ReinRaaSig: Ransomware as a Service in Azure

„Die Cloud“ gilt gemeinhin als etwas Ransomware-sicherer als On-Prem-Infrastrukturen, allein schon, weil Backup und Restore häufig als native Operationen zur Verfügung stehen. Nun hat sich herausgestellt, dass bestimmte Sicherheitsfeatures der Cloud verwendet werden können, um Angreifern die erpresserische Verschlüsselung sogar zu erleichtern.

Mit Funktionen wie Auto Save lassen sich in M365 bzw. SharePoint Online eine bestimmte konfigurierbare Anzahl alter Versionen einer Datei behalten – zunächst einmal ein Sicherheitsgewinn. Und mit geeigneten Zugriffsrechten können Angreifer auch nicht direkt diese früheren Versionen manipulieren. Es genügt jedoch, wenn sie entweder eine große Anzahl verschlüsselter Versionen einer Datei erzeugen, um alle Versions-Slots zu überschreiben, oder aber das „Versionslimit“ auf 1 setzen – dann genügen zwei Speichervorgänge, um alle unverschlüsselten Kopien zu tilgen.

Microsoft beteuert zwar, auch „überschriebene“ Versionen seien innerhalb von 14 Tagen mithilfe des Supports wiederherstellbar, dies konnte jedoch in der Praxis nicht bestätigt werden.

Sonnenstürme in den Wolken – Droht die Cloud-Komplexität zu eskalieren?

In nur sechs Monaten, von August 2021 bis Januar 2022, wurden acht kritische Schwachstellen bei großen Cloud-Anbietern entdeckt – davon sechs allein bei Azure und zwei bei AWS. Das ergibt zumindest die Auswertung des Security-Forschers Scott Piper, der eine umfassende Liste solcher Lücken pflegt. Da Schwachstellen in Infrastrukturen in der Regel keine CVE-Nummern erhalten und somit von den Herstellern oder den Entdeckerinnen und Entdeckern mit CVSS-Scores für die Kritikalität ausgewiesen werden, musste Piper die Einstufung dafür selbst vornehmen.

Zwar hatte „die Cloud“ noch nicht ihren SolarWinds-Moment wie die Supply-Chain-Security im Dezember 2020, als über die Backdoor Solorigate/Sunburst in der Management-Software SolarWinds Orion sehr viele Firmen weltweit auf einmal akut betroffen waren. Doch zeigt die Aufstellung, dass es bereits diverse near misses gab, in denen großer Schaden hätte angerichtet werden können, wären Angreifer schneller als die Researcher gewesen.

Dass Microsofts Cloud-Dienst so stark überproportional betroffen ist, dürfte eher daran liegen, dass sich der Fokus der Sicherheitsforschung insbesondere auch auf Azure ausgeweitet hat, da sich die Plattform gerade im Business-Umfeld einen gewissen Marktanteil hat sichern können: Allein zwischen 2019 und 2021 legte Azure von 16,5 % auf 20,8 % zu, während Marktführer AWS bei rund 35 % verharrte.

https://www.protocol.com/enterprise/microsoft-azure-vulnerabilities-cloud-security

Elasticheimsuch: NoSQL-Datenbanken geransomed

Ransomware muss nicht unbedingt Clients oder Infrastrukturen befallen. Datenbanken können auch direkt heimgesucht werden, so wie im Fall von mindestens 1.200 Elasticsearch-Instanzen. Angreifer hatten über eine unsichere Konfiguration der Authentifizierung die Daten durch Erpresserbriefe ersetzt.

Elasticsearch ist nicht die erste „next generation“-Datenbank, die auf solche Weise heimgesucht wird. 2020 stellten Sicherheitsforschende fest, dass in ca. der Hälfte der damals exponierten MongoDB-Instanzen ebenfalls der Inhalt durch eine ähnliche Ransom-Note ersetzt worden war.

https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note

Angriff erkannt, Angriff gebannt? KRITIS-Orientierungshilfe zur Angriffserkennung

Nachdem das IT-Sicherheitsgesetz 2.0 insbesondere beim Thema Angriffserkennung den betroffenen Unternehmen neue Anforderungen bescherte, hat nun das BSI die einschlägige „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ als Community Draft veröffentlicht.

Sie beschreibt Anforderungen an KRITIS- und Energieanlagen-Betreiber sowie prüfende Stellen.

Der Community Draft kann noch bis zum 8. Juli 2022 kommentiert werden.

Community Draft: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Orientierungshilfe_Angriffserkennung_220613.html

Darstellung des Inhalts: https://www.openkritis.de/massnahmen/angriffserkennung_kritis_siem_soc.html#orientierungshilfe

Kein LAPSus: LAPS wird nativ auf Windows

Die bei auf Security bedachten Admins beliebte Local Administrator Password Solution (LAPS) von Microsoft musste bisher als zusätzliches Dienstprogramm installiert werden. Mit der neuen Windows 11 Preview wird LAPS nun zum nativen Bestandteil des Betriebssystems. LAPS macht es deutlich leichter, die lokalen Account-Passwörter auf domänenverbundenen Computern sicher zu verwalten. Die Ausweitung auf Azure AD ist ebenfalls bereits angekündigt.

https://blogs.windows.com/windows-insider/2022/06/22/announcing-windows-11-insider-preview-build-25145/

Lesetipps Juni 2022

Abhängig

Der „Dependency Graph“ beschreibt alle unsere Abhängigkeiten – zumindest was unsere Software betrifft.

https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph

Wissbegierig

Nick Jones, Cloud Security Specialist bei WithSecure (bis vor Kurzem als F-Secure Business bekannt) weiß, welches Wissen sein Feld benötigt.

https://www.nojones.net/posts/breaking-into-cloudsec

Eingebettet

Cory Doctorow kennt alle Tricks, mit denen Backdoors in KI-Modelle eingeschleust werden können.

https://doctorow.medium.com/undetectable-backdoors-for-machine-learning-models-8df33d92da30

Eurovision Song CTF: Der hybride Krieg weitet sich aus

Im Medienrummel um den ukrainischen Triumph beim „ESC“, dem Eurovision Song Contest, ist weitgehend untergegangen, dass die IT-Infrastruktur des Festivals während der Show angegriffen wurde. Die prorussische Cybergruppierung Killnet hat versucht, die Abläufe zu stören und möglicherweise das Ergebnis zu verfälschen.

Da derartige Versuche erwartet wurden, konnten sie im laufenden Betrieb abgewehrt werden, sodass die Veranstaltung reibungslos über die Bühne gehen konnte. Trotzdem warnen Verfassungsschutzorganisationen weiterhin vor den Aktivitäten derartiger Gruppen auch in Deutschland, die das Ziel haben könnten, die öffentliche Meinung zu beeinflussen.

https://www1.wdr.de/fernsehen/aktuelle-stunde/alle-videos/video-angeklickt-der-hybride-krieg-weitet-sich-aus-100.html

MonkeyPoCs: Angeblicher Exploit befällt Sicherheitsforscher

Wieder einmal sind Sicherheitsforscher selbst ins Fadenkreuz von Angreifern geraten. Ein angeblicher Sicherheitsforscher mit dem Pseudonym „rkxxz“ hat einen vorgeblichen PoC (Proof of Concept) für einen Satz jüngerer Remote-Code-Execution-Schwachstellen in Windows veröffentlicht. Dieser enthielt jedoch Schadcode, der ein sogenanntes Cobalt Strike Beacon in den Arbeitsspeicher injiziert. Cobalt Strike ist ein Pentest-Tool, das legal wie illegal gerne genutzt wird, um sich lateral im Netzwerk weiterzubewegen.

Es ist nicht das erste Mal, dass sich Angreifer Schwachstellenforscher und Pentester als Ziel ausgeguckt haben. Die nordkoreanische Lazarus-Gruppe hatte im Januar 2021 via Social Media und Browser-Zero-Days auf die Community abgezielt. Im März 2021 erschufen nordkoreanische Akteure gar eine fiktive türkische Cybersicherheitsfirma namens SecuriElite. Und im November versteckte Lazarus in trojanisierten IDA Pro Reverse Engineering Tools den Fernzugriffstrojaner NukeSped.

Vermutlich erhoffen sich die Angreifer, nicht nur Zugriff auf die sicherheitsrelevanten Forschungsdaten ihrer Opfer zu erhalten, sondern mittelbar auch auf die Infrastruktur der Kunden.

https://www.bleepingcomputer.com/news/security/fake-windows-exploits-target-infosec-community-with-cobalt-strike/

Lesetipps Mai 2022

Anfänglich

Wie sich Denken und Argumentationen auf „First Principles“ zurückführen lassen: https://twitter.com/jackbutcher/status/1354820709042638848

Zwiespältig

Wie Datenschutz zur Marktverzerrung missbraucht werden kann:
https://venturebeat.com/2022/04/18/how-big-tech-uses-data-privacy-concerns-for-market-dominance/

Reiflich

Wie Maturity-Modelle wirklich zu verstehen sind: https://twitter.com/johncutlefish/status/1156727594210881538

Algebraisch

Wie mathematische Abstraktionen Big Data handlebar machen:
https://corecursive.com/050-sam-ritchie-portal-abstractions-2/