Firefox: ungepatchte 17 Jahre alte Sicherheitslücke

Posted on 4. Juli 2019 by marius

Wie uns die TheHackerNews heute mitteilen, gibt es im Firefox eine ungepatche Sicherheitslücke, die streng genommen, seit 17 Jahren im Firefox schlummert.

Same-Origin-Policy versagt

Die Same-Origin-Policy versagt bei Zugriffen auf „file://“ URLs. Was andere Browser schon vor Jahren behoben haben, ist für die Firefox Entwickler nicht wichtig, da es bislang keinen Exploit dafür gab. Das hat sich geändert:

Was wir hier sehen, wenn das Bild denn scharf wird (runterladen per youtube-dl hilft dabei), ist folgendes:

Eine Email mit einem HTML Attachment wird in einem Webmail geöffnet.
Die HTML Datei wird von Firefox abgespeichert, wie man sieht im HOME des Users!
Die HTML Datei wird mit Firefox über file://… geöffnet und ..
präsentiert uns den Inhalt des Verzeichnisses.

Die HTML Seite enthält Javascriptcode, der über die File und Fetch Api vom Browser das Verzeichnis und die Dateien ausliest und dann mit AJAX die Daten exfiltriert.

Ein Patch dafür ist nicht in Arbeit, da Mozilla die Lücke nicht als solche anerkennt. Mal sehen ob sich das jetzt ändert 😉

Quelle: https://thehackernews.com/2019/07/firefox-same-origin-policy-hacking.html

Scammer werden immer nachlässiger

Posted on 30. Juni 2019 by marius

Da rollte uns heute morgen doch glatt diese Scammer E-Mail ins Postfach, die einen kuriosen Inhalt hatte:

Beginnen Sie in den nächsten 6 Minuten damit, 
Geld zu verdienen beeilen Sie sich, 
es sind nur noch wenige Plätze verfügbar, 
um mit dieser großartigen Plattform Geld zu verdienen.
Heller announced it was time to leave and retired to the local pilot seat. I dutifully struggled to shut the airlock but my hands werent working. Heller didnt wait. He lifted us from the pad while I dangled out of the open door until someone pulled me in and slammed it shut. 
Die Mitglieder profitieren bereits davon und dies ist Ihre letzte Chance, 
um an Bord zu kommen und es jenen gleich zu tun.
Menschen auf der ganzen Welt verdienen Millionen und nun sind Sie an der Reihe. 
Folgen Sie diesem Link, um sich heute kostenlos anzumelden.


Viele Verpassen Sie es nicht, Walter Herrmann

Jetzt wird nur dummerweise nicht ganz klar, wie man denn dem Link folgen soll 🙂 Ihr werdet es auch nicht schaffen, denn da ist kein Link mitgekommen 😀

…Eine Iteration der Scammer E-Mail später…

fand sich dann dieser Link:

http://lexus-krasnoyarsk-club.ru/pjrucpddzcurz
(der Link wurde zu Ihrem Schutz entschärft)

Diese leitete den User in einer Stafette weiter …

„https://go.info-project-1.ru/go/0e0b1c43-ff12-4481-89fa-2819b6f98b57“
„http://go.2track500.com/aff_c?offer_id=405&aff_id=4434“
„https://woodsilvergold.com/api/v1/flows/198/click?id=1026cf10367efd6611146713838ff1&offer_id=405&affiliate_id=4434&device_brand=Robot&device_model=Bot+or+Crawler&device_os=&ip=37.143.199.61&country_code=DE&advertiser_id=2&source=&aff_sub=&aff_sub2=&aff_sub3=&aff_sub4=&aff_sub5=“

um dann bei

„https://bitcoincodesoftapps.com?click=50743610&mode=optin&api_url=%2F%2Fwoodsilvergold.com%2Fapi%2Fv1&p=woodsilvergold.com%2Fapi%2Fv1%2Fpixels%2F50743610%3Fpixels%3D440&pL=woodsilvergold.com%2Fapi%2Fv1%2Fpixels%2F50743610%3Fpixels%3D441&push=0“

vermutlich einen Clickbetrug zu begehen 🙂 Den Link habe ich dann nicht mehr mitgemacht 😉

Da in letzter Zeit aus Russland echt nur Müll angeschwemmt wurde, hat sich folgende Regel in der Firewall als brauchbar herausgestellt :

REJECT all — 185.254.188.0/22 0.0.0.0/0 reject-with icmp-port-unreachable

Denn auch die ursprüngliche Scammer-Domain liegt in dem Netzwerk. Es besteht der Verdacht, daß das gesamte Netzwerk zu einer Neuauflage des RBN gehört, ergo nur Verbrecherseiten beherbergt.Rate mal welche IP der die letzte Domain in der Kette hat …

bitcoincodesoftapps.com has address 185.254.188.7

und oh Wunder…schaut mal wo der original Link herkommt …

lexus-krasnoyarsk-club.ru has address 185.254.188.162

na sowas aber auch.. welch ein Zufall 😉

Wie man bei Jitsi verpasste SIP Anrufe sieht

Posted on 28. Juni 2019 by Der Admin

Wenn man Jitsi mit Sipgate zusammen laufen hat, kann es vorkommen, daß man in der GUI nicht erkennen kann, wer denn da nun angerufen hat. Das liegt wohl an Sipgate und deren defekten From:-headern.

So könnt Ihr trotzdem an die Nummer kommen:

# strings .jitsi/log/jitsi0.pcap |grep From: |sed -e „s/tag=.*$//g“ | sort -u
From: „Deine Anschlussnummer“ <sip:Anrufernummer@sipgate.de>;

Wenn man das macht, kommen noch andere Nummern zum Vorschein, aber das sind i.d.R. nur interne SIP Nachrichten oder auch Chaos im Protokoll. Wer das so designed hat, mochte auch „Das Auge der Pyramide„, ein Buch, daß man nur unter Drogeneinfluss lesen sollte. ( Es macht sonst eher einen verwirrten Eindruck. )