In nur sechs Monaten, von August 2021 bis Januar 2022, wurden acht kritische Schwachstellen bei großen Cloud-Anbietern entdeckt – davon sechs allein bei Azure und zwei bei AWS. Das ergibt zumindest die Auswertung des Security-Forschers Scott Piper, der eine umfassende Liste solcher Lücken pflegt. Da Schwachstellen in Infrastrukturen in der Regel keine CVE-Nummern erhalten und somit von den Herstellern oder den Entdeckerinnen und Entdeckern mit CVSS-Scores für die Kritikalität ausgewiesen werden, musste Piper die Einstufung dafür selbst vornehmen. Zwar hatte […]

Übrigens patzen nicht nur die Cloud-Anbieter, sondern auch die Cloud-Kunden. Hier gibt es eine Liste von Customer-seitigen AWS-Fails zum Zweck des „blameless postmortems“ (zu Deutsch etwa Ursachenanalyse ohne Schuldzuweisung): https://github.com/ramimac/aws-customer-security-incidents

Ransomware muss nicht unbedingt Clients oder Infrastrukturen befallen. Datenbanken können auch direkt heimgesucht werden, so wie im Fall von mindestens 1.200 Elasticsearch-Instanzen. Angreifer hatten über eine unsichere Konfiguration der Authentifizierung die Daten durch Erpresserbriefe ersetzt. Elasticsearch ist nicht die erste „next generation“-Datenbank, die auf solche Weise heimgesucht wird. 2020 stellten Sicherheitsforschende fest, dass in ca. der Hälfte der damals exponierten MongoDB-Instanzen ebenfalls der Inhalt durch eine ähnliche Ransom-Note ersetzt worden war. https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note

Nachdem das IT-Sicherheitsgesetz 2.0 insbesondere beim Thema Angriffserkennung den betroffenen Unternehmen neue Anforderungen bescherte, hat nun das BSI die einschlägige “Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung” als Community Draft veröffentlicht. Sie beschreibt Anforderungen an KRITIS- und Energieanlagen-Betreiber sowie prüfende Stellen. Der Community Draft kann noch bis zum 8. Juli 2022 kommentiert werden. Community Draft: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Orientierungshilfe_Angriffserkennung_220613.html Darstellung des Inhalts: https://www.openkritis.de/massnahmen/angriffserkennung_kritis_siem_soc.html#orientierungshilfe

Die bei auf Security bedachten Admins beliebte Local Administrator Password Solution (LAPS) von Microsoft musste bisher als zusätzliches Dienstprogramm installiert werden. Mit der neuen Windows 11 Preview wird LAPS nun zum nativen Bestandteil des Betriebssystems. LAPS macht es deutlich leichter, die lokalen Account-Passwörter auf domänenverbundenen Computern sicher zu verwalten. Die Ausweitung auf Azure AD ist ebenfalls bereits angekündigt. https://blogs.windows.com/windows-insider/2022/06/22/announcing-windows-11-insider-preview-build-25145/

Abhängig Der „Dependency Graph“ beschreibt alle unsere Abhängigkeiten – zumindest was unsere Software betrifft. https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph Wissbegierig Nick Jones, Cloud Security Specialist bei WithSecure (bis vor Kurzem als F-Secure Business bekannt) weiß, welches Wissen sein Feld benötigt. https://www.nojones.net/posts/breaking-into-cloudsec Eingebettet Cory Doctorow kennt alle Tricks, mit denen Backdoors in KI-Modelle eingeschleust werden können. https://doctorow.medium.com/undetectable-backdoors-for-machine-learning-models-8df33d92da30

Wieder einmal sind Sicherheitsforscher selbst ins Fadenkreuz von Angreifern geraten. Ein angeblicher Sicherheitsforscher mit dem Pseudonym „rkxxz“ hat einen vorgeblichen PoC (Proof of Concept) für einen Satz jüngerer Remote-Code-Execution-Schwachstellen in Windows veröffentlicht. Dieser enthielt jedoch Schadcode, der ein sogenanntes Cobalt Strike Beacon in den Arbeitsspeicher injiziert. Cobalt Strike ist ein Pentest-Tool, das legal wie illegal gerne genutzt wird, um sich lateral im Netzwerk weiterzubewegen. Es ist nicht das erste Mal, dass sich Angreifer Schwachstellenforscher und Pentester als Ziel ausgeguckt haben. […]

Im Medienrummel um den ukrainischen Triumph beim „ESC“, dem Eurovision Song Contest, ist weitgehend untergegangen, dass die IT-Infrastruktur des Festivals während der Show angegriffen wurde. Die prorussische Cybergruppierung Killnet hat versucht, die Abläufe zu stören und möglicherweise das Ergebnis zu verfälschen. Da derartige Versuche erwartet wurden, konnten sie im laufenden Betrieb abgewehrt werden, sodass die Veranstaltung reibungslos über die Bühne gehen konnte. Trotzdem warnen Verfassungsschutzorganisationen weiterhin vor den Aktivitäten derartiger Gruppen auch in Deutschland, die das Ziel haben könnten, die […]