Sicherheit

VMware Workstation: Der Einbruch über Port COM1

Posted on Updated on

VMware Workstation

Über Schwachstellen in VMwares Workstation und Player ist ein vollständiger Zugriff auf das Wirtssystem aus einem Gastsystem heraus möglich. VMware hat bereits Updates veröffentlicht.

Wer in Gastsystemen in VMwares Virtualisierungslösungen Workstation oder Player drucken will, kann dafür einen virtuellen Drucker am Port COM1 nutzen. Mit manipulierten EMF-oder Jpeg200-Dateien kann darüber das Wirtssystem aus dem Gastsystem heraus angegriffen werden, wie Kostya Kortchinsky vom Google Security Team jetzt mitteilte. VMware hat inzwischen die Fehler behoben und eine aktuelle Version seiner Workstation veröffentlicht. Einen Patch gibt es ebenfalls.

Der Fehler liegt in den VMware-Bibliotheken TPView.dll und TPInt.dll, die im Wirtssystem installiert werden. Beide werden von dem Prozess Vprintproxy.exe geladen, der aus dem Gastsystem gesendete Druckaufträge verarbeitet. Speziell manipulierte EMF-Dateien können genutzt werden, um unerlaubte Speicherzugriffe auszulösen.

Updates stehen bereit

Kortchinsky weist darauf hin, dass eine Installation der VMware-Tools in Gastsystemen nicht nötig ist, denn die Angriffe können auch so über den Port COM1 gefahren werden. Die einzige Möglichkeit sich abzusichern besteht darin, den virtuellen Drucker in den Einstellungen zu deaktivieren oder ganz zu entfernen. Der IT-Sicherheitsforscher weist auch darauf hin, dass Vprintproxy.exe lediglich als 32-Bit-Prozess zur Verfügung steht und dass die betroffenen Bibliotheksdateien keine Randomisierung des Speicherlayouts (ASLR) unterstützen.

VMware wurde im März 2015 über die Schwachstellen informiert und veröffentlichte bereits im April 2015 die CVE (Common Vulnerabilities and Exposures) 2015-2336 bis -2340. Jetzt hat VMware die entsprechenden Updates bereitgestellt und Kortchinsky hat gleichzeitig seine Untersuchungen veröffentlicht – samt Exploit.

Repariert wurden die Fehler laut VMware in den Workstation-Versionen 11.1.1 und 10.0.6 sowie im VMware Player in den Versionen 7.1.1 und 6.0.6. In VMwares Horizon Client 3.4.0 und 3.2.1 sowie in der Version 5.4.2 wurde der Fehler ebenfalls behoben. Auch VMware Fusion in den Versionen 7.x und 6.x für Mac OS X sind von einem Problem betroffen, das allerdings in der Interprozesskommunikation RPC liegt. Version 6.0.6 und 7.0.1 beheben diesen Fehler, den der IT-Sicherheitsforscher Dan Kamensky entdeckt hat.

 

Zur Anbieter-Website:

http://www.golem.de/

Blackphone: Schwerer Fehler in der Messaging-App Silenttext

Posted on Updated on

Blackphone

Über einen schwerwiegenden Fehler in der Messaging-Applikation Silenttext von Silent Circle könnten sich Angreifer Zugriff auf fremde Blackphones verschaffen. Die Sicherheitslücke befindet sich auch in der App für Android.

In der Messaging-App Silenttext auf dem Blackphone ist ein schwerwiegender Fehler entdeckt worden, der es Angreifern erlaubt, Nachrichten zu entschlüsseln und im schlimmsten Fall sich sogar Zugriff auf das gesamte Smartphone zu verschaffen. Der Fehler ist auch in der Silenttext-App für Android vorhanden. Er wurde inzwischen behoben und Updates für das Blackphone und für die App im Play Store stehen bereit.

Bei der Schwachstelle handelt es sich um einen Speicherzugriffsfehler, über den Angreifer beliebigen Code einschleusen können. Dazu muss nur die Silent-Circle-ID beziehungsweise die Telefonnummer des Opfers bekannt sein. Die Lücke lässt sich auch ohne Zutun des Opfers ausnutzen. Zunächst lässt sich der eingeschleuste Code nur im Kontext der App ausführen. Damit können aber ein- und ausgehende Nachrichten entschlüsselt werden, Standortdaten abgegriffen und Kontakte ausgelesen werden. Auch Schreibzugriffe auf den Flashspeicher sind möglich. Außerdem könnten Angreifer Exploit-Code ausführen, der ihnen möglicherweise Root-Rechte auf das Smartphone verschafft.

Datentypenverwechslung

Die Sicherheitslücke lässt sich durch eine manipulierte Nachricht auslösen, die über das von Silent Circle verwendete Instant Messaging Protocol (SCIMP) versendet wird. Durch einen Fehler in der Bibliothek Libscimp können Angreifer den integrierten JSON-Parser YAJL (Yet Another JSON Parser) nutzen, um eigenen Code in den Arbeitsspeicher einzuschleusen. Dabei lässt sich eine sogenannte Type-Confusion-Lücke ausnutzen, bei der der Parser zwei verschiedene Datentypen verwechselt. Dadurch lässt sich unerlaubt auf Speicherbereiche zugreifen.

Eine detaillierte Beschreibung der Lücke hat der Datenexperte Mark Dowd in seinem Blog veröffentlicht. Er hatte den Fehler entdeckt und zuvor Silent Circle darüber informiert.

 

Homepage:

www.golem.de

Luxushotels: Hacker greifen Geschäftsreisende über W-Lan im Hotel an

Posted on Updated on

Seit vier Jahren werden hochrangige Manager auf ihren Geschäftsreisen nach Asien von Hackern gezielt ausspioniert. Das hat die russische Sicherheitsfirma Kaspersky Lab herausgefunden und in dieser Woche einen Bericht zu der Masche namens Darkhotel veröffentlicht.

Betroffen sind Geschäftsreisende, die unterwegs in teuren Hotels wohnen. Die Angreifer suchen sich ihre Opfer gezielt aus und starten einen Angriff, nachdem die anvisierte Person eingecheckt hat und ihren Rechner aufklappt. Sobald sich der Gast mit seinem Nachnamen und der Zimmernummer ins hoteleigene W-Lan einloggt, schlagen die Kriminellen zu: Sie schicken ihrem Opfer eine Benachrichtigung, dass ein bestimmtes Programm ein Update benötigt, zum Beispiel Google Toolbar, Adobe Flash oder der Windows Messenger. Der Betroffene wird aufgefordert, sich zu diesem Zweck ein bestimmtes Programm herunterzuladen und zu installieren.

Tatsächlich handelt es sich dabei um Schadsoftware, mit deren Hilfe die Hacker alle Daten vom Laptop fischen können, auf die sie es abgesehen haben. Und sie können weitere Spähprogramme auf den infizierten Rechner laden; die Sicherheitsexperten haben zum Beispiel einen Trojaner gefunden und einen Keylogger, also eine Software, mit der die Hacker die Tastatureingaben ihrer Opfer aufzeichnen können.

Mischung aus gezielten und wahllosen Angriffen

Zu den Opfern zählen vor allem hochrangige Manager aus den USA und Asien, die offenbar gezielt für einen Angriff ausgesucht wurden. Chefs großer Unternehmen waren darunter oder Führungskräfte in Forschung und Entwicklung. Es geht bei den Angriffen also vornehmlich um Industriespionage, um das Abfischen sensibler Firmendaten und Passwörter und dem Ausspähen von Betriebsgeheimnissen. Nach dem erfolgreichen Angriff ziehen sich die Hacker zurück und hinterlassen keine Spuren, heißt es von den russischen Sicherheitsexperten.

Allerdings fallen der Darkhotel-Masche keineswegs nur Top-Manager zum Opfer: Laut Kaspersky haben die Kriminellen nicht nur Einzelpersonen angegriffen, sondern zusätzlich auch willkürlich Schadsoftware verbreitet. Dieses Vorgehen sei in der Szene durchaus üblich. Neben dem Ausspähen von Hotelgästen setzt die Darkhotel-Gruppe auch auf Phishing-Angriffe per E-Mail und Filesharing-Server-Attacken, bei denen Opfer aus vielen verschiedenen Ländern betroffen waren – auch aus Deutschland. Die Methode werde nach wie vor engesetzt, so Kaspersky.

Manipulationen von Hotel-Netzwerken sind keine Neuheit, immer wieder sind Reisende in Hotels verschiedenen Angriffen ausgeliefert. Geschäftsreisende sollten grundsätzlich jedem Netzwerk misstrauen und sich extra absichern. Gerade auf Reisen sollte man Software-Updates mit Skepsis begegnen und lieber genauer hinsehen, raten die Sicherheitsexperten.

 

Die Homepage besuchen:

http://www.spiegel.de

Luxushotels: Hacker greifen Geschäftsreisende über W-Lan im Hotel an

Posted on Updated on

Seit vier Jahren werden hochrangige Manager auf ihren Geschäftsreisen nach Asien von Hackern gezielt ausspioniert. Das hat die russische Sicherheitsfirma Kaspersky Lab herausgefunden und in dieser Woche einen Bericht zu der Masche namens Darkhotel veröffentlicht.

Betroffen sind Geschäftsreisende, die unterwegs in teuren Hotels wohnen. Die Angreifer suchen sich ihre Opfer gezielt aus und starten einen Angriff, nachdem die anvisierte Person eingecheckt hat und ihren Rechner aufklappt. Sobald sich der Gast mit seinem Nachnamen und der Zimmernummer ins hoteleigene W-Lan einloggt, schlagen die Kriminellen zu: Sie schicken ihrem Opfer eine Benachrichtigung, dass ein bestimmtes Programm ein Update benötigt, zum Beispiel Google Toolbar, Adobe Flash oder der Windows Messenger. Der Betroffene wird aufgefordert, sich zu diesem Zweck ein bestimmtes Programm herunterzuladen und zu installieren.

Tatsächlich handelt es sich dabei um Schadsoftware, mit deren Hilfe die Hacker alle Daten vom Laptop fischen können, auf die sie es abgesehen haben. Und sie können weitere Spähprogramme auf den infizierten Rechner laden; die Sicherheitsexperten haben zum Beispiel einen Trojaner gefunden und einen Keylogger, also eine Software, mit der die Hacker die Tastatureingaben ihrer Opfer aufzeichnen können.

Mischung aus gezielten und wahllosen Angriffen

Zu den Opfern zählen vor allem hochrangige Manager aus den USA und Asien, die offenbar gezielt für einen Angriff ausgesucht wurden. Chefs großer Unternehmen waren darunter oder Führungskräfte in Forschung und Entwicklung. Es geht bei den Angriffen also vornehmlich um Industriespionage, um das Abfischen sensibler Firmendaten und Passwörter und dem Ausspähen von Betriebsgeheimnissen. Nach dem erfolgreichen Angriff ziehen sich die Hacker zurück und hinterlassen keine Spuren, heißt es von den russischen Sicherheitsexperten.

Allerdings fallen der Darkhotel-Masche keineswegs nur Top-Manager zum Opfer: Laut Kaspersky haben die Kriminellen nicht nur Einzelpersonen angegriffen, sondern zusätzlich auch willkürlich Schadsoftware verbreitet. Dieses Vorgehen sei in der Szene durchaus üblich. Neben dem Ausspähen von Hotelgästen setzt die Darkhotel-Gruppe auch auf Phishing-Angriffe per E-Mail und Filesharing-Server-Attacken, bei denen Opfer aus vielen verschiedenen Ländern betroffen waren – auch aus Deutschland. Die Methode werde nach wie vor engesetzt, so Kaspersky.

Manipulationen von Hotel-Netzwerken sind keine Neuheit, immer wieder sind Reisende in Hotels verschiedenen Angriffen ausgeliefert. Geschäftsreisende sollten grundsätzlich jedem Netzwerk misstrauen und sich extra absichern. Gerade auf Reisen sollte man Software-Updates mit Skepsis begegnen und lieber genauer hinsehen, raten die Sicherheitsexperten.

 

Die Homepage besuchen:

http://www.spiegel.de