Security des tages

Ist hier jemand bei der spaßkasse und macht dort diese moderne internetz-fernkontoführung?

The vulnerability is located in the `firstname`, `lastname` and `companyname` values of the `newsletter` module. The vulnerable parameters are f[1][v], f[2][v] & f[2][v] (sic!). Remote attackers are able to inject own malicious script code via POST method request to the application-side of the sparkasse dns domain mailing service. The attack vector of the vulnerability is persistent on the application-side and the request method to inject is POST […] The exploitation of the persistent input validation web vulnerability requires low user inter action and no privileged application user account. Successful exploitation of the vulnerability results in session hijacking, persistent phishing, persistent external redirects to malicious sources and persistent manipulation of affected or connected web module context

Auch weiterhin viel spaß bei der fernkontoführung! Ist ja sicher. Diese ini-mini–wini-winzig-klitze-kleine sicherheitlücke, mit der jeder hansel sich gegenüber kunden als spaßkasse ausgeben konnte, wurde auch nur als „mittelgroß“ eingestuft. Woher sollten die bei der spaßkasse auch wissen, dass man eingabedaten irgendwie validieren muss? Und es geht ja auch nur um geld. Was kann da schon passieren?

Security-schlangenöl-realsatire des tages

Benutzt hier jemand auf seinem ändräut-wischofon den webbrauser (obwohl ich mir aus der vorsätzlich unklaren äppbeschreibung nicht sicher bin, ob das wirklich ein webbrauser oder irgendein anderer wischofon-bullschitt ist) — bitte festhalten, der heißt wirklich so — BestSafe Browser FREE NoAds? Nun, der ist nicht der beste und auch nicht der sicherste:

The Android application is vulnerable to Remote Code Execution attacks

*prust!*

Und ganz ehrlich gesagt: leute, die sich eine äpp mit so einem schreierischen, an keyword-spämm erinnernden namen runterladen, haben es meiner meinung nach kaum besser verdient… denn eine sehr vorsätzlich aussehende hintertür ist auch noch drin:

If an attacker registers the domain „comparison.net.au“ (it is currently NOT registered) and creates a DNS record for „www.comparison.net.au“ then the attacker has full control over anyone who installs and runs this app. This vulnerability can be used to execute arbitrary Java code in the context of the application

Ach ja, eines noch:

29 June 2017 – Vendor pulls apps from app store and files privacy and trademark complaints with YouTube. Vendor does not intend to fix vulnerabilities

Ich nenne das einen starken verdachtsfall für eine trojanische äpp, die mit keyword-spämm im namen über den ändräut-äppstohr „guhgell pläjh“ an naive und von ihrem wischofon verdummte opfer gebracht werden sollte, um dort eine hintertür für beliebigen missbrauch aufzumachen. Wer den dreck auf seinem wischofon hat, sollte ihn besser ganz schnell wieder deinstallieren.

Allen anderen menschen wünsche ich auch weiterhin viel spaß mit der zusicherung diverser betrübssystemmacher, dass so ein äppstohr die kompjuter sicherer macht, wenn man die softwäjhr nur über den äppstohr installieren kann. Lasst euch auch weiterhin schön enteignen und verdummen! Wer braucht schon ein hirn, wenn er so ein schönes händi hat… 😦

„Internetz der dinge“ des tages

Werden irgendwo reinigungs- und desinfekzjonsautomaten von miele benutzt? Das ist nicht gut, der websörver teilt nämlich gern überall im netzwerk den häsch des root-passwortes mit (und generell wohl jede andere datei der betrübssysteminstallazjon).

Und die reakzjon von Miele, wenn man das freundlich mitteilt? Na, keine natürlich. Jedenfalls nicht in den letzten vier monaten. Ist ja auch das problem der kunden, wenn die cräckbare schrottwäjhr mit bekannten sicherheitslöchern rumstehen haben und nicht etwa das problem von miele.

Ich wünsche auch weiterhin viel spaß damit, jedes plumpsklo zum kompjuter zu machen, den man an irgendein netzwerk oder gar ans internetz anschließt! Was kann dabei schon passieren…

Wördpress des tages

Achtung, hier kommt ein ganzer korb voller frischer schlampigkeiten in wördpress-plugins.

Benutzt hier jemand wördpress und hat da ein paar plugins drinnen? Zum beispiel analytics stats counter, admin custom login (gleich mit zwei sicherheitslöchern), trust form, WP-filebase download manager, WP-spamfree, file manager, global content blocks, gwolle guestbook, newstatpress, wordpress download manager, magic fields 1, google analytics dashboard, alpine photo tile for instagram, wordpress adminer, user login log, contact form manager oder contact form?

Alle mit ausbeutbaren, teilweise fürchterlichen XSS-lücken. Also los, aktualisiert mal! Am besten, ihr aktualisiert schnell. Und wenn das nicht geht, schaltet wenigstens die verdammten plugins ab, die hier erwähnt wurden! Oder wollt ihr ein gekräcktes blog haben, das irgendwelchen idjoten zur verteilung von schadsoftwäjhr dient, für die ihr dann juristisch verantwortlich gemacht werdet?

Benutzt hier jemand joomla?

Jemand, der eine SQL-injection hinbekommt (was ich im joomla-kern für relativ schwierig halte, aber es gibt leider immer wieder einmal sehr schlecht programmierte plugins), könnte bestehende sessions übernehmen, weil die session-IDs für die cookies im klartext in der datenbank stehen.

So weit ich das abschätze, dürfte dieses problem in gleicher weise in sehr vielen anderen web-anwendungen auftreten, und ich muss zugeben, dass auch ich selbst noch nie an diese angriffsmöglichkeit gedacht habe (aber immer darauf geachtet habe, dass keine SQL-injections und kein XSS möglich sein dürfen). Denn wenn erstmal jemand eine SQL-injection hinbekommen hat, hat man ein richtiges problem. So ein angreifer braucht innerhalb der anwendung keine rechte mehr, sondern kann sich fröhlich auf anderer leute webseits austoben. (XSS kann genau so übel sein.) Von daher halte ich das problem auch nach dem zweiten nachdenken für gar nicht so groß, wie es beim ersten lesen erscheint… aber es ist natürlich ein problem. Allerdings kostet es ordentlich performanz, wenn man bei jedem zugriff einen kryptografischen häsch durchführt, statt es nur beim login für das passwort zu tun. Eine kryptografische häschfunktion ist nun einmal nicht in erster linje dafür da, schnell zu sein, denn eröffnete auch eine brute-force-angriffsmöglichkeit. Dieses problem könnte also gar nicht so leicht zu beheben sein.

Lasst die finger von keepass 2.x

„Keepass“ 2.x ist anfällig für einen angriff durch einfaches dazwischenstellen bei der updäjht-schnittstelle, aber der entwickler Dominik Reichl weigert sich, das problem zu fixen, weil ihm ein umstieg auf TLS (in diesem fall: auf HTTPS) werbeeinnahmen kosten würde. Ja, richtig: der programmierer eines sicherheitsproduktes hält seine werbeeinnahmen für wichtiger als die kompjuter- und passwortsicherheit der anwender seines produktes. Ich glaube, weitere kommentare zu „keepass“ erübrigen sich; diese stellungnahme des entwicklers ist völlig hinreichend. Nehmt einfach etwas anderes! Oder nehmt 123456 als passwort für paypal, ebay, eurer onlein-bänking, eure mäjhl und alles weitere, weil das zurzeit ähnlich sicher wie die verwendung von „keepass“ in den 2.x-versjonen ist.

Ist es nicht toll, was alles durch die scheißreklame im internetz und die ganze davon ausgelöste gier nach klickergroschen kaputtgemacht wird? Es kann gar nicht schnell genug gehen, bis dieser wahnsinn vorbei ist!

Auch weiterhin frohes glauben an bekwemes security-schlangenöl!

The Bulletproof Security plugin for WordPress [sic!] is prone to a multiple cross-site scripting vulnerabilities because it fails to sufficiently sanitize user-supplied input.

An attacker may leverage this issues to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and to launch other attacks.

Ohne weitere worte!

Security (oder hintertür) des tages

Bei den meisten äppelrechnern ist es angeblich möglich, das EFI-BIOS nach dem aufwachen aus dem ruhezustand zu überschreiben, wenn man sich schon auf anderem weg die möglichkeit besorgt hat, das bootscript zu verändern. Auf diesem weg könnte man natürlich die rechner bricken, aber man kann sie natürlich auch mit richtig fies versteckter schadsoftwäjre pwnen, und es scheint nicht so schwierig zu sein:

The bug can be used with a Safari or other remote vector to install an EFI rootkit without physical access. The only requirement is that a suspended happened in the current session

Mit einem brauser die firmwäjhr verändern… *grusel!*

Das „angeblich“ habe ich nicht geschrieben, weil ich zweifel an der darlegung habe, sondern, weil ich zurzeit nur eine (recht zuverlässige) kwelle und mangels äppelrechnern nicht die geringste möglichkeit der überprüfung habe. Es wurde eben erst einmal nur „angegeben“. Die sicherheitslücke ist trotzdem übel genug, um sie sofort mitzuteilen. Näheres und mögliche maßnahmen zur abwehr und/oder schadensbegrenzung gibts wohl erst in den näxsten tagen.

[via full disclosure]

Wördpress des tages

Nachtrag: der fix ist draußen, also los! Er hat bei mir kein einziges problem gemacht, außer die probleme, die WP 4.2 sowieso schon macht. (Aber der emoji-müll ist wenigstens kein sicherheitsproblem.)

In der aktuellen versjon 4.2 (und auch in den vorherigen versjonen) von wördpress ist eine interessante XSS-lücke: es ist möglich, durch verfassen eines überlangen kommentares javascript im blog abzusetzen, das ausgeführt wird, wenn dieser kommentar angeschaut wird. Ja, es reicht dafür völlig, einen kommentar zu schreiben. Und ja, damit kann das blog pwnen, wenn der kommentar von jemanden angeschaut wird, der gerade an wördpress angemeldet ist.

Die lücke ist übel, weil sie relativ leicht auszunutzen ist. Demnächst heißt es also wieder: fix installieren!

(Mann, wie mich die ganze javascript-kacke immer ankotzt!)

Windohs-fehlerchen des tages

Wenn man die importfunkzjon von „windows mail“ benutzt, wird dabei — falls vorhanden, weils zum beispiel mal ein trojaner abgelegt hat — ein programm C:\program.exe mit den dafür angeforderten rechten ausgeführt. Warum? Na, weil der progger bei meikrosoft es verpennt hat, um einen angegebenen dateipfad mit leerzeichen auch anführungszeichen zu setzen… oder, ums mit Stefan Kanthak zu sagen:

„Lange“ dateinamen wurden vor 20 jahren eingeführt, aber die entwickler bei micro$oft können immer noch nicht richtig damit umgehen, und die dortige kwalitätssicherung ist außerstande, solche dümmlichen und einfach zu findenden fehler aufzuspüren.

:mrgreen:

Warnung! 0day-exploit in WP-erweiterung TimThumb

Nachtrag: „TimThumb“ ist gefixt. Also los, setzt in der konfigurazjon WEBSHOT_ENABLED auf false und holt euch die aktuelle versjon!

Benutzt noch jemand da draußen „TimThumb“ — trotz seiner mittlerweile beachtlichen geschichte größerer sicherheitsprobleme? Wenn ja: sofort raus mit dem scheißteil! Das ding ermöglicht — mindestens dann, wenn man auch „WebShots“ in der konfigurazjon freigeschaltet hat — die ausführung beliebiger befehle mit den berechtigungen des websörvers. Und zwar auf kinderleichte weise. Und ebenfalls betroffen könnten — ich sage das jetzt aus dem bauch heraus — folgende erweiterungen sein, die zum teil den gleichen kohd wie „TimThumb“ nutzen: „WordThumb“, „WordPress Gallery Plugin“ und „IGIT Posts Slider“. Im zweifelsfall lieber erstmal abschalten, bis klar ist, dass die dinger unbedenklich sind oder bis gefixt wurde.

Die tolle kryptoidee des tages

keybase.io: ein ganz toller kryptodienst, der unter anderem das funkzjonsmerkmal anbietet, seinen privaten schlüssel hochzuladen. Aber keine sorge, das ist nicht nötig und die raten davon ab, weil, müsst ihr verstehen, ein nicht ganz so sicheres system hat ja mehr potenzjal, beliebter zu werden… und hej, dass eine künstliche zentralisierung an sich bereits ein problem ist, drauf geschissen, hauptsache, es gibt wenigstens gefühlte privatsfäre.