IT Security Newsletter: Bugs in Windows, Passwörter und neue Cyber-Security-Trainings
Aktuelle Berichte, Kommentare und Analysen aus der IT-Security
In dieser Ausgabe lesen Sie
Gefährliche Bugs in Windows
Keepass-Passwörter und Firefox
Kostenlose Cyber-Security-Trainings
Tipp: Automatischen Neustart nach Crash deaktivieren
Jonas Lykkegaard entdeckt zwei fiese Windows-Bugs
Der Security-Forscher Jonas Lykkegaard sorgt gerade für Furore. Erst entdeckte er einen Bug im Windows-Dateisystem NTFS. Nun hat er nachgelegt und eine weitere Windows-Schwachstelle offengelegt, die zu einem Absturz des Systems und (teilweise) einem Bluescreen of Death (BSOD) führt.
Bug 1: NTFS-Fehler
Beim ersten Fehler genügt ein kurzer Befehl in der Eingabeaufforderung, um einen Fehler im Dateisystem auszulösen. CHKDSK fordert den Nutzer dann zum Neustart auf, um eine Fehlerbereinigung durchzuführen. Bei einem Test in einer virtuellen Maschine ließ sich der Vorgang reproduzieren. Das System lief aber anschließend anscheinend wieder fehlerfrei weiter. Es soll aber Fälle geben, bei denen Windows danach nicht mehr starten wollte.
Bug 2: Windows-Crash
Beim zweiten Bug genügt wieder ein vergleichsweise einfacher Befehl, um den Fehler auszulösen. Diesmal kommt es zu einem der früher gefürchteten Bluescreens, die heutzutage zum Glück selten geworden sind. Auch diesen Bug haben wir in einer VM getestet. Es kam zwar nicht zu einem Bluescreen, das System stürzte aber ab und startete anschließend neu.
Nach dem Deaktivieren des automatischen Neustarts nach dem Crash erfolgte zwar kein Reboot. Hängen blieb das System aber trotzdem. Wiederum wurde kein BSOD angezeigt. Das ändert aber nichts daran, dass es sich um einen fiesen Windows-Bug handelt, den auch Cyber-Angreifer ausnutzen können, zumal in beiden Fällen keine administrativen Berechtigungen erforderlich sind.
Lykkegaard hat Microsoft nach eigenen Angaben schon vor Monaten auf die Bugs aufmerksam gemacht. Bisher wurden sie aber noch nicht gepatcht.
Warum es keine gute Idee ist, Keepass-Passwörter in Firefox zu importieren
Firefox 85 (erscheint heute) wird eine neue Möglichkeit enthalten, um Passwörter aus Keepass und Bitwarden zu importieren. Standardmäßig ist die neue Import-Funktion noch nicht aktiviert. das lässt sich aber leicht nachholen. Ich würde allerdings davon abraten. Warum?
Für einen kleinen Komfortgewinn soll man auf die Sicherheit der verschlüsselten und mit einem Master-Passwort gesicherten Keepass-Datenbank verzichten? Das ist keine gute Idee.
Mehrere Gründe, die gegen die neue Funktion sprechen
Erstens erlaubt Keepass nur den Export der gesamten Passwort-Datenbank. Es ist nicht möglich, nur einzelne Einträge auszuwählen und zu exportieren. Das heißt, bei einem Import in Firefox landen dort auch Zugangsdaten, die eigentlich nichts im Browser zu suchen haben.
Langjährige Keepass-Nutzer haben in der Regel mehrere hundert Einträge in ihrer Passwort-DB gespeichert. Den kompletten Übertrag dieser äußerst sensiblen Daten in Firefox sollte man sich genau überlegen.
Zweitens ist die Keepass-Datenbank meist etwa mit Advanced Encryption Standard (AES/Rijndael) verschlüsselt. Ohne Kenntnis des Master-Passworts kann niemand auf die Inhalte zugreifen. Auch der von Mozilla verwendete und in den Browser integrierte Passwort-Manager Firefox Lockwise setzt Verschlüsselung („256-Bit-Verschlüsselung„) ein.
Risiko Cloud-Synchronisation
Auf der anderen Seite ist Firefox Lockwise ein Dienst, der zur Synchronisation der Passwörter über verschiedene Systeme hinweg genutzt werden soll. Dazu wird auch ein Firefox-Konto benötigt.
Damit Ihre Zugangsdaten zum Beispiel mit Ihrem Smartphone synchronisiert werden können, müssen sie über eine Cloud übertragen werden. Wie der Sicherheitsexperte Mike Kuketz auf seiner Webseite jedoch zu recht schreibt, sollten Sie Ihre „Passwörter nur lokal ablegen und nicht irgendwelchen Clouds bzw. Fremdrechnern anvertrauen“. Dem schließe ich mich an.
Standardmäßig sind die Passwörter in Firefox Lockwise lokal auch nicht durch ein Master-Passwort gesichert. Das lässt sich zwar nachholen, aber ein Risiko bleibt es trotzdem.
Außerdem zeigt Firefox Lockwise „einen Warnhinweis zu Passwörtern, die von einem Datenleck betroffen und deshalb möglicherweise gefährdet sind“. Dazu greift der Browser auf die Daten von Firefox Monitor zurück. Auch wenn dabei keine Klartext-Passwörter übertragen werden, ist es eine Funktion, die vermutlich nicht jedem Nutzer bekannt ist, der eventuell beabsichtigt, seine Keepass-Passwörter in Firefox zu importieren.
Fazit
Summa summarum würde ich davon abraten, Ihre in Keepass bereits gut aufgehobenen Zugangsdaten in Firefox zu importieren. Mit Autotype bietet der Passwort-Manager zudem eine nützliche Funktion, um sich mit relativ wenig Aufwand bei einem Online-Dienst anzumelden.
Kostenlose Cyber-Security-Trainings
Während vom Hasso-Plattner-Institut angebotene kostenlose Cyber-Security-Kurse sich eher an Privatanwender richten, zielt das Gratisangebot des Firewall-Spezialisten Fortinet auf professionelle Anwender.
Insgesamt erhalten interessierte Personen einen Zugang zu derzeit 30 kostenlosen IT-Security-Kursen am Fortinet NSE Training Institute zu komplexen Themen wie Secure SD-WAN, OT-Security (Operational Technology) oder Cloud-Security. Im Laufe des Jahres sollen weitere Kurse dazukommen. Bereits jetzt sind zudem aufgezeichnete Lab-Demos zur On-Demand-Ansicht verfügbar.
NSE-Zertifizierungsprogramm
Die meisten der angebotenen Kurse stammen nach Angaben von Fortinet aus dem NSE-Zertifizierungsprogramm (Network Security Expert), das aus insgesamt acht Stufen besteht und schon von mehr als einer halben Million Personen abgeschlossen worden sei.
Darüber hinaus sollen alle Teilnehmer für jede Stunde NSE-Training einen CPE-Credit (Continuing Professional Education) für CISSP und andere (ISC)2-Zertifizierungen erhalten.
Das Angebot wurde erstmals im April des vergangenen Jahres in Reaktion auf die Corona-Pandemie freigegeben, um mehr Möglichkeiten zum Selbststudium zu schaffen. Nun wurde bekannt gegeben, dass es „auch über das Jahr 2021 hinaus“ verlängert wird. Bisher wurden die Trainings schon von über 800.000 Personen genutzt, teilte Fortinet mit.
Cyber-Awareness-Trainings
Im Laufe des vergangenen Jahres verzeichnete der Anbieter nach eigenen Angaben auch einen Anstieg der Anmeldungen für das Cyber-Awareness-Training. Dieses setzt sich aus den Schulungsstufen eins bis drei des NSE-Zertifizierungsprogramms, den mittleren Stufen vier bis sechs für ein technisch versiertes Publikum und den Stufen sieben bis acht für fortgeschrittene Experten zusammen.
Windows-Tipp: Automatischen Neustart nach Crash deaktivieren
Kein Windows-Nutzer mag einen BSOD (Bluescreen of Death) zu sehen bekommen. Microsoft blendet sie deswegen seit einigen Jahren lieber aus und löst nach einem schwerwiegenden Fehler stattdessen einen automatischen Neustart aus. Bei der Suche nach dem Fehler ist dies aber unter Umständen hinderlich. Die Funktion zum automatischen Neustart kann aber leicht deaktiviert werden.
Drücken Sie die Tasten Windows+Pause und klicken Sie auf „Erweiterte Systemeinstellungen“ sowie danach bei „Starten und Wiederherstellen“ auf „Einstellungen“. Entfernen Sie nun das Häkchen vor „Automatisch Neustart durchführen“ und bestätigen Sie zwei Mal mit „OK“. Fertig.
Bei der Analyse des Fehlers kann das Tool BlueScreenView von Nir Sofer hilfreich sein. Es listet die Minidump-Dateien auf, die Windows bei einem Crash automatisch anlegt. Wer will, kann sich die Dumps auch ähnlich wie bei einem klassischen Bluescreen anzeigen lassen: Rufen Sie dazu „Lower Pane Mode“ sowie „Blue Screen in XP Style“ auf.