Autor: Dr. Jörg Schneider

Beim Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern in der Mailkommunikation wurde gerade wieder eine neue Runde gestartet: Microsoft hat per Default Makros in Office-Dokumenten deaktiviert, und in vielen Organisationen werden Office-Dokumente nur noch in makrofreien Varianten (.docx statt .doc oder .docm etc.) zugestellt.

Um neue Wege einzuschlagen, haben Angreifer jetzt das OneNote-Format entdeckt. OneNote-Notizbücher können nicht nur Notizen in Form von Text enthalten. Man kann die Notizen auch um Dateien ergänzen, die man dort aufheben möchte – vor dem inneren Auge hatten die Entwickler dabei wohl die vielen Zettelchen und Tickets, die sich in Papier-Notizbüchern immer wieder ansammeln. Vermutlich ahnen Sie schon, worauf es hinausläuft: In den digitalen Notizbüchern kann man auch ausführbare Skripte einfügen. Die Angreifer nutzen zudem die Möglichkeiten der freien Gestaltung der Notizseiten und versteckten ihre Dateilinks unter vermeintlichen Schaltflächen.

OneNote-Dokumente tauscht man vermutlich seltener aus als andere Office-Dokumente. Aber hatten Sie die schon auf Ihrer Blacklist?

Hier eine Beschreibung des konkreten Angriffs mit vielen Bildern: https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

Virtualisierung hat der Sicherheit einen deutlichen Schub gegeben. Nie war es einfacher, Dienste und Daten auf verschiedene (virtuelle) Systeme zu verteilen. Aber wie immer in der IT kommt das nicht ohne einen großen Haken: Der Virtualisierungshost wird zu einem Single-Point-of-Failure, von dem die Sicherheit aller darauf laufenden Systeme abhängt.

Nach einer großen Angriffskampagne mussten Betreiber von VMware-ESX-Servern dies am eigenen Leib erfahren. Verschiedene Informationssicherheitsbehörden gaben sogar Warnungen heraus – darunter Italiens ACN und das französische CERT. Bei genauerer Betrachtung der Kampagne sieht man, dass eine recht alte Lücke ausgenutzt wird (die CVE datiert von 2021, das Update ist seit einem Jahr verfügbar) und die Angreifer Zugriff auf den Port 427 benötigen. Dieser Port wird für das CIM-/SLP-Protokoll benötigt, mit dem man externe virtuelle Ressourcen verwalten kann – er dient also eher einer administrativen Funktion.

Durch systematisches Ausnutzen des fehlenden Patches und der offenen Adminschnittstelle konnten Angreifer sehr viele Hostsysteme kompromittieren und verschlüsseln – und damit eine natürlich umso größere Anzahl darauf laufender virtueller Systeme beeinträchtigen.

Glück im Unglück: Für Betroffene der ersten Angriffswelle gibt es bereits Skripte, mit denen virtuelle Maschinen aus Artefakten wiederhergestellt werden können. In späteren Angriffswellen haben die Angreifer die dafür nötigen Daten ebenfalls zerstört.

Wiederherstellungsskript: https://github.com/cisagov/ESXiArgs-Recover/blob/main/recover.sh

Warnung des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-205338-1032.html

Eine andere Art von Jahresrückblick: die am häufigsten ausgenutzten Sicherheitslücken 2022. Über die Reihenfolge kann man wie bei jedem Jahresrückblick streiten, aber unsere Forensiker hatten auch einen großen Wiedererkennungsanteil: https://medium.com/@wintersoldiersmtr/top-11-exploited-vulnerabilities-for-initial-access-and-compromise-in-22-e9770fe98975