- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Gefährdetes Plug-in installiert


Certifi-gate-Schwachstelle: Neue Statistiken, In the Wild-Exploit und Problembehebung
Die Certifi-gate Scanner-App verzeichnet bei Google Play knapp 100.000 Downloads und Check Point hat von Endnutzern bisher über 30.000 anonyme Scan-Ergebnisse erhalten

(08.09.15) - Im Rahmen der Black Hat USA 2015 gab das Check Point-Forschungsteam die Certifi-gate-Schwachstelle öffentlich bekannt. Das Team stellte auch eine Scanner-App zur Verfügung, die Geräte auf Schwachstellen prüft und Nutzern die Möglichkeit bietet, Scan-Ergebnisse mit Check Point zu teilen. Das Forscherteam verwendete die Daten aus den Scans, um mehr Einblick in die Gefährdungslage, die Problembehebung und neu identifizierte Exploits von Certifi-gate bieten.

Überblick
Die Certifi-gate Scanner-App verzeichnet bei Google Play knapp 100.000 Downloads und Check Point hat von Endnutzern bisher über 30.000 anonyme Scan-Ergebnisse erhalten. Dadurch war man in der Lage, die Gefährdungen nach unterschiedlichen Geräten, Herstellern und Anbietern von Mobile Remote Support Tools (mRST) aufzuschlüsseln. Nutzer sind dabei drei primären Gefahren ausgesetzt:

Beeinträchtigtes Gerät
Das Gerät ist von einer Certifi-gate-Schwachstelle betroffen, ein ungeschütztes mRST-Plug-in ist installiert und eine Drittanbieter-Anwendung nutzt den Plug-in aus, um erweiterten Zugriff auf das Gerät und seine sensiblen Ressourcen zu erlangen (das heißt den Bildschirm oder das Keyboard, usw.).

Gefährdetes Plug-in installiert
Das Gerät ist von der Certifi-gate-Schwachstelle betroffen und ein verwundbares mRST-Plug-in ist auf dem Gerät installiert. Jede bösartige Anwendung kann das installierte Plug-in ausnutzen und die volle Kontrolle über das Gerät übernehmen.

Gefährdetes Gerät erkannt
Das Gerät ist von der Certifi-gate-Schwachstelle betroffen. Eine bösartige Anwendung muss ein verwundbares Plug-in installieren, bevor der Exploit fortgesetzt werden kann.

Recordable Activator – In-The-Wild Certifi-gate-Exploit
Die untersuchten Certifi-gate-Scans deuteten auf mehrere Geräte mit einer installierten App hin, die Sicherheitslücken ausnutzt. Recordable Activator, eine App, die von Invisibility Ltd., einem Unternehmen mit Sitz in Großbritannien, entwickelt wurde, und die auf Google Play zwischen 100.000 und 500.000 Downloads erzielt, hat die Certifi-gate-Schwachstelle erfolgreich ausgenutzt. Dabei hat sie das Android-Berechtigungsmodell umgangen und den Plug-in von TeamViewer genutzt, um auf Systemebene auf Ressourcen zuzugreifen und den Geräte-Bildschirm zu erfassen.

Die gründliche Analyse der App zeigt die ungewöhnlichen Merkmale der Certifi-gate-Schwachstelle auf.

Recordable Activator - Überblick
Eine Teilkomponente in einem Mehrkomponenten-Dienstprogramm, EASY Screen Recorder NO ROOT” genannt, soll Nutzern dabei helfen, den Gerätebildschirm zu erfassen. Auf Google Play wird es folgendermaßen beschrieben:

Recordable ist die einfache Art, qualitativ hochwertige Bildschirmaufnahmen auf Android zu erzeugen. …
>>Einfach zu installieren und benutzerfreundlich
>>Kein Root erforderlich

Android hindert gewöhnliche, Nicht-System-Apps daran, mit der Funktion der Bildschirmerfassung zu interagieren, da dies erhebliche Risiken für die Sicherheit und den Datenschutz mit sich bringt. Daher steht diese Funktion normalerweise nur vertrauenswürdigen Apps auf Systemebene oder Apps auf gerooteten Geräten zur Verfügung.

Um diese Funktion zur Verfügung zu haben, installieren "EASY Screen Recorder NO ROOT” und seine Teilkomponente "Recordable Activator” auf Abruf eine gefährdete Version des TeamViewer Plug-ins. Da das Plug-in von verschiedenen Geräteherstellern signiert ist, wird es von Android als vertrauenswürdig erachtet und erhält Berechtigungen auf Systemebene.

Von dieser Stelle aus nutzt "Recordable Activator” die Authentifizierungsschwachstelle und verbindet sich mit dem Plug-in, um den Gerätebildschirm zu erfassen.

Was den Schutz der Interaktion mit Teilkomponenten angeht, haben die Entwickler von "Recordable Activator" aus Sicht unseres Forscherteams keine gute Arbeit geleistet. Und die Kommunikation mit der "Recordable Activator”-Komponente kann ohne Authentifizierung gespooft werden, wodurch alle bösartigen Apps den Bildschirm des Geräts erfassen können.

Die "Recordable Activator"-App zeigt im Zusammenhang mit Certifi-gate folgende inhärente Probleme:

>> Nicht privilegierte Anwendungen können eine Schwachstelle ausnutzen, um die vollständige Kontrolle über ein Gerät zu erlangen, ohne von Android Genehmigungen anfordern zu müssen.

>> Auch nachdem TeamViewer seine offizielle Version in Ordnung gebracht hat, können Angreifer noch immer alte Versionen des Plug-ins für böswillige Handlungen missbrauchen.

>> Mobilgeräte können sogar ausgenutzt werden, wenn kein gefährdeter Plug-in auf dem Gerät vorinstalliert war.

>> Apps, die diese Schwachstellen ausnutzen können, findet man jetzt auf Google Play.

>> Für Hersteller besteht die einzige Lösung darin, die betroffenen Geräte mit aktualisierten ROMs zu versorgen.

Tiefgreifende Analyse
Aufbau:
Das Dienstprogramm enthält zwei Hauptkomponenten: die Recording-App (uk.org.invisibility.recordable oder uk.org.invisibility.recordablefree) und ein Recordable Plug-in (uk.org.invisibility.activator).

Download eines gefährdeten Plug-ins:
Die eigentliche App unterstützt das Installieren des Plug-ins oder die Nutzung einer Root/adb-Shell, um die Bildschirmaufnahme mithilfe anderer Mittel zu ermöglichen. Entschließt sich der Nutzer, das Plug-in zu installieren, lädt das Plug-in, während es läuft, den TeamViewer Plug-in APK auf Basis des jeweiligen Zertifikats des Geräteherstellers herunter.

Vorgang:
Der Recordable-Plug-in exportiert einen Dienst, der den TeamViewer Plug-in-Dienst einhüllt, und authentifiziert mit dem gespooften Zertifikatfeld. Danach verbindet sich die Recording-App mit dem Plug-in-Dienst von Recordable, der sich dann wiederum mit dem TeamViewer-Plug-in verbindet und dieses Verbindungsobjekt zur Recording-App zurückbringt. Von diesem Punkt aus kann die primäre Recording-App direkt mit dem TeamViewer-Plug-in kommunizieren. Der Recordable Plug-in-Dienst verfügt über keine Sicherheitsvorkehrung, die verhindert, dass Dritte sich mit ihm verbinden können.

Der Recordable-Plug-in liefert nur eine Bildschirm-Erfassungs-Funktion.

Problembehebung
Folgende Empfehlungen können zusammengefasst werden, um die Folgen der Certifi-gate-Schwachstelle auf einem Gerät zu minimieren -

Gefährdetes Gerät
Das Gerät ist gefährdet und man sollte sich an seinen Mobilfunkbetreiber oder Gerätehersteller wenden (Samsung, LG und weitere) und nachfragen, wann ein Patch oder Fix geliefert wird.

>> Die Schwachstelle kann mithilfe eines neuen ROM, das Zertifikate widerruft, mit denen alte, gefährdete Plug-ins signiert waren, vollständig beseitigt werden. Soweit heute bekannt, wurde von den Geräteherstellern kein Patch geliefert.

>> Aktuell empfiehlt sich, nur vertrauenswürdige Apps herunterzuladen und nachdem Installieren fragwürdiger Apps, die Certifi-gate-Scanner-App auszuführen.

>> Falls man aufgefordert wird, ein Plug-in für ein mobiles Remote-Support-Tool zu installieren, sollte man das Löschen der Installation erwägen.

Gefährdetes Plug-in
Auf dem Endgerät ist bereits ein gefährdetes Plug-in installiert.

1. Man sollte versuchen, das gefährdete Plug-in mithilfe folgender Schritte zu entfernen: Einstellungen --> Apps --> Gefährdetes Plug-in lokalisieren und anklicken --> Deinstallieren anklicken

2. Wurde das Plug-in auf dem Gerät vorinstalliert, hat man wahrscheinlich keine Möglichkeit, es zu deinstallieren. Dann muss man sich in diesem Fall an den Gerätehersteller wenden und nach einer Lösung fragen.

3. Man sollte stets auf die Vertrauenswürdigkeit der heruntergeladenen Apps achten und nachdem Installieren fragwürdiger Apps die Certifi-gate Scanner-App ausführen.

Beeinträchtigt
Auf dem Gerät ist bereits das gefährdete Plug-in installiert und es ist auch eine Drittanbieteranwendung vorhanden, die das Plug-in ausnutzt.

>> Versuchen, das gefährdete Plug-in mithilfe folgender Schritte zu entfernen: Einstellungen --> Apps --> Gefährdetes Plug-in lokalisieren und anklicken --> Deinstallieren anklicken

>> Versuchen, die beeinträchtigende App zu lokalisieren und deinstallieren.

>> Wurde das Plug-in auf dem Gerät vorinstalliert, hat man wahrscheinlich keine Möglichkeit, es zu deinstallieren. Hier muss man sich an den Gerätehersteller wenden und nach einer Lösung fragen.
(Check Point Software Technologies: ra)

Check Point Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Hybride aus Daten-Diebstahl und Ransomware

    SophosLabs und Sophos Managed Threat Response haben einen Bericht über eine neue Ransomware veröffentlicht, die eine bisher noch nicht bekannte Angriffsmethode verwendet: Die sogenannte Snatch-Ransomware geht mit variierenden Techniken vor und veranlasst unter anderem einen Neustart übernommener Computer im abgesicherten Modus, um verhaltensorientierte Schutzmaßnahmen, die speziell nach Ransomware-Aktivitäten wie das Verschlüsseln von Dateien Ausschau halten, zu umgehen. Sophos geht davon aus, dass Cyberkriminelle damit eine neue Angriffstechnik etabliert haben, um fortschrittliche Schutzmechanismen auszuhebeln. Neben der neuen Angriffstaktik belegt ein weiterer interessanter Fund, dass sich ein anderer Trend fortzusetzen scheint: Kriminelle filtern immer häufiger Daten heraus, bevor die eigentliche Ransomware-Attacke startet. Die entwendeten Daten könnten zu einem späteren Zeitpunkt für Erpressungen, auch in Zusammenhang mit der DSGVO, verwendet werden. Ähnliches Verhalten konnten die SophosLabs zum Beispiel bei Ransomware-Gruppen wie Bitpaymer feststellen.

  • Windows-Zero-Day-Exploit zur Rechteausweitung

    Kaspersky-Technologien haben eine Zero-Day-Schwachstelle im Windows-Betriebssystem gefunden. Der darauf basierende Exploit ermöglichte es Angreifern, höhere Privilegien auf dem attackierten Gerät zu erlangen und Schutzmechanismen im Google Chrome Browser zu umgehen - wie es in der WizardOpium-Kampagne geschah. Ein Patch wurde bereits veröffentlicht. Die neue Windows-Schwachstelle wurde von Kaspersky-Forschern aufgrund eines anderen Zero-Day-Exploits gefunden. Bereits im vergangenen November hatten die Exploit-Prevention-Technologien, die in den meisten Produkten des Unternehmens integriert sind, einen Zero-Day-Exploit in Google Chrome gefunden. Dieser Exploit ermöglichte es den Angreifern, beliebigen Code auf dem Computer des Opfers ausführen. Im Rahmen weiterer Untersuchungen dieser Kampagne, die die Experten WizardOpium tauften, wurde nun der Exploit im Windows-Betriebssystem gefunden.

  • Phishing ist ein langfristiges Problem

    Akamai Technologies hat den "State of the Internet"-Sicherheitsbericht 2019 "Phishing - Baiting the hook" veröffentlicht. Die Forschungsergebnisse zeigen, dass Cyberkriminelle unternehmensbasierte Entwicklungs- und Bereitstellungsstrategien wie Phishing-as-a-Service nutzen, um die größten Technologiekonzerne der Welt anzugreifen. Knapp 43 Prozent der beobachteten Domains zielten auf Microsoft, PayPal, DHL und Dropbox ab. Der Bericht legt offen, dass Phishing nicht mehr nur eine E-Mail-basierte Bedrohung ist, sondern auch Social Media und mobile Geräte umfasst. Es handelt sich um ein weitreichendes Problem, das alle Branchen betrifft. Da sich die Angriffsmethoden weiterentwickeln, entstehen neue Techniken, etwa für Attacken auf geschäftliche E?Mails (Business E?Mail Compromise, BEC). Laut dem FBI führten BEC-Angriffe zwischen Oktober 2013 und Mai 2018 zu weltweiten Verlusten von mehr als 12 Milliarden US-Dollar.

  • Ziel des Angriffs kann sogar geblacklisted werden

    Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency Response Team (ERT) von Radware eine zunehmende Anzahl von TCP-Reflection-Angriffen überwacht und verteidigt. Bei solchen Angriffen werden nicht nur die eigentlichen Ziele in Mitleidenschaft gezogen, sondern auch nichts ahnende Netzwerkbetreiber, deren Ressourcen benutzt werden, um die Attacke zu verstärken. Im Extremfall wird das Ziel des Angriffs als vermeintlicher Urheber der Attacke sogar von den einschlägigen Service-Anbietern auf deren Blacklists gesetzt. TCP-Reflection-Angriffe wie die SYN-ACK Reflection waren bis vor kurzem bei Angreifern weniger beliebt. Der Mangel an Popularität war hauptsächlich auf die falsche Annahme zurückzuführen, dass TCP-Reflection-Angriffe im Vergleich zu UDP-basierten Reflexionen nicht genügend Verstärkung erzeugen können. Im Allgemeinen haben TCP-Angriffe eine geringe Bandbreite und die Wahrscheinlichkeit ist geringer, dass eine Internetverbindung gesättigt wird. Stattdessen werden TCP-Angriffe genutzt, um durch hohe Paketraten (Packets Per Second - PPS) viele Ressourcen von Netzwerkgeräten zu binden und so Ausfälle zu provozieren.

  • Sicherheitsprognosen für 2020

    Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet. Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits in den vergangenen beiden Jahren konnte im Business-Umfeld ein Anstieg von Schwachstellen festgestellt werden und gerade in diesem Jahr wurde immer mehr Malware entwickelt, die sich auf Unternehmen konzentriert anstatt auf Verbraucher.

Zielgerichtete Phishing-Nachrichten Botnet: Äußerst flexibel und anpassungsfähig