HiSolutions Research

Die Ikarussen kommen? Flächensonnenbrand in IT-Land – SolarWinds #Sunburst Supply Chain Angriff

Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen auch schon konkret ausgenutzt worden sind.
Aufgefallen war der Angriff, weil eines der Opfer der amerikanische Security-Spezialist FireEye ist. Experten dort hatten den Missbrauch von Microsoft-Authentifizierungstechniken durch die Angreifer bemerkt und eine Untersuchung gestartet, die zunächst die Spitze des Eisbergs sichtbar machte.
Inzwischen ist klar, dass nicht nur viele Fortune 500-Unternehmen, sondern auch kritische Infrastrukturen und der Verteidigungssektor betroffen sind – eine Goldgrube für die Angreifer.
„Sunburst“, wie der Angriff genannt wird, ist relativ leicht im Netzwerk zu detektieren und zu stoppen. Die Sisyphusarbeit liegt jedoch darin, Netzwerke, die möglicherweise durch die Lücke schon kompromittiert wurden, zu untersuchen und – in vielen Fällen der einzig wirklich sichere Weg – neu aufzusetzen. Die Aufräumarbeiten hierzu haben gerade erst begonnen.

HiSolutions Research

Lese- und Medientipps August 2022

Erzählt

Die Folge „The French Knight’s Guide to Corporate Culture“ von Tim Harfords lehrreichem Podcast „Cautionary Tales“ (17.6.2022) macht anhand der Niederlage einer eigentlich erdrückenden Übermacht französischer Ritter den Engländern gegenüber eindrücklich klar, wie entscheidend Kultur in Organisationen ist.

https://timharford.com/2022/06/cautionary-tales-the-french-knights-guide-to-corporate-culture/

Erkältet

Die „Perspektive“-Kolumne unseres Vorstands Timo Kob im Tagesspiegel Background Cybersecurity beleuchtet, warum „Der deutsche Patient“ digital so sehr dahinsiecht.

https://background.tagesspiegel.de/cybersecurity/der-deutsche-patient

HiSolutions Research

Aller Anfang ist schwer: Security-Policy für Start-ups

Es fehlt im Netz nicht an Tipps, gut gemeinten Ratschlägen und Top-10-Listen für Dinge, die ein KMU, ein kleiner Handwerksbetrieb oder eine Ich-AG in Bezug auf Security als Erstes tun sollten. Ryan McGeehan, ehemals Facebook Security, hat dem Thema „Security für Startups“ sehr viel Aufmerksamkeit geschenkt und einige Handreichungen produziert, was er für essenziell für den Einstieg hält. Insbesondere sollen seine Leitlinien für alle Mitarbeitenden verständlich sein.

Zwar taugt das Ganze nur begrenzt als Startpunkt für eine Compliance etwa zum IT-Grundschutz oder zur ISO 27001, aber diskussionswürdig sind seine Empfehlungen allemal.

https://medium.com/starting-up-security/starting-up-security-policy-104261d5438a

HiSolutions Research

KI schlägt KI: VideoIdent-Verfahren geknackt

KI-basierte VideoIdent-Verfahren haben sich in letzter Zeit als kostengünstige Möglichkeit der Identitätsprüfung etabliert, da sie nicht nur den Verbraucherinnen und Verbrauchern den Weg zur Post, sondern auch den Betreibern die Beschäftigung von Personal ersparen. Angriffsvektoren auf diese Methoden sind grundsätzlich seit Jahren bekannt. Doch nun hat ein vernichtendes Gutachten aus dem Chaos-Computer-Club-Umfeld aufgeschreckt. Nachdem deutlich wurde, mit wie wenig Aufwand marktübliche Verfahren mithilfe von KI hinters Licht geführt werden können, hat etwa die gematik den Krankenkassen die Nutzung von VideoIdent für die Telematikinfrastruktur untersagt. Befürworterinnen und Befürworter befürchten, dass dies der Digitalisierung im Bereich Gesundheit einen empfindlichen Dämpfer versetzen könnte.

https://www.heise.de/news/eHealth-Chaos-Computer-Club-hackt-Videoident-Verfahren-7216044.html

HiSolutions Research

Gute IDEAS: Security by Design Decisions in der Automatisierung

Im Rahmen des Forschungsprojekts IDEAS (Integrated Data Models for the Engineering of Automation Security) werden Ansätze entwickelt, wie sich Security (Engineering) systematisch in den Herstellungsprozess (z. B. in der Industrieautomatisierung, aber auch in der IT) integrieren lässt.

Security by Design Decisions bezeichnet dabei eine Reihe von Modellen, die beschreiben, wann und wie Security-Prozesse mit den eigentlichen Produktionsprozessen gekoppelt, harmonisiert, von diesen getriggert oder in sie eingebaut werden können. Der Ansatz kann helfen sicherzustellen, dass Security nicht nur in Form eines abstrakten „Sikos“ lebt, das den Entwicklungsprozess nur selten oder unter großem Daueraufwand beeinflusst.

https://fluchsfriction.medium.com/automation-security-by-design-decisions-5619b97126c0

HiSolutions Research

ReinRaaSig: Ransomware as a Service in Azure

„Die Cloud“ gilt gemeinhin als etwas Ransomware-sicherer als On-Prem-Infrastrukturen, allein schon, weil Backup und Restore häufig als native Operationen zur Verfügung stehen. Nun hat sich herausgestellt, dass bestimmte Sicherheitsfeatures der Cloud verwendet werden können, um Angreifern die erpresserische Verschlüsselung sogar zu erleichtern.

Mit Funktionen wie Auto Save lassen sich in M365 bzw. SharePoint Online eine bestimmte konfigurierbare Anzahl alter Versionen einer Datei behalten – zunächst einmal ein Sicherheitsgewinn. Und mit geeigneten Zugriffsrechten können Angreifer auch nicht direkt diese früheren Versionen manipulieren. Es genügt jedoch, wenn sie entweder eine große Anzahl verschlüsselter Versionen einer Datei erzeugen, um alle Versions-Slots zu überschreiben, oder aber das „Versionslimit“ auf 1 setzen – dann genügen zwei Speichervorgänge, um alle unverschlüsselten Kopien zu tilgen.

Microsoft beteuert zwar, auch „überschriebene“ Versionen seien innerhalb von 14 Tagen mithilfe des Supports wiederherstellbar, dies konnte jedoch in der Praxis nicht bestätigt werden.

HiSolutions Research

Elasticheimsuch: NoSQL-Datenbanken geransomed

Ransomware muss nicht unbedingt Clients oder Infrastrukturen befallen. Datenbanken können auch direkt heimgesucht werden, so wie im Fall von mindestens 1.200 Elasticsearch-Instanzen. Angreifer hatten über eine unsichere Konfiguration der Authentifizierung die Daten durch Erpresserbriefe ersetzt.

Elasticsearch ist nicht die erste „next generation“-Datenbank, die auf solche Weise heimgesucht wird. 2020 stellten Sicherheitsforschende fest, dass in ca. der Hälfte der damals exponierten MongoDB-Instanzen ebenfalls der Inhalt durch eine ähnliche Ransom-Note ersetzt worden war.

https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note

Uns blutet das Herz: Hertzbleed leakt Geheimnisse

Auch wenn es Mode geworden ist, verdienen nicht alle Schwachstellen einen albernen Namen und ein noch alberneres Logo. „Hertzbleed“ hat beides – und das zurecht. So erlaubt doch diese neu entdeckte Side-Channel-Schwachstelle das Stehlen von Geheimnissen aus allen Intel- und vielen AMD-CPUs.

Hertzbleed nutzt dabei die Tatsache aus, dass moderne Prozessoren zum Performance-Gewinn ihre Taktfrequenz dynamisch hoch- oder herunterfahren. So kann über Timing-Unterschiede unter bestimmten Bedingungen etwa auf Krypto-Schlüssel zurückgeschlossen werden.

Standardmaßnahmen wie die Entwicklung von Krypto-Code als „Constant Time“ helfen hier nicht, da der „Bug“ ein Feature der Hardware ist. Intel und Co. planen zurzeit keinen Patch, sodass für jedes kritische Kryptosystem einzeln überprüft werden muss, ob es durch Hertzbleed angreifbar ist. Das generelle Abschalten des sogenannten Turbo Boost/Turbo Core empfiehlt sich aufgrund des empfindlichen Performance-Verlusts nicht.

https://www.hertzbleed.com/

HiSolutions Research

Sonnenstürme in den Wolken – Droht die Cloud-Komplexität zu eskalieren?

In nur sechs Monaten, von August 2021 bis Januar 2022, wurden acht kritische Schwachstellen bei großen Cloud-Anbietern entdeckt – davon sechs allein bei Azure und zwei bei AWS. Das ergibt zumindest die Auswertung des Security-Forschers Scott Piper, der eine umfassende Liste solcher Lücken pflegt. Da Schwachstellen in Infrastrukturen in der Regel keine CVE-Nummern erhalten und somit von den Herstellern oder den Entdeckerinnen und Entdeckern mit CVSS-Scores für die Kritikalität ausgewiesen werden, musste Piper die Einstufung dafür selbst vornehmen.

Zwar hatte „die Cloud“ noch nicht ihren SolarWinds-Moment wie die Supply-Chain-Security im Dezember 2020, als über die Backdoor Solorigate/Sunburst in der Management-Software SolarWinds Orion sehr viele Firmen weltweit auf einmal akut betroffen waren. Doch zeigt die Aufstellung, dass es bereits diverse near misses gab, in denen großer Schaden hätte angerichtet werden können, wären Angreifer schneller als die Researcher gewesen.

Dass Microsofts Cloud-Dienst so stark überproportional betroffen ist, dürfte eher daran liegen, dass sich der Fokus der Sicherheitsforschung insbesondere auch auf Azure ausgeweitet hat, da sich die Plattform gerade im Business-Umfeld einen gewissen Marktanteil hat sichern können: Allein zwischen 2019 und 2021 legte Azure von 16,5 % auf 20,8 % zu, während Marktführer AWS bei rund 35 % verharrte.

https://www.protocol.com/enterprise/microsoft-azure-vulnerabilities-cloud-security