Autor: Dr. Jörg Schneider

Senior Expert
News

Wenn Angreifer VMs den Teppich unter den Füßen wegziehen: Große Angriffskampagne auf VMware-Hosts

Virtualisierung hat der Sicherheit einen deutlichen Schub gegeben. Nie war es einfacher, Dienste und Daten auf verschiedene (virtuelle) Systeme zu verteilen. Aber wie immer in der IT kommt das nicht ohne einen großen Haken: Der Virtualisierungshost wird zu einem Single-Point-of-Failure, von dem die Sicherheit aller darauf laufenden Systeme abhängt.

Nach einer großen Angriffskampagne mussten Betreiber von VMware-ESX-Servern dies am eigenen Leib erfahren. Verschiedene Informationssicherheitsbehörden gaben sogar Warnungen heraus – darunter Italiens ACN und das französische CERT. Bei genauerer Betrachtung der Kampagne sieht man, dass eine recht alte Lücke ausgenutzt wird (die CVE datiert von 2021, das Update ist seit einem Jahr verfügbar) und die Angreifer Zugriff auf den Port 427 benötigen. Dieser Port wird für das CIM-/SLP-Protokoll benötigt, mit dem man externe virtuelle Ressourcen verwalten kann – er dient also eher einer administrativen Funktion.

Durch systematisches Ausnutzen des fehlenden Patches und der offenen Adminschnittstelle konnten Angreifer sehr viele Hostsysteme kompromittieren und verschlüsseln – und damit eine natürlich umso größere Anzahl darauf laufender virtueller Systeme beeinträchtigen.

Glück im Unglück: Für Betroffene der ersten Angriffswelle gibt es bereits Skripte, mit denen virtuelle Maschinen aus Artefakten wiederhergestellt werden können. In späteren Angriffswellen haben die Angreifer die dafür nötigen Daten ebenfalls zerstört.

Wiederherstellungsskript: https://github.com/cisagov/ESXiArgs-Recover/blob/main/recover.sh

Warnung des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-205338-1032.html

News

Ein kurzes Kürzel mit großen Auswirkungen: NIS2

Haben Sie durchgeatmet, weil Ihre Organisation nicht unter die Definition von KRITIS nach dem BSI-Gesetz fiel? Dann atmen sie nochmal tief ein, denn Ihre Puste könnten Sie bald für die Umsetzung der Anforderungen und Maßnahmen aus der europäischen Richtlinie NIS2 brauchen. Ende 2022 beschlossen, wird sie bis Herbst 2024 in allen EU-Mitgliedsstaaten in nationales Gesetz überführt werden müssen. Das bedeutet für rund 40.000 Unternehmen und vergleichbare Einrichtungen in Deutschland die Umsetzung ambitionierter Anforderungen und Pflichten.

Es kommen neue Sektoren hinzu, mit Anforderungen an mittelgroße Unternehmen (50-250 Mitarbeiter) und große (alles darüber) sowie für Ausnahmefälle, die sich durch eine hohe Kritikalität auszeichnen. Zusätzlich kommen auf die Organisationen Meldepflichten bei signifikanten Sicherheitsvorfällen zu und Vorgaben zu technischen, organisatorischen und operativen Sicherheitsmaßnahmen. Diese könnten sich über das geforderte Lieferkettenmanagement auch indirekt auf Zulieferer auswirken.

Einige Details ergeben sich noch aus den nationalen Verfeinerungen. Trotzdem sollten alle potenziell Betroffenen bereits jetzt überlegen, welche Auswirkungen sie bewältigen müssen, und wie ein Vorbereitungsplan aussehen könnte. „Herbst 2024“ klingt weit weg. Aber eineinhalb Jahre sind in IT-Projektzeit doch ziemlich wenig. 

Zusammenfassung und FAQ der EU: https://digital-strategy.ec.europa.eu/de/policies/nis2-directive Die Richtlinie im Detail: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

News

Öffnen auch Sie nur sichere Anhänge? Wie steht es um OneNote-Dateien?

Beim Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern in der Mailkommunikation wurde gerade wieder eine neue Runde gestartet: Microsoft hat per Default Makros in Office-Dokumenten deaktiviert, und in vielen Organisationen werden Office-Dokumente nur noch in makrofreien Varianten (.docx statt .doc oder .docm etc.) zugestellt.

Um neue Wege einzuschlagen, haben Angreifer jetzt das OneNote-Format entdeckt. OneNote-Notizbücher können nicht nur Notizen in Form von Text enthalten. Man kann die Notizen auch um Dateien ergänzen, die man dort aufheben möchte – vor dem inneren Auge hatten die Entwickler dabei wohl die vielen Zettelchen und Tickets, die sich in Papier-Notizbüchern immer wieder ansammeln. Vermutlich ahnen Sie schon, worauf es hinausläuft: In den digitalen Notizbüchern kann man auch ausführbare Skripte einfügen. Die Angreifer nutzen zudem die Möglichkeiten der freien Gestaltung der Notizseiten und versteckten ihre Dateilinks unter vermeintlichen Schaltflächen.

OneNote-Dokumente tauscht man vermutlich seltener aus als andere Office-Dokumente. Aber hatten Sie die schon auf Ihrer Blacklist?

Hier eine Beschreibung des konkreten Angriffs mit vielen Bildern: https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

News

Neues vom IT-Grundschutz: 10 ergänzte Bausteine 2023

Jedes Jahr wird das IT-Grundschutzkompendium aktualisiert und ergänzt. Durch die 10 neuen Bausteine in diesem Jahr gibt es jetzt 111 Bausteine, die Anforderungen für die verschiedenen Zielobjekte im Informationsverbund definieren. Neben dem schon häufig vermissten Baustein für einen Terminalserver gibt es auch zwei neue Outsourcing-Bausteine als Ersatz für die bisher im Kompendium enthaltenen. Wer nicht tief im Grundschutz steckt, wird sich fragen, warum gleich zwei Bausteine nötig sind: Der eine beschreibt die Anforderungen aus Sicht des Outsourcing-Nutzers, der andere ist das entsprechende Gegenstück aus Sicht des Outsourcing-Anbieters. Beide Seiten setzen den passenden Baustein in ihrem jeweiligen Verbund um, damit mögliche Regelungslücken vermieden werden. Das klappt mit den neuen Bausteinen jetzt auch besser. Kleiner Wermutstropfen für alle, die bereits die alten Bausteine modelliert hatten: Da sich so viel geändert hat, kommt die Umstellung auf die neuen Bausteine einer Neuerhebung gleich.

Schwachstelle

Wenn der White-Hat-Hacker anruft, aber niemand rangeht

Stellen Sie sich vor, ein findiger Mensch hat eine Sicherheitslücke bei Ihnen entdeckt. Wenn er oder sie jetzt Ihre Organisation darauf aufmerksam machen möchte: Wo würde die Information initial landen? Wie gut sind die Chancen, dass sie fachkundig bewertet und nicht als Werbung wegsortiert wird? Wer würde entsprechende Maßnahmen ergreifen? Und wer übernimmt die Kommunikation mit den Entdeckern – oder werden sie am Ende gar keine Antwort erhalten?

Die Erfahrungen der Entdeckerseite beschreibt ein Artikel in der „Zeit“ vom 19.01. Die Autoren hatten bei 15 Hochschulen Sicherheitslücken identifiziert. Im Artikel beschreiben sie die schnellen und positiven Reaktionen einiger Sicherheitsverantwortlichen, aber auch die Schwierigkeiten, überhaupt einen Ansprechpartner zu finden oder ein Feedback zu erhalten. Wer schon länger in der IT-Sicherheit unterwegs ist, kennt diese Problematik. Wie viele Advisories oder Artikel in Fachmedien zu Sicherheitslücken haben wir schon gelesen, die mit den Worten endeten: „Vom Hersteller gab es bis zur Veröffentlichung keine Reaktion“?

Auch wir erleben im Rahmen unseres Responsible-Disclosure-Prozesses sehr unterschiedliche Reaktionen auf unsere Meldungen. In einer Studie 2018 haben wir eine Lücke bei insgesamt 3.000 Betroffenen identifiziert und gemeldet. Lediglich 30 % davon reagierten mit der Schließung ihrer Lücke – andere Studien mit Warnungen von vielen Betroffenen kommen zu vergleichbaren Ergebnissen.

Aber zurück zu Ihrer Organisation: Sollten Sie immer alles stehen und liegen lassen, wenn eine Meldung beim Empfang eingeht? Auch hier erleben wir sehr unterschiedliche Situationen, wenn wir Kunden beraten. Natürlich kennt ein externer Sicherheitsforscher – anders als ein Auditor – die konkreten Sicherheitsziele Ihrer Organisation und die Kritikalität der einzelnen Systeme nicht im Detail. Daher wird meist vom schlimmsten Fall ausgegangen, und die Befunde entsprechend hoch eingestuft – gelegentlich auch zu hoch gegenüber einer näheren Betrachtung der Lücke und des Schadenpotenzials. Eine fachkundige Bewertung ist also immer zwingend nötig und daraufhin eine überlegte Reaktion – sowohl bei der Auswahl der getroffenen Maßnahmen als auch bei der Kommunikation mit den Meldenden.

https://www.zeit.de/2023/04/it-sicherheit-hochschule-sicherheitsluecken-hacker

Passwörter, Schwachstelle

Doch lieber Zettel unter der Tastatur? Sicherheitslücken in Passwortmanagern

Natürlich ist das berühmte (und leider auch in einigen unserer Audits anzutreffende) Post-it am Monitor oder unter der Tastatur keine Lösung zum Speichern von Passwörtern. Passwortmanager sind angetreten, um das Problem zu lösen, dass sich Menschen nur wenige technisch sichere Passwörter merken können. Auch wir empfehlen die Nutzung regelmäßig, da so für jeden Dienst und jedes System ein individuelles, und vor allem auch bei Brute-Force-Angriffen sicheres Passwort leicht erzeugt werden kann. Gleichzeitig wird der Passwortmanager damit zu einem Generalschlüssel und lohnenden Ziel für Angreifer – ein neues Risiko, das man berücksichtigen muss.

Mehrere Vorfälle in der Vorweihnachtszeit haben gezeigt, wie real dieses Risiko werden kann. Die meiste Beachtung fand der Sicherheitsvorfall beim Anbieter LastPass. LastPass informierte die Nutzer bereits im August über den Vorfall. Zum damaligen Zeitpunkt ging man aber davon aus, dass die Angreifer zwar Zugriff auf Entwicklersysteme hatten, Nutzerdaten und gespeicherte Passwörter aber nicht betroffen waren. Im Dezember musste LastPass nun auch Zugriffe auf Back-ups von Kundendaten einräumen. Die Passwortdatenbanken lassen sich zwar nur mit Kenntnis des Master-Passworts des jeweiligen Nutzers öffnen. Aber damit sind wir wieder beim initialen Problem: Menschen sind meist nicht gut im Ausdenken und Merken von technisch sicheren Passwörtern.

Das Risiko besteht nicht nur bei Online-Passwortmanagern: Die Kollegen von ModZero fanden bei der OnPremise-Lösung PasswordState gleich mehrere Lücken. Kombinierte ein Angreifer ohne Zugangsdaten diese geschickt, konnte er beliebige Zugangsdaten auslesen und auch überschreiben. Die Lücken sind bereits behoben – wenn man das Update von Anfang November eingespielt hat.

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

https://www.modzero.com/modlog/archives/2022/12/19/better_make_sure_your_password_manager_is_secure

News

Mehr als nur ein Versionsupdate: Die ISO/IEC 27001:2022

Im Oktober 2022 wurde die zentrale ISO-Norm zur Informationssicherheit aktualisiert. Die meisten Betroffenen haben sich vermutlich schon davor mit den Neuerungen beschäftigt. Aber nach einem Quartal in der Praxis ist eine erste Zwischenbilanz möglich. Zwei Neuerungen kristallisieren sich als typische Herausforderungen heraus: zum einen die Anforderung, die Bedrohungsentwicklung aktiv zu beobachten (Threat Intelligence), um auf strategischer, taktischer wie operativer Ebene reagieren zu können. Zum anderen bildet die jetzt nachzuweisende Cloud-Strategie für viele ebenfalls eine neue Challenge.

Die wichtigsten Änderungen: https://www.youtube.com/watch?v=53uwJY-mrIg

Cloud-Strategie: https://www.youtube.com/watch?v=nVlppw4EDuc

News

Chancen und Risiken liegen manchmal nur einen Fingerabdruck auseinander – wie bei der Biometrie

Während in der aktuellen <kes> verschiedene Experten den Einsatz von Biometrie im beruflichen Kontext diskutieren, wurde parallel bei der Konferenz „Hacking in Parallel“ die damit verbundene Gefahr am Beispiel eines militärischen Biometriegeräts gezeigt.

Mehrere Geräte zur biometrischen Identifikation von Personen konnten über Onlineauktionshäuser beschafft werden. Die untersuchten Geräte waren zuvor in Afghanistan im Einsatz und enthielten noch Daten. Das Missbrauchspotenzial ist bereits erschreckend groß, wenn diese Geräte durch die aktuellen Machthaber zur Identifikation von damaligen Unterstützern – etwa Ortskräfte des US-Militärs –  verwendet werden. Zudem zeigten die Forscher, dass sich die vermeintlichen Hightech-Geräte bei der biometrischen Erkennung leicht austricksen ließen und über Sicherheitslücken Zugriff auf interne Daten ermöglichten.

Die in der <kes> unabhängig davon befragten Experten hatten ähnliche Risiken auf dem Schirm. Biometrie ist im beruflichen Kontext recht wenig verbreitet, hält aber über die auf Mobiltelefonen und Tablets bei der Privatnutzung bereits etablierte Entsperrung mit Fingerabdruck oder Gesicht immer stärkere Verbreitung in Unternehmen. Während die Biometrie für Privatnutzer meist ein deutlicher Sicherheitsgewinn gegenüber der vierstelligen PIN ist, trifft sie im Unternehmenskontext auf etablierte Sicherheitsmechanismen – und das tatsächliche Schutzniveau und Missbrauchspotenzial muss individuell bewertet werden.

https://pretalx.c3voc.de/hip-berlin-2022/talk/V7UFTL/

https://www.kes.info/archiv/heft-archiv/jahrgang-2022/ausgabe-20226/

News

„Tschüss“ Windows 8 und Windows Server 2012

Diesen Dienstag endete der Support für die letzte Version von Windows 8. Viele werden jetzt aufatmen, da sich diese Betriebssystem-Version kaum in professionellen Netzen durchsetzen konnte. Aber haben Sie schon den letzten Windows-7-Client aus Ihrem Netzwerk entfernen können – oder warten Sie noch auf das Update der einen Fachanwendung? Bei Windows 7 lief vorgestern auch die allerletzte Verlängerungsmöglichkeit mit dem kostenpflichtigen ESU (Extended Security Update) aus.

Unser Incident-Response-Team findet regelmäßig bei betroffenen Kunden stark veraltete Systeme (seltener Windows 8 auf den Clients, häufiger noch Windows Server 2008), die entweder selbst den Angriff begünstigt haben oder durch nötige Abwärtskompatibilitäten Härtungsmaßnahmen behindern. Die korrespondierende Serverversion zu Windows 8 – Windows Server 2012 – wird auch in diesem Jahr, genauer im Oktober, ihr Support-Ende erreichen. Um rechtzeitig die Migration einplanen zu können, helfen Übersichtsseiten wie https://endoflife.date/.

News

Manchmal lauert der Angreifer auch schon drinnen

Angriffe durch Innentäter sind nicht ohne Grund der Schrecken jedes Sicherheitsverantwortlichen. Steckt doch inhärent der Konflikt darin, die richtige Balance zwischen vertrauensvoller Zusammenarbeit und kritischer Beobachtung von möglichen Missbräuchen zu finden. Daher werden Innentäter in Risikoanalysen immer gern kleingeredet. Auch wenn es keine schöne Vorstellung ist: es gibt sie doch.

Sehr drastisch ist der aktuell öffentlich diskutierte Fall, in dem ein BND-Mitarbeiter verdächtigt wird, vertrauliche Informationen an einen russischen Geheimdienst weitergegeben zu haben. Etwas kleiner, aber nicht weniger erschreckend ist ein ähnlicher Fall in den Niederlanden. Dort wurde ein Finanzbeamter angeklagt, da er verdächtigt wird, gegen Geld nach Nummernschildern, Adressen und sogar familiären Beziehungen gesucht zu haben.

Ähnliche Fälle gab es in der Vergangenheit auch bereits mit Support-Mitarbeitern, die Kundenkonten unberechtigt sperrten. Eine häufige Gemeinsamkeit ist, dass meist die regulären Zugriffsrechte und keine technische Schwachstelle ausgenutzt wird. Daher sind die Erkennung und auch die Aufklärung nur mit einem guten Konzept für Protokollierung und Monitoring möglich.

https://www.tagesschau.de/investigativ/ndr-wdr/bnd-russland-mutmasslicher-landesverrat-101.html

https://www.om.nl/actueel/nieuws/2023/01/03/eis-drie-jaar-cel-tegen-medewerker-belastingsdienst