HiSolutions Research

Die Ikarussen kommen? Flächensonnenbrand in IT-Land – SolarWinds #Sunburst Supply Chain Angriff

Dass Supply-Chain-Angriffe verheerend sein können, ist spätestens seit 2017 klar, als die im Update einer ukrainischen Steuersoftware versteckte Malware NotPetya IT-Infrastrukturen weltweit verkrüppelte und Schäden in Milliardenhöhe verursachte. Nun haben Angreifer – amerikanische Dienste verdächtigen den russischen Auslandsgeheimdienst – einen noch viel effektiveren Vektor in potenziell 300.000 für die Spionage (und evtl. auch Sabotage) äußerst wertvollen Unternehmen und Behörden gefunden: Ein manipuliertes Update der beliebten Netzwerkmonitoring-Lösung Orion hat bequeme Einstiegspunkte bei Kunden des Herstellers SolarWinds geöffnet, die in mehreren Fällen auch schon konkret ausgenutzt worden sind.
Aufgefallen war der Angriff, weil eines der Opfer der amerikanische Security-Spezialist FireEye ist. Experten dort hatten den Missbrauch von Microsoft-Authentifizierungstechniken durch die Angreifer bemerkt und eine Untersuchung gestartet, die zunächst die Spitze des Eisbergs sichtbar machte.
Inzwischen ist klar, dass nicht nur viele Fortune 500-Unternehmen, sondern auch kritische Infrastrukturen und der Verteidigungssektor betroffen sind – eine Goldgrube für die Angreifer.
„Sunburst“, wie der Angriff genannt wird, ist relativ leicht im Netzwerk zu detektieren und zu stoppen. Die Sisyphusarbeit liegt jedoch darin, Netzwerke, die möglicherweise durch die Lücke schon kompromittiert wurden, zu untersuchen und – in vielen Fällen der einzig wirklich sichere Weg – neu aufzusetzen. Die Aufräumarbeiten hierzu haben gerade erst begonnen.

HiSolutions Research

Es rappelt in den Kisters: Ransomware ereilt Energie-Supply-Chain

Als nächsten neuralgischen Punkt einer wichtigen Supply-Chain hat es die Energiebranche erwischt: Die Firma Kisters ist außerhalb des Sektors Wenigen bekannt, stellt aber einen wichtigen Dienstleister und Single Point of Failure dar. Dies wurde schmerzlich bewusst, als zentrale Systeme von Kisters durch eine Ransomware verschlüsselt wurden. Durch diese wurden die Mitarbeiterinnen und Mitarbeiter aus den eigenen Systemen ausgesperrt und konnten so zeitweise auch keinen Kundensupport leisten. Bisher gibt es keine Hinweise darauf, dass ausgelieferte Software kompromittiert wurde.

HiSolutions Research

Finale rulez: Final Rule für US-Banken

Die US-Bankenaufsicht hat hart durchgegriffen und die sogenannte „Final Rule“ veröffentlicht: Demnächst müssen US-Banken und ihre Dienstleister Security Incidents innerhalb von 36 Stunden melden.

Zusätzlich sind „asap“ auch betroffene Kunden zu informieren, wenn es plausibel erscheint, dass ein Ausfall oder eine Störung durch einen Cyber-Vorfall mehr als vier Stunden dauern könnte. Die Regelung tritt am 1.5.2022 in Kraft.

https://www.fdic.gov/news/board-matters/2021/2021-11-17-notational-fr.pdf

HiSolutions Research

Als Hitler den gelben Impfausweis stahl

Die Sicherheit der Impfzertifikats-PKI ist in manchen Ländern noch eine Baustelle. So präsentierten Unbekannte Impfzertifikate, die sie auf den Namen „Adolf Hitler“ ausstellen konnten. Angeblich hatten sie Zugriff auf die privaten Schlüssel der CA-Zertifikate von Frankreich und Polen. Allerdings ist die Kompromittierung der Root-CA nur eine mögliche Erklärung dieses Zwischenfalls. Leider ist die Aufklärung des Sachverhalts erschwert, da das zuständige Gesundheitsministerium keine Details zum Sperrverfahren preisgeben möchte.

https://www.golem.de/news/impfnachweise-covid-zertifikat-fuer-adolf-hitler-aufgetaucht-2110-160633.html

HiSolutions Research

Zwergenaufstand: Neue Rekorde bei Quantencomputern

Zwar fallen die Specs von Quantencomputern im Vergleich zu handelsüblichen „klassischen“ Rechnern immer noch bescheiden aus, allerdings wurden auf diesem Gebiet in den letzten zwei Jahren erhebliche Fortschritte erzielt.

Ganze 256 „Qubits“ (Quanten-Bits) umfasst nun ein neu angekündigter Chip, und nächstes Jahr soll die Kilo-Qubit-Grenze fallen. Noch reicht dies nicht, um Algorithmen wie RSA, Diffie-Hellman und elliptische Kurven zu brechen. Sollte die Entwicklung allerdings in diesem Tempo weitergehen, müssen wir Schätzungen ernst nehmen, nach denen Quantencomputer in „5-15“ Jahren verfügbar sein könnten und die heute genutzte Kryptographie in weiten Teilen nutzlos machen würden.

https://www.heise.de/news/Neuer-Rekord-bei-Quantencomputern-Start-up-meldet-Quantenchip-mit-256-Qubits-6270691.html

HiSolutions Research

Zwergensuche: Minikameras finden Minikameras

Miniaturkameras, inzwischen für kleines Geld in Reiskorngröße zu bekommen, stellen eine zunehmende Gefährdung dar. Angebracht in Einrichtungs- und Alltagsgegenständen wie etwa in Hotels oder Ferienwohnungen bedrohen sie nicht nur Geschäftsgeheimnisse, sondern vor allem auch die Privatsphäre. Dies wiederum lässt sich bisweilen zu erpresserischen Zwecken ausnutzen.

Forscher haben nun eine App entwickelt, mittels derer ein Smartphone unter Nutzung des Entfernungssensors einen Raum nach diesen Spionageeinrichtungen erfolgreich scannen kann. Eine Veröffentlichung der App ist geplant.

HiSolutions Research

Leerzeichen bombensicher: Was wirklich gebruteforced wird

Forscher der „Deception“-Abteilung von Microsoft haben ihre Honeypots umfangreich ausgewertet und dabei interessante Erkenntnisse über Brute-Force-Angriffe gewonnen. So stellte sich heraus, dass Angreifer eher selten versuchen, Passwörter mit einer Länge von mehr als zehn Zeichen zu erraten. Zahlen als Teil des Passworts werden oft probiert, Sonderzeichen hingegen schon seltener.

Geheimtipp: Leerzeichen als Teil des Passworts vermuten die Angreifer scheinbar nie. 😉

https://therecord.media/attackers-dont-bother-brute-forcing-long-passwords-microsoft-engineer-says/

HiSolutions Research

Alte Makronen: Microsoft deaktiviert Excel-4.0-Makros

In Zukunft sollen standardmäßig alle Excel-4.0-Makros in Office 365 deaktiviert werden. Makros in Office-Produkten sind einer der beliebtesten Wege, um Schadsoftware auszuliefern. Bekannte Malware wie etwa Trickbot hat sich so verbreitet. Excel-4.0-Makros stammen aus dem Jahre 1992. Längst wurden sie durch VBA abgelöst, das ebenfalls gerne für Malware genutzt wird. Da der letztere Weg aber jüngst durch verschiedene Maßnahmen erschwert wurde, greifen Angreifer auf die „Legacy“-Alternative zurück. Mit dem Deaktivieren schließt der Hersteller Microsoft nun also ein weiteres Schlupfloch.

https://www.heise.de/news/Missbrauch-mit-Malware-Befall-Microsoft-deaktiviert-Excel-4-0-Makros-in-Office-6213387.html

HiSolutions Research

HiSolutions Webinar: Durch die Service Readiness Methodik Projekte erfolgreich in den Betrieb überführen 

In diesem kostenfreien Webinar stellen wir unsere HiSolutions Service Readiness Methodik vor und erläutern die Maßnahmen, die notwendig sind, um Projekte erfolgreich in die Serviceerbringung zu überführen. Dazu laden wir Sie zu einem 60-minütigen Webinar ein, in dem Sie neben dem Vortrag auch die Chance haben, Fragen zu stellen und gemeinsam zu diskutieren. 

https://www.hisolutions.com/webinar-service-readiness

HiSolutions Research

Single Sign-On für brutal forsche(nde) Angreifer: Neuer Azure-AD-Brute-Force-Angriff

Bereits im Juni 2021 fand das Security-Research-Team von Secureworks eine Schwachstelle im Protokoll-Feature „Seamless Single Sign-On“ (SSO) von Azure Active Directory. Diese Funktion erleichtert die Nutzung einer großen Anzahl von Diensten, indem User automatisch eingeloggt werden.

Normalerweise werden Anmeldeversuche über diesen Weg protokolliert. Um die Funktion auch für Office 2013 zu ermöglichen, existiert allerdings ein alternativer Endpoint. Es stellte sich nun heraus, dass ein Autologin über diesen Endpoint zu keinem Log-Eintrag führte. So konnte dieser für Brute-Force-Angriffe genutzt werden, ohne dass diese bemerkt werden konnten.

Microsoft reagierte erst nach der Veröffentlichung der Schwachstelle Ende September 2021: Nun werden auch die Anmeldungen über den betroffenen Endpoint in den Logs aufgezeichnet.

https://www.secureworks.com/research/undetected-azure-active-directory-brute-force-attacks