Neue Zero-Day-Schwachstellen wurden entdeckt
·

Neue Zero-Day-Schwachstellen wurden entdeckt

VonJuliane Heinen

Microsoft Exchange 0-Day-Schwachstellen

Kürzlich entdeckten Forscher von GTSC zwei neue Zero-Day-Schwachstellen. Es wurden bereits erfolgreiche Angriffe verzeichnet, die diese Schwachstellen ausnutzten. Anfällig sind Microsoft Exchange Server 2013, 2016 und 2019. Noch eher könnten Sie zum Opfer dieser Schwachstelle werden, wenn die automatische Erkennung aus dem Internet aktiviert ist.

Die Wirkung des Angriffs

Bisher ist nur wenig über erfolgreiche Angriffe bekannt, sodass der praktische Schaden nicht genau abgeschätzt werden kann. Aber nach theoretischen Schätzungen kann er riesig sein. Angreifer können die Zugangsdaten auf dem Exchange-Server fälschen und sogar andere Malware installieren, um die Daten weiter zu stehlen.

Antwort von Microsoft und BSI

Microsoft hat bereits mit einem Blogbeitrag auf das Problem reagiert. Darin sprachen sie über das Problem und kündigten an, es so schnell wie möglich zu beheben. Das BSI warnt vor Angriffen und hat Schutzhinweise vorgelegt.

Es ist wichtig zu beachten, dass die in diesen Berichten präsentierten Daten keinen angemessenen Schutz bieten. Insbesondere wenn Ihr System bereits unbemerkt mit bösartiger Software infiziert ist. Außerdem werden die Empfehlungen fast täglich aktualisiert, was für Verwirrung sorgen kann.

Verfügbare Schutzlösungen

Microsoft veröffentlicht die aktuellsten Minderungsmaßnahmen in seinem Blog. Im Allgemeinen umfassen sie das Deaktivieren von Einstellungen im IIS-Manager mithilfe regulärer Ausdrücke, das Konfigurieren des Exchange Emergency Mitigation Service (EEMS) und das Einschränken der Powershell-Funktionalität. Schritt-für-Schritt-Anleitungen mit den wichtigsten Tipps werden dort auch beschrieben.

Wie der Angriff ausgeführt wird

Der Angriff erfolgt in mindestens zwei Phasen, theoretisch können es aber auch mehr sein. Gleichzeitig wird der Verlust mit jeder neuen Stufe zunehmen. Zunächst versuchen Angreifer, eine legitime Serverfunktion auszunutzen. Beispielsweise suchen sie automatisiert nach Servern, die die automatische Erkennung aktiviert haben. Bei Erfolg nutzen sie eine andere Schwachstelle aus, die es ihnen ermöglicht, Code in Powershell aus der Ferne auszuführen. Dies gibt Angreifern die Möglichkeit, weitere Schadsoftware herunterzuladen. Kontaktieren SIe uns, und wir helfen Ihnen die Angiffsfläche zu minimieren, um potentiellen Schaden gering zu halten.

Cyberangriff auf Continental

Cyberangriff auf Continental

VonJuliane Heinen

Zur Erinnerung: Die internen Systeme von Continental wurden von der Lockbit-Gruppe gehackt und 40 Terabyte an Daten gestohlen. Der Vorfall wurde Anfang August bekannt, und es wird behauptet, dass die Hacker einen Monat lang im System waren. Jetzt gibt es weitere Details über den Vorfall.

Die Journalisten erfuhren, dass der Angriff über einen Browser durchgeführt wurde, den einer der Angestellten heruntergeladen hatte. Diese Information wurde vom Leiter der IT-Abteilung in einem internen Video bekannt gegeben. Es ist nicht bekannt, ob der heruntergeladene Browser bereits infiziert war oder ob die Angreifer die Sicherheitslücke einer legitimen Anwendung ausgenutzt haben.

Um diesen Vorfall zu vermeiden, war es auf jeden Fall notwendig, die Angriffsfläche strenger zu verwalten. Die wichtigsten Maßnahmen, die dies hätten verhindern können, sind das Patch-Management-System im Unternehmen, das Verbot, nicht autorisierte Anwendungen zu installieren, und die Beschränkung des Mitarbeiterzugangs.

Patch-Management bedeutet, dass jeder Mitarbeiter nur eine bestimmte Anzahl von Programmen verwendet, die ständig aktualisiert oder auf die sicherste Version heruntergestuft werden. Dadurch wird die Möglichkeit, dass Eindringlinge durch Software eindringen, die Sie nicht kontrollieren können, auf nahezu Null reduziert. Das Risiko von Zero-Day-Schwachstellen [Link zum Blogbeitrag über Zero-Day] besteht nach wie vor, sollte aber durch andere Maßnahmen verringert werden.

In den meisten Fällen ist es nicht erforderlich, dass die Mitarbeiter zusätzliche Anwendungen für ihre Arbeit installieren. Um sicherzustellen, dass keine anfälligen Anwendungen oder Malware verwendet werden, ist es besser, den Mitarbeitern die Installation nicht zugelassener Anwendungen zu untersagen.

Diese Maßnahmen verhindern eine unmotivierte Vergrößerung der Angriffsfläche und sorgen dafür, dass das Unternehmen die Kontrolle über die bestehende Angriffsfläche behält. Ebenfalls wichtig sind die Verwendung von Firewalls, Virenschutzprogrammen, die Simulation von Angriffen, die Verwaltung von Informationen und Sicherheitsereignissen usw. Alle Sicherheitsmaßnahmen müssen richtig konfiguriert sein und den Anforderungen des Unternehmens entsprechen. Für Beratungen und Einstellungen Ihrer Sicherheit wenden Sie sich bitte an https://neosec.eu/kontakt/index.html.

Teenager hat Uber und Rockstar gehackt
· ·

Teenager hat Uber und Rockstar gehackt

VonJuliane Heinen

Ein 16-jähriger Hacker hat sich mit Hilfe von Phishing-Attacken in die Unternehmen Uber und Rockstar Games gehackt und sich Zugang zu mehreren Gigabytes an Daten, internen Diensten und dem Unternehmens-Slack verschafft und diese heruntergeladen. Der Quellcode von Uber, GTA 5 und 6, Video-Gameplay des neuen Teils von Grand Theft Auto und viele andere Dinge waren in den Händen des Hackers. Das meiste davon ist bereits online.

Datenbank mit 800 Millionen Gesichtern im Netz
· ·

Datenbank mit 800 Millionen Gesichtern im Netz

VonJ. Benjamin Espagné

Medienberichten zufolge stand eine Datenbank mit 800 Millionen Datensätzen, bestehend aus Fotos von Gesichtern und Nummernschildern, bis in den August offen zugreifbar im Netz. Die Daten stammten demnach von Überwachungskameras des chinesischen Herstellers Xinai Electronics.

Die Systeme des Herstellers sollen Zugangskontrollen von Personen und Fahrzeugen etwa zum Arbeitsplatz, Parkhäusern, Schulen oder Baustellen bieten. Wie Techcrunch berichtet, will das Unternehmen nicht nur Zutrittskontrollen damit umsetzen, sondern damit auch die Überwachung der Anwesenheit von Mitarbeitern etwa für Gehaltsabrechnungszwecke ermöglichen. Die Cloud-Systeme zum Scannen von Kfz-Kennzeichen sollen hingegen etwa Parkhausbetreibern ermöglichen, Parkgebühren ohne Personal vor Ort zu erheben.

“Daten auf Unternehmensservern sicher”

Xinai betreibt dazu ein weitreichendes Netz von Kameras in ganz China. Damit sammelte das Unternehmen Millionen Fotos von Gesichtern und Nummernschildern. Auf der Firmenwebseite behauptet Xinai, die Daten seien sicher auf den eigenen Servern abgelegt. Das entpuppte sich nun offenbar als leeres Versprechen.

Der IT-Sicherheitsforscher Anurag Sen fand die ungeschützte Datenbank auf einem vom Unternehmen Alibaba in China gehosteten Server. Sen zufolge enthielt die Datenbank eine große Fülle an Informationen und wuchs rapide von Tag zu Tag an. Bis sie schließlich mehrere Hundert Millionen von Datensätzen und vollständige Webadressen von Bilddateien enthielt, die auf mehreren Domains gehostet wurden, die zu Xinai gehörten. Weder die Datenbank noch die gehosteten Bilddateien seien durch Passwörter geschützt gewesen und konnten von jedem, der wusste, wo er suchen musste, über den Webbrowser aufgerufen werden.

Weiter enthielt die Datenbank Links zu hochauflösenden Fotos von Gesichtern. So etwa von Bauarbeitern beim Betreten von Baustellen, von Bürobesuchern beim Einchecken, sowie zu anderen persönlichen Informationen wie Name, Alter und Geschlecht der Person und zu den Einwohner-ID-Nummern. Zudem enthielt sie Aufzeichnungen von Fahrzeugkennzeichen, die von den Kameras in Parkhäusern, Einfahrten und anderen Büroeingängen erfasst wurden.

Mehrere Entdecker der Datenbank

Wie Techcrunch ausführt, war Sen nicht der Einzige, der die Datenbank entdeckt hat. In einer undatierten Lösegeldforderung behauptete ein Erpresser, er habe den Inhalt der Datenbank gestohlen und würde die Daten im Austausch gegen einige hundert Dollar in Kryptowährung wiederherstellen. Es sei nicht bekannt, ob der Erpresser Daten gestohlen oder gelöscht hat. Die in der Lösegeldforderung angegebene Blockchain-Adresse habe jedoch keine Gelder erhalten.

Mitte August sei die Datenbank verschwunden und nicht mehr zugreifbar gewesen. Zwar gilt seit dem 1. Novermber 2021 ein Datenschutzgesetz in China, das etwa vorsieht, vor der Erhebung und Verarbeitung von Daten durch Unternehmen die Einwilligung von Nutzern einzuholen. Doch staatliche Stellen bleiben außen vor. Offensichtlich dämmt es die Datensammelwut auch nicht ein.

So wurde etwa vor rund zwei Monaten bekannt, dass die Shanghaier Polizei sich rund eine Milliarde Datensätze hat stehlen lassen. Es bleibt abzuwarten, ob die jungen Datenschutzgesetze hier künftig zu Besserungen für die chinesische Bevölkerung führen.

Keine weiteren News.

Keine weiteren News.