Liebe Freund*innen und Angehörige des Wiener Chaos,
der Newsletter für die Woche vom 13.01.2020 bis 19.01.2020.
Inhalt:
- Shitrix -- Spaß für die ganze Citrix-Familie
- Windows 7 ist tot (endlich)
- Einmal mit Profis: Zertifikatsvalidierung in Micro$loth Windoze
- Evtl. Gesichtserkennungsverbot in der EU
- BND und Verfassungsgerichtshof
- Epicenter veröffentlicht netzpolitische Analyse des Regierungsprogramms
*** Shitrix -- Spaß für die ganze Citrix-Familie ***
--------------------------------------------------
CVE-2019-19781 -- vor zwei Wochen war das eine unauthentricated RCE
(eine Schwachstelle, bei der Angreifer*innen beliebige Befehle über das
Netzwerk auf einem Gerät ausführen können, ohne sich davor irgendwie zu
authentifizieren) unter vielen. Und eigentlich hatten die Gegenmaßnahmen
gar nicht so schlecht angefangen: Am 17. Dezember 2019 veröffentlichte
Citrix bereits Workarounds -- keine Updates also, sondern "nur"
Konfigurationsänderungen, die aber nichtsdestotrotz das Ausnutzen der
Lücke unmöglich machten (zumindest war das damals die Idee). Nun, und
wie das mit solchen Sicherheitsmaßnahmen halt so ist (besonders wenn sie
kurz vor Feiertagen bestimmter monotheistischer Splittergruppen
veröffentlicht werden), wurden sie in vielen Fällen nicht sofort
umgesetzt -- was soll bei einem CVSS (Common Vulnerablilty Scoring
System) Wert von 9.8 (10 ist das Maximum) auch schiefgehen?
Dann kam Freitag, der 10. Jänner und mit ihm die erste Veröffentlichung
eines Exploits der Lücke auf GitHub. Die "Komplexität" war as lächerlich
as it gets -- de facto 2 (!!) Commando-Zeilen Befehle, das war's. Kurz
darauf folgten weitere, "professioneller" geschriebene Exploits, aber
komplexer wurde es nicht. (Spätestens) Mitte dieser Woche konnte eins
eigentlich sicher sein: Wenn ich ein betroffenes Citrix-Gerät betreibe
und die Gegenmaßnahmen noch nicht umgesetzt habe, kann ich davon
ausgehen, dass "mein(e)" Citrix(e) bereits übernommen waren und außer
einer kompletten Neuinstallation nichts helfen wird.
Währenddessen veröffentlichte Citrix am Donnerstag, 16.1., dass noch
weitere Geräte betroffen sind und außerdem, dass sie festgestellt haben,
dass die veröffentlichten Workarounds bei einigen älteren Releases nicht
funktionierten, sondern eins zuerst auf eine neuere Version des Systems
updaten musste. Softwareupdates, die die Lücken (hoffentlich) beheben,
kommen aber frühestens am 20. Jänner.
In Österreich war wohl die auffälligste Auswirkung davon, dass ELAK (der
ELektronische AKt) vom Wirtschaftsministerium kurzzeitig vom Netz
genommen wurde, um die (längst überfälligen) Workarounds einzuspielen,
aber auch deutsche Behörden blieben von dem Spaß nicht verschont.
Die Moral von der Geschichte: Updates, Updates, Updates! Und wenn's die
nicht gibt: Workarounds, Workarounds, Workarounds!
--------------------------------------------------
<https://cert.at/de/blog/2020/1/citrix-cve-2019-19781-aktiv-ausgenutzt>
<https://fm4.orf.at/stories/2997185/>
<https://www.golem.de/news/shitrix-das-citrix-desaster-2001-146047.html>
<https://support.citrix.com/article/CTX267027>
<https://github.com/projectzeroindia/CVE-2019-19781>
<https://github.com/trustedsec/cve-2019-19781>
*** Windows 7 ist tot (endlich) ***
--------------------------------------------------
Am Dienstag war der letzte Patch-Tuesday von Microsloth, an dem Windoze
7 noch Updates bekam. Damit ist es jetzt offiziell nicht mehr
unterstützt. Solltet ihr noch so was grausliches betreiben: Ihr wisst
ja, abschalten ;)
--------------------------------------------------
<https://www.bleepingcomputer.com/news/microsoft/windows-7-reaches-end-of-life-tomorrow-what-you-need-to-know/.>
*** Einmal mit Profis: Zertifikatsvalidierung in Micro$loth Windoze ***
--------------------------------------------------
Bei all dem Wirbel um Citrix ist glatt untergegangen, dass auch andere
Firmen diese Woche mit lustigen Hoppalas punkteten: Micro$loth hat bei
an seinem Patch-Tuesday eine Lücke geschlossen, die jede*r beliebigen
Person ermöglichte, den Zertifikatsvalidierungsmechanismus von Windoze
auszutricksen, indem sie ein ggefälschtes Zertifikat mit bestimmten
Eigenschaften erstellt und Windoze' Validierungs-API wird es trotzdem
als gültig erkennen. Aber wenn ihr jetzt denkt, dass ihr auch immer
schon eure eigenen Windoze-Updates auch anderen zur Verfügung stellen
wolltet: Das geht leider nicht, der Update-Mechanismus des
Betriebssystems verwendet diese API nicht -- es sind lediglich so
unwichtige Sachen wie TLS und signierte Binaries betroffen.
Oh, und einen hab ich noch: Im Remote Desktop Gateway gibt's auch eine
Remote Code Execution Schwachstelle. Ach was, Details...
--------------------------------------------------
<https://www.golem.de/news/patch-tuesday-windows-patzt-bei-zertifikatspruefung-2001-146064.html>
<https://heise.de/-4639532>
*** Evtl. Gesichtserkennungsverbot in der EU ***
--------------------------------------------------
Die EU-Kommission arbeitet an einem "Master-Plan" zum Umgang mit AI.
Eine Sache, die dabei im Raum steht, ist ein mehrjähriges Verbot für
öffentliche und private Akteur*innen, Gesichtserkennung im öffentlichen
Raum. Wenn das kommt, wär das ja mehr als geil :):)
--------------------------------------------------
<https://netzpolitik.org/2020/eu-erwaegt-verbot-von-gesichtserkennung/>
*** BND und Verfassungsgerichtshof ***
--------------------------------------------------
Der Bundesnachrichtendienst verhandelt mit dem Bundesverfassungsgericht
in Deutschland aktuell über die Frage, ob Ausländer*innen im Ausland
quasi Freiwild für den BND sind, oder nicht. Anscheinend tritt er dabei
zurückhaltender auf, als noch beim NSA-Untersuchungsausschuss --
offenbar wird wirklich befürchtet, dass das Gericht die Rechte dieses
Geheimdienstes beschneiden wird und das ist auf jeden Fall erfreulich.
--------------------------------------------------
<https://netzpolitik.org/2020/die-angst-des-geheimdiensts-vor-dem-gericht/>
*** Epicenter veröffentlicht netzpolitische Analyse des
Regierungsprogramms ***
--------------------------------------------------
Mit einwöchiger Verspätung hier der Link auf die bereits am 7. Jänner
veröffentlichte Analyse von Epicenter :)
--------------------------------------------------
<https://epicenter.works/content/netzpolitische-analyse-des-tuerkis-gruenen-regierungsprogramms-2020-2024.>
LG,
dimir