News – Seite 4 – HiSolutions Research

19. Oktober 2023News

Die Suche nach dem großen Glück

Manche setzen sich ins Casino, um das große Geld zu machen. Anderen reicht ein zehnminütiger Anruf beim Casino-Helpdesk, um dem finanziellen Glück auf die Sprünge zu helfen.

Diesen Weg nutzte eine Hacker-Gruppe, um in das Netzwerk der amerikanischen Hotel- und Casino-Kette “MGM Ressort” einzubrechen. Laut eigener Angaben benötigten sie dazu lediglich ein zehnminütiges, mit Sicherheit gut vorbereitetes Gespräch mit einem Helpdesk-Mitarbeiter. In der Folge des Angriffs waren zahlreiche Systeme wie beispielsweise digitale Türverriegelungen, Kassensysteme sowie Geldautomaten und einige Spielautomaten gestört.

Selbst ohne die Zahlung eines Lösegelds kostete der Angriff den MGM-Konzern rund 100 Millionen US-Dollar. Der Großteil davon ist auf ausgefallene Zimmerbuchung aufgrund nicht erreichbarer Buchungsseiten und -schnittstellen zurückzuführen.

https://edition.cnn.com/2023/10/05/business/mgm-100-million-hit-data-breach/index.html

https://www.heise.de/news/l-f-Zehnminuten-Telefonat-ermoeglicht-MGM-Hack-9305196.html

https://www.golem.de/news/mgm-und-caesars-jugendliche-hacker-legten-kasinos-in-las-vegas-lahm-2309-177940.html

19. Oktober 2023News

Spam ist tot – es lebe der Spam!

Vor fast 20 Jahren sagte der Erfinder des Personal Computers, Bill Gates, einmal: “In zwei Jahren wird das Spam-Problem gelöst sein.”

Ein Blick auf die Auswertungen von Kaspersky zeichnet ein ernüchternd anderes Bild. Laut der Studie lag der Anteil von Spam-E-Mails am weltweiten E-Mail-Verkehr im Jahr 2022 bei 48,6 %. Für Phishing-Versuche im vergangenen Jahr wurde als Aufhänger besonders gern die Fußballweltmeisterschaft verwendet, bei der die Opfer mit vermeintlichen Gewinnspielen gelockt wurden.

Besonders dreist waren Phishing-Kampagnen mit gefälschten Spenden-Portalen für den Ukraine-Krieg oder Registrierungsseiten für vermeintliche COVID-Impfungen. Dass Spam sich nicht allein auf E-Mail begrenzt, zeigt beispielsweise die Verdreifachung von Phishing-Angriffen über die Messenger-App Telegram im Vergleich zum Vorjahr.

Man kann also davon ausgehen, dass Spam auf absehbare Zeit ein ungelöstes Problem bleibt. Dabei passen sich die Spammer an neue “Vertriebswege”, wie z. B. App-bezogenen Spam an. Schade Bill Gates, auch Visionäre können irren.

https://securelist.com/spam-phishing-scam-report-2022/108692/

19. Oktober 2023News

Preisgekrönt: Microsoft-Sharepoint unauthenticated Code-Execution

Aktuell kursieren Fragmente einer Exploit-Chain, die es unauthentifizierten Angreifern ermöglicht, über eine Lücke in Microsoft Sharepoint Administratorrechte auf einem Server zu erlangen.

Ein Teilnehmer des bekannten Pwn2Own-Wettbewerbs hatte die Exploit-Chain bei der Veranstaltung im März 2023 live demonstriert und dafür ein Preisgeld von 100.000 US-Dollar erhalten. Ende September veröffentlichte er eine sehr lesenswerte Analyse der Exploit-Entwicklungsgeschichte, ohne dabei jedoch den vollständigen Exploit-Code bereitzustellen.

Doch bereits einen Tag nach der Veröffentlichung tauchte ein GitHub-Repository auf, welches den Proof-of-Concept-Code für die zweite Hälfte der Exploit-Chain enthielt. Es ist nur eine Frage der Zeit, bis Angreifer den PoC ausbauen, um einen vollständigen Exploit zu erhalten.

Administratoren wird daher geraten, die Microsoft-Sharepoint-Patches zur Schließung der Sicherheitslücken CVE-2023-24955 und CVE-2023-29357 einzuspielen.

https://www.golem.de/news/jetzt-patchen-exploit-fuer-kritische-sharepoint-schwachstelle-aufgetaucht-2309-178119.html

https://starlabs.sg/blog/2023/09-sharepoint-pre-auth-rce-chain/https://github.com/Chocapikk/CVE-2023-29357

14. September 2023News

Vorfallupdates – Microsoft und LastPass

Zu zwei Vorfällen, die wir bereits in unserem Digest behandelt haben, gab es in den letzten Tagen Neuigkeiten, die ich gern aufgreifen möchte.

Zuerst zu Microsofts Problem mit unberechtigten Anmeldungen in der Cloud, ein Thema aus dem letzten Digest. Eine zentrale Rolle spielte dabei ein privater Schlüssel, den die Angreifer erbeutet hatten, und mit dem sie sich dann beliebige Zugangstoken selbst unterschreiben konnten. Zu diesem Fall gibt es inzwischen von Microsoft eine detaillierte Beschreibung, wie der Schlüssel über mehrere Stufen aus dem produktiven Server auf eine Testumgebung gelangen konnte. Es wird vermutet, dass er dort von den Angreifern entwendet wurde.

Zusammengefasst wurde zur Rekonstruktion eines Fehlers ein Crashdump des produktiven Servers in die Testumgebung zur Analyse kopiert. Dabei hätte der Crashdump keine Schlüssel enthalten dürfen und falls doch, hätte es an mehreren Stellen in dem Kopierprozess auffallen müssen – keiner der Filter hat jedoch angeschlagen. Das ist aus meiner Sicht eine der Lektionen aus dem Vorfall: Vertraue keinem automatischen Bereinigungsprozess – gerade bei komplexen, unstrukturierten Daten wie Crashdumps –, sondern behandle diese Daten so sensibel wie die ursprünglichen.

Die andere Lektion ist, dass sich die Spur ab der Testumgebung verliert. Es waren keine Protokolldaten mehr da, um die Spur weiter zu verfolgen. Es bleibt also eine bloße Vermutung, dass die Schlüssel über diesen Weg zu den Angreifern gelangten. Gerade bei weiter zurückliegenden Vorfällen stehen auch unsere Forensiker immer wieder vor dem Problem, dass Protokolldaten fehlen. Entweder sie wurden gar nicht erst aufgezeichnet oder aber automatisch gelöscht bzw. überschrieben.

Das zweite Info-Update betrifft den Vorfall beim Passwortmanager LastPass im letzten Jahr, den wir in unserem Januar-Digest thematisierten. Jetzt gibt es einen Verdacht, was mit den gestohlenen Passwörtern passiert sein könnte. Es wird vermutet, dass die Angreifer in den LastPass-Daten Seeds Phrases – also Zugangsdaten für Konten von Krypto-Währungen – gefunden und damit unberechtigte Abbuchungen vorgenommen haben. Taylor Monahan vom Krypto-Wallet-Hersteller MetaMask hatte angesichts einer Reihe von Diebstählen von Krypto-Werten Verdacht geschöpft und die LastPass-Nutzung als gemeinsamen Nenner identifiziert. Sicherheitsexperte Brian Krebs ist in seinem Blog dieser Vermutung nachgegangen und hat noch ein paar weitere Indizien ergänzt.

14. September 2023News

Trojanisierte Messenger-Apps aus dem Appstore

Moderne Messenger nutzen immer häufiger Ende-zu-Ende-Verschlüsselung, um ein Mitlesen der Nachrichten beim Transport im Netz auszuschließen. Einfacher gelingt das Spionieren, wenn man Zugriff auf eines der beiden Telefone hat, in denen die Nachrichten eingetippt und lesbar angezeigt werden. Noch einfacher wird es, wenn man nicht das ganze Telefon kompromittiert und anschließend die Daten mühsam aus den Apps extrahieren muss, sondern direkt in der Messenger-App mitlesen kann.

In einem Bericht von ESET-Forschern werden zwei trojanisierte Messenger-Apps analysiert. Die mutmaßlich staatlichen Hersteller haben dazu einfach die verfügbaren Quellcodes des Telegram- und des Signal-Clients genommen. Die Apps wurden um die Spionagefunktionen ergänzt, umbenannt und als Messenger-Client mit zusätzlichen Features in den App-Stores angeboten. Die besondere Telegram-App hatte als beworbenes Zusatzfeature zum Beispiel eine Back-up-Funktion, die jedoch nicht nur für die Nutzer praktisch war. Da das Back-up bei den Spionen landete, standen ihnen damit gleich alle Daten gebündelt zur freien Verfügung.

Die Apps wurden aktiv beworben und waren über verschiedene App-Stores verfügbar. Die Nutzer haben sie dann selbst installiert und damit den Zugriff auf alle ihre Nachrichten ermöglicht.

https://www.welivesecurity.com/de/eset-research/badbazaar-android-spyware-durch-trojanisierte-signal-und-telegram-apps/

14. September 2023News

Seitenkanal des Monats: Mit dem Beschleunigungssensor mithören

Seitenkanalangriffe machen immer wieder Schlagzeilen, und auch im Digest haben wir in fast jeder Ausgabe ein spannendes neues Beispiel dafür. Diesmal haben sich Forscher der Texas A&M University den Beschleunigungssensor von modernen Smartphones angeschaut. Während eine App, die Zugang zum Mikrofon anfordert, direkt verdächtig ist, erscheint der Zugriff auf den Beschleunigungssensor harmloser – niemand wird dabei an abgehörte Gespräche denken. Der Doktorand Ahmed Tanvir Mahdad konnte aber zeigen, wie er mit dem Beschleunigungssensor wiederkehrende Anrufer und das Geschlecht des Anrufers recht sicher erkennen konnte. In Telefonaten gesprochene Ziffern konnte er zumindest mit 56 % Genauigkeit rekonstruieren, auch das ist schon recht erschreckend.

14. September 202314. September 2023News

Slide to unlock

Der Linktipp dieses Monats funktioniert nur mit einem Touch-Device. Ähnlich wie die Herausforderung mit den Passwort-Richtlinien im Juli-Digest gibt es heute wieder eine ganz einfache Aufgabe: „Slide to unlock“: https://cs.uwaterloo.ca/~csk/slide/

10. August 2023News

Vom Handy bis zur Cloud – die Lücken des Monats

Zwei Vorfälle haben viele Administratoren im letzten Monat bewegt: Die Schwachstellen im Ivanti Endpoint Manager Mobile (EPMM), besser bekannt unter dem alten Namen MobileIron, und die gefälschten Zugangstoken für Microsofts Cloud. Gemeinsam ist beiden Fällen, dass sie initial bei der Analyse von Sicherheitsvorfällen entdeckt wurden.

Auch viele deutsche Unternehmen und Behörden nutzen MobileIron/Ivanti für die Verwaltung ihrer Smartphones und waren daher von der Lücke betroffen. Da die Handys regelmäßig mit dem Verwaltungsserver sprechen müssen, ist dieser meist zum Internet exponiert und damit leicht angreifbar. Der Hersteller hat eine aktualisierte Version nicht nur für die aktuellen Versionen, sondern auch für ältere Versionsstränge herausgebracht. Diese sollten dringend installiert werden, da die Lücke bereits ausgenutzt wurde.
Aufgrund der vielen Betroffenen hat HiSolutions wieder die wichtigsten Punkte als Hilfe zur Selbsthilfe veröffentlicht und pflegt dort regelmäßig die neuesten Erkenntnisse nach: Zum Selbsthilfeleitfaden

Microsoft musste ebenfalls einen erfolgreichen Fremdzugriff auf Mailpostfächer einräumen. Die Angreifer konnten mithilfe von gefälschten Zugangstoken direkt auf die Postfächer der betroffenen Organisation zugreifen. Dahinter steckte jedoch kein Fehler am Anmeldemechanismus, die Angreifer hatten vermutlich einen der privaten Signaturschlüssel und konnten dann ganz leicht beliebige Token ausstellen und korrekt signieren. Der betroffene Schlüssel wurde inzwischen gesperrt. Microsoft liefert außerdem weitere Informationen, mit denen potenziell Betroffene prüfen können, ob die Angreifer auch bei ihnen erfolgreich waren. Die Forscher bei Wiz Research haben sich mögliche Auswirkungen auf weitere Anwendungen über die Cloud-Maillösung hinaus angeschaut. Ihr Ergebnis ist, dass einige weitere Anwendungen (ob selbst entwickelt oder eingekauft), die ebenfalls Azure AD zur Anmeldung nutzen, betroffen sein könnten. Es ist aber unklar, ob die Angreifer dies tatsächlich ausgenutzt haben.

10. August 202310. August 2023News

Der Exploit im Exploit

Der offene Informationsaustausch ist einer der Grundpfeiler der Sicherheitsgemeinschaft. Dazu gehört auch das Veröffentlichen von Exploits. Meist kommen sie in Form von kleinen Tools, mit denen sich gerade bekannt gewordene Sicherheitslücken testweise ausnutzen lassen. Damit lässt sich dann das tatsächliche Risiko für betroffene Umgebungen leichter bestimmen.

In letzter Zeit häufen sich wieder Berichte, in denen Angreifer vorgebliche Exploits für aktuelle Lücken veröffentlichen. Doch statt zu prüfen, ob die angegebene Lücke vorhanden ist, greifen die das lokale System an, auf dem sie gestartet wurden. Dort hinterlassen sie dann, wie ganz klassische Trojaner, eine Malware auf dem System, um das System fernsteuern zu können oder an eingegebene Passwörter zu kommen. Die Vorgehensweise ist besonders erfolgreich, da akute Sicherheitslücken immer für Stress sorgen und man dann sehr erfreut ist, wenn es endlich mehr Informationen gibt – und sei es in Form von Exploits. Wird der vorgebliche Exploit dann noch direkt auf dem System eines Administrators ausgeführt, kann es für die Angreifer nicht besser laufen.

Also nehmen Sie sich auch in solchen Situationen immer die Zeit für eine Bewertung der Quelle und deren Reputation und führen sie Experimente immer in einer gesonderten Testumgebung aus!

https://twitter.com/rootsecdev/status/1676570222474534912

https://www.bleepingcomputer.com/news/security/fake-zero-day-poc-exploits-on-github-push-windows-linux-malware/

10. August 2023News

Der Trojaner im Sprachmodell, der die KI zum lügen bringt

Dass die aktuellen LLM-basierten Chatbots nicht immer die Wahrheit ausgeben, ist hinlänglich bekannt. Es fehlt ihnen einfach das Konzept von richtig und falsch, sodass sie nur die statistisch wahrscheinlichste Antwort ausgeben.

Forscher haben darüber hinaus gezeigt, wie sie ein vorhandenes Sprachmodell so modifizieren konnten, dass es zu bestimmten Fakten überzeugend falsche Informationen ausgibt, gleichzeitig aber weiterhin zu allen anderen Fragen wie zuvor antwortet. Damit konnten sie dann auch Prüftools austricksen, die mit Stichprobenfragen die Qualität von trainierten Sprachmodellen bewerten. In die Malware-Sprache übersetzt: Sie konnten ihr trojanisiertes Sprachmodell am Virenscanner vorbeischmuggeln.

https://blog.mithrilsecurity.io/poisongpt-how-we-hid-a-lobotomized-llm-on-hugging-face-to-spread-fake-news/

Weitere Sicherheitsaspekte beim Einsatz von KI haben wir in einem eigenen Blogpost zusammengefasst.

LLMs sind auch nur (schützenswerte) Informationen