News

Sicherheitslücke in Git und Phishing-Angriffe auf GitHub-Nutzer

(Foto: Jarretera / Shutterstock)

Lesezeit: 2 Min. Gerade keine Zeit? Jetzt speichern und später lesen

GitHub hat am Mittwoch gleich zwei Sicherheitswarnungen herausgegeben. Neben einer Sicherheitslücke in Git warnt der GitHub-Blog außerdem vor Phishing-Attacken auf die Nutzer der Versionierungsplattform.

Für beide Lücken beschreibt der Blog jeweils eine Gegenmaßnahme: GitHub-Nutzer werden aufgefordert, den Klick auf eine Login-Page in vermeintlich von GitHub stammenden E-Mails zu unterlassen, die Sicherheitslücke in Git wiederum lässt sich mit einem Update beheben.

Sawfish-Phishing-Kampagne

Im betreffenden Blogpost warnt GitHub vor Phishing-E-Mails, die sich als Warnung ausgeben, dass im Account des betreffenden GitHub-Users ungewöhnliche Aktivität festgestellt oder aber ein Repo oder Setting geändert wurde. Der Empfänger wird über einen Link zum Login aufgefordert. Die Mails stammen von auf den ersten Blick seriös wirkenden Domains. An die E-Mail-Adressen der GitHub-Nutzer kommen die Angreifer wahrscheinlich über öffentliche Commits. Beliebte Taktiken zur Verschleierung der Umleitung auf die Zielwebsite sind zum Beispiel die Verwendung sogenannter URL-Shortener und PHP-basierter Umleitungen.

Auch Zwei-Faktor-Authentifizierung bietet keinen umfassenden Schutz

Auch Nutzer von 2FA sind nicht notwendigerweise davon ausgenommen, nur wer Hardware-Security-Keys nutzt, ist safe. Die Angreifer leiten sogenannte TOTP-Codes direkt um und machen umgehend davon Gebrauch. Den Zugriff auf die Accounts nutzen sie dann, um Inhalte privater Repositories zu downloaden. Über die Erstellung von Personal Access Tokens oder die Nutzung von OAuth versuchen die Angreifer außerdem, den Zugriff auf die fremden Accounts auch nach einer Passwortänderung durch die eigentlichen Nutzer zu behalten. Für GitHub-Nutzer, die eine E-Mail derartigen Inhalts erhalten haben, gilt: Der Klick auf den Login-Link sollte in jedem Fall unterlassen werden. Wer sich bezüglich der Überprüfung von Änderungen unsicher ist, sollte sich wie gewohnt über die Website einloggen. Ist das Kind bereits in den Brunnen gefallen, empfiehlt der Blogpost die direkte Änderung des Passworts sowie die Überprüfung der Personal Access Tokens. Was ihr in einem solchen Fall sonst noch tun könnt, könnt ihr im entsprechenden Blogpost nachlesen.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Sicherheitslücke in Gits Passwortverwaltung

Die Versionierungssoftware Git verwaltet die Credentials ihrer Nutzer über externe Hilfsprogramme, sogenannte Credential Helper. Ein Mitglied von Googles Projekt Zero hat jetzt eine Schwachstelle in diesen Programmen entdeckt, die laut GitHub alle Git-Versionen ab Version 2.16 betreffen. Laut heise sind allerdings auch frühere Versionen – ab V 1.79 – betroffen. Die Sicherheitslücke ermöglicht es offenbar, über fehlerhafte URLs beliebig andere Daten in den Protokoll-Stream eines Credential Helpers einzuschleusen, was dazu genutzt werden kann, Credentials zu extrahieren.

Ein Update gegen die Sicherheitslücke

Der schnellste und einfachste Weg, sich davor zu schützen, ist ein Update auf V 2.26.1. Wer nicht sofort updaten kann, kann sich in der Zwischenzeit schützen, indem er oder sie von der Ausführung von git clone mit –recurse-submodules gegen fremde Repos absieht und am besten ganz auf die Verwendung des Credential Helpers verzichtet. Im zugehörigen Sicherheitshinweis GitHubs findet ihr außerdem eine Anleitung zum Deaktivieren des Credential-Helper-Mechanismus:

git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper

GitHub hat bereits Schritte eingeleitet, um die Nutzer umfassender vor derartigen Angriffen zu schützen. Weitere Details dazu findet ihr ebenfalls im zugehörigen Blogpost.

Passend dazu: GitHub will wachsen und bietet mehr Funktionalität für deutlich weniger Geld

 

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung