"Passwort" Folge 44: News mit Serialisierungsproblemen, AWS-Fail und PKI-Extra
Nicht nur einer der Hosts ist leicht angeschlagen, auch die AWS-Cloud taumelte, Microsofts Updateserver fĂĽhren fremden Code aus und eine kroatische CA schlampt.
Es näselt leicht im Passwort-Podcast: Co-Host Christopher hat die herbstliche Erkältungswelle erwischt. Doch das hindert die Sicherheits-Spezis nicht daran, sich durch verschiedene Themen rund um ihr Steckenpferd zu wühlen. Und derer gibt es – wie üblich – reichlich, begonnen bei einem verräterischen Exploitverkäufer.
Gewitter in der AWS- und Azure-Cloud
Mit einem auf den ersten Blick eher untypischen Thema geht es weiter, nämlich dem folgenschweren Ausfall bei Amazons Clouddienst AWS sowie dem erst vor wenigen Tagen ausgefallenen Cloud-Loadbalancer beim Konkurrenten Microsoft. Doch wie Sylvester erläutert, gehört die Verfügbarkeit als gleichberechtigter Bestandteil ebenso zur "CIA-Triade" wie die Vertraulichkeit und Integrität von Informationen. Doch nicht nur dieser Formalismus macht die Ausfälle zum Podcast-Thema, sondern auch, dass sie lehrbuchartig für das Schmetterlingsprinzip stehen: Ein kleiner Ablauffehler in einem automatischen Vorgang führte zu tagelangen weltweiten Verfügbarkeitsproblemen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Mit einer aktuellen kritischen Sicherheitslücke beim weltgrößten Softwareentwickler Microsoft gehts weiter: Im WSUS-Server klafft ein Leck, das Fremden die Ausführung beliebigen Codes und womöglich die Verteilung schädlicher Updates gestattet. Exploits kursieren bereits – und die Ursache ist mal wieder schlechte Programmierpraxis. Christopher konstatiert, dass etwas RTFM den Windows-Entwicklern dieses Ungemach erspart hätte.
Mit einem gemeinen Trick macht sich ein Schädling teilweise unsichtbar, dem Sylvester nachgespürt hat. Die Malware "Glassworm" ist Teil einer neuen Supply-Chain-Attacke auf das Javascript-Ökosystem und bedient sich der weitgehend unbekannten "Unicode Variation Selectors", um seine Schadroutine zu verschleiern. Vim-Nutzer müssen stark sein: Ihr gottgleich verehrter Editor fällt auf den Trick herein, andere warnen hingegen unterschiedlich deutlich. Glassworm hat noch weitere schlaue Tricks auf Lager, ist jedoch nicht zu Ende gedacht, stellt Sylvester fest.
Und dann war da noch die WebPKI. Christopher hat in den vergangenen Wochen das Versagen einer kroatischen CA beobachtet (dabei an der einen oder anderen Stelle selbst etwas Öl ins Zertifikatsfeuer gegossen) und zieht ein Zwischenfazit. Wie es dazu kam, dass CDN-Riese Cloudflare einen "unakzeptablen Sicherheits-Lapsus" konstatierte, erzählt er seinem Co-Host und dem Publikum am Ende der Folge.
Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
(cku)
