Kategorie: Allgemein

Nicht immer braucht es einen zigseitigen Standard, um sinnvolle Security-Maßnahmen zu finden.

„Welche Top 10 Aktivitäten würdest Du einem KMU raten, um sich 2022 gegen Ransomware zu schützen?“ Diese Frage löste auf Twitter eine rege und produktive Diskussion aus. Ein Beispiel in 280 Zeichen (auf Englisch):
1) MFA
2) Getestete Offline-Backups
3) Kein RDP im Internet
4) EDR (Antivirus), wenn möglich gemanagt
5) Kein Passwort-Reuse
6) Admins arbeiten nicht mit ihren Admin-Accounts
7) Finanzprozesse mit Schutz gegen CEO-Fraud
8) Server & OT isolieren
9) Security-Patches automatisch einspielen
10) Robuste Zugriffs-Management-Prozesse

https://twitter.com/jotunvillur/status/1516973840924037120

Neue Technologien bringen neue Angriffsvektoren mit sich, die nicht immer offensichtlich sind. Gerade im Cloud-Umfeld wird eine Vielzahl von Funktionen innerhalb kurzer Zeit eingeführt. Dabei droht gerade hier großer Schaden, wenn ein Zugriff auf andere Mandanten möglich ist.

AutoWarp ist eine solche Schwachstelle, mittels der auf die Cloud-Daten anderer Kunden von Microsoft Azure hätte zugegriffen werden können. Sicherheitsforscher von Orca Security benötigten nach eigenen Angaben lediglich zwei Stunden, um die Lücke zu entdecken. Der Fehler bestand in der Funktionsweise sogenannter Azure Automation Accounts. Diese sind zur Automatisierung von Cloud-Diensten gedacht, konnten aber auch zum Erschleichen von Rechten missbraucht werden. Microsoft hat das Problem inzwischen behoben.

https://orca.security/resources/blog/autowarp-microsoft-azure-automation-service-vulnerability/

Mit der Lücke Log4Shell in der Java-Bibliothek Log4j kam die Angst, dass ein Wurm auftauchen könnte, der sich über Log4Shell eigenständig und großflächig im Internet verbreitet – ähnlich wie 2017 WannaCry, welches die Lücke EternalBlue ausnutzte.

Nun wurde eine Schadsoftware namens „B1txor20“ entdeckt, welche zum Ziel hat, ein Linux-Botnetz aufzubauen. Sie nutzt DNS-Tunneling für die Steuerung (C&C) und zur Datenausleitung – und die Log4j-Schwachstelle zur Verbreitung. Da „B1txor20“ noch fehlerbehaftet ist und nur Linux infizieren kann, dürfte hier noch nicht die große Pandemie drohen. Der Fund sollte uns jedoch als Erinnerung dienen, dass die Gefahr eines nächsten großen Wurms alles andere als gebannt ist.

https://thehackernews.com/2022/03/new-b1txor20-linux-botnet-uses-dns.html

Ein weitverbreitetes NPM-Paket wurde sabotiert, um russische und belarussische Systeme zu manipulieren.

Wohl um gegen die Invasion der Ukraine zu protestieren, haben Entwickler des Pakets Node-ipc den Code so modifiziert, dass bei Systemen mit in Russland oder Belarus zu verortenden IP-Adressen Dateien gelöscht (Wiper) und mit Herz-Emojis überschrieben werden.

Node-ipc ist ein beliebtes Modul für Inter-Prozess-Kommunikation (IPC) im Node.js-Ökosystem. Es wird über 1,1 Millionen Mal pro Woche heruntergeladen. Betroffen waren die Versionen 10.1.1 und 10.1.2.

https://thehackernews.com/2022/03/popular-npm-package-updated-to-wipe.html

Die in letzter Zeit extrem effizient und öffentlichkeitswirksam agierende Hackergruppe LAPSUS$ hat die IT-Infrastruktur des südkoreanischen Elektronikherstellers Samsung kompromittiert. Dabei wurden 190 GB sicherheitsrelevanter Daten erbeutet, die als Torrent geleakt wurden.

Darin enthalten ist der Quelltext diverser Softwareprodukte, etwa für Trusted Applets (Hardware-Encryption), biometrische Entsperrmechanismen und Bootloader für alle aktuellen Samsung-Geräte. Auch Samsungs Authentifizierungssystem dürfte nun als allgemein bekannt gelten.

https://www.golem.de/news/lapsus-hacker-veroeffentlichen-sicherheitsrelevante-samsung-daten-2203-163669.html

Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) warnen in einer gemeinsamen Erklärung vor der Kompromittierung von Netzwerken von NGOs durch russische Akteure. Dabei wurde in mehreren Fällen insbesondere auch eine nicht ausreichend sicher konfigurierte Zweifaktorauthentifizierung ausgehebelt. Für bestimmte Nutzer der Lösung Cisco Duo waren Ausnahmen definiert, die den Angreifern erlaubten, neue Accounts mit höheren Rechten anzulegen.

Außerdem kam die kritische Drucker-Schwachstelle PrintNightmare (CVE-2021-34527) zum Einsatz, um Rechte auszuweiten. Am Ende erfolgte ein Ausleiten von E-Mails und Dokumenten aus der Cloud.

https://www.cisa.gov/uscert/sites/default/files/publications/AA22-074A_Russian_State-Sponsored_Cyber_Actors_Gain_Network_Access_by_Exploiting_Default_MFA_and_PrintNightmare.pdf

Je beliebter ein Dienst wird, desto mehr lohnen sich dort Phishing-Aktivitäten. Im Fall von Microsoft Teams lässt sich etwa seit Jahresbeginn ein starker Anstieg von Phishing-Angriffen beobachten. Immer häufiger werden im Chat schädliche oder irreführende Links bzw. Schadcode versandt.

Falls Teams im Unternehmen nicht ganz offen konfiguriert ist, können sich Angreifer trotzdem Zugriff verschaffen, indem sie das Netzwerk einer Organisation kompromittieren, etwa durch Sicherheitslücken. Oder es werden M365-Accounts kompromittiert und genutzt, die dann direkt den Zugriff zu Teams ermöglichen.

https://www.heise.de/news/Phishing-und-Malware-Microsoft-Teams-rueckt-in-den-Fokus-von-Angreifern-6535246.html

Zwar lässt der große Cyberwar noch auf sich warten, Das heißt aber nicht, dass nicht bereits Aktivitäten im Cyberraum stattfinden, die auch Auswirkungen auf uns haben.

So hat eine Cyberattacke das Satelliten-Breitband-Internet des Anbieters Viasat teilweise lahmgelegt. Die Angreifer konnten sogenannte Terminals – also Modems am Boden, die mit den Satelliten kommunizieren – permanent deaktivieren, sodass diese reprogrammiert oder gar ausgetauscht werden müssen. Viasat wird u. a. von ukrainischer Polizei und Militär genutzt, aber auch von NATO-Partnern wie den USA.

Lahmgelegt wurden durch den Angriff jedoch nicht nur Terminals in der Ukraine, sondern auch zehntausende in anderen Ländern. In Deutschland waren insbesondere Windkraftanlagen betroffen, deren Kommunikation und damit Überwachung nicht mehr verfügbar war.

https://www.reversemode.com/2022/03/satcom-terminals-under-attack-in-europe.html

VirusTotal ist ein beliebter Dienst von Google, der hochgeladene Dateien mit über 70 verschiedenen Antivirenprogrammen prüft. Was nicht alle Nutzer wissen: Abonnenten der Produkte VirusTotal Intelligence und VT Enterprise erhalten Zugriff auf alle hochgeladenen Dateien. Zu den Kunden dieser Services gehören neben IT-(Security-)Dienstleistern auch weitere Unternehmen, Geheimdienste, Forscher und Journalisten. Das BSI warnt daher zu Recht, dass jeder Upload von sensiblen Daten als Datenabfluss gewertet werden muss.

Eine Alternative stellt die Prüfung von Hashes dar, bei der die Datei selbst nicht hochgeladen wird. Hierbei wird lediglich der Besitz von Dateien geleakt, deren Hash anderen bereits bekannt ist, nicht die Inhalte von Dateien, die für das Unternehmen spezifisch sind.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-206270-1032.pdf?__blob=publicationFile&v=3

Rund um Seattle sind Fahrer eines bestimmten Automodells Opfer eines merkwürdigen Effektes geworden. Bei Mazdas der Baujahre 2014 bis 2017 wurde das Infotainment-System so nachhaltig gestört, dass das Radio auf einem bestimmten Sender festhing. Das Problem ließ sich nur durch den Austausch der 1.500 US-Dollar teuren „Connectivity Master Unit“ beheben, welche in der aktuellen weltweiten Chipknappheit schwer zu bekommen ist.

Wie sich herausstellte, hatte der lokale Sender KUOW Updates versandt, die keine Dateinamenerweiterung trugen. Diese schickten das Gerät in eine Endlos-Boot-Sequenz.

https://arstechnica.com/cars/2022/02/radio-station-snafu-in-seattle-bricks-some-mazda-infotainment-systems/