Die größten Sicherheitslücken des Jahres 2018

2018 war ein Jahr voller Kopfzerbrechen für IT-Experten weltweit. Es gab viele große Sicherheitslücken, auch auf Hardwareebene, mit denen sich Informationssicherheitsexperten auseinandersetzen müssen. Hier sind die vier größten Schwachstellen des Jahres 2018 und wie Sie damit umgehen können.

Spectre und Meltdown – die 2018 die Sicherheitsprojekte dominierten

Die Schwachstellen Spectre und Meltdown traten erstmals am 4. Januar 2018 auf und ermöglichen es Anwendungen, den Kernel-Speicher zu lesen. Sie haben im Laufe des Jahres zu schwerwiegenden Sicherheitsproblemen für IT-Experten geführt. Das Problem besteht darin, dass dieses Paar Schwachstellen auf Hardwareebene darstellt, die gemindert, aber nicht durch Software gepatcht werden können. Obwohl Intel-Prozessoren (mit Ausnahme von Atom-Chips, die vor 2013 hergestellt wurden, und der Itanium-Serie) am anfälligsten sind, sind auch für AMD-Prozessoren weiterhin Mikrocode-Patches erforderlich. OpenPOWER und andere CPUs, die auf Arm-Designs basieren. Einige Software-Abhilfemaßnahmen können ebenfalls implementiert werden, erfordern jedoch häufig, dass Anbieter ihre Programme mit vorhandenen Schutzmaßnahmen neu kompilieren.

Die Entdeckung der Existenz dieser Schwachstellen hat ein erneutes Interesse an Seitenkanalangriffen geweckt, die ein wenig deduktive Tricks erfordern. Monate später wurde auch die BranchScope-Schwachstelle aufgedeckt. Die Forscher hinter dieser Entdeckung haben gezeigt, dass BranchScope die Möglichkeit bietet, Daten zu lesen, die durch die sichere SGX-Enklave geschützt werden sollten, und ASLR zu besiegen.

Zusammenfassend lässt sich sagen, dass neben den ersten Offenlegungen Spectre-NG, Spectre 1.2 und SpectreRSB insgesamt acht Varianten der Spectre-Schwachstelle entdeckt wurden, zusätzlich zu anderen verwandten Schwachstellen wie SgxPectre.

• Liste der BIOS-Update-Download-Links für Meltdown und Spectre

Rekordverdächtige DDoS-Angriffe mit Memcached

Im Jahr 2018 organisierten Hacker DDoS-Angriffe unter Ausnutzung von Schwachstellen im Memcached und erreichten eine Höhe von 1,7 Tbit/s. Der Angriff wird dadurch initiiert, dass ein Server seine eigene IP-Adresse fälscht (wobei er die Adresse des Angriffsziels als Ursprungsadresse festlegt) und ein 15-Byte-Anforderungspaket sendet, auf das von einem anderen Host geantwortet wird. Der zwischengespeicherte Server ist anfällig für Antworten zwischen 134 KB bis 750 KB. Der Größenunterschied zwischen Anfrage und Antwort ist über 51.200 Mal größer, was diesen Angriff besonders wirkungsvoll macht!

Proof-of-Concept – eine Art Code, der leicht an Angriffe angepasst werden kann, wurde von verschiedenen Forschern ins Leben gerufen, um mit dieser Situation umzugehen, darunter „Memcrashing.py“, das mit der Shodan-Suchmaschine zusammenarbeitet, um anfällige Server zu finden, auf denen ein Der Angriff könnte gestartet werden.

Glücklicherweise können Memcached-DDoS-Angriffe verhindert werden. Allerdings sollten Memcached-Benutzer auch die Standardeinstellungen ändern, um zu verhindern, dass ihre Systeme missbraucht werden. Wenn UDP in Ihrem System nicht verwendet wird, können Sie diese Funktion mit dem Schalter -U 0 deaktivieren. Ansonsten empfiehlt es sich auch, den Zugriff auf localhost mit dem Schalter -listen 127.0.0.1 zu beschränken.

Die Schwachstelle im Drupal CMS ermöglicht es Angreifern, Ihre Website zu kontrollieren

Bis Ende März mussten Notfall-Patches für die 1,1 Millionen Drupal-Sites veröffentlicht werden. Die Sicherheitslücke hängt mit einem Konflikt zwischen der Art und Weise zusammen, wie PHP Arrays in URL-Parametern verarbeitet, und der Verwendung von Hash-Funktionen. Drupals (#) am Anfang des Arrays Die Verwendung von Schlüsseln zur Bezeichnung von Sonderschlüsseln führt oft zu einem zusätzlichen Rechenaufwand, der es Angreifern ermöglichen kann, willkürlich Code „einzuschleusen“. Der Angriff wurde von Scott Arciszewski von der Paragon-Initiative „Drupalgeddon 2: Electric Hashaloo“ genannt.

Im April wurden Probleme im Zusammenhang mit dieser Sicherheitslücke ein zweites Mal gepatcht. Dabei ging es um die Möglichkeit, URLs von GET-Parametern zu verarbeiten, um das #-Symbol zu entfernen, das eine Sicherheitslücke bei der Remotecodeausführung verursachen könnte.

Obwohl die Schwachstelle öffentlich gemeldet wurde, waren mehr als 115.000 Drupal-Sites betroffen und viele Botnets nutzten die Schwachstelle aktiv aus, um bösartige Verschlüsselungssoftware einzusetzen.

BGP-Angriffe blockieren DNS-Server, um Adressen zu stehlen

Das Border Gateway Protocol (BGP), das „Tool“, mit dem der effizienteste Pfad zwischen zwei Systemen im Internet ermittelt wird, wird voraussichtlich in Zukunft zum Ziel böswilliger Akteure werden, da das Protokoll weitgehend entwickelt wurde, bevor böswillige Netzwerkprobleme gründlich geprüft wurden . Es gibt keine zentralisierte Autorität für BGP-Routen, und Routen werden auf ISP-Ebene akzeptiert, sodass sie außerhalb der Reichweite typischer Bereitstellungsmodelle auf Unternehmensebene und gleichzeitig außerhalb der Reichweite des Benutzers liegen.

Im April wurde ein BGP-Angriff gegen Amazon Route 53 durchgeführt – die DNS- Dienstkomponente von AWS. Nach Angaben des Internet Intelligence-Teams von Oracle ging der Angriff von Hardware aus, die sich in einer von eNet (AS10297) betriebenen Einrichtung in Columbus, Ohio, USA, befand. Die Angreifer leiteten MyEtherWallet.com-Anfragen an einen Server in Russland weiter, der eine Phishing-Website nutzte, um Kontoinformationen zu kopieren, indem er vorhandene Cookies las. Die Hacker verdienten durch diesen Angriff 215 Ether, was etwa 160.000 US-Dollar entspricht.

BGP wurde in einigen Fällen auch von staatlichen Akteuren missbraucht. Im November 2018 deuteten Berichte darauf hin, dass mehrere Organisationen im Iran BGP-Angriffe nutzten, um den Telegram-Verkehr in das Land zu blockieren. Darüber hinaus wurde China auch vorgeworfen, BGP-Angriffe über Präsenzpunkte in Nordamerika, Europa und Asien durchzuführen.

Die Arbeit zum Schutz von BGP vor diesen Angriffen wird vom NIST und dem DHS Science and Technology Directorate in Zusammenarbeit mit Secure Inter-Domain Routing (SIDR) durchgeführt, das darauf abzielt, eine „BGP-Route-Origin-Authentifizierung“ (BGP Route Origin Validation) mithilfe von Ressourcen durchzuführen Public-Key-Infrastruktur.

Mehr sehen:

• Die drei größten Herausforderungen für die Multicloud-Sicherheit und wie man eine Strategie entwickelt
• So überprüfen Sie, ob ein Computernetzwerk sicher ist
• Wie können Sie feststellen, ob jemand auf Ihren Computer zugegriffen und ihn benutzt hat?
• Top 10 der besten kostenlosen Keylogger-Software für Windows