping Computer in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/japanese-defense-contractors-kobe-steel-pasco-disclose-breaches\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>. Und <a href=\"https:\/\/www.zdnet.com\/article\/malaysia-warns-of-chinese-hacking-campaign-targeting-government-projects\/\" target=\"_blank\" rel=\"noopener noreferrer\">laut ZDNet<\/a> warnt Malaysia vor einer einer chinesischen Hacking-Welle der APT40-Gruppe.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kurzer \u00dcberblick \u00fcber Sicherheitsthemen der letzten Stunden, f\u00fcr die ich keinen separaten Blog-Beitrag erstelle. Die Webseiten von CNET waren m\u00f6glicherweise kompromittiert und lieferten Malware aus. In Yealink VoIP-Telefonen existieren Schwachstellen. Es gibt eine Phishing-Kampagne, die unter Android Google Play Protect &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/07\/sicherheitsinfos-cnet-kompromittiert-und-mehr-7-2-2020\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4328],"class_list":["post-227953","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227953","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227953"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227953\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227953"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227953"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227953"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}