2240977

10 Sicherheitslücken, gegen die man sich wappnen sollte

09.01.2017 | 13:09 Uhr |

Sicherheitsexperten deckten in der Vergangenheit Tausende von gefährlichen Sicherheitslücken auf. Einige davon lassen sich sehr leicht ausnutzen oder sind auf extrem vielen Geräten zu finden. Mit unseren Tipps schützen Sie sich.

Fehler in einer Software lassen sich nur schwer vermeiden. Schätzungen zufolge begeht ein Programmierer alle 1000 Zeilen Code einen Fehler. Somit stecken bei 1 Million Zeilen Code tausend Fehler im Programm. Windows 7 besteht aus rund 40 Millionen Zeilen Code, was 40.000 Fehler erwarten lässt. Zwar kann das Programmiertool bereits viele Fehler entdecken und ebenso eine gute Testroutine. Doch einige Fehler werden immer übrig bleiben. Ein paar davon sind harmlos, doch einige reißen schlimme Sicherheitslücken in ein Programm. Zehn der schlimmsten aktuellen Sicherheitslücken stellen wir Ihnen hier vor und zeigen, wie Sie sich schützen können.

1. Secure Boot von Windows 10 lässt sich umgehen

Darum geht’s: Die Sicherheitsfunktion Secure Boot sorgt dafür, dass nur von Microsoft signierte, also kontrollierte Software auf einem Rechner gebootet werden darf. So haben PC-Viren keine Chance, sich schon während des Bootvorgangs ins System einzuschleichen und zu verstecken.

Wegen eines peinlichen Versehens hatte Microsoft mit dem Anniversary Updates von Windows 10 aber den Generalschlüssel zu Secure Boot verteilt. Wer ihn aus dem Update isolierte, konnte damit Secure Boot ausschalten. Die Folge: Beliebige Software kann sich in den Windows-Start einklinken. So kann ein Angreifer einen Spionagevirus besonders gut vor einer Entdeckung durch den Anwender oder durch eine Antivirensoftware schützen.
So gefährlich ist die Lücke: Für Privatanwender ist die Lücke nicht sonderlich bedrohlich. Denn um die Lücke ausnutzen zu können, benötigt der Angreifer einen Windows-Log-in mit Administratorrechten. Wenn er diesen aber bereits besitzt, hat er ohnehin schon recht einfach Zugriff auf alle Daten des Rechners. Sorgen müssen sich aber Unternehmen machen, die einen Spionageangriff fürchten, der ihre Systeme über Monate oder gar Jahre hinweg überwachen will.

So schützen Sie sich: Microsoft hat bereits zwei Updates gegen die Lücke herausgebracht. Laut Entdeckern der Lücke beseitigen die Updates den Bug allerdings nicht vollständig. Ein weiteres Update wird allgemein erwartet.

Testweise können Sie Ihren PC von einer Antiviren-DVD aus starten und nach Schädlingen durchsuchen. Durch den Start von DVD aus statt mit Windows kann sich ein schädlicher Code nicht so leicht unsichtbar machen. Empfehlenswert sind die Antiviren-DVDs AVG Rescue Disk und Kaspersky Rescue Disk .

2. Website stiehlt Anmeldedaten von Windows-Nutzern

Auf der Website https://msleak.perfect-privacy.com können Sie prüfen, ob Ihr Windows die Log-in-Daten zu Ihrem Windows-Benutzerkonto preisgibt. Der Test setzt Windows 8 oder 10, den Internet Explorer oder Edge voraus.
Vergrößern Auf der Website https://msleak.perfect-privacy.com können Sie prüfen, ob Ihr Windows die Log-in-Daten zu Ihrem Windows-Benutzerkonto preisgibt. Der Test setzt Windows 8 oder 10, den Internet Explorer oder Edge voraus.

Darum geht’s: Wenn Sie mit dem Internet Explorer oder Edge eine präparierte Website besuchen, dann kann Ihnen ein Angreifer Ihre Log-in-Daten für Windows stehlen. Das ist vor allem bei Nutzern von Windows 8 und 10 gefährlich, denn diese melden sich in Windows oft mit einem Microsoft-Konto an. Dieses Online-Konto hat aktuell die Endung @outlook.de und ist gleichzeitig Mailadresse und Backup-Konto für Ihre Windows-Einstellungen. Der Angreifer kann somit die Mails Ihres Microsoft-Kontos lesen und erhält viele Informationen über Ihr System. Ein Selbsttest sowie weitere Informationen zu der Lücke finden Sie auf der Seite https://msleak.perfect-privacy.com . Wenn Sie den Selbsttest durchführen, sollten Sie anschließend unbedingt Ihr Passwort ändern.

So gefährlich ist die Lücke: Der Angreifer erhält bei dem Diebstahl die Mailadresse des Windows-Kontos und das Passwort in Form eines Hashwertes . Ein Hash ist eine Art Prüfsumme des Passworts mit der Besonderheit, dass man von der Prüfsumme in der Regel nicht zurück auf das Passwort schließen kann. Für kürzere und einfachere Passworte gibt es allerdings Tricks, mit denen ein Hacker sehr wohl vom Hash auf das zugehörige Passwort schließen kann. Entsprechend ist diese Lücke als sehr gefährlich einzustufen. Betroffen sind übrigens nicht nur die Nutzer der Browser Edge und Internet Explorer, sondern auch von Outlook und Skype.
So schützen Sie sich: Den besten Schutz erhalten Sie, wenn Sie sich nicht mit einem Microsoft-Konto in Windows anmelden, sondern nur mit einem sogenannten lokalen Konto. Sollte ein Hacker diese Log-in-Daten stehlen, dann kann er damit nur etwas bei einem direkten Zugang zu dem PC anfangen. Um ein lokales Benutzerkonto in Windows 10 hinzuzufügen, klicken Sie auf das Windows-Logo links unten und wählen „Einstellungen (=Zahnradsymbol) -> Konten -> Familie und weitere Benutzer -> Weitere Benutzer -> Diesem PC eine andere Person hinzufügen“. Es öffnet sich ein Assistent mit der Frage „Wie meldet sich diese Person an?“ und akzeptiert ausschließlich eine Mailadresse für ein Online-Konto. In diesem Schritt wählen Sie unten „Ich kenne die Anmeldeinformation für diese Person nicht“. Im nächsten Schritt bietet der Assistent unten die Option „Benutzer ohne Microsoft-Konto hinzufügen“. Darüber können Sie nun ein rein lokales Benutzerkonto anlegen.

Tipp: Schutz vor Ramsonware ist einfacher als gedacht

3. TCP-Bug in Linux: Milliarden Geräte sind betroffen

Darum geht’s: Sicherheitsforscher der University of California konnten zeigen , dass sich ein Angreifer in eine TCP-Verbindung einklinken kann. So gelingt es dem Hacker, den Inhalt einer Website um schädlichen Code zu erweitern. Der Bug steckt im Linux-Kernel ab Version 3.6 und ist damit seit 2012 weit im Internet verbreitet. Laut dem Sicherheitsspezialisten von Lookout sind auch die meisten Android-Geräte von der Lücke betroffen. Acht von zehn Android-Geräten sollen anfällig sein – das sind rund 1,4 Milliarden.

Der Quadroot-Bug von August 2016 betrifft rund 900 Millionen Smartphones, so auch dieses Oneplus X. Auf diesem Handy ist die Lücke aber immerhin am 1. Oktober 2016 geschlossen worden.
Vergrößern Der Quadroot-Bug von August 2016 betrifft rund 900 Millionen Smartphones, so auch dieses Oneplus X. Auf diesem Handy ist die Lücke aber immerhin am 1. Oktober 2016 geschlossen worden.

So gefährlich ist die Lücke: Laut den Sicherheitsforschern lässt sich die Lücke recht einfach ausnutzen. Allerdings benötigt der Hacker für die Manipulation jeder einzelnen Verbindung bis zu einer Minute. Das macht einen massenhaften Angriff unwahrscheinlich. Das US-CERT stuft unter anderem deshalb die Gefahr des Bugs nur als mittel ein . Da von dem Bug aber grundsätzlich Milliarden Geräte betroffen sind, sollte die Lücke dennoch als entsprechend bedrohlich angesehen werden.

So schützen Sie sich: Gegen gefährlichen Code, der über eine manipulierte Website kommt, schützt ein Internet-Sicherheitspaket wie etwa AVG Internet Security . Android-Nutzern empfiehlt Lookout, eine VPN-App zu nutzen. Sehr vorsichtige Anwender können dieser Empfehlung folgen. Eine beliebte VPN-App ist Steganos Online Shield VPN , mit der sich 500 MB pro Monat kostenlos zum Surfen nutzen lassen.

4. LTE-Treiber: Lücken in 900 Millionen Android-Geräten

Darum geht’s: Beim sogenannten Quadrooter-Bug stecken mehrere Lücken in einem Treiber für den LTE-Chip des Herstellers Qualcomm. Diese Lücken soll laut seinem Entdecker Checkpoint Security 900 Millionen Geräte betreffen. Anfällig sind die Android-Versionen der 2. bis 6. Generation. Über die Lücken kann sich ein Angreifer Rootrechte auf Ihrem Smartphone holen. Damit erlangt feindlicher Code Zugriff auf die meisten Daten und Einstellungen Ihres Geräts.

So gefährlich ist die Lücke: Um die Lücken ausnutzen zu können, muss ein Angreifer dem Opfer eine präparierte App unterjubeln. Bislang liegen keine Informationen darüber vor, ob derart präparierte Apps bereits im Internet kursieren. Falls ja, dann lauern diese wahrscheinlich nur in den nicht offiziellen App-Stores sowie auf Websites.
So schützen Sie sich: Prüfen Sie zunächst, ob Ihr Smartphone betroffen ist. Das geht mit der App Quadrooter Scanner . Sie beginnt nach einen Tipp auf „Tap to Scan“ mit ihrer Untersuchung. Findet sich auf Ihrem Gerät der Quadrooter-Bug, sollten Sie Apps nur noch aus vertrauenswürdigen Quellen installieren. Bevorzugen Sie also Apps aus Google Play oder anderen seriösen Stores. Die Lücke schließen kann nur der Hersteller Ihres Smartphones, indem er ein Update liefert.

5. Zufallszahlen in GnuPG: Angreifbare Mailverschlüsselung

Über eine Sicherheitslücke in dem Software-Modul für JPEG-2000-Bilder können sich Viren in Windows einschleusen. Betroffen war auch das Programm Foxit Reader, das wie viele andere PDF-Tools das JPEG-Modul integriert haben.
Vergrößern Über eine Sicherheitslücke in dem Software-Modul für JPEG-2000-Bilder können sich Viren in Windows einschleusen. Betroffen war auch das Programm Foxit Reader, das wie viele andere PDF-Tools das JPEG-Modul integriert haben.

Darum geht’s: Betroffen ist die sehr beliebte und verbreitete Mailverschlüsselung GnuPG . Das Verschlüsselungsprogramm benötigt für seine Arbeit Zufallszahlen, um einzigartige, nicht errechenbare Schlüssel zu erzeugen. Allerdings ist es nicht einfach, wirklich zufällige Zahlen rein per Software zu erstellen. Zwei Sicherheitsforscher aus Karlsruhe entdeckten im Sommer 2016 einen 18 Jahre alten Bug im Zufallsgenerator von GnuPG . Der Bug macht die Zahlen des Generators erratbar. In der Folge sind einige Schlüssel von GnuPG nicht mehr sicher.

So gefährlich ist die Lücke: Die Entdecker der Lücke wollen keine Risikoeinschätzung abgeben. Der Macher von GnuPG, Werner Koch, schätzt das Risiko eines erfolgreichen Angriffs als gering ein. Die Standardschlüssel (RSASchlüssel) von GnuPG seien sehr wahrscheinlich nicht betroffen. Dennoch sollten sich Nutzer des sehr verbreiteten Programms GnuPG mit dem Bug beschäftigen.

So schützen Sie sich: Wenn Sie Ihren Schlüssel fürs Mailen mit den Standardeinstellungen von GnuPG erzeugt haben, sind Sie sehr wahrscheinlich nicht betroffen. Hatten Sie sich einen DAS- oder Elgamal-Key erzeugt, sollten Sie auf News vom GnuPG-Machers achten (unter www.gnupg.org). In der Version GnuPG 2.1.15 vom 18.08.2016 ist der Fehler beseitigt. Schlüssel aus dieser Version gelten als sicher.

6. Insulinpumpe: Unsichere Verbindung zum Gerät

Darum geht’s: Der Hersteller der Insulinpumpe One Touch Ping warnt seine Nutzer vor einer Sicherheitslücke in der unverschlüsselten Verbindung zwischen der Insulinpumpe und der Fernbedienung. Ein Hacker könne die Verbindung übernehmen und die Insulinabgabe manipulieren. Die Pumpe wird inklusive Injektionssystem direkt am Körper des Insulinpatienten angebracht. Entdeckt hat die Lücke Jay Radcliffe, der die Insulinpumpe selber nutzt. Er arbeitet als Sicherheitsexperte bei Rapid 7 . Seine Firma ist darauf spezialisiert, Sicherheitslücken in Software zu finden. Radcliffe hatte seine eigene Pumpe aus Neugier untersucht und seine Erkenntnisse anschließend dem Pumpenhersteller mitgeteilt.

So gefährlich ist die Lücke: Da die Pumpe nicht mit dem Internet verbunden ist, muss sich ein Angreifer in direkter Nähe zum Insulinpatienten befinden.

So schützen Sie sich: Die Software der Insulinpumpe lässt sich nicht updaten. Darum empfiehlt der Hersteller, die Funkverbindung zur Pumpe abzuschalten.

Sicherheitsboxen im Test: Schutz oder Augenwischerei?

7. JPEG 2000: Fotos schleusen Viren auf den PC

Die Website von Brian Krebs wurde im September 2016 durch eine DDoS-Attacke mit 620 Gigabit pro Sekunde komplett überlastet. Der Großteil des Datenbombardements soll von IoT-Geräten ausgegangen sein.
Vergrößern Die Website von Brian Krebs wurde im September 2016 durch eine DDoS-Attacke mit 620 Gigabit pro Sekunde komplett überlastet. Der Großteil des Datenbombardements soll von IoT-Geräten ausgegangen sein.

Darum geht’s: Manipulierte Bilddateien im Format JPEG 2000 können einen Virus auf Ihren PC schleusen. Die Sicherheitslücke steckt in dem Modul Open JPEG , das von vielen PDF-Tools verwendet wird. PDF-Programme wandeln Bilder bevorzugt ins JPEG-2000-Format um. Betroffen war unter anderem das Programm Foxit Reader bis zur Version 8.0.0.624.

So gefährlich ist die Lücke: Allein durch das Öffnen einer PDF-Datei mit einem manipulierten JPEG-2000-Bild können Sie sich Schadcode auf Ihren PC holen.

So schützen Sie sich: Aktualisieren Sie alle Ihre PDF-Programme.

8. Adobe Reader & Co.: Lücken am laufenden Band

Darum geht’s: Zu den besonders anfälligen Programmen zählen die PDF- und Flashtools von Adobe. Denn in Adobe Reader, Acrobat und Flash entdecken Sicherheitsexperten und Hacker nahezu monatlich neue, gravierende Lücken. So gab es beim großen Patch Day im Oktober Updates gegen 71 Sicherheitslücken nur für diese drei Programme. 70 der Lücken sind geeignet, um darüber feindlichen Code auf den PC zu schleusen.

So gefährlich ist die Lücke: Die Lücken in Adobe Reader und den anderen Programmen werden sehr häufig für Virenangriffe ausgenutzt. Angreifer versenden ihre manipulierten PDF-Dateien per Mail und bringen die Empfänger mit geschickt formulierten Nachrichten dazu, das PDF zu öffnen. Mehr ist für eine Infektion mit einem PC-Virus auch nicht nötig.

So schützen Sie sich: Seien Sie bei Mails mit Dateianhang stets misstrauisch. Installieren Sie immer alle Updates für Ihr PDF-Programm, und nutzen Sie eine Antivirensoftware, etwa AVG Internet Security .

9. IoT-Geräte: Zwölf Jahre alter Bug gefährdet Internet of Things

Darum geht’s: Unter Internet of Things (IoT) versteht man elektrische Geräte, die mit dem Internet verbunden sind. Dazu zählen IP-Kameras genauso wie smarte Heizungsthermostate oder vernetzte Sensoren für die Außentemperatur. Auf den meisten dieser Geräte läuft ein rudimentäres Betriebssystem, oft ist das Linux. Anders aber als ein Linux-Server oder -PC ist für viele IoT-Geräte keine Update-Funktion vorgesehen. Das stellt sich nun als großes Problem heraus. Denn Hacker übernehmen über neu entdeckte Sicherheitslücken die Steuerung von IoT-Geräten und missbrauchen sie für ihre Zwecke.

Ein gutes Beispiel ist eine rund zwölf Jahre alte Lücke in OpenSSH, einem Modul für verschlüsselte Verbindungen. Systeme, die OpenSSH in der Standardkonfiguration eingerichtet haben, lassen sich leicht von einem Hacker ohne großen Aufwand übernehmen.

So gefährlich ist die Lücke: Das National Cyber Awareness System der USA stuft die OpenSSH-Lücke nur als mittelschwer ein, doch damit könnte sie hinsichtlich der Millionen IoT-Geräte falsch liegen. Was Hacker mit IoT-Geräten anrichten können, zeigte sich erstmals im September 2016. Unbekannte starteten den bis dahin größten DDoS-Angriff auf eine einzelne Website. Der Hoster der Website, Akamai, geht davon aus, dass ein Großteil der vielen Millionen Zugriffe auf diese Site von IoT-Geräten ausgeführt wurde. Mit rund 620 Gigabit pro Sekunde feuerten Router, Sicherheitskamera und andere Geräte aus dem Internet der Dinge Anfragen an den Sicherheitsblog von Brian Krebs. Wenige Wochen später erlebte ein französischer Webhoster eine DDoS-Attacke mit 1,1 Terabit pro Sekunde. Auch dieser Angriff soll überwiegend von IoT-Geräten ausgegangen sein.
So schützen Sie sich: Wenn Sie sich ein Gerät zulegen, dass mit dem Internet verbunden ist, dann achten Sie darauf, dass es update-fähig ist. Prüfen Sie bei Ihren vorhandenen Geräten, ob diese mit den neuesten Update versorgt sind. Entsprechende Infos sollten über die Website des Herstellers erhältlich sein.

10. Gefährliche Nachrichten: Viren über Steam-Chats

Darum geht’s: Einer der häufigsten Angriffswege verläuft direkt über den Anwender selber. Typischerweise versenden die Hacker Mails mit lockenden oder dringlichen Nachrichten und einem Link darin. Wer auf die Nachricht hereinfällt und auf den Link klickt, holt sich einen PC-Virus aufs System.

Der Trick funktioniert auch über diverse Chatsysteme. Im Oktober verbreiteten Hacker etwa über den Chat des Spielesystems Steam Links zu verseuchten Websites. Zuvor hatte sie die Konten von Steam-Nutzern gehackt und von dort aus die Nachrichten versendet.

So gefährlich ist die Lücke: Gegen sehr gut angelegte Angriffe per Nachrichten, egal ob per Mail, Chat oder einem anderen Kommunikationskanal, ist man beinahe machtlos. Immerhin sind die meisten dieser Nachrichten nicht sehr gut gemacht.

So schützen Sie sich: Der beste Schutz ist größtes Misstrauen gegenüber Links in Nachrichten. Zusätzlich sollten Sie eine gute Antivirensoftware nutzen. Empfehlenswert ist etwa AVG Internet Security .

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2240977