Hilfreiche Internetprovider und wenig hilfreiche Response Center

00:00:00:

00:00:02: Passwort, der Heise Security Podcast.

00:00:08: Hallo liebe Hörerinnen und Hörern!

00:00:10: Willkommen zu einer neuen Folge von Passwort dem Podcast von Heise security.

00:00:15: Ich bin Christopher Kunz von heise security

00:00:18: Und mein Name ist Lester Trebbel vom Computer Magazin CT.

00:00:22: Wir kommen zur Bonusfolge die wir euch versprochen haben.

00:00:26: Wir haben jetzt noch zwei Themen im Gepäck.

00:00:29: Das erste heißt Chinadu Android-Mailware, die Kaspersky beschrieben hat.

00:00:39: Die Beschreibung davon packen wir euch auch in die Show notes.

00:00:41: Das ist ganz interessant wenn ihr das interessiert und sich vor allem doch auszeichnen dass sie wirklich sehr flexibel ausgelegt ist.

00:00:50: Kinado steckt in der Firmware von Android Telefon Tablets oder so was auch immer In einer Library die halt infiziert ist.

00:00:59: Und von dieser Library ausgeindizierte es sich dann in jede App.

00:01:04: Und die befallenen apps verbinden sich dann so klein server style.

00:01:09: Mit der merwe in der firm werden also die merwe schenken sozusagen auch in der app erkennt danach ich bin in einer app und wechselt sozusagen in den kleinen modus.

00:01:16: und, Die merwe die in der firma läuft ist im server modus um und dann können wir miteinander kommunizieren und umgehen.

00:01:23: halt damit üblichen app trennungen sind boxen untergleichen.

00:01:28: Kinado bringt ein plug-in system mit über das dann alles mögliche zurück nachgeladen werden kann, aber das ist noch ein ganz fieser Aspekt.

00:01:39: Bevor sie irgendwann sehr zum Paar Schutzmaßnahmen die so üblich sind.

00:01:44: unter anderem guckt sie ob die Spareinstellung irgendwie auf Chinesisch steht oder die Zeitzone auf eine chinesische Zeitzone dann legt sich wieder hin.

00:01:55: Sie wird aber auch erstmal gar nicht aktiv wenn sie nichts also wenn sie frisch installiert ist sondern die macht erst mal zweieinhalb Monate nix.

00:02:04: Und das ist natürlich ein ganz guter Trick, um sozusagen einem neuen Gerät, dass man irgendwie erst mal skeptisch beäugt, da nicht aufzufallen.

00:02:16: Diese Malware legt sich in den Prozessnamens Psygoat also zygote Prozess.

00:02:23: Das musste ich auch erstmal lernen.

00:02:28: PR-Prozess ID Null unter Android.

00:02:30: Also der Prozess, der das forgen alle anderen Prozesse übernimmt?

00:02:33: Ich glaube es ist der Prozess von dem alle Apps rausgefolgt werden nicht den Prozess von dem allen anderen Prozess herausgefolkt werden.

00:02:40: also ich glaube nicht dass es PID Dull ist sondern nur das wo dann alle Apps ausgestattet werden.

00:02:46: nageln mich aber nicht drauf fest.

00:02:49: Aber ja Das ist scheinbar auch nicht zum ersten mal eine ganz beliebte Taktik.

00:02:54: wenn ich sozusagen Android Melvair habe die in der Firma wer hängt dass es sich dann da einklingt um halt sicherzustellen, dass sie sozusagen in jeder App die läuft mitläuft.

00:03:04: Und Sci-Goat ist glaube ich ein Begriff aus der Biologie, den die Android Entwickler da irgendwie übernommen haben.

00:03:11: Naja jedenfalls Kinado legt sich erst mal hin und wird nach zweieinhalb Monaten aktiv.

00:03:16: oder wenn sie dann aktiv wird, dann kann Sie von Ihrem Command Control Servern diverse Plugins nachladen.

00:03:24: Mit diesen Plugins können Sie zum Beispiel neue apps installieren oder auch bestehende apps updaten mit unterwanderten versionen also zum beispiel die amazon app dann mit einer version die halt einfach zeug ungefragt in den wahren koppel liegt dass es.

00:03:41: Mitgekauft wird und einkäufe generiert.

00:03:45: kinado kann apps manipulieren damit die sozusagen werbe interaktionen auslösen.

00:03:51: das ist halt interessant für so monetarisierte Anzeigen, wo man pro klickt und irgendwie kriegt oder so.

00:03:56: Und dann hat man da halt ein Haufen Apps die die ganze Zeit klicken.

00:04:01: sie kann Chrome unterwandern um mitzuschneiden welche Suchanfragen in den Nutzer in das Chrome-Suchfeld eingeben und diese Suchanfang an auszuleiten.

00:04:11: Sie können auch einfach bediebige Apps installieren und dann die Installation dieser Apps über so einen Tracking Link vermeldet.

00:04:19: Das dient vermutlich dazu wenn irgendwelche Firmen Geld dafür zahlen, dass ihre Apps auf möglichst vielen Geräten landen.

00:04:29: Egal wie dann kann man halt über so ein System wie Kinado gehen und sagen ich hab hier deine App gerade mal auf Zehntausend Android Tablets drauf geschmissen Und hier hast du sozusagen diese zehntausende Android Tablet die auch tatsächlich reporten das deine App jetzt läuft und es gibt mir halt das Geld.

00:04:49: nur in der App stecken, also nicht sozusagen in die Firmen eingebettet werden.

00:04:53: In dieser Variante fand es sogar Eingang in den Play Store.

00:04:57: Also da wurden infizierte Apps gefunden und sie sind mittlerweile raus.

00:05:02: Und ich würde davon ausgehen dass mittlerweile auch Play Protect diese Schutzmechanismus von Google-Kinado erfasst wenn es so vorliegt.

00:05:11: Kinado konnte auch in System-Apps stecken.

00:05:14: Das ist ein bisschen fieser, weil man so eine System App also zum Beispiel der Launcher von Android oder so die kann man halt nicht entfernen.

00:05:25: Die normalen Apps kann man ja die installieren.

00:05:28: das wäre sozusagen auch the way to go wenn man so ne Form von Kinado auf dem Gerät hat.

00:05:33: Dass er irgendeine App steckt dass man diese App herunter schmeißt Systemeps kann man nicht unterschmeißen.

00:05:37: Kaspiarski Räder tatsächlich dazu, naja man kann diese Systemepps ja über die Android Debug Bridge stilllegen und dann halt entweder nicht nutzen wenn man sie eh nicht braucht oder halt durch eine andere App ersetzen.

00:05:50: also zum Beispiel einen infizierten Launcher still legen und sich einen anderen Launcher installieren Da muss ich schon sagen, wie mutig.

00:05:58: Also wenn ich weiß dass sich hier ein Gerät habe das in eine System-App irgendwie Meldwert trägt dann würde ich das nicht einfach weiter hernehmen weil ich ja diese System App stillgelegt hab.

00:06:10: Dann würde ich mit dem Hammer draufhauen entweder mit den virtuellen Dass ich da neues Betriebssystem drauf schmeiß oder mit dem Physischen Wenn wenn wenn ich den virtuellen nicht hernehmen kann aus welchen Grund auch immer Ich weiß nicht wie siehst du das würdest du sagen Geht schon ist er still gelegt?

00:06:25: Nee, also ich finde das ist eine der Grundregeln auch der Bedrohungsbereinigung zumindest bei Hutkit Level-Bedrohung und das ist ja genau das was wir haben.

00:06:36: Das ist am Ende ein Firmware-Level-Hutkit und danach ist Neumachen angesetzt da ist jede Bereinigung kann Artifakte hinterlassen und das kenne ich seit den ersten Linux Hutkits mit denen ich zu tun hatte dass da dann irgendwo doch noch ein Cronjop rumgammelt, der dann vom C&C nochmal eine neue Version nachlädt oder so und dann hast du in irgendeinem Scheduler noch was.

00:06:59: Und schwuppdüber passt in die Rehinfektion.

00:07:01: also das finde ich arg schwierig.

00:07:06: Ich würde es auch nicht empfehlen.

00:07:10: In den Passagen dieses langen Artikels, dem wir euch auch in die Schonholz gepackt haben, nicht reingeguckt warum sie das empfeheln.

00:07:17: aber generell stellen Sie mir aus ein bisschen die Nakenhaare auf.

00:07:21: Ja, ich glaube sie also sozusagen nicht im Sinne von das ist das beste Vorgehen sondern es ist halt Einmögliches vorgehen und die Frage ist ja auch so ein bisschen was bleibt ihr denn übrig?

00:07:33: Also die Die nächste beste Methode ums los zu werden ist halt das Gerät irgendwie loszuwerden Wenn es eben also die Infektion so vorliegt.

00:07:43: Jetzt natürlich die Frage, also die gefährlichste Variante davon ist ja wenn es in der Firma hängt aber auch in den System-Apps.

00:07:49: Wie kommt's denn da überhaupt rein?

00:07:50: Das ist eine gute Frage, die sich zumindest bislang wohl noch nicht abschließend geklärt hat.

00:07:57: Betroffen waren einige Hersteller, also nicht nur einer vornehmlich hersteller von eher billigen Android Tablets und er sieht so aus als sei diese Herstelle selber Opfer gewesen.

00:08:11: Also was wäre bei denen irgendwie Und zwar auch da, also diese Firmen war dann signiert.

00:08:17: Also das wohl nicht einfach nur irgendwie der Ausspielmechanismus der Firmen übernommen worden oder irgendwie das CDN oder so sondern offenbar irgendwie deren Bildpipeline kompromittiert wurden und Kinado ist in die Firmware eingebettet worden, Herstellerseitig bevor sie das signiert haben zumindest ein Herrschiller an dem Caspersky da dran war Der hat inzwischen es auch geschafft saubere Firmenwerke zu veröffentlichen.

00:08:42: Das heißt, ein Weg den man natürlich immer gehen sollte und der auch hier eine Chance hat zu helfen ist.

00:08:49: Du hast die Finger oben.

00:08:51: Ja ich wollte nur das mal ungefähr vorstellen.

00:08:54: können wir einen Namen nennen?

00:08:55: weil dass der Hersteller ist er ja auch in dem Advisory genannt wird Die heißen Alldogcube.

00:09:09: Persönlich noch nie gehört, bin jetzt kein Android-Tablet-Experte.

00:09:11: Aber mehr ist es noch nie untergekommen?

00:09:14: Das ist richtig aber ich wollte das sozusagen... also ich wollte vermeiden dass ihr euch jetzt denkt naja irgendein so ein No Name Hersteller von dem ich noch nie gehört habe weil es eben nicht nur einen Herrscher war.

00:09:29: Ich erzähle nach wie wir dazu gekommen sind.

00:09:32: aber das Gerät das bei uns betroffen war Jetzt muss ich es leider nochmal kurz googeln, weil ich halt jetzt natürlich auch auf keinen Fall den falschen Hersteller nennen will.

00:09:44: Das war ein Acer Tablet und das ist natürlich jetzt durchaus eine Herstelle die man kennt.

00:09:52: Also gerade bei chinesischen Herstellern ist es ja nun auch so dass häufig die Namen extrem schnell wechseln, in einem anderen Fall den ich gerade bearbeite.

00:10:02: Da gibt's das gleiche Gerät oder das gleiches Basisgerät und da... Ich weiß nicht zwei Dutzend Namen auf Amazon oder so aber es sind hier auch Marken betroffen gewesen, die man schon durchaus kennen könnte.

00:10:13: Und das waren glaube ich so Mediatek Chipsetzer hauptsächlich, die Tablets.

00:10:20: Ja wobei also ist es wohl ohne klar sozusagen wo genau diese Bildbeiplein dieser Hersteller kompromittiert wurde.

00:10:28: Es sieht jedenfalls so aus, ob die Hersteller selber sozusagen Opfer sind und nicht irgendwie böswillig mit den mehreren Autoren kooperieren sondern halt hopsgenommen worden sind.

00:10:39: das ist jetzt auch ehrlich gesagt nicht so.

00:10:41: also schocking der hersteller von dem billige tablet arbeitet halt billig und deswegen ist dann das tablet billig Und deswegen ist halt die security von der bild pipeline von denen vielleicht auch eher billig finde ich jetzt jedenfalls nicht so überraschend, dass da eine Möglichkeit für Melvier gegeben ist.

00:11:05: Jetzt denkt ihr euch vielleicht, das klingt nach einer ziemlich krassen Melvair, die kann irgendwie in deiler Formen ausgeliefert werden und die kann mehr oder weniger alles machen und sie steckt tief im System, warum habt ihr davon noch nie gehört?

00:11:19: Es könnte daran liegen, dass die interessanterweise so verbreitet nicht war.

00:11:22: Also Kaspersky meldet um knapp vierzehntausend Betroffene in ihrer Telemetrie weltweit.

00:11:30: Ich gänne jetzt die Installationsbasis von Kaspierski nicht aber die wird ich hoffe mal für Kasparsky weltweit deutlich über vierzehntausend liegen.

00:11:39: Insofern das sind nicht nichts aber es ist auch kein Weltuntergang.

00:11:50: Das ist der Grund, warum ihr vielleicht davon gehört haben könntet.

00:11:54: Das wäre dann der gleiche Grund aus dem wir letztendlich davon gehört hatten und zwar weil euch die telekom bescheid sagt oder halt Der isp eurer wahl wenn ihr nicht bei der telekom seid.

00:12:07: Beziehungsweise in unserem Fall war es ein bisschen komplizierter.

00:12:09: Uns hat Gerrit Bescheid gesagt, das liegt aber daran dass die Telekom eine Verwandten oder eine Verwandte von Gerrit bescheid gegeben hat.

00:12:19: Die hat dann Gerrit gescheit gegeben und jetzt geben wir euch Bescheide.

00:12:25: Habt einen Auge auf Kinnado Aber noch viel mehr.

00:12:28: habt ein Auge of solche Infos von eurem ISP.

00:12:32: Um das mal ein bisschen zu illustrieren, die Verwandte von Gerrit hat eine Mail von der Telekom eben bekommen.

00:12:37: Da stand drin eines oder mehrere Endgeräte in ihrem Netzwerk sind möglicherweise mit Chart Software infiziert.

00:12:43: Folgende Informationen zu dem Sachverhalt haben wir für sie.

00:12:46: Der Zeitpunkt den ich erzähle nicht nenne Infektion, KINADO Details P-CNL Android XII.

00:12:55: P-cnl ist übrigens der Hinweis auf dieses Acer Tablet.

00:12:58: Das ist die Modellbezeichnung davon.

00:13:01: Und dann fragt man sich natürlich, wenn man zu dem Mädchen kriegt.

00:13:04: Ist das jetzt ein Scam?

00:13:06: Und wenn es kein Scam ist, woher weiß die Telekom, dass ich Meilenwehren in meinem Netzwerk hab?

00:13:10: und wenn sie das Feinds vorhergennt sind, wie das Gerät heißt und so.

00:13:18: Die erste Frage ist eben so ne, das ist kein Scram.

00:13:20: also hier zumindest war das kein Scrum.

00:13:23: Die Telekom hat uns berichtet mehrere tausend solcher mails verschickt hat.

00:13:29: Und erstmal ist es natürlich cool, dass die Internet Provider überhaupt sowas machen auf sowas achten und dann versuchen ihre Kunden zu informieren.

00:13:39: So schön das ist.

00:13:40: ich möchte hier trotzdem die Warnung unterbringen.

00:13:41: Natürlich kann so eine Mail auch ein Scam sein.

00:13:44: Das heißt auch wenn ihr so eine Warnungen kriegt bleibt skeptisch klickt nicht sofort unbesehen auf den Link aber andererseits haut es eben auch nicht unbesehn in die Tonne.

00:13:54: Es kommt tatsächlich vor, dass euer Internet Provider bei euch anknopft und sagt hey ich glaube du hast mehr in deinem Netz und nehmt so eine Warnung ernst und geht dir irgendwie nach.

00:14:05: Um den Zahlen auch noch mal ein kleines bisschen Substanz oder einen Vergleichsmöglichkeit zu verleihen die eine weitere Quelle von Mal oder einer weiteren Strain von Mal wäre wo die Telekom solche Warnungen verschickt ist.

00:14:18: diese GimWolf-Geschichte haben wir glaube ich hier nicht besprochen aber Die hatten wir auch auf Heise und das ist auch noch so ein großes Botnet, also das Aizuru Kimbulf-Botnet.

00:14:30: Das auch mal wäre auf allerlei Haushalts-, also Androidgeräten nutzt.

00:14:36: Und da wurde nur ein Viertel der Warnung durch die Telekom versandt wie bei hier in diesem Fall bei Kinadu.

00:14:45: Also auch da verschickt die Telekommen Warnungen aber bei Kinadoe waren es tatsächlich mehr.

00:14:51: Ja was halt an der Reihen?

00:14:54: von Dinge liegen kann, da kommen wir gleich dazu.

00:14:58: Woher weiß die Telekom überhaupt?

00:14:59: Dass so eine Infektion vorliegt und das sie vorliegen ist halt relativ einfach für den Internet-Provider zu wissen.

00:15:08: wenn man die Kommandekontrollsverwerfer Dysamel kennt also die hat zum Beispiel auch Kaspersky in ihrem Report dokumentiert mit welchen Domains, wie ich ein Domainskinano kina du reden will Dann kann man als ISP natürlich sehen, ach guck an.

00:15:26: Der Hausanschluss hier versucht zu dieser bekannten C&C-Domain eine Verbindung aufzubauen und dann kann ich davon ausgehen dass dort vermutlich ein Infektion mit dieser Melwe vorliegt.

00:15:40: Woher kennen Sie die Details?

00:15:42: Also welches Tablet da jetzt irgendwie betroffen ist und so... Das hat uns einmal Garrett gefragt und wir haben uns auch gedacht das ist eine gute Frage!

00:15:51: Und wir haben die Telekom gefragt Und die haben sehr lieb und ausführlich und auch mehrfach geantwortet.

00:16:01: Es hängt halt so ein bisschen davon ab, aber grundsätzlich wenn ein ISP so eine Anfrage sieht an einem bekannten CNC-Server dann können sie je nach technischer Ausgestaltung bei der Mehrwehr und beim ISP umleiten.

00:16:14: Das ist ja an sich schon mal einen Wert an sich weil ich bin langsam etwas müde Weil dann die server nicht mehr kontakt zu ihrem werden kriegen.

00:16:26: also das ist ja schon mal per se gut wenn der spieter irgendwie reinkräht diese anfangen umleitet aber wenn er das kann, dann ist eventuell auch in der position.

00:16:34: Die antrag selber anzunehmen und dann kommt es halt drauf an was die meld war da sozusagen erst einmal also wie wie so sagen gut die sich selber schützt wie viel details die eventuelle verrät ob die verschlüssel kommuniziert oder nicht.

00:16:49: Im konkreten Fall von Kinado ist es wohl so, dass die Telekom da zumindest HTTP-Header-Daten sieht.

00:16:55: Aus denen sich einige Details schließen lassen.

00:16:58: Caspersky meldet sogar das sozusagen diese ursprüngliche Kontaktaufnahme zum CZServer... ...die Seizer verschlüsselt allerdings mit einem festen Schlüssel den Caspiersky auch dokumentiert und in dieser ersten Kontaktaufnahme steht zum Beispiel Das Geräte-Modell, die EMAI, die MAC Adresse und die Version des Betriebssystems drin.

00:17:21: Das heißt da liefert eigentlich KINADO sehr schön auf dem Silbertablet ein Detailpaket mit dem man dann gut identifizieren kann welches Gerät hier infiziert ist.

00:17:33: Ich weiß es nicht ob die Tele kommt tatsächlich irgendwie das hier also diese Verschlußung einfach aufgemacht hat oder ob's halt alles aus den HTTP Header Daten genügend Infos gibt aber es reicht eben um ein paar Details zu liefern.

00:17:46: Und was ich jetzt auch in der Recherche gelernt habe ist, das tun die nicht unbedingt sozusagen automatisiert mit dieser ersten Mail.

00:17:52: Das hängt wahrscheinlich einfach davon ab wie genau der Internet Provider das macht und so.

00:17:57: Das heißt, was lerne wir da aus?

00:17:59: Wenn ihr so eine Mail-Warnung von eurem Internetprovider bekommt dann solltet ihr die A ernst nehmen und ihr nachgehen und B... Also das Einfachste ist beim Provider nachzufragen.

00:18:09: A ob diese Nachricht überhaupt echt ist.

00:18:11: also das heißt auch nicht nachfragen indem ihr auf den Link in diese Mail klickt bitte.

00:18:15: Und B, ob euch vielleicht noch mehr Details liefern kann.

00:18:17: Die, der mir gar nicht drinstehen, aber auf die an die dir vielleicht rankommt.

00:18:20: Weil halt in dem konkreten Fall die Melba irgendwie dieselbenes tut was dem ISP Details liefert und das kann dann euch helfen das betroffene Gerät zu identifizieren.

00:18:31: Ihr habt nur so ein bisschen überlegt ob ich noch dazuschreiben soll weitere Lehre aus der Geschichte hängt halt nicht jedes billige Gerät sofort in euer Netz.

00:18:42: Ich halte das eigentlich für keinen praktikablen Ratschlag, weil erstens wäre ich nicht sehr überrascht wenn auch bei irgendeinem High-End Gerät sowas auftritt.

00:18:53: Weil auch beim High End Gerät kann ich als Hersteller meine Marge vergrößern, wenn meine Bildpipeline immer noch total beleg' ist.

00:19:02: Bei einer Mel, wer die monatelang schläft wie vor sich irgendwas tut es halt auch ziemlich schwierig sozusagen nach dem Kauf zu gucken ob das Ding sauber ist oder nicht.

00:19:13: Und Kaspersky und so empfehlen natürlich den Griff zu zugverlässigen Antivirus-Lösungen, wobei sie das fairerweise so allgemein schreiben.

00:19:23: Aber natürlich schon wert drauflegen dass Kaspiersky zumindest die in Apps eingebettet die Kinadovariante halt auch erkennt.

00:19:30: Wie gesagt Play Protect kann da auch anschlagen und so ich bin der halt skeptisch weil gerade bei Melvair die halt in der Firmware eingebattet ist können solche Mechanismen auch sehr gut versagen.

00:19:40: Das ist wohl auch so.

00:19:41: also Manche Anti-Virus Produkte erkennen manche Versionen von KINATO, wenn sie instadiert sind.

00:19:48: Aber halt nicht alle, alle!

00:19:51: Insofern weiß ich nicht, ob das ein praktikabler Ratschlag ist.

00:19:54: Leider.

00:19:58: Zudem ist es auch... Ich habe die IOTS mal reingeguckt.

00:20:03: Ist es auch schwer diese Malwehr zu erkennen, wenn man zum Beispiel seinen DNS-Traffic sich anguckt?

00:20:08: Also nicht dass ich jetzt hier ständig so einen Synchro laufen hab und TCP da bin bei meinem ganzen Heimnetz aber Ich gucke schon mal ab und zu auf meinen Pi-Hole, um zu schauen was passiert denn da eigentlich.

00:20:18: Und wie viele Werbeanzeigen sind jetzt weggefiltert worden?

00:20:21: Da sieht man dann auch immer Geräte die unheimlich viele manchmal verdächtig viele DNS Anfragen raus schicken.

00:20:30: In diesem Fall sind dann die DNS Anfragen so in Richtung ubkt.einsxosuswestaliunscs.com.

00:20:41: Das ist das... Die die Cloud von Alibaba also chinesische der große chinesischen cloud anbieter und online shopbetreiber Und da mit denen reden halt auch alle möglichen legitim smart home devices so irgendwie sonnen staubsauger roboter oder sowas.

00:21:00: china der Der gerade deinen bodensaugt er möchte dann vielleicht auch irgendwelche daten aus der ali barba cloud rausziehen ist also auch schwer zu finden und dann wirklich buchstäblich im haushalt oder möglicherweise sogar noch im haus halt von verwandten herauszufinden welches konkrete gerät denn befallen ist ohne genau zu wissen ob überhaupt eins befallen ist.

00:21:23: das könnte ja auch genauso gut noch scam sein dass es schon in der aufgabe die den gered erst mal so ein bisschen kopfschmerzen gemacht hat hatte ich das gefühl anhand der zuschrift.

00:21:33: Ja also das kann ihr auch gut nachvollziehen.

00:21:36: im sinne von jetzt mal hier sozusagen Grüße raus und Beileitsbekundungen an alle Heimatmins, die sich um die Räte anderer Leute kümmern dürfen.

00:21:46: Die vielleicht A-Security nicht auf dem Schirm haben aber auch B in ihrem Heimnetzwerk absolut keinen Setup haben dass man da ordentlich gucken kann was die einzelnen Geräte eigentlich treiben.

00:21:57: und gerufen wird man eh immer nur wenn sozusagen die Hütte so sehr brennt das es irgendwie in der Nutzung auffällt, dass irgendwas nicht stimmt.

00:22:06: Das ist natürlich kein Spaß, umso lieber ist wenn man es dann trotzdem macht.

00:22:12: Was ich hier wirklich für mich mitnehme ist dass es produktiv sein kann in so einem Fall bei Internet Provider anzufragen und zu sagen hey ich habe ja diese Mail bekommen.

00:22:20: könnt ihr habt die vielleicht noch mehr was mir helfen kann bei der Identifizierung?

00:22:25: Also ich finde auch diesen Service ganz schick.

00:22:29: Ich find's Natürlich müssen wir aus Privacy Gesichtspunkten irgendwann mal gucken wie intrusiv darf ein Provider in meinen netzverkehr reinschauen.

00:22:39: also wo ist dann die grenze zwischen dem gut gemeinden oder dem auch nützlichen?

00:22:43: ich gucke auf mal wäre und möglicherweise einem, ich will mal schauen ob der vielleicht auch die zentrale filmback ups hat oder so überschritten.

00:22:51: da muss man immer ein bisschen mit augen maß ran gehen.

00:22:53: Ich habe hier aber das gefühl dass das notwendige augenmaß durchaus gewahrt bleibt.

00:23:00: Und wenn ihr solche Bedenken habt, dass sie euren Provider nicht traut dann sind die technischen Wirksam- und Maßnahmen dagegen ja eh sowas wie HDTPS und Zertifikate prüfen und so.

00:23:12: Und nicht irgendwie sagen.

00:23:15: ich will aber nicht, dass der Provider folgendes nicht darf oder so.

00:23:17: Also wenn das Vertrauen eh nicht gegeben ist dann muss man sich da anders zu weh ersetzen.

00:23:22: Apropos hat GPS.

00:23:23: Ich habe vor einem halben Jahr oder so mal ein etwas älteres in Anführungszeichen Android Tablet bekommen, das in der Familie weitergegeben wurde nachdem es ein Weilchen wohl im Schrank gelegen hatte.

00:23:35: und dann hieß es können die Kinder das vielleicht gebrauchen und guckt doch mal was damit los ist.

00:23:39: Und dann habe ich das angemacht und konnte keine Updates installieren und konnte auch nicht ins WLAN weil das Gerät so alt war dass es nicht nur keinen WPA-Standard mehr gab den das Geräte und ein weltbefindliches WLAN sprechen sondern auch sämtliche CA Zertifikate die Google damals genutzt hatte, um Android-Updates rauszugeben per TLS abgelaufen waren.

00:24:00: Das Gerät hatte also überhaupt keine Möglichkeit mehr irgendwie mit den Google Update-Servern zu kommunizieren und da habe ich dann auch keinen Weg raus gesehen.

00:24:08: das ist jetzt ein Briefbeschwerer.

00:24:09: Ist wahrscheinlich auch ganz gut so denn das muss in eine halbe Jahrzehnte oder so in dem Schrank gelegen haben.

00:24:16: Oder man baut so was dann halt zu einem reinen Offline-Gerät um und sagt, okay das kriegt es einfach Bock keine Verbindung mehr.

00:24:22: Und da packe ich irgendwie meine E-Books-Sammlung drauf und ich nehme's her, um nach zu Bett zu lesen oder so.

00:24:28: Das war für uns kein Use Case weil da doch zu viel online passiert.

00:24:32: Anyway solche Geräte die man sowas in der Haushaltsentrümpelung findet oder wenn man eine Wohnung auflöst oder weiß ich nicht... Das brauche ich nicht mehr, können die Kinder es gebrauchen kommt.

00:24:44: Da sollte man zumindest immer mit einer gewissen Vorsicht rangehen weil man ja auch nicht weiß was bei solchen Geräten dann möglicherweise noch drauf ist.

00:24:51: aber wie erzähle ich das?

00:24:53: Ihr wisst das alle ihr seid ja Security interessiert.

00:24:58: gut Mit Blick auf die Uhrzeit.

00:25:02: wir wollen ja nicht dass die rote Sonne am Horizont verschwindet wenn wir diese Aufnahme beenden.

00:25:07: kommen wir mal zum nächsten Thema.

00:25:09: hier ist allerdings gerade noch schöner Sonnenschein.

00:25:11: Es ist noch kein Abend in Sicht.

00:25:13: Es gibt neue exploits für Windows.

00:25:17: Und jetzt wundert ihr euch vielleicht, warum wir das hier erzählen?

00:25:20: Das ist ja eigentlich ein gewöhnlichen Werktag der Fall.

00:25:24: Was?

00:25:25: Nein!

00:25:25: Shocking!

00:25:26: Shoking!

00:25:27: Breaking News!

00:25:29: Jeden Mittwoch patcht oder fast einmal im Monat oder in welchen Zeiträumen auch immer patcht Microsoft, auch welche davon... Insofern ist das jetzt gar nicht so.

00:25:40: was Ungewöhnliches und ich erzähle auch bis auf so SharePoint lücken solche Windows also klassische Windows exploits nur sehr ungern nach weil Ich mich da doch auch am äußeren Ende meines Haus befinde.

00:25:52: in diesem fall sind aber ein paar spannende Aspekte dabei.

00:25:55: Eins ist die exploits sind zero days gewesen und einer von denen ist es auch heute noch, Also am Aufnahmetag dass der Zweiundzwanzigste April Und ich habe den auch heute morgen noch mal ausgeführt.

00:26:09: Den exploit der ist immer noch Funktioniert, immer noch und es gibt auch noch ein Grund für die Veröffentlichung.

00:26:16: da ist auch so ein bisschen wieder drama.

00:26:19: aber auch was is faul im start microsoft mit dabei und das bietet sich natürlich für uns dann doch als thema so ein bißchen an.

00:26:26: aber versuchen wir's mal der reihe nach.

00:26:31: Anfang april wurde auf github einen Xploit hochgeladen, also das Quellcode für einen Xploitenapps.funnyapp.cpp Also C++ Der hieß dann der wurde dann Blue Hammer genannt Das ist ein LPE also Local Privilege Eskalation wie auch sein Nachfolger über den wir gleich noch reden werden.

00:26:53: das heißt der ermöglicht unter Windows elf oder wahrscheinlich auch zehn.

00:26:57: ich habe es aber nur unter elf getestet.

00:26:58: deswegen bleibe ich hier mal bei elf.

00:27:00: eine Erweiterung der Privilegien von einem unprivilegierten Nutzer sowie meinem User Chris Zum User.

00:27:07: System oder NT Autorität heißt der dann glaube ich.

00:27:12: Und dieser Exploit nutzt ausgerechnet den Update Mechanismus von Windows Defender aus, also dem Tool unter Windows das vor Exploits und Malwehr schützen soll.

00:27:26: Und dass ich auch in der Regel als einziges Tool empfehle.

00:27:30: wenn mich jemand fragt muss ich mir für fünfzig Euro im Jahr einen Scanner kaufen.

00:27:35: Wir haben es ja gerade vorhin von Kaspersky gehabt.

00:27:38: Vor denen wird ja nun aus anderen Gründen verschiedentlich gewarnt, aber es gibt ja noch reichlich andere Hersteller für Antivirus-Software und wenn's im Endkundenbereich ist also wenn mich die Nachbarn fragen oder irgendwelche Bekannten oder so dann sag ich in der Regel Defender nehmen und dafür Sorge tragen dass der auf dem aktuellen Stand ist fängt ja die meisten relevanten Bedrohungen recht zuverlässig weg.

00:28:01: Insofern fällt mir jetzt vielleicht auch meine eigene Empfehlung ein bisschen vor die Füße, denn jetzt ist Defender nicht nur der... Nicht aktuell sondern auch das Vehikel für den Exploit und ich versuche diese Exploid-Ketten jetzt mal so'n bisschen nachzuerzählen.

00:28:15: Ich bin kein Windows-Experte, verzeiht mich also wenn das so ein kleines bisschen unscharf wird aber Das sind schöne Sachen dabei, die man sich in einer gewissen technischen Tiefe anschauen kann.

00:28:25: Und wenn ihr noch mehr technische Tiefe haben möchtet, die wir hier einfach aus Zeitgründen auch nicht erzählen können.

00:28:30: Dann verlinke ich euch die entsprechenden Deep Dives auch nochmal in der Folgenbeschreibung also in unseren Show Notes.

00:28:37: Also dieser Blue Hammer Exploit den startest du an als normaler Nutzer und dann lädt er ein Windows Defender Update runter.

00:28:49: Also ganz normal bei Microsoft.

00:28:51: Go.Microsoft.com.

00:28:52: FW keine Ahnung diese üblichen Short Links von Microsoft Und spoof dann so ein paar rpc calls der Microsoft Defender API.

00:29:04: Um dem so bisschen vorzugehauen, dass jetzt gerade ein Update installiert wird.

00:29:08: und dann leitet er mit NTFS Tricks diesen sogenannten NTFJunctions die ich bis heute nicht verstanden habe was das genau ist aber sind im Grunde sowas wie links also wie Hard Links unter X-Zwei, X-Trei, Xvier nicht Dateien, sondern Pointer.

00:29:27: auf Dateien oder Verzeichnissen im Dataisystem leitet der dann Schreiboperationen um.

00:29:32: Ja also wenn er das interessiert guckt es vielleicht nochmal nach.

00:29:37: na es ist jahre her dass ich mich mit diesen NTFS Junctions beschäftigt habe weil die immer wieder auch mal für so einen Schabernack eingesetzt werden.

00:29:44: Ich glaube man kann damit auch nur Verzeichnis obigen.

00:29:47: Es ist nicht derselbe wie ein Hardlink, ich glaube NTFSS kann auch Hardlinks aber was anderes als eine Junction?

00:29:53: alle Angaben ohne Gewehr?

00:29:55: Ich glaube, es ist tatsächlich ein Verzeichnislink.

00:29:59: Wenn Microsoft seine ganzen Knowledgebase-Artikel nicht so halb gar von Englisch auf Deutsch übersetzen würde, dann könnte man das auch nachgucken... Any way!

00:30:07: Und

00:30:08: alles dann verweist?

00:30:09: Oder Softlink Hardlink Junction ist alles halt

00:30:11: verweiss?!

00:30:14: Ja, die heißen NTFS-Verknüpfungspunkte, glaub ich.

00:30:17: Ich weiß es nicht genau.

00:30:18: Stimmt, zwei ist ja bei Microsoft Verknüpfungen, also diese Dinger, die man früher so oft... Wenn das Dester rumliegen hatte und so, das hieß ja immer Verknipfung.

00:30:26: Punkt LNK auch ein schöner Einfallsvektor für Malwehr aber in diesem Fall irrelevant.

00:30:32: also der.

00:30:33: durch eine Junction wird also der Schreibzugriff auf das was der Defender da gerade mit seinem Update machen wird umgeleitet auf ein Verzeichnis dass der Exploit vorher erstellt hat.

00:30:43: irgendwo unterhalb von Temp, also Prozent-Temp-Prozent ist ja der Shortcut in Windows um das aktuelle Tempverzeichnis des Nussers rauszufinden.

00:30:52: Und dann triggert der Exploit eine Erkennung beim Defender und sagt Hallo Defender hier is Malware!

00:30:59: Und da gibt es einen sehr einfachen Weg dem Windows Defender zu sagen Hallo Hier Is Malware.

00:31:04: kannst du dir vorstellen welcher einfache Weg das sein könnte?

00:31:08: Malware?!

00:31:10: Ja, naja also so eine Art harmlose mal bei uns war das icar test file.

00:31:14: Das icar-testfile ist dieser wie weiß ich mehr so genau?

00:31:16: sixty Zeichen lange string der von allen antivirus herstellern genutzt wird als test signatur um die Erkennung Also die funktionsfähigkeit ihrer software sicherzustellen dass es Ein ganz normaler Esky String, den kannst du also copy-paste in Editor oder sowas.

00:31:34: Und dann ist plötzlich dein Editor oder deine Textarteil Malware.

00:31:38: Du kannst ihn aber auch in .com umbenennen und dann ist das ein sechzehn Bit DOS Programm Das auch wirklich ausführbar ist und dass auf dem Bildschirm IK Testfile glaube ich anzeigt Dieser String ist eine Art True Positive Test für Viren Scanner das exe feil in dem bluhem mit den bluhämmer sich selber ausführt schon als mal wer erkannt wird klammer auf dies ja fairerweise auch ist klar.

00:32:07: dazu machen die einfach drehen die einfach den string um string reverse und dann steht der rückwärts in der datai wird dann im speicher nochmal umgedreht so dass der echte icastring entdeckt.

00:32:19: da steht dann schreiben sie das in eine datei namens fu.exe, Und da warten, ich glaube sie öffnen Sie mit einem bestimmten Fleck also mit diesem Execute Fleck und tun so als würde die Teil ausgeführt.

00:32:33: Und dann sagt Defender Moment halt Stopp!

00:32:36: Das geht so nicht.

00:32:37: Triggert einen Alarm und eine Remediation.

00:32:39: Und die Remedication bei Defender wenn es Bedrohung findet ist üblicherweise die in die Quarantäne zu legen.

00:32:46: Ich glaube das geht auch automatisch in den allermeisten Fällen.

00:32:48: Also ich kriege dann unten rechts ein kleines Popup auf dem Windows Desktop.

00:32:53: sind irgendwelche werden irgendwelcher aktionen ausgeführt und die gehen aber ohne zutontes nutzers.

00:32:58: Und bevor dieses diese datai dann in karantäne gelegt wird erstellt Defender eine wallium shadow copy also ein snapshot so ich von dem von der von den jeweiligen Zustand des dataisystems, und da schnappt die falle dann zu denn der exploit hat darauf nur gewartet und nutzt dann ein weiteres microsoft api nämlich dass Cloud Filter API und gaukelt Windows jetzt plötzlich vor, das sei eine Cloud Datei.

00:33:27: Also ich diese Datei wo der diese Volume Shadow Copy hinlegen will glaube ich.

00:33:32: da bin ich jetzt ein bisschen hazy.

00:33:34: dieses cloud filter api habe Ich auch nachgeschlagen kannte ich vorher auch nicht.

00:33:38: Das ist das api was unter windows erlaubt dass du Dateien als Cloud Dateien markierst also sagst Die liegen in der cloud und müssen erst synchronisiert werden bevor das Windows die verwenden kann.

00:33:49: das wird zum Beispiel verwendet von OneDrive.

00:33:51: Wenn du also Dateien im OneDrive speicherst, dann nicht auf deiner lokalen Platte sondern irgendwie da in der Cloud.

00:33:57: Aber zum Beispiel auch vom Windows-Klein von NextCloud und dann gibt es eben entweder neben dem Dateinnamen oder dem Datei icon ein kleines Cloud-Symbol für die Dateis in der cloud muss synchronisiert werden oder ein kleites Häckchen oder einen X, die dann den jeweiligen Synchronisierungstatus im Windows Explorer anzeigen.

00:34:15: Dahinter ist also dieses Cloud File API und das Cloud Filter API.

00:34:19: jetzt sagt er Bluhemmerxploit, ein Moment mal das ist eine Cloud Datei und Zwingt den Defender in dem er ihm so irgendwie sagt.

00:34:28: Das ist ne Cloud Dateien muss ich erst noch synchronisieren.

00:34:30: warte mal kurz ein bisschen In so einer Art Eidl-Loop.

00:34:33: also der Defender wartet auf einen Lock.

00:34:36: das ist ein sogenanntes opportunistisches lock.

00:34:38: das wird dann aber irgendwie zu weit hab ich auch nicht kapiert ehrlich

00:34:41: gesagt.

00:34:43: Und jetzt ist aber in dieser Zeit während der Defänder darauf wartet dass er dieses lock bekommen diese datai schreiben kann die aus irgendwelchen gründen jetzt unbedingt schreiben will noch diese volume shadow copy die ja gerade angelegt hat aktiv und gemounted.

00:34:58: Die wird wohl dann irgendwie im ntfs intern in irgendeinen falses mount point gemountet, und wir dann für diesen nutzerprozess sind immer noch im user scope.

00:35:07: der exploit ist immer noch unprivilegierter nutzer zugänglich inklusive teilen der windows registry Und da hört dann für mich das verständnis auf.

00:35:16: also nicht Weiß nicht, warum Microsoft so ein Scheiß baut.

00:35:19: Das denke ich auch manchmal.

00:35:20: aber in diesem Fall habe ich verstehe einfach nicht Warum man über so eine VSS an die Registry kommt?

00:35:26: Aber das ist wohl so.

00:35:28: Ich glaube dass jetzt einfach mal diese Analyse.

00:35:31: da liegen dann irgendwie diverse Kies drin unter anderem eben der Key der notwendig ist um Die NTLM-Hashes für die lokalen Konten zu entschlüsseln.

00:35:41: also nimmt sich der Exploit der immer noch unprivilegter Nutzer ist und an diesen Registry Hive eigentlich gar nicht ran sollte.

00:35:47: Nimmt sich jetzt diesen Schlüssel, ändert das lokale Admin Passwort auf und ich zitiere wörtlich Dollar Pond six sechs sechs Ausrufezeichen ausrufe Zeichen WD Fail.

00:35:59: Das WD steht wahrscheinlich für Windows Defender Und macht ist.

00:36:02: dann hat er ja das Ad Mount Passwort das K&L dann ja kann also eine CMD Punkt Excel mit den gerade gewonnenen Admin Daten öffnen Also als NT Authorities System User setzt dann das originale Atmenpasswort, dass er schlauerweise vorher einmal weggesichert hatte zurück und ist fertig.

00:36:19: Wir haben also System privilegien.

00:36:22: Und das ist schon irgendwie auch auf der Art dreist so dieses ich nehme jetzt einfach den Hasch vom Passwort aus der Registry ändere das und dann kann ich systemkommandos ausführen.

00:36:35: Ja, da war also erstmal, genau.

00:36:37: Applaus, Applaus würde ich sagen.

00:36:38: oder ist schon ein eindruckendes Ineinandergreifen von Dingen die ausgenutzt werden?

00:36:46: Ja und das hat auch sicherlich den einen oder anderen... Die andere und andere Minute gekostet.

00:36:51: Das ist auch ein Beispiel für diese Klasse von Problemen die man Toktou nennt.

00:36:57: Time of Check, time of Use Also dass du irgendwas machst eine Datei anlegst Und die dann aber erst mehrere atomare operationen später nutzt und in der zeit kann halt irgendein anderer prozess diese race condition ausnutzen und kann In die datei was reinschreiben, was du gar nicht erwartet.

00:37:15: Du erwartest die datai ist leer machst irgendwie so ein f open Und dann ist dann Legst du dir die dateis erst mal zur seite und ein paar zahlen später wird sie dann in die dateil reinschrieben.

00:37:25: da steht aber schon irgendwas drin.

00:37:26: eine wirklichkeit schreibst auch gar nicht in deine datei sondern in einen link auf ne datei im windows system.

00:37:34: Das ist also eigentlich ein schönes Beispiel.

00:37:37: und diese Cloud Filter API, diese Locking Tricks nutzt der Autor eben um diesen Exploit zuverlässig und wiederholgenauzumachen.

00:37:45: Und braucht nichts von diesen üblichen Exploid-Klassen irgendwelche Speicherkorruption Geschichten, irgendwie Memory Overread oder irgendwie sowas keine Kernel Exploids sondern er nutzt im Grunde nur... Was du ja gerade schon gesagt hast, diese bekannten NTFS Junction Tricks.

00:38:01: Er nutzt Locking Probleme die auch eine bekannte Klasse von Problemen sind und er missbraucht legitime APIs, die möglicherweise auch Timeout Anforderungen haben, die über die Anforderung von lokalen Anwendungen hinausgehen.

00:38:17: weil wenn ich so eine Cloud Sync API habe dann ist mein Time out eher in Sekunden als in Millisekunden wenn ich auf irgendeinen Lock warte.

00:38:24: das Ding hat CVE-CV ee-cv ee, der auch mittlerweile ganz gut mit Meterinformationen gefüttert ist und mit einem Update von Windows Defender auf Version Vier, Achtzehn, Sechzechs, Zwanzig, Null, Dreißig, Dreizig, Elf gefixtes.

00:38:41: Also die Lücke ist zumindest inzwischen nicht mehr ausnutzbar.

00:38:47: unter Windows habe ich auch tatsächlich nicht mehr Ausprobiert.

00:38:49: es CVS S sieben Komma acht von zehn.

00:38:54: Microsoft hat einen Artikel im Microsoft Security Response Center dazu und dankt da allerlei Leuten, aber nicht dem Researcher der den bug disclosed hat auf GitHub und auf seinem eigenen Blog.

00:39:06: Und wie wir gleich sehen wird das Gründer haben.

00:39:09: Kommen wir aber zu einer Frage von Silvester?

00:39:11: Genau also keine Frage sondern eine Anmerkung wollte noch los werden.

00:39:15: Also du hast gesagt dass es ein schönes Beispiel für so ne Time of Check time of use Lücke.

00:39:20: ich glaube ist auch ein schönes Beispiel.

00:39:24: Alles ist halt Angriffsfläche, also auch die antigierenden Software.

00:39:28: Und ich will jetzt gar nicht sagen dass irgendwie Defender schlechter ist als andere oder das.

00:39:32: die Lehre die man daraus ziehen sollte wäre kein Defender mehr, denke ich nicht.

00:39:38: Ich würde keinen Windows System ohne den Defender betreiben wollen aber es zeigt halt sehr schön Auch so der Software Schaff-Komplexität tendenziell läuft zu den hohen Rechten und kann halt missbraucht werden.

00:39:54: Und es ist, glaube ich ein sehr schönes... Also ein Schluss, dem man darauf ziehen kann ist, installiert euch nicht drei Antivirus Lösungen oder so, weil irgendwo kommt dann der Punkt wo der Nutzen, indem man doch eine weitere solche Lösung gewinnt deutlich kleiner ist als die Angusflächenvergrößerung, die man damit schafft?

00:40:11: Ja!

00:40:12: Und bei Defender ist das natürlich so dass dieser Anti Malware Software Im Grunde, die ein bisschen die Königsklasse ist und dadurch eine besonders große Interesse bei Angreifern weckt weil es vorinstalliert ist.

00:40:29: Und weil ich natürlich davon ausgehen kann wenn ich in die Lage komme Defender zu überlisten oder Defender sogar abzuschalten, Defender daran zu hindern neuer Signatur Updates runterzuladen um meine Malwehr dann möglicherweise doch zu erkennen.

00:40:46: schon mal einen wichtigen ersten Schritt, um die Persistenz dauerhaft beizubehalten.

00:40:50: Ich werde nämlich nicht direkt beim Ersten ausführen weggefangen und lande in der Quarantäne.

00:40:55: Bzw.,

00:40:56: was ist mit nur das Weggefangenen?

00:40:58: Was ich gefangen haben will?

00:40:59: Nämlich die Datei wo ich den Alka-Testschring reinschreibe.

00:41:03: Mein Alka Testschrecken wird weggefahren und der Rest vom Exploit läuft.

00:41:07: Und... Das ist dann auch direkt der zweite Repositori dass er das Researcher hochgeladen hat, d.h.

00:41:15: an Defend, also Entverteidige und das ist ein Tool, dass z.B.

00:41:22: Malware Autoren in ihre Killchain einbauen können um Microsoft Defender außer Gefecht zu setzen.

00:41:30: Das habe ich am thirteenthen April hochgelaten auf GitHub und da bezeichnet der Researcher in seinem Blog als is kind of zero day Und dieses an defend hat zwei modi.

00:41:43: das sind aber keine modi die mit so einen kommando zahlen parameter auswählen kann sondern einfach zwei verschiedene sachen diese ausprobiert, sogenannte passive und aggressive modus.

00:41:53: Und dass es beide sind dafür gedacht microsoft defender an der arbeit zu hindern.

00:41:57: im passiven modus Hindert er den defender daran siegenatur updates runterzuladen und zu installieren.

00:42:07: Wenn ich das richtig sehe und richtig verstanden habe, dann macht dieses Anti-Fend... Das ist ja einfach ein kleines Tool.

00:42:14: Dass sich auch dem Windows Rechner ausführe zum Beispiel als Teil eines Info-Stealers oder so was Oder als Teil einer Smilebird-Droppers.

00:42:21: Dann macht dieses Tool nichts anderes als eine Art von exklusiven oder so einen opportunistischen Lock auf die Signaturdatei Also die Datei auf der Disc Wo diese Signaturdatenbank von Defender liegt.

00:42:34: Da holt er sich einen exklusiven Lock drauf und hindert dann einfach den Defender-Prozess damit daran, in die Datei reinzuschreiben.

00:42:41: Den Fahrt holte er sich vorher aus der Registry – der ist da ja in irgendeinem Halb hier systemöffentlich verfügbar also kein Geheimnis.

00:42:49: wie es allerdings unklar ob ich's A richtig verstanden habe und B warum eine User Space Applikation sich überhaupt so ein Lock holen darf auf diese Datei.

00:42:57: das sollte mein Verständnis nach Über die Boundaries in Windows auch gar nicht möglich sein, aber vielleicht habe ich es doch einfach falsch verstanden.

00:43:05: Vielleicht

00:43:05: will ich auch einfach diese Datei über meine Cloud-Lösung sinken?

00:43:10: Also das ist nicht ganz ernst gemeint, aber ich kann mir schon vorstellen dass

00:43:14: der Zeitpunkt wird kommen.

00:43:15: da muss sich dein Mikro muten.

00:43:18: Der Zeitpunkt würde irgendwann kommen wenn du das nicht selber machst bei solchen... Sache, dann muss ich dich irgendwann muten.

00:43:24: Nein, will das nicht über die Klauzen kondensieren!

00:43:31: Aber...

00:43:38: Das ist der passive Modus.

00:43:40: im aggressiven Modus blockiert der Andefend, nicht nur Updates der Signaturen sondern auch Updats der Defender Engine also der Exektarteil von Defender.

00:43:51: Das wäre zum Beispiel notwendig um diesen Blue Hammer oder den unweiter unten stehenden Red Sun wegzufangen.

00:43:59: und zusammen mit diesem Exploits ergibt sich jetzt nun eine einigermaßen interessante Mischung.

00:44:06: Malware kann also den Defender aushebeln und sich selber im nächsten Schritt dann Admin Privilegien verschaffen.

00:44:14: Und das auch alles nur mit dem Defender, dass es also Jackpot mit Anlauf und unter Zuhilfennahme des Tools als wichtigste Verteidigungslinie in Windows Elf den Nutzer vor genau solchen Sachen schützen soll.

00:44:29: Das ist also schon eine ganz interessante Killchain!

00:44:32: Und Microsoft detectiert mittlerweile dieses Andefend – ich habe das gestern Nachmittag am einundzwanzigsten ausprobiert einer generischen Signatur, die für genauso was haben diese sogenannten AV Killer.

00:44:44: Es gibt verschiedene Tooling das Defender außer Kraft setzt andere Anti-Virus Software außer Kraft zetzt und da hat Microsoft eine Kennung für die heißt TrojanKillAv.AKP unter Ausrufezeichen MTB.

00:44:58: Da ist irgendwann mal auf der Tastatur ausgerutscht.

00:44:59: aber es wird irgendwas Wichtiges heißen und diese Signatur gibt's schon ewig lange dass also keine die nur für An-Defend eingeführt wurde Und der Autor, zu dessen Namen oder Allias und dessen Motivation nicht gleich noch komme behauptet auf GitHub.

00:45:13: Dass er auch einen Weg gefunden habe.

00:45:17: Das heißt da Microsoft IDR Web Console.

00:45:20: Also irgendeine Web-Konsole wahrscheinlich in der Profilösung von Defender also Defender for Enterprise oder wie das heisst.

00:45:25: Einen laufenden und aktiven und aktuellen Defender auf dem jeweiligen Endpunkt dem jeweilen Klein vorzugaukeln würde den Code dafür aber aus Gründen... des Ethos im Grunde, dass seid zu gefährlich erst noch zurückhalten.

00:45:40: Eine besondere Zurückhaltung ist dieser Researcher jetzt aber nicht bekannt denn ich habe doch einen im Angebot das ist Red Sun.

00:45:50: Red Sun ist der aktuelle Zero Day der auch immer ungepatcht und macht was ganz ähnliches wie Blue Hammer.

00:46:00: RedSun wurde hochgeladen, erster Komet.

00:46:03: Ich muss mal gerade schauen.

00:46:04: Ich habe es vergessen mit zu notieren letzte Woche am fünften April also von heute aus gesehen vor genau sieben Tagen und ist auch eine Local Privilege.

00:46:15: Escalation von User to System nutzt auch diese Cloud Filter API Und ist der Grund warum ich jetzt auf meinem Windows Test Rechner endlich Mal wieder oder auf einem Windows Rechler überhaupt Endlich mal wieder ein Compiler habe.

00:46:29: Ich glaube, der letzte den ich verwendet habe war dieser QBasic Compiler bei Windows bis XP oder wie lange auch mit dabei waren.

00:46:36: Mit dem man dieses Gorilla-Punkt was kompilieren konnte.

00:46:40: Ich hab mir also Visual Studio installiert und mal versucht das Ding zu komplizieren.

00:46:43: Und es war kompliziert das zu komplizinieren weil die nämlich nicht ganz klar war wo ich das notwendige SDK für diese Cloud Filter API herkriege Gelöst hatte.

00:46:54: vielen dank an will dormen der mir da auf must oder das händchen gehalten hat.

00:46:58: wie man sowas unter mit visual studio so ein projekt anlegt und dann so einen exploit kompiliert kommt dann relativ kurzer.

00:47:07: Quellkot rein ist keine siebenhundert zeilen lines of code.

00:47:10: und dass es bei bluhemmer noch anders bluhemer sind mehrere tausend.

00:47:14: und zwar, Der macht sowas ähnliches wie Blue Hammer, der guckt im Datei-System oder schaut nachüber in entsprechenden Mechanismus und API ob neue Volume Shadow Copies auftauchen die dann darauf hindeuten dass offensichtlich der Defender mal wieder eine Mitigation angefangen hat.

00:47:41: Macht dann wieder genau das gleiche.

00:47:42: er schiebt dem Defender diesen iCard Test String unter nennt den ein bisschen seltsam.

00:47:48: vielleicht ist das so eine Living of the Land Technologie tieringengineservice.exe.

00:47:52: Der Defender springt natürlich mit Anlauf da drauf, war auf die schlimme iCar Malware und dann macht der Export wieder genau das gleiche.

00:47:58: Er stellt also ein Cloud-Placeholder verschiebt das Verzeichnis über so eine NTFS Junction nach Windows System thirty-two, also direkt in System thirty zwei Verzeichnissen von Windows.

00:48:11: Und der Defender hat das alles gar nicht mitgekriegt.

00:48:13: was da im Hintergrund passiert guckt weiter da ins diese Datei führt er seine Mitigation durch und macht dann Was ich überhaupt nicht verstehe auch hier wieder.

00:48:21: Ich verstehe das nicht, ich kann nicht nachvollziehen wie man so eine Scheiße bauen kann.

00:48:25: Sondern im Sinne von... ...ich kann nicht Nachvollziehen warum das gemacht wird.

00:48:30: Der Defender nimmt sich nämlich diese Datei die er sich da gerade angeschaut hat und schreibt die dann einfach nochmal eins zu eins in den originalen Pfad also in das was er als den Original Pfad annimmt wo die Datei aufgefunden wurde.

00:48:46: Das ist zum Beispiel C Downloads oder bei mir ist das C Temp Mein mein Output Verzeichnis von meinem Compiler, aber durch diesen diese NTFS Junction Magie ist dieser Pfad inzwischen C Windows System.

00:49:01: Und da schreibt der Defender die Datei dann auch.

00:49:05: Der guten Ordnung halber gleich mit System Privilegien rein.

00:49:08: und dann macht dieser Red Sun mit ein bisschen tamtam.

00:49:13: ich habe nicht ganz verstanden was da noch für API magie drum rum passiert.

00:49:18: Auch hier wieder habe ich eine detaillierte Analyse in den Show Notes, macht ja diese Echse auf und hat dann ne Shell mit dem Privilegien NT-Autoritätssystem.

00:49:28: Also ein System Shell und die funktioniert auch zuverlässig.

00:49:32: also da ist man dann admin und kann admin Dinge machen.

00:49:36: das hab' ich Heute morgen nochmal ausprobiert und da hat das alles noch super funktioniert.

00:49:43: Ich glaube auch, dass das nicht daran hängt, dass der Defender Engine Updates ausgeliefert werden denn eine Erkennung für Red Sun gibt es für Defender schon seit ich glaub Montag also seit zwei oder drei Tagen.

00:49:57: Da gibt's auf jeden Fall eine Signatur die heißt Red Sun irgendwas Die erkennt aber die verhindert die Ausführung nicht.

00:50:03: Und so wie ich das verstehe, müsste dafür schon mindestens ein Engine Update kommen und nicht nur einen Definitions-Update.

00:50:09: Vielleicht kommt das im nächsten Patch Date?

00:50:11: Ich habe keine Ahnung.

00:50:12: also die Menge an gepatcheden Local Privilege Escalations unter Windows ist auch wirklich erheblich.

00:50:20: Ich hab da in die CVE Statistik reingeschaut und das sind wirklich hunderte in den letzten Tagen oder Hunderte wo sie die Cve's angefasst haben.

00:50:28: gut jetzt Jetzt haben wir diese Explods, drei an der Zahl davon.

00:50:35: Einer heute noch ungepatcht und sehr straightforward, sehr kurz und möglicherweise auch sehr gefährlich.

00:50:44: Jetzt kommen wir mal zu den möglichen Gründen oder was da so dahinter steckt denn das sind jetzt erstmal in Anforderungszeichen nur LPEs und dass ich mir mal wieder ein C-Compiler installiert habe ist vielleicht nicht für jeden interessant aber was da möglicherweise als Backstory dahinter steckt, schon interessant.

00:51:04: Der Researcher der das hochgeladen hat nennt sich wahlweise ob man jetzt in seinen Blog guckt oder auf Github Chaotic Eclipse also Eclipse wie Sonnenfinsternis oder der jahrbasierte Editor oder IDE oder Nightmare Eclipse.

00:51:19: Ich weiß nicht genau ob das irgendwas heißt Also ob das irgendeine popkulturelle Referenz ist.

00:51:23: wenn man googelt und das mache ich dann ja üblicherweise finde ich zu nightmare eklips nix zumindest nichts sinnvolles.

00:51:29: Und zu Chaotic Eclipse immerhin, dass das mal so ein Anime Beat'em Up war.

00:51:34: Aus Teil irgendeiner japanischen Beat'im-Ups-Serie also ein Videospiel und der GPG Key mit dem der Chaotic eclipse seine Nachrichten, also seine Blockposts und auch einiges auf GitHub signiert wurde am XXIII erstellt mit dem Namen Terrain Republic.

00:51:51: nicht Terran Republic sondern Terrain Republik.

00:51:53: Das ist vielleicht ein Wortspiel Denn Terran Republic ist eine der Fraktionen im MM-Spiel Planet-Zeit II.

00:52:03: Was ist Planet-Zite II?

00:52:04: Ist das so ein Shooter?

00:52:06: Ich weiß es nicht.

00:52:08: Massively Multiplayer First Person Shooter.

00:52:11: Also könnte popkulturell sein, könnte auch sein dass er einfach irgendeinen Usernamengenerator gepackt hat.

00:52:17: Auf jeden Fall ist Chaotic Eclipse echt schwer enttäuscht von Microsoft Und schreibt dann so Dinge im block wie ich wollte nie das block wieder eröffnen und ein neues github konto machen um code zu veröffentlichen.

00:52:30: Wollte ich nie machen.

00:52:30: notabene wollte nie wiederer öffnen und wollte ein neues also zu jetziges githubskonto erstellen, also halte es sich möglicherweise um jemanden der schon mal in dieser vulnerability disclosure scene aktiv war und schon mal einen block hatte und jetzt wieder aktiv wird.

00:52:46: Dann gehts weiter mit so Sachen wie jemand hat unsere vereinbarung gebrochen und mich heimatlos also homeless zurückgelassen, Drama.

00:52:56: Also ließ sich alles sehr schwerwiegend und es gab offenbar einen Disput zwischen Chaotic Eclipse und dem MSRC und wahrscheinlich auch um die Schwere der Lücke Auszahlung einer Bugbounty oder eben keine Auszahlungen einer Bug Bounty.

00:53:18: und da scheint man sich nicht einig geworden zu sein.

00:53:21: Und das quittiert der Keodeck Eclipse mit Worten wie Ich habe nicht geblöfft und eine schöne Grüße an Tom Gallagher, dass ist der Produktverantwortungs- oder der VP für fürs MSRC zuständig ist wenn ich das richtig gegoogelt habe.

00:53:37: Da ist schon viel Drama.

00:53:40: also die sagen, der schreibt so was wie.

00:53:46: die werden meinen Leben.

00:53:48: Sie haben gesagt sie werden mein Leben ruinieren und das haben sich auch getan.

00:53:51: Sie habe den Boden mit mir gewischt und jedes kindische Spielchen abgezogen dass sie konnten.

00:53:55: ich hab mich gefragt ob sie einfach nur Spaß daran haben mich leiden zu sehen.

00:53:59: also solche Sachen stehen dann in dem Blog Artikeln.

00:54:02: also da ist schon ein bisschen selbst Mitleid mit im spiel

00:54:05: vor allem offensichtlich sehr viel sozusagen persönliches böses blut im Spielen.

00:54:10: ja

00:54:10: also das keine Aktion weil irgendjemand Geld machen will wurde zumindest nicht primär.

00:54:16: Ich kenne von einigen vielleicht von einem bestimmten Subtypus, ich weiß nicht ob das ein Persönlichkeitsthema ist oder ob man einfach dann sehr jaded irgendwann ist, sehr zynisch wird und abgestumpft und illusionslos.

00:54:29: Das kenne ich von anderen Security-Researchern auch von Einigen die dann sagen brauche ich habe jetzt so die Schnauze voll hier dieses Rumgehühner um CVSS Punkte falschen, ich disclose das jetzt unter dem Alias hersteller x y ist anders nicht lernt dann müssen sie einfach lernen durch schmerzen.

00:54:47: dass also diese dieser haltung die kenn ich schon und was da jetzt persönlich dahinter steht das bleibt ihm ungefähren.

00:54:55: Ich habe den tip gekriegt von Kevin Beaumont.

00:54:58: Also er hat eine idee wer es sein könnte Und ich finde auch, dass nachvollziehbar ist ohne jetzt namen oder alias zu nennen Dass es möglicherweise einfach um jemandem geht der früher mit microsoft zusammengearbeitet hat also entweder ein security researcher der sich auf microsoft und möglicherweise sogar genau diese federklasse spezialisiert hat, der also seinen lebensunterhalt damit entweder angestellt oder frei beruflich bestritten hat.

00:55:22: Microsoft windows sicherheitslücken lpe ist uns sowas zu finden an microsoft zu disclosen bug bounty einzustreichen Und dann das ganze wieder von vorne durchzuziehen, möglicherweise so eine Person.

00:55:35: Möglicherweise ein Ehrenamtler der gut mit MSRC zusammengearbeitet hat bis die dann auf irgendeine Weise ihn gelingt haben also sowas in der Art.

00:55:44: Ich habe auch rausgefunden dass es schon mal solche Aktionen gegeben hat.

00:55:49: Also wenn man im Heisen News Sticker Ein bisschen sucht mit den richtigen Suchbegriffen oder Suchmaschine, dann findet man so um zwei tausend zwanzig schon mal so ähnliche Aktionen wo Security Researcher massiv enttäuscht waren von mir vom MSRC.

00:56:04: Wo dann auch Sachen kam wie ich werde jetzt aufgefordert hier für meinen Proof of Concept ein Video einzureichen und irgendwie Screenshots und also Zeugs.

00:56:13: Und da wird der MSRC stellt sich doof und verzögert alles... ...und jetzt habe ich die Nase voll und disclose das einfach auf GitHub und mach damit was ihr wollt.

00:56:22: Das hat es also schonmal gegeben auch mit Ganz ähnlichen Arten von Lücken, also auch so Sandbox Ausbrüchen und LPEs und solchen Geschichten.

00:56:32: Also auch so Sachen die sich auf den Defender konzentrierten.

00:56:35: das fit da findet man schon eine gewisse Historie.

00:56:39: Und Tatsächlich Binde ich stellt sich MSRC hier wieder auch ein bisschen.

00:56:46: Ach weiß ich nicht isse Ich weiß nicht ob sinnvoll finde, wie die sich aufstellen.

00:56:50: Aber es ist schon sehr Corpo-Style.

00:56:52: Ich glaube sie wollen nicht auf jede Befindlichkeit eines einzelnen Security Researchers eingehen und möchten auch aus Gründen des Unternehmenschutzes ein bisschen im Ungefähren bleiben.

00:57:03: aber der Chaotik Reclips hat sich recht spöttisch über den Blue Hammer Fix und die dazugehörige Kommunikation vom MSRC geäußert das sei alles viel zu generisch was da ans antwort gekommen sei.

00:57:19: und tatsächlich ist es auch sehr generisch denn sie danken da niemandem uns die sagen wir unterstützen natürlich die koordinative disclosure.

00:57:27: das ist eine weit verbreitet industriepraxis bla bla bla um dann noch so ein bisschen in miskredit zu bringen dass der jemand eben nicht.

00:57:34: Zu diesem mittel der koordinated disclosure gegriffen hat sondern zu dem Mittel der full disclosure, in aller regel hat das aber ja gründe.

00:57:42: MSRC wusste auch, dass Chaotik Eclipse diese Full Disclosure plante und wahrscheinlich einfach angedroht hat.

00:57:50: Das wird einfach Teil des Streits gewesen sein und hat Eigenaussager Chaotic Eclipse darauf nicht reagiert.

00:57:58: Kann Unternehmenspolicy sein um Erpressungen nicht zu begünstigen und diese Diskussion einfach versanden zu lassen aber es wirkt zumindest relativ ungeschickt.

00:58:09: Der Chaotic Eclipse sagt eben auch diese Ungeschicklichkeit würde sich darauf aus darin münden, dass Microsoft die einzige große Firma sei bei der mehrere Schwachstellen genau aus diesem Grund veröffentlicht wurden.

00:58:21: Weil die Researcher eben Sauer und Sauer auf MSRC sein und die Nase voll davon hätten.

00:58:28: Und er wolle ja nicht böse sein aber er fühle sich schon so ein bisschen angepiext jetzt mal seine RCEs zu veröffentlichen wenn MSAC sich weiter mit ihm Ja, weiter so mit ihm umgehe.

00:58:43: Es bleibt abzuwarten ob da noch ein vierter exploit nachkommt.

00:58:47: Die Ankündigung ist jedes mal wenn Microsoft einen patch raus gibt werde ich dafür sorgen dass es spaßiger wird.

00:58:52: Da der patch für red sun noch nicht da ist haben wir also noch ein bisschen Karenzzeit und in der Karenz Zeit habe Ich microsofts deutsche presse stelle gefragt.

00:59:00: Weil da.

00:59:00: ich hatte auch so als ich das alles gelesen hab gesagt so wow das ist echt da ist jemand Echt angepisst also wirklich ärgerlich.

00:59:08: Und habt dann auch diese Blockurl, mit denen die Presseanfrage geparkt und so gefragt wird.

00:59:13: Was sagst du denn dazu?

00:59:14: Und wann ist das gefixt?

00:59:17: Warum ist es noch nicht gefiXT?

00:59:18: Dann habe ich innerhalb von einem Tag von der deutschen Pressestelle vom Microsoft einen Statement dazugekommen.

00:59:23: Das ist üblicherweise ein schlechtes Zeichen.

00:59:26: Nicht weil die deutsche Pressestell von Microsoft dranisch ist sondern sie sind da sehr bemüht.

00:59:32: nur die müssen das natürlich in die USA tragen um Feedback beim MSRC bitten.

00:59:37: Das MSRC wiederum nimmt sich dann Zeit um einen Feedback oder ein Statement zu schreiben, das ihn dann nochmal den Redmond abzugleichen und nach Deutschland rüberzuschicken.

00:59:46: Da Redmond ja nun mal an der Westküste der USA ist, hast du da mindestens zwei Tage Zeitverzug drin Und üblicherweise dauert es nach meiner Erfahrung eher so fünf Tage wenn man wirklich ein originäres Statement von MSRC bekommt.

00:59:59: Das heißt, wenn ich innerhalb von einem Tag was zurückriege, muss das ein Boilerplaytext sein.

01:00:03: Zumindest ist das meine Auffassung des Arbeitsablaufs da.

01:00:07: Und so war es auch, ich habe eins zu eins genau das Statement von Microsoft zurückbekommen über die Pressestelle was chaotic eclipse in seinem Block auseinander gepflückt hat und gesagt hat dass es mir zu generisch, das ist mir zu boilerplate.

01:00:19: Und jetzt bist du sehr wütend und rohst damit irgendwie dir ein block zuzulegen und dein githubkonto wieder zu eröffnen.

01:00:29: Du kannst allerdings nicht behaupten, dass Microsoft die einzige große Firma sei bei der man auf explizite Nachfrage ob's zum Boiler Platesstatement noch mehr gibt wie da nur das selbe Boiler Play Statement bekommt.

01:00:40: Das weiß ich.

01:00:41: Wen

01:00:43: hast du jetzt konkret im Auge?

01:00:45: Also nicht mal konkret weil es passiert so regelmäßig dann müsst ihr wahrscheinlich irgendwie nur eine oder zwei Wochen zurückgehen in meinen Mails.

01:00:53: Ja da kann man Rand folgen zu machen.

01:00:55: also gerade was Security Themen angeht Verstehe ich eine gewisse schmal Lippigkeit, aber man sieht einfach extreme Gefälle bei Unternehmen auch öffentlichen Institutionen in der Auskunftsfreudigkeit und auch im Delay.

01:01:10: Also gerade wird im Zurückgriff auf die vergangene Folge Detrust vs Swiss sign antwortet mir übers Wochenende Und bei detrust stelle ich ne Rückfrage habe Ich bis heute nichts.

01:01:22: und das sind so Sachen.

01:01:24: Das können mal Einzelfälle sein oder ein Thema ist noch nicht abgeschlossen.

01:01:27: Aber ich würde schon auch erwarten, dass man der nette Cat folgt und dann zumindest sagt hey wir können da jetzt gerade nichts zu sagen anstatt die Leute einfach zu ghosten.

01:01:36: Anyway!

01:01:37: Ist ja jeder ein Runted Podcast.

01:01:39: Also ich dachte wir reden uns gerade den Kummer vom Leib.

01:01:43: Ja komm eine Sache darfst du auch noch.

01:01:45: Was können Sie mir denn erzählen?

01:01:47: Wenn Sie nicht mehr sagen können, dann reicht mir auch eine E-Mail wo drin steht.

01:01:52: Wir können leider nicht mehr so sagen aber nochmal das Spoilerplate zu bekommen ist irgendwie immer so nachtreten.

01:02:00: Also Sie können einfach sagen ich darf dazu nichts mehr sagen oder so

01:02:04: und auf der anderen Seite ist es ja auch so dass es damit müssen wir es aber wirklich beschließen ist auch in einer gewissen Asymetrie gibt in der Kommunikation seitens der Unternehmen.

01:02:13: wenn ich was von einem Unternehmen wissen will kriege ich auf drei Nachfragen möglicherweise mal eine Zeile, aber einen guten Tagen habe ich sechzig PR-Meldungen in meiner Inbox.

01:02:25: Also das ist so die Asymetrie, die dann ja auch zu einem gewissen Ärger führt und wenn die Leute wollen dass man was über sie schreibt veröffentlicht spricht redet sagt Dann kommen die PR Büros alle aus dem Unterholz geschossen.

01:02:37: Aber wenn man dann eine Rückfrage stellt und das habe ich tatsächlich einmal versucht mit exakt denselben PR-Büros als Antwort auf eine Pressemitteilung.

01:02:44: Ach übrigens, wo ich sie gerade am Apparat habe können Sie mal grade was zu dem Thema sagen dann fällt sofort hervor.

01:02:50: Anyway so ist das es Teil des Jobs nicht meine Mann... Ich beklag mich da jetzt drüber aber am Ende ist das einfach Teil der Berufsbeschreibung und dann ist das halt so.

01:02:59: Jetzt haben wir einen Exploit Wir haben ein Autor Wir haben einen Beef mit MSRC Wir haben alle Komponenten für ein großes Securitydrama in drei Akten.

01:03:08: Was uns noch fehlt zu diesen exploits, die ja erstmal proofs auf konzept sind.

01:03:13: Sind die angriffe und da kommt huntress ins spiel.

01:03:17: Huntress die die security unternehmen, die wir auch des öfteren mal zitieren hat am sechzehnten vierten bereits gemeldet dass sie dieses tooling dieser diese exploit idee hinter bluhemmer und red sun steckt.

01:03:32: und das tooling was hinter andi versteckt dass man damit auch tatsächlich aktive angriffe nun beobachte Da möchte ich jetzt nicht mehr in der Tiefe drauf eingehen.

01:03:42: Den Blog-Artikel packe auch in die zunehmend Romanumfang annehmenden Show Notes und das mache ich gleich jetzt, sonst vergesse ich es nämlich wieder und dann wissen wir hinterher nicht mehr was wir euch alles in die Show Notes packen wollten Und die sagen aber so etwas wie Und da fällt mir dann Michael Corleone ein, und das ist dann nur noch so bisschen die Kirsche auf der Torte.

01:04:32: Also diese Exploits werden offensichtlich genutzt und es werden Angriffe damit gefahren.

01:04:35: in der Non-Exploited Vulnerability Liste von der CISA taucht das aber nicht auf obwohl Der sechzehnte vierte an dem Tag, an den wir das hier aufnehmen bereits sechs Tage vorbei ist.

01:04:46: Wenn ihr diesen Podcast hört, ist der neunzwanzigste April.

01:04:50: bis dahin kann sich die Situation geändert haben aber auch also aus unserer Zeit oder aus unserer Warte.

01:04:56: hier hat sich da seit einer Woche in der Non-Exploited Vulnerabilities Liste nichts getan wie auch weil Red Sun und Anti-Fan haben nicht mal eine CVEID.

01:05:06: nur der dritte Explore Blue Hammer hat eine CVE-ID, die anderen beiden wurden von Microsoft noch nicht mal mit einer CVE bedacht.

01:05:15: Also läuft auch wieder richtig gut und die Kommunikation mit so einem Security Engineer scheint da ja auch richtig nach vorne losgegangen zu sein.

01:05:26: Das Drama haben wir ab erzählt.

01:05:28: jetzt ist noch die Frage was lernt uns das?

01:05:33: Uns lernt dass das Local Privileged Escalations also LPEs zweitklassige Art von Sicherheitslücken sind, weil sie eben nicht aus der Ferne ausnutzbar sind und dass sobald sowas öffentlich wird man auch mit höherer Priorität die Sachen patchen muss.

01:05:54: Weil Angreifer dann schnell anfangen das auch auszunutzen in ihre eigene Toolchain einzubauen und dann so ein simpler Infostealer der ärgerlich ist und der auch deine Chrome-Daten cloud usw.

01:06:06: zu einem Rootkit werden kann und der dann kompletten Zugriff hat, also auch deine Daten exfiltrieren kann oder die Daten anderer Nutzer exfilterieren kann weil er eben Systemuser ist.

01:06:16: Das heißt so eine Privilegieneskalation oder Privilegenerweiterung oder wie auch immer Microsoft-Übersetzung ist, die sollte man nicht von der Hand weisen und sollte sie in seiner Risikoinalyse nicht als nachrangig betrachten.

01:06:28: denn sobald ein Proof of Concept funktioniert öffentlich wird es schnell von Angreifern eingesammelt und dann wird alles erheblich limmer.

01:06:39: Also es ist halt ein bisschen schwierig so von außen jetzt sozusagen zu beurteilen, wer hat sich hier wann falsch verhalten.

01:06:51: Ist ja zurecht sauer auf das MSRC, findet das MSRC zurechte irgendwie dass sie nicht mit ihm reden sollten oder was auch immer Sie getan haben.

01:07:03: Also nachdem wir das man von außendurch nicht gut beurteilten kann, ist es glaube ich ein bisschen mühsig.

01:07:07: aber ich will darauf hinweisen sozusagen wer auch immer jetzt Schuld hat, dass das so ungefähr der schlechteste mögliche Ausgang.

01:07:15: Und ich würde eigentlich schon sagen es ist mir relativ wurscht sozusagen was des Emirates als sie dafür machen muss und ob das dann moralisch sie vom hohen Ross unterholt oder nicht.

01:07:28: aber Sie müssen eigentlich also ihr Job ist eigentlich zu verhindern dass es dazu kommt wie auch immer weil dass das Zeug jetzt auf Gitarren bliegt und kein Patch bereit steht Das ist der schlechteste bündliche Ausgang.

01:07:45: Dass es auf GitHub bereit steht, finde ich gar nicht so verkehrt.

01:07:49: Ich bin kein unbedingter Fan von diesem Responsible or the Coordinate Disclosure weil das eben unheimliche Möglichkeiten für die Unternehmen bietet Sachen tot zu reden oder tot zu schweigen und das sehen wir ja auch an anderer Stelle.

01:08:06: hier ist Microsoft sogar fast eher noch ein positiv Beispiel.

01:08:09: aber dass der Patch nicht da ist das ist halt echt ein Problem und dass er immer noch nicht da ist.

01:08:13: Das kann ich nicht gut beurteilen, also ich glaube es ist Routine bei Microsoft, dass diese LPEs nicht sofort gehotfixt werden.

01:08:20: aber wahrscheinlich ist auch Routine beim Microsoft.

01:08:22: kein Truth of Concept Exploit kursiert wenn die Sicherheitsbildung eingeht.

01:08:27: Also trotzdem... Es bleibt ein schales Gefühl zurück und ich könnte mir auch vorstellen, dass das letzte Wort nicht gesprochen ist was Chaotic Eclipse angeht Was dessen Identität angeht Da habe zu vorbereitet eine Art Canary, falls in den nächsten Wochen oder Monaten bekannt wird wer er denn war.

01:08:47: Oder ich habe da einen Tipp und den hab' ich auch aber nicht mit Zero Knowledge Proof sondern PGP signiert abgegeben.

01:08:55: mal schauen ob das sich

01:08:56: bewahrheitet.".

01:08:58: Da die Neuenskammer angerufen wollen ihre Krypto zurück!

01:09:05: Ich hab extra einen neuen Key ausgewürfelt, aber den habe ich da noch nicht benutzt.

01:09:08: Anyway!

01:09:09: Dann ist ja gut dass du ihn ausgewirbelt hast.

01:09:11: Ja mein alter Defaultkey der...ich wurde von berufener Stelle darauf gestupst das meinen pgp-Key vielleicht doch mal renoviert gehört und das ist aber auch noch der Default key in meinem Keyring.

01:09:25: Wenn ich mal Zeit habe tm alles umziehen.

01:09:29: Das machen wir aber nicht mehr heute Denn ich finde für heute haben wir genug geredet, so gerne ich mit dir rede.

01:09:33: Jetzt war es doch eine etwas längere Session denn diese Bonusfolge haben wir gleichzeitig mit der vorhergehenden Folge aufgenommen und jetzt würde ich sagen wir kommen dann doch langsam aber sicher mal zum Ende.

01:09:47: Ende schickt uns gern euer Feedback an.

01:09:51: Passwort-Podcast at heise.de.

01:09:54: Ich sage bis zum nächsten Mal und denkt dran

01:09:57: dieser Podcast ist das einzige Passwort dass ihr teilen solltet.

01:10:01: Ciao, ciao.

01:10:03: Tschüss!