URL Parameter erraten

Es gibt noch immer Seiten, auf denen man durch Raten fremde Bestellungen einsehen kann. Session IDs gibt es in PHP seit Version 4, veröffentlicht Mai 2000.

Dallas-based Web developer Brandon Sheehy discovered that slightly modifying the link in the confirmation email he received and pasting that into a Web browser revealed another customer’s order, including their name, billing address, shipping address, phone number, email address, items and total amount purchased, delivery date, tracking link, and the last four digits of the customer’s credit card number.

Jared, Kay Jewelers Parent Fixes Data Leak

Schwere Sicherheitslücke in MyCloud und MyCloud Mirror

Western Digital MyCloud Platten sind recht beliebt. Über 1200 Bewertungen bei Amazon und immerhin 3,5 von 5 Sternen.

Die Geräte gibt es zwischen 2 und 8 TB ab 140 Euro. Sie speichern nicht nur Dateien wie eine klassische Platte, sondern bieten viele Extras:

  • persönlicher Cloud Speicher als sicherer Ort zu Hause und rufen Sie Ihre Medien und Dateien von überall mit Ihrem Computer, Tablet oder Smartphone ab
  • Im Gegensatz zu öffentlichen Clouds speichert der persönliche Cloud-Speicher My Cloud alle Ihre Inhalte an einem sicheren Ort im Heimnetzwerk.
  • Automatische Datensicherung für alle Ihre Computer
  • Foto- und Video-Backups für Tablets und Smartphones
  • Synchronisieren Sie Ihre Inhalte auf all Ihren Geräten
  • Problemlos minutenschnell eingerichtet
  • Reibungsloses Streaming auf allen Ihren Bildschirmen
  • Die schönsten Erinnerungen auf einfache Art und Weise teilen
  • Private Inhalte müssen privat bleiben
  • Erhöhen Sie die Speicherkapazität Ihrer persönlichen Cloud im Handumdrehen
  • usw.

Folgende Sicherheitslücken sind bekannt:

  • Remote root Shell durch File Upload. Es muss nur ein POST-Request geschickt werden. Authentifizierung nicht notwendig.
  • admin Benutzername mydlinkBRionyg und Passwort abc12345cba, das nicht geändert werden kann.

„The triviality of exploiting this issues makes it very dangerous, and even wormable,“ the researcher notes. „Not only that, but users locked to a LAN are not safe either.“

Selbst wenn die Festplatte nur aus einem LAN erreichbar ist, sind XSS-Angriffe möglich. Das heisst das Opfer wird dazu gebracht, eine Seite mit entsprechendem iFrame aufzurufen. Die Default Hostnames sind bekannt.

  • kein XSRF Schutz
  • command injection
  • DoS
  • Benutzerinformationen lassen sich über eine REST-API abrufen

Versionen der betroffenen My Cloud Geräte sind unten verlinkt.

James Bercegay von GulfTech hat den Hersteller bereits im Juni letztes Jahr kontaktiert. Ein Update sollte es nach 90 Tagen geben. Nachdem es nach 180 Tagen noch immer keines gibt, hat GulfTech die Lücke veröffentlicht. Sie ist bisher noch immer nicht gepachted.

thehackernews.com

Werbefirmen sammeln E-Mail Adressen

Allerdings nicht als Klartext, sondern als Hash. Es geht dabei nicht um Spam, sondern um Besucher ohne Cookie zu identifizieren:

Die Forscher betonen, dass die von ihnen analysierten Tracking-Skripte die extrahierten E-Mail-Adressen nicht im Klartext, sondern als MD5-Hash versenden. Es gehe ihren Entwicklern offenbar nicht darum, Adressen für Spam-Kampagnen einzusammeln oder gar, Login-Daten abzufangen. Vielmehr würden sie die Hashes als eindeutige, nicht-löschbare Tracking-Identifier verwenden. Sie machen den Einsatz von Cookies unnötig und funktionieren auch dann noch, wenn der Besitzer der E-Mail-Adresse im privaten Modus surft oder an einem anderen Rechner sitzt.

Heise

Sicherheitsupdates für Android

Die meisten Android Handys bekommen keine Updates. Von Google gibt es zwar Updates, aber Hersteller wie Samsung passen sie nicht für ihre Geräte an, außer vielleicht für die neusten Modelle. Telefone, die älter als zwei Jahre sind, bekommen meistens keine mehr. Eine Zusammenfassung der Android Update Politik der einzelnen Hersteller ist bei connect.de zu finden.

Im Juni hat Google eine Liste mit Geräten veröffentlicht, die immerhin zwei Monate alte Sicherheitsupdates hatten:

Weiterlesen

Schädliche Firefox Extensions

Gab es schon öfter. Und kommen wieder. Nachdem die meisten Addons nicht mit dem aktuellen Firefox Quantum (57.0) funktionieren müssen neue installiert werden. NoScript gibt es zum Beispiel noch nicht. Hier muss man natürlich aufpassen, was man installiert.

Auf der Black Hat Asia wurde letztes Jahr ein Angriff vorgestellt, bei dem ein schädliches Addon Sicherheitslücken in weit verbreiteten Addons ausnutzen konnte, z.B. in

  • NoScript mit 2,5 Millionen Downloads
  • Video DownloadHelper mit 6,5 Millionen Downloads
  • Grease Monkey, 1,5 Millionen

Immerhin war Adblock Plus mit 22 Millionen Nutzern nicht betroffen.

The pair were able to upload a malicious, but ultimately harmless proof-of-concept, extension to the Firefox extension shop even passing a requested more intensive ‚fully reviewed‘ analysis.

Die neuen WebExtensions sollen allerdings besser geschützt und wenigstens von diesem Angriff nicht betroffen sein.

Weiterlesen

Windows 7 Administrator Passwort zurücksetzen

Ein Windows 7 Administrator Passwort lässt sich einfach zurücksetzen. Dazu startet man den Offline NT Password and Registry Editor.

  1. l listet NTFS-Partitionen auf.
  2. mit 2 die C: Partition auswählen
  3. Pfad zur Registry mit ENTER bestätigen
  4. 1 Password reset (sam system security)
  5. 1 edit user data and password
  6. Benutzernamen eingeben
  7. 1 clear password
  8. ! quit
  9. y save
  10. n no new run
  11. reboot

 

VPN Passwort auslesen

VPN Passwörter sind auf Windows 7 Notebooks nicht besonders geschützt. Speichert man ein IKEV2 Passwort, verschlüsselt die Festplatte nicht und verliert das Notebook, kann der Finder das Windows Passwort eines lokalen Administrators mit Offline NT Password and Registry Editor zurücksetzen und sich unter dem entsprechenden Benutzer einloggen.

dialupass zeigt dann alle auf dem Rechner gespeicherten VPN Benutzernamen und Passwörter im Klartext an. Sogar die von Domänen-Benutzern!

Besser ist es die Festplatte vollständig zu verschlüsseln.

Tor Hidden Services absichern

Die Punkte, die in Securing a Web Hidden Service genannt werden, sind für Betreiber von Hidden Services sicher nichts Neues.

  1. Listen to localhost only
  2. Disable directory listing
  3. Disable verbose signature and error reporting
  4. Security Updates
  5. Route only Tor traffic

Allerdings werden auch Beispiele genannt, in denen Hidden Services diese einfachen Fehler zum Verhängnis wurden.

Zum Schluss dann der Tipp:

Keep in mind nothing is bulletproof and 0day can (or must) be part of your threat-model if you’re somewhat serious about anonymity.

BadRabbit

Endlich gibt es einen Virus, der EternalBlue und Mimikatz ausnutzt. Wurde aber auch Zeit. Und wird nicht der letzte bleiben. Vielleicht reicht das jetzt, dass Microsoft die nicht-vorhandene Sicherheit in Windows-Netzen in Griff bekommt.

isc.sans.edu