hep-cat.de

Der heutige Tag begann großartig: Pünktlich gegen 8:35 Uhr, ca. 3 Minuten vor der Abfahrt des Metronom aus Uelzen nach Hamburg Hbf verursachte ein Kranwagen den Abriss eines der Tragseile am Winsener Bahnhof. Die Deutsche Bahn schien davon erst eine Stunde später via Twitter Wind bekommen zu haben^[1] und schob die Schuld für das Informationsdefizit dem Metronom zu^[2]. Glücklicherweise konnten die diversen Sperrungen auf den Autobahnen den Auto-Verkehr erfolgreich von der Baustellenstrecke Maschener-Kreuz bis Elbbrücken fernhalten und mit etwa 15 Minuten Verspätung erreichte ich meinen Arbeitsplatz. Die Sperrung der Bahn-Stecke Uelzen-Hamburg wurde irgendwann zwischen 11:00^[3] und 12:00^[4] aufgehoben. Eine zusätzliche Signalstörung verursachte bei den Pendlern weiteres Ungemach^[5] mit Schienenersatzverkehr und Wartezeiten in Ashausen^[6]…

Microsoft Security Bulletin MS12-020 - Critical
Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387)

In allen Windows Versionen von Microsoft gibt es eine aus der Ferne ohne Authentifizierung ausnutzbare Schwachstelle, welche die Ausführung von Code ermöglicht. Die Common Vulnerabilities and Exposures Nummer “CVE-2012-0002″ (“assigned on 20111109“) deutet darauf hin, dass die Lücke schon längere Zeit bekannt war, wer davon alles Kenntnis hatte, wäre auch interessant, denn Microsoft erwartet innerhalb von 30 Tagen Schadcode, welcher die Lücke ausnutzt. Alle aktuellen Server- und Desktop-Versionen sind betroffen, falls auf Port 3389 ein RDP-Dienst lauscht.
M$ hat einen Fix-it bereitgestellt, welcher benutzt werden kann, falls das Einspielen des Patches nicht zeitnah möglich sein sollte. Alle nötigen Informationen finden sich im Microsoft Security Bulletin MS12-020 und der Exploit mit Wurm-Potential aller Voraussicht bald schon im Netz. Weitere Details zum aktuellen Patchday ebenfalls im Netz.

Update: Mittlerweile ist eine kleine Belohnung ausgeschrieben für denjenigen, der einen funktionierenden CVE-2012-0002 Exploit als Modul für Metasploit bereitstellt. Bei binaryninjas.org und im Exploitshop läuft zumindest schon die öffentliche Analyse der mit den in MS12-020 veröffentlichten Patches – was sich momentan unter der sichtbaren Oberfläche abspielt lässt sich nur vermuten…

Update2: Wie Sophos berichtet gibt es den ersten funktionierenden Exploit, welcher allerdings “nur” das betreffende System zum Absturz bringt; dies kann ich bestätigen, nachdem ich den EXP1 von “lisawawa.com” [de9fd3d82e3c53a4b4a44f86511c9ac0] getestet habe… Auch der PoC von Luigi Auriemma bringt einen ungepatchten Windows 7 Recher dazu einen Bluescreen anzuzeigen:

Windows 7 Bluescreen - CVE-2012-0002 - Poc-Exploit

Abhilfe gegen beide oben genannten PoC-Exploits für den CVE-2012-0002 schafft der von Microsoft bereitgestellte Fix it!

Kurz notiert:

bitcoinica.com, slush (mining.bitcoin.cz), Bitcoin Faucet und andere Bitcoin-Services, welche bei linode.com gehosted waren, sind Opfer eines Hacks geworden. Genauere Details muss das Unternehmen wohl noch liefern, denn es waren nach eigenen Angaben ausschließlich 8 Accounts betroffen, welche im Zusammenhang mit Bitcoins standen. Die genaue Höhe der entwendeten Bitcoins ist ebenfalls noch unklar, fest steht jedoch, dass diese einen Gegenwert von deutlich über 200.000$ haben. Der Kurs für Bitcoins brach kurzzeitig um ca 10% ein (4.95$/BTC -> 4.55$/BTC), erholt sich aber langsam wieder.

- In diesem Monat erbarmte sich Christian Wulff seinen Posten als Bundespräsident abzugeben – immerhin bekommt er nun ein jährliches monatliches Ehrensold von knapp 200.000€ und Joachim Gauck soll sein Nachfolger werden.
- Wikileaks wird wieder aktiv und veröffentlicht Daten des privaten US-Sicherheitsinstituts Stratfor, welche vermutlich aus einem Hack im Dezember letzten Jahres stammen.
- Deutsche Geheimdienste überwachen mehr oder weniger systematisch Emails und werten solche mit bestimmten Schlagworten weiter aus, dies geht zumindest aus den Dokumenten G-10-Bericht 2010 und TBG-Bericht 2010 hervor – 37 Millionen Netzverbindungen sollen davon betroffen gewesen sein. Wie so eine Liste aussehen kann, ist hier zu sehem, am Beispiel der Department of Homeland Security Begriffe für Social Media.
- Zu diversen Anti-ACTA-Demos wurde ebenfalls in diesem Monat aufgerufen – es wird sich zeigen, wie der öffentliche Druck die weitere parlamentarische Arbeit beeinflussen wird.
- Heute ist übrigens der letzte Tag, an dem Google-Nutzer die Möglichkeit haben ihre Webhistory zu löschen, bevor diverse Dienste des Suchmaschinen-Riesen zusammengelegt werden, um bessere Nutzerprofile zu erhalten. (Anleitung)

Das Max-Planck-Institut für ausländisches und internationales Strafrecht hat eine Untersuchung über die Wirksamkeit der Vorratsdatenspeicherung zu Zwecken der Strafverfolgung und der Terrorismus-Präventien veröffentlicht. Den Kommentar dazu kann man sich auf den Seiten des wie gewöhnlich gut informierten Chaos Computer Clubs ansehen, netzpolitik.org gibt ebenfalls Auszüge wieder und ordnet diese ein. Interessant in diesem Zusammenhang ist die Tatsache, dass die Telekom eine Art Vorratsdatenspeicherung-light durchführt…

Es sind neue Sicherheitslücken im CMS WordPress aufgetaucht. Die in TWSL2012-002 beschriebenen Lücken eignen sich dazu PHP-Code auf dem Server auszuführen und XSS-Attacken auf die Nutzer durchzuführen. Vermutlich wird kein ein Update mit einem Bugfix herauskommen, daher sollte die Datei “setup-config.php” im “wp-admin”-Ordner gelöscht werden, wenn eine noch nicht fertig installierte Version von WordPress auf dem Server liegt.

Weitere Informationen lassen sich hier finden: “TWSL2012-002: Multiple Vulnerabilities in WordPress”

Nach dem Bust von Megaupload.com haben auch andere Filehoster ihre Dienste zumindest teilweise eingestellt, darunter Uploaded.to, FileSonic, Fileserve.com und Filepost.com. Rapidshare hingegen gibt sich selbstsicher und ist nach eigener Einschätzung zu 100% legal – auch wenn gerade in Deuschland ein Verfahren mit der GEMA anhängig ist.

Die als Reaktion auf die Abschaltung von Megaupload aufkommenden DDoS-Attacken wurden auch dieses Mal mit der Low Orbit Ion Canon durchgeführt, am 20.01.2012 wurde der Windows-Client mehr als 32000 Mal heruntergeladen – dieses wurde jedoch laut einer Analyse des Internet Storm Centers durch ein browserbasiertes JavaScript-Tool ergänzt, welches aber wie die LIOC relativ einfach mittels einer probaten Firewall abgeweht werden kann.

Megaupload offline

Das FBI hat nach Aussage verschiedenster Quellen die Filesharing-Webseite Megaupload abgeschaltet und sieben Personen verhaftet, unter ihnen auch Kim Schmitz. Die Verlautbarung dazu lässt sich auf den Seiten des FBI nachlesen, sodenn die Seite erreichbar ist (Justice Department Charges Leaders of Megaupload with Widespread Online Copyright Infringement). Kurze Zeit später begannen DDoS-Angriffe auf die Seiten bmi.com, fbi.gov, justice.gov, mpaa.org, riaa.org, universalmusic.com und andere, wie sich im Real-time Web Monitor von Akamai beobachten lässt.

Update: Auf nerdcore ist die Anklageschrift verlinkt.

Für das Mitte Dezember veröffentlichte WordPress 3.3 ist ein Update herausgegeben worden. Es behebt 15 Fehler unter denen sich eine experimentelle Cross-Site Scripting-Lücke befindet. Das Durchführen eines Updates kann also eigentlich nicht schaden…

WordPress 3.3.1 veröffentlicht
WordPress 3.3.1 Security and Maintenance Release