HiSolutions Research

Alte Makronen: Microsoft deaktiviert Excel-4.0-Makros

In Zukunft sollen standardmäßig alle Excel-4.0-Makros in Office 365 deaktiviert werden. Makros in Office-Produkten sind einer der beliebtesten Wege, um Schadsoftware auszuliefern. Bekannte Malware wie etwa Trickbot hat sich so verbreitet. Excel-4.0-Makros stammen aus dem Jahre 1992. Längst wurden sie durch VBA abgelöst, das ebenfalls gerne für Malware genutzt wird. Da der letztere Weg aber jüngst durch verschiedene Maßnahmen erschwert wurde, greifen Angreifer auf die „Legacy“-Alternative zurück. Mit dem Deaktivieren schließt der Hersteller Microsoft nun also ein weiteres Schlupfloch.

https://www.heise.de/news/Missbrauch-mit-Malware-Befall-Microsoft-deaktiviert-Excel-4-0-Makros-in-Office-6213387.html

HiSolutions Research

HiSolutions Webinar: Durch die Service Readiness Methodik Projekte erfolgreich in den Betrieb überführen 

In diesem kostenfreien Webinar stellen wir unsere HiSolutions Service Readiness Methodik vor und erläutern die Maßnahmen, die notwendig sind, um Projekte erfolgreich in die Serviceerbringung zu überführen. Dazu laden wir Sie zu einem 60-minütigen Webinar ein, in dem Sie neben dem Vortrag auch die Chance haben, Fragen zu stellen und gemeinsam zu diskutieren. 

https://www.hisolutions.com/webinar-service-readiness

HiSolutions Research

Single Sign-On für brutal forsche(nde) Angreifer: Neuer Azure-AD-Brute-Force-Angriff

Bereits im Juni 2021 fand das Security-Research-Team von Secureworks eine Schwachstelle im Protokoll-Feature „Seamless Single Sign-On“ (SSO) von Azure Active Directory. Diese Funktion erleichtert die Nutzung einer großen Anzahl von Diensten, indem User automatisch eingeloggt werden.

Normalerweise werden Anmeldeversuche über diesen Weg protokolliert. Um die Funktion auch für Office 2013 zu ermöglichen, existiert allerdings ein alternativer Endpoint. Es stellte sich nun heraus, dass ein Autologin über diesen Endpoint zu keinem Log-Eintrag führte. So konnte dieser für Brute-Force-Angriffe genutzt werden, ohne dass diese bemerkt werden konnten.

Microsoft reagierte erst nach der Veröffentlichung der Schwachstelle Ende September 2021: Nun werden auch die Anmeldungen über den betroffenen Endpoint in den Logs aufgezeichnet.

https://www.secureworks.com/research/undetected-azure-active-directory-brute-force-attacks

HiSolutions Research

UEFI Cup: UEFI-Bootkits gibt es wirklich

FinSpy und ESPecter sind die Namen der beiden UEFI-Bootkits, die von ESET bzw. Kaspersky gefunden wurden. Das „Unified Extensible Firmware Interface” (UEFI) ist die Schnittstelle zwischen dem Betriebssystem und der Firmware der Computer-Komponenten. Es gilt als Nachfolger des BIOS. Seit 2012 gibt es eine Secure-Boot-Funktion, die vor bösartigen sogenannten Bootloadern schützen soll. Dies ist wichtig, da zu diesem Zeitpunkt das Betriebssystem noch nicht geladen ist, und somit dessen Schutzmechanismen nicht greifen können. 

Bisher waren nur Proof-of-Concepts oder das physische Einsetzen von Hardware als gangbare Angriffe bekannt. ESPecter und FinSpy benutzen denselben Angriffsvektor auf den UEFI Boot Manager. Für einen erfolgreichen Angriff muss Secure Boot ausgeschaltet sein. Systeme mit Windows 7 oder älter unterstützen dies noch gar nicht. Ebenso kommt es häufig zu Konflikten mit dem Secure Boot und Dual Boot, weshalb ersterer in solchen Fällen oft abgeschaltet wird. Alternativ gibt es bekannte Schwachstellen bei veralteter Firmware oder Produkten. Diese können Angreifer ausnutzen, um Secure Boot selbst zu deaktivieren. Sobald Secure Boot umgangen ist, modifiziert die Malware das Windows Boot Manager Binary in der EFI Firmware Interface (ESP) Partition. 

ESPecter nutzt eine Boot Chain, um durch einen Kernel-Mode Driver einen Keylogger und weitere Payloads nachzuladen. Bei FinSpy lädt der ersetzte Boot Manager zwei Dateien. Diese sorgen dafür, dass ein Trojaner gestartet wird, sobald sich ein Nutzer einloggt. Um eine legitim aussehende Kommunikation mit einem C&C-Server aufzubauen, wird ein Browser mit verstecktem Fenster benutzt. Sobald die Kommunikation mit dem C&C hergestellt ist, kann persistent beliebige Malware mit verschiedenen Funktionen nachgeladen werden.

https://securelist.com/finspy-unseen-findings/104322/

https://www.welivesecurity.com/2021/10/05/uefi-threats-moving-esp-introducing-especter-bootkit/

HiSolutions Research

Nicht nur Windows: FontOnLake Linux Rootkit Malware

FontOnLake heißt eine neue Malware-Familie für Linux-Geräte. Sie kann Fernzugriff auf das angegriffene System gewähren und Log-in-Daten sammeln. Besonders an dieser Malware ist, dass sie mit einigem Aufwand versucht, unentdeckt zu bleiben. Um Daten zu sammeln, werden legitime Binaries von Standard-Linux-Utilities (z. B. „cat“), modifiziert und als Trojaner eingesetzt. Diese laden dann weitere Module, die Backdoors für die Angreifer einrichten.

Zusätzlich wird ein Rootkit benutzt, das die Malware versteckt und die benutzten C&C-Server sowie Ports bei nahezu jedem Angriff wechselt. Wie die Systeme initial infiziert werden, ist bisher nicht bekannt. 

Bisher scheinen die Angriffe auf Ziele in Südostasien fokussiert zu sein. Dies ergibt sich aus Uploads zu VirusTotal. Erste Spuren der Malware führen zurück bis Mai 2020.

https://www.welivesecurity.com/2021/10/07/fontonlake-previously-unknown-malware-family-targeting-linux/

HiSolutions Research

Reverse Engineering erlaubt: EuGH erlaubt Dekompilierung für Bug-Fixes

Auch gegen den Willen des Herstellers darf proprietäre Software per Reverse Engineering untersucht werden, wenn es bestimmten Zwecken dient. Damit ist zumindest auf europäischer Ebene eine Frage geklärt, welche die Security-Community auf der einen und bestimmte Software-Hersteller auf der anderen Seite seit Langem beschäftigt. Für die Informationssicherheit ist dies allemal ein Gewinn, zeigt doch die Erfahrung, dass Hersteller nicht immer freiwillig und schon gar nicht in jedem Fall zeitnah kritische Bugs beheben.

https://www.golem.de/news/urheberrecht-eugh-erlaubt-dekompilierung-fuer-bug-fixes-2110-160225.html

HiSolutions Research

Versehentlich Open Source: Ganz Twitch geleakt

Die (vor allem, aber längst nicht mehr nur) bei Gamerinnen und Gamern beliebte Streaming-Plattform Twitch ist Opfer eines der größten Datendiebstähle der jüngeren Geschichte geworden. Am 4. Oktober fanden sich über 125 Gigabyte interner Daten auf der berüchtigten Website 4chan. Überraschend ist der Inhalt des Leaks: Neben den Einnahmen aller Streamerinnen und Streamer seit 2019 ist insbesondere der komplette Sourcecode samt Commit History bis zu den Anfängen von Twitch enthalten. Weiterhin scheint sämtliches „Intellectual Property“ samt interner Projekte von Twitch nun öffentlich. So wurde ein geplanter Mitbewerber zur Plattform Steam mit dem Namen Vapor bekannt.

Besorgniserregend für Twitch ist, dass die Hacker den Leak als „Teil 1“ angekündigt haben. Die Folgen werden sich noch zeigen. Da der Sourcecode nun erstmals öffentlich ist, können Angreifer diesen etwa auf Schwachstellen untersuchen. Twitch sollte sich daher auf vermehrte Attacken einstellen. Glücklicherweise wurden bisher keine Nutzerdaten oder Kreditkartendaten preisgegeben. Trotzdem wird Nutzern nahegelegt, die 2-Faktor-Authentifizierung zu aktivieren.

https://thehackernews.com/2021/10/twitch-suffers-massive-125gb-data-and.html

HiSolutions Research

Lesetipps Oktober 2021

Angespannt bis kritisch:

BSI Lagebericht zur IT-Sicherheit 2021

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Bürgerlich und gefragt:

BSI Digitalbarometer Bürgerbefragung 2021

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Digitalbarometer/Digitalbarometer-ProPK-BSI_2021.html

Sehr gefragt:

Markt für Security in Deutschland bricht Umsatzrekord: https://channelobserver.de/hersteller/studie-markt-fuer-it-security-bricht-umsatzrekord-29715/

HiSolutions Research

Lesetipps Februar 2021

A Corporate Anthropologist’s Guide to Product Security 

Was kann ein Unternehmensanthropologe zur Security beitragen? Viel, stellt sich heraus, jedenfalls wenn er Alex Gantman heißt und es um Produktsicherheit geht. Der Bericht seiner jahrzehntelangen Arbeit am Thema Product Security ist nicht nur erhellend, sondern auch äußerst nützlich als Handreichung.

https://www.linkedin.com/pulse/corporate-anthropologists-guide-product-security-alex-gantman

Security, Moore’s law, and the anomaly of cheap complexity

Der (Ex-)Sicherheitsforscher Thomas Dullien alias Halvar Flake hat bereits 2019 einen bisher zu Unrecht weniger beachteten Vortrag zum Thema der ökonomischen Gründe für den Komplexitätsanstieg, der bekanntlich der Hauptfeind der Security ist, gehalten.

Video: https://www.youtube.com/watch?v=q98foLaAfX8 

Folien: https://docs.google.com/presentation/d/181WFEcKiOiIDiWygVk2WGActldWUkAPiPsn5U4KKN_g/mobilepresent?slide=id.p1 


Katastrophenarm(ee): Ich war‘s nicht – Cyberwars!

Zwanzigmal „Cyber“ in einem Artikel? Ob das ein Qualitätsmerkmal sein kann, sollten Sie anhand meiner letzten Security-Kolumne in der Zeitschrift iX am besten selbst beurteilen. 
Teaser: „COVID-19 hat eine Überlebensquote von 98–99% – Ebola schnaubt verächtlich – und ­einen Reproduktionsfaktor von lediglich 2–3, worüber die Masern nur lachen können. Was die aktuelle Pandemie so tragisch macht, ist genau die Kombination aus exponentiellem Wachstum, das aufgrund aufwendiger Detektion nicht „billig“ zu begrenzen ist, und nicht vernachlässigbarer Todesrate. Ebola und SARS waren zu tödlich und auffällig, um sich weit verbreiten zu können, Corona haut genau in einen Sweet Spot von tödlich genug für ein weltweites Massaker, aber auch harmlos genug, um sich von uns immer weiter herumtragen zu lassen.“ Und ja, es geht (auch) um Security.

https://www.heise.de/select/ix/2021/1/2031711062675348992

HiSolutions Research

KMU und raus bist Du? IT-Sicherheit für den Mittelstand

Eine wachsende Zahl von Ressourcen und Handreichungen beschäftigt sich mit der Frage, wie mittelständische Unternehmen Informationssicherheit wirtschaftlich und effektiv umsetzen können. Die Abschlussarbeit unseres Kollegen Patrick Taege beleuchtet die besonderen Herausforderungen, denen sich KMUs in der Security stellen.

https://research.hisolutions.com/2021/01/warum-der-mittelstand-besonders-auf-it-sicherheit-achten-sollte/

HiSolutions Empfehlung: Unsere Checkliste zur Cybersecurity für kleine und mittlere Einrichtungen