Forscher der niederländischen Firma Secura haben einen Exploit für die Windows-Sicherheitslücke „Zerologon“ (CVE-2020-1472) veröffentlicht, der es einem Angreifer erlaubt, von einem einzelnen Windows-Client aus die ganze Domäne zu übernehmen. Microsoft hat die mit der maximalen CVSS 10 bewertete Schwachstelle im August-Patch Tuesday geschlossen.
Five-Eyes-Mitglied Australien hat eine neue Cyberstrategie vorgestellt, die in nicht unerheblichem Anteil auch offensive Elemente umfasst. Insgesamt will man über 10 Jahre fast 1,7 Milliarden AUS-Dollar in die Hand nehmen, um die Fähigkeiten im Cyberraum auszubauen. Neben allgemeinen Vorgaben an Kritische Infrastrukturen wird auch diskutiert, wie der Staat in die Notfallbewältigung von Institutionen eingreifen kann, wenn diese hierzu nicht selbst angemessen in der Lage sind.
https://blog.lukaszolejnik.com/analysis-of-interesting-points-in-australian-2020-cybersecurity-strategy/
(mit Links auch zu Analysen der Strategien von USA, Irland, Niederlande, Frankreich und Luxemburg)
Das BSI hat zum Cloud-Security-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) zwei Zusatzdokumente veröffentlicht, die Testierung und Interpretation erleichtern. Die Kurzübersicht zur Berichterstattung fasst grundlegende Elemente des C5-Prüfungsberichts als Orientierungshilfe für den Prüfer zusammen. Der Auswertungsleitfaden gibt Cloud-Kunden eine Struktur vor, einen C5-Bericht systematisch auszuwerten, um die eigenen Controls für die Nutzung einzurichten und hierdurch das mit der Cloud-Nutzung verbundene Risiko einschätzen und steuern zu können.
Neue Technologie in etablierte (Sicherheits-)Strukturen und eine vernünftige Governance zu bekommen, ist immer eine Herausforderung. Das musste diesmal KPMG erfahren, wo ein IT-Mitarbeiter offenbar versehentlich Chats von 145.000 Mitarbeitern in der Anwendung Microsoft Teams unwiderruflich gelöscht hat. Es sei jedoch „lediglich die persönliche Chat Historie betroffen“.
https://www.n-tv.de/wirtschaft/Mitarbeiter-loescht-aus-Versehen-KPMG-Chats-article21994942.html
Iss Dein eigenes Hundefutter, heißt es. Denn erst dann merkst Du, was es taugt. Die auf Ransomware-Detektion spezialisierte Firma Cygilant wurde Opfer einer Ransomware. Keine weiteren Anmerkungen.
Fail Safe
Wunderschöne Liebeserklärung von Bloggerlegende Felix von Leitner (Fefe) an die Programmiersprache Rust im Speziellen und an sichere Programmiersprachen im Allgemeinen.
Priceless
Der Privacy-Forscher Lukasz Olejnik rechnet vor, was anderen unsere Datenspuren im WWW wert sind.
https://lukaszolejnik.com/rtbdesc
Spannend
Sherrod DeGrippo von Proofpoint erzählt von den neuesten Entwicklungen in der Ransomware-Industrie. „Fallen zwei oder drei Gangs weg, kommen fünf neue.”
It’s always DNS – aber sicher!
Das Tunneln von DNS-Anfragen über TLS (DoT) oder HTTPS (DoH) verspricht Sicherheits- und Datenschutzvorteile, die unser Kollege Michael Sehring hier untersucht:
Multi-Faktor-Authentisierung gehört inzwischen zum Stand der Technik und ist regelrecht ein Standard im stärker exponierten Cloud-Umfeld. Um ihren Erfolg beim Abgriff von Zugangsdaten weiterhin zu sichern, nutzen Angreifer nun Authentisierungstoken für Cloud-Apps, denn: Wurde eine Angreifer-App mit ausreichend Berechtigungen versehen, können darüber weitreichende Schäden in der gesamten IT-Umgebung verursacht werden. Inzwischen warnt Microsoft Unternehmenskunden vor dieser Angriffsmethode. Es gibt also genug Gründe, sich mal mit den methodischen Details auseinanderzusetzen.
F5, Cisco, Palo Alto, Citrix, Pulse Secure: Die Produkte mehrerer großer Anbieter sind dieses Jahr von hochbewerteten Schwachstellen betroffen, sodass sich Administratoren die Zeit für nötige Sicherheitsupdates nehmen sollten. Dies bekräftigen nun Ransomware-Angreifer und zielen auf ungepatchte Systeme mit diesen Schwachstellen, was großes Potenzial für weitreichende Kompromittierungen umfangreicher IT Umgebungen birgt.
Mit dem Fix-Status „None; outside security support period“ teilt Netgear seinen Kunden mit, dass 45 von 79 betroffenen Gerätemodellen umgehend außer Betrieb genommen werden sollen, da es für öffentlich bekannte Remote-Code-Execution-Schwachstellen kein Sicherheitsupdate geben wird.
https://www.theregister.com/2020/07/30/netgear_abandons_45_routers_vuln_patching/
Die Vielseitigkeit der Schadsoftware-Toolchain Emotet beschäftigt seit geraumer Zeit Incident Responder, IT-Forensiker und Administratoren gleichermaßen. Nun kommt eine neue Facette hinzu, indem das angestammte Wirtsbetriebssystem Windows um Linux-Systeme ergänzt wird. Neben den offensichtlichen Linux-Servern (und ggf. -Clients) droht hier auch Persistenz über Embedded Linux in Geräten wie Druckern und Routern.
https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html
Auch die Methodik der Angreifer entwickelt sich weiter, sodass nun reale Dateianhänge in E Mails gestohlen und für Angriffe verwendet werden.