HiSolutions Research

„Tschüss“ Windows 8 und Windows Server 2012

Diesen Dienstag endete der Support für die letzte Version von Windows 8. Viele werden jetzt aufatmen, da sich diese Betriebssystem-Version kaum in professionellen Netzen durchsetzen konnte. Aber haben Sie schon den letzten Windows-7-Client aus Ihrem Netzwerk entfernen können – oder warten Sie noch auf das Update der einen Fachanwendung? Bei Windows 7 lief vorgestern auch die allerletzte Verlängerungsmöglichkeit mit dem kostenpflichtigen ESU (Extended Security Update) aus.

Unser Incident-Response-Team findet regelmäßig bei betroffenen Kunden stark veraltete Systeme (seltener Windows 8 auf den Clients, häufiger noch Windows Server 2008), die entweder selbst den Angriff begünstigt haben oder durch nötige Abwärtskompatibilitäten Härtungsmaßnahmen behindern. Die korrespondierende Serverversion zu Windows 8 – Windows Server 2012 – wird auch in diesem Jahr, genauer im Oktober, ihr Support-Ende erreichen. Um rechtzeitig die Migration einplanen zu können, helfen Übersichtsseiten wie https://endoflife.date/.

HiSolutions Research

Manchmal lauert der Angreifer auch schon drinnen

Angriffe durch Innentäter sind nicht ohne Grund der Schrecken jedes Sicherheitsverantwortlichen. Steckt doch inhärent der Konflikt darin, die richtige Balance zwischen vertrauensvoller Zusammenarbeit und kritischer Beobachtung von möglichen Missbräuchen zu finden. Daher werden Innentäter in Risikoanalysen immer gern kleingeredet. Auch wenn es keine schöne Vorstellung ist: es gibt sie doch.

Sehr drastisch ist der aktuell öffentlich diskutierte Fall, in dem ein BND-Mitarbeiter verdächtigt wird, vertrauliche Informationen an einen russischen Geheimdienst weitergegeben zu haben. Etwas kleiner, aber nicht weniger erschreckend ist ein ähnlicher Fall in den Niederlanden. Dort wurde ein Finanzbeamter angeklagt, da er verdächtigt wird, gegen Geld nach Nummernschildern, Adressen und sogar familiären Beziehungen gesucht zu haben.

Ähnliche Fälle gab es in der Vergangenheit auch bereits mit Support-Mitarbeitern, die Kundenkonten unberechtigt sperrten. Eine häufige Gemeinsamkeit ist, dass meist die regulären Zugriffsrechte und keine technische Schwachstelle ausgenutzt wird. Daher sind die Erkennung und auch die Aufklärung nur mit einem guten Konzept für Protokollierung und Monitoring möglich.

https://www.tagesschau.de/investigativ/ndr-wdr/bnd-russland-mutmasslicher-landesverrat-101.html

https://www.om.nl/actueel/nieuws/2023/01/03/eis-drie-jaar-cel-tegen-medewerker-belastingsdienst

HiSolutions Research

Mehr als nur ein Versionsupdate: Die ISO/IEC 27001:2022

Im Oktober 2022 wurde die zentrale ISO-Norm zur Informationssicherheit aktualisiert. Die meisten Betroffenen haben sich vermutlich schon davor mit den Neuerungen beschäftigt. Aber nach einem Quartal in der Praxis ist eine erste Zwischenbilanz möglich. Zwei Neuerungen kristallisieren sich als typische Herausforderungen heraus: zum einen die Anforderung, die Bedrohungsentwicklung aktiv zu beobachten (Threat Intelligence), um auf strategischer, taktischer wie operativer Ebene reagieren zu können. Zum anderen bildet die jetzt nachzuweisende Cloud-Strategie für viele ebenfalls eine neue Challenge.

Die wichtigsten Änderungen: https://www.youtube.com/watch?v=53uwJY-mrIg

Cloud-Strategie: https://www.youtube.com/watch?v=nVlppw4EDuc

HiSolutions Research

Chancen und Risiken liegen manchmal nur einen Fingerabdruck auseinander – wie bei der Biometrie

Während in der aktuellen <kes> verschiedene Experten den Einsatz von Biometrie im beruflichen Kontext diskutieren, wurde parallel bei der Konferenz „Hacking in Parallel“ die damit verbundene Gefahr am Beispiel eines militärischen Biometriegeräts gezeigt.

Mehrere Geräte zur biometrischen Identifikation von Personen konnten über Onlineauktionshäuser beschafft werden. Die untersuchten Geräte waren zuvor in Afghanistan im Einsatz und enthielten noch Daten. Das Missbrauchspotenzial ist bereits erschreckend groß, wenn diese Geräte durch die aktuellen Machthaber zur Identifikation von damaligen Unterstützern – etwa Ortskräfte des US-Militärs –  verwendet werden. Zudem zeigten die Forscher, dass sich die vermeintlichen Hightech-Geräte bei der biometrischen Erkennung leicht austricksen ließen und über Sicherheitslücken Zugriff auf interne Daten ermöglichten.

Die in der <kes> unabhängig davon befragten Experten hatten ähnliche Risiken auf dem Schirm. Biometrie ist im beruflichen Kontext recht wenig verbreitet, hält aber über die auf Mobiltelefonen und Tablets bei der Privatnutzung bereits etablierte Entsperrung mit Fingerabdruck oder Gesicht immer stärkere Verbreitung in Unternehmen. Während die Biometrie für Privatnutzer meist ein deutlicher Sicherheitsgewinn gegenüber der vierstelligen PIN ist, trifft sie im Unternehmenskontext auf etablierte Sicherheitsmechanismen – und das tatsächliche Schutzniveau und Missbrauchspotenzial muss individuell bewertet werden.

https://pretalx.c3voc.de/hip-berlin-2022/talk/V7UFTL/

https://www.kes.info/archiv/heft-archiv/jahrgang-2022/ausgabe-20226/

HiSolutions Research

Medientipps November 2022

Fediverse

Während Twitter auch als virtuelles Austausch-Forum über Informationssicherheit unter der Übernahme durch Elon Musk ächzt und einen Massenexodus von Usern erleidet, sammeln sich Mitglieder der Cybersecurity-Community auf anderen Plattformen. Viele große und kleine „Thought Leaders“ sind nun auf dem dezentralen Microblogging-Dienst Mastodon zu finden, etwa auf der Instanz infosec.social. Grundsätzlich kann aber ein Account auf jeder Instanz angelegt werden, da diese in der Regel miteinander föderiert sind.

Hier eine Kurzanleitung zu Mastodon: https://hopidd.de/mastodon

Know-how to binge

Auf unserem YouTube-Kanal finden sich neben den Aufzeichnungen der Vorträge aus unserem Format „Know-how to go“ auch eine Reihe von „One minute stories“ mit persönlichen Einblicken in das Arbeiten bei HiSolutions. https://www.youtube.com/@hisolutionsagsecurityit-ma6828

HiSolutions Research

Dümmetrisch: Ransomware patzt beim Verschlüsseln

Auch bei der Entwicklung von Schadsoftware wird nur mit Wasser gekocht und mit dem Fachkräftemangel gekämpft. Insbesondere bei der Nutzung von Kryptografie – bei Ransomware prinzipbedingt ein Kernbestandteil der Funktionalität – ist es leicht, sich selbst in den Fuß zu schießen.

Besonders schön versemmelt hat es eine Malware, die den Mitarbeitenden des Schweizer Unternehmens Compass Security vor die Flinte kam: Die Verschlüsselung wurde nicht nur mit dem symmetrischen Verfahren AES vorgenommen. Zusätzlich war der Entschlüsselungsschlüssel, der identisch zum Verschlüsselungsschlüssel ist, aus der für den jeweiligen Angriff generierten „Attack ID“ direkt ableitbar. Damit wurde die Entschlüsselung, nachdem das Prinzip einmal durchschaut war, zur trivialen Aufgabe.

https://blog.compass-security.com/2022/11/a-symmetric-cipher-ransomware-yes/

HiSolutions Research

Ransom Wer? Von Cyberangriffen betroffene Unternehmen 2022

Jedes Jahr steigt die Anzahl der Organisationen, die von einer Ransomware-Attacke oder einem ähnlich ernsten Cyberangriff betroffen sind – und es ist schwer, den Überblick zu behalten, zumal die Dunkelziffer hoch ist.

Für 2022 hat die Online-Zeitschrift CSO den Versuch unternommen, die bekannten Fälle zusammenzutragen. Die stetig aktualisierte Liste umfasst bereits über 60 Einträge allein deutscher Unternehmen.

https://www.csoonline.com/de/a/diese-unternehmen-hat-s-schon-erwischt,3674038

HiSolutions Research

Protoproll: BGP schwächt andere Protokolle

IT-Sicherheitsforschung bezieht sich häufig auf Protokolle der Anwendungs- oder vielleicht noch der Transportschicht. Seltener gibt es neue Forschung zu Angriffen auf der Netzwerkschicht oder darunter. Und ein Buch mit sieben Siegeln stellen für viele die Protokolle dar, die das Internet an sich zusammenhalten – allen voran BGP, das Border Gateway Protocol. Dieses organisiert das Routing zwischen den verschiedenen autonomen Systemen, aus denen das Internet besteht.

Dass BGP an sich Schwachstellen hat und angreifbar ist, ist seit Langem bekannt und wird immer wieder mal zum Thema, wenn Routen zeitweise bösartig umgeleitet werden. Ein tieferliegendes Problem hat jedoch bisher zu wenig Beachtung erfahren: Durch Missbrauch von BGP und seiner Schwachstellen können Sicherheitsgarantien anderer Protokollschichten ausgehebelt werden.

Ein aktueller Report der Broadband Internet Technical Advisory Group beschreibt detailliert, welche Angriffsvektoren auf BGP existieren und wie BGP eingesetzt werden kann, um insbesondere HTTPS zu hintergehen.

https://www.bitag.org/documents/BITAG_Routing_Security.pdf

HiSolutions Research

Kobold-Streik & Co. – Jahrmarkt der C2-Frameworks

Command-and-Control-Frameworks haben sich längst zu einem zentralen Bestandteil des Werkzeugkastens für Security-Assessments entwickelt. Diese Tools dienen dazu, bei Pentests oder Red Teaming Zugriff auf kompromittierte Maschinen zu halten, zu steuern und weiter auszunutzen.

Vom Marketing her auf „Adversary Emulation“ zielend, also das gutartige Simulieren böser Angreifer, werden die Frameworks auch in vielen echten Angriffen verwendet. Ob für die Verteidigung oder zur Detektion – es lohnt sich, die Tools zu kennen.

Die beliebte Seite „The C2 Matrix“ stellt die verschiedenen Frameworks mit ihren Fähigkeiten sowie Vor- und Nachteilen gegenüber.

https://www.thec2matrix.com/