SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 15.08.2013
Nummer: NL-T13/0017

Die Themen dieses Newsletters:
1. Schadsoftware via Werbebanner: BSI weist auf Hintertür in aktueller Version des OpenX Ad-Servers hin
2. Zugriff aufs interne Netz: Schwachstelle in der WLAN-Konfiguration
3. Bösartige Plug-ins für Chrome und Firefox: Gekaperte Social-Media-Konten
4. Sichere iPhone-Nutzung: BSI veröffentlicht Überblickspapier zu Apple iOS
5. Löschen aus der Ferne: Google führt Suchdienst für verlorene Androiden ein
6. Microsoft warnt: Passwort-Klau bei Windows Phones
7. Microsoft: Sicherheitspatches von Microsoft für den August
8. Sicherheitsupdate: Schwachstelle in verschiedenen HP Laserjet Pro Modellen
9. Klicksafe: Neuer Bereich "Smartphone und Apps" veröffentlicht
10. Ferngesteuerte Drucker: "Hi, ich bin der Drucker-Troll"

EDITORIAL
Guten Tag,
Sie haben auch schon viel Zeit damit verbracht, Ihr Smartphone zu suchen
oder mit Bangen gehofft, dass niemand Ihre Daten nach einem Diebstahl
missbraucht? Android Nutzer erhalten bald technische Unterstützung beim
Auffinden des Geräts und bei der Datenlöschung aus der Ferne. Wer darüber
hinaus etwas für die Sicherheit seiner mobilen Kommunikation tun möchte,
findet neue Empfehlungen auf den Webseiten der Initiative klicksafe sowie
ein Überblickspapier zu Apple iOS auf www,bsi.bund.de.
Wenn Sie einen Vodafone EasyBox Route oder einen HP LaserJet Pro
verwenden, dann sollten Sie diesen Newsletter besonders aufmerksam lesen:
Das Bürger CERT informiert über aktuelle Sicherheitslücken in diesen
Geräten.
Informationen zu diesen Themen und weitere Meldungen rund um die
Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende
Lektüre und sichere Stunden im globalen Netz wünscht Ihnen
Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Schadsoftware via Werbebanner: BSI weist auf Hintertür in aktueller Version des OpenX Ad-Servers hin

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf
eine Hintertür in der Version 2.8.10 des OpenX Ad-Servers hin. Die
entdeckte Hintertür ermöglicht einem Angreifer aus der Ferne, beliebigen
PHP-Programmcode auf betroffenen Servern auszuführen. Die von einem Leser
des IT-Fachmediums heise entdeckte und vom BSI anschließend verifizierte
Hintertür wird bereits von Angreifern zur Kompromittierung von Webservern
ausgenutzt. Der Hersteller der OpenX-Software hat die mit der Hintertür
versehenen Installationspakete der Version 2.8.10 von seinem
Download-Server entfernt und die Version 2.8.11 veröffentlicht. Das BSI
geht davon aus, dass die Hintertür bereits seit mehreren Monaten in den
Installationspaketen enthalten war.
Eine Anleitung zu Suche nach verstecktem
PHP-Code https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0054
in den Javascript-Dateien des OpenX Ad-Servers findet sich auf den Seiten
des Bürger-CERT des BSI.
Das OpenX Source 2.8.11 Security
Update http://forum.openx.org/index.php?showtopic=503521628 kann auf
der Seite des OpenX Forums heruntergeladen werden.

2. Zugriff aufs interne Netz: Schwachstelle in der WLAN-Konfiguration

Das Bürger-CERT wurde von Stefan Viehböck aus dem
Vulnerability Lab der SEC Consult
GmbH https://www.sec-consult.com/en/Vulnerability-Lab/Advisories.htm#a132
über eine Schwachstelle in dem Wi-Fi Protected Setup (WPS) der Vodafone
EasyBox Router informiert. Betroffen sind die Router Vodafone EasyBox 802
und Vodafone EasyBox 803 mit Produktionsdatum vor August 2011 (im
Auslieferungszustand). Ein entfernter Angreifer hat mit Kenntnis der
MAC-Adresse (per WLAN ohne weitere Authentisierung auslesbar) die
Möglichkeit, die standardmäßig eingestellte WPS-PIN sowie das Passwort
der WLAN-Verschlüsselung zu ermitteln und somit per WLAN Zugriff auf das
interne Netz zu erlangen. Dies erlaubt u. a. das Ausspähen von
Informationen und die missbräuchliche Nutzung der Internetverbindung. Das
Bürger-CERT
empfiehlt https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0053
die WPS-PIN und das Passwort für die WLAN-Verschlüsselung zu ändern sowie
WPS zu deaktivieren.

3. Bösartige Plug-ins für Chrome und Firefox: Gekaperte Social-Media-Konten

Trend Micro hat eine neue Bedrohung für Social
Media-Seiten http://blog.trendmicro.de/malware-kapert-social-media-konten-ueber-browser-plugins/
entdeckt. Die neue Malware betrifft die Nutzer von Google Chrome und
Mozilla Firefox. Ziel der Cyber-Kriminellen ist es, an die Social
Media-Konten, insbesondere Facebook, Google+ und Twitter zu gelangen.
Hierbei werden gefälschte Updates (z.B. Video Player) angeboten. Bei der
Installation wird dann eine Schadsoftware (“Troj_Febuser.AA”)
installiert.

SCHUTZMASSNAHMEN
4. Sichere iPhone-Nutzung: BSI veröffentlicht Überblickspapier zu Apple iOS

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzt die
Reihe der IT-Grundschutz-Überblickspapiere mit einer Veröffentlichung zum
Thema "Apple iOS" fort. Das neue Überblickspapier konzentriert sich auf
spezifische Angriffsvektoren und entsprechende Schutzempfehlungen für
iOS-basierte Geräte wie iPhone, iPad, iPod touch und einige Versionen von
Apple TV. Betrachtet werden in dem neuen Papier unter anderem die
Sicherheitsstrategie des Herstellers Apple sowie Sicherheitsaspekte in
den Bereichen Betriebssystem, Sprachsteuerung, Mobile Device Management,
Nutzung von Apps oder Nutzung der iCloud. Die Empfehlungen sollen den
Blick der Anwender für potenzielle Gefahrenpunkte schärfen und helfen,
diese Gefahren einzudämmen. Das Überblickspapier zu Apple
iOS https://www.bsi.bund.de/DE/Themen/ITGrundschutz/Ueberblickspapiere/Ueberblickspapiere_node.html
ist auf der Webseite des BSI abrufbar.

5. Löschen aus der Ferne: Google führt Suchdienst für verlorene Androiden ein

Mit dem ab sofort kostenlos nutzbarem Android Device Manager (ab Android
2.2) können Android-Nutzer verlorene Geräte wiederfinden oder bei
gestohlenen Geräten die Daten aus der Ferne löschen. Dies kündigte
Benjamin Poiesz, Android Product Manager im offiziellen
Android-Blog http://officialandroid.blogspot.de/2013/08/find-your-lost-phone-with-android.html
an. Wurde das Smartphone oder Tablet gestohlen, kann man nach dem
Einloggen in seinem Google-Account die Daten aus der Ferne löschen. Nach
einem Suchruf klingelt das Gerät auch dann mit voller Lautstärke, selbst
wenn es stummgeschaltet wurde. Außerhalb der Hörweite, kann man den
Standort auf einer Karte in Echtzeit anzeigen lassen. Für den Fall, dass
das Handy nur verlegt wurde, bestehen nun gute Chancen das Gerät wieder
zu finden.

6. Microsoft warnt: Passwort-Klau bei Windows Phones

Mit einem
Security-Advisory http://technet.microsoft.com/en-us/security/advisory/2876146
weist Microsoft darauf hin, dass bei der Anmeldung in Firmen-WLANs mit
Windows Smartphones 7.8 und 8.0 das verwendete Passwort kompromittiert
werden könnte. Ursache ist Microsofts längst geknacktes
Authentifizierungsverfahren MS-CHAPv2 welches dabei zum Einsatz kommt.
Einen Patch wird es nicht geben; statt dessen erklärt der Konzern, wie
man Netze und Phones für die Verwendung von Zertifikaten einrichten muss
um das Risiko zu vermeiden.

7. Microsoft: Sicherheitspatches von Microsoft für den August

Microsoft hat für den August 8
Patches http://technet.microsoft.com/de-de/security/bulletin/ms13-aug
veröffentlicht mit denen insgesamt 23 Schwachstellen geschlossen werden.
Von den 8 Patches stuft der Hersteller 3 als „Kritisch“ und 5 als „Hoch“
ein. Als betroffene Komponenten sind Microsoft Windows, Internet Explorer
und Microsoft Server Software genannt.

8. Sicherheitsupdate: Schwachstelle in verschiedenen HP Laserjet Pro
Modellen

Eine Schwachstelle wurde in bestimmten HP LaserJet Pro Druckern
identifiziert. Die Schwachstelle kann über das Netzwerk ausgenutzt
werden, um unberechtigten Zugriff auf Daten (wie z.B. das Admin-Passwort
im Klartext) zu erlangen. Der Hersteller hat ein Dokument veröffentlicht
mit einer Auflistung der betroffenen Geräte. HP Support
Center-Seite http://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?docId=emr_na-c03825817&ac.admitted=1376373042037.876444892.492883150
hinterlegt. Das Firmeware Update für die betroffenene Drucker steht im
Supportbereich von HP http://www.hp.com/go/support zur
Verfügung.

PRISMA
9. Klicksafe: Neuer Bereich "Smartphone und Apps" veröffentlicht

Im Juli 2013 hat klicksafe ein neues Webangebot mit Informationen rund um
die sichere Nutzung von Smartphones und
Apps http://www.klicksafe.de/themen/kommunizieren/smartphone-und-apps/
freigeschaltet. Der Bereich beantwortet wichtige Fragen u.a. zu den
Themen "Apps und Kostenfallen" sowie "Apps und Jugendschutz". Für Eltern
stellt klicksafe nützliche Informationen zu Angeboten für Kinder und
Jugendliche zur Verfügung. Viele Apps greifen nach der Installation auf
dem Smartphone auf Daten des Nutzers zu, vom Adressbuch bis hin zu der
Favoritenliste des Browsers. Nicht selten werden hierbei Daten von Apps
abgefragt, die für den Betrieb der Anwendung gar nicht erforderlich sind.
Das Thema Datenschutz ist daher ein weiterer Schwerpunkt im neuen
Webangebot zu Smartphones.

10. Ferngesteuerte Drucker: "Hi, ich bin der Drucker-Troll"

Gut 100.000 Drucker weltweit die aus dem Internet erreichbar sind haben
Anfang August scheinbar von selbst eine Seite mit einem QR-Code
ausgedruckt. Dahinter steckte wie SPIEGEL ONLINE
berichtet, [url]http://www.spiegel.de/netzwelt/gadgets/ferngesteuerte-drucker-post-aus-den-niede
rlanden-a-914309-druck.html[/url] eine Gruppe von deutschen Hackern, die in
den Niederlanden zeltete. Weltweit sollen rund 218.000 Drucker einen
Druckauftrag vom Zeltplatz aus erhalten haben. Bei gut der Hälfte davon
wurde tatsächlich eine Seite ausgedruckt. Wenn die Nutzer dann den darauf
befindlichen QR-Code mit einem Mobilgerät abscannten, wurde auf eine vom
Campingplatz aus gehostete Seite geleitet. Dort steht auf Englisch: "Hi,
ich bin der Drucker-Troll, und ich drucke gern auf Deinem Drucker, der
weltweit erreichbar ist." Die Aktion sei als Warnhinweis gemeint gewesen,
versicherten die Initiatoren. Schadsoftware sei keine installiert worden.


-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de