Kategorie: News

In Zukunft sollen standardmäßig alle Excel-4.0-Makros in Office 365 deaktiviert werden. Makros in Office-Produkten sind einer der beliebtesten Wege, um Schadsoftware auszuliefern. Bekannte Malware wie etwa Trickbot hat sich so verbreitet. Excel-4.0-Makros stammen aus dem Jahre 1992. Längst wurden sie durch VBA abgelöst, das ebenfalls gerne für Malware genutzt wird. Da der letztere Weg aber jüngst durch verschiedene Maßnahmen erschwert wurde, greifen Angreifer auf die „Legacy“-Alternative zurück. Mit dem Deaktivieren schließt der Hersteller Microsoft nun also ein weiteres Schlupfloch.

https://www.heise.de/news/Missbrauch-mit-Malware-Befall-Microsoft-deaktiviert-Excel-4-0-Makros-in-Office-6213387.html

In diesem kostenfreien Webinar stellen wir unsere HiSolutions Service Readiness Methodik vor und erläutern die Maßnahmen, die notwendig sind, um Projekte erfolgreich in die Serviceerbringung zu überführen. Dazu laden wir Sie zu einem 60-minütigen Webinar ein, in dem Sie neben dem Vortrag auch die Chance haben, Fragen zu stellen und gemeinsam zu diskutieren. 

https://www.hisolutions.com/webinar-service-readiness

Bereits im Juni 2021 fand das Security-Research-Team von Secureworks eine Schwachstelle im Protokoll-Feature „Seamless Single Sign-On“ (SSO) von Azure Active Directory. Diese Funktion erleichtert die Nutzung einer großen Anzahl von Diensten, indem User automatisch eingeloggt werden.

Normalerweise werden Anmeldeversuche über diesen Weg protokolliert. Um die Funktion auch für Office 2013 zu ermöglichen, existiert allerdings ein alternativer Endpoint. Es stellte sich nun heraus, dass ein Autologin über diesen Endpoint zu keinem Log-Eintrag führte. So konnte dieser für Brute-Force-Angriffe genutzt werden, ohne dass diese bemerkt werden konnten.

Microsoft reagierte erst nach der Veröffentlichung der Schwachstelle Ende September 2021: Nun werden auch die Anmeldungen über den betroffenen Endpoint in den Logs aufgezeichnet.

https://www.secureworks.com/research/undetected-azure-active-directory-brute-force-attacks

FinSpy und ESPecter sind die Namen der beiden UEFI-Bootkits, die von ESET bzw. Kaspersky gefunden wurden. Das „Unified Extensible Firmware Interface” (UEFI) ist die Schnittstelle zwischen dem Betriebssystem und der Firmware der Computer-Komponenten. Es gilt als Nachfolger des BIOS. Seit 2012 gibt es eine Secure-Boot-Funktion, die vor bösartigen sogenannten Bootloadern schützen soll. Dies ist wichtig, da zu diesem Zeitpunkt das Betriebssystem noch nicht geladen ist, und somit dessen Schutzmechanismen nicht greifen können. 

Bisher waren nur Proof-of-Concepts oder das physische Einsetzen von Hardware als gangbare Angriffe bekannt. ESPecter und FinSpy benutzen denselben Angriffsvektor auf den UEFI Boot Manager. Für einen erfolgreichen Angriff muss Secure Boot ausgeschaltet sein. Systeme mit Windows 7 oder älter unterstützen dies noch gar nicht. Ebenso kommt es häufig zu Konflikten mit dem Secure Boot und Dual Boot, weshalb ersterer in solchen Fällen oft abgeschaltet wird. Alternativ gibt es bekannte Schwachstellen bei veralteter Firmware oder Produkten. Diese können Angreifer ausnutzen, um Secure Boot selbst zu deaktivieren. Sobald Secure Boot umgangen ist, modifiziert die Malware das Windows Boot Manager Binary in der EFI Firmware Interface (ESP) Partition. 

ESPecter nutzt eine Boot Chain, um durch einen Kernel-Mode Driver einen Keylogger und weitere Payloads nachzuladen. Bei FinSpy lädt der ersetzte Boot Manager zwei Dateien. Diese sorgen dafür, dass ein Trojaner gestartet wird, sobald sich ein Nutzer einloggt. Um eine legitim aussehende Kommunikation mit einem C&C-Server aufzubauen, wird ein Browser mit verstecktem Fenster benutzt. Sobald die Kommunikation mit dem C&C hergestellt ist, kann persistent beliebige Malware mit verschiedenen Funktionen nachgeladen werden.

https://securelist.com/finspy-unseen-findings/104322/

https://www.welivesecurity.com/2021/10/05/uefi-threats-moving-esp-introducing-especter-bootkit/