Read-all Your Own Dog Food? Microsoft patzt im eigenen Azure

Bei Microsoft hat es ein ernstes Datenleck gegeben. 2,4 Terabyte vertrauliche Kundendaten standen in einem fehlkonfigurierten Azure-Blob frei lesbar im Internet zur Verfügung und waren sogar über Suchmaschinen auffindbar. Es handelte sich dabei unter anderem um Verträge, Rechnungen, Angebote, Aufträge und andere Arbeitsdokumente von kritischen Infrastrukturen und Daten von 65.000 Kunden und potenziellen Kunden der letzten fünf Jahre.

Der Softwarehersteller hatte zunächst die Security-Firma, die das Leck meldete, öffentlich der Übertreibung bezichtigt, musste aber in der Folge selbst Kritik in Bezug auf seine zu zögerliche Benachrichtigung der betroffenen Unternehmen einstecken.

https://arstechnica.com/information-technology/2022/10/microsoft-under-fire-for-response-to-leak-of-2-4tb-of-sensitive-customer-data/

Bring Your Own Vulnerable Driver: Windows-Kernelsicherheit muss nachschärfen

Im Kernel agierende Treiber sind mächtige Softwarekomponenten, die sich besonders gut für tiefgreifende Angriffe missbrauchen lassen. Daher müssen Betriebssysteme und User bzw. Admins sorgsam entscheiden, welche Treiber zugelassen werden. Windows enthält zu diesem Zweck seit langem eine Liste, über die unsichere Treiber gesperrt werden. Anscheinend wurde diese aber nie aktualisiert, sodass APTs und zunehmend auch „normale“ Cyberangriffe verwundbare Treiber ausnutzen konnten.

Nachdem der Sicherheitsforscher Will Dormann dies belegt hat, will Microsoft nun nachbessern und die Liste regelmäßig aktualisieren. Außerdem können Anwender selbst aktiv werden und die Liste ergänzen.

https://www.heise.de/news/Microsoft-pfuscht-bei-Windows-Kernel-Sicherheit-und-Ransomware-profitiert-7313348.html

Enhanced Defection and Respawn: Wider die Antiviren

Die Sicherheitsforscher Jorge Gimenez und Karsten Nohl haben auf der Konferenz „Hack In The Box“ ihre Forschungsergebnisse zu EDR (Enhanced Detection and Response), also modernen Antivirenlösungen, vorgestellt. Das Umgehen von EDR („Evasion“) ist bereits seit einigen Jahren Objekt aktiver Forschung. Neuste Red-Teaming-Techniken zielen allerdings zusätzlich auf die Ausnutzung von Schwachstellen wie Zero-Days in der Schutzsoftware selbst ab.

Caught in the Act of Product Security: EU Cyber Resilience Act

Seitdem 2015 das IT-Sicherheitsgesetz in Kraft getreten ist, hat sich in der Regulierung zur Cybersicherheit viel getan. Immer mehr Sektoren wurden mit Anforderungen und Auflagen belegt, und neue Zielgruppen sind in den Fokus gerückt.

Allerdings hat sich die Aufmerksamkeit dabei bisher weitgehend auf die Betreiber von IT und OT gerichtet. Dies ist insofern unzureichend, als bestimmte Probleme ohne die Mitwirkung der Hersteller und Zulieferer nicht gelöst werden können. Diese Lücke möchte die EU nun mit dem Cyber Resilience Act schließen.

Die im Entwurf vorliegende Richtlinie sieht vor, dass Security Teil des CE-Kennzeichens wird. Dies betrifft alle Produkte „mit digitalen Elementen“, die in der EU in Verkehr gebracht werden. Security würde damit erstmals eine offiziell geforderte und zu zertifizierende Produkteigenschaft, inklusive beizulegender „SBOM“ (Software Bill of Materials, einer Auflistung aller verwendeten Softwarekomponenten) und der Pflicht zur Bekanntgabe ausgenutzter Schwachstellen innerhalb von 24 Stunden.

Zwar ist noch unklar, wie die Richtlinie durch die Mitgliedsstaaten, die Hersteller und den Markt am Ende umgesetzt wird, doch könnte sie durchaus geeignet sein, der Security in Produkten nachhaltig Schwung zu verleihen. Vorausgesetzt, sie wird bis zur Verabschiedung nicht noch verwässert.

P.S.: Unter „Produktsicherheit“ wird im Deutschen heute (noch?) weitgehend Safety verstanden. Das könnte sich zukünftig ändern, wenn Security ein gleichwertiger Bestandteil der –> Product Security wird.

https://www.taylorwessing.com/en/insights-and-events/insights/2022/10/the-cyber-resilience-act

https://fluchsfriction.medium.com/eu-cyber-resilience-act-german-version-ae2ed6166aea

Mir is‘ recht: Industrie gründet eigenen Cyber-Versicherer

Nachdem Versicherungen für Cyberrisiken einige Jahre lang geboomt haben, war in letzter Zeit das Angebot wegen hoher und schwer kalkulierbarer Schäden immer weiter zurückgegangen. Einige Unternehmen habe gar keine Versicherung mehr bekommen oder aber nur gegen hohe Risikoaufschläge.

Nun versuchen einige Konzerne, sich selbst zu helfen. Airbus, BASF, Michelin und andere gründeten einen eigenen Versicherer, „Miris“, um sich gemeinsam gegen Cyberrisiken absichern zu können.

Der Versicherungsverein auf Gegenseitigkeit sitzt in Brüssel und gehört seinen Mitgliedern. Nur diese können Versicherungsschutz erhalten, es sollen aber weitere Mitglieder geworben werden.

https://www.sueddeutsche.de/wirtschaft/cyberrisiken-cyberversicherung-basf-airbus-michelin-miris-1.5654310

Mouseover? Game over. Malware immer kreativer

Die Nutzung von Office-Dateien für Viren hat eine lange Tradition. Doch manchmal tauchen neue Variationen auf, die staunen lassen. Mutmaßlich Russland zuzuordnende Angreifer haben nun Schadcode in die sogenannten Mouseover-Events von PowerPoint-Präsentationen eingebaut.

Der Angriff, der der russischen Formation APT28 („Fancy Bear“) zugeschrieben wird, benötigt keine Makros oder andere direkt verdächtigen, ausführbaren Anteile. Es reicht das Bewegen des Mauszeigers durch den Nutzer in einem bestimmten Bereich. In der Regel lädt das Mouseover-Event dann die eigentliche Malware nach, etwa das Virus Graphite.

https://www.bleepingcomputer.com/news/security/hackers-use-powerpoint-files-for-mouseover-malware-delivery/

Peanuts? Kryptowährungen im Wert von 1,9 Milliarden Dollar gestohlen

Auch wenn die Kurse fast aller Kryptowährungen in diesem Jahr stark gelitten haben, ist bei den kriminellen Aktivitäten der Zenit noch nicht erreicht: Allein von Jahresbeginn bis Juli wurden Kryptowährungen im Wert von 1,9 Milliarden US-Dollar durch Hacks entwendet, nach nur knapp 1,2 Milliarden US-Dollar im gleichen Zeitraum 2021. Dass dieser unschöne Trend ungebrochen ist, haben auch die spektakulären Angriffe auf die Cross-Chain-Brücke Nomad (190 Millionen Dollar) und auf Solana-Wallets (5 Millionen Dollar) im August gezeigt.

https://www.it-daily.net/shortnews/hacker-stahlen-kryptowaehrungen-im-wert-von-19-milliarden-dollar

UnLockedBit: Verärgerter Mitarbeiter leakt Ransomware-Tool

Das entscheidende Intellectual Property (IP) der erfolgreichsten Ransomware-Gang der letzten Jahre, LockBit, ist geleakt worden. Laut dem Sprecher der Gruppe hat ein verärgerter „Mitarbeiter“ den sogenannten Builder ins Internet gestellt. Mit diesem kann sich jeder leicht Verschlüsselungstrojaner mit eigenen Schlüsseln, gewünschter Konfiguration und diversen Zusatztools erzeugen.

Während das für die Gruppe LockBit selbst einen empfindlichen Schlag darstellt, steht zu befürchten, dass andere Gruppen die Tools nutzen werden und es so zu einer Zunahme von Ransomware-Angriffen kommt.

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/

Uberfällig – Gehackt via MFA-Fatigue

Die Nachricht im internen Slack des milliardenschweren US-amerikanischen Fahrdienste-as-a-Service-Anbieters Uber klang wie ein schlechter Scherz: “I announce I am a hacker and Uber has suffered a data breach”. Doch schnell wurde klar, dass sich tatsächlich jemand Zugriff tief in die Infrastruktur hinein verschafft hatte. Der 17-jährige mutmaßliche Täter, den die Polizei letzte Woche in England verhaften konnte, und der Mitglied der Gruppe LAPSUS$ sein soll, hatte sich einer neuartigen, schnell an Beliebtheit gewinnenden Angriffstechnik bedient: Um Zugriff aufs interne Netz zu erhalten, löste er sehr viele Anfragen nach Bestätigung des zweiten Faktors für einen Fernzugriff kurz hintereinander aus und schrieb außerdem dem Dienstleister, der diese erhielt, per WhatsApp, dass dieser doch bitte den Zugriff im Namen der internen Uber-IT zulassen solle. Als die sogenannte MFA-Fatigue – also die Übermüdung aufgrund der vielen Warnungen – einsetzte, ließ der Dienstleister den Angreifer hinein, woraufhin sich dieser im Netz weiterbewegen konnte.

Zukünftig muss also die Möglichkeit von Fatigue- und anderen MFA-Mitigation-Angriffen mitgedacht und durch Sensibilisierung und weitere technische Maßnahmen wie die Unterdrückung von MFA-Massenanfragen eingehegt werden.

https://www.infoq.com/news/2022/09/Uber-breach-mfa-fatigue/