Unser Sicherheitslücken-Bericht Mitte 2020 enthält einen Überblick über die gefährlichsten Sicherheitslücken: Die Erkenntnisse dazu liefert das Avira Vulnerability Detection Team, das zu den Avira Protection Labs gehört.
Die 5 größten Sicherheitslücken
Die drei Kriterien für Schwachstellen, um es auf unsere Liste der 5 größten Sicherheitslücken für Mitte 2020 zu schaffen, lauteten: Gefahrenpotenzial, Verbreitung und Höhe des potenziellen Schadens.
Im Sommer 2020 wurden auf verschiedenen Software-Plattformen mehrere als kritisch eingestufte Schwachstellen entdeckt und anschließend mit einem Patch geschlossen. Die gefährlichste Sicherheitslücke heißt Zerologon und kapert Domain-Controller. Platz zwei belebt SIGRed: Das ist eine Reihe von Bugs in Microsofts DNS-Server.
Zerologon: Sicherheitslücke in Microsofts Netlogon-Protokoll
Mit dem August-Patch machte Microsoft eine Sicherheitslücke öffentlich, die mit einem CVSS-Score von 10, also dem höchsten Schweregrad, eingestuft wurde. Besser bekannt ist dieser Bug mit der Bezeichnung CVE-2020-1472 unter dem Namen „Zerologon“.
Über diese Sicherheitslücke können sich entfernte Angreifer Zugriff zum Domain-Controller verschaffen und Administrator-Rechte übernehmen.
Ursachen für diese Schwachstelle sind ein schwacher Verschlüsselungsstandard und die vom Netlogon-Protokoll verwendete Methode zur Authentifizierung. Durch Fehler beim Einsatz der AES-Verschlüsselung geben sich Angreifer als ein beliebiges Gerät innerhalb des Domänennetzwerkes aus. Anschließend muss das Passwort nur noch durch ein Leerfeld oder Nullen ersetzt werden. Diesen Nullen hat die Schwachstelle übrigens ihren Namen „Zerologon“ zu verdanken.
Zerologon ist nachweislich bereits in öffentlichen Repositorys aufgetaucht. Microsoft hat einen zweiten Patch zur Schließung der Schwachstelle angekündigt.
Im September wurde dann tatsächlich Zerologon für Angriffe aktiv genutzt.
Bei SMBGHOST war es ganz ähnlich: Im Sommer wurden Exploits veröffentlicht – und somit Möglichkeiten, diese Schwachstelle ausnutzen. Dies hat zu einem spürbaren Anstieg der externen Angriffe auf anfällige SMB-Dienste geführt.
CVE-2020-1350 oder SIGRed: Schwachstelle in Microsoft-DNS
Nicht nur eine Reihe von DNS-Bugs, die Microsoft diesen Sommer bekannt gegeben und geschlossen hat, sondern auch SIGRed oder CVE-2020-1350 ist eine gefährliche Schwachstelle mit dem höchstmöglichen CVSS-Score von 10. SIGRed steckt in den Windows-Server-Versionen 2013 bis 2019 und ist durch das Wurmpotenzial eines Exploits als kritisch einzustufen.
Durch diese Sicherheitslücke kann per Fernzugriff ein beliebiger Code ausgeführt werden. Hierzu versenden die Angreifer eine größere Payload, als der Server verarbeiten kann. Dadurch kommt es durch einen Integer-Überlauf zu einem Heap-basierten Puffer-Überlauf. Laut CheckPoint müssen dabei der schädliche DNS-Server und die Windows-Server der Opfer mittels SIG- oder RRSIG-Einträgen miteinander kommunizieren, um die Sicherheitslücke auszulösen. Beide haben dieselbe Struktur.
Microsoft nutzt dieselbe SigWireRead-Funktion, um die beiden Eintragstypen zu parsen. Deshalb wurde die Sicherheitslücke auf den Namen SIGRed getauft. Bisher wurden noch keine Exploits veröffentlicht. In aktuellen Blog-Artikeln wird jedoch eine Ausnutzung dieser Verwundbarkeit bereits beschrieben.
BIG-IP von F5: Ausführung von Remote-Code
Eine weitere kritische Sicherheitslücke wurde im BIG-IP-Produkt von F5 entdeckt und mit der Nummer CVE-2020-5902 versehen. Diese Sicherheitslücke betrifft das Konfigurations-Tool, das über den BIG-IP-Verwaltungsport erreichbar ist. Für einen erfolgreichen Exploit muss eine Netzwerkverbindung zum BIG-IP-Port von F5 bestehen. Dann können unbefugte Angreifer beliebige Systembefehle ausführen, Dateien erstellen oder löschen, Dienste deaktivieren und dafür sorgen, dass beliebiger Java-Code das System kompromittiert.
Kurz nach der Veröffentlichung der Sicherheitshinweise wurden bei einem groß angelegten Scan auf der Suche nach anfälligen Geräten aktive Exploits entdeckt.
Use After Free: Sicherheitslücke in Mozilla Firefox
Der Browser Mozilla Firefox hat Anfang Juni die Sicherheitslücke CVE-2020-12405 mit einem Patch geschlossen. Bei dieser Schwachstelle kann eine Race Condition (das heißt, wenn mehrere Threads den gleichen Code ausführen und keinen stabilen Endzustand erreichen) die Funktion der Komponente SharedWorker beeinträchtigen. Gelingt es Angreifern, diese Sicherheitslücke auszunutzen, können sie per Fernzugriff einen beliebigen Code ausführen. Bisher wurden aber noch keine Exploits dokumentiert.
BLURtooth: Sicherheitslücke in Bluetooth-Geräten
Im September machte die Bluetooth Special Interest Group die Schwachstelle CVE-2020-15802 öffentlich. In diesem Zusammenhang gab die Interessengemeinschaft auch einen Leitfaden heraus, wie Hersteller diese neuen Angriffe auf Bluetooth-fähige Geräte abwenden können. Die Schwachstelle BLURtooth (auch BLUR-Angriff genannt) basiert auf so genannten Long-Term-Verbindungsschlüsseln. Diese Schlüssel dienen dazu, dass aufgebaute Bluetooth-Verbindungen vom Anwender nicht regelmäßig manuell bestätigt werden müssen. Genau an dieser Stelle setzen Angreifer an, um den Sicherheitsmechanismus der Technologien Bluetooth Classic und Bluetooth Low Energy (BLE) zu umgehen.
Bluetooth-Konfigurationen mit Basic Rate/Enhanced Data Rate (BR/EDR) werden für die Nahbereichskommunikation mit geringer Leistung verwendet. Um eine verschlüsselte Verbindung aufzubauen, müssen zwei Bluetooth-fähige Geräte mit einem Link-Schlüssel gepaart werden. Sind zwei Geräte schon einmal eine Paarung/Bindung eingegangen, kann sich ein nicht autorisierter und in der Nähe befindlicher Angreifer ohne Link-Schlüssel als eines der gepaarten/verbundenen Geräte ausgeben. Durch einen BIAS-Angriff (Bluetooth Impersonation Attack), das heißt, einem Bluetooth-Gerät wird die Identität eines anderen Geräts vorgetäuscht, kann sich der Angreifer vollständigen Zugang zum gekoppelten Gerät verschaffen.
Diese Schwachstelle gefährdet möglicherweise Milliarden von Geräten, auf denen die betroffenen Versionen installiert sind. Aktuell gibt es noch keine Patches, um solche Angriffe abzuwehren.
Sicherheitslücken und Exploits sind eine ständige Bedrohung. Wir vom Avira Vulnerability Detection Lab behalten Exploits rund um die Uhr im Auge und analysieren die neuesten Sicherheitslücken. Nur so können wir unseren Kunden den besten Schutz und die besten Erkennungsfunktionen bieten.