bedrohungsfeed

BSI: neue Anforderungen an Umgang des Bundes mit Smartphones und Co.

Das Bundesamt für Informationstechnik (BSI) hat seinen Mindeststandard für das Mobile Device Management (MDM) grundlegend überarbeitet. Version 2.0 aktualisiert das Anforderungs-Dokument, das erstmals 2017 veröffentlicht wurde, auf den Stand der Technik und erweitert den Anforderungskatalog. Die Vorgaben für IT-Sicherheit in den Mindeststandards des BSI sind für den Bund und seine Behörden bindend. Viele Unternehmen orientieren sich aber freiwillig ebenfalls an ihnen. Der Mindeststandard MDM 2.0 ändert die Struktur des Dokuments grundlegend, führt aber auch inhaltlich neue Anforderungen hinzu, unter anderem in den Bereichen Strategie, Arbeitsweise und Betriebsprozesse. Alte Standards habe man zudem überarbeitet, mit dem aktuellen IT-Grundschutz-Kompendium harmonisiert und dem aktuellen Common-Criteria-Schutzprofil für Mobile Device Management – Trusted Server verglichen. MDM-Systeme dienen zur Integration und Verwaltung mobiler Endgeräte wie Smartphones und Tablets in die IT-Systeme der Bundesbehörden. Das Ziel des MDM-Mindeststandards sei es daher, „ein einheitliches Mindestsicherheitsniveau mit effektiven Maßnahmen zur Abwehr von Cyber-Angriffen innerhalb der heterogenen Behördenlandschaft zu etablieren“. Das BSI veröffentlicht Mindeststandards auch zu acht anderen Teilbereichen der IT-Landschaft des Bundes. Das IT-Sicherheitsgesetz 2.0 verpflichtet seit 2021 den Bund auch gesetzlich zur Einhaltung der Vorgaben. Die Übersicht der Änderungen listet das BSI auf einer eigenen Webseite, das Dokument selbst steht als PDF zum Download bereit. Zudem hat man die formulierten Anforderungen nun in einer Übersichtstabelle zusammengetragen, die ebenfalls herunterladbar ist.

Quelle: Heise

PlayStation-4/5-Hack: PS2-Emulator als Schadcode-Schlupfloch

Das Sicherheitssystem der PlayStation 4, und jetzt auch der PS 5, ist löchrig. Als Ausgangspunkt dient einem Hacker der offizielle PS2-Emulator, der Retro-Spiele auf PS4/5 abspielt. In einem Demovideo zeigt er, wie er durch das Ausnutzen der Schwachstelle ein PS2-Spiel aus einer modifizierten ISO-Datei startet. Dafür ist aber viel Aufwand erforderlich. Der Konsolen-Hacker CTurt hebelte bereits das Sicherheitssystem der PS2 aus und hat sich nun die Implementierung des PS2-Emulators auf den aktuellen Spielkonsolen angeschaut – und ist fündig geworden. Damit Retro-Spiele auf PS4/5 laufen, setzt der Emulator auf Just-in-time-Kompilierung (JIT). Das heißt, die Software übersetzt den PS2-Code während der Laufzeit in ein für die PS4 verständliches Format. In der Regel findet so was direkt im Speicher statt und der Code wird umgehend ausgeführt. Hier können Angreifer über verschiedene Wege ansetzen, um Speicherfehler auszulösen und eigenen Code zur Ausführung zu bringen. Das ist auch der Grund, warum Sony den für Attacken anfälligen JIT -Ansatz an vielen Stellen, etwa im Webbrowser der Konsolen, bereits entfernt hat. In seinem Bericht erläutert der Hacker die Funktionsweise seines mast1c0re getauften Exploits ausführlich. Als Ausgangspunkt für eine Attacke dienen Schwachstellen in PS2-Titeln oder manipulierte Speicherdateien von PS2-Spielen. Über die komplexe Verkettung von mehreren Speicherfehlern konnte er eigenen Angaben zufolge aus dem PS2-Emulator ausbrechen und mit den weitreichenden Rechten des Emulator ein anderes PS2-Spiel starten. Der Hacker gibt an, dass Sony sich mit der Art der Implementierung ins eigene Fleisch geschnitten hat und der Bug quasi nicht behebbar ist. Da jedes Retro-Spiel als Disc – der Publisher Limited Run Games hat einige PS2-Titel als PS4-Disc herausgebracht – oder in digitaler Form den PS2-Emulator mitbringt, kann Sony die Lücke nicht ohne Weiteres schließen. Wäre der Emulator im System verankert, könnte ein Firmwareupdate Abhilfe schaffen. Da aber jeder Titel den Emulator mitbringt, könnte man die Konsole schlicht vom Internet trennen, um Patches zu verhindern, und einen Titel mit verwundbaren Emulator von einer Disc starten. Die volle Kontrolle über die PS4/5 gibt der Hack von CTurt aber nicht. Ihm zufolge könnte das aber ein Wegbereiter für Kernel-Exploits und der Kompromittierung vom Hypervisor-Schutzmechanismus der PS5 sein. In einem von ihm angekündigten Beitrag will er zeitnah demonstrieren, wie er eigenen Code und somit Homebrew-Anwendungen auf den aktuellen Konsolen startet. Der Hacker gibt an, Sony bereits im September 2021 über das Sicherheitsproblem informiert zu haben. Seitdem ist von Sonys Seite offensichtlich nichts passiert. Zur Veröffentlichung ist er eigenen Angaben zufolge erst jetzt gekommen.

Quelle: Heise

Gratis-Entschlüsselungstool: Opfer von Ransomware LockerGoga können aufatmen

Entwickler vom Hersteller von Anti-Viren-Software Bitdefender haben ein kostenloses Entschlüsselungstool für von der Ransomware LockerGoga gefangengenommene Daten veröffentlicht. BDLockerGogaDecryptTool steht ab sofort zum Download bereit. Eine Anleitung ist als PDF abrufbar. Der Schädling hat es unter Windows auf Dateien aller Art abgesehen und verschlüsselt diese. Erst wenn Opfer Lösegeld zahlen, wollen die Angreifer den Schlüssel für die Dateien rausrücken. In der Vergangenheit sind bereits für andere Verschlüsselungstrojaner von Sicherheitsforschern entwickelte Entschlüsselungstools erschienen. Oft setzen die Entwickler an Schwachstellen im Code der Ransomware an. Wie die Hintergründe bei der Entwicklung in diesem Fall aussehen, ist bislang unbekannt. Da die Drahtzieher hinter LockerGoga Ende 2021 verhaftet wurden, könnte Bitdefender Zugriff auf die privaten Schlüssel der Kriminellen gehabt haben. Das Tool soll unter anderem in Zusammenarbeit mit Europol und der Kantonspolizei Zürich entstanden sein. Nach dem Start des Tools empfiehlt Bitdefender die Option „Backup files“ zu aktiveren. Sollte bei der Verschlüsselung etwas schiefgehen, sind die verschlüsselten Daten noch verfügbar. Neben der kompletten Festplatte kann das Tool auch in ausgewählten Ordnern nach verschlüsselten Dateien mit der Endung „.locked“ suchen. Damit die Entschlüsselung klappt, muss der Computer mit dem Internet verbunden sein und im ausgewählten Pfad muss sich die Erpresserbotschaft befinden. Ist das gegeben, beginnt der Prozess mit einem Klick auf „Start now“. Wer möchte, kann das Tool auch über die Kommandozeile laufen lassen.

Quelle: Heise

Sicherheitslücke in Teams: Microsoft-Token im Klartext gespeichert

Microsoft Teams speichert die Zugriffstoken im Klartext, mit denen sich die Nutzer in Teams bei den Microsoft-Diensten anmelden. Angreifer mit Zugriff aufs Dateisystem des PCs können die Datei klauen und Zugriff auf die Microsoft-Dienste wie Skype und Outlook ergaunern, ohne das Passwort des Nutzers zu kennen; auch eine Zweifaktor-Absicherung wird so übergangen. Das haben die Forscher der kalifornischen Cybersecurity-Firma Vectra herausgefunden. Betroffen sind die Windows-, Linux- und macOS-Versionen von Teams, die alle drei das Electron-Framework nutzen. Eine Electron-Anwendung ist eine Art Webapp mit angeflanschtem Browser – und der speichert beispielsweise in Cookies abgelegte Tokens unverschlüsselt. Microsoft will laut Vectra den Fehler beheben, aber erst mit einem späteren Patch: Dringlichkeit sei nicht geboten, weil Angreifer einen ohnehin kompromittierten PC benötigen würden, um an die Token zu kommen. So lange sollten Teams-Nutzer vor allem an PCs, die von mehreren Personen benutzt werden, nur noch die Web-Version von Teams nutzen – moderne Browser sind gegen solche Token-Übernahmen abgesichert. Auch die iOS- und Android-Version sind nicht auf diese Art angreifbar. Für Linux empfiehlt Vectra generell den Umstieg auf die Web-Version, da Microsoft den Linux-Client zum Jahresende auf eine reine PWA umstellen möchte. Windows- und macOS-Nutzer können nach dem Patch wieder auf die Desktop-Version wechseln, zumindest auf Rechnern, wo sie oder Admins die Kontrolle über die installierte Version haben.

Quelle: Heise

Lastpass: Angreifer hatten vier Tage Zugriff – keine Gefahr für Kundendaten

Im August gab es nach Angaben von Lastpass, einem Anbieter eines Passwortmanagers, einen Einbruch in deren Serversysteme. Die Angreifer sollen Zugang auf das interne Entwicklungssystem gehabt und von dort technische Informationen sowie Quellcode kopiert haben. Lastpass mutmaßte, dass die Angreifer weder Passwörter kopiert noch überhaupt Zugang zu Nutzerdaten gehabt haben, wollte dies jedoch noch weiter untersuchen. In einem Update zum ersten Blogeintrag gab Lastpass-CEO Karim Toubba nun bekannt, dass die Untersuchungen abgeschlossen seien. Der oder die Angreifer hätten über insgesamt vier Tage Zugriff auf die Systeme gehabt, ein späterer Zugriff sei auszuschließen. Der Angriff erfolgte über einen kompromittierten Entwickler-Account. Das Design der Lastpass-Server soll jedoch einen Zugriff auf die Nutzerdaten verhindert haben, die Passwörter seien zudem verschlüsselt gespeichert. Lastpass hat nach Angaben von Toubba auch den Quellcode untersucht und keine Hinweise auf das Einschleusen bösartigen Codes gefunden.

Quelle: Heise

Sicherheitslücke in WordPress-Plug-in WPGateway macht Angreifer zu Admins

Admins, die zur Verwaltung von WordPress-Websites WPGateway nutzen, sollten das Plug-in aus Sicherheitsgründen temporär deaktivieren. Derzeit nutzen Angreifer eine „kritische“ Sicherheitslücke aus. Die Lücke CVE-2022-3180) soll ohne Authentifizierung ausnutzbar sein. Sind Attacken erfolgreich, sollen Angreifer Konten mit Admin-Rechten anlegen können. Darüber können sie Websites vollständig kompromittieren. Auf die Schwachstelle sind Sicherheitsforscher von Wordfence gestoßen. In ihrem Bericht verraten sie kaum Details zur Lücke, damit nicht noch weitere Angreifer an der Lücke ansetzen. Die Forscher geben an, dass sie bislang 4,6 Millionen Angriffsversuche dokumentiert haben. Da noch kein Sicherheitspatch in Sicht ist, sollten Admins das Plug-in deaktivieren, um Seiten zu schützen. Wann ein Patch erscheinen soll, ist bislang nicht bekannt. Ist im Dashboard ein Admin-Nutzer mit dem Namen „rangex“ aufgelistet, ist eine Seite betroffen. Zusätzlich sollten Admins noch die Logdatei nach Verdächtigen Anfragen durchsuchen:

//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1

Tauchen solche Einträge auf, gab es Angriffsversuche. Seiten müssen aber noch nicht kompromittiert sein.

Quelle: Heise

„Total kompromittiert“: 18-Jähriger hackt Uber, interne Dienste offline

Der US-Fahrdienstvermittler Uber ist angeblich gehackt worden, ein Sicherheitsforscher sagte der New York Times, das Unternehmen sei „komplett kompromittiert“. Der Unbekannte habe mit Screenshots belegt, Zugang zu vielen internen Systemen des US-Unternehmens, beispielsweise zu den E-Mails, zum Cloudspeicher und zu den Quellcode-Repositories zu haben. Angestellte seien angewiesen worden, interne Kommunikationskanäle zu meiden, teilweise sei Software auch gar nicht mehr zugänglich. Das Unternehmen habe versichert, mit der Aufklärung des Vorgangs beschäftigt zu sein, Strafverfolgungsbehörden würden in Kenntnis gesetzt. Inzwischen hat sich laut New York Times ein 18-Jähriger gemeldet und zu der Tat bekannt. Uber habe mangelhafte Sicherheitsvorkehrungen getroffen, an Zugangsdaten sei er über Social Engineering gekommen. In einer intern bei Uber verschickten Nachricht habe er sich nicht nur zu dem Hack bekannt, sondern auch eine höhere Bezahlung für die Uber-Fahrer und -Fahrerinnen gefordert. Ein Sicherheitsforscher von Yuga Labs steht demnach in Kontakt mit dem Hacker und meint, er habe „so gut wie unbeschränkten Zugriff“: „Die sind total kompromittiert.“ Für ihn hat es gleichzeitig den Anschein, dass da ein Kind bei Uber einbrechen konnte und jetzt gar nicht wisse, was er damit anfangen soll, außer „die Zeit seines Lebens“ zu haben. Für Uber ist es nicht das erste Mal, dass Daten in großem Umfang für Unbefugte einsehbar sind: Vor fünf Jahren war bekannt geworden, dass 2016 Daten von rund 50 Millionen Fahrgästen gestohlen worden waren. Uber hatte den Vorfall ein Jahr lang verschwiegen. Der Konzern war dann noch einmal in die Kritik geraten, als bekannt wurde, dass der verantwortliche Hacker 100.000 US-Dollar aus dem gar nicht dafür gedachten Bug-Bounty-Programm bekommen hatte, damit er im Gegenzug die Daten löscht. Der damalige Sicherheitschef des Unternehmens war daraufhin entlassen worden und muss sich wegen des Vorwurfs der „Vertuschung einer Straftat“ vor Gericht verantworten.

Quelle: Heise

Supply-Chain-Attacke: Trojaner in FishPig-Software bedroht Onlineshops

Angreifer sind in die Server des Anbieters von Online-Shop-Software FishPig eingestiegen und haben die Software mit Schadcode verseucht. Kriminelle können nun über eine Hintertür auf mit der Software erstellte Shops auf Magento-Basis zugreifen. Mittlerweile gibt es Sicherheitsupdates und eine Anleitung zur Enterung der Hintertür. FishPig kommt unter anderem auf WordPress-Websites zum Einsatz. Wie viele Shops konkret betroffen sind, ist derzeit unklar. Wenn von Angreifern manipulierte Software in anderen Projekten zum Einsatz kommt, sind auch diese verwundbar. In diesem Fall spricht man von einer Supply-Chain-Attacke, weil die Lieferkette der Ursprung des Übels ist. Darauf sind Sicherheitsforscher von Sansec aufmerksam geworden. FishPig hat den Vorfall inzwischen bestätigt und ein Statement veröffentlicht. Demzufolge konnten unbekannte Angreifer auf nicht näher beschriebenem Weg auf FishPig.co.uk und das Extension-License-System zugreifen. Im Zuge dessen haben sie Schadcode auf PHP-Basis in der Helper/License.php-Datei platziert. Davon sollen alle FishPig-Magento-2-Module betroffen sein. Die freien Erweiterungen auf Github seien nicht betroffen. Der unrechtmäßige Zugriff soll am oder vor 19. August 2022 geschehen sein. Wer die Software danach heruntergeladen und damit einen Onlineshop aufgesetzt hat, hat sich mit hoher Wahrscheinlichkeit die Rekoobe-Malware eingefangen. Darüber nisten sich Angreifer auf Servern ein und können darauf zugreifen. In seinem Statement zeigt FishPig, wie Admins infizierte Shops erkennen können. Außerdem sollten sie die Software zügig aktualisieren. Ist das erfolgt, soll die Backdoor nach einem Neustart verschwunden sein.

Quelle: Heise

Sicherheitsupdates: BIOS-Lücken gefährden unzählige Lenovo-PCs

Wer einen Computer von Lenovo besitzt, sollte sicherstellen, dass die BIOS-Firmware auf dem aktuellen Stand ist. Angreifer könnten an mehreren Sicherheitslücken ansetzen und PCs kompromittieren. Der Hersteller stuft den Schwergrad der Schwachstellen insgesamt als „hoch“ ein. Insgesamt haben die Entwickler fünf Sicherheitslücken geschlossen. Um erfolgreich an den Lücken ansetzen zu können, benötigen Angreifer einer Warnmeldung zufolge lokalen Zugriff mit erweiterten Rechten. Ist das gegeben, könnten sie Informationen leaken oder sogar Schadcode ausführen. Wie Attacken ablaufen könnten, geht aus dem Beitrag nicht hervor. Nicht alle Lücken betreffen alle Computer-Modelle. Setzen Angreifer mit Erfolg an einer Lücke an, könnten sie unter anderem auf den System-Management-Mode-Speicher (SMM) zugreifen. Darüber werden systemweite Parameter wie Hardware-Kontrolle und Energiemanagement gesteuert. Darüber wären Zugriffe auf das Betriebssystem vorstellbar. Um Attacken zu verhindern, hat der PC-Hersteller abgesicherte Firmwareversionen veröffentlicht. Die gibt es für unzählige Modell unter anderem für die Desktop-, Smart-Office- und ThinkPad-Serien. In einem Beitrag listet Lenovo die betroffenen Modelle auf und aktuellen Firmwares.

Quelle: Heise

Neue Phishing-Masche: Fake-Konversationen für mehr Glaubwürdigkeit

In den vergangenen Jahren haben die Macher von Phishing-Mails viel dazugelernt und die Zeiten, in denen solche Nachrichten aufgrund von unzähligen Schreibfehlern sofort aufflogen, sind längst vorbei. Heute muss man oft ganz genau hinschauen, um betrügerische Mails aufzudecken. Mit einer neuen Masche könnte das jetzt noch schwieriger werden. Die iranische Hackergruppe TA453 schickt ihre Betrüger-Mails nicht nur an Opfer, sondern setzen zum Teil noch mehrere Personen in CC. Diese Mailadressen befinden sich unter der Kontrolle der Angreifer. Nachdem ein Opfer so eine Mail erhalten hat, antworten die Angreifer über eine im CC gesetzte Adresse, um eine Konversation anzustoßen und darüber die Glaubwürdigkeit zu steigern. In einem Bericht nennen Sicherheitsforscher von Proofpoint als Beispiel eine Fake-Mail, die im Namen eines Genom-Forschers verschickt wurde. Ein CC-Kontakt antwortet auf die Mail mit einem Link zu einer mit Schadcode präpariertem Dokument. Die entstehende Konversation soll bei Opfern Vertrauen wecken und so die Glaubwürdigkeit steigern. In einem anderen Beispiel entstand eine Konversation zwischen zwei Akademikern für Atomwaffenkontrollen und drei Fake-Personen, die CC gesetzt waren. Ob die Attacken aus den Beispielen erfolgreich waren, geht aus dem Bericht nicht hervor. Proofpoint gibt an, dass die Sender und CC-Adressen in ihren Beobachtungen stets private Mailadresse von etwa AOL oder Google waren. Das wirkt natürlich unprofessionell und könnte die Masche auffliegen lassen. Es bleibt abzuwarten, wie Kriminelle den Ansatz künftig weiter ausbauen. Generell sollte bei E-Mails Misstrauen gelten. So sollte man keinesfalls ohne Nachzudenken auf Links in Mails klicken oder sogar Dateianhänge öffnen. Immer noch sind gefälschte Mails mit Anhang der am weitesten verbreitete Weg, über den Erpressungstrojaner Computer infizieren.

Quelle: Heise

Sicherheitslösung Apex One von Trend Micro im Visier von Angreifern

Das Schutzversprechen von Trend Micros Apex One dreht sich ins Gegenteil um und die Anwendung gefährdet Windows-PCs. Der Software-Hersteller warnt vor Attacken auf Systeme. In einer Warnmeldung gibt Trend Micro an, in Apex One SP1 (b11092/11088) und Apex One (SaaS) August 2022 Montlhy Patch (202208) sechs Sicherheitslücken geschlossen zu haben. Vier Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Setzen Angreifer daran erfolgreich an, könnten sie etwa die Authentifizierung umgehen (CVE-2022-40144) oder sogar Schadcode ausführen (CVE-2022-40139). Welche Schwachstelle Angreifer ausnutzen, führt Trend Micro derzeit nicht aus.

Quelle: Heise

Patchday: SAP-Admins sollten jetzt handeln

Am Patchday im September haben die SAP-Entwickler mehrere Anwendungen gegen mögliche Attacken abgesichert. Neben neuen Updates gibt es aber auch Aktualisierungen zu älteren Sicherheitslücken. Aus einer Zusammenfassung geht hervor, dass unter anderem SAP Business One, SAP NetWeaver Enterprise Portal und SAP GRC Access Control Emergency Access Management verwundbar sind. Insgesamt haben die Entwickler acht neue Schwachstellen geschlossen. Davon sind drei mit dem Bedrohungsgrad „hoch“ versehen. Nach erfolgreiche Attacken könnten Angreifer beispielsweise unberechtigt auf Informationen zugreifen. Aktualisierte Warnmeldungen betreffen zum Beispiel SAP Business Client und SAP Knowledge Warehouse. Im Support-Portal finden SAP-Admins weiterführende Informationen zu den abgesicherten Versionen.

Quelle: Heise

Patchday Adobe: Schadcode-Attacken auf InDesign, Photoshop & Co. möglich

Wer Adobe Animate, Bridge, Experience, Illustrator, InCopy, InDesign oder Photoshop einsetzt, sollte aus Sicherheitsgründen die aktuellen Versionen installieren. Geschieht diese nicht, könnten Angreifer im schlimmsten Fall Schadcode auf Systemen ausführen. Den Großteil der Lücken stuft Adobe als „kritisch“ ein. Schadcode gelangt den Warnmeldungen zufolge über Speicherfehler auf Systeme. Wie Angreifer diese Zustände herbeiführen können, führt Adobe derzeit nicht aus. In der Regel sind solche Attacken nicht ohne Weiteres möglich. In Animate 2021 21.0.12 und Animate 2022 22.0.8 für macOS und Windows haben die Entwickler zwei Schadcode-Schwachstellen geschlossen. Bridge ist unter macOS und Windows in den Versionen 11.1.4 und 12.0.3abgesichert. Insgesamt wurden darin zehn Schadcode- und zwei Memory-Leak-Lücken geschlossen. Experience Manager ist als Cloud Service und Version 6.5.14.0 repariert. Neben dem Ausführen von eigenem Code könnten Angreifer noch Sicherheitsmechanismen umgehen. Illustrator ist ebenfalls unter macOS und Windows angreifbar. Hier schaffen die Ausgaben Illustrator 2021 25.4.8 und Illustrator 2022 26.5 Abhilfe. In InCopy 16.4.3 und 17.4 (macOS und Windows) haben die Entwickler insgesamt sieben Sicherheitslücken geschlossen. InDesign ist in den Versionen 16.4.3 und 17.4(macOS und Windows) gegen mögliche Attacken gerüstet. Photoshop 2021 22.5.9und Photoshop 2022 23.5 (macOS und Windows) bringen eine effektivere Schadcode-Verteidigung mit. Weitere Informationen zu den betroffenen Versionen und Schwachstellen:

Quelle: Heise

Patchday: Angreifer attackieren Windows 7 bis 11

Zwei an diesem Patchday geschlossene Windows-Schwachstellen sind öffentlich und bekannt und eine nutzen Angreifer derzeit bereits aktiv aus. Attacken sind aber in beiden Fällen nicht ohne Weiteres möglich. Weiterhin gibt es noch wichtige Sicherheitsupdates für unter anderem Azure, Defender, Edge und Office. Die im Visier von Angreifern befindliche Lücke (CVE-2022-37969) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft einer Warnmeldung von Microsoft zufolge Windows 7 bis Windows 11 und diverse Windows-Server-Versionen. Die Schwachstelle steckt im Common Log File System (CLFS). Setzen Angreifer erfolgreich an der Schwachstelle an, könnten sie sich System-Rechte verschaffen und so die volle Kontrolle über Computer erlangen. Dafür müssen sie sich aber bereits auf einem System befinden und eigenen Code ausführen können. Das Ausführen von Schadcode aus der Ferne (Remote Code Execution) ist nicht möglich, versichert Microsoft. Wie Attacken im Detail aussehen könnten und in welchem Umfang sie stattfinden, ist derzeit nicht bekannt. Da die Lücke der Warnmeldung zufolge offensichtlich unabhängig von vier verschiedenen Institutionen an Microsoft gemeldet wurde, könnten Attacken durchaus im größeren Umfang stattfinden. Die zweite öffentlich bekannte Lücke (CVE-2022-23960 „mittel“) betrifft ausschließlich Windows 11 auf ARM64-Architektur. Mit viel Aufwand könnten Angreifer eine Seiten-Kanal-Attacke (Spectre-BHB) ausführen und Informationen abgreifen. Von Microsoft als „kritisch“ eingestufte Schadcode-Schwachstellen betreffen Dynamics 365 das Internet-Key-Exchange-Protokoll (IKE) und TCP/IP unter Windows. Um die beiden IKE-Lücken (CVE-2022-34718, CVE-2022-34722) ausnutzen zu können, müssen Angreifer einem Beitrag zufolge nicht authentifiziert sein. Als Voraussetzung muss IPSec aktiviert sein. Ist das gegeben, könnten Angreifer aus der Ferne präparierte IP-Pakete abschicken und im Anschluss Schadcode auf Systemen ausführen. Die Verwundbarkeit betrifft ausschließlich IKEv1. Da aber alle Windows-Server V1 und V2 Pakete akzeptieren, sind auch alle verwundbar. Über die Lücke könnten sich Trojaner Sicherheitsforschern zufolge wurmartig auf weitere Geräte ausbreiten. Weitere Schadcode-Lücken betreffen unter anderem Microsoft ODBC, OLE DB, Office Visio und SharePoint. Durch das erfolgreiche Ausnutzen von Schwachstellen in Windows-Grafik-Komponenten könnten Angreifer auf eigentlich abgeschottete Informationen zugreifen. Windows Secure Channel ist für DoS-Attacken anfällig. Informationen zu allen an diesem Patchday geschlossenen Lücken listet Microsoft im Security Update Guide auf.

Quelle: Heise

Lorenz Ransomware nutzt VoIP-Telefone MiVoice Connect von Mitel als Sprungbrett

Eine Schwachstelle in VoIP-Telefonen der MiVoice-Connect-Serie von Mitel dient zurzeit als Schlupfloch für den Erpressungstrojaner Lorenz. Kommen solche Telefone in Unternehmen zum Einsatz, sollten Admins die Geräte zügig auf den aktuellen Stand bringen und so die Lücke schließen. Auf die Attacken sind Sicherheitsforscher von Artic Wolf gestoßen. In ihrem Bericht stellen sie fest, dass die Angreifer an einer „kritischen“ Lücke (CVE-2022-29499) ansetzen, um einen ersten Fuß in IT-Infrastrukturen von Firmen zu setzen. Im Anschluss sollen sie rund einen Monat warten, um dann die Ransomware Lorenz von der Leine zu lassen. Der Schädling soll Dateien über die eigentlich legitime Anwendung FileZilla zu den Angreifern schleusen. Die Verschlüsselung von Daten auf Windows-Systemen soll via Bitlocker geschehen. Eine ESXi-Verschlüsselung soll Lorenz selbst vornehmen. Die Gruppe hinter dem Schädling soll im Anschluss Lösegeld einfordern. Dem aktuellen Ransomware-Trend folgend, drohen sie mit einer Veröffentlichung der kopierten internen Daten, um den Druck auf Opfer zu erhöhen. In einer Warnmeldung gibt der Hersteller an, dass von der Schadcode-Lücke konkret MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 und Virtual SA) betroffen sind. Bedroht sind die Versionen bis einschließlich 14.2 und 19.2 SP3. Der Hersteller gibt an, das Sicherheitsproblem in der Ausgabe 19.3 gelöst zu haben. Wer das Sicherheitsupdate nicht installieren kann, kann als temporären Workaround ein vom Hersteller bereitgestelltes Skript nutzen, um System vor Attacken abzusichern. Außerdem sollten Admins darauf achten, ob die Systeme zwingend öffentlich aus dem Internet erreichbar sein müssen. Schließlich vergrößert sich so die Angriffsfläche und Angreifer könnten Telefone direkt attackieren. Ein Sicherheitsforscher hat über die Suchmaschine Shodan 19.000 solcher direkt erreichbarer Systeme gefunden.

Quelle: Heise

Warten auf Sicherheitsupdates: Einige HP-Computer sind seit Monaten verwundbar

Sicherheitsforscher von Binarly warnen vor sechs Sicherheitslücken in HP-Computern, die vor allem im geschäftlichen Bereich zum Einsatz kommen. Sie geben an, drei Lücken bereits vor über einem Jahr an den Hersteller gemeldet zu haben. Bislang wurden noch nicht alle Modelle mit Patches versorgt. In einem Beitrag geben die Forscher an, dass es sich um UEFI-Firmware-Lücken im System Management Module (SMM) handelt. Alle sechs Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft und Angreifer könnten darüber Schadcode auf Systeme schieben und ausführen. Wie Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Angreifer sollen auf nicht näher beschriebenen Wegen Speicherfehler auslösen können, um ihren eigenen Code im Speicher platzieren zu können. Die Position der Angreifer in der Firmware ist besonders gefährlich, da sie so Schadcode vor dem Windows-Start verankern können. Das heißt, dass Sicherheitsmechanismen von Windows ins Leere laufen, da der Code bereits vor dem Systemstart läuft. Außerdem könnten Angreifer so Secure Boot umgehen oder sich mit Hintertüren dauerhaft auf PCs einnisten. HP hat im März 2022 eine Lücke (CVE-2022-23930) in allen betroffenen Systemen geschlossenFür drei weitere Schwachstellen (CVE-2022-31644, CVE-2022-31645, CVE-2022-31646) gibt es seit August Sicherheitspatches, aber nicht für alle Geräte, die verwundbar sind. Das ist auch bei den Patches für weitere Schwachstellen(CVE-2022-31640, CVE-2022-31641) der Fall. Beispielsweise sind noch viele ProBook-, ProOne-, Zcentral-Modelle angreifbar. Wann die Patches erscheinen, ist bislang unbekannt. Die Antwort auf eine Anfrage von heise Security steht noch aus.

Quelle: Heise

iPadOS, macOS Monterey und altes iOS: Apple patcht Lücken

Apple hat neben iOS 16 und watchOS 9 am Montagabend auch Aktualisierungen für ältere Betriebssysteme freigegeben. Dabei handelt es sich um reine Sicherheitsupdates, neue Funktionen sind offenbar nicht enhalten. Frisch verfügbar sind macOS Monterey 12.6, macOS Big Sur 11.7, iPadOS 15.7 sowie iOS 15.7 – letzteres ist für Nutzer gedacht, die noch nicht auf iOS 16 aktualisieren wollen, in denen die Patches offenbar ebenfalls stecken. Weiterhin hat Apple den Browser Safari 16 für macOS 12 und 11 bereitgestellt; es behebt Sicherheitslücken und bietet einige neue Funktionen. Mit den Aktualisierungen kümmert sich Apple einmal mehr um die Beseitigung schwerer Sicherheitslücken. In iOS 15.7 und iPadOS 15.7 sind dies mehr als ein Dutzend, wobei Apple nicht bei allen die genauen Details aufführt. Zu den Bugs zählen Fehler im Kernel, die das Ausführen von Code mit entsprechenden Rechten erlauben; einer der Bugs wird bereits in Form eines Zero-Day-Exploits ausgenutzt, wie Apple selbst ausführt. Weitere Fehler betreffen den Privatsphärenschutz: U.a. können über Apple Maps sensible Ortsdaten ausgelesen werden und die Kontakte-App hält sich unter Umständen nicht an die Datenschutzeinstellungen des Nutzers. Ein Bug in Safari erlaubt ein Tracking über Web-Extensions, ein weiterer in Shortcuts das Auslesen von Fotos vom Sperrbildschirm. Mehrere Fehler in der Browser-Engine WebKit erlauben ein Ausführen von Code über manipulierte Websites. Die in macOS 12.6 und macOS 11.7 behobenen Fehler entsprechen teilweise denen in iOS beziehungsweise iPadOS 15.7., darunter die aktiv ausgenutzte Kernel-Lücke. Allerdings gibt es auch nur für macOS relevante Bugs. Diese stecken unter anderem in iMovie, in ATS, der Medienbibliothek (MediaLibrary) und in PackageKit. Angreifer können darüber teilweise mehr Rechte erlangen, manchmal aber auch sensible Daten auslesen (darunter in Maps). Bemerkenswert ist, dass Apple auch schon Safari 16 freigegeben hat, das eigentlich Teil von macOS 13 alias Ventura ist. Das neue Betriebssystem kommt allerdings erst im Oktober. Apple wollte offenbar nicht mit dem Update warten, weil die neue Browser-Version auch eine Handvoll Sicherheitslöcher stopft. Diese sind in der Browser-Engine WebKit und dem Web-Extension-Management enthalten und können zur Ausführung böswilligen Codes beziehungsweise zum unerwünschten Tracking von Nutzern verwendet werden. Ein weiterer Fehler erlaubt das sogenannte UI-Spoofing, was etwa für Phishing-Angriffe verwendet werden könnte. Safari 16 bringt aber auch neue Funktionen. Dazu gehört eine Tab-Gruppen-Startseite, bei der man Hintergrundbild und Favoriten festlegen kann; zudem lassen sich favorisierte Tabs nun anpinnen. Die Seitenleiste listet auf Wunsch geöffnete Tabs. Website-Einstellungen synchronisieren via iCloud und ein verbessertes Passwortmanagement kennt die jeweiligen Kriterien einer Website für Zugänge, sollten diese standardisiert an den Browser gemeldet werden. Angaben dazu, welche Sicherheitslücken in tvOS 16 und watchOS 9 behoben wurden, machte Apple bislang noch nicht. Die in iOS 16 gefixten Bugs scheinen denen in iOS 15.7 behobenen zu entsprechen. macOS Catalina (10.15) hat Apple bislang nicht mit Patches versorgt – ob diese noch kommen, ist unklar.

Quelle: Heise

Bis zu 70 Prozent langsamer: Kernel-Fix gegen Retbleed macht Linux-VMs lahm

Der Patch, der in Linux Kernel 5.19 die neue Version der Spectre-Sicherheitslücke Retbleed schließen soll, soll auf virtuellen Maschinen unter bestimmten Voraussetzungen offenbar viel Leistung kosten. Das schließt der VM-Anbieter VMware aus Tests. In einem Post in der Linux Kernel Mailing List beschreibt VMware-Mitarbeiter Manikandan Jagatheesan das Testvorgehen. So prüfe VMware die Auswirkungen der Linux-Kernel-Releases auf die Performanz der eigenen virtuellen Maschinen regelmäßig. Beim Vergleich zwischen Kernel 5.19 und dem Vorgänger 5.18 habe man dabei Einbußen bei der Rechenleistung von 70 Prozent, bei der Netzwerkgeschwindigkeit von 30 Prozent und bei der Speicherleistung von 13 Prozent beobachten können. Beim Test kam eine virtuelle Linux-Maschine mit Ubuntu 20.04.3 auf dem VMware-Hypervisor ESXi und Intel Skylake CPU zum Einsatz. Die Vermutung, der Retbleed-Patch könnte für die Einbußen verantwortlich sein, habe man dann in der Praxis bestätigen können, so Jagatheesan in seiner Nachricht an die Mailingliste weiter. So habe man den commit 6ad0ad2bf8a6, der den Patch für die „spectre_v2 vulnerability“ enthält, über den Kernel-Boot-Parameter spectre_v2=off in Kernel-Version 5.19 deaktiviert. Bei den anschließenden Tests hätte die virtuelle Maschine dann auch mit der neuen Version des Linux-Kernels die gleiche Leistung erzielt, wie mit Version 5.18. Weil der Patch die spekulative Ausführung im Prozessor unterbindet, die Spectre und Retbleed erst ermöglichen, sind Leistungseinbußen zu erwarten. Dennoch erscheinen die von VMware angegebenen Werte sehr hoch. Retbleed ist eine neue Schwachstelle aus der Familie der Spectre-Lücken. Die Sicherheitslücke haben Schweizer Forscher im Juli 2022 veröffentlicht. Spectre selbst ist bereits seit 2018 bekannt. Der Linux Kernel 5.19 erschien Ende Juli mit einer Woche Verspätung – unter anderem wegen des Patches gegen Retbleed, der im vorherirgen Release-Kandidaten zu einem Leistungseinbruch führte.

Quelle: Heise

Bericht: Um nicht erwischt zu werden, verschlüsselt Ransomware Daten partiell

Um das Zeitfenster zum Reagieren von Anti-Viren-Software und anderen Schutzmaßnahmen zu verkleinern, verschlüsseln einige Ransomware-Varianten Dateien nicht mehr komplett und können ihr Schadenswerk schneller beenden, bevor sie entdeckt werden. Das partielle Verschlüsseln ist ein weiterer Baustein im Katz-und-Maus-Spiel zwischen Ransomware-Machern und Anbietern von Sicherheitstools. Sicherheitsforscher von SentinelLabs haben diesen neuen Ansatz beobachtet. Statt eine komplette Datei zu verschlüsseln, findet der Prozess nur für alle 16 Bytes einer Datei statt. Das reduziert den Zeitraum, in der ein Schädling auf einem Computer aktiv ist. Opfer können ihre Dateien trotz verkürzter Verschlüsselung nicht mehr öffnen und benötigen nach wie vor den Schlüssel, den Kriminelle nur gegen Lösegeld rausrücken. Im gleichen Zuge verkleinert sich das zeitliche Intervall, in dem ein Viren-Scanner reagieren kann. Außerdem finden auf diese Weise weniger Festplattenzugriffe statt. Einige Anti-Ransomware-Tools analysieren solche Zugriffe, um verdächtiges Verhalten festzustellen. Dementsprechend könnten derartige Schutzmaßnahmen ins Leere laufen. Die Sicherheitsforscher geben an, dass sie mit LockFile Mitte 2021 den ersten Erpressungstrojaner beobachtet haben, der diese Taktik an den Tag legt. Mittlerweile haben mehr Ransomware-Entwickler den Ansatz für sich entdeckt. Unter anderem die Verschlüsselungstrojaner Agenda, BlackCat und Black Basta sollen auf diese Art und Weise vorgehen. In ihrer Analyse haben die Forscher herausgefunden, dass Black Basta sogar verschiedene Verschlüsselungsmodi anbietet. Neben der Vollverschlüsselung einer Datei gelingt dies wie beschrieben in bestimmten Byte-Blöcken. Es ist aber auch möglich, dass nur der Header verschlüsselt wird. Ein Auto-Modus kann die verschiedenen Modi bei der Ausführung wechseln. Obendrein sollen Malware-Entwickler stetig an den Verschlüsselungsalgorithmen feilen, um die Geschwindigkeit zu steigern.

Quelle: Heise

Krypto-Malware Shikitega überlistet den herkömmlichen Linux-Schutz

Sicherheitsforscher der AT&T Alien Labs haben eine neue Linux-Malware entdeckt und sie „Shikitega“ getauft. Gleichzeitig haben sie eine detaillierte Analyse der Stufen der Infektion und Einnistung der Schadsoftware veröffentlicht. Wegen deren flexiblen und mehrstufigen Aufbaus ist die Angriffserkennung schwierig. Shikitega verschafft sich Root-Zugriff und installiert den Krypto-Miner XMRig. Der eigentliche Dropper der Linux-Malware ist ein Binärprogramm, das die Angreifer auf dem Zielrechner platzieren und ausführen. Dieses initiale Programm ist lediglich 370 Bytes groß. Alle weiteren Stufen werden erst über Command-and-Control-Server heruntergeladen und ausgeführt. Über den Weg der initialen Infektion macht die Analyse keine weiteren Angaben. Es ist davon auszugehen, dass Shikitega dazu vorhandene Sicherheitslücken von aus dem Internet erreichbaren Diensten für diesen ersten Schritt ausnutzt. Das können typischerweise auch Arbitrary-File-Upload- und Code-Injection-Lücken in Webseiten sein. Das erste Programm der Infektionskette – wie auch das spätere Programm zum Download der Exploits – nutzt den polymorphen „Shikata Ga Nai“ XOR Additive Feedback Encoder. Dabei wird der zur Ausführung vorgesehene Code erst über mehrere Schleifen entpackt. Im nächsten Schritt lädt die aktuelle Version der Malware den Meterpreter „Mettle“ herunter. Er ist ein Teil des Metasploit Penetration Testing Frameworks und eröffnet dem Angreifer eine große Auswahl weiterer Angriffsvektoren. So können beliebiger Code ausgeführt, Remote Shells geöffnet und Befehle über eine Kommandozeile ausgeführt werden. Der Zielrechner verbindet sich dabei über eine TLS-verschlüsselte (Transport Layer Security) Verbindung mit dem System des Angreifers und erhält dann weitere Befehle für individuelle Angriffe. Zusätzlich lädt Shikitega auch ein weiteres Programm in den Arbeitsspeicher des Zielsystems und führt es dort aus. Hier beobachteten die Forscher verschiedene Varianten. Zurzeit werden anfällige Installationen über Angriffe auf polkit (CVE-2021-4034) und das Linux Kernel Dateisystem „overlayfs“ unter Ubuntu (CVE-2021-3493) kompromittiert. Bereits im ersten Release von PolicyKit (inzwischen in polkit umbenannt) befand sich in „pkexec“ eine lokal ausnutzbare Sicherheitslücke, mit der ein Angreifer Root-Rechte erlangen konnten. Mit dem Release v.121 von polkit ist der Fehler behoben, entsprechende Patches wurden auch auf ältere Versionen zurückportiert und durch die Linux-Distributionen verteilt. Auch über eine Lücke des Linux-Kernels unter Ubuntu können Angreifer sich lokal höhere Rechte verschaffen. Dazu muss der Kernel „overlayfs“ unterstützen, weshalb ein besonderes Augenmerk auf den Kernel-Versionen zwischen 3.13 und 5.14 liegt. Die Kombination eines Patches bei Ubuntu und des Codes im Linux-Kernels führen zu dem Fehlverhalten und der Entstehung der Lücke. Mit Root-Rechten ausgestattet, können Angreifer dann die dritte Stufe an Programmen in Form von Shell-Skripten und der XMRig Mining-Schadsoftware für die Kryptowährung Monero herunterladen. Sowohl für den aktuell angemeldeten Nutzer als auch für Root legen die heruntergeladenen Skripte Einträge für Cronjobs an. Diese Einträge sorgen dafür, dass die Mining-Schadsoftware als Prozess sshd mit Root-Rechten unter /var/tmp ausgeführt wird. Ist noch kein cron-Daemon installiert, holt die Malware das nach. Damit nicht mehrere Instanzen laufen, kommt im gleichen Verzeichnis eine Lock-Datei zum Einsatz. Shikitega löscht die Skripte nach der Infektion wieder. Das erschwert das Erkennen der Infektion. Durch den Aufbau der Linux-Malware ist es für die Entwickler von Shikitega jederzeit möglich, sowohl Schadsoftware als auch Exploits anzupassen. Das könnte sowohl dazu dienen, eine Entdeckung mittels Signaturen zu umgehen, als auch dazu, die Zielsetzung der Infektion anzupassen. Auch durch den Austausch der genutzten Domains entstehen neue Signaturen für die geänderten Skripte und Programme. Es reicht damit nicht, dass Administratoren die Signaturen zur Erkennung integrieren und ihre Firewalls ergänzen. Derart abgesicherte Systeme stoßen bei Änderungen der Signaturen schnell an ihre Grenzen. Selbst ein Monitoring der Systeme mit hohen Lasten, etwa durch klassische Software wie Nagios, Munin oder Cockpit, könnte bei einem Wechsel der Schadsoftware ins Leere laufen. Regelmäßige, zeitnahe Aktualisierungen senken das Infektions-Risiko deutlich, ersetzen Wachsamkeit aber auch nicht. Auf infizierten Maschinen findet sich unter /var/tmp die Datei „vm.lock“. AT&T Alien Labs listet eine Reihe von IOCs (Indicator of Compromise) für die einzelnen Programme, genutzten Domains und Exploits zur Angriffserkennung. Zuverlässig bemerken kann man die Änderungen durch die Linux-Malware am System. An dieser Stelle setzen auch verschiedene lokale Intrusion-Detection-Lösungen wie AIDE an. Solche Änderungen am System entstehen auch auf legitime Art und Weise, seien es Aktualisierungen am System oder temporäre Dateien genutzter Anwendungen. Letzten Endes bleibt es also eine Aufgabe der Administration, durch regelmäßige Analysen solche Anomalien zeitnah aufzufinden und die richtigen Schlüsse zu ziehen.

Quelle: Heise

Patchday: Ansatzpunkte für Angreifer in Android 10, 11 und 12 geschlossen

Google hat gegen mögliche Attacken gerüstete Versionen von Android 10, 11, 12 und 12L veröffentlicht. Die Sicherheitspatches sind auch für andere Hersteller verfügbar. Besitzer von Android-Geräten sollten prüfen, ob es Aktualisierungen gibt und, wenn das der Fall ist, ein Update starten. Die aktuellen Patch Level lauten 2022-09-01 und 2022-09-05. Letzterer Eintrag bedeutet, dass neben den aktuellen Updates auch ältere Patches installiert sind. Die Einträge kann man in den Systemeinstellungen prüfen. Das erfolgreiche Ausnutzen vieler Lücken kann Angreifer mehr Rechte im System verschaffen (Elevation of privilege EoP). Damit ausgestattet, könnten sie Geräte im schlimmsten Fall komplett kompromittieren. In einer Warnmeldung stufen die Entwickler eine Lücke (CVE-2022-20218 oder CVE-2022-20392 beide „hoch“) im Framework als besonders gefährlich ein. Hier könnten Angreifer ohne zusätzliche Ausführungsrechte ansetzen und ihre Nutzerrechte hochstufen. Für den Großteil der verbleibenden Schwachstellen gilt der Bedrohungsgrad „hoch“. Neben EoP-Attacken könnten Angreifer noch auf eigentlich nicht zugängliche Informationen zugreifen. Außerdem sind mehrere Komponenten von Drittanbietern betroffen. Eine „kritische“ Lücke (CV-2022-25708) betrifft die WLAN-Firmware von Qualcomm. An dieser Stelle könnte Schadcode auf Systeme gelangen, erläutern die Entwickler in einer Warnmeldung. Wie aus einem Beitrag hervorgeht, bekommt Googles Pixel-Serie an diesem Patchday mehrere Extra-Sicherheitspatches. Diese schließen unter anderem zwei „kritische“ EoP-Lücken (CVE-2022-20231, CVE-2022-20364). Im Kasten auf der rechten Seite finden Besitzer von Android-Herstellern wie LG und Samsung Verweise zum Sicherheitsbereich der Hersteller und der Verfügbarkeit von aktuellen Android-Updates.

Quelle: Heise