Msi-Produktregistrierung liefert Schadware
Dies ist eine satirische Website. Nimm es nicht ernst Es ist ein Witz.
2059 19302 Teilen
Am 13. Januar 2018 gaben die Msi-Entwickler bekannt, dass sich seit Update 25b80a des von Msi erstelltem Feature, der Produkt-Registrierung, eine Sicherheitslücke eingeschlichen hat. Das Programm ist auf fast allen neuen Msi-Geräten, von Laptops bis Standcomputern vorinstalliert. Es wurde ursprünglich "zur Interessenforschung von Stammkunden und indirekte Bewertung auf neue Funktionen sowie Deisgn und Benutzeroberfläche seitens der Kunden" entwickelt.
Im persönlichen Schreiben der Entwickler werden Details zur mitgelieferten Schadware angegeben. Das Programm stellt bei jedem Systemstart eine Verbindung mit dem MSI-Updateservice über TCP (Port:65456) her. Anstatt diese Verbindung nach Abfragen der Informationen geschlossen wird, bleibt die Verbindung konstant hergestellt. EIn User der Internetseite: http://exploit-db.com wurde darauf aufmerksam und hat mithilfe anderer User der Seite eine Attacke entwickelt, die es einem kriminellem ermöglicht, Zugriff herzustellen.
https://www.exploit-db.com/exploits/40426/
Die User bekennen sich nicht als Schuldig, dieses Chaos ausgelöst zu haben, schließlich hätten sie die den Exploit nur für Bildungszwecke benutzt. Außerdem ist das Internet, so sagen sie, genauso wie eine Waffe zu benutzen: "Sowohl für das Gute, als auch für das Böse". Trotz allem sind bereits 200.000. Geräte betroffen.
Der Exploit funktioniert mithilfe des "arp poisoning". Dies ist eine Methode, Domains mit einer Man-In-The-Middle-Attacke(Einem Mann in der Mitte) auf einen anderen Server umzuleiten. Auf diesen Server versteckt sich meist Schadware. Bei einer gezieleten Attacke über den Msi-Produktregestrieungs-Assistenten läuft es also folgendermaßen ab:
1. Arp-Poison/MitM --> Verbindung zur Domain/IP manipulieren
2. Eigene Seite --> Weiterleitung erfolgt auf eigene Webseite
3. Schadcode --> Schadcode mit JavaScript oder ähnlichem hinterlegen
(windows/meterpreter/reverse_https erwies sich in diesem Fall als am wirkungsvollstem.
In einem Statement von Msi heisst es, dass sie sich um diese Peinlichkeit kümmern werden, das Problem schnellst möglich beheben und es ihnen (nochmals) leid tut. Trotz des großen Vorhabens seitens MSI, dass Programm zu updaten und zu versuchen die Infizierungen der 200.000. Geräte rückgängig zu machen, wird es weiterhin eine große Sicherheitslücke auf dem Exploit-Market bleiben, schließlich verläuft nicht jedes Update automatisch, oder wird, sofern die verwendete Payload erweitert wird, gar verhindert. MSi hat nicht vor, Kosten zurückzuerstatten.
Dies ist eine satirische Website. Nimm es nicht ernst Es ist ein Witz.