Black Hat Europe 2017: Blueborne trifft Alexa, Intel ME ausgehebelt

Blackhat-Grüner Jeff Moss kündigte die Keynote an.

Alexa wurde per Bluetooth-Lücke übernommen, Intels Management Engine über einen komplizierten Exploit. Und auch sonst war einiges los am ersten Tag der Black Hat Europe in London.

Zu Beginn der Veranstaltung durfte Chris Painter die Sicht der US-Behörden auf Sicherheitsbelange ausbreiten. Painter gelangte als Strafverfolger von Kevin Mitnick zu Bekanntheit und beriet das Weiße Haus und das FBI jahrelang in Sachen Cybercrime.

Während er für das Dilemma von Strafverfolgung auf der einen und sicherer Verschlüsslung für die Kommunikation auf der anderen Seite auch keine Lösung weiß (an Backdoors glaubt er nicht), plädierte er in Sachen internationale Cyberbedrohnungen für mehr Verhandlungen zwischen den Ländern.

Dass es weltweit inzwischen zahlreiche CSIRTs gibt (Computer Security Incident Response Teams), also Behörden, die auf große Angriffe reagieren und miteinander in Kontakt stehen, betrachtet er als Fortschritt. Er hofft, dass sich die Länder früher oder später auf Verhaltensregeln im Umgang mit Angriffen, aber auch mit Wirtschaftsspionage einigen. Er warnte aber auch davor, dass immer mehr Entscheidungen für das Internet, die bislang technische Gremien getroffen haben, nun immer häufiger die Politik treffe, was schlecht sei.

Aus seiner Sicht bestehen Probleme bei der internationalen Zusammenarbeit darin, dass bei Verstößen gegen Regeln oft die Konsequenzen fehlen, aber auch die Zuordnung. Es werde nie 100 Prozent nachweisbar sein, ob ein Land tatsächlich hinter einem Angriff stecke. Dennoch würde er sich wie im Falle des Sony-Hacks eine schnellere Festlegung auf die Schuldigen wünschen, auch wenn diese Schuld nur auf starken Indizien beruht.

Alexa: Leiden des Alters

Ben Seri und Gregory Vishnepolsky widmeten sich eher weniger politischen Dingen. Sie zeichnen für die unter dem schmissigen Codenamen Blueborne gefundenen acht (mittlerweile sogar neun) Sicherheitslücken im Bluetooth-Stack verantwortlich und zeigten in einem launigen Vortrag, dass auch Amazons sprechende Dose Alexa dafür anfällig ist. Tatsächlich huldigten am Ende ihrer Demo zwei Alexa-Konserven ihren neuen Meistern. Besonders pfiffig: Eine Alexa kann die nächste infizieren. Auch die Gear S3, eine smarte Uhr mit Tizen, konnten die Forscher per Blueborne übernehmen.

Schuld daran ist bei Alexa ein gute gehütetes Geheimnis: während sich die Dose äußerlich jung und dynamisch gibt, schlägt ihr Herz doch mit einem vorsinflutlichem 32-Bit-ARM-Linux-Kernel in Version 2.6.37, erschienen am 4. Januar 2011. Damals gab es noch kaum Sicherheitsmechanismen, die heute das Ausnutzen des Logical Link Control and Adaptation Protocol (L2Cap) von Bluetooth verhindern können. Allerdings aktualisiert Amazon die IoT-Devices per Fernupdate, so dass die Lücken inzwischen vermutlich gestopft sind. Wer sich dafür interessiert, dem empfehlen die Forscher, ein neues Alexa-Exemplar zu erwerben, weil darauf in der Regel noch die alte Firmware läuft.

Bluetooth-Blues im Kernel

Schuld an dem Dilemma sei vor allem die Bluetooth-Implementierung im Kernel namens Bluez. Die ist extrem komplex mit einer mehr als 1000-seitigen Spezifikation, weitere Lücken sind nicht ausgeschlossen. Bluez sollte nach ihrer Meinung nicht als ein Prozess im Kernel laufen, sondern am besten aufgesplittet werden in mehrere Dienste und weniger Rechte erhalten. Ein besseres Zeugnis stellten sie Bluetooth Low Energy aus, auch Android gebe Bluetooth weniger Rechte und sei daher etwas schwieriger zu exploiten.

Ben Seri und Gregory Vishnepolsky testen Blueborne an zwei Alexa-Dosen (mittig im Bild).

 

Die Lücken sind im aktuellen Kernel repariert, inklusive des kürzlich gefundenden 9. Problems, das heute repariert wurde. Problematisch sind aber eben die IoT-Devices, die keine Updates mehr vom Hersteller bekommen, sei es, weil so ein Mechanismus schlicht fehlt, die Hersteller sich nicht kümmern oder die Geräte trotz End of Life weiterlaufen. Ihre Empfehlung für Admins in Unternehmen lautete, Bluetooth und Wlan am besten mit Monitoring im Auge zu behalten und bei ungewöhnlichen Aktivitäten zu reagieren.

Intel ME: Und es hat Bup gemacht

Sehr unterhaltsam war auch der Vortrag der beiden Russen Mark Ermolov und Maxim Goryachy von Positive Technologies. Stark mit ihren Englischkenntnissen kämpfend und zum Teil etwas überstürzt von Folie zu Folie eilend, präsentierten sie die Ergebnisse ihrer jahrelangen Forschungen an Intels Management Engine. auf Version 11 können sie über einen lokalen Exploit beliebigen unsignierten Code ausführen und zeigten in einem Demovideo, wie sie einen Rechner komplett übernehmen. Dazu nutzten sie eine Sicherheitslücke in einem Modul namens Bup aus, das in der Intel ME läuft und das ein Fehler im Code anfällig für einen Stack Buffer Overflow macht. Ausführbaren Code erzeugten die Hacker dann über eine Technologie namens ROP (Return Oriented Programming)

Das Vorgehen dabei ist mit einigem Aufwand verbunden, doch wer die Lücke lokal ausnutzt, kann praktisch sämtliche Sicherheitsmechanismen moderner Betriebssystem aushebeln, weil die Management Engine schlicht unterhalb der OS-Ebene läuft. Wenn man so will, verhält sich die ME also wie das Hostbetriebssystem in der Virtualisierung zu seinen Gästen. Die mit einem Minix laufende Management Engine bringt nicht nur einen Web- und VNC-Server mit, sondern unterstützt auch Standardprotokolle der Industrie, darunter laut den beiden ME-Hackern IP, HTTP, WPA2 und Kerberos.

Der lokale Angreifer braucht allerdings Zugriff auf die MFS-Partition in der ME-SPI-Region. Auch Remote lässt sich die Lücke theoretisch ausnutzen, dazu müssen allerdings ein paar Bedingungen erfüllt sein. Intel hat die Lücke inzwischen zwar bestätigt und eine Prämie ausgezahlt, ein lokaler Angreifer kann allerdings immer per Downgrade eine ältere verwundbare Version der ME einspielen.

LTE Roaming: Neue Netze, alte Probleme

Nicht zuletzt wandten sich mit Daniel Mende und Enno Rey zwei Forscher aus Deutschland den Roaming-Netzwerken der nächsten Generation zu. Die schlechte Nachricht: Die meisten Probleme des alten Roaming-Protokolls SS7, standardisiert 1981, leben im LTE Roaming weiter. Und es kommen sogar noch ein paar neue dazu. Roaming in LTE/4G-Netzwerken arbeitet IP-basiert, Diameter kommt als Out-of-Band-Kontrollprotokoll zum Einsatz. Das ist, wie der Vorgänger, anfällig für Täuschungen, Tracking, Abhören und DoS-Angriffe.

Das Abhören ist schwieriger, weil Diameter selbst keine Voice-Nachrichten überträgt. Aber der Schlüssel lässt sich herausfinden, um die Inhalte unter Umständen nachträglich zu dechiffrieren. Zugleich setzen die bisher nicht so zahlreichen Anbieter Volte (Voice over LTE) häufig unverschlüsselt ein.

Ein von den beiden Forschern auf der Konferenz vorgestelltes neues Tool namens “diameter_enum” (BSD-Lizenz, bislang hier, demnächst auf Github) klappert die beim Provider verfügbaren Diameter-Interfaces ab und prüft, welche verfügbar sind und welche nicht und ob es gegen die verfügbaren Angriffsmöglichkeiten gibt.

Als Schuldigen an der Misere sehen die beiden Forscher aber weniger eine Verschwörung von Regierungen und Geheimdiensten, die absichtlich Löcher in dem Standard bohren, sondern vor allem dessen Komplexität. Auch das Walled-Garden-Denken bei den Telekommunikationsunternehmen sei nicht hilfreich.

 

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben