HiSolutions Research

Default-Konfig

Wer kennt es nicht: ein neues System, eine neue Anwendung, eine neue Komponente. Und weil der Hersteller ein lauffähiges Produkt ausliefern möchte, ist es schon mal vorkonfiguriert – aber nicht wie der Anwender vielleicht denkt, maximal sicher, sondern funktional. So ist der Log-in erst mal „admin/admin“ und die Erreichbarkeit auf „jeder“ eingestellt. Mit den richtigen Suchmaschinen lassen sich solche Installationen auch leicht ausfindig machen.

Solche Fehler können entweder harmlos sein, weil zum Glück noch ein Perimeter-Schutz das Schlimmste verhindert hat oder teuer werden, weil man seinen AWS S3 Bucket öffentlich les- und schreibbar gemacht hat.

https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1

Das Vereinigte Königreich hat das Thema Standardpasswörter nun gesetzlich geregelt. Die Verwendung von Standardpasswörtern für IoT-Geräte (Internet of Things) wurde verboten. IoT-Geräte sind vernetzte Geräte, die in unserem Alltag immer häufiger anzutreffen sind, wie z. B. Smart-Home-Geräte, Kameras, Babyphones und andere intelligente Geräte. Hersteller von IoT-Geräten müssen sicherstellen, dass ihre Produkte bei der erstmaligen Verwendung ein individuelles Passwort erfordern, anstatt ein voreingestelltes Standardpasswort zu verwenden. Dieser Schritt soll die Sicherheit von IoT-Geräten erhöhen und die Anfälligkeit für einen unbefugten Zugriff verringern. Standardpasswörter sind oft leicht zu erraten oder werden von Angreifern anhand bekannter Listen ausgetestet. Die Verwendung individueller Passwörter erhöht die Sicherheit und minimiert das Risiko von Datenschutzverletzungen. Die Einführung dieses Gesetzes ist eine Reaktion auf die wachsenden Sicherheitsbedenken im Zusammenhang mit vernetzten Geräten.

https://thehackernews.com/2024/04/new-uk-law-bans-default-passwords-on.html

HiSolutions Research

Schwachstellen in Microsoft Defender und Kaspersky EDR ermöglichen Dateilöschung aus der Ferne

Forscher von SafeBreach haben Schwachstellen in Sicherheitsprodukten von Microsoft und Kaspersky entdeckt, die es ermöglichen, Dateien aus der Ferne zu löschen. Die Schwachstellen betreffen Microsoft Defender und Kasperskys Endpoint Detection and Response (EDR). Beide Programme verwenden Byte-Signaturen, um Malware zu erkennen. Die Forscher haben eine Methode entwickelt, um Falsch-Positive-Indikatoren für schädliche Dateien zu erzeugen und diese dann von EDR löschen zu lassen. Dies könnte dazu führen, dass Datenbanken oder virtuelle Maschinen aus der Ferne gelöscht werden. Das Löschen der Dateien durch EDR kann nach Angaben der Forscher nicht rückgängig gemacht werden. Die genauen Auswirkungen dieser Schwachstellen sind noch unbekannt, da die Forscher aus Angst vor den möglichen Folgen keine umfassenden Tests durchgeführt haben.

Byte-Signaturen sind eindeutige Sequenzen von Bytes in Dateien. Die Forscher haben eine Methode entwickelt, um diese Signaturen in legitime Dateien einzufügen und EDR dazu zu bringen, diese Dateien als infiziert zu erkennen. Wenn EDR so konfiguriert ist, dass infizierte Dateien gelöscht werden, kann dies dazu führen, dass ganze Datenbanken oder virtuelle Maschinen remote gelöscht werden.

https://www.theregister.com/2024/04/22/edr_attack_remote_data_deletion

HiSolutions Research

Dropbox, Inc. meldet Cybersecurity-Verletzung: Unautorisierter Zugriff auf Dropbox-Sign-Nutzerdaten

Am 01.05.2024 gab Dropbox, Inc. bekannt, dass ein unautorisierter Zugriff auf die Produktionsumgebung von Dropbox Sign (ehemals HelloSign) stattgefunden hat. Weitere Untersuchungen ergaben, dass der Angreifer auf Daten aller Dropbox-Sign-Nutzer wie E-Mail-Adressen und Benutzernamen sowie auf allgemeine Kontoeinstellungen zugreifen konnte. Bei einigen Nutzern wurden auch Telefonnummern, gehashte Passwörter und bestimmte Authentifizierungsinformationen wie API-Schlüssel, OAuth-Token und Multi-Faktor-Authentifizierung kompromittiert. Bisher gibt es keine Hinweise darauf, dass der Angreifer Zugriff auf Inhalte der Benutzerkonten wie Verträge oder Vorlagen oder auf Zahlungsinformationen hatte. Die Untersuchung ist noch nicht abgeschlossen, aber es gibt keine Anzeichen dafür, dass andere Dropbox-Produkte betroffen sind.

https://www.board-cybersecurity.com/incidents/tracker/20240501-dropbox-inc-cybersecurity-incident/

HiSolutions Research

Urteile gegen Cyber-Kriminelle

Sodinokibi/REvil Affiliate wegen seiner Rolle in 700-Millionen-Dollar-Ransomware-System verurteilt

Ein ukrainischer Staatsbürger wurde zu 13 Jahren und sieben Monaten Haft und zur Zahlung von mehr als 16 Millionen US-Dollar Schadensersatz verurteilt. Er war an mehr als 2.500 Ransomware-Angriffen beteiligt und forderte mehr als 700 Millionen US-Dollar Lösegeld. Gerichtsdokumenten zufolge führte Yaroslav Vasinskyi, auch bekannt als „Rabotnik, 24“, Tausende Ransomware-Angriffe mit der Variante Sodinokibi/REvil durch.

https://www.justice.gov/opa/pr/sodinokibirevil-affiliate-sentenced-role-700m-ransomware-scheme

Operation PANDORA schließt 12 -Callcenter für Telefonbetrug

Am 18.04.2024 führten deutsche, albanische, bosnisch-herzegowinische, kosovarische und libanesische Polizeikräfte eine Razzia in zwölf Callcentern durch, die als Quelle Tausender täglicher Betrugsanrufe identifiziert wurden. Dabei wurden 21 Personen festgenommen und ein kriminelles Netzwerk zerschlagen, das Tausende von Opfern mit verschiedenen Methoden betrogen hatte. Die Methoden reichten von schockierenden, falschen Polizeianrufen über manipulierende Anlagebetrügereien bis hin zu herzzerreißenden Liebesbetrügereien. In Deutschland wurden im Rahmen der Operation PANDORA umfangreiche Ermittlungen durchgeführt, die zur Identifizierung von 39 Verdächtigen führten.

https://www.europol.europa.eu/media-press/newsroom/news/operation-pandora-shuts-down-12-phone-fraud-call-centres

HiSolutions Research

Chinesische Smartphone-Tastaturen: Sicherheitslücken und Spionagegefahr

Chinesisch, eine Sprache mit Zehntausenden von Schriftzeichen, von denen mehr als etwa 4.000 gebräuchlich sind, stellt eine besondere Herausforderung für die Tastatureingabe dar. Im digitalen Zeitalter wurde hierfür eine Reihe unterschiedlicher Tastatursysteme entwickelt. Im Idealfall ermöglichen diese kreativen Ansätze für die digitale Eingabe die einfache Phonetisierung und Transliteration einer hochkomplexen Sprache über ein kompaktes, oft QWERTY-artiges Tastaturformat.

Eine neue Studie zeigt, dass praktisch alle beliebten chinesischen Smartphone-Tastaturen anfällig für Spionage und Lauschangriffe sind. Obwohl einige spezifische Fehler behoben wurden, deuten die Ergebnisse darauf hin, dass die weltweit entwickelten Systeme größere Schwachstellen aufweisen. App-Entwickler sollten sich bewusst sein, dass die von chinesischen Nutzern in ihre Apps eingegebenen Daten jahrelang ungeschützt waren.

https://spectrum.ieee.org/amp/chinese-pinyin-keyboard-software-exploits-2667871162

HiSolutions Research

Seitenkanal des Monats

Die Cloud-Computing-Landschaft hat sich in den letzten Jahren erheblich weiterentwickelt und verschiedene Sandboxes eingeführt, um den unterschiedlichen Anforderungen moderner Cloud-Anwendungen gerecht zu werden. Zu diesen Sandboxen gehören containerbasierte Technologien wie Docker und gVisor, microVM-basierte Lösungen wie Firecracker und sicherheitsorientierte Sandboxen auf der Grundlage von Trusted Execution Environments (TEEs) wie Intel SGX und AMD SEV. Die Praxis, mehrere Clients auf einer gemeinsamen physischen Hardware zu platzieren, wirft jedoch Sicherheits- und Datenschutzbedenken auf, insbesondere im Hinblick auf Seitenkanalangriffe. So wurde die Möglichkeit untersucht, Container über CPU-Frequenzsensoren in Intel- und AMD-CPUs mit Fingerabdrücken zu versehen. Eine wichtige Voraussetzung für diesen Angriff ist, dass die aktuelle CPU-Frequenzinformation von Angreifern im Userspace abgerufen werden kann. Docker-Images weisen eine eindeutige Frequenzsignatur auf, die es erlaubt, verschiedene Container mit einer Genauigkeit von bis zu 84,5 % zu unterscheiden, selbst wenn mehrere Container gleichzeitig auf verschiedenen Kernen laufen. Die empirischen Ergebnisse zeigen, dass diese Angriffe auch gegen die Sandboxen gVisor von Google, Firecracker von AWS und TEE-basierte Plattformen wie Gramine (mit Intel SGX) und AMD SEV in weniger als 40 Sekunden mit einer Genauigkeit von über 70 % erfolgreich durchgeführt werden können. Eine auf Rauschinjektion basierende Gegenmaßnahme kann den vorgeschlagenen Angriff in Cloud-Umgebungen entschärfen.

https://www.ece.iastate.edu/bgulmez/files/2024/04/Dynamic_Frequency_Based_Side_Channel_Attack_against_Modern_Sandbox_Environments.pdf

HiSolutions Research

CISA-Bericht belegt fehlende Sicherheitskultur bei Microsoft

Bereits im Februar-Digest hatten wir über den Angriff Midnight Blizzards und die damit einhergehenden Verfehlungen Microsofts berichtet. In der Zwischenzeit hat sich die Lage noch weiter verschärft, nachdem bekannt wurde, dass ein im Angriff gestohlener Schlüssel dazu berechtigte, in vielen Cloud-Diensten Microsofts Zugangstoken für Benutzerkonten anlegen zu können. Dieser Master-Key ist zwar nun gesperrt – es bestand zeitweise jedoch die Möglichkeit des Anlegens von Hintertür-Accounts in Cloud- und teilweise auch OnPrem-Applikationen des Anbieters.

Ein Review Board der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), dem Pendant des deutschen BSI, hat den Vorfall nun noch einmal genauer unter die Lupe genommen und Microsofts Fehler in Form eines Berichtes aufbereitet.

Der Bericht wirft Microsoft vielfaches Versagen bei der Cybersicherheit vor und betont, dass der Technologieriese den Angriff nicht selbst entdeckt hat, sondern erst durch einen Kunden darauf aufmerksam gemacht wurde. Der Bericht untergräbt weiter das Vertrauen in Microsofts Sicherheitskultur durch das Aufdecken falscher Behauptungen bezüglich der Ursachenfindung des Vorfalls und fordert das Unternehmen auf, eine kulturelle Veränderung hin zu mehr Sicherheit, Verantwortlichkeit und Transparenz voranzutreiben.

Unser Digest vom Februar: https://www.hisolutions.com/detail/digest-februar-2024

Bericht der CISA: https://www.cisa.gov/resources-tools/resources/cyber-safety-review-board-releases-report-microsoft-online-exchange-incident-summer-2023

HiSolutions Research

Wie lang sollte ein RSA-Schlüssel sein?

Zu dieser Frage herrscht Uneinigkeit in unserer Branche. Das BSI benennt als Anforderung, dass bei TLS-Verbindungen eine RSA-Schlüssellänge von mindestens 3.000 Bits verwendet werden sollte. Die US-Standardisierungsbehörde NIST gibt an, dass RSA-Schlüssellängen mit 2.048 Bit noch bis 2030 als ausreichend sicher gelten.

Wichtig in dieser Diskussion ist, den Anwendungsfall von RSA im TLS-Verfahren zu berücksichtigen. Es wird verwendet, um die Authentizität des Servers gegenüber dem Client zu bestätigen – und im Fall von mTLS auch die des Clients gegenüber dem Server. Obwohl mittels RSA keine Inhalte verschlüsselt werden und ein mögliches Brechen eines RSA-Schlüssels in der Zukunft keine Auswirkungen auf bereits aufgezeichneten verschlüsselten Verkehr hätte (die Anwendung von Perfect-Forward-Secrecy vorausgesetzt), muss die Sicherheit des Signaturverfahrens für die Verwendungsdauer des Schlüssels gewährleistet sein: üblicherweise ein Jahr bei öffentlichen Client/Server-Zertifikaten, ca. 3-5 Jahre bei internen Client/Server-Zertifikaten oder ca. 20-30 Jahre bei CA-Zertifikaten.

Ein Wechsel zu einem Zertifikat mit einem längeren Schlüssel hat nicht nur formale, sondern auch praktische Auswirkungen auf die Leistung des Servers, da mit der Schlüssellänge auch die benötigte Rechenzeit für die Signaturerstellung steigt. Webserver, die viele Verbindungsaufbauten gleichzeitig bedienen, müssen bei einem längeren Schlüssel bei jedem Verbindungsaufbau die aufwendigeren Signaturen erstellen und ggf. Signaturprüfungen durchführen, was zu einer höheren Belastung führen kann. Damit steigt auch das Risiko für DDoS-Attacken bei längeren Schlüsseln.

Dieser Diskurs wirkt auf uns jedoch wenig zielführend. Die Schlüssellänge bei RSA ist ein reiner Wettlauf gegen die Zeit, da klassische Computer immer leistungsstärker werden. Und spätestens mit dem Erscheinen eines kryptografisch relevanten Quantencomputers hat sich das Thema RSA erledigt, da für diesen das Ermitteln des geheimen Schlüssels auf Basis des öffentlichen Schlüssels kein schweres Problem mehr darstellt. Auch wenn elliptische Kurven (ECC) noch zur klassischen asymmetrischen Kryptografie zählen, sollten diese anstelle des RSA-Verfahrens eingesetzt werden, da sie mit geringeren Schlüssellängen auskommen und eine bessere Gesamtperformance bieten. Oder besser, man geht den Weg, den auch die Messenger-App Signal eingeschlagen hat, mit einer Komposition aus ECC und einem PQC-Kandidaten, um gegen kryptografisch relevante Quantencomputer gewappnet zu sein.

Meldung auf heise online: https://www.heise.de/news/Microsoft-RSA-Schluessellaengen-von-2048-Bit-reichen-fuer-TLS-Zertifikate-9657480.html

Wissenschaftliches Paper zum Vergleich von RSA und ECC: https://www.researchgate.net/publication/322558426_RSA_and_ECC_A_comparative_analysis

Blogpost von Signal zu deren PQC-Strategie: https://signal.org/blog/pqxdh/

HiSolutions Research

Ransomware: Steigende Gefahr oder Abwärtstrend?

Steigt die Bedrohung durch Ransomware – oder nimmt sie ab? Das Portal The Hacker News [1] meldet jedenfalls einen Rückgang und analysiert die Gründe für die wahrgenommene Veränderung in der Ransomware-Landschaft. Während die Zahlen im vierten Quartal 2023 mit 1.309 Fällen in die Höhe geschnellt seien, sei die Anzahl der Ransomware-Angriffe im ersten Quartal 2024 auf 1.048 Fälle zurückgegangen. Dies entspräche einem Rückgang um 22 % im Vergleich zum vierten Quartal 2023.

Als Grund für diesen Rückgang werden Erfolge der Strafverfolgungsbehörden im Jahr 2024 mit Maßnahmen gegen LockBit und ALPHV aufgeführt. So gelang in einer internationalen Polizeioperation die Verhaftung von mindestens drei Mitgliedern des berüchtigten LockBit-Ransomware-Syndikats in Polen und der Ukraine.

Ebenso gab die US-amerikanische Bundespolizei FBI im Dezember einen Fahndungserfolg gegen die Ransomware-Gruppe ALPHV/BlackCat bekannt, bei der auch Teile der Infrastruktur der Bande konfisziert werden konnten. Im ersten Quartal 2024 sei ALPHV für 51 Ransomware-Angriffe verantwortlich gewesen, ein deutlicher Rückgang gegenüber den 109 Angriffen im vierten Quartal 2023. Auch wenn die Gruppe im Jahr 2024 immer noch aktiv sei, habe die teilweise Zerschlagung durch das FBI eindeutig einen erheblichen Einfluss gehabt.

Zusätzlich seien immer weniger von einem Angriff betroffene Unternehmen und Organisationen zur Zahlung von Lösegeld bereit: Im letzten Quartal 2023 sei der Anteil der Ransomware-Opfer, die den Lösegeldforderungen nachkamen, auf einen historischen Tiefstand von 29 % gesunken, zitiert The Hacker News das Ransomware-Verhandlungsunternehmen Coveware.

Ganz anders schätzt hingegen Check-Point-Research (CPR) die Lage bei der Ransomware-Bedrohung ein [2]: Zwar seien in der DACH-Region Cyber-Attacken im Vergleich zum ersten Quartal 2023 deutlich zurückgegangen (-17 %), gleichzeitig habe jedoch die Verbreitung von Ransomware in Europa im Jahresvergleich von allen Regionen am stärksten zugenommen (64 %). Die meiste Ransomware in absoluten Zahlen verzeichnete laut CPR jedoch weiterhin Nordamerika, wo 59 % von fast 1.000 Ransomware-Angriffen stattfänden. Dabei bezieht sich Check-Point-Research auf die Auswertung von Daten auf Ransomware-Shame-Sites, die von Erpressergruppen betrieben werden, und die Namen und Informationen der Opfer veröffentlichen.

Trotz der hochdynamischen Lage bei Ransomware-Bedrohungen, bei der sich unterschiedliche Analysen auf entgegengesetzte Richtungen festlegen, bleibt eine Konstante: Die Zahlung von Lösegeld lohnt sich nicht. Darauf weisen auch aktuelle Studien von Cybereason und Arctic Wolf [3] zur Ransomware-Branche hin. Demnach erhielten nach der Bezahlung nur 32 % der Betroffenen ihre Daten unbeschädigt zurück. Und selbst in diesem Fall „gibt es keine Garantie, dass die Angreifer Ihre Daten nicht auf dem Schwarzmarkt verkaufen, dass Sie Ihre Dateien und Systeme vollständig zurückerhalten oder dass Sie nicht erneut angegriffen werden“, so Greg Day, Global Field CISO (VP) bei Cybereason.

Zu den genannten Artikeln:

[1] https://thehackernews.com/2024/04/the-drop-in-ransomware-attacks-in-2024.html

[2] https://www.infopoint-security.de/check-point-analyse-mehr-ransomware-in-q1-2024/a37019/

[3] https://www.security-insider.de/loesegeldzahlung-lohnt-sich-nicht-a-c5bb6ba3035ecca7f0b5063d403cfa0a/

HiSolutions Research

Seitenkanal des Monats: Off-Path TCP Hijacking über Paketgrößen

In dem verlinkten Paper wird ein interessanter Seitenkanal in Wi-Fi-Netzwerken aufgedeckt. Es geht um die beobachtbare Rahmengröße von TCP-Paketen, die von Angreifern ausgenutzt werden kann, um TCP-Hijacking-Angriffe durchzuführen. Trotz der Implementierung verschiedener Sicherheitsmechanismen wie WEP und WPA2/WPA3, um Wi-Fi-Netzwerke zu schützen, zeigt die Studie, dass ein Angreifer ausreichend Informationen aus dem Seitenkanal extrahieren kann, um die TCP-Verbindung eines Opfers übernehmen zu können.

Die Angriffsmethode basiert auf zwei wichtigen Erkenntnissen: Erstens variieren die unterschiedlichen Typen von Antwortpaketen wie ACK und RST, die von TCP-Empfängern generiert werden, in ihrer Größe. Zweitens haben die verschlüsselten Rahmen, die diese Antwortpakete enthalten, konsistente und nach Typ unterscheidbare Größen. Durch Beobachtung der Größe der verschlüsselten Rahmen kann der Angreifer den Status bzw. die korrekte Sequenznummer der TCP-Verbindung des Opfers erkennen und in der Folge die Verbindung entweder terminieren oder arbiträre Daten einspeisen.

Die Wirksamkeit dieses Seitenkanal-Angriffs wird durch zwei Fallstudien bestätigt: Ein SSH-DoS und die Manipulation von Web-Traffic. Zudem werden umfangreiche Messungen durchgeführt, um die Auswirkungen des Angriffs auf reale Wi-Fi-Netzwerke zu bewerten. Dabei werden 30 beliebte drahtlose Router von neun bekannten Herstellern getestet. Keiner dieser Router kann Opfer vor dem Angriff schützen. Außerdem werden der Angriff in realen Wi-Fi-Netzwerken implementiert und die TCP-Verbindungen der Opfer in 69 der 80 evaluierten Wi-Fi-Netzwerke erfolgreich übernommen (86 %).

Die Schwachstelle wurde verantwortungsbewusst der Wi-Fi Alliance gemeldet, ebenso wurden mehrere Maßnahmen vorgeschlagen, um das Problem auf Protokoll-Ebene anzugehen. Als Anwender muss man mit dieser Möglichkeit umgehen, indem man den Zugang zu seinen WiFi-Netzwerken über bspw. starke Passwörter oder MAC-Filtering reguliert.

Zum Paper in voller Länge: https://arxiv.org/abs/2402.12716