Hisolutions Research Blog

27. Juli 202012. Januar 2023Malware

Malen ohne war einmal: Malware für Macs

Es hat sich über die letzten Jahre langsam herumgesprochen: Auch für Apples macOS gibt es Schadsoftware. So kommt es nicht unerwartet, dass sich auch bei Mac-Malware steigende Softwarequalität durchsetzt. Ein Ransomware-Schädling namens EvilQuest verbreitet sich derzeit über Raubkopien und Software-Updates aus fragwürdigen Quellen. Eine kostengünstige Entsperrung der verschlüsselten Daten wird bereits für 50 US-Dollar in Bitcoin angeboten. Doch der Service Gedanke trügt: Die Ransomware ist nur ein Puzzleteil einer umfangreichen Supply-Chain.Selbst wenn der Nutzer zahlt, endet damit nicht der Service […]

15. Juli 20205. August 2020Advisories

High-Impact Vulnerabilites In Multiple USB Network Servers

Within the scope of a recent penetration test and through individual research effort, HiSolutions‘ security consultants discovered multiple previously unknown high-impact vulnerabilities in USB network server firmwares (see individual issues for the CVE IDs). Devices of multiple vendors were affected by similar vulnerabilities. HiSolutions responsibly disclosed the vulnerabilities to the vendors and additionally provided feedback on the implemented patches. Background Information USB network servers or USB network MTP and printer servers are devices that can be used to make USB […]

19. Juni 202012. Juli 2024Corona, Security Engineering

Ruck ohne Hau – Corona-Warn-App kein Security-Albtraum

Es geht diese Tage ein Ruck durch das Neuland – und zwar kein Hau-Ruck, den viele gleichwohl befürchtet hatten, als sich abzuzeichnen drohte, dass auch die deutsche Corona-Warn-App bei Datenschützenden und anderen IT-Justice Warriors von Anfang an in Ungnade stehen würde. Nun staunt der Laie – und selbst der Chaos Computer Club und sein Umfeld wundern sich: Ist die Macht der Datenverbraucherschützer wirklich so groß geworden, dass Behörden sich wandeln und plötzlich agile Open Source produzieren (lassen)? Anscheinend haben das […]

12. Mai 202010. September 2021Penetrationstest

Von Penetrationstests bis Konfig-Review

Eine Beschreibung gängiger Testtypen Als technisches Audit wird gemeinhin die Untersuchung eines IT-Systems auf Schwachstellen und Sicherheitslücken mithilfe technischer Mittel beschrieben. Doch Penetrationstest ist nicht gleich Penetrationstest. Es gibt viele verschiedene Arten bzw. Typen von Tests, die jeweils unterschiedliche Arten von Fehlern aufdecken können. Die Testtypen unterscheiden sich insbesondere durch die Zugriffsmöglichkeiten, welche dem Testteam eingeräumt werden. So können durch Penetrationstests unterschiedliche Angriffsszenarien überprüft werden, von externen Angreifern bis hin zu Angreifern im internen Netzwerk der zu testenden Infrastruktur. Diese […]

6. Mai 202010. September 2021Penetrationstest

HiSolutions Schwachstellen-Report 2020

Dominik Oepen, Team Manager Penetrationstests & Tom Breitkopf, Consultant, HiSolutions AG [Whitepaper als PDF] HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und Schwachstellentests durch. Immer wieder taucht dabei die Frage auf, wie die Ergebnisse des einzelnen Tests im Vergleich mit „typischen“ Pentest-Ergebnissen einzustufen sind und ob die identifizierten Probleme bei anderen Unternehmen in ähnlicher Form und Schwere bestehen. Wir haben diese Fragen zum Anlass genommen, die von uns in den letzten Jahren durchgeführten Tests jahresweise auszuwerten und […]

30. April 20203. März 2021Corona

Death by Datenschutz? Die Grenzen der Anonymität

Einer der traurigen Corona-Hotspots, die sich als Fußabdrücke eines wild gewordenen, unsichtbaren Random Walkers wie ein sich verdichtender Flickenteppich durch die Lande ziehen, ist das Potsdamer Bergmann-Klinikum. Aufgrund eines zu spät begrenzten Corona-Ausbruchs haben sich dort fast jeder zehnte Mitarbeiter und überdurchschnittlich viele Patienten mangels Testung und Isolation infiziert, etliche sind verstorben. Ein wichtiger Grund: Im Corona-Krisenstab des Klinikums war zunächst der Betriebsarzt nicht vertreten – die einzige Person, die erfahren durfte, woran erkrankte Mitarbeiter leiden. So konnte nicht festgestellt […]

29. April 202030. April 2020Passwörter

Passwort-Audits

Seit vielen Jahren beobachten wir problematische Trends bei der Verwendung von Passwörtern. Ob bei Incident Response Einsätzen oder bei Penetrationstests – zu schwache Passwörter sind in den heutigen IT-Umgebungen noch viel zu häufig der entscheidende Knackpunkt, der zwischen Erfolg und Misserfolg eines Angriffs entscheidet. Das wissen auch die Angreifer, und so ist wohl jeder über das Internet erreichbare Server ständigen Brute-Force-Angriffen ausgesetzt. Teilweise entwendet Schadsoftware auch nach einem erfolgreichen Angriff weitere Active Directory Passwort-Hashes, um zusätzliche Zugriffsmöglichkeiten in der Zukunft […]

25. April 20207. Mai 2020Advisories

Open the Gates! The (In)Security of Cloudless Smart Door Systems

For many attack types physical access to the computer like plugging in a „Rubber Ducky“ or inserting a physical keylogger is required. As access to servers and computers is commonly restricted, those threat vectors are often handled via a „When they are already in the room, we are screwed anyway“ perspective. However, what if it were the other way around? What if not your servers, computers and software are dependent on your physical security, but your physical security relies on […]

31. März 20203. März 2021Corona

Der Mensch bleibt dem Menschen ein Wolf – Cyber in Zeiten von Corona

Wäre es nicht schön gewesen? Inmitten all der schlechten Nachrichten und Prognosen wenigstens den Trost zu haben, dass die Welt sich zusammenrauft und wir uns nicht zusätzlich mit Cyberangriffen und sonstigen IT-Vorfällen das fragile Leben schwer machen… Leider ein Traum. Zwar haben einige wenige Angreifergruppen versprochen, Gesundheitsinfrastruktur bis auf weiteres auszusparen – auch Black-Hat-Hacker brauchen immerhin im Zweifel Beatmungsgeräte. Insgesamt ist jedoch die Anzahl der Angriffe gestiegen – und nicht wenige Kampagnen nutzen gerade die Unsicherheit, das Chaos und den […]

27. Februar 20203. März 2021Ransomware

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es […]