Autor: David Fuhr

Twitter: 0xdhf
HiSolutions Research
News

Es sieht schwarz aus für den Rotwald – Microsoft kündigt ESAE ab

Das unaussprechliche Enhanced Security Admin Environment (ESAE), vielen auch unter dem griffigeren Namen Red Forest bekannt, ist ein Konzept, das in Kennerinnen und Kennern unterschiedlichste Reaktionen ausgelöst hat: von Ehrfurcht (ob des möglichen Sicherheitsniveaus) bis zu hysterischem Lachen (ob des sechsstelligen Taschengeldes, das notwendig war, damit Vertreter der Erfinderin Microsoft überhaupt vorbeikamen, um über diese Geheimwaffe zu reden). Nun schickt Redmond den Red Forest aufs Altenteil – zu komplex und zu schwerfällig war die Idee, um unter dem Strich für ein Plus an Hochsicherheit sorgen zu können. Ersetzt werden soll ESAE nach Microsofts Idee durch die hauseigene Privileged Access Strategy und die Rapid Modernization Plan (RAMP) Anleitung. Einzig Microsoft selbst möchte intern weiter eine Art Red Forest betreiben „because of the extreme security requirements for providing trusted cloud services to organizations around the globe.“

https://docs.microsoft.com/en-us/security/compass/esae-retirement

HiSolutions Research
News

Praktisch unsicher: Elektronische Patientenakte stolpert über Konfigurationslücken

Ab Januar ist die elektronische Patientenakte (ePA) in Arztpraxen, Krankenhäusern und Apotheken in Betrieb. Dann können über die Telematik-Infrastruktur sensible Gesundheitsinformationen miteinander ausgetauscht werden. Doch IT-Sicherheitsforscher fanden gravierende Sicherheitslücken bei der Konfiguration der sogenannten Konnektoren, welche die Praxen an die Infrastruktur anbinden. In etwa 30 Fällen hätten Angreifer der Telematik-Infrastruktur vortäuschen können, eine Arztpraxis zu sein, und damit ohne Passwortschutz Zugriff auf alle Patientenakten der Praxis bekommen.

https://www.tagesschau.de/investigativ/br-recherche/sicherheit-telematik-101.html

HiSolutions Research
News

Oh IOT oh IOT, fast verjessen: AMNESIA:33

AMNESIA:33 ist eine Sammlung von 33 Schwachstellen in vier weit verbreiteten TCP/IP-Stack-Implementierungen. uIP, FNET, picoTCP und Nut/Net decken als Basiskomponenten insgesamt viele Millionen vernetzter Geräte ab. Die Schwachstellen ermöglichen via Memory Corruption Angriffe wie Remote Code Execution (RCE), Denial of Service (DoS) und den Diebstahl von Informationen.

AMNESIA:33
HiSolutions Research
News

Lesetipps Dezember 2020

Anstelle des Weihnachtsschmucks

Wem die Kreativität für Lamettagraphentheorie, Christbaumkugelpackungen oder Lebkuchenhauskonstruktionen in diesem Jahr ausgegangen ist, der kann sich auch einfach diese hübschen Netzwerktechnik-Cheat-Sheets in DIN A0 an die Wand hängen. Frohes Fest!

https://packetlife.net/library/cheat-sheets


Anstelle eines Weihnachtslieds

Und wem nicht nach Weihnachtsliedern zumute ist, der kann stattdessen Deichkind hören, die ein Video von „Frag den Staat“ musikalisch hinterlegt haben. Die Plattform hat auch 2020 mit der konsequenten Nutzung des Informationsfreiheitsgesetzes (IFG) dazu beigetragen, dass die Öffentlichkeit über diverse die Cybersicherheit betreffende Vorgänge informiert werden konnte.

https://fragdenstaat.de/spenden/wfds/#video

HiSolutions Research
Supply Chain

Die Ikarussen kommen? Flächensonnenbrand in IT-Land – SolarWinds #Sunburst Supply Chain Angriff

Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen auch schon konkret ausgenutzt worden sind.
Aufgefallen war der Angriff, weil eines der Opfer der amerikanische Security-Spezialist FireEye ist. Experten dort hatten den Missbrauch von Microsoft-Authentifizierungstechniken durch die Angreifer bemerkt und eine Untersuchung gestartet, die zunächst die Spitze des Eisbergs sichtbar machte.
Inzwischen ist klar, dass nicht nur viele Fortune 500-Unternehmen, sondern auch kritische Infrastrukturen und der Verteidigungssektor betroffen sind – eine Goldgrube für die Angreifer.
„Sunburst“, wie der Angriff genannt wird, ist relativ leicht im Netzwerk zu detektieren und zu stoppen. Die Sisyphusarbeit liegt jedoch darin, Netzwerke, die möglicherweise durch die Lücke schon kompromittiert wurden, zu untersuchen und – in vielen Fällen der einzig wirklich sichere Weg – neu aufzusetzen. Die Aufräumarbeiten hierzu haben gerade erst begonnen.

SolarWinds #Sunburst Supply Chain Angriff
HiSolutions Research
Advisories

Warnung: SolarWinds #Sunburst Supply Chain Angriff

Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen auch schon konkret ausgenutzt worden sind.

Aufgefallen war der Angriff, weil eines der Opfer der amerikanische Security-Spezialist FireEye ist. Experten dort hatten den Missbrauch von Microsoft-Authentifizierungstechniken durch die Angreifer bemerkt und eine Untersuchung gestartet, die zunächst die Spitze des Eisbergs sichtbar machte.

Inzwischen ist klar, dass nicht nur viele Fortune 500-Unternehmen, sondern auch kritische Infrastrukturen und der Verteidigungssektor betroffen sind – eine Goldgrube für die Angreifer.

„Sunburst“, wie der Angriff genannt wird, ist relativ leicht im Netzwerk zu detektieren und zu stoppen. Die Sisyphusarbeit liegt jedoch darin, Netzwerke, die möglicherweise durch die Lücke schon kompromittiert wurden, zu untersuchen und – in vielen Fällen der einzig wirklich sichere Weg – neu aufzusetzen. Die Aufräumarbeiten hierzu haben gerade erst begonnen.

Meta Thread von Sven Herpig, Stiftung Neue Verantwortung (SNV)

Publikationen

ZDF-Doku: Gestohlene Identitäten

Am 2.12.2020 bringt ZDFzoom den Film “Gestohlene Identität – Auf der Spur der Online-Betrüger”. An der Doku über kriminelle Netzwerke um das Thema Bestellbetrug und Hack bzw. Missbrauch von Paypal-Konten haben auch HiSolutions-Experten mitgewirkt.

David Fuhr, Head of Research bei HiSolutions: “Zahlungsdiensteanbieter wie PayPal haben zuletzt keine rühmliche Rolle im Kampf gegen Phishing-Kampagnen gespielt. Oft genug sehen die Marketing-Emails der Unternehmen selbst wie Phishing-Versuche aus. Dies ist kontraproduktiv nicht nur für die Sicherheit der Dienste selbst, sondern auch für die allgemeine Awareness der Bevölkerung im Netz.”

“Erst die mehrmals aufgeschobene verpflichtende Umsetzung der novellierten europäischen Zahlungsdiensterichlinie (PSD2) zum Ende 2020 zwingt die Anbieter, angemessene Sicherheitsmaßnahmen nach Stand der Technik wie eine starke Authentifizierung (Stichwort Zwei-Faktor-Authentifizierung, 2FA) umzusetzen. Dies wird die Angreifer noch mehr in Sonderfälle und Nischen-Use-Cases abdrängen.”

Im TV-Programm: ZDF, 02.12.2020, 23:00 – 23:30

Bild: ZDF

HiSolutions Research
News

IT-SiG 2.0 v0.3

Das IT-Sicherheitsgesetz 2.0 ist immer noch nicht fertig – und wird es auch in diesem Jahr nicht mehr. Immerhin wurde am 19.11. der dritte Referentenentwurf bekannt.

Viele Punkte sind aus den vorigen Entwürfen bekannt, es gibt aber auch Neuerungen. So sollen Bußgelder nicht mehr analog zur DSGVO bis zu 4 % des weltweiten Jahresumsatzes umfassen, sondern bei 2 Mio. Euro gedeckelt werden. Sicherheitsanforderungen sind nun auch für „Unternehmen im besonderen öffentlichen Interesse“ vorgesehen, für wirtschaftlich systemrelevante Unternehmen und für Gefahrstoffbetriebe (Chemie). Das BSI soll weiterhin die Befugnis bekommen, öffentlich zugängliche Internetdienste und Geräte zu hacken, um Sicherheitslücken aufzudecken. Letzteres ist problematisch aufgrund der fehlenden Unabhängigkeit des Bundesamts vom Innenministerium, das auch Strafermittlungsbehörden und Verfassungsschutz beherbergt. Es besteht damit die Gefahr, dass gefundene Sicherheitslücken für diese Zwecke geheim gehalten werden, anstelle bei den Softwareherstellern und  Anwendern für die Beseitigung zu sorgen.

Der dritte Referentenentwurf soll nun in die sogenannte Ressortabstimmung gehen. Eine Verabschiedung des Gesetzes im Frühjahr 2021 wäre möglich, einige Beobachter rechnen aber eher mit einer Punktlandung vor dem Ende der Legislaturperiode im Sommer. Unklar ist aktuell aber auch noch, ob es bereits einen Konsens in der Bundesregierung für diesen Entwurf gibt – oder ob demnächst ein weiterer folgt.

Eine detaillierte Analyse der Änderungen:

IT-SiG 2.0: Dritter Referentenentwurf mit Stand vom 19.11.2020 veröffentlicht
HiSolutions Research
News

Kein Ryukzug: US-Krankenhäuser im Visier

Der bekannte Security-Journalist Brian Krebs berichtet auf seiner Webseite KrebsOnSecurity.com, dass das amerikanische Gesundheitswesen aktuell im Visier der Ransomware-Kampagne Ryuk ist. Dabei beschreibt er auch, wie einzelne Gruppen mit Ryuk-Bezug erkannt werden können, und erklärt die aktuellen Exploit-Techniken.

https://krebsonsecurity.com/2020/10/fbi-dhs-hhs-warn-of-imminent-credible-ransomware-threat-against-u-s-hospitals/