{"id":329627,"date":"2025-08-08T20:40:11","date_gmt":"2025-08-08T20:40:11","guid":{"rendered":"https:\/\/www.europesays.com\/de\/329627\/"},"modified":"2025-08-08T20:40:11","modified_gmt":"2025-08-08T20:40:11","slug":"black-hat-ki-als-schwachstellen-scout-und-luecke-in-spectre-schutz","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/329627\/","title":{"rendered":"Black Hat: KI als Schwachstellen-Scout und L\u00fccke in Spectre-Schutz"},"content":{"rendered":"
    \n
  1. \n

    Black Hat: KI als Schwachstellen-Scout und L\u00fccke in Spectre-Schutz<\/p>\n<\/li>\n<\/ol>\n

    close notice<\/p>\n

    \n This article is also available in
    \n English<\/a>.<\/p>\n

    It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n

    \n Don\u2019t show this again.\n<\/p>\n

    Zum Einstieg in den zweiten Tag der Black Hat 2025 in Las Vegas beschwor die ehemalige New-York-Times-Journalistin Nicole Perlroth vor der versammelten Sicherheitscommunity ein Bild wachsender Cyberbedrohungen. Angreifer zielten mit Desinformationskampagnen auf den \u00f6ffentlichen Diskurs und mit „Cyberwaffen“ auf kritische Infrastrukturen wie Stromnetze, das Gesundheitswesen und die Wasserversorgung.<\/p>\n

    \u00d6ffentlich-private Partnerschaften ebenso wie KI k\u00f6nnten allerdings gegen zunehmend eskalierende Angriffe helfen. Die Cybersicherheitsbranche brauche angesichts der Lage den Mut, Bedrohungen zu benennen, auch wenn das Konsequenzen nach sich ziehe.<\/p>\n

    Malware, die via DNS kommuniziert, stoppen<\/p>\n

    Im Anschluss ging es dann wieder tief in einzelne L\u00fccken, Schwachstellen und Angriffsweisen. Vedang Parasnis demonstrierte, wie DNS als Tunnel f\u00fcr Command-and-Control-Server (C2) ausgenutzt werden kann \u2013 und wie man solche Schadprozesse erkennen und auch killen kann. Er hat einen eBPF-Filter und einen Userland-Prozess vorgestellt, der nicht nur den DNS-Verkehr von verd\u00e4chtigen Prozessen stoppen kann, sondern auch den Malware-Prozess vom Kernel aus beendet. Und wenn dieser erneut aktiv wird, werde er sofort wieder beendet.<\/p>\n

    Mit KI Schwachstellen in Software finden<\/p>\n

    Mit dem Thema AI Agents for Offsec with Zero False Positives hat es Brendan Dolan-Gavitt von XBOW geschafft, den Vortragsraum schnell zu f\u00fcllen. Jeder wollte wissen, wie es ihm gelungen ist, einfach mit LLMs Schwachstellen zu finden, welche keine False-Positives sind.<\/p>\n

    Als Erstes hat er gezeigt, dass LLMs extrem viele Schwachstellen zutage f\u00f6rdern, welche keine sind. Ein Umstand, der viele Open-Source-Entwickler in den Wahnsinn treibt, da so extrem viele Ressourcen verschwendet werden, ohne die Projekte weiterzubringen. Dolan-Gavitts Ansatz ist ein anderer: Er nutzt die KI-Agenten, um mit Ihnen eine Art „Capture the Flag“ zu spielen.<\/p>\n

    Er baut in der Software UUID-Flags ein, welche die KI-Agenten finden sollen. So hat er durch einen KI-Bot einen Authentication Bypass bei Redmine gefunden, und in vielen anderen Web-Anwendungen XSS und andere echte Schwachstellen. Dabei unterscheidet er zwischen Business-Logik-Schwachstellen, indem er diese Flags einbaut, und Anwendungen wie Datenbanken, wo er ein Flag in die Admin-SQL-Tabelle oder eine Flag-Datei in das Filesystem legt. So kann er die KI-Agenten nutzen, um Schwachstellen zu suchen, und durch das Auffinden der Flags hat er gleich den Beweis, dass es dort eine Schwachstelle gibt, die sonst unentdeckt w\u00e4re.<\/p>\n

    Durch diese Methode hat die KI 174 echte Schwachstellen gefunden, davon sind 22 CVEs schon zugewiesen und es stehen noch 154 an. Darunter befinden sich Projekte wie GeoServer (XXE), Apache HugeGraph (RCE), Puppy Graph (RCE), Apache TomCat (XXS). Er hat aktuell immer noch einen Backlog von 650 gefundenen Schwachstellen, wobei die gr\u00f6\u00dfte Schwierigkeit f\u00fcr die Forscher ist, auch die Sicherheitsverantwortlichen f\u00fcr das jeweilige Projekt zu finden.<\/p>\n

    Hardwarefehler in allen Intel-Prozessoren<\/p>\n

    Sandro R\u00fcegge und Johannes Wikner von der ETH Z\u00fcrich zeigten eine L\u00fccke in Intel-Prozessoren auf. Enhanced Indirect Branch Restricted Speculation (eIBRS) ist Intels prim\u00e4re Abwehrma\u00dfnahme gegen Spectre-Angriffe im Branch Target Injection-Stil (BTI). eIBRS verhindert den Missbrauch nicht vertrauensw\u00fcrdiger Branch-Target-Predictions in Dom\u00e4nen mit h\u00f6heren Berechtigungen (zum Beispiel im Kernel-\/Hypervisor-Modus), indem es Vorhersagen aus anderen Berechtigungsdom\u00e4nen als der, f\u00fcr die sie erstellt wurden, einschr\u00e4nkt.<\/p>\n

    Seit seiner Einf\u00fchrung Ende 2018 ist eIBRS die am besten geeignete BTI-Abwehr, auf die alle g\u00e4ngigen Betriebssysteme und Hypervisoren setzen, und hat Angreifer bisher erfolgreich daran gehindert, beliebige Branch-Target-Vorhersagen \u00fcber Berechtigungsgrenzen hinweg einzuschleusen. Die Forscher zeigen jedoch, dass mikroarchitektonische Abwehrma\u00dfnahmen wie eIBRS, \u00e4hnlich wie Software, anf\u00e4llig f\u00fcr Race Conditions sind. Daher demonstrieren sie eine Technik, die es Angreifern erm\u00f6glicht, diesen Schutz komplett auszuheben \u00fcber alle CPU-Berechtigungsebenen und Ringe hinweg.<\/p>\n

    Bei der Zur\u00fcckverfolgung des Fehlers bis zu seinem Ursprung stellten die Forscher fest, dass er seit der Einf\u00fchrung des eIBRS vorhanden ist. Das bedeutet, dass die Intel-Prozessoren seit Sandy Bridge sind, also seit \u00fcber sieben Jahren. In einer Live-Demo f\u00fchrten die Sicherheitsforscher vor, dass man mit ihrem Proof of Conzept als normaler Nutzer einfach alle Speicherpages nach dem Inhalt der \/etc\/shadow erbeuten kann. Diese Password-Datei sollte nur dem System und root zug\u00e4nglich sein. Der Kernel war ein Linux 6.8, mit allen Mitigations- und Schutzma\u00dfnahmen aktiviert. Das ganze Paper ist hier abrufbar<\/a>.<\/p>\n

    Entwickler aus Nordkorea<\/p>\n

    Unter dem Pseudonym SttyK hat ein S\u00fcdkoreaner \u00fcber die IT-Machenschaften des Nordkorea-Regimes berichtet. Dabei werden IT-Mitarbeiter mit falschen P\u00e4ssen als IT-Dienstleister und Remote-Angestellte eingeschleust, damit sie dann f\u00fcr das Regime Informationen erbeuten oder Devisen beschaffen. Typisch daf\u00fcr seien Bewerbungen als qualifizierter „Full-Stack-Entwickler“ zu besonders g\u00fcnstigen Gehaltsvorstellungen. Dabei sollte jeder Arbeitgeber oder stutzig werden, wenn Dienstleister pl\u00f6tzlich die Bezahlung in Kryptow\u00e4hrungen haben will.<\/p>\n

    Die Nordkoreaner bewerben sich auch mit gef\u00e4lschten Dokumenten, und SttyK hat gezeigt, wie man diese leicht mit Open-Source-Tools erkennen kann. Normale P\u00e4sse haben immer Rauschen im Druck. Wenn die Schrift zu perfekt ist, dann liegt eine Manipulation nahe.<\/p>\n

    (axk<\/a>)<\/p>\n

    \n Dieser Link ist leider nicht mehr g\u00fcltig.\n <\/p>\n

    Links zu verschenkten Artikeln werden ung\u00fcltig,
    \n wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n <\/p>\n

    Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"Black Hat: KI als Schwachstellen-Scout und L\u00fccke in Spectre-Schutz close notice This article is also available in English.…\n","protected":false},"author":2,"featured_media":329628,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[93393,29,30,19229,196,93394,190,189,1687,4970,194,191,193,192],"class_list":{"0":"post-329627","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-black-hat","9":"tag-deutschland","10":"tag-germany","11":"tag-intel","12":"tag-it","13":"tag-luecken","14":"tag-science","15":"tag-science-technology","16":"tag-security","17":"tag-sicherheitsluecken","18":"tag-technik","19":"tag-technology","20":"tag-wissenschaft","21":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/114995083693538662","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/329627","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=329627"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/329627\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/329628"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=329627"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=329627"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=329627"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}