Liebe Freund*innen und Angehörige des Wiener Chaos, der Newsletter für die Woche vom 13.01.2020 bis 19.01.2020. Inhalt: - Shitrix -- Spaß für die ganze Citrix-Familie - Windows 7 ist tot (endlich) - Einmal mit Profis: Zertifikatsvalidierung in Micro$loth Windoze - Evtl. Gesichtserkennungsverbot in der EU - BND und Verfassungsgerichtshof - Epicenter veröffentlicht netzpolitische Analyse des Regierungsprogramms *** Shitrix -- Spaß für die ganze Citrix-Familie *** -------------------------------------------------- CVE-2019-19781 -- vor zwei Wochen war das eine unauthentricated RCE (eine Schwachstelle, bei der Angreifer*innen beliebige Befehle über das Netzwerk auf einem Gerät ausführen können, ohne sich davor irgendwie zu authentifizieren) unter vielen. Und eigentlich hatten die Gegenmaßnahmen gar nicht so schlecht angefangen: Am 17. Dezember 2019 veröffentlichte Citrix bereits Workarounds -- keine Updates also, sondern "nur" Konfigurationsänderungen, die aber nichtsdestotrotz das Ausnutzen der Lücke unmöglich machten (zumindest war das damals die Idee). Nun, und wie das mit solchen Sicherheitsmaßnahmen halt so ist (besonders wenn sie kurz vor Feiertagen bestimmter monotheistischer Splittergruppen veröffentlicht werden), wurden sie in vielen Fällen nicht sofort umgesetzt -- was soll bei einem CVSS (Common Vulnerablilty Scoring System) Wert von 9.8 (10 ist das Maximum) auch schiefgehen? Dann kam Freitag, der 10. Jänner und mit ihm die erste Veröffentlichung eines Exploits der Lücke auf GitHub. Die "Komplexität" war as lächerlich as it gets -- de facto 2 (!!) Commando-Zeilen Befehle, das war's. Kurz darauf folgten weitere, "professioneller" geschriebene Exploits, aber komplexer wurde es nicht. (Spätestens) Mitte dieser Woche konnte eins eigentlich sicher sein: Wenn ich ein betroffenes Citrix-Gerät betreibe und die Gegenmaßnahmen noch nicht umgesetzt habe, kann ich davon ausgehen, dass "mein(e)" Citrix(e) bereits übernommen waren und außer einer kompletten Neuinstallation nichts helfen wird. Währenddessen veröffentlichte Citrix am Donnerstag, 16.1., dass noch weitere Geräte betroffen sind und außerdem, dass sie festgestellt haben, dass die veröffentlichten Workarounds bei einigen älteren Releases nicht funktionierten, sondern eins zuerst auf eine neuere Version des Systems updaten musste. Softwareupdates, die die Lücken (hoffentlich) beheben, kommen aber frühestens am 20. Jänner. In Österreich war wohl die auffälligste Auswirkung davon, dass ELAK (der ELektronische AKt) vom Wirtschaftsministerium kurzzeitig vom Netz genommen wurde, um die (längst überfälligen) Workarounds einzuspielen, aber auch deutsche Behörden blieben von dem Spaß nicht verschont. Die Moral von der Geschichte: Updates, Updates, Updates! Und wenn's die nicht gibt: Workarounds, Workarounds, Workarounds! -------------------------------------------------- https://cert.at/de/blog/2020/1/citrix-cve-2019-19781-aktiv-ausgenutzt https://fm4.orf.at/stories/2997185/ https://www.golem.de/news/shitrix-das-citrix-desaster-2001-146047.html https://support.citrix.com/article/CTX267027 https://github.com/projectzeroindia/CVE-2019-19781 https://github.com/trustedsec/cve-2019-19781 *** Windows 7 ist tot (endlich) *** -------------------------------------------------- Am Dienstag war der letzte Patch-Tuesday von Microsloth, an dem Windoze 7 noch Updates bekam. Damit ist es jetzt offiziell nicht mehr unterstützt. Solltet ihr noch so was grausliches betreiben: Ihr wisst ja, abschalten ;) -------------------------------------------------- https://www.bleepingcomputer.com/news/microsoft/windows-7-reaches-end-of-lif... *** Einmal mit Profis: Zertifikatsvalidierung in Micro$loth Windoze *** -------------------------------------------------- Bei all dem Wirbel um Citrix ist glatt untergegangen, dass auch andere Firmen diese Woche mit lustigen Hoppalas punkteten: Micro$loth hat bei an seinem Patch-Tuesday eine Lücke geschlossen, die jede*r beliebigen Person ermöglichte, den Zertifikatsvalidierungsmechanismus von Windoze auszutricksen, indem sie ein ggefälschtes Zertifikat mit bestimmten Eigenschaften erstellt und Windoze' Validierungs-API wird es trotzdem als gültig erkennen. Aber wenn ihr jetzt denkt, dass ihr auch immer schon eure eigenen Windoze-Updates auch anderen zur Verfügung stellen wolltet: Das geht leider nicht, der Update-Mechanismus des Betriebssystems verwendet diese API nicht -- es sind lediglich so unwichtige Sachen wie TLS und signierte Binaries betroffen. Oh, und einen hab ich noch: Im Remote Desktop Gateway gibt's auch eine Remote Code Execution Schwachstelle. Ach was, Details... -------------------------------------------------- https://www.golem.de/news/patch-tuesday-windows-patzt-bei-zertifikatspruefun... https://heise.de/-4639532 *** Evtl. Gesichtserkennungsverbot in der EU *** -------------------------------------------------- Die EU-Kommission arbeitet an einem "Master-Plan" zum Umgang mit AI. Eine Sache, die dabei im Raum steht, ist ein mehrjähriges Verbot für öffentliche und private Akteur*innen, Gesichtserkennung im öffentlichen Raum. Wenn das kommt, wär das ja mehr als geil :):) -------------------------------------------------- https://netzpolitik.org/2020/eu-erwaegt-verbot-von-gesichtserkennung/ *** BND und Verfassungsgerichtshof *** -------------------------------------------------- Der Bundesnachrichtendienst verhandelt mit dem Bundesverfassungsgericht in Deutschland aktuell über die Frage, ob Ausländer*innen im Ausland quasi Freiwild für den BND sind, oder nicht. Anscheinend tritt er dabei zurückhaltender auf, als noch beim NSA-Untersuchungsausschuss -- offenbar wird wirklich befürchtet, dass das Gericht die Rechte dieses Geheimdienstes beschneiden wird und das ist auf jeden Fall erfreulich. -------------------------------------------------- https://netzpolitik.org/2020/die-angst-des-geheimdiensts-vor-dem-gericht/ *** Epicenter veröffentlicht netzpolitische Analyse des Regierungsprogramms *** -------------------------------------------------- Mit einwöchiger Verspätung hier der Link auf die bereits am 7. Jänner veröffentlichte Analyse von Epicenter :) -------------------------------------------------- https://epicenter.works/content/netzpolitische-analyse-des-tuerkis-gruenen-r... LG, dimir