Après-Kasper-Ski? Warnungen vor russischer Software

Die IT-Supply-Chain ist in den letzten Jahren nicht zuletzt dank internationaler Vorfälle wie Solarwinds oder Kaseya stark in den Fokus gerückt. Dabei geben wird schon seit Jahrzehnten gewissen Softwaretypen („Hilfs- oder Dienstprogramme“) tiefsten Einblick und Zugriff in bzw. auf unsere IT-Systeme.

Dass insbesondere Antiviren-Software aufgrund ihrer umfassenden Systemrechte besonders kritische Gäste in der eigenen Infrastruktur sind, die zudem funktionsbedingt einen Kanal zum Nach-Hause-Telefonieren benötigen, wurde ebenfalls immer wieder diskutiert. Und doch kommen nur ganz wenige Organisationen von ihnen los. Zu groß scheint der Nutzen in Bezug auf übliche Malware, zu groß das Compliance- und Haftungsrisiko, wenn man Antiviren-Software nicht nutzt.

Nun hat mit dem russischen Einmarsch in die Ukraine die Diskussion neuen Anschub erhalten: Der im Enterprise-Bereich beliebte Hersteller Kaspersky gilt potenziell als durch Moskau steuerbar. So blieb es diesmal nicht bei den üblichen abstrakten Aufrufen, Risikomanagement für die eigene Supply Chain zu betreiben. Das BSI nutzte vielmehr den bisher nur dreimal gezogenen § 7 BSI-Gesetz, um konkret vor dem Einsatz von Kaspersky-Produkten zu warnen.

Obwohl dies nicht mit einem Verbot gleichzusetzen ist, kommen deutsche Unternehmen und Behörden nun in Bedrängnis. Schließlich ist die Migration auf ein neues Antivirus-Produkt nicht mal nebenbei gemacht und außerdem mit erheblichen Kosten verbunden, von der Frage öffentlicher Mittel im Fall von Behörden ganz zu schweigen.

Wie ist das ganze also einzuordnen? Zunächst hat das BSI völlig recht: Der Einsatz russischer Produkte in deutschen kritischen Infrastrukturen war vor dem 24. Februar ein Risiko – und ist es jetzt umso mehr. Niemand kann sicher vorhersagen, inwieweit und wann sich der Krieg doch noch stärker in den bisher erstaunlich ruhigen Cyberraum bewegen wird.

Auf der anderen Seite ist Ruhe bewahren das Gebot der Stunde. Natürlich versuchen Geheimdienste und andere „state-sponsored“ Akteure seit Jahren, in Infrastrukturen hierzulande einzudringen. Und es ist zwar nicht auszuschließen, dass ihnen dafür bestimmte Software helfen kann, die schon einen Fuß in der Tür hat. Auf der anderen Seite haben bisherige Angriffskampagnen ganz andere Vektoren zu nutzen gewusst, von Phishing über RDP bis Teamviewer. Es gibt also viel mehr – und übrigens auch viel dringendere – Hausaufgaben zu tun, als sofort Kaspersky den Stecker zu ziehen. Und kritischen Playern wie der Rüstungsindustrie wäre mit solch einer Warnung des BSI eh nicht mehr zu helfen, wenn sie bisher auf derartige Produkte gesetzt hätten.

Allerdings ist es nützlich, den aktuellen Anlass zu einer ehrlichen Bestandsaufnahme zu nutzen, wie abhängig die eigene Infrastruktur von bestimmten Staaten ist. Und im Fall von Russland hat sich die Einschätzung, was Vertrauen und Sicherheit betrifft, eben noch einmal eingedunkelt.

Am Ende könnte die Abkehr von Kaspersky zwar nicht mit dem Paukenschlag der BSI-Warnung, sondern mit den Füßen erfolgen: Wenn bei den nächsten Lizenzverlängerungen die Geopolitik als ein weiteres, wichtiges Argument mit auf den Tisch kommt. Oder wenn aktuell die eine oder andere Cyberversicherung schreibt, dass ein Umstieg weg von Kaspersky zwar keine Voraussetzung für die Weiterführung der Police sei, im Schadensfall aber ggf. keine Deckung erfolge, falls das der Angriffsvektor wäre. Es ist also in der neuen Weltordnung ein Stück riskanter geworden, Kaspersky langfristig die Treue zu halten.

Fazit: Mit einer angemessenen Risikoanalyse und einem Lagebild der eigenen Situation im Zusammenspiel mit den konkreten Gefährdungen (Ransomware lässt grüßen) fährt man derzeit besser, als mit hektischer Deinstallation von Schutzsoftware.

https://www.dw.com/de/warnstufe-orange-deutsche-unternehmen-im-visier-russischer-hacker/a-61232466

BSI-Warnung: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

HiSolutions Research

Malen ohne war einmal: Malware für Macs

Es hat sich über die letzten Jahre langsam herumgesprochen: Auch für Apples macOS gibt es Schadsoftware. So kommt es nicht unerwartet, dass sich auch bei Mac-Malware steigende Softwarequalität durchsetzt. Ein Ransomware-Schädling namens EvilQuest verbreitet sich derzeit über Raubkopien und Software-Updates aus fragwürdigen Quellen. Eine kostengünstige Entsperrung der verschlüsselten Daten wird bereits für 50 US-Dollar in Bitcoin angeboten. Doch der Service Gedanke trügt: Die Ransomware ist nur ein Puzzleteil einer umfangreichen Supply-Chain.
Selbst wenn der Nutzer zahlt, endet damit nicht der Service der Schadsoftware-„Hersteller“, denn EvilQuest beherrscht auch die Suche nach Virenscannern und Tools zur Verwaltung von Kryptowährungen sowie die Installation eines Keyloggers und einer Fernsteuerung für den Angreifer (Reverse Shell). Zudem setzt sich die Malware tief im System fest und überträgt Nutzerdaten auf den Server des Angreifers.
Um derlei Risiken zu reduzieren, sollte man vertrauenswürdige Download-Quellen verwenden –sowohl bei der Installation als auch bei Updates – um die eigene Supply-Chain sauber zu halten. Denn auch wenn der macOS-interne Schutz XProtect die Malware inzwischen blockiert und gegen die mangelhafte Verschlüsselung ein Tool existiert, bleiben drei Fragen offen, die Nutzer aller Betriebssysteme vereint: Ist der Angreifer noch da? Wo sind meine persönlichen Daten? Habe ich ein aktuelles Offline-Backup meiner wichtigsten Daten?

https://www.heise.de/news/Neue-Mac-Ransomware-kursiert-in-illegalen-Kopien-4800485.html

https://www.heise.de/news/Mac-Malware-EvilQuest-ThiefQuest-Entschluesselungs-Tool-soll-helfen-4839435.html

HiSolutions Research

BlueKeep of Death – Kommt der nächste Wurm?

Aktuell werden wieder Wetten angenommen, wann wir mit der nächsten wirklich großen Infektionswelle rechnen können. „BlueKeep“ – so der umgangssprachliche Name für die Schwachstelle CVE-2019-0708 vom Typ „nicht authentifizierte Remote Code Execution“ unter Windows 7, Windows Server 2008 und Windows Server 2008 R2 – hat Microsoft bereits am 14. Mai gepatcht. Aber noch, das war nicht anders zu erwarten, sind viele Systeme weltweit verwundbar. In den letzten vier Wochen haben Angreifer nun mit der systematischen Ausnutzung begonnen. Bisher produzieren sie meist Abstürze (Blue Screen). Außerdem scheinen die Angriffe bislang noch größtenteils manuell, also per Clicki-Bunti-Oberfläche oder Metasploit-Modul, durchgeführt zu werden und sind dementsprechend langsam und an übliche Arbeitszeiten gebunden. Das könnte sich jedoch ändern, sobald stabilere Exploits entwickelt werden, welche automatisiert ausgeführt werden können.

Möglicherweise könnte dann der nächste große Wurm drohen, der ähnlich wie WannaCry innerhalb von Minuten Netzwerke auf der ganzen Welt befällt. Für BlueKeep kommen zwar nicht ganz so viele Ziele infrage – im Gegensatz zu WannaCry, welcher das verwundbare SMBv1-Protokoll auf einer großen Anzahl von Windows Server- und Clientsystemen ausnutzte, ist BlueKeep eine Lücke in den RDS (Remote Desktop Services), welche auf Clientbetriebssystemen standardmäßig deaktiviert sind. Allerdings stellen natürlich gerade die Server häufig Assets mit hohem Wert dar, zumal wenn sie intern mit vielen weiteren Systemen vernetzt sind. Die aktuellen Angriffe versuchen momentan nur, mittelmäßig schädliche Crypto-Miner unterzubringen. Aber auch das wird sich wohl ändern, sobald es sich von der Masse lohnt.

Das von den RDS verwendete RDP-Protokoll sollte niemals ungeschützt im Internet erreichbar sein. Scans des Internets, wie sie auch die Angreifer aktuell vornehmen, zeigen jedoch, dass dies an vielen Stellen trotzdem der Fall ist. Insbesondere bei Industrieanlagen wird RDP nicht selten zur Fernwartung eingesetzt.

Es mag sein, dass – anders als bei WannaCry – ein Wurm am Ende gar nicht notwendig ist. Vielleicht genügt es (aus Angreifersicht), mit einem stabilen Exploit das Internet zu scannen und alle verwundbaren Systeme direkt anzugreifen. Höchste Zeit also, nicht nur die Patches einzuspielen, sondern die eigene (RDP-)Exponierung im Internet zu überprüfen und zu reduzieren. Zumal mit DejaBlue im August schon die nächste RDP-Schwachstelle entdeckt wurde, die weitere, auch neuere Windows-Versionen betraf.

https://www.microsoft.com/security/blog/2019/11/07/the-new-cve-2019-0708-rdp-exploit-attacks-explained/