IT Security Newsletter: Bugs in Windows, Passwörter und neue Cyber-Security-Trainings

Aktuelle Berichte, Kommentare und Analysen aus der IT-Security

In dieser Ausgabe lesen Sie

  • Gefährliche Bugs in Windows

  • Keepass-Passwörter und Firefox

  • Kostenlose Cyber-Security-Trainings

  • Tipp: Automatischen Neustart nach Crash deaktivieren

Jonas Lykkegaard entdeckt zwei fiese Windows-Bugs

Der Security-Forscher Jonas Lykkegaard sorgt gerade für Furore. Erst entdeckte er einen Bug im Windows-Dateisystem NTFS. Nun hat er nachgelegt und eine weitere Windows-Schwachstelle offengelegt, die zu einem Absturz des Systems und (teilweise) einem Bluescreen of Death (BSOD) führt.

Bug 1: NTFS-Fehler

Beim ersten Fehler genügt ein kurzer Befehl in der Eingabeaufforderung, um einen Fehler im Dateisystem auszulösen. CHKDSK fordert den Nutzer dann zum Neustart auf, um eine Fehlerbereinigung durchzuführen. Bei einem Test in einer virtuellen Maschine ließ sich der Vorgang reproduzieren. Das System lief aber anschließend anscheinend wieder fehlerfrei weiter. Es soll aber Fälle geben, bei denen Windows danach nicht mehr starten wollte.

Bug 2: Windows-Crash

Beim zweiten Bug genügt wieder ein vergleichsweise einfacher Befehl, um den Fehler auszulösen. Diesmal kommt es zu einem der früher gefürchteten Bluescreens, die heutzutage zum Glück selten geworden sind. Auch diesen Bug haben wir in einer VM getestet. Es kam zwar nicht zu einem Bluescreen, das System stürzte aber ab und startete anschließend neu.

Nach dem Deaktivieren des automatischen Neustarts nach dem Crash erfolgte zwar kein Reboot. Hängen blieb das System aber trotzdem. Wiederum wurde kein BSOD angezeigt. Das ändert aber nichts daran, dass es sich um einen fiesen Windows-Bug handelt, den auch Cyber-Angreifer ausnutzen können, zumal in beiden Fällen keine administrativen Berechtigungen erforderlich sind.

Lykkegaard hat Microsoft nach eigenen Angaben schon vor Monaten auf die Bugs aufmerksam gemacht. Bisher wurden sie aber noch nicht gepatcht.

Warum es keine gute Idee ist, Keepass-Passwörter in Firefox zu importieren

Firefox 85 (erscheint heute) wird eine neue Möglichkeit enthalten, um Passwörter aus Keepass und Bitwarden zu importieren. Standardmäßig ist die neue Import-Funktion noch nicht aktiviert. das lässt sich aber leicht nachholen. Ich würde allerdings davon abraten. Warum?

Für einen kleinen Komfortgewinn soll man auf die Sicherheit der verschlüsselten und mit einem Master-Passwort gesicherten Keepass-Datenbank verzichten? Das ist keine gute Idee.

Mehrere Gründe, die gegen die neue Funktion sprechen

Erstens erlaubt Keepass nur den Export der gesamten Passwort-Datenbank. Es ist nicht möglich, nur einzelne Einträge auszuwählen und zu exportieren. Das heißt, bei einem Import in Firefox landen dort auch Zugangsdaten, die eigentlich nichts im Browser zu suchen haben.

Nach der Aktivierung der neuen Funktion kann eine CSV-Datei mit allen aus Keepass exportierten Zugangsdaten über die rot markierte Schaltfläche in Firefox Lockwise importiert werden.

Langjährige Keepass-Nutzer haben in der Regel mehrere hundert Einträge in ihrer Passwort-DB gespeichert. Den kompletten Übertrag dieser äußerst sensiblen Daten in Firefox sollte man sich genau überlegen.

Zweitens ist die Keepass-Datenbank meist etwa mit Advanced Encryption Standard (AES/Rijndael) verschlüsselt. Ohne Kenntnis des Master-Passworts kann niemand auf die Inhalte zugreifen. Auch der von Mozilla verwendete und in den Browser integrierte Passwort-Manager Firefox Lockwise setzt Verschlüsselung („256-Bit-Verschlüsselung„) ein.

Risiko Cloud-Synchronisation

Auf der anderen Seite ist Firefox Lockwise ein Dienst, der zur Synchronisation der Passwörter über verschiedene Systeme hinweg genutzt werden soll. Dazu wird auch ein Firefox-Konto benötigt.

Damit Ihre Zugangsdaten zum Beispiel mit Ihrem Smartphone synchronisiert werden können, müssen sie über eine Cloud übertragen werden. Wie der Sicherheitsexperte Mike Kuketz auf seiner Webseite jedoch zu recht schreibt, sollten Sie Ihre „Passwörter nur lokal ablegen und nicht irgendwelchen Clouds bzw. Fremdrechnern anvertrauen“. Dem schließe ich mich an.

Standardmäßig sind die Passwörter in Firefox Lockwise lokal auch nicht durch ein Master-Passwort gesichert. Das lässt sich zwar nachholen, aber ein Risiko bleibt es trotzdem.

Außerdem zeigt Firefox Lockwise „einen Warnhinweis zu Passwörtern, die von einem Datenleck betroffen und deshalb möglicherweise gefährdet sind“. Dazu greift der Browser auf die Daten von Firefox Monitor zurück. Auch wenn dabei keine Klartext-Passwörter übertragen werden, ist es eine Funktion, die vermutlich nicht jedem Nutzer bekannt ist, der eventuell beabsichtigt, seine Keepass-Passwörter in Firefox zu importieren.

Fazit

Summa summarum würde ich davon abraten, Ihre in Keepass bereits gut aufgehobenen Zugangsdaten in Firefox zu importieren. Mit Autotype bietet der Passwort-Manager zudem eine nützliche Funktion, um sich mit relativ wenig Aufwand bei einem Online-Dienst anzumelden.

Kostenlose Cyber-Security-Trainings

Während vom Hasso-Plattner-Institut angebotene kostenlose Cyber-Security-Kurse sich eher an Privatanwender richten, zielt das Gratisangebot des Firewall-Spezialisten Fortinet auf professionelle Anwender.

Insgesamt erhalten interessierte Personen einen Zugang zu derzeit 30 kostenlosen IT-Security-Kursen am Fortinet NSE Training Institute zu komplexen Themen wie Secure SD-WAN, OT-Security (Operational Technology) oder Cloud-Security. Im Laufe des Jahres sollen weitere Kurse dazukommen. Bereits jetzt sind zudem aufgezeichnete Lab-Demos zur On-Demand-Ansicht verfügbar.

NSE-Zertifizierungsprogramm

Die meisten der angebotenen Kurse stammen nach Angaben von Fortinet aus dem NSE-Zertifizierungsprogramm (Network Security Expert), das aus insgesamt acht Stufen besteht und schon von mehr als einer halben Million Personen abgeschlossen worden sei.

Darüber hinaus sollen alle Teilnehmer für jede Stunde NSE-Training einen CPE-Credit (Continuing Professional Education) für CISSP und andere (ISC)2-Zertifizierungen erhalten.

Das Angebot wurde erstmals im April des vergangenen Jahres in Reaktion auf die Corona-Pandemie freigegeben, um mehr Möglichkeiten zum Selbststudium zu schaffen. Nun wurde bekannt gegeben, dass es „auch über das Jahr 2021 hinaus“ verlängert wird. Bisher wurden die Trainings schon von über 800.000 Personen genutzt, teilte Fortinet mit.

Cyber-Awareness-Trainings

Im Laufe des vergangenen Jahres verzeichnete der Anbieter nach eigenen Angaben auch einen Anstieg der Anmeldungen für das Cyber-Awareness-Training. Dieses setzt sich aus den Schulungsstufen eins bis drei des NSE-Zertifizierungsprogramms, den mittleren Stufen vier bis sechs für ein technisch versiertes Publikum und den Stufen sieben bis acht für fortgeschrittene Experten zusammen.

Windows-Tipp: Automatischen Neustart nach Crash deaktivieren

Kein Windows-Nutzer mag einen BSOD (Bluescreen of Death) zu sehen bekommen. Microsoft blendet sie deswegen seit einigen Jahren lieber aus und löst nach einem schwerwiegenden Fehler stattdessen einen automatischen Neustart aus. Bei der Suche nach dem Fehler ist dies aber unter Umständen hinderlich. Die Funktion zum automatischen Neustart kann aber leicht deaktiviert werden.

Drücken Sie die Tasten Windows+Pause und klicken Sie auf „Erweiterte Systemeinstellungen“ sowie danach bei „Starten und Wiederherstellen“ auf „Einstellungen“. Entfernen Sie nun das Häkchen vor „Automatisch Neustart durchführen“ und bestätigen Sie zwei Mal mit „OK“. Fertig.

Bei der Analyse des Fehlers kann das Tool BlueScreenView von Nir Sofer hilfreich sein. Es listet die Minidump-Dateien auf, die Windows bei einem Crash automatisch anlegt. Wer will, kann sich die Dumps auch ähnlich wie bei einem klassischen Bluescreen anzeigen lassen: Rufen Sie dazu „Lower Pane Mode“ sowie „Blue Screen in XP Style“ auf.