Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen

Mit PGP und S/MIME verschlüsselte E-Mails können unter bestimmten Umständen von Angreifern aus dem Netz mitgelesen werden. Was man tun muss, um weiterhin verschlüsselte Mails sicher zu lesen, erklärt dieser Artikel.

Nachdem nun die Details zum Angriff auf die heute veröffentlichten Sicherheitslücken in PGP und S/MIME bekannt geworden sind, bleiben viele Anwender verunsichert und fragen sich, was sie tun müssen, um nach wie vor sicher verschlüsselte Mails versenden zu können. Wir wissen, dass Angreifer unter Umständen verschlüsselte Mails abfangen und manipulieren können, um an den entschlüsselten Inhalt der Mails – oder zumindest Teile davon – zu gelangen. Die als Efail bekannt gewordene Schwachstelle betrifft dabei die meisten gängigen Mail-Programme, die HTML-E-Mails empfangen und darstellen können wenigstens in Teilen. Um sich und seine Geheimnisse zu schützen, gibt es mehrere Möglichkeiten.

Ein guter Anfang ist damit gemacht, das Anzeigen externer Bilder in Mails zu unterbinden. Das ist sowieso zum Schutz der Privatsphäre, auch bei unverschlüsselten Mails, immer empfehlenswert. Wer damit Leben kann, Mails als Plaintext ohne HTML angezeigt zu bekommen, sollte das Anzeigen von HTML in Mails deaktivieren und ist damit nach aktuellem Kenntnisstand erst mal sicher.
Mail-Programme und Plug-ins aktualisieren

Laut der Veröffentlichungen der Efail-Entdecker ist S/MIME weitaus angeschlagener als PGP. Eigentlich sind alle von ihnen getesteten Programme, die HTML und S/MIME unterstützen, betroffen. Beim Einsatz von PGP sind vor allem Thunderbird (mit Enigmail), Outlook 2007, Apple Mail und Airmail betroffen.

Anwender sollten jetzt vor allem ihre Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Die Enigmail-Entwickler empfahlen auf Nachfrage von heise online, mindestens auf Version 2.0 des Plug-ins zu aktualisieren, in dem die Efail-Lücken bereits geschlossen wurden. Nutzer mit aktuellen Thunderbird- und GPG-Versionen sollten dieses Update über die automatische Update-Funktion des Plug-ins bereits erhalten haben. Thunderbird hat mit Version 52.7 fast alle der Sicherheitslücken geschlossen, Version 52.8 verspricht weitere Fixes. Bis dahin empfehlen die Entwickler, Mails nur als Plaintext anzuzeigen.

Sichere PGP-Clients

Die PGP-fähigen Mailprogramme K-9 Mail und Delta.chat für Android waren nicht von den Lücken betroffen. Das teilten deren Entwickler auf der Mailingliste des PGP-Werkzeugs autocrypt mit. Man beobachte die Situation allerdings aufmerksam und werde auch diese Apps updaten, falls das in Zukunft nötig wird. Die Entwickler wollen also nicht ausschließen, dass nicht doch noch Wege entdeckt werden, wie man die Efail-Schwachstellen mit ihren Apps ausnutzen kann.

Die Programme des pEp-Projektes sind ebenfalls nicht angreifbar, da sie aus Sicherheitsgründen das Nachladen von externen Bildern deaktiviert haben. Wie uns die Entwickler mitteilten, konnten sie Angriffe auf Efail-Angriffe auf pEp for Outlook nicht reproduzieren.

Grundsätzlich lassen sich alle Risiken nur mit Veränderungen an den zugrundeliegenden Protokollen für PGP und S/MIME ausräumen. Die Protokolle müssen besser die Integrität der verschlüsselten Mails sicherstellen, damit Angreifer diese nicht auf dem Weg zum Empfänger manipulieren können. Bis solche grundlegenden Änderungen greifen, wird allerdings noch einige Zeit ins Land gehen.

Mails extern entschlüsseln, HTML abschalten

Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln. Die Entdecker der Efail-Lücke empfehlen, den verschlüsselten Ciphertext aus der Mail zu exportieren und in einem eigenständigen Programm (etwa der Kommandozeilen-Ausgabe von GPG) zu entschlüsseln. Auf diesem Wege kann ein eventuell anfälliges Mailprogramm oder dessen Plug-Ins den geheimen Inhalt der Nachricht nicht an den Angreifer im Web verraten. Allerdings ist das ein sehr umständlicher und für die meisten Endbenutzer wohl unakzeptabler Ansatz.

Wer seine Mails trotzdem im Mailprogramm entschlüsseln will oder muss, der schaltet am besten den Empfang von HTML-Mails ab und lässt alle Nachrichten als Plaintext darstellen. Das stopft zwar nicht alle möglichen Schwachstellen, sollte momentan allerdings so gut wie alle praktischen Angriffe verhindern. Entsprechend sind auch Plaintext-Only-Clients wie Claws oder Mutt nicht betroffen.

Auch die meisten Web-Apps scheinen sicher zu sein. Eine Ausnahme bildet Gmail mit S/MIME und auch der Mailer Horde ist für GPG-Angriffe und, falls der Nutzer mithilft, für die S/MIME-Schwachstellen verwundbar. Roundcube scheint unter bestimmten Umständen für PGP-Lücken anfällig zu sein. Es bleibt zu hoffen, dass die Anbieter die verbliebenen Lücken bald schließen. Admins von Webmail-Systemen sollten hier auf jeden Fall ein wachsames Auge auf Updates halten und diese zeitnah einspielen.

 

Quelle: heise.de

Autor: Fabian A. Scherschel

Sicherheitsnotiz – Kritische Sicherheitslücke im WordPress Downloadmanager

Seit Anfang Dezember ist eine kritische Sicherheitslücke im beliebten WordPress-Plugin Download Magager bekannt, die es sogar Script-Kiddies erlaubt ungepatchte Server zu kapern.

Ein offen im Internet verfügbares Script nutzt diese Lücke aus, um einen zusätzlichen Administratoraccount anzulegen. Wenn man zusätzlich Shell-Skripte bedienen kann, ist es sogar möglich, ungepatchte Server zu bedienen.

Von der Sicherheitslücke sind die Version 2.7.5 und älter vom Plugin Download Manage. Nutzt man eine dieser Versionen, sollte man schleunigst auf die aktuelle Version 2.7.81 updaten. Bei Updates vor der 2.6er Version gibt es allerdings einiges zu beachten. Mehr dazu auf dem Link am Ende des Artikels.

Links

Download Manager Update auf 2.6 – Hürden

Sicherheitsnotiz – Schädling nutzt alte WordPress-Sicherheitslücke aus

SoakSoak-RU-Blacklisted
SoakSoak-RU-Blacklisted

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

Mittlerweile warnt man erneut vor einer bereits seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plugin Slider-Revolution. Mittlerweile wird die altbekannte Lücke von der Schadsoftware ausgenutzt. SoakSoak lädt ein bösartiges JavaScript von der Domain soaksoak.ru nach, was dem Schädling seinen Namen gab.  Der Code spät den Webserver aus und infiziert auch Besucher via Drive-by-Download. Google will nach eigenen Angaben bereits hunderttausend infizierte Seiten gesperrt haben.

Ein Update für Slider-Revolution gibt es bereits seit Februar diesen Jahres. Allerdings ist dieser Code auch in einer großen Anzahl von WordPress-Themes verbastelt und deren Nutzer scheinen sich dessen nicht immer bewußt zu sein.

Slider Revolution wird verwendet um Bilder in Teasern und Bilderstrecken rotieren zu lassen. Themes, die jetzt nach über einem dreiviertel Jahr noch diese Sicherheitslücke aufweisen, kann man nicht als gepflegt betrachten. Daher sollte man sich als WordPressnutzer überlegen, auf sichere Alternativen bei den Themes umzusteigen.

Ansonsten ist den Nutzern von Slider-Revolution empfohlen, schnellstens das Update auf Version 4.2 dieses Plugins zu installieren.

Die Firma Sucuri bietet einen einen kostenlosen Seiten-Scanner an. Alle wichtigen Links habe ich noch einmal am Artikelende zusammengefasst.

Links

  1. Warnung vor SoakSoak
  2. Sucuri – kostenloser Websitenscanner

Sicherheitsnotiz – Cross Site Scripting bei WordPress

WordpressAm Wochenende kam ein umfangreicheres Softwareupdate auf WordPress 4.0.1 heraus. Dieses Update behebt massive Sicherheitstechnische Lücken, gerade in den Versionen 3.0 bis 3.9.2 von WordPress. In diesen alten Versionen ist WordPress anfällig für Cross Site Scripting.

Was genau ist Cross Site Scripting eigentlich?

Beim Cross Site Scripting werden Sicherheitslücken in Webseiten und Contant Management Systemen (CMS) dahin ausgenutzt. Hierbei wird von außen, also vom Hackerschädlicher Code in eigentlich in Seiten eingepflanzt, denen die meisten Internetnutzer vertrauen. Dieser Code überträgt dann beim Ansurfen Computerschädlinge auf den Rechner, oder manipuliert den eingehenden und ausgehenden Netzwerkverkehr auf irgend einer Weise um den unbedarften Surfer Schaden zu zu fügen. Beispielsweise werden sensible Daten wie Passwörter und Anmelde-Daten bei Foren und dergleichen abgegriffen, was dann zum Identitätsdiebstahl führen kann.

Und was genau passiert bei WordPress?

Bei WordPress war es in den Versionen 3.0 bis 3.9.2 möglich, via Kommentarfunktion schädlichen Code auf Java-Script Basis einzufügen. Liest ein Moderator oder ein Administrator einer WordPress-Installation neu hinzugekommene Kommentare, war es möglich den Code auszuführen. Damit ist es möglich das Admin-Passwort zu ändern, andere Nutzerkonten anzulegen und bestehende zu sperren. Somit wäre der gesamte Blog von Fremden übernommen. Die aktuelle Version 4.0 ist nicht betroffen, allerdings steht ein umfangreiches Sicherheitsupdate auf 4.0.1 zur Installation bereit, welches diese Lücke und einige weitere schließen soll.

WP-Statistics ist auch betroffen …

Das beliebte Statistic-Plugin für WordPress ist auch von einer solchen Sicherheitslücke empfohlen. Über diese kann auch ein Angreifer Administratorrechte im Blog erlangen. Weiterhin kann man darüber auch SEO-Spam in Blog-Posts einfügen. Auch hier steht ein Update zur Verfügung.

Was kann ich nun gegen solche Lücken tun?

Das WordPress-Team bringt regelmäßig, aber auch außerhalb des normalen Updatezyklus immer neue und verbesserte Versionen für die beliebte Bloggingsoftware heraus. Im Normalfall wird der Administrator im Dashboard eine Information mit neuen Updates, die gerade verfügbar sind, erhalten. Auch gibt es zu solchen Updates im Regelfall über die WSordpress Nachrichten im WP-Channel noch einen Beitrag zu Neuerungen. Updates für Plugins und Themes werden auch im Dashboard angezeigt.

Das Meiste an Updates kann man gleich mit wenigen Mausklicks installieren lassen. Das geht schnell und problemlos und passiert auch im Hintergrund. Unterbindet das der Webhoster aus irgend einem Grund, so sollte man das Update manuell einspielen. Wie das geht, habe ich bereits früher schon einmal beschrieben.

Plugins kann man ganz ähnlich auch einer Frischzellenkur unterziehen. Das geht wie das WordPressupdate auch aus dem Dashboard heraus. Gibt es da Seitens der Webhoster Probleme, so kann man das auch manuell durchführen. Einfach das Plugin aus dem offiziellen WordPress Pluginverzeichnis downloaden, auf dem heimischen Rechner entpacken und dann via FTP-Programm in den Plugin-Ordner unter wp-content schubsen. Meist noch kurz im Dashboard aktivieren und fertig ist das Update von Plugins.

Fazit

Auch Updateverweigerer sind in der Pflicht ihre Software aktuell zu halten. Momentan nutzen noch über 80 Prozent aller Blogger eine veraltete WordPress Installation. Mit dieser gefährden sie nicht nur sich selbst, auch ihre Leser und sogar die Webspacebetreiber, auf deren Servern die Blogs liegen. Es ist grob fahrlässig, nicht zu updaten. Da gelten auch keine Ausreden, daß man am Blog irgendetwas kaputt machen kann. Es gibt genug Tutorials im Internet, die dazu Unterstützuing geben und genug Foren, wo man seine Fragen loswerden kann und Hinweise zu Updates finden kann. Zur Erleichterung habe ich fürher schon einmal ein Tutorial geschrieben, was ich hier wieder verlinke. Also macht euch dran und aktualisiert eure Seiten.

Links

  1. Rezepteküche: WordPress – WordPress Updaten
  2. Offizielles WordPress Pluginverzeichnis

Sicherheitsnotiz: WordPress-Plugin Mailpoet erlaubt Angriff auf Webserver

Eine kürzlich entdeckte Sicherheitslücke in dem Plugin MailPoet für WordPress, erlaubt das systematische Kapern von Webservern. Das Anfang Juli veröffentlichte Update sollte also schleunigst nachgerüstet werden, sofern dies noch nicht geschehen ist.

Vor ein paar Tagen entdeckten Sicherheitsforscher eine kritische Schwachstelle in dem Plugin. Die Entwickler reagierten prompt und stellten eine aktualisierte Version des Newsletter-Managementsystems für WordPress zur Verfügung. Betroffen sind allerdings alle Versionen von MailPoet bis inklusive Version 2.6.8. Aktuell trägt MailPoet die Versionsnummer 2.6.9. Alle älteren und kleineren Versionsnummern sind betroffen.

Ein Propgrammierfehler in den alten Versionen erlaubt es, die Uploadfunktion, die nur für Admins gedacht ist, um beliebige Dateien hochzuladen. Das betrifft natürlich auch gefährlichen Quellcode, der so auf den Server gelangen kann. Angreifern ist es so möglich, eine PHP-Datei mit einer Hintertür hochzuladen, mit der man den gesamten Webserver kontrollieren kann. Einige Webhoster wie 1&1 erkennen solcherlei Angriffe und informieren betroffene Kunden.

Die Hintertür wird vor allem genutzt, um Spam-Mails zu versenden. Dazu werden an verschiedenen Stellen Dateien mit manipuliertem PHP-Code versteckt und andere Dateien abgeändert. Die Reinigung eines Systems ist mühselige Arbeit, weil der Code recht durcheinander und nicht leicht aufzuspüren ist. Einen ersten Anhaltspunkt für die weitere Inspektion kann eine Suche nach PHP-Funktionen mit _replace, _decode oder eval im Namen sein. Doch für eine zuverlässige Desinfektion wird das kaum ausreichen.

Sicherheitsnotiz – Sicherheitslücke bei Asus Routern

Eine Gruppe unbekannter Aktivisten hat eine Liste mit über 12000 IP-Adressen von Asus-Routern veröffentlicht. In diesen Geräten wurden Sicherheitslücken bekannt, die es Angreifern erlaubt, den Router komplett zu kapern. Die zweite Lücke erlaubt das Auslesen von an den Router angeschlossenen USB Geräten (beispielsweise USB-Sticks und externe Festplatten), die zur Datensicherung und Datenfreigabe über das Heimnetzwerk dienen.

Bei Routern ohne Patch erlaubt der FTP-Server in der Grundeinstellung das Einloggen ohne Passwort und die AiCloud-Software der Geräte speichert ihre Zugangsdaten in einem öffentlich zugänglichen Verzeichnis. Des weiteren erlauben die Lücken Änderungen an den Systemdateien, so dass ein Angreifer einen VPN-Tunnel in das interne Netz einrichten kann. Sämtlicher Traffic der über den Router läuft kann so ebenfalls mitgeschnitten werden.

Beide Lücken wurden vor über 6 Monaten an Asus gemeldet, worauf Asus einen Monat später einen Firmwarepatch veröffentlichte, der diese Lücken schließt. Augenscheinlich wurden diese Patches aber auf vielen Geräten nicht installiert.

Beim Modell Asus RT-N66U, konnte ein Zugriff auf die Klartextzugangsdaten im Juni bestätigt werden. Ein Firmware-Update auf Version 3.0.4.372 oder höher behebt die Schwachstellen und sollte unbedingt vollzogen werden. Firmware Updates können von der Asus Support-Seite heruntergeladen werden.

Die Schwachstelle wurde in Anlehung an den Wartergate-Skandal als Asusgate betituliert und ist im Internet unter dem Hashtag #ASUSGATE zu finden.

Fazit:

Jeder, der ein Router der Marke Asus hat, sollte die Firmeware mit aktuellen Patches Updaten. Nicht nur die Nutzer eines Asus Routers, sondern auch andere Gerätemarken sollten regelmäßig eine softwareseitige Frischzellenkur bekommen. Ist ein Router einmal von Fremden gekapert, haben diese übers Internet leichten Zugang zum privaten Heimnetzwerk und damit Zugriff auf sämtliche Computer und Geräte, die im Netzwerk hängen. Auch der gesamte Internetverkehr (auch Passwörter und Zugangsdaten zum Onlinebanking) kann mitgelesen werden. Leider haben viele Endanwender nicht wirklich Ahnung, wie ein Firmwareupdate für den Router von statten geht, oder wie sie selbst Zugriff auf das Gerät haben. Daher bleiben viele Schwachstellen im Router über Monate und Jahre hinweg ungepatcht und das kann mitunter fatale Folgen haben. Im Internet gibt es für jedes Routermodell ausführliche Dokumentationen für Zugriff und Firmwareupdates für den jeweils genutzten Routertyp.

Links

Asus Supportseite