Diese Woche bekommen wir endlich Insider-Informationen zu einigen alten Geschichten, angefangen mit das Bitwarden Windows Hello-Problem vom letzten Jahr. Sie erinnern sich vielleicht, dass Bitwarden die Möglichkeit hat, Windows Hello als Option zum Entsperren des Tresors zu verwenden. Leider verschlüsselt die Windows-Anmeldeinformations-API die Anmeldeinformationen nicht so, dass zum Entsperren eine zusätzliche Windows Hello-Verifizierung erforderlich ist. Daher wird ein abgeleiteter Schlüssel im Anmeldeinformationsmanager gespeichert und kann über einen einfachen API-Aufruf abgerufen werden. Keine zusätzlichen biometrischen Daten erforderlich. Auch wenn der Bitwarden-Tresor gesperrt und die Anwendung geschlossen ist.
Es gibt noch eine weitere Gefahr, die nicht einmal den Zugriff auf den angemeldeten Computer erfordert. Auf einem Computer, der einer Domäne beigetreten ist, sichert Windows diese Verschlüsselungsschlüssel auf dem Domänencontroller. Der verschlüsselte Tresor selbst ist standardmäßig auf einem Domänencomputer über SMB verfügbar. Ein kompromittierter Domänencontroller könnte sich einen Bitwarden-Tresor schnappen, ohne jemals Code auf dem Zielcomputer auszuführen. Die gute Nachricht ist, dass dieses spezielle Problem mit Bitwarden und Windows Hello jetzt behoben ist, und zwar seitdem Version 2023.10.1.
Umgekehrte RDP-Ausnutzung
Normalerweise halten wir es für gefährlich, das Remotedesktopprotokoll dem Internet zugänglich zu machen. Und es ist. Stellen Sie Ihren RDP-Dienst nicht online. Aber Reverse-RDP ist die Idee, dass es auch gefährlich sein könnte, einen RDP-Client mit einem bösartigen Server zu verbinden. Und natürlich gibt es bei mehreren RDP-Implementierungen dieses Problem. Es gibt rdesktop, FreeRDP und Microsofts eigenes mstsc, die alle Schwachstellen im Zusammenhang mit Reverse RDP aufweisen.
Die technischen Details sind hier nicht besonders interessant. Dabei handelt es sich um Variationen des Themas, dass Remote-Daten vom Server nicht ordnungsgemäß überprüft werden und daher über interne Puffer entweder gelesen oder geschrieben wird. Dies führt zu verschiedenen Formen von Informationslecks und Problemen bei der Codeausführung. Interessant sind die unterschiedlichen Reaktionen auf die Ergebnisse [Eyal Itkins] Essen zum Mitnehmen darüber, wie Sicherheitsforscher mit der Offenlegung von Schwachstellen umgehen sollten.
Zunächst einmal hat Microsoft eine Sicherheitslücke als nicht behebbar abgetan. Und ging dann dazu über, es intern zu recherchieren und es als neuartigen Angriff darzustellen, ohne [Eyal] ordnungsgemäß als Originalfund zuzuordnen. rdesktop enthielt einige dieser Probleme, konnte das Problem jedoch innerhalb weniger Monate beheben. FreeRDP hat einige Probleme sofort behoben, was man als einen Whack-a-Mole-Prozess bezeichnen könnte, aber es wurde ein Patch ausgearbeitet, der das Problem tatsächlich auf einer tieferen Ebene beheben würde: die Änderung eines API-Werts von unsigned size_t in einen signierten ssize_t. Es hat satte zwei Jahre gedauert, bis diese Änderung in einer Veröffentlichung der Welt vorgestellt wurde. Warum so lange?
Zwei Gründe für diese lange Zeitverzögerung. Zunächst einmal handelte es sich um eine verschärfende Änderung und nicht um eine Reaktion auf eine einzelne Schwachstelle. Es hätte viele von ihnen auf einmal verhindert, aber es war keine erforderliche Änderung, um sie einzeln zu beheben. Aber was noch wichtiger ist: Dies war eine API-Änderung. Es würde Dinge kaputt machen. Werfen Sie es also in den Hauptversionszweig und warten Sie. Und hier liegt ein kleines Dilemma. Sollte ein Forscher das Problem online darlegen oder geduldig warten? Hier gibt es keine allgemeingültige Antwort, da jede Situation ihre eigene Komplexität hat, aber [Eyal] vertritt den Standpunkt, dass Sicherheitsforscher sich mehr darum kümmern sollten, dass bei Projekten Korrekturen angewendet werden, und sich nicht nur damit zufrieden geben sollten, einen weiteren CVE zu erzielen.
Crawlen Sie Netzwerke mit SSH-Snake
Dieses clevere Tool haben wir diese Woche gerade entdeckt: SSH-Snake. Das Konzept ist einfach. Das Skript sucht nach privaten SSH-Schlüsseln und versucht sie dann in der Liste der bekannten SSH-Hosts. Für jeden Host, der einen Schlüssel akzeptiert, wird das Skript erneut ausgeführt. Es legt keine Dateien im Dateisystem ab und wird automatisch ohne Eingriff ausgeführt, wobei am Ende ein übersichtliches Diagramm der zugänglichen Systeme erstellt wird. Auf jeden Fall ein lohnendes Werkzeug, das Sie in Ihrem digitalen Werkzeugkasten behalten sollten.
Bits und Bytes
In einer amüsanten Variante des Online-Spiels Mandiant hat diese Woche für eine Weile die Kontrolle über sein X-Konto verloren. Es war ein lustiges Katz-und-Maus-Spiel, bei dem Beiträge, die Krypto-Betrug propagierten, auftauchten, verschwanden und wieder auftauchten. Man kann sich die hektische Arbeit, die hinter den Kulissen geleistet wurde, nur vorstellen. Hoffentlich können wir in ein paar Wochen einen Mandiant-Blogpost dazu veröffentlichen. Und ja, Es gibt eine XKCD dazu.
As you likely noticed, yesterday, Mandiant lost control of this X account which had 2FA enabled. Currently, there are no indications of malicious activity beyond the impacted X account, which is back under our control. We’ll share our investigation findings once concluded.
– Mandiant (@Mandiant) 4. Januar 2024
Wenn Sie noch ein Lastpass-Konto haben, haben Sie diese Woche möglicherweise E-Mails darüber erhalten Eine Änderung der Master-Passwort-Anforderungen ist in Arbeit. Der TL:DR ist, dass Lastpass zuvor ein 12-stelliges Passwort „verlangt“ hat. Ab bald müssen alle Passwörter tatsächlich 12 Zeichen lang sein, auch die von älteren Konten. Wenn Sie ein kürzeres Passwort haben, wäre es wahrscheinlich sowieso das Beste, dieser Änderung zuvorzukommen.
Es wirkt tatsächlich etwas taub 23andMe macht die Opfer für die jüngsten Kontoverstöße dort verantwortlich. „Benutzer verwendeten auf 23andMe.com dieselben Benutzernamen und Passwörter wie auf anderen Websites, die zuvor Opfer von Sicherheitsverletzungen geworden waren, und Benutzer haben ihre Passwörter nach diesen vergangenen Sicherheitsvorfällen fahrlässig recycelt und nicht aktualisiert.“ Außer, dass das technisch korrekt ist. Benutzer verwendeten Passwörter tatsächlich mehrfach. Und die Benutzer haben sich tatsächlich dafür entschieden, Details mit ihren genetischen Übereinstimmungen zu teilen. Der einzige wirkliche Fehler bestand darin, dass niemand bei 23andMe den Credential-Stuffing-Angriff bemerkte, als er stattfand, aber das ist im Vergleich zum normalen Datenverkehr zugegebenermaßen schwer zu erkennen. Also wahrscheinlich eine Eins für den technischen Punkt. Und ein D für die Lieferung.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://hackaday.com/2024/01/05/this-week-in-security-bitwarden-reverse-rdp-and-snake/
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 10
- 12
- 2023
- 2FA
- a
- Fähig
- Über uns
- Akzeptiert
- Zugang
- zugänglich
- Konto
- Trading Konten
- Aktivität
- berührt das Schneidwerkzeug
- Zusätzliche
- Adresse
- aufs Neue
- voraus
- Alle
- ebenfalls
- an
- machen
- Ein anderer
- beantworten
- jedem
- Bienen
- erscheinen
- Anwendung
- angewandt
- Ansatz
- SIND
- AS
- At
- Attacke
- Im Prinzip so, wie Sie es von Google Maps kennen.
- verfügbar
- ein Weg
- Zurück
- Backs
- BE
- war
- hinter
- hinter den Kulissen
- BESTE
- Beyond
- Biometrie
- Bit
- PiependerComputer
- Filiale
- Verstöße
- Break
- Haufen
- aber
- by
- rufen Sie uns an!
- CAN
- Häuser
- Übernehmen
- Ändern
- Charakter
- Zeichen
- Überprüfung
- Auftraggeber
- geschlossen
- Code
- COM
- Komplexität
- Kompromittiert
- konzept
- betroffen
- geschlossen
- Vernetz Dich
- enthalten
- Inhalt
- Smartgeräte App
- Controller
- gekocht
- und beseitigen Muskelschwäche
- könnte
- Kurs
- KREDENTIAL
- Zeugnisfüllung
- Referenzen
- Krypto
- Krypto-Betrug
- Zur Zeit
- cve
- ACHTUNG
- Gefährlich
- technische Daten
- tiefer
- Standard
- definitiv
- Lieferanten
- Abgeleitet
- beschrieben
- Desktop
- Details
- DID
- anders
- schwer
- digital
- verschwinden
- erkennen
- Bekanntgabe
- entdeckt
- die
- Tut nicht
- Domain
- erledigt
- Nicht
- dr
- Drop
- jeder
- entweder
- E-Mails
- freigegeben
- verschlüsselt
- Verschlüsselung
- Ende
- Sogar
- ÜBERHAUPT
- Jedes
- Außer
- Gescheitert
- Scheitern
- wenige
- Mappen
- Endlich
- Finden Sie
- Befund
- Vorname
- Fixieren
- fixiert
- Fixes
- Folgende
- Aussichten für
- Formen
- für
- Spaß
- Spiel
- genetisch
- bekommen
- bekommen
- gut
- Graph
- hätten
- Hand voll
- Los
- Haben
- daher
- hier
- Hoffentlich
- Gastgeber
- Gastgeber
- Ultraschall
- HTTPS
- Idee
- if
- Bild
- wirkt
- Realisierungen
- wichtig
- in
- Einschließlich
- Anzeigen
- Individuell
- Information
- innerhalb
- interessant
- intern
- innen
- Internet
- Intervention
- in
- Untersuchung
- Probleme
- IT
- SEINE
- selbst
- beigetreten
- jpg
- nur
- Behalten
- Wesentliche
- Tasten
- bekannt
- Nachname
- Lastpass
- Undichtigkeiten
- Niveau
- wahrscheinlich
- Liste
- ll
- verschlossen
- Lang
- lange Zeit
- SIEHT AUS
- verloren
- Maschine
- Dur
- um
- MACHT
- böswilligen
- Malwarebytes
- Manager
- Master
- Streichhölzer
- Kann..
- Microsoft
- könnte
- Monat
- mehr
- mehrere
- erforderlich
- Netzwerke
- News
- flott
- nicht
- normal
- Normalerweise
- Roman
- jetzt an
- of
- WOW!
- Alt
- Telefongebühren sparen
- on
- einmal
- EINEM
- Online
- einzige
- Option
- or
- Original
- Andere
- UNSERE
- übrig
- besitzen
- besondere
- Passwort
- Passwörter
- passt
- Patch
- geduldig
- Plato
- Datenintelligenz von Plato
- PlatoData
- Play
- gespielt
- Points
- BLOG-POSTS
- Gegenwart
- verhindert
- vorher
- Vor
- privat
- Private Schlüssel
- wahrscheinlich
- Aufgabenstellung:
- Probleme
- Prozessdefinierung
- Projekte
- richtig
- Protokoll
- Schieben
- setzen
- ganz
- Lesebrillen
- echt
- wirklich
- Gründe
- kürzlich
- recycelt
- Release
- merken
- entfernt
- erfordern
- falls angefordert
- Anforderung
- erfordert
- Forschungsprojekte
- Forscher
- Forscher
- Antwort
- Antworten
- Die Ergebnisse
- rückgängig machen
- Recht
- Laufen
- läuft
- gleich
- Betrug
- Szenen
- Ergebnis
- Skript
- Sicherheitdienst
- Sicherheitsverstoss
- Sicherheitsforscher
- scheinen
- Server
- Wartung
- Teilen
- ,,teilen"
- sollte
- unterzeichnet
- Einfacher
- da
- Single
- Situation
- SMB
- So
- solide
- einige
- Bald
- Beginnen Sie
- Immer noch
- gelagert
- Geschichten
- Füllung
- Stil
- Fach
- Systeme und Techniken
- Target
- Technische
- technisch
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- die Welt
- ihr
- Sie
- Thema
- dann
- Dort.
- Diese
- think
- fehlen uns die Worte.
- diese Woche
- diejenigen
- Durch
- Zeit
- zu
- nahm
- Werkzeug
- Tools
- der Verkehr
- was immer dies auch sein sollte.
- WENDE
- für
- Unglücklicherweise
- öffnen
- Aktualisierung
- -
- benutzt
- Nutzer
- Wert
- Variationen
- verschiedene
- Gewölbe
- Verification
- Version
- Opfer
- vs
- Sicherheitslücken
- Verwundbarkeit
- warten
- wurde
- Weg..
- we
- Webseiten
- Woche
- Wochen
- waren
- Whack-A-Mole
- Was
- welche
- während
- warum
- werden wir
- Fenster
- mit
- ohne
- WordPress
- Arbeiten
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- lohnend
- würde
- Schreiben
- X
- Jahr
- ja
- gestern
- U
- Ihr
- Zephyrnet