Sicherheitslücke in Git und Phishing-Angriffe auf GitHub-Nutzer
(Foto: Jarretera / Shutterstock)
Hinweis: Wir haben in diesem Artikel Provisions-Links verwendet und sie durch "*" gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält t3n.de eine Provision.
Anzeige
Für beide Lücken beschreibt der Blog jeweils eine Gegenmaßnahme: GitHub-Nutzer werden aufgefordert, den Klick auf eine Login-Page in vermeintlich von GitHub stammenden E-Mails zu unterlassen, die Sicherheitslücke in Git wiederum lässt sich mit einem Update beheben.
Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden Anzeige Sawfish-Phishing-Kampagne
Im betreffenden Blogpost warnt GitHub vor Phishing-E-Mails, die sich als Warnung ausgeben, dass im Account des betreffenden GitHub-Users ungewöhnliche Aktivität festgestellt oder aber ein Repo oder Setting geändert wurde. Der Empfänger wird über einen Link zum Login aufgefordert. Die Mails stammen von auf den ersten Blick seriös wirkenden Domains. An die E-Mail-Adressen der GitHub-Nutzer kommen die Angreifer wahrscheinlich über öffentliche Commits. Beliebte Taktiken zur Verschleierung der Umleitung auf die Zielwebsite sind zum Beispiel die Verwendung sogenannter URL-Shortener und PHP-basierter Umleitungen.
Auch Zwei-Faktor-Authentifizierung bietet keinen umfassenden Schutz
Auch Nutzer von 2FA sind nicht notwendigerweise davon ausgenommen, nur wer Hardware-Security-Keys nutzt, ist safe. Die Angreifer leiten sogenannte TOTP-Codes direkt um und machen umgehend davon Gebrauch. Den Zugriff auf die Accounts nutzen sie dann, um Inhalte privater Repositories zu downloaden. Über die Erstellung von Personal Access Tokens oder die Nutzung von OAuth versuchen die Angreifer außerdem, den Zugriff auf die fremden Accounts auch nach einer Passwortänderung durch die eigentlichen Nutzer zu behalten. Für GitHub-Nutzer, die eine E-Mail derartigen Inhalts erhalten haben, gilt: Der Klick auf den Login-Link sollte in jedem Fall unterlassen werden. Wer sich bezüglich der Überprüfung von Änderungen unsicher ist, sollte sich wie gewohnt über die Website einloggen. Ist das Kind bereits in den Brunnen gefallen, empfiehlt der Blogpost die direkte Änderung des Passworts sowie die Überprüfung der Personal Access Tokens. Was ihr in einem solchen Fall sonst noch tun könnt, könnt ihr im entsprechenden Blogpost nachlesen.
Sicherheitslücke in Gits Passwortverwaltung
Die Versionierungssoftware Git verwaltet die Credentials ihrer Nutzer über externe Hilfsprogramme, sogenannte Credential Helper. Ein Mitglied von Googles Projekt Zero hat jetzt eine Schwachstelle in diesen Programmen entdeckt, die laut GitHub alle Git-Versionen ab Version 2.16 betreffen. Laut heise sind allerdings auch frühere Versionen – ab V 1.79 – betroffen. Die Sicherheitslücke ermöglicht es offenbar, über fehlerhafte URLs beliebig andere Daten in den Protokoll-Stream eines Credential Helpers einzuschleusen, was dazu genutzt werden kann, Credentials zu extrahieren.
Ein Update gegen die Sicherheitslücke
Der schnellste und einfachste Weg, sich davor zu schützen, ist ein Update auf V 2.26.1. Wer nicht sofort updaten kann, kann sich in der Zwischenzeit schützen, indem er oder sie von der Ausführung von git clone mit –recurse-submodules gegen fremde Repos absieht und am besten ganz auf die Verwendung des Credential Helpers verzichtet. Im zugehörigen Sicherheitshinweis GitHubs findet ihr außerdem eine Anleitung zum Deaktivieren des Credential-Helper-Mechanismus:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
GitHub hat bereits Schritte eingeleitet, um die Nutzer umfassender vor derartigen Angriffen zu schützen. Weitere Details dazu findet ihr ebenfalls im zugehörigen Blogpost.
Passend dazu: GitHub will wachsen und bietet mehr Funktionalität für deutlich weniger Geld
Anzeige
https://samplecic.ch/sicherheitslucke-in-git-und-phishing-angriffe-auf-github-nutzer.html
Комментарии
Отправить комментарий