Seitenkanal des Monats: Off-Path TCP Hijacking über Paketgrößen

In dem verlinkten Paper wird ein interessanter Seitenkanal in Wi-Fi-Netzwerken aufgedeckt. Es geht um die beobachtbare Rahmengröße von TCP-Paketen, die von Angreifern ausgenutzt werden kann, um TCP-Hijacking-Angriffe durchzuführen. Trotz der Implementierung verschiedener Sicherheitsmechanismen wie WEP und WPA2/WPA3, um Wi-Fi-Netzwerke zu schützen, zeigt die Studie, dass ein Angreifer ausreichend Informationen aus dem Seitenkanal extrahieren kann, um die TCP-Verbindung eines Opfers übernehmen zu können.

Die Angriffsmethode basiert auf zwei wichtigen Erkenntnissen: Erstens variieren die unterschiedlichen Typen von Antwortpaketen wie ACK und RST, die von TCP-Empfängern generiert werden, in ihrer Größe. Zweitens haben die verschlüsselten Rahmen, die diese Antwortpakete enthalten, konsistente und nach Typ unterscheidbare Größen. Durch Beobachtung der Größe der verschlüsselten Rahmen kann der Angreifer den Status bzw. die korrekte Sequenznummer der TCP-Verbindung des Opfers erkennen und in der Folge die Verbindung entweder terminieren oder arbiträre Daten einspeisen.

Die Wirksamkeit dieses Seitenkanal-Angriffs wird durch zwei Fallstudien bestätigt: Ein SSH-DoS und die Manipulation von Web-Traffic. Zudem werden umfangreiche Messungen durchgeführt, um die Auswirkungen des Angriffs auf reale Wi-Fi-Netzwerke zu bewerten. Dabei werden 30 beliebte drahtlose Router von neun bekannten Herstellern getestet. Keiner dieser Router kann Opfer vor dem Angriff schützen. Außerdem werden der Angriff in realen Wi-Fi-Netzwerken implementiert und die TCP-Verbindungen der Opfer in 69 der 80 evaluierten Wi-Fi-Netzwerke erfolgreich übernommen (86 %).

Die Schwachstelle wurde verantwortungsbewusst der Wi-Fi Alliance gemeldet, ebenso wurden mehrere Maßnahmen vorgeschlagen, um das Problem auf Protokoll-Ebene anzugehen. Als Anwender muss man mit dieser Möglichkeit umgehen, indem man den Zugang zu seinen WiFi-Netzwerken über bspw. starke Passwörter oder MAC-Filtering reguliert.

Zum Paper in voller Länge: https://arxiv.org/abs/2402.12716

BSI veröffentlicht technische Richtlinie zum Thema Identitätsmissbrauch in E-Mails

Das BSI hat eine neue technische Richtlinie zur E-Mail-Authentifizierung veröffentlicht. Diese soll E-Mail-Service-Providern eine Anleitung zum Schutz vor Phishing und Spoofing bieten, indem sie u. a. Standards wie SPF, DKIM und DMARC empfiehlt. Diese Maßnahmen sollen die Authentizität von E-Mails gewährleisten und Identitätsmissbrauch verhindern, indem sie eine Überprüfung der Absender-Domain und der Integrität der Nachrichten unterstützen.

Namhafte Mail-Anbieter haben angekündigt, Mechanismen zur Authentifizierung zu fordern, um ihre Kunden auch vor neuartigen Angriffen wie SMTP-Smuggling zu schützen. Die neue Richtlinie des BSI zielt darauf ab, die Cybersicherheit pragmatisch zu verbessern und den digitalen Verbraucherschutz zu stärken. Die Richtlinie mit der Kennung TR-03182 berücksichtigt die Anforderungen, die Mail-Anbieter zukünftig stellen wollen.

Hier können Sie die Richtlinien herunterladen: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240216_TR-E-Mail-Authentifizierung.html

HiSolutions Schwachstellenreport 2024

HiSolutions hat auch 2024 die große Zahl durchgeführter Penetrations- und Schwachstellentests vom Vorjahr nach Schweregrad und Kategorien analysiert.

Hieraus können interessante Trends und Entwicklungen für die Sicherheitslage in Ihrem Unternehmen oder Ihrer Organisation abgeleitet werden.

Die gute Nachricht: Unternehmen, die sich proaktiv mit IT-Sicherheit beschäftigen, schaffen es immer besser, kritische Schwachstellen in externen Systemen zu erkennen und zeitnah zu beheben.

Zum Schwachstellenreport 2024: https://www.hisolutions.com/detail/schwachstellenreport-2024

Raspberry-Robin: Vom USB-Stick bis zum Discord Chat

Gestartet als Wurm, der über USB-Sticks verteilt wurde, ist Raspberry-Robin heute Teil eines komplexen Malware-Ökosystems. Dabei führt die Schadsoftware häufig die initiale Infizierung der Endpunkte eines Opfers durch, damit anschließend weitere Malware zwecks Lateral Movement (Infektion weiterer Systeme im Netz) und Rechteausweitung nachgeladen werden kann. Bekannte kriminelle Gruppierungen sind dafür bekannt, die Malware zu verwenden, um unter anderem auch die bereits thematisierte Ransomware von LockBit auszurollen.

Um wirksam zu bleiben und Erkennungsmechanismen zu umgehen, verändert sich die Malware kontinuierlich. Die Verwendung neuartiger Verbreitungsmethoden, wie dem Versenden von RAR-Dateien über Discord, und die kontinuierliche Weiterentwicklung von Bypass-Techniken stellen eine zusätzliche Herausforderung für den Schutz dar. Häufig sind es sogenannte 1-Day-Exploits, die sich Raspberry-Robin zunutze macht. Das bedeutet, dass Entwickler in kürzester Zeit auf neu entdeckte Sicherheitslücken reagieren, ihre Malware anpassen oder enge Beziehungen zu Exploit-Verkäufern pflegen, um die aktualisierte Malware zu verbreiten, noch bevor Opfer ihre Systeme aktualisieren können. Jüngst hat sich dies in zwei neuen 1-Days manifestiert, dessen weitere Erläuterung wir am Ende verlinkt haben.

Für uns hat das zur Folge, dass wir mit einer sich ständig verändernden Bedrohungslandschaft Schritt halten müssen. Neben präventiven Sicherheitsmaßnahmen, wie dem schnellen Einspielen von Patches, bleibt es wichtig, über reaktive Maßnahmen, etwa ein ausgeklügeltes Konzept für XDR (Extended Detection & Response) oder MDR (Managed Detection & Response) zu verfügen.

Einen Deep Dive zu den zuletzt verwendeten Schwachstellen durch Raspberry-Robin finden Sie hier:
https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days/

Avast verletzt Privatsphäre seiner Kunden

Avast steht eine Strafe von 16,5 Millionen US-Dollar bevor, nachdem die Federal Trade Commission (FTC) das Unternehmen beschuldigt hat, Browserdaten ohne angemessene Zustimmung gesammelt und verkauft zu haben.

Die Tochterfirma Jumpshot von Avast verkaufte diese Daten an eine Vielzahl von Unternehmen, anstatt den versprochenen Schutz vor Online-Tracking zu bieten. Die FTC wirft Avast vor, die Privatsphäre der Verbraucher durch täuschende Praktiken verletzt zu haben. Als Teil einer Vereinbarung mit der FTC wird Avast neben der Strafzahlung auch daran gehindert, Web-Browsing-Daten weiter zu verkaufen. Weitere Auflagen beinhalten die Löschung gesammelter Daten, die Benachrichtigung betroffener Kunden und die Implementierung eines Datenschutzprogramms.

Für mehr Informationen können Sie die folgenden Artikel lesen:

https://heise.de/-9636562

https://www.it-daily.net/shortnews/avast-muss-165-mio-dollar-wegen-nutzerdaten-verkauf-zahlen

Ivanti noch immer im Visier

Im letzten Digest haben wir Sie bereits über die Offenlegung von vier Schwachstellen in den Ivanti-Produkten Connect Secure und Policy Secure informiert. Seit Erscheinen des Newsletters hat sich noch eine weitere Schwachstelle dazugesellt. Ivanti hat seitdem auch zwei weitere Runden mit Patches veröffentlicht, um die Lücken zu schließen.

HiSolutions sieht als Incident-Response-Dienstleister immer noch neue Angriffe, die in Verbindung mit den Schwachstellen stehen. Falls es noch nicht getan wurde, sollten Sie ihre Ivanti-Produkte schnellstmöglich patchen und eine Kompromittierung mit dem Ivanti Integrity Checker überprüfen. Besonders die Schwachstelle mit der Kennung CVE-2024-21893 wird massenhaft auch durch State Actors ausgenutzt. Falls der Verdacht auf eine Infektion besteht, leiten Sie Sofortmaßnahmen ein und kontaktieren Sie uns oder einen anderen IR-Dienstleister.

Ivantis Artikel zur jüngsten Schwachstelle mit relevanten Patch-Informationen:
https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure

Aktueller Artikel auf TheHackerNews:

https://thehackernews.com/2024/02/chinese-hackers-exploiting-ivanti-vpn.html

Kein Trend: Lösegeldzahlungen 2023 wieder gestiegen

Im Jahr 2023 stiegen die Lösegeldzahlungen nach Ransomware-Angriffen erstmals auf über 1,1 Milliarden US-Dollar an. Das stellt einen Rekord dar und kehrt den Rückgang von 2022 auf drastische Weise ins Gegenteil. Zurückzuführen ist dies nach dem Report von Chainalysis auf die erhöhte Anzahl von Angriffen auf wichtige Institutionen und kritische Infrastrukturen, sowie afu die schnellere und aggressivere Vorgehensweise der Akteure. Besonders die MOVEit-Kampagne der Cl0p-Bande hat durch den Impact auf tausende Firmen großen Schaden verursacht.

Trotz eines Rückgangs der Anzahl an Opfern, die Lösegeld zahlen, ist die Rentabilität von Ransomware-Angriffen weiterhin gegeben. Die „Geschäftsstrategien“ aus verlangter Zahlungshöhe und erwarteter Zahlungswahrscheinlichkeit unterscheiden sich zwischen den großen Playern wie Cl0p und LockBit. Manche fokussieren sich auf gezielte Angriffe gegen kapitalstarke Organisationen, andere versuchen über die Quantität der Opfer ihre kriminellen Machenschaften zu finanzieren. Dem Report zufolge funktioniert auch die Geldwäsche der häufig in Kryptowährung bezahlten Lösegeldforderungen über Mixing-Dienste trotz der Anstrengungen der Strafverfolgungsbehörden gut.

Es bleibt spannend zu sehen, ob die rückläufige Entwicklung, kein Lösegeld zu zahlen, im Jahr 2024 wieder an Fahrt gewinnt und somit die Finanzierung von Ransomware erschwert. Bis dahin müssen wir annehmen, dass 2022 mit der im Jahresvergleich niedrig ausgefallenen Summe an Lösegeldzahlungen von ca. 567 Millionen US-Dollar eine Anomalie und kein Trend war.

Zum vollen Report von Chainalysis:

Can it run Doom?

Da Nachrichten aus den Bereichen Informationssicherheit und darüber hinaus oftmals beängstigend sind, möchten wir Ihnen zum Abschluss dieses Digests mit einer erfrischenden Meldung ein Lächeln auf die Lippen zaubern: Das bereits 1993 erschienene Spiel Doom war der Wegbereiter für ein gänzlich neues Spielgenre. Bis heute hat es seine Relevanz beibehalten, indem die Community in Form von Insider-Witzen versucht, das Spiel auf den unterschiedlichsten Plattformen zum Laufen zu bringen.

Dabei sind der Kreativität keine Grenzen gesetzt: von Mikrowellen über Zahnbürsten bis hin zum Display eines Schwangerschaftstests – aufgrund der niedrigen Voraussetzungen von einer 160 MHz Prozessor-Taktfrequenz und 16 MB Arbeitsspeicher findet sich heutzutage eine Vielzahl an Plattformen zum Zocken.

Zuletzt hat der Hersteller Husqvarna auf der MWC mit einem Update für seinen Rasenmäher überrascht. Auf der Messe konnten Besucher das Spiel mit den vorhandenen Bedienelementen des Mähers spielen. Eigens für die Messe haben die Entwickler sogar den Multiplayer-Modus über WLAN umgesetzt. Ein Update für zu Hause kommt ab dem 15. April und ermöglicht das Spielen im Einzelspielermodus – aber bitte nicht während des laufenden Rasenmähers im Einsatz.

Was wir daraus für unsere Branche mitnehmen können: Eingebettete Systeme bringen immer mehr Leistung mit und werden damit attraktiver für Angreifer. Immer häufiger sind diese ans Internet angeschlossen und bieten so eine Schnittstelle nach außen. Es zeigt sich auch hier, dass der Schutz jeglicher Systeme essenziell ist.

Meldung zum Husqvarna-Rasenmäher auf heise: https://heise.de/-9640570

Liste an Geräten, auf denen Doom installiert wurde: https://canitrundoom.org

Midnight Blizzard

„Eckard, die Russen kommen“ wusste nicht nur Werner, sondern inzwischen auch Microsoft und HPE, zumindest laut eigener Aussage. Wie sinnvoll und vertrauenswürdig Attributierungen sind, soll gar nicht Teil dieses Artikels werden. Vielmehr werden mit einem Blick in die Details der bekanntgewordenen Angriffe allgemeine Lessons Learned für jedermann abgeleitet.

„Gewachsene Strukturen“ könnte eine passende Beschreibung für die Hintergründe sein, die zum Erfolg der Angreifer beitrugen: ein Legacy-Benutzer mit schwachem Passwort ohne MFA, eine Test-Anwendung mit erhöhten Rechten in der Infrastruktur und eine scheinbar fehlende Trennung zwischen Testumgebung und Produktions-/Office-Umgebung.

Microsoft beschreibt die unterschiedlichen Angriffstechniken in seinem Blog-Eintrag sehr gut. Initialen Access erlangten die Angreifer mittels Passwort-Spraying. Bei dieser Technik probieren Angreifer eine kleine Anzahl an beliebten oder bekannten Passwörtern gegen möglichst viele Accounts aus. Auch Microsoft scheint nicht gegen Legacy-Accounts mit einfachem Passwort und ohne MFA gefeit zu sein.

Mancher mag es schon gar nicht mehr hören, aber es bewahrheitet sich immer wieder, dass die „leidigen“ Basics in der IT-Sicherheit viel zum Schutz beitragen: globale Passwortrichtlinien, erzwungene MFA für Online-Portale (externe und eigene) und eine (Rechte-)Trennung von Testumgebungen zum Office-Netzwerk bzw. dem Produktionsnetz.

Eine Überprüfung der eigenen M365-Accounts auf illegitime Zugriffe und ungewöhnliche OAuth-Apps sollte im Rahmen einer proaktiven Sicherheitspolitik vorsichtshalber durchgeführt werden.

Interessierte finden weiteres Lesematerial hier:

https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack

https://www.sec.gov/Archives/edgar/data/1645590/000164559024000009/hpe-20240119.htm

Erster Pwn2Own-Automotive-Wettbewerb deckt eine Vielzahl an Zero-Days auf

Es ist schon wieder passiert: Bereits letzten Monat haben wir über einen erfolgreichen Angriff durch die TU Berlin auf den Steuerungsrechner eines Teslas berichtet. Nun fand vom 24. bis 26. Januar der beliebte Pwn2Own-Wettbewerb statt, der seinen Fokus erstmalig auf Automobile legte. Das Ergebnis ist beeindruckend: Insgesamt wurden 49 Zero-Days entdeckt, was zu einer Ausschüttung von 1.323.750 US-Dollar an Preisgeldern führte.

Mit dem Einzug klassischer Informationstechnologie ins Infotainment übertragen sich auch dessen Herausforderungen in der Sicherheit. Zeitgleich ist eine Trennung der IT von der operationellen Technologie mit der Safety des Fahrzeugs essenziell. Diese Trennung aus IT und OT als Hürde für Angreifer bildet auch in klassischen Produktionsbetrieben eine wichtige Schutzmaßnahme. Die Automobilbranche kann etwas von diesen Unternehmen lernen und sich weiter für Sicherheitsforschung öffnen, um Risiken besser minimieren zu können. Mit einem Mangel an externer Kontrolle ging häufig auch ein Mangel an Sicherheit einher. Hersteller profitieren von solchen Wettbewerben enorm. Die gefundenen Sicherheitslücken bleiben für 90 Tage vertraulich und können in der Zwischenzeit behoben werden.

Für Interessierte, die mehr über einen der Angriffsvektoren erfahren möchten, empfehlen wir den dritten Link, in dem die Synacktiv-Gruppe grob über ihre verwendete Exploit-Chain spricht.

https://www.heise.de/news/Hacking-Wettbewerb-Pwn2Own-Teilnehmer-kombinieren-drei-Luecken-und-knacken-Tesla-9609534.html

https://www.golem.de/news/pwn2own-automotive-gewinner-demonstrieren-zwei-neue-tesla-hacks-2401-181630.html

https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs