Drei Sicherheitslücken in HP Laserjet Pro- und MFP-Modellen haben jetzt Einträge in der CVE-Datenbank und passende Updates zum Schließen erhalten. Angreifer aus dem Netz können durch die Schwachstellen beliebigen Code auf die betroffenen Geräte schleusen oder ihre Rechte ausweiten. Cyberkriminellen könnte das etwa zum Einnisten im Netzwerk dienen. Bei den Schwachstellen handelt es sich um potenzielle Pufferüberläufe. Von denen können Angreifer einen missbrauchen, um ihre Rechte auszuweiten (CVE-2023-27971, CVSS 8.8, Risiko „hoch“). Ein weiterer ermöglicht die Ausführung von Schadcode aus dem Netz (CVE-2023-27972, CVSS 8.8, hoch). Die dritte Lücke ist etwas abweichend ein Heap-basierter Pufferüberlauf, der Angreifern aus dem Netz zum Einschleusen von Schadcode dienen könnte (CVE-2023-27973, CVSS 8.8, hoch). Die Lücken betreffen HP zufolge die Drucker-Baureihen HP Color LaserJet MFP M478-M479, HP Color LaserJet Pro M453-M454, HP LaserJet Pro M304-M305 und M404-M405 sowie HP LaserJet Pro MFP M428-M429 und die zugehörige f-Baureihe davon. Um die Sicherheitslücken zu schließen, stellt HP die Firmware-Version 002_2310A oder neuere zur Verfügung. IT-Verantwortliche sollten diese zügig von der HP-Support-Webseite herunterladen und installieren. Die Suche nach der Modellnummer des Druckers auf der Seite liefert unter anderem die aktuelle Firmware zurück. Anfang April hatte HP eine kritische Schwachstelle in etwa 50 Druckern der Laserjet-Serie gemeldet. Die lassen sich vorerst über temporäre Gegenmaßnahmen absichern – genauer gesagt schafft die Installation einer älteren Firmware vorerst Abhilfe –, ein Patch ist erst in etwa 60 Tagen ab dem jetzigen Meldungszeitpunkt angekündigt.

Quelle: Heise

Auf dem Kommunikationsdienst Telegram wird eine neue Malware angeboten, mit der sich macOS-Nutzer angreifen lassen. Wie das Sicherheitsunternehmen Cyble Research meldet, kann der sogenannte Atomic macOS Stealer, kurz AMOS, zahlreiche Daten vom Mac klauen, darunter das Schlüsselbund, Browser-Passwörter und Cookies und zahlreiche Krypto-Wallets. Die Software wird von Ganoven zum Preis von 1000 US-Dollar im Monat vertrieben, hieß es. Entwickelt wurde AMOS in der von Google herausgebrachten Sprache Go. Die Macher sollen die Malware laut Cyble Research regelmäßig verbessern und mit neuen Funktionen anpreisen. Das letzte Update sei am 25. April erfolgt. „Zielgruppe“ sind demnach vor allem Angreifer, die es auf das Geld ihrer Opfer abgesehen haben, was sich auch aus dem relativ hohen Preis schließen lässt, den die Gruppe hinter AMOS verlangt. Miet-Malware wird auch für den Mac immer wieder angeboten, oft handelt es sich dabei um Ableger bekannter PC-Schädlinge, die für macOS portiert wurden. AMOS scheint nun spezifisch für Apple-Geräte entwickelt worden zu sein. Der Schädling wird als Installationsdatei vertrieben und lässt sich vom Käufer anpassen, schreibt Cyble Research weiter. Gesteuert wird die Malware über einen Command & Control-Servier (C&C), den die Macher unter Kontrolle haben – auf diese Weise ist es ihnen auch möglich, ihre „Abogebühr“ zu verlangen. In der Praxis beherrscht AMOS insgesamt sechs Hauptfunktionen: Zunächst wird das Schlüsselbund samt der enthaltenen Passwörter extrahiert, dann die Wallets verschiedener Apps wie Binance, Exodus oder Electrum (inklusive dem Versuch, die MetaMask-Private-Keys zu entschlüsseln). Weiter geht es mit dem Klau zentraler Daten bekannter Browser wie Chrome samt seiner Derivate sowie Firefox. Schließlich können auch noch vorher programmierte Dateien vom System extrahiert werden und es wird ein Systeminfo-File mit technischen Daten des angegriffenen Systems erstellt. Damit AMOS allerdings überhaupt funktioniert, müssen die Opfer dazu gebracht werden, ihr Kennwort einzugeben. Dazu taucht ein gefälschter Password-Prompt für die Systemeinstellungen auf. Dieser sieht nicht besonders echt aus. Die Malware liefert aber sogar eine „Anleitung“ mit, wie der Nutzer sie zu bedienen hat. Zudem lässt sich die App mangels Developer-Signatur nicht sofort ausführen – Nutzer müssen hier über den „Öffnen“-Dialog gehen.

Quelle: Heise

Google hat den Webbrowser mit der Hauptversionsnummer 113 veröffentlicht. Darin beheben die Entwickler zahlreiche sicherheitsrelevante Fehler. Neue Funktionen für Endanwender finden sich jedoch offenbar nicht darin. Der 113er-Entwicklungszweig startet mit 15 Sicherheitslücken, die gegenüber der letzten Version geschlossen wurden. Oberflächliche Informationen liefert Google in der Versionsankündigung zu zehn davon, die von externen IT-Sicherheitsforschern gemeldet wurden. Davon stufen die Entwickler sieben als mittleres und drei als niedriges Risiko ein. Die schwerwiegendste Lücke beschreibt das Unternehmen als „unangemessene Implementierung in der Prompts-Komponente“ (CVE-2023-2459). Angreifer aus dem netz könnten dadurch Zugriffsbeschränkungen mit sorgsam präparierten HTML-Seiten umgehen. Der Entdecker der Schwachstelle hat dafür noch 7.500 US-Dollar Belohnung aus dem Bug-Bounty-Programm erhalten. Google aktualisiert Chrome für Android auf Version 13.0.5672.76/.77, 113.0.5672.69 für iOS, 113.0.5672.63 für Linux und Mac und schließlich 113.0.5672.63/.64 für Windows. Die Extended-Stable-Version hieven die Entwickler auf den Stand 112.0.5615.179 für Mac und Windows. Ab Chrome 117, der im September erscheinen soll, wollen die Programmierer das Schloss-Symbol in der Adressleiste ersetzen. Es weist bislang unter anderem auf eine verschlüsselte Verbindung zum Server hin. Beim Anklicken liefert es zudem Informationen zur genutzten Verschlüsselung und zu Zertifikaten, aber auch weiterreichende Informationen wie Cookies und ähnlichem. Das neue Symbol zeigt Schieberegler. Das soll verdeutlichen, dass nach einem Klick darauf Informationen erscheinen. Die Entwickler erläutern in einem Blog-Beitrag, dass zuvor lediglich 11 Prozent der Teilnehmer einer Studie tatsächlcih verstanden hatten, was das Schlosssymbol bedeute. Ob die aktuelle Version bereits installiert und aktiv ist, lässt sich durch den Aufruf des Versionsdialogs herausfinden. Den erreicht man durch Klick auf das Chrome-Menü, das sich hinter den drei gestapelten Punkten rechts der Adressleiste, dort unter „Hilfe“ – „Über Google Chrome“ findet. In Linux-Distributionen zeichnet in der Regel die Softwareverwaltung für die Aktualisierung verantwortlich. Diese sollten Linux-Nutzer daher starten und nach verfügbaren Updates suchen und diese bei Verfügbarkeit herunterladen und installieren. Da die Schwachstellen auch das Chromium-Projekt betreffen, auf dem Google Chrome basiert, dürften die Hersteller anderer darauf fußender Webbrowser wie Microsoft Edge in Kürze ebenfalls Aktualisierungen ausliefern. Diese sollten Nutzer zeitnah anwenden.

Quelle: Heise

Zum gefühlt 70. Mal haben Hacker bei T-Mobile USA zugeschlagen. Diesmal ist der unbefugte Zugriff aber kein Flächenbrand: Waren Anfang des Jahres 37 Millionen Kunden von einem Cyber-Angriff auf T-Mobile USA betroffen, sind es diesmal wohl „nur“ 836. Dafür ist die Tragweite für diese Opfer groß. Die abgegriffenen Daten variieren von Kundenkonto zu Kundekonto und können neben der T-Mobile PIN die in den USA besonders wichtige Sozialversicherungsnummer (SSN), sowie Ausweisdaten, Name, Adresse, Geburtsdatum, Telefonnummern, Kundenummer, Kontostand und interne Codes enthalten. T-Mobile hat die betroffenen PIN gesperrt und einen Serienbrief an die betroffenen Kunden geschickt – das allerdings erst mehr als ein Monat nachdem die Firma den Hack erkannt hat. Die unbekannten Täter hatten von 24. Februar bis 30. März Zugriff auf T-Mobiles Systeme. Am 27. März wurde der Einbruch entdeckt. Das geht aus Informationenhervor, die das Justizministerium des US-Staates Main veröffentlicht hat. In seinem Serienbrief beschreibt T-Mobile den Verlauf euphemistisch: Demnach hätten die eigenen Alarmsysteme „wie vorgesehen funktioniert“; T-Mobile sei „in der Lage gewesen, festzustellen, dass sich ein Angreifer Zugriff auf beschränkte Information einer kleiner Anzahl“ von Kundenkonten verschafft hatte, und zwar zwischen (sic) Februar und März. T-Mobiles Kundendaten scheinen besonders häufig von Hacks betroffen zu sein. In den letzten fünf Jahren hat das Unternehmen mehr als einen Hack pro Jahr eingestehen müssen. Bleeping Computer zählt acht Vorfälle, Techcrunch neun, und wir haben inzwischen zu zählen aufgehört. Die Daten sind besonders wertvoll, lassen sich damit doch in fremdem Namen Kredite aufnehmen, Bankkonten eröffnen, Bestellungen tätigen, und so weiter. US-Sozialversicherungsnummern sind in der Regel lebenslang gültig, eine Änderung nach Kompromittierung ist nicht vorgesehen. Außerdem bietet sich das erbeutete Datenmaterial als Ausgangspunkt für gut gemachte Spearphising-Angriffe an. T-Mobile hat die kompromittierten PIN gesperrt und bietet Betroffenen an, zwei Jahre lang die Gebühren für einen Dienst der nordamerikanischen Bonitätsbewertungsfirma Transunion zu zahlen. Dieser Dienst soll darauf aufmerksam machen, wenn im Namen einer Person bestimmte Finanzgeschäfte getätigt und Dauerschuldverhältnisse eingegangen werden. Für die jeweilige echte Person können solche Geschäfte dann aber zum Spießrutenlauf werden. heise security hat T-Mobile USA um Stellungnahme und nähere Auskünfte zur Vorgehensweise des Täters ersucht. Seit Anfang April gehört T-Mobile USA zu 50,2% der Deutschen Telekom (DTAG). Stimmrechte bei T-Mobile hat der Deutsche Netzbetreiber sogar noch etwas mehr, nämlich 53,9 Prozent.

Quelle: Heise

Am Mai-Patchday dichtet Google 44 teils hochriskante Sicherheitslücken im Android-Betriebssystem ab. Dazu gehören diverse Korrekturen für Schwachstellen in den Prozessoren der unterschiedlichen Hersteller – und zwei Updates ohne Einstufung des Schweregrads für das Google Play System Update. Das Patch-Level 2023-05-01 korrigiert 16 sicherheitsrelevante Fehler in den Kernkomponenten des Android-Betriebssystems. Die meisten erlauben Angreifern, ihre Rechte im System auszuweiten, einige können aber auch Dienste lahmlegen oder Informationen unbefugt offenlegen. Bis auf eine Lücke von mittlerem Schweregrad stuft Google die anderen als hohes Risiko ein. Sie betreffen das Framework und das Android-System. Mit dem Patch-Level 2023-05-05 kommen weitere Sicherheits-Updates für Lücken im Kernel, Kernel-Komponenten, sowie die langzeit unterstützten LTS-Kernel (Long Time Support) hinzu. Für die ARM-Grafikeinheiten der Mali-Familie ergänzt Google etwa fünf Fehlerkorrekturen, für Imaginations PowerVR-GPUs eine. Komponenten von Systems-on-Chip (SoCs) von Qualcomm, Mediatek und Unisoc erhalten ebenfalls insgesamt 20 weitere Sicherheitsfixes. SoCs von Qualcomm (Snapdragon) und Mediatek sitzen in den meisten Android-Smartphones. Weitere Informationen listet Google in der Patchday-Ankündigung auf. Die Sicherheitsmeldung zu Googles eigenen Pixel-Patches fällt deutlich kürzer aus. Die Entwickler kündigen darin an, dass alle unterstützten Google-Geräte auf den Stand vom 05. Mai 2023 gehievt werden sollen. Nutzerinnen und Nutzer sollten die Aktualisierungen auf ihren Geräten akzeptieren, empfehlen sie zudem. Die Pixel-Smartphones erhalten zwei weitere Sicherheits-Updates: einmal für den Hardware Composer-Dienst und einmal für die Kamera. Google stuft sie als mittleres Risiko ein. Im April hat Google insgesamt sogar 68 Schwachstellen in den unterstützten Android-Versionen ausgebessert. Die Entwickler stuften sie teilweise als kritisch ein.

Quelle: Heise

Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt davor, dass Cyberkriminelle aktiv Sicherheitslücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic missbrauchen. Die ermöglichen ihnen, in Netzwerke von Opfern einzubrechen und sich einzunisten. Updates zum Schließen der Lücken stehen bereit. Eine der missbrauchten Sicherheitslücken betrifft Apache Log4j2. Im Zuge der Versuche, die Log4Shell-Lücke Ende 2021 zu schließen, kam es zu unvollständigen Korrekturen. Die Schwachstelle CVE2021-45046 gehört dazu, sie galt damals als wenig riskant – die Risikobewertung mit CVSS 3.7 landete bei „niedrig“. Inzwischen wurde sie auf CVSS 9.0, Risiko „kritisch“, heraufgestuft. In aktuellen Versionen ist die Lücke geschlossen. Im WLAN-Router TP-Link Archer AX21 klafft eine Mitte März entdeckte Schwachstelle, die nicht angemeldeten Angreifern durch das einfache Senden einer präparierten HTTP-Post-Anfrage das Einschleusen und Ausführen von Befehlen als root-Benutzer erlaubt (CVE-2023-1389, CVSS 8.8, hoch). Nicht angemeldete Angreifer aus dem Netz missbrauchen zudem eine Lücke im Oracle Weblogic Server – Teil der Oracle Fusion Middleware –, um Instanzen zu kompromittieren (CVE-2023-21839, CVSS 7.5, hoch). Zum Schließen der Lücke stehen Aktualisierungen bereit. IT-Verantwortliche sollten sie zügig anwenden – für Apache und Oracle über die gewohnten und geübten Wege. Die Firmware-Version 1.1.4 Build 20230219 für den Archer AX21 soll die Lücke abdichten; sie ist auf der Webseite von TP-Link zum Download verfügbar. Die CISA hat aktive Angriffe auf die Sicherheitslücken beobachtet und sie daher in den Known-Exploited-Vulnerabilities-Katalog aufgenommen.

Quelle: Heise

Das nordrhein-westfälische Schulministerium hat nach Download-Schwierigkeiten seiner Abiturprüfungen und dann aufgedeckten Sicherheitslücken auf einem Server der Qualitätsagentur – Landesinstitut für Schule und Bildung (QUA-LiS) noch mehr Schwachstellen eingestanden. Für die Untersuchung der Schwachstellen hatte das Ministerium die Cybersecurity-Abteilung der Beratungsfirma Ernst & Young beauftragt. Der betroffene Server sei nach den weiteren Funden abgeschaltet worden. Carl Fabian Lüpke („Flüpke“), der das erste Leck dem Computer Emergency Response Team für Bundesbehörden (CERT-Bund) gemeldet hatte und der beim Chaos Computer Club (CCC) aktiv ist, kritisierte nach den neusten Meldungen aus dem Schulministerium öffentlich auf Twitter, dass „Ernst & Young sich jetzt ohne einen Finger krumm zu machen an meiner Arbeit bereichern darf!„. Zu den neu gefundenen Sicherheitslücken heißt es aus dem Schulministerium, dass diese vermutlich schon seit Jahren bestanden haben. Der nun abgestellte Server der QUA-LiS soll von Beschäftigten als gemeinsame Arbeitsplattform genutzt worden sein – unter anderem für den Austausch und die gemeinsame Arbeit an Dokumenten, beispielsweise für die Lehrplanarbeit oder den Bereich der Fortbildung. Auszuschließen sei auch nicht, dass noch mehr Schwachstellen gefunden werden, heißt es aus dem Ministerium. Das Team von EY schaue sich die gesamte IT-Struktur der QUA-LiS an. Zur vom CCC aufgedeckten Lücke stellte das Schulministerium ebenfalls mehr Informationen bereit. Demnach konnte vom EY-Team bestätigt werden, „dass nach bisherigen Erkenntnissen davon auszugehen ist, dass mindestens 16.557 Datensätze ausgelesen wurden, die im Regelfall ausschließlich einen Nutzernamen aus einer Kombination aus Vor- und Zunamen enthalten. Weiter ist nach bisherigen Erkenntnissen davon auszugehen, dass mindestens 3.765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen wurden.“ Diese Einträge sollen über die Nutzernamen hinaus folgende Informationen enthalten haben: die organisatorische Rolle im Schulsystem der Person (z.B. „stellvertretende Leitung“), die Institutionszugehörigkeit (z.B. Name der Schule), die postalische Adresse, die dienstliche oder private Festnetz- und Mobilfunknummer, die dienstliche oder private E-Mail-Adresse und weitere technische Daten wie etwa das Erstellungsdatum der jeweiligen Accounts. Die Datensätze bezögen sich „aller Voraussicht nach auf Mitarbeiterinnen und Mitarbeiter der QUA-LiS sowie auf weitere externe Personen.“ Zugehörige Kennwörter sollen nach gegenwärtigen Kenntnisstand nicht ausgelesen worden sein. Die Datenanalyse werde weiter fortgesetzt. Die jetzt präsentierten Ergebnisse bestätigen damit auch die Angaben von Lilith Wittmann zu dem Fall. Laut ihrer Aussage, sei das ganze Active Directory auslesbar gewesen und mit diesen Daten wäre etwa auch die Übernahme von Accounts von E-Mail-Adressen möglich gewesen, „bei denen Domains nicht mehr existierten“. Schul- und Bildungsministerin Dorothee Feller (CDU) erklärte: „Wir werden alle Untersuchungen weiter mit Hochdruck vorantreiben, um den Missbrauch von Daten zu verhindern.“

Quelle: Heise

Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt vor Sicherheitslücken in der Software für die Geräte von Illumina. Diese werden weltweit eingesetzt und dienen etwa der DNS-Sequenzierung. Angreifer aus dem Netz können durch die teils kritischen Schwachstellen beliebigen Code auf die Geräte schleusen und ausführen und so die Kontrolle darüber übernehmen. Die CISA erläutert in einer Warnung, dass diese Schwachstellen es Angreifern möglich machten, beliebige Aktionen auf Betriebssystemebene durchzuführen. Sie könnten Einstellungen, Konfigurationen, Software oder Daten auf betroffenen Produkten manipulieren. Ebenfalls könnten sie über verwundbare Geräte im lokalen Netzwerk aktiv bleiben. Die Sicherheitslücken betreffen den Dienst Universal Copy Service (UCS) auf den betroffenen Produkten. Geräte mit der Version 2.x des Dienstes sind verwundbar, da dieser an eine unbeschränkte IP-Adresse bindet – sprich, er lauscht auf der Adresse 0.0.0.0 und erlaubt Zugriff von allen IP-Adressen. Die CISA schreibt, dass „ein nicht authentifizierter böswilliger Akteur UCS verwenden könnte, um alle IP-Adressen abzuhören, einschließlich derer, die in der Lage sind, Verbindungen aus dem Netz zu akzeptieren“ (CVE-2023-1968, CVSS 10.0, Risiko „kritisch“). Geräte mit UCS 1.x und 2.x nutzen zudem unnötig hohe Rechte im System. Nicht authentifizierte Angreifer können dadurch beliebigen Code hochladen und ausführen – auf Betriebssystemebene (CVE-2023-1966, CVSS 7.4, „hoch“). Geräte mit folgender Software sind verwundbar, weshalb Administratoren bei ihnen aktiv werden sollten:

• iScan Control Software: v4.0.0 und v4.0.5
• iSeq 100: Alle Versionen
• MiniSeq Control Software: v2.0 und neuer
• MiSeq Control Software: v4.0 (RUO Mode)
• MiSeqDx Operating Software: v4.0.1 und neuer
• NextSeq 500/550 Control Software: v4.0
• NextSeq 550Dx Control Software: v4.0 (RUO Mode)
• NextSeq 550Dx Operating Software: v1.0.0 bis 1.3.1
• NextSeq 550Dx Operating Software: v1.3.3 und neuer
• NextSeq 1000/2000 Control Software: v1.4.1 und ältere
• NovaSeq 6000 Control Software: v1.7 und vorhergehende
• NovaSeq Control Software: v1.8

Illumina stellt eine Anleitung bereit, die temporäre Gegenmaßnahmen und Software-Aktualisierungen für betroffene Produkte und Software auflistet. IT-Verantwortliche sollten es prüfen und diese Maßnahmen zügig umsetzen. Im August vergangenen Jahres hatte Illumina schon mal kritische Sicherheitslücken in den eigenen Geräten gemeldet.

Quelle: Heise

Kleiner Fehler, große Wirkung: Eine API des US-amerikanischen Telekommunikationsanbieters AT&T war nicht zureichend vor unbefugten Zugriffen geschützt. Dadurch konnten Betrüger Zugriff auf Mailkonten von Nutzern erlangen. Damit haben sie schließlich einen Raubzug gestartet und die Krypto-Währungen der Opfer abgezogen. Wie Techcrunch berichtet, waren davon E-Mail-Adressen mit den Domains att.net, sbcglobal.net, bellsouth.net und anderen AT&T-Domains und -Diensten betroffen. Die Opfer haben ironischerweise den zusätzlichen Sicherheitsmechanismus Zwei-Faktor-Authentifizierung (2FA) eingesetzt. Der erweiterte Schutz durch Mehr-Faktor-Authentifizierung soll eigentlich sicherstellen, dass wirklich nur Inhaber des zusätzlichen Faktors Zugriff auf den Mail-Dienst erhalten. Etwa beim Zugriff auf das Webmail-Konto fragt ein Dienst dann bei erstmals neu genutzten Webbrowsern auf einem Gerät den Zusatzfaktor zum Beleg der Inhaberschaft an. So können etwa erbeutete Zugangsdaten aus Datenlecks nicht genutzt werden, um Zugriff zu erlangen, da dort in der Regel der zweite Faktor fehlt. Ältere Software hat jedoch keine Möglichkeit, einen zweiten Faktor auszuwerten. So ist etwa der IMAP-Zugang zu Mails nicht ohne Weiteres derart zu schützen. Die meisten Programme und Dienste nutzen noch Nutzername und Passwort zur Prüfung der Zugangsberechtigung. Damit aber die Sicherheit nicht komplett darunter leidet, bieten die Mail-Hoster in der Regel an, ein anwendungsspezifisches Passwort zu erstellen. Das erlaubt beispielsweise lediglich den Zugriff auf E-Mails, nicht jedoch auf das komplette Nutzerkonto und die zugehörigen Einstellungen. Den Cyberkriminellen gelang es, auf die API von AT&T zuzugreifen, mit der sich diese anwendungsspezifischen Passwörter erstellen lassen – das Unternehmen nennt sie „sichere E-Mail-Schlüssel“ (secure mail key). Damit standen ihnen die betroffenen Mail-Konten offen. Sie haben von dort aus unter anderem Passwörter für lukrativere Dienste zurückgesetzt, etwa für Krypto-Börsen. Die Angreifer konnten damit etwa die Passwörter von Coinbase- und Gemini-Zugängen zurücksetzen und dann darauf zugreifen. Die zugehörigen Mails haben sie schnell gelöscht, sodass sie den Opfern nicht auffallen konnten. Zwei Opfer konnte Techcrunch kontaktieren, eines wurde inzwischen bereits um Krypto-Währung im Wert von 134.000 US-Dollar im Coinbase-Konto erleichtert. Seit November 2022 sei es allein bei ihm bereits zehn Mal zu solchen Angriffen gekommen. Outlook zeigte dabei einen Verbindungsfehler an. Das Opfer habe sich dann in seinem AT&T-Konto angemeldet und das neu erstellte anwendungsspezifischen Passwort entfernt und ein neues erstellt. Das sei sehr frustrierend gewesen, da die Angreifer offenbar direkten Zugriff auf die Outlook-Zugangsdaten zu haben schienen und sich nicht erst an der Webseite anmelden und die Daten ändern mussten. Ein Unternehmenssprecher von AT&T teilte demnach mit, dass das Unternehmen „die unbefugte Erstellung von sicheren E-Mail-Schlüsseln entdeckt hat, die in einigen Fällen verwendet werden können, um auf ein E-Mail-Konto zuzugreifen, ohne ein Passwort zu benötigen“. „Wir haben unsere Sicherheitskontrollen aktualisiert, um derartige Aktivitäten zu verhindern. Als Vorsichtsmaßnahme haben wir bei einigen E-Mail-Konten proaktiv die Passwörter zurückgesetzt“, fügte der Sprecher hinzu. Weiter führte er aus, dass „dieser Vorgang alle sicheren E-Mail-Schlüssel gelöscht hat, die erstellt wurden“, ohne jedoch darauf einzugehen, wie viele Konten betroffen waren. Ein Screenshot von Telegram liegt Techcrunch zudem vor, demzufolge die Angreifer behaupten, die komplette Angestellten-Datenbank von AT&T zu haben, womit sie Zugang zu internen AT&T-Portalen für Angestellte erhalten könnten. Allerdings fehle ihnen noch ein Zertifikat, mit dem sie auf die AT&T-VPN-Server zugreifen könnten. Ein Tippgeber steckte dem Magazin, dass die Täter inzwischen Zugang zu AT&Ts internem VPN hätten. Dies stritt der Unternehmenssprecher jedoch ab: „Bei diesem Exploit wurde nicht in ein System eingegriffen. Die Angreifer nutzten einen API-Zugang“. Es bleibt unklar, wie die Cyberkriminellen Zugang zu der API erhalten haben und ob sie tatsächlich interne Daten abgreifen konnten.

Quelle: Heise

Das Datenvisualisierungswerkzeug Grafana steht in neuer Version für diverse Versionszweige bereit. Sie enthalten alle eine Korrektur, die eine als hochriskant eingestufte Sicherheitslücke schließen. Die Cloud-Versionen von Grafana sind bereits auf dem aktuellen Stand, IT-Verantwortliche mit On-Premise-Installationen sollten die bereitstehenden Aktualisierungen zügig anwenden. Alle neuen Versionen schließen eine Sicherheitslücke, die die Drittherstellerkomponente crewjam/saml betrifft. Grafana nutzt die Security Assertion Markup Language-Bibliothek (SAML) zum Austausch von Informationen zur Authentifizierung. Die Funktion flate.NewReader begrenzt die Länge von Eingaben nicht. Angreifer könnten mehr als ein Megabyte an Daten in einer HTTP-Anfrage an die Funktion schicken, die serverseitig mit dem Deflate-Algorithmus entpackt werden. Durch das Senden mehrer Anfragen lässt sich verlässlich ein Absturz provozieren, da das Betriebssystem den Prozess beendet (CVE-2023-28119, CVSS 7.5, Risiko „hoch“). Bei der Einrichtung von Grafana lässt sich die Option aktivieren, JSON Web Token-Authentifizierung (JWT) zu nutzen. Dadurch können Nutzer sich mit speziellen Headern authentifizieren. Grafana unterstützt auch ein URL-Login, bei dem das Token als Query-Parameter übertragen wird. Dadurch wird es der Datenquelle als Header übertragen, wodurch sensible Informationen an unbefugte Dritte gelangen könnten (CVE-2023-1387, CVSS 4.2, mittel). Die hochriskante Lücke betrifft Grafana Enterprise ab Version 7.3.0-beta1, das potenzielle Informationsleck Grafana ab Version 9.1.0. Die aktualisierten Versionen Grafana 9.5.1, 9.5.0, 9.4.9, 9.3.13 und 9.2.17 dichten die Schwachstellen ab. 8.5.24 schließt lediglich die hochriskanten Lücke, das Datenleck ist im 8er-Zweig nicht vorhanden. In der Sicherheitsmeldung von Grafana sind die Downloads der aktualisierten Versionen verlinkt. Administratoren sollten sie zur Minimierung der Angriffsfläche zeitnah herunterladen und installieren. Zuletzt hatte das Grafana-Projekt im März die Version 9.4 veröffentlicht. Darin haben die Entwickler unter anderem das Panel_Design erneuert, die Suche und Navigation aktualisiert sowie neue Authentifizierungsfeatures einziehen lassen.

Quelle: Heise

Der IT-Dienstleister Bitmarck, der insbesondere für gesetzliche Krankenversicherungen wie DAK und diverse Betriebskrankenkassen arbeitet, wurde erneut Opfer eines Cyber-Angriffs. In der Folge kam es seit dem Dienstag dieser Woche zu technischen Störungen im Tagesgeschäft einiger Krankenkassen. Auch die Webseite von Bitmarck war deshalb zeitweilig nicht erreichbar. Am Dienstag hat Bitmarck die Cyber-Attacke noch aktiv abgewehrt. Auf Anfrage von heise online antwortete ein Unternehmenssprecher: „Wir können bestätigen, dass wir derzeit eine Cyberattacke abwehren. Die Frühwarnsysteme von Bitmarck haben Angriffe auf Bitmarck-interne Systeme gemeldet. Um einen Angriff zu vereiteln beziehungsweise negative Auswirkungen zu unterbinden, nimmt Bitmarck aktuell gezielt einzelne Kunden- und interne Systeme vom Netz“. Datenabflüsse seien nicht festzustellen. Die Abschaltung erfolge entsprechend der allseits abgestimmten Sicherheitsrichtlinien von Bitmarck, ergänzte der Sprecher. Er führt weiter aus: „Im Zuge dessen kommt es bei einzelnen gesetzlichen Krankenversicherungen sowie bei Bitmarck vorübergehend zu technischen Störungen und zu Einschränkungen im Tagesgeschäft. Die kurzzeitige Nichterreichbarkeiten der Bitmarck-Website steht in diesem Zusammenhang, konnte aber wieder behoben werden“. Das Unternehmen stehe mit betroffenen Kunden in engem Austausch und stimme die notwendigen Schritte ab. Bitmarck bemühe sich dabei, die Einschränkungen so gering wie möglich zu halten. „Alle zuständigen Behörden wurden aktiv und frühzeitig informiert. Bitmarck steht mit diesen im Austausch und kooperiert umfassend“, betonte der Unternehmenssprecher. Am Mittwoch ergänzte der Bitmarck-Sprecher: „Wir mussten in der vergangenen Nacht unsere Abwehrmaßnahmen verschärfen. Im Zuge dessen haben wir definierte Cluster unserer IT-Infrastruktur vom Netz getrennt“. Das sei präventiv geschehen, um möglichen Schaden von dem Unternehmen und seinen Kunden abzuwehren. „In der Folge kommt es zu größeren Einschränkungen der Erreichbarkeit von Gesetzlichen Krankenversicherungen“, erklärt Bitmarck dazu. Die Prüfung von Zuzahlungsbefreiungen von Patienten war ebenfalls temporär seit dem 25. April für die von Bitmarck betreuten Krankenkassen gestört. Die Seite scanacs listete die Krankenkassen Audi BKK, BAHN-BKK, BKK Miele, BKK Pfalz, Bosch BKK, hkk, pronova BKK, Siemens BKK, IKK – die Innovationskasse, mhplus, BMW BKK, BKK VBU, vivida bkk und die IKK Classic auf. Auch die Telematik-Infrastruktur meldet inzwischen Störungen bei der Nutzung der elektronische Patientenakte (ePA) bei der Allianz, hkk, DAK, KKH, Mobil BKK, svlfg, BKK und IKK. Auch die Zustellung von elektronischen Arbeitsunfähigkeitsbescheinigungen (eAU) oder elektronischer Arztbriefe seien betroffen. Bereits im Januar gelang es Cyberkriminellen, bei Bitmarck einzubrechen. Dabei kamen sensible Daten von rund 300.000 Online-Kunden verschiedener Krankenkassen abhanden und landeten offen im Netz. Das Unternehmen wollte mit höchster Priorität untersuchen, warum – wenn auch etwas ältere – Datenbestände im Kollaborationstool Jira vorlagen.

Quelle: Heise

Microsofts Browser „Edge“ überträgt nach einem jüngsten Update offenbar alle aufgerufenen URLs an eine API der Suchmaschine Bing. Nach bisherigen Erkenntnissen ist das ein Bug und kein Feature, hängt aber mit einem solchen zusammen. Betroffen ist Edge ab Version 112.0.1722.34. Das Problem ist Microsoft bekannt und wird untersucht. Aufgefallen war der Datenfluss zuerst einem Entwickler auf Reddit. Demnach ruft Edge bei nahezu jeder Webseite eine API auf der Microsoft gehörenden Domain bingapis.com auf und übergibt die vollständige URL der besuchten Website. Laut einem Bericht von The Verge hängt das unerwünschte Verhalten mit einem neuen Edge-Feature zusammen, das Microsoft seit dem vergangenen Jahr testet. Mit „Creator Follow“ können Nutzer bestimmten Autoren, Youtubern oder Influencern folgen. Edge gibt dann einen Hinweis, wenn es neue Inhalte der abonnierten Personen gibt – und macht auch Vorschläge für neue Abos. Die Vorschlagsfunktion ist offenbar schlampig implementiert worden und schickt nun Anfragen für jede Website an die API. Die Funktion ist werksseitig aktiviert und lässt sich in den Einstellungen des Browsers abschalten (unter „Dienste“, „Vorschläge zum Folgen von Creator“). Dann schickt Edge auch keine URLs mehr an die API, heißt es bei The Verge weiter. Microsoft seien die Berichte bekannt, erklärte eine Sprecherin gegenüber dem US-Magazin. „Wir untersuchen das und werden Maßnahmen ergreifen, um eventuelle Probleme zu beheben.“ Weitere Angaben zur Funktion der API und der übertragenen Daten machte das Unternehmen nicht.

Quelle: Heise

Eine oftmals gewünschte Funktion zum Sichern respektive Synchronisieren der geheimen Seeds, aus denen ein Authenticator Einmalpasswörter generiert, hat Google gerade erst seinem Authenticator verpasst. Allerdings sind die sensiblen Geheimnisse dabei nicht so sicher, wie man das eigentlich erwarten würde. Mit der neuen Synchronisierung lässt sich der Authenticator etwa auf mehreren Geräten gleichzeitig nutzen – zum Beispiel sowohl unter iOS als auch auf dem Android-Smartphone. Und bei Verlust eines Gerätes lässt sich der Authenticator etwa auf einem neuen Smartphone damit einrichten. Die iOS-App-Entwickler mit dem Twitter-Namen Mysk fanden bei der Untersuchung des Netzwerkverkehrs jedoch heraus, dass die App diese Geheimnisse im Klartext an Google sendet: Die streng geheimen Daten sind zwar mit TLS transportgesichert, aber nicht Ende-zu-Ende-verschlüsselt (E2E). Damit sind diese Daten etwa für Google lesbar. heise Security konnte mit der zum Meldungszeitpunkt aktuellen Version des Google Authenticators unter Android 13 das Problem nachstellen. Unser TOTP-Geheimnis ging beim Synchronisieren über das Netz an Google. Als Man-in-the-Middle konnten wir es Base32-kodiert im Datenstrom aufspüren. Dabei war in den Google-Einstellungen sogar die On-device Encryption aktiviert, die dafür sorgt, dass Googles Passwort-Manager Passwörter nur E2E-gesichert speichert. Eine entsprechende Sicherung hätten wir auch für die TOTP-Geheimnisse erwartet. E2E-Verschlüsselung für wichtige Geheimnisse wie Passwörter und Passkeys ist mittlerweile der Stand der Technik. Das stellt sicher, dass nur der Nutzer selbst, nicht aber ein Dienstbetreiber – oder ein Einbrecher bei diesem – Zugriff auf diese essenziellen Daten hat. Das hat nach langem Zaudern auch Google erkannt und sichert Passkeys E2E-geschützt, selbst der Google Passwort Manager beherrscht das mittlerweile. Bei dem synchronisierten Seed handelt es sich um das Geheimnis, mit dem ein Authenticator den aktuellen Code für eine Zweifaktor-gesicherte Anmeldung berechnet. Mit diesem können Angreifer also die Zweifaktor-Authentifizierung aushebeln und auf die damit geschützten Konten zugreifen, sofern sie sich zuvor bereits das Passwort beschafft haben. Ein Backup muss daher so gesichert sein, dass nur die eigentlichen Nutzer darauf Zugriff erhalten können. Dass Google das durchaus kann, beweist die zuvor erwähnte E2E-Verschlüsselung von Passwörtern und Passkeys. Von der Synchronisation der Geheimnisse in Google Authenticator ist derzeit daher dringend abzuraten, resümiert Mysk auf Twitter. heise Security rät im aktuellen Zustand sogar ganz von einer Nutzung des Authenticators ab, da man einen ungewollten Abfluss der Seeds etwa durch versehentliches Einschalten der Synchronisierung nicht ausschließen kann. Andere Apps wie Authy bieten ebenfalls Synchronisierung und Backup der TOTP-Geheimnisse, sichern diese aber mit einem nur dem Nutzer bekannten Master-Passwort. Wer das Backup bereits aktiviert hat, sollte es zunächst wieder deaktivieren und anschließend die Zwei-Faktor-Seeds aller mit dem Authenticator verwalteten Konten zurücksetzen. So lässt sich die Vertraulichkeit wiederherstellen. Eine Antwort von Google bezüglich der Fragen, ob das Unternehmen etwa das Backup-Verhalten bestätigen und korrigieren möchte, steht derzeit noch aus. Mysk hat bereits Ende Februar mehrere bösartige Authenticator-Apps im Apple Store und Google Play aufgespürt. Damals stuften sie das Problem als „bösartig Daten stehlen“ oder „inkompetent programmiert“ ein.

Quelle: Heise

Das Abitur-Chaos in Nordrhein-Westfalen, bei dem überlastete Server eine Technikpanne ausgelöst und den Download der Prüfungsaufgaben verhindert haben sollen, zieht weitere Kreise. Die nordrhein-westfälische Schulministerin Dorothee Feller (CDU) teilte am Montag mit, dass auf einem „Testserver“ der zu ihrem Geschäftsbereich gehörenden Qualitäts- und Unterstützungsagentur eine IT-Schwachstelle gefunden worden sei. Über dieses System habe die Möglichkeit bestanden, „500 Nutzerdaten einer anderen, internen Arbeitsplattform“ der Agentur auszulesen. Dabei habe es sich etwa um Usernamen und E-Mail-Adressen gehandelt. Sicherheitsexperten zufolge war das inzwischen abgedichtete Leck deutlich größer. Er habe 3765 Datensätze dem Computer Emergency Response Team für Bundesbehörden (CERT-Bund) gemeldet, erklärte Carl Fabian Lüpke („Flüpke“), einer der Sprecher des Chaos Computer Clubs (CCC) in sozialen Medien. In der entsprechenden Groupware BSCW seien sogar 16.557 Mitglieder angelegt gewesen. Dazu habe aber nur ein „Distinguished Name“ vorgelegen, also eine Position eines Objektes im Windows-Verzeichnisdienst Active Directory. Diese Angabe kann für weitere Abfragen oder Befehle für Auswertungen genutzt werden, enthält aber zunächst nur eingeschränkte personenbezogene Informationen. Letztlich habe das gesamte Active Directory offen gestanden, schreibt Lilith Wittmann. Betroffen gewesen seien 16.000 User „mit Namen, E-Mails und Jobs“, was „einige andere interessante Sicherheitslücken eröffnet“ habe. So wäre etwa auch die Übernahme von Accounts von E-Mail-Adressen möglich gewesen, „bei denen Domains nicht mehr existierten“. Bei den zunächst angezeigten 500 Konten handle es sich offenbar um ein Darstellungslimit auf dem Server, erläuterte Flüpke. Die Sicherheitslücke habe aber nicht die Aus- und Durchführung der Abiturklausuren betroffen. Ein Zugriff darauf sei über die gekaperten Accounts nicht möglich gewesen. Die betroffenen Konten seien inzwischen ans Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet worden. Feller hat laut WDR im NRW-Landtag inzwischen eingeräumt, dass die Datenpanne offenbar größer war als zunächst angegeben. Wie viele Daten betroffen waren, werde gerade geprüft. Die Ressortleiterin ordnete am Montag bereits an, alle IT-Prozesse beim Landesschulinstitut zu kontrollieren und „einer detaillierten Analyse durch IT-Expertenteams“ zu unterziehen. Dies habe „absolute Priorität“: Es müsse hier Klarheit geben, wie es zu der Lücke kommen konnte, die aber getrennt von den Störungen beim Zentralabitur zu betrachten sei. Alle Downloadprozesse in diesem Zusammenhang verliefen mittlerweile normal. „Wir haben Zweifel an der Digitalisierungskompetenz des nordrhein-westfälischen Schulministeriums“, argwöhnte Flüpke indes gegenüber dem Online-Dienst Table.Media. Zuvor hatten die Klausuren verschoben werden müssen, da weder Plan A noch B zum Download funktionierten: IT-Systeme des beauftragten Dienstleisters sollen nicht optimal dimensioniert gewesen sein.

Quelle: Heise

In VMware Workstation und Fusion schließt der Hersteller teilweise kritische Zero-Day-Sicherheitslücken. Einige davon wurden auf der diesjährigen Pwn2Own-Konferenz vorgeführt. Sie ermöglichen etwa das Ausbrechen aus dem Gast-System, den unbefugten Zugriff auf Informationen von virtuellen Maschinen oder das Ausweiten der Rechte auf dem Host-System. Die als kritisch eingestufte Sicherheitslücke betrifft VMware Workstation und Fusion. Angreifer können den Fehler in der Funktion zum Teilen von Bluetooth-Geräten missbrauchen, wenn sie lokale Administratorrechte innerhalb einer virtuellen Maschine haben. Dadurch können sie beliebigen Code als VMX-Prozess der virtuellen Maschine auf dem Host ausführen (CVE-2023-20869, CVSS 9.3, Risiko „kritisch“). Die SCSI-CD/DVD-Emulation können Angreifer missbrauchen, um eigenen Code auf dem Hypervisor einer virtuellen Maschine auszuführen. Dazu muss jedoch ein physisches CD- oder DVD-Laufwerk angeschlossen und für die Nutzung eines virtuellen SCSI-Controllers konfiguriert sein (CVE-2023-20872, CVSS 7.7, hoch). In VMware Fusion können Angreifer ihre Rechte ausweiten, wenn sie Lese- und Schreibzugriffe auf das Host-Betriebssystem haben (CVE-2023-20871, CVSS 7.3, hoch). Eine weitere Lücke im Code zum Teilen von Bluetooth-Geräten ermöglicht Angreifern, unbefugt Informationen aus dem Hypervisor-Speicher einer virtuellen Maschine auszulesen (CVE-2023-20870, CVSS 7.1, hoch). Informationen, wie Angriffe auf die Schwachstellen konkret aussehen könnten, liefert VMware in der Sicherheitsmeldung nicht. Die Sicherheitslücken betreffen VMware Workstation sowohl unter Linux als auch unter Windows sowie VMware Fusion unter macOS. Das Unternehmen stellt die fehlerbereinigten Versionen VMware Workstation 17.0.2 sowie VMware Fusion 13.0.2 für Intel-CPUs sowie Apple Silicon zum Download auf der Webseite bereit. In einer Sicherheitsmeldung hat VMware Details zu den Lücken gebündelt. Darin verlinkt das Unternehmen auch auf weitere Informationen und mögliche temporäre Gegenmaßnahmen zu den einzelnen Schwachstellen. IT-Verantwortliche sollten jedoch die angebotene aktualisierte Software zügig herunterladen und installieren. Im Februar hatte der Hersteller bereits Schwachstellen in VMware Workstation abdichten müssen. Durch die hochriskante Lücke konnten Angreifer aus Gastsystemen heraus Dateien auf dem Host-System löschen.

Quelle: Heise

Zyxel hat Sicherheitsmeldungen herausgegeben, in denen der Hersteller vor teilweise kritischen Sicherheitslücken in Firewalls und Access Points warnt. Aktualisierte Software zum Schließen der Schwachstellen steht bereit. Administratorinnen und Administratoren sollten sie zügig installieren. Insgesamt drei Security-Advisories hat Zyxel am Dienstag veröffentlicht. Sie behandeln zusammen neun Sicherheitslücken mit CVE-Einträgen, von denen eine als kritisches Risiko gilt, sechs als hohes und je eine als mittlerer und niedriger Bedrohungsgrad. Die kritische Schwachstelle ermöglicht nicht authentifizierten Angreifern aus dem Netz, durch das Senden von bösartig präparierten Paketen an ein verwundbares Gerät Befehle im zugrundeliegenden Betriebssystem auszuführen. Ursächlich sei eine unzureichende Behandlung von Fehlernachrichten (CVE-2023-28771, CVSS 9.8, Risiko „kritisch“). Betroffen sind Zyxel ATP, USG Flex und VPN mit ZLD 4.60 bis 5.35; Version 5.36 dichtet die Lücke ab. Zudem steht für ZyWALL/USG die fehlerbereinigte Firmware ZLD 4.73 Patch 1 bereit. Das zweite Advisory bündelt sechs Schwachstellen in den Firewalls und Access Points von Zyxel. Vier davon betreffen CGI-Programme auf den Geräten, die angemeldeten Administratoren oder teils auch Nutzern Denial-of-Service-Attacken ermöglichen oder das unbefugte Ausführen von Befehlen im Betriebssystem. Wenn IT-Verantwortliche den Zugriff aus dem Internet freigegeben haben, könnten nicht authentifizierte Angreifer zudem Core-Dumps auslösen. Die Lücken gelten größtenteils als hochriskant (CVE-2023-22913, CVSS 8.1, Risiko „hoch“; CVE-2023-22914, CVSS 7.2, hoch; CVE-2023-22915, CVSS 7.5, hoch; CVE-2023-22916, CVSS 8.1, hoch; CVE-2023-22917, CVSS 7.5, hoch; CVE-2023-22918, CVSS 6.5, mittel). Auch diese Lücken stopft die ZLD-Version 5.36 für Zyxel ATP, USG Flex, URG Flex 50(W), USG 20(W)-VPN, sowie in der Sicherheitsmeldung aufgelistet Hotfixes und Firmware-Updates für zahlreiche Access Points. Im letzten Fehlerbericht nennt Zyxel zwei Schwachstellen in den Firewalls, die das Update auf ZLG 5.36 für Zyxel ATP, USG Flex, USG Flex 50(W), USG 20(W)-VPN und VPN abdichtet. Nur knapp am kritischen Status schrammt eine Lücke vorbei, durch die angemeldete Angreifer aus dem Netz – der WAN-Zugriff muss jedoch zuvor aktiviert worden sein – Kommandozeilenbefehle im Betriebssystem der Firewalls ausführen können (CVE-2023-27991, CVSS 8.8, hoch). Zudem war eine Cross-Site-Scripting-Lücke in älteren Softwareständen zu finden (CVE-2023-27990, CVSS 3.5, niedrig). Die Sicherheitsmeldungen mit weiteren Details finden sich hier:

• Zyxel security advisory for OS command injection vulnerability of firewalls
• Zyxel security advisory for multiple vulnerabilities of firewalls and APs
• Zyxel security advisory for XSS vulnerability and post-authentication command injection vulnerability in firewalls

IT-Verantwortliche sollten die bereitstehenden Updates zügig herunterladen und anwenden, um die potenzielle Angriffsfläche zu reduzieren. Zuletzt hatte Zyxel im vergangenen Herbst Schwachstellen in NAS-Systemen gemeldet. Durch kritische Sicherheitslücken hätten Angreifer Schadcode auf die Geräte schleusen können.

Quelle: Heise

IT-Sicherheitsforscher von Secureworks haben mit der Bumblebee-Malware infizierte Installer entdeckt, die beliebte Software aus dem professionellen Umfeld einrichten sollen. Diese trojanisierten Installationspakete würden mittels SEO-Poisoning und Malvertising beworben und damit erfolgreich auf Opfersuche gehen. SEO-Poisoning bezeichnet einen Angriff auf Suchmaschinen. Die zeigen dadurch in der Trefferliste bei der Suche die Seiten von Cyberkriminellen ganz weit vorn an. Das lockt Opfer auf gefälschte Download-Seiten, die die Schadsoftware mit dem regulären Installer gebündelt verteilen. Zudem würden in Google Ads bösartige Werbungen eingeschleust, die auf die Malware verweisen. Um keinen Verdacht zu erregen, nutzten die Täter an die regulären Namen angelehnte Domain-Namen; ein Beispiel für eine bösartige Quelle ist etwa appcisco .com. Die infizierten Installationsprogramme betreffen zumeist populäre Business-Software, etwa Zoom, Cisco AnyConnect, ChatGPT oder Citrix Workspace, führen die IT-Forscher von Secureworks in ihrer Warnung aus. Trojanisierte Installer für Software zu verteilen, die ein derzeit populäres Thema behandeln, etwa ChatGPT, oder üblicherweise von Remote-Arbeitenden eingesetzt werden, erhöhe die Wahrscheinlichkeit neuer Infektionen. Bei Bumblebee handele es sich um einen modularen sogenannten Loader, der weitere Schadkomponenten nachlädt. Bislang sei der primär mittels Phishing-Kampagnen verteilt worden, um oftmals Schadcode nachzuladen, der mit Ransomware in Verbindung stehe. Ein jetzt von den IT-Sicherheitsforschern untersuchtes Sample stammt von der vorgenannten Quelle. Die Cyberkriminellen haben Mitte Februar herum eine gefälschte Download-Seite für Cisco AnyConnect Secure Mobility Client v4.x erstellt. Diese habe Opfer mit einer bösartigen Google-Ads-Werbung, die auf eine kompromittierte WordPress-Webseite zeigte und auf die Zielseite weiterleitete, auf die gefälschte Download-Seite gelockt. Der Installer von der Webseite enthält zwei Dateien: einmal den echten Installer als FILE_InstallMeCisco, der bei der Ausführung nach %Temp%\Package Installation Dir\CiscoSetup.exe entpackt wird, sowie FILE_InstallMeExe, das in dem Verzeichnis als cisco2.ps1-Powershell-Skript landet. Das Skript enthält einige umbenannte Funktionen aus ReflectivePEInjection.ps1 aus der Powersploit-Sammlung. Mit denen lädt es den ebenfalls enthaltenen, verschleierten Bumblebee-Loader in den Speicher. Powersploit ist ein auf Github gehostetes „PowerShell Post-Exploitation Framework“, etwa ähnlich Metasploit. Die Secureworks-Mitarbeiter beobachteten, wie Angreifer drei Stunden nach der Infektion „laterale Bewegungen“ starteten und sich im Rechner mit Cobalt Strike und legitimer Fernwartungssoftware wie AnyDesk und DameWare einnisteten. Mit dem Taskmanager haben sie Cobalt Strike verankert. Im Verzeichnis C:\ProgramData haben die Cyber-Einbrecher weitere Skripte, etwa zum vemutlichen „Kerberoasting“ (stehlen oder fälschen von Kerberos-Tickets), zum Kopieren der Inhalte der Active-Directory-Datenbank und einen Netzwerkscanner platziert. Im konkreten Fall hat an dieser Stelle der Netzwerkschutz zugeschlagen und den Zugriff der Angreifer unterbunden, bevor sie weiteren Schaden wie das Aktivieren einer Ransomware anrichten konnten. Die IT-Forscher empfehlen, dass Organisationen sicherstellen sollten, dass Software-Installer und -Updates ausschließlich von bekannten und vertrauenswürdigen Webseiten heruntergeladen werden. Nutzer sollten keine Berechtigungen zum Installieren von Software oder Starten von Skripten auf ihren Rechnern erhalten. Dabei könnten Werkzeuge wie Microsofts AppLocker helfen – selbst, wenn Anwender Schadsoftware herunterladen, hindert sie das an deren Ausführung. Malvertising wird zunehmend zum Problem. Im Februar warnten IT-Sicherheitsforscher bereits, dass eine Zunahme an verseuchten Installern von populärer Software zu beobachten sei.

Quelle: Heise

Nvidias Deep-Learning-Komponente DGX-1, die CUDA-Programmierschnittstelle, die Netzwerkadapterserie ConnectX und Grafikkartentreiber sind verwundbar. Wer davon betroffen ist, sollte die verfügbaren Sicherheitspatches schnell installieren. Im schlimmsten Fall könnten Angreifer Schadcode auf Systemen ausführen. In der DGX-1-Firmware haben die Entwickler eigenen Angaben zufolge sechs Sicherheitslücken geschlossen. Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. Etwa aufgrund von Fehlern im SBIOS (CVE-2023-0209) könnten Angreifer eigenen Code ausführen und Systeme so kompromittieren. Betroffen sind davon DGX-1 Server. Wer die Deep-Learning-Komponente einsetzt, sollte die abgesicherte BMC-Version 3.39.30 und SBIOS S2W_3A13 installieren. Alle vorigen Ausgaben sollen verwundbar sein. CUDA ist über fünf Sicherheitslücken attackierbar. Hier gilt der Bedrohungsgrad „mittel“. Sind Attacken erfolgreich, könnten Angreifer auf eigentlich abgeschottete Informationen zugreifen oder sogar Schadcode ausführen. Davon sind Linux und Windows betroffen. Die Ausgaben 12.0 Update 1, 12.1 und 12.1 Update 1 schaffen Abhilfe. Die Netzwerkadapterserie ConnectX haben die Entwickler in der Firmware-Version 35.1012 gegen mögliche Attacken abgesichert. An den Schwachstellen könnten Angreifer für DoS-Attacken ansetzen. Der Bedrohungsgrad gilt als „mittel“. Zusätzlich hat Nvidia noch Sicherheitsupdates für GPU-Treiber veröffentlicht. An denen am gefährlichsten eingestuften Lücken (CVE-2023-0189 „hoch“, CVE-2023-0184 „hoch“) könnten Angreifer für Schadcode-Attacken ansetzen. Die dagegen abgesicherten Treiber-Versionen listet Nvidia in einer Warnmeldung auf. Noch mehr Sicherheitsupdates gibt es für Nvidia BMC. Auch hier könnte im schlimmsten Fall Schadcode auf Systeme gelangen.

Quelle: Heise

Solarwinds hat das Platform-Update 2023.2 für die Netzwerk-Managementsoftware veröffentlicht, das neben allgemeinen Fehlerkorrekturen auch Fehlerbehebungen zum Schließen von sicherheitsrelevanten Schwachstellen enthält. Auch sonst bringt die neue Version Verbesserungen für die Sicherheit. Zwei Schwachstellen stuft der Hersteller als hohes Risiko ein. Angreifer mit einem Solarwinds-Admin-Konto könnten beliebige Befehle einschleusen und ausführen (CVE-2022-36963, CVSS 8.8, Risiko „hoch“). Es geht aus der Beschreibung nicht direkt hervor, aber die zweite hochriskante Lücke könnte vermutlich in Verkettung als Verstärker wirken: Nutzer mit einem lokalen Konto auf dem System können ihre Rechte ausweiten (CVE-2022-47505, CVSS 7.8, hoch). Zudem konnten Angreifer in Vorgängerversionen aufgrund unzureichender Filterung HTML-Code mit URL-Parametern einschleusen (CVE-2022-47509, CVSS 4.3, mittel). Allgemeine Sicherheitsverbesserungen betreffen externe Alarm-Aktionen. Jetzt dürfen nur noch Nutzer mit Administratorrechten etwa die Ausführung von Skripten als Reaktion auf Alarme anlegen. Zudem haben die Entwickler nicht näher erläuterte Verbesserungen bei der SMTP-Authentifizierung sowie bei der „SSH-Sicherheit“ umgesetzt, schreiben sie in den Release-Notes. Dort findet sich auch eine längere Liste an behobenen Problemen in der Software. Des Weiteren erläutern die Autoren noch Voraussetzungen für ein erfolgreiches Update von deutlich älteren Releases und ergänzen eine Liste von Software-Ständen, die bereits jetzt oder in Kürze ihr End-of-Lifecycle erreichen und daher eine Migration auf einen neuen Stand erfordern. Solarwinds erlangte 2020 mit einem der ersten größeren Fälle Bekanntheit, bei denen Cyberkriminelle per Supply-Chain-Attacke in Behörden- und Unternehmens-Netzwerke eingebrochen sind. Eine staatlich unterstützte Cybergang zeichnete dafür verantwortlich, die damals in Netze von US-Behörden oder etwa bei der IT-Sicherheitsfirma Fireeye eingebrochen ist.

Quelle: Heise

Angreifer nutzen derzeit eine als „kritisch“ eingestufte Schwachstelle in der Druck-Management-Lösung Papercut MF/NG aus und führen Schadcode auf Systemen aus. In aktuellen Versionen haben die Entwickler noch eine weitere Sicherheitslücke geschlossen. Die kritische Lücke (CVE-2023-27350) betrifft einer Warnmeldung zufolge den Papercut Application Server. Dort könnten Angreifer aus der Ferne ohne Authentifizierung ansetzen, um eigenen Code auf Computer zu schieben und auszuführen. Das führt in der Regel zu einer vollständigen Kompromittierung eines Systems. Wie Attacken genau ablaufen, führen die Entwickler derzeit nicht aus. Papercut gibt an, die ersten Angriffe Mitte April 2023 beobachtet zu haben. Setzen Angreifer erfolgreich an der zweiten Lücke (CVE-2023-27351 „hoch“) an, könnten sie auf Nutzerdaten wie E-Mail-Adressen inklusive gehashter Passwörter zugreifen. Das soll ohne Authentifizierung aus der Ferne möglich sein. Die Entwickler geben an, dass von der kritischen Lücke alle Versionen bis einschließlich Paper Cut MF/NG 8.0 betroffen sind. Die andere Schwachstelle betrifft die Ausgaben bis einschließlich 15.0. Die folgenden Papercut-Versionen sind gegen die geschilderten Attacken abgesichert:

• MF – 20.1.7, 21.2.11, 22.0.9
• NG – 20.1.7, 21.2.11, 22.0.9

Erst wenn Nutzer die abgesicherten Versionen installiert haben, will Papercut zu einem späteren Zeitpunkt weitere Details zu den Lücken veröffentlichen. In der Warnmeldung listen sie Übergangslösungen zum Absichern auf, wenn Admins die Patches nicht sofort installieren können. Dort finden sich auch Hinweise, an denen man bereits attackierte Systeme erkennen kann.

Quelle: Heise