Schwachstellen in Softwareprodukten (13% davon kritisch) wurden im Jahr 2021 bekannt. das entspricht einem Zuwachs von 10% gegenüber dem vorjahr.

Schadcode-Attacken auf HPE Serviceguard unter Linux möglich

Wenn in Unternehmen der Cluster Manager HPE Serviceguard for Linux zum Einsatz kommt, sollten Admins die Anwendung aktualisieren. Andernfalls könnten Angreifer Systeme attackieren und im schlimmsten Fall Schadcode ausführen. Serviceguard for Linux soll die Hochverfügbarkeit von Anwendungen trotz Systemausfällen sicherstellen. Wie aus einer Warnmeldung hervorgeht, haben die Entwickler drei Schwachstellen (CVE-2022-37936 „hoch“, CVE-2022-37937 „hoch“, CVE-2022-37938 „mittel“) geschlossen. Zwei Lücken sollen Angreifer ohne Authentifizierung ausnutzen können. Weitere Details zum Ablauf von Attacken führt HPE derzeit nicht aus. Gegen die Attacken sind die Versionen A.12.80.05 und A.15.00.00 abgesichert. HPE rät zu einem zügigen Update. Ob es bereits Attacken gibt, ist bislang nicht bekannt.

Quelle: Heise

Windows 11: Angreifer umgehen mit UEFI-Bootkit BlackLotus Secure Boot

Sicherheitsforscher von Eset haben Attacken beobachtet, bei denen Angreifer den UEFI-Schutzmechnismus Secure Boot auf PCs mit der aktuellen Version von Windows 11 umgehen, um sich tiefgehend im System einzunisten. Attacken sind aber nicht ohne Weiteres möglich. Einem Bericht der Sicherheitsforscher zufolge setzen Angreifer dafür das UEFI-Bootkit BlackLotus ein. Die Malware tauchte im August 2022 erstmals auf dem Radar der Forscher auf. Ab Oktober 2022 gab es im Online-Schwarzmarkt erste Angebote, in denen die Malware für 5000 US-Dollar zum Verkauf angeboten wurde. Die Forscher geben an, dass Attacken auf vollständig gepatchten Windows-11-Systeme möglich sind. Dafür sollen Angreifer die Sicherheitslücke mit der Kennung CVE-2022-21894 (Bedrohungsgrad „mittel“) ausnutzen. Die Lücke wurde zwar schon im Januar 2022 von Microsoft mit einem Sicherheitsupdate geschlossen, sie lässt sich aber immer noch ausnutzen. Der Grund dafür ist, dass die betroffenen gültig signierten Bootloader noch nicht in die UEFI-Revocation-Liste aufgenommen wurden. Um die Schwachstelle auszunutzen, platzieren die Angreifer ihre eigenen Kopien der legitimen, aber verwundbaren Bootloader auf dem System. Damit eine Attacke erfolgreich ist, müssen Angreifer Opfer aber dazu bringen, einen manipulierten Installer auszuführen. In ihrem Bericht führen die Sicherheitsforscher detailliert aus, wie eine Attacke vonstattengeht. Nach einer erfolgreichen Attacke können die Angreifer Secure Boot umgehen und sich so bereits vor dem Start von Windows mit Schadcode einnisten. Das ist besonders gefährlich, da an dieser Stelle noch keine Schutzmaßnahmen wie Virenscanner von Windows greifen. In diesem Fall sollen sich die Angreifer mit einem präparierten Kernel-Treiber dauerhaft im System festsetzen. Im Zuge der Attacke deaktiviert die Malware Windows-Schutzmaßnahmen wie BitLocker, Defender und HVCI. Im weiteren Verlauf eines Angriffs richten sie noch eine Verbindung mit ihren Command-and-Control-Servern ein, über die sie weitere Malware nachladen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Eset gibt an, dass nach ihrem Kenntnisstand noch nicht viele Cyberkriminelle das UEFI-Bootkit einsetzen. Doch bis die betroffenen Bootloader nicht gesperrt werden, sind Attacken möglich. Um Attacken vorzubeugen, müssten die betroffenen UEFI-Binaries in die UEFI Revocation Database (dbx) aufgenommen werden. Solche Patches werden über die Windows-Update-Funktion verteilt. Das Problem ist, dass solche Binaries oft weitverbreitet sind, sodass im Falle einer Sperrung tausende Systeme, Wiederherstellungsimages oder Backups nicht mehr gebootet werden können. Demzufolge ist eine Sperrung komplex und dauert oft lange. Wann es in diesem Fall so weit ist, ist bislang unklar. Eine derartige Sperrung seitens Microsoft hat im Sommer 2022 für Aufruhr gesorgt, als einige Linux-Distributionen aufgrund der Sperrung vom Grub-Bootloader aufgrund von Sicherheitslücken nicht mehr starteten. Davon war auch das c’t-Sicherheitstool Desinfec’t betroffen. Erschwerend kommt im aktuellen Fall hinzu, dass das persistente BlackLotus-Bootkit nach einem Widerruf funktionsfähig bleibt. Das liegt daran, dass es ein legitimes Shim mit einem benutzerdefinierten MOK-Schlüssel für die Persistenz verwendet. In der Theorie ist Secure Boot ein durchaus sinniger Schutzmechanismus. Doch wenn dessen Wirksamkeit mit von Microsoft ausgespielten dbx-Updates steht und fällt, gibt das zu denken. Zusätzlich kam es jüngst zu einem weiteren Sicherheitsvorfall bei einem anderen Schutzmechanismus auf Hardwarebene: Trusted Platform Modul (TPM). An dieser Stelle haben Sicherheitsforscher Schwachstellen bei der Verarbeitung von TPM-Befehlen entdeckt. Im schlimmsten Fall könnten Angreifer nach erfolgreichen Attacken die TPM-Firmware überschreiben.

Quelle: Heise

Sicherheitsupdates: Angreifer könnte IP-Telefone von Cisco als Root attackieren

Admins, die in Unternehmen IP-Telefone vom Netzwerkausrüster Cisco betreuen, sollte die Geräte möglichst schnell auf den aktuellen Stand bringen. Geschieht dies nicht, könnten Angreifer an einer kritischen Sicherheitslücke ansetzen und Schadcode ausführen. Wie aus einer Warnmeldung hervorgeht, ist eine Schwachstelle (CVE-2023-20078) als „kritisch“ eingestuft. Davon sind die IP-Telefone der Serien 6800, 7800 und 8800 bedroht. Aufgrund von unzureichenden Überprüfungen von Eingaben könnten Angreifer mit präparierten Anfragen am Web-Management-Interface ansetzen. Klappen Attacken, könnten Angreifer Schadcode mit Root-Rechten ausführen. In solch einem Zustand gelten Systeme in der Regel als vollständig kompromittiert. Eine weitere Lücke (CVE-2023-20079 „hoch“) betrifft zusätzlich noch die Serie 7900. Hier könnten Angreifer für eine DoS-Attacke ansetzen. Cisco gibt an, die Multiplatform Firmware 11.3.7SR1 dagegen abgesichert zu haben. 12.0.1 soll von den Schwachstellen nicht betroffen sein. Unified Intelligence Center ist ebenfalls verwundbar. Einfallstor ist auch hier das Web-Management-Interface und Angreifer könnten unter anderem auf eigentlich abgeschottete Informationen zugreifen (CVE-2023-20061 „mittel“, CVE-2023-20062 „mittel“). Die Ausgabe 12.6(2) (Mar 2023) enthält Sicherheitspatches. Webex App und Prime Infrastructure and Evolved Programmable Network Manager (CVE-2023-20104 „mittel“, CVE-2023-20069 „mittel“) sind für XSS-Attacken anfällig. Auf Finesse Reverse Proxy könnten DoS-Attacken stattfinden (CVE-2023-20088 „mittel“). Weitere Informationen zu den Lücken und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen.

Quelle: Heise

Netzwerkausrüster: Kompromittierung durch Schwachstellen in ArubaOS möglich

Im ArubaOS-Betriebssystem für die Verwaltungslösungen Aruba Mobility Conductor (ehemals Mobility Master), Aruba Mobility Controller sowie in durch Aruba Central verwalteten WLAN- und SD-WAN-Gateways hat der Hersteller zahlreiche Sicherheitslücken ausgemacht. Davon stellen mehrere ein kritisches Sicherheitsrisiko dar und erlauben Angreifern, mittels manipulierter Pakete eingeschleusten Code mit privilegierten Rechten auf dem unterliegenden Betriebssystem auszuführen. Der erste Satz kritischer Sicherheitslücken in ArubaOS ermöglicht auf mehreren Wegen, Befehle einzuschleusen – sie sind vom Typ „Command Injection“. Genauere Informationen, in welcher Komponente sich die Lücke findet und wie Angreifer sie konkret missbrauchen können, nennt Aruba nicht. Die Schwachstelle ermöglicht jedoch durch das Senden sorgsam präparierter Netzwerkpakete mit dem PAPI-Protokoll (Arubas Access-Point-Verwaltungs-Protokoll) an UDP-Port 8211, beliebigen Code als privilegierter Nutzer auf dem darunterliegenden Betriebssystem auszuführen (CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, CVE-2023-22750; CVSS 9.8, Risiko „kritisch“). Angreifer könnten zudem durch das Senden manipulierter Netzwerkpakete mit dem PAPI-Protokoll stack-basierte Pufferüberläufe provozieren. Auch dies ermöglicht das Ausführen von eingeschmuggeltem Schadcode mit erhöhten Rechten (CVE-2023-22751, CVE-2023-22752, CVSS 9.8, kritisch). Die weiteren Schwachstellen, die teils noch ein hohes Risiko darstellen, sowie Details dazu finden sich in der Sicherheitsmeldung von Aruba. Die Schwachstellen behebt der Hersteller in den ArubaOS-Versionen 8.10.0.5, 8.11.0.0 sowie 10.3.1.1 und neueren sowie mit SD-WAN 8.7.0.0-2.3.0.9 und aktuelleren Fassungen. Aruba stellt zudem ArubaOS 8.6.0.20 bereit, was jedoch nicht alle der jetzt gefundenen Lücken schließt. IT-Verantwortliche, die die vorgeschlagenen temporären Umgehungsmaßnahmen umsetzen, sollten berücksichtigen, dass die anderen Sicherheitslücken in den vorgenannten Versionen abgedichtet werden. Als zwischenzeitliche Workarounds schlägt Aruba unter anderem vor, die Verwaltungsgeräte wie Controller und Gateways mit den Access-Points lediglich in beschränkten Layer-2-Segmenten (VLANs) miteinander kommunizieren zu lassen. Falls die betroffenen Geräte Layer-3-Grenzen überschreiten, sollten Firewall-Regeln die Kommunikation damit auf autorisierte Geräte beschränken. Zum Zeitpunkt der Meldung hat Aruba noch keine Hinweise auf Angriffe auf die Schwachstellen erhalten. Ende vergangenen Oktobers musste Aruba im ArubaOS schon einmal teils kritische Schwachstellen schließen. Auch da konnten Angreifer mit manipulierten Anfragen beliebigen Code einschleusen.

Quelle: Heise

LKA-Warnung: Phisher nehmen weiter Disney+ ins Visier

Das LKA Niedersachsen warnt aktuell auf dem Portal Polizei-Praevention.de vor vermehrten Phishing-Kampagnen, in denen Cykerkriminelle die Daten von Disney+-Nutzerinnen und -Nutzern abgreifen wollen. Die Strafverfolger hätten zahlreiche Hinweise von Bürgerinnen und Bürgern erhalten. Die Polizisten schreiben in der Meldung auf dem Präventions-Portal, dass die Mails den Namen und das Aussehen von Disney+ missbrauchten. Auch das Logo käme in den gefälschten E-Mails zum Einsatz – diese stammten aber nicht von Disney beziehungsweise Disney+. Es sind mehrere Varianten der Mails im Umlauf. So sei angeblich das Abonnement abgelaufen, die Zahlung fehlgeschlagen und daher eine Aktualisierung der Zahlungsinformationen nötig. Oder das Disney+-Konto wurde suspendiert, da ein Zahlungsproblem nicht gelöst werden konnte. Weitere Mails sollen eine Zahlungserinnerung darstellen. Einige der Phishing-Mails enthalten außerdem Hinweise, dass eine „Schließungsgebühr“ in Höhe von 9,99 Euro oder bis zu 19,99 Euro anfallen würde. Das soll Druck bei Empfängern der Mail aufbauen, sodass diese unbedacht und panisch ihre Daten in den verlinkten Formularen eingeben. Das LKA Niedersachsen hat auch einige Screenshots der Phishing-Mails gesammelt und bereitgestellt. Die Links in den Mails führen zu Online-Formularen, in denen potenzielle Opfer etwa Zugangsdaten, Adress- und etwa Kreditkarteninformationen eintragen sollen. Da diese dann den Online-Betrügern in die Hände fallen, sollten Empfänger solcher betrügerischen E-Mails der Aufforderung jedoch nicht nachkommen. Wie die Strafverfolger erläutern, sollten Opfer, die doch auf die Masche hereingefallen sind, unverzüglich den Streaminganbieter mit Bezug auf die Zugangsdaten und die eigene Bank bezüglich der Zahlungsdaten kontaktieren. Die Ermittler empfehlen zudem den umgehenden Passwortwechsel sowie eine Prüfung, ob weitere Veränderungen am Konto vorgenommen wurden – etwa unbekannte Geräte angemeldet, PINs oder Adressen geändert wurden. Disney+ hat zudem einen eigenen Artikel zum Thema Phishing mit Kontakinformationen bereitgestellt. Hinweise zum gefahrlosen Umgang mit E-Mails liefern etwa heise online und c’t. Abonnenten des Disney+-Dienstes stehen bereits seit einiger Zeit besonders im Fokus von Phishern. So warnten die Verbraucherzentralen schon einmal Ende Januar davor, dass Disney+-Abonnenten in Phishing-Wellen angegriffen wurden.

Quelle: Heise

US-Cybersecurity-Chefin: Apple als gutes Beispiel für Twitter und Microsoft

Lob von oberster Stelle für den iPhone-Konzern: Jen Easterly, Direktorin der zum US-Heimatschutzministerium gehörenden Cybersecurity and Infrastructure Security Agency (CISA), möchte, dass sich IT-Unternehmen wie Twitter oder Microsoft ein Beispiel an Apple nehmen, was die Absicherung von Accounts betrifft. „Apple übernimmt die Verantwortung für die Sicherheit seiner Nutzer“, sagte sie bei einer Rede an der Carnegie Mellon University in dieser Woche. Konkret meint Easterly damit die Verwendung von Multifaktor-Authentifizierungsverfahren (MFA), auch als Zwei-Faktor-Authentifizierung (2FA) bekannt. Apple soll es gelungen sein, dass mittlerweile 95 Prozent aller iCloud-Nutzer mit einer zusätzlichen MFA-Absicherung ihres Accounts unterwegs sind. Grund dafür ist vor allem, dass dies mittlerweile zur Default-Option erklärt wurde, tatsächlich macht Apples Usern, die MFA nicht nutzen, zunehmend das Leben schwer. Microsoft und Twitter hätten hingegen geringe Annahmequoten bei der Technik, angeblich soll der Kurznachrichtendienst, der gerade 2FA per SMS kostenpflichtig gemacht hat, hier nur bei drei Prozent liegen. Microsoft wiederum steht aktuell bei 28 Prozent. Dennoch sei es positiv, dass die Unternehmen ihre MFA-Zahlen genannt haben, sagte Easterly. „Indem sie für radikale Transparenz bei der Einführung von MFA sorgen, tragen diese Organisationen dazu bei, die Notwendigkeit standardmäßiger erhöhter Sicherheit zu verdeutlichen.“ Die CISA-Chefin hofft, dass weitere Unternehmen diesem Beispiel folgen. Transparenz bei den von Technikfirmen angewandten Sicherheitsmethoden sei wichtig – und insbesondere die Förderung dieser in der Praxis. Easterly hält Angaben zu Methoden wie MFA für ein grundlegendes Kriterium bei der Akzeptanz durch die Nutzer. Auch bei der Beschaffung spielen sie zunehmend eine Rolle. Easterly fasste in ihrer Rede auch ein heißes Eisen an: den Haftungsausschluss für Sicherheitsprobleme durch die Technologieanbieter. Sie schlug vor, dass neue Gesetze die Konzerne daran hindern sollten, die Haftung vertraglich auszuschließen und „höhere Sorgfaltsstandards für Software in bestimmten kritischen Infrastrukturen“ festzulegen. Gleichzeitig spricht sie sich allerdings für einen „Safe-Harbor-Rahmen“ aus, um Unternehmen, die ihre Softwareprodukte und -dienste „sicher entwickeln und pflegen“, vor der Haftungsübernahme zu schützen.

Quelle: Heise

Finish him! Kostenloses Entschlüsselungstool besiegt MortalKombat-Ransomware

Die MortalKombat-Ransomware hat es auf Windows-Nutzer abgesehen, verschlüsselt Dateien und fordert Lösegeld. Doch Opfer können aufatmen: Bitdefender hat ein kostenloses Entschlüsselungstool veröffentlicht. Darüber können Opfer wieder auf ihre Daten zugreifen, ohne Lösegeld zahlen zu müssen. Das geht aus einem Blog-Beitrag von Bitdefender hervor. Wer sich den Verschlüsselungstrojaner eingefangen hat, kann das Tool ab sofort herunterladen. Ob man betroffen ist, merkt man nicht nur an verschlüsselten Dateien, die Malware tauscht auch das Hintergrundbild gegen eins aus dem Mortal-Kombat-Universum aus. Der Trojaner versucht derzeit, als Anhang von Betrüger-Mails im Kryptowährungskontext auf PCs zu gelangen. Die Bedienung des Entschlüsselungstools ist selbsterklärend. So kann man das gesamte System auf verschlüsselte Daten scannen oder einen Ordner. Standardmäßig legt das Tool ein Backup der behandelten Dateien an. Falls bei der Entschlüsslung etwas schiefläuft, greift man darauf zurück. Wer möchte, kann MortalKombat decryptor auch über die Kommandozeile ohne grafische Oberfläche starten und im Hintergrund laufen lassen. Mit den Befehlen BDMortalKombatDecryptTool.exe start -scan-path:C:\ schaut sich das Tool auf der Partition C: um und befreit Dateien aus den Fängen der Ransomware. An welcher Stelle das Entschlüsselungstool ansetzt, um Dateien zu retten, führt Bitdefender derzeit nicht aus. Sicherheitsforschern von Cisco Talos zufolge ist die Ransomware im Januar 2023 auf der Bildfläche aufgetaucht und entstammt wahrscheinlich der Malware-Familie Xorist. Der Schädling soll neben einzelnen Dateien auch Backups, Netzwerkfreigaben und virtuelle Maschinen verschlüsseln. Wer sich einen Erpressungstrojaner eingefangen hat, kann auf der Website ID Ransomware prüfen, ob es bereits ein kostenloses Entschlüsselungstool gibt. Dafür muss man lediglich die Erpresserbotschaft oder eine verschlüsselte Datei via HTTPS zur Analye hochladen. Derzeit erkennt der Service fast 1100 Ransomware-Varianten. Für die Website zeichnet das Sicherheitsforscher-Kollektiv MalwareHunterTeam verantwortlich.

Quelle: Heise

TPM 2.0: Fehler in Spezifikation ermöglichen Ausführung von Schadcode

IT-Forscher von Quarkslab haben in der TPM-Referenz-Spezifikation zwei Schwachstellen bei der Verarbeitung bestimmter Parameter von TPM-Befehlen entdeckt. Angreifer könnten dadurch unbefugt sensible Informationen auslesen oder Daten in der TPM-Firmware überschreiben – unter anderem die geschützten kryptografischen Schlüssel. So könnten sie sogar eigenen Code auf dem TPM laufen lassen. Die Trusted-Platform-Modul-Technik (TPM) soll Hardware-basiert kryptografische Funktionen für Betriebssysteme auf modernen Rechnern bieten, die etwa vor Manipulationen geschützt sind. Die aktuelle TPM-2.0-Spezifikation der Trusted Computing Group (TCG) in Version 01.59 stammt aus dem November 2019. „Hersteller von TPM-Hardware und -Software nutzen diese Spezifikationen, um Firmware zu entwickeln, die den Standards entspricht und eine sichere Schnittstelle zu sensiblen kryptografischen Daten bietet. TPM wird in einer Vielzahl von Geräten eingesetzt, von spezialisierter Hardware für Unternehmen bis hin zu Geräten für das Internet der Dinge (IoT)“, führt das CERT in einer Sicherheitsmeldung aus. Die sicherheitsrelevanten Fehler finden sich in der TPM-Library-Spezifikation „Session-based encryption“. Ein kryptografischer Client kann damit diverse Operationen ausführen, unter anderem die Verschlüsselung von Parametern. Diese soll deren Vertraulichkeit sichern. Das Betriebssystem verlässt sich dabei auf das TPM, das diese Funktionen wie Cipher Feedback (CFB) für Blockchiffre- oder Streaming-Hash-basierte XOR-Verschleierung der vorgesehenen Parameter-Nutzdaten sicher bereitstellt. Wie das CERT weiter ausführt, kann in der Funktion CryptParameterDecryption() ein Speicherzugriff außerhalb der eigentlichen Grenzen (Out-of-bound, OOB) auftreten. Dabei könnten zwei Bytes an Daten gelesen werden, die nicht Teil der aktuellen Session sind. Die Lücken erlauben auch, zwei Bytes hinter dem Ende des aktuellen Befehls-Puffers zu schreiben, was zu Speicherverwürfelungen führt. Die Lücken haben bereits CVE-Einträge erhalten. Allerdings gibt es noch keine Risikoeinstufung gemäß CVSS für die Schwachstellen CVE-2023-1017 (Out-of-bounds-Write) und CVE-2023-1018 (Out-of-bounds-Read). Konkreter erläutern die Autoren der Sicherheitsmeldung, dass „authentifizierte, lokale Angreifer manipulierte Befehle an ein verwundbares TPM senden und so Zugriff auf sensible Daten erhalten könnten. In einigen Fällen können die Angreifer auch geschützte Daten in der TPM-Firmware überschreiben. Dies kann zu einem Absturz oder zur Ausführung von eingeschleustem Code innerhalb des TPMs führen. Da die Nutzdaten der Angreifer innerhalb des TPMs zur Ausführung gelangen, können sie von anderen Komponenten des betroffenen Rechners nicht erkannt werden.“ Die TCG hat die Errata zur TPM 2.0-Library-Spezifikation aktualisiert. Sie beschreibt darin, wie sich die Schwachstellen ausbessern lassen. Um die Sicherheit ihrer Systeme zu gewährleisten, sollten Nutzer alle Aktualisierungen der Hardware- und Software-Hersteller so schnell wie möglich auf deren Auslieferungskanälen herunterladen und anwenden, drängt das CERT. Aktualisierungen der TPM-Chips könnten nötig sein, was sowohl Betriebssystemhersteller als auch OEMs vornehmen können. Dabei könnten TPMs auf ihren Auslieferungszustand zurückgesetzt werden. Die betroffenen Hersteller listet die CERT-Meldung am Ende ebenfalls auf. Viele der 1608 Anbieter werden jedoch noch analysiert. Zum Zeitpunkt der Meldung sind lediglich sechs Anbieter (libtpms, NixOS, Red Hat, Squid, SUSE Linux und Trusted Computing Group) als verwundbar und 142 als nicht betroffen eingestuft.

Quelle: Heise

Satelliten-TV-Anbieter Dish bestätigt: Daten ausgeleitet

Das US-Unternehmen Dish hat sein Donnerstag kein Telefonsystem, keine interne IT und die Webseiten von Dish sind offline. Kunden können Rechnungen nicht bezahlen, neue Anschlüsse für die Mobilfunk-, Internetzugangs- und Satellitenfernsehdienste können nicht aktiviert werden. Viele Mitarbeiter sitzen tatenlos herum, darunter auch die Mitarbeiter für Kundenunterstützung, die nicht erreichbar sind. Am Montag musste Dish eine weitere schlechte Nachricht verbreiten: Unbefugte haben sich am Datenbestand der Firma bedient. „Am 27. Februar 2023 hat das Unternehmen festgestellt, dass bestimmte Daten aus den IT-Systemen der Firma extrahiert wurden“, steht in einer knappen Mitteilung an die US-Kapitalmarktaufsicht SEC (Securities Exchange Commission) zu lesen, „Es ist möglich, dass die Untersuchung aufdecken wird, dass zu den extrahierten Daten auch personenbezogene Informationen zählen.“ Ob es dabei um personenbezogene Daten über (ehemalige) Kunden, Mitarbeiter, oder beides geht, verrät die Eingabe nicht. Selbst die eigenen Mitarbeiter und externe Dienstleister erhalten kaum Informationen von Dish und wissen nicht, was Sache ist. Laut The Verge müssen die Supportmitarbeiter zwar derzeit nichts tun, aber auf Abruf bereitstehen. Sobald VPN und Telefonanlage wieder funktionieren, soll das Contact Center wieder antworten und dann Überstunden schieben, um aufgelaufene Kundenanfragen abzuarbeiten. Ob zur Untätigkeit gezwungene externe Mitarbeiter, die etwa neue Satellitenempfangsanlagen installieren, bezahlt werden, ist offen. Das Management hat IT-Sicherheitsexperten sowie nicht näher beschriebene „außenstehende Berater“ beauftragt, die Lage zu analysieren. Zudem hat es Anzeige bei den „zuständigen Behörden“ erstattet. Bestehende Kunden können die abonnierten Dienste grundsätzlich weiter verwenden. Dennoch geht der Schaden in die Millionen; potenzielle Neukunden gehen zu anderen Anbietern, Mitarbeiter müssen jetzt fürs Nichtstun und später für Überstunden bezahlt werden, und der Imageschaden ist beträchtlich. Im Vergleich zum Tageshöchststand vom Donnerstag haben Dish-Aktien ungefähr ein Fünftel ihres Börsenwerts eingebüßt.

Quelle: Heise

Offenbar nach Cyberangriff: Satelliten-TV-Anbieter Dish seit Tagen offline

Auch Tage nach einer mutmaßlichen Cyberattacke kämpft der US-Satellitenfernsehanbieter Dish weiterhin mit heftigen Problemen. Während Kunden und Kundinnen angeblich inzwischen wieder die Fernsehprogramme ansehen können, geht sonst wohl nicht viel bei dem Unternehmen. Was genau passiert ist, ist aber noch unklar. Vieles deutet auf einen Cyberangriff hin, aber das US-Portal The Desk berichtet, dass es die Ursache nichts mit Cybersecurity zu tun habe, ohne aber Details zu nennen. Auf der Website des Unternehmens heißt es, dass es ein „Systemproblem“ gebe. Laut US-Medien funktioniert die firmeninterne Kommunikation nicht, es gebe aktuell keinen Kundensupport und verschiedene Internetseiten sind nicht erreichbar. Angefangen haben die Probleme schon vergangenen Donnerstag, kurz vor der Vorstellung der Geschäftszahlen, berichtet The Verge. Geschäftsführer Erik Carlson habe die Schwierigkeiten dann angesprochen, aber versichert, dass nur interne Server und die Telefonanlage betroffen seien. Auch bei der Firma selbst seien die Angestellten dann nicht darüber informiert worden, was passiert ist. Sie seien unter anderem angewiesen worden, sich nicht über VPN ins Firmennetz einzuloggen, was die Arbeit aus dem Homeoffice unmöglich gemacht habe. Angestellte seien außerdem gewarnt worden, Firmenlaptops nicht mehr zu benutzen, wenn sie nach Mittwochmittag mit dem Firmennetz verbunden waren. Laut The Verge können Kunden und Kundinnen von Dish aktuell keine neuen Geräte aktivieren, auch neue SIM-Karten des Unternehmens können nicht in Betrieb genommen werden. Das Unternehmen bietet neben Satellitenfernsehen auch Satelliteninternet und Mobilfunkverträge an. Online gibt es weiterhin viele Berichte über nicht zugängliche Funktionen, unter anderem können aktuell wohl auch keine Rechnungen bezahlt werden. Auf Twitter versichert Dish Betroffenen, dass der Zugang zu den Diensten nicht verloren gehen würde. Gleichzeitig versichert Dish, dass die Teams intensiv daran arbeiten würden, betroffene Systeme zu reaktivieren: „Sie machen stetige Fortschritte dabei“.

Quelle: Heise

LastPass-Hack: Angreifer hackten Privat-PC von DevOps-Entwickler 

In einem neuen Statement führt LastPass aus, wie Angreifer in Systeme eindringen und auf Kundendaten zugreifen konnten. Dafür haben sie unter anderem den Privat-Computer eines DevOps-Entwicklers erfolgreich ins Visier genommen. In dem Beitrag dröseln die Verantwortlichen den Vorfall weiter auf. Im August 2022 gab es die ersten Informationen, dass Angreifer Einbrecher Quellcode von LastPass-Servern kopieren konnten. Zu diesem Zeitpunkt versicherten Passwortmanager-Anbieter, dass es keine Zugriffe auf Kundendaten gegeben habe. Diese Aussage wurde auch noch im September 2022 vertreten, als klar wurde, dass die Angreifer vier Tage Zugriff auf die Systeme hatten. Im Dezember 2022 kam dann raus, dass die Angreifer doch Kundendaten einsehen konnten. Darunter unter anderem die Kronjuwelen von LastPass: Die Kennworttresore von Kunden. Schlechte Nachrichten gibt es auch für Firmenkunden, die Federated Login einsetzen. In so einem Fall besteht das „Hidden Master Password“ aus den Komponenten K1 und K2. Wie LastPass nun zugegeben hat, konnten die Angreifer K2 erbeuten. K1 ist für alle Firmenmitarbeiter zugänglich. Dementsprechend müsste ein Angreifer lediglich einen Mitarbeiter-Account kompromittieren, um auf sämtliche LastPass-Daten einer Firma zugreifen zu können. Bekannt ist, dass die Angreifer bei der ersten Attacke Zugangsdaten von einem LastPass-Mitarbeiter erbeuten konnten. Doch die Daten sollen verschlüsselt gewesen sein, sodass der Zugriff auf den Cloud-Speicher des Unternehmens nicht ohne Weiteres möglich war. Um an den Schlüssel für die Log-in-Daten zu kommen, sollen die Angreifer den Privat-PC eines DevOps-Entwicklers gehackt haben. Dafür haben sie den Verantwortlichen zufolge an einer Sicherheitslücke in einem Mediensoftware-Paket angesetzt und im Anschluss einen Keylogger auf dem Computer installiert. Darüber haben sie dann nach der Multi-Faktor-Authentifizierung des Mitarbeiters das eingetippte Master-Passwort mitgeschnitten und konnten sich Zugang zum Cloud-Speicher verschaffen. Nun hatten die Angreifer Zugriff auf unter anderem Backups und weitere Schlüssel. LastPass versichert, dass sie ihre Systeme gegen weitere Attacken gehärtet haben. Dafür haben sie eigenen Angaben zufolge unter anderem Authentifizierungsverfahren verschärft. Damit Angreifer kein leichtes Spiel haben, liegen Passwörter nicht im Klartext im Tresor, sondern die Daten sind geschützt. Um eine Rekonstruktion so schwer wie möglich zu machen, kommt eine kryptografische Hashfunktion plus Saltwert zum Einsatz, die mehrmals angewendet wird. LastPass gibt an, dass sie dafür Password-Based Derivation Function 2 (PBKDF2) einsetzen. Standardmäßig setzt LastPass auf 100.100 PBKDF2-Wiederholungen. Als Hashfunktion kommt SHA256 zum Einsatz. Damit diese Kombination so sicher wie möglich ist, empfiehlt das Open Web Application Security Project (OWASP) 600.000 Wiederholungen. Laut einem Supportbeitrag von LastPass folgt man mittlerweile dieser Empfehlung. Doch für existierende Accounts wird die Zahl der Iterationen nicht automatisch erhöht. Wie der Sicherheitsforscher Wladimir Palant bereits Ende vergangenen Jahres berichtete, sei das aber nicht bei allen Nutzern der Fall. Er führt aus, dass ihm Fälle bekannt sind, in denen es nur 5000, 500 oder sogar nur eine einzige Wiederholung bei der Anwendung von PBKDF2 gibt. Wer den Passwortmanager nutzt, kann den Wert in seinem Account anpassen. Eine konkrete Anfrage von heise Security zur Anwendung von PBKDF2 beantwortete LastPass mit dem Verweis auf ein allgemeines Statement und nahm somit keine direkte Stellung zu der Sicherheitsproblematik.

Quelle: Heise

Activision-Mitarbeiterdaten nach Cybereinbruch im Internet veröffentlicht

In der vergangenen Woche hatte die Spieleentwicklerfirma Activision ein Datenleck einräumen müssen. Cyber-Angreifer haben Anfang Dezember vergangenen Jahres Zugriff auf Mitarbeiterdaten erlangt. Das Unternehmen erklärte, die dabei zugegriffenen Daten seien nicht sensibel. Jetzt haben Cyberkriminelle sie in einem Untergrund-Internetforum veröffentlicht – frei zugänglich. In der Datei seien 19.444 Angestellten-Datensätze enthalten, wie der Veröffentlicher der Datei im Untergrund-Forum schreibt. Er ergänzt zynisch, dass sie sich hervorragend für Phishing-Attacken eigneten. Die Datei enthält die Namen, Telefonnummer, Job-Titel, Ort und E-Mail-Adresse von Mitarbeitern und Unternehmenskontakten. Allerdings enthält die Datei viele Lücken, zu vielen Namen fehlen etwa weitergehende Daten. Der Datensatz scheint reale Daten zu enthalten. Bei einer Überprüfung einer Stichprobe passten Namen und Positionen von aufgeführten Kontakten etwa mit Informationen der Personen auf Linked-In zusammen. Dort sind einige der Informationen jedoch oftmals nicht zugänglich, die in der Datei auftauchen. Am 04. Dezember des vergangenen Jahres hatte ein Angreifer eine Person aus der Personalabteilung dazu verleitet, den Zwei-Faktor-Authentifzierungscode (2FA) für ihr Konto zu verraten. Es handelt sich dabei um eine sogenannte Smishing-Attacke. Der oder die Täter haben im Anschluss die Daten aller Activision-Blizzard-Mitarbeiter aus einem Azure-System kopiert. Auf die Veröffentlichung des Azure-Datensatzes von Activision hat ein IT-Forscher auf Twitter hingewiesen. Die frei zugänglichen Daten qualifizieren die enthaltenen E-Mail-Adressen und Telefonnummern für angepasstes Phishing oder Smishing. Activision teilte vergangene Woche dazu mit, dass „am 04. Dezember 2022 unser IT-Sicherheits-Team zügig ein SMS-Phishing-Versuch behandelt und ihn schnell gelöst hat. In der darauffolgenden Untersuchung haben wir herausgefunden, dass auf keine sensiblen Mitarbeiterdaten, Spiele-Code oder Spielerdaten zugegriffen wurde.“ Diese Einschätzung wird das Unternehmen jetzt wohl überdenken müssen.

Quelle: Heise

BSI-Studie: Viele massive Sicherheitslücken bei Online-Shops

Über 90 Prozent aller Bundesbürger mit Internetzugang kaufen zumindest gelegentlich online ein, gut 55 Prozent ein- oder mehrmals pro Monat. Dabei geben sie in der Regel auch Bankverbindungen, Kreditkarten- und weitere Zahlungsdaten an. Die Plattformen, auf denen Online-Shops aufbauen, weisen aber zahlreiche, teils gravierende Sicherheitslücken auf. Dies hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Penetrationstests herausgefunden. Die Experten konnten dabei bei jeder geprüften Software Schwachstellen identifizieren, was diverse Datenleaks und Hacks im E-Commerce-Bereich in jüngster Zeit begünstigt haben dürfte. Im Rahmen der Studie, die das BSI am Montag veröffentlicht hat, fühlten die Prüfer den zehn zufällig ausgewählten Software-Produkten Commerce:seo, Gambio, Magento, Merconis für Contao, Prestashop, Shopware, Sylius, WpShopGermany, Xonic und Zen Cart auf den Zahn. Dabei fanden sie insgesamt 78 Sicherheitslücken, von denen einige potenziell gravierende Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucher entfalten konnten. Bei einer Plattform identifizierten die Sicherheitstester „nur“ zwei Schwachstellen, in zwei anderen Fällen jeweils 17. Eine Sicherheitslücke trat in allen geprüften Produkten auf, während manche Probleme auf individuelle Entwicklungsfehler zurückzuführen waren. Konkret wiesen fast alle untersuchten Programme eine unzureichende Passwortrichtlinie auf. Oft war so schon eine sichere Inbetriebnahme eines Shops gar nicht möglich. Eine Zwei-Faktor-Authentisierung zum zusätzlichen Schutz des Verbraucherkontos konnte in der Regel nicht eingestellt werden. In sieben von zehn Plattformen stieß das Team auf JavaScript-Bibliotheken, die verwundbar gegenüber bekannten Schwachstellen waren. Dies vereinfacht gängige IT-Angriffe. Die Hälfte der begutachteten Produkte erhielt keine Sicherheitsupdates vom Hersteller mehr. In fünf Fällen konnte der Admin den Kundenlogin umgehen. In vier waren Informationen öffentlich zugänglich, deren Inhalt als sensibel gilt. Als Lücken mit dem höchsten Risikograd stuften die Prüfer neben „End-of-Life-Software“ ohne Patches sogenannte Cross-Site-Request-Forgery-Angriffe, Remote-Code-Execution, unsichere Dateiuploads und andauerndes Cross-Site Scripting aus. Das BSI übermittelte die Ergebnisse im Einklang mit dem Offenlegungsverfahren „Responsible Disclosure“ zunächst an die jeweiligen Hersteller. In einigen Fällen stellten diese daraufhin zeitnahe Sicherheitsupdates zur Verfügung. Im Zuge dieses Prozesses übermittelten einige Entwicklerfirmen auch Informationen darüber, dass bestimmte Lücken durch eine bessere Konfiguration des Online-Shops vermeidbar gewesen wären. Das BSI folgert daraus, dass die Herstellerseite den Betreibern eine Handreichung zur Verfügung stellen sollte, wie sie ihre Stores sicher installieren und einrichten können. Eine begleitend durchgeführte repräsentative Verbraucherbefragung hierzulande ergab, dass rund ein Viertel aller Bundesbürger bereits von Datenleaks beim Online-Shopping betroffen war. Die Hälfte der Teilnehmer zeigte sich besorgt mit Blick auf solche Abflüsse persönlicher Informationen. Insgesamt kennt die Mehrheit der Befragten eine oder mehrere Maßnahmen zum Schutz der eigenen Daten wie den Einsatz komplexer Passwörter oder den expliziten Logout nach dem Einkauf, ein Großteil davon wendet diese auch an. BSI-Vizepräsident Gerhard Schabhüser mahnte die Hersteller, möglichst schon während der Produktentwicklung und im Anschluss regelmäßig Schwachstellenanalysen durchzuführen und das Sicherheitsniveau zu steigern.

Quelle: Heise

Bösartige Authenticator-Apps auch im Google-Play-Store

Bösartige Authenticator-Apps, die potenziell Daten stehlen oder inkompetent programmiert wurden, finden sich nicht nur in Apples App-Store, sondern auch in Google Play. Nachdem vergangene Woche die Malware-artigen Authenticator-Apps im App-Store bekannt wurden, warnen die App-Entwickler jetzt auch vor schädlichen Android-App-Versionen. Authenticator-Apps dienen der einfachen und kostengünstigen Zwei-Faktor-Authentifizierung. Damit lassen sich Transaktionen bestätigen oder auch der Zugriff auf Dienste mit neuen Geräten, Apps sowie Webbrowsern. Die Grundidee dahinter ist, dass Passwort- oder Zugangsdatendiebe mit den erbeuteten Daten nichts anfangen können, sofern sie mit dem zweiten Faktor nicht bestätigen, dass sie tatsächlich Kontoinhaber sind. Der zweite Faktor kann eine Zeichenfolge sein, die der Dienst etwa per E-Mail oder SMS verschickt oder eben aus der Authenticator-App kommt. Solche Authenticator-Apps bieten große Unternehmen wie Apple oder Google kostenlos an. Apple liefert das gleich im iCloud-Schlüsselbund mit, Google bietet die namentlich wenig überraschende App Google Authenticator an. Auch Microsoft hat einen Authenticator im Portfolio. Potenzielle Nutzer scheinen sich jedoch nicht auf die großen Konzerne verlassen zu wollen oder befürchten, ihnen zu viele Daten durch die Nutzung ihres Authenticators auszuliefern. Im App Store und in Google Play gibt es daher zahlreiche Drittanbieter-Apps, die Authenticator-Dienste anbieten. Die iOS-Entwickler, die bereits die Apps im App Store untersucht und gemeldet haben, warnen jetzt auch vor bösartigen Authenticator-Apps im Google Play Store. Eine derartige App mit mehr als 500.000 Installationen sendet demzufolge den eingescannten QR-Code für den initialen Seed an einen entfernten Server. Was zunächst harmlos klingt, ermöglicht den Empfängern dieser Informationen, einen Authenticator zu initialisieren und damit den korrekten zweiten Faktor für ein Konto des Opfers zu erstellen und anzugeben. Damit wird der Zwei-Faktor-Schutz faktisch ausgehebelt. Angreifer können so weitreichenden Zugang auf Konten der Opfer erlangen. Bei dem Seed handelt es sich um das „Geheimnis“ hinter dem Einmal-Passwort-Generator (TOTP, Time-based One-Time Password). Aus dem Geheimnis wird zusammen mit der seit 1970 vergangenen Zeitspanne alle 30 Sekunden das Einmal-Passwort als zweiter Faktor berechnet. Aus dem aktuell errechneten Passwort lässt sich weder ein vorhergehendes, noch ein nachfolgendes ableiten, dies gelingt nur mit dem Seed. Daher sollte es nach dem initialen Abgleich mit dem zu sichernden Dienst niemals den Rechner verlassen. Apps sollten davon auch keine Backups erstellen, die andere dann wieder lesen könnten. Wer solch eine zwielichtige Authenticator-App einsetzt, sollte diese umgehend deinstallieren. Anschließend sollten alle Zwei-Faktor-Seeds der Konten zurückgesetzt und etwa mit einer App eines namhaften und als seriös einzustufenden Anbieters neu initialisiert werden.

Quelle: Heise

Sicherheitsupdate: Zoho ManageEngine ServiceDesk Plus ist verwundbar

Die Entwickler von Zoho geben an, in der aktuellen Version von ManageEngine ServiceDesk Plus drei Sicherheitslücken geschlossen zu haben. Eine gegen mögliche Attacken gerüstete Ausgabe steht zum Download bereit. Über die IT-ServiceDesk-Software können Admins IT-Systeme aus der Ferne beobachten und verwalten. Nach erfolgreichen Attacken könnten sich Angreifer unter anderem höhere Nutzerrechte verschaffen. Konkrete Informationen zu den drei Schwachstellen stehen noch aus. Bislang nennt Zoho im Servicebereich ihrer Website keine CVE-Nummern und Einschätzungen des Bedrohungsgrads. Das Notfallteam CERT Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) führt den Bedrohungsgrad „hoch“ auf. Admins sollten aus Sicherheitsgründen die abgesicherte Version 14.105 installieren. Nachdem Sicherheitsforscher von Horizon3 für eine kritische Sicherheitslücke in mehreren ManageEngine-Produkten einen Proof-of-Concept-Exploit (PoC) veröffentlicht haben, sieht der Antiviren-Hersteller Bitdefender inzwischen aktive Angriffe auf die Sicherheitslücke CVE-2022-47966 (CVSS 9.8, Risiko „kritisch“). „Die identifizierten Opfer sind über den ganzen Globus verteilt und stammen aus unterschiedlichen Branchen, wie es bei opportunistischen Angriffen üblich ist. Nach unserer Analyse laufen auf 2.000 bis 4.000 aus dem Internet erreichbaren Servern eine der anfälligen Versionen“, erklärt Bitdefender in einer Warnmeldung. Da eine bestimmte Konfiguationsoption aktiviert sein müsse, seien davon jedoch nicht alle für den PoC angreifbar. Bitdefender drängt IT-Verantwortliche, die verwundbare Versionen im Einsatz haben, dazu, so schnell wie möglich die Aktualisierungen anzuwenden.

Quelle: Heise

Exchange: Aktualisierte Best-Practices für Virenschutz-Ausnahmen von Microsoft

Microsoft hat seine Empfehlungen für Ausnahmen von Virenscans auf Exchange-Mailservern aktualisiert. Die umfangreiche Liste der bisherigen Empfehlungen schrumpft um vier Einträge. Der Sicherheit soll das zuträglich und der Performance nicht abträglich sein. Ein Virenschutz auf dem Mailserver soll einerseits den Server selbst, andererseits die Nutzerinnen und Nutzer vor schädlicher Software etwa in E-Mail-Anhängen schützen. Da ein Virenscanner sich üblicherweise unter anderem von Windows etwa über Dateiänderungen informieren lässt, um die modifizierten Dateien im Anschluss zu untersuchen, wird das auf einem Server schnell zur Performance-Bremse. Wenn etwa neue Mails zu Veränderungen an der E-Mail-Datenbank des Servers führen, startet der Virenscanner quasi für jede neue E-Mail einen Scan dieser Datenbank. Für Dateien, Verzeichnisse und Prozesse, die etwa dadurch permanent Scans provozieren würden, hat Microsoft daher eine Liste zusammengestellt. Das Unternehmen stellt diese Empfehlungen etwa im Rahmen von Best-Practice-Anleitungen für Administratoren von Exchange-Servern bereit. Microsofts Entwickler schreiben jetzt, dass sie bei einer Überprüfung der bisherigen Ausnahmen aufgrund Änderungen in den Cyber-Bedrohungen auf nicht mehr benötigte Scan-Ausnahmeregeln gestoßen sind. Bei den über die Zeit geänderten Cyber-Angriffen seien einige Dateien. Verzeichnisse und Prozesse aufgefallen, die der Virenschutz doch besser untersuchen sollte. Namentlich nennt Microsoft die temporären ASP.NET-Dateien, Inetsrv-Ordner sowie die PowerShell- und w3wp-Prozesse. Blieben die Ausnahmen darauf erhalten, könnte das die Erkennung von IIS-Webshells und Backdoor-Modulen verhindern, die die häufigsten Sicherheitsprobleme darstellten. IT-Verantwortliche sollten daher folgende Ausnahmen in ihrem Virenschutz auf Exchange-Servern entfernen:

Ordner
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
Prozesse
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe

In den Tests der Microsoft-Entwickler traten durch das Entfernen der Ausnahmen im Microsoft Defender auf Exchange Server 2019 mit den jüngsten Aktualisierungen keine Performance- oder Stabilitätseinbußen auf. Sie gehen zudem davon aus, dass diese Ausnahmen sicher auch von Exchange 2016- und Exchange 2013-Servern entfernt werden können. Auf solchen Maschinen raten Microsofts Mitarbeiter jedoch dazu, die Server nach dem Entfernen der Ausnahmen auf das Auftreten möglicher Probleme hin zu beobachten. Sollten etwaige Probleme auftreten, sollten IT-Verantwortliche die Ausnahmen einfach wieder einsetzen. Bei der Gelegenheit weisen die Microsoft-ITler nochmals darauf hin, dass der Exchange Server 2013 am 11. April 2023 die letzten Aktualisierungen erhält, damit das Support-Ende erreicht und aufs Altenteil geschickt wird. Ohne Sicherheitsaktualisierungen sollten Exchange-Server nicht weiter betrieben werden, da Cyberkriminelle die Lücken darin standardmäßig angreifen und sich so in Netzwerke einnisten und Schaden anrichten.

Quelle: Heise

In Final Cut & Co: Warnung vor Cryptojacking durch gecrackte Mac-Apps

Apple hat Updates für das in macOS integrierte Schutzsystem XProtect bereitgestellt, um Cryptojacking zu unterbinden. Der Hersteller reagiert damit auf neue Funde entsprechender Malware, die offenbar über gecrackte Versionen populärer Profi-Anwendungen wie Apples Final Cut Pro, Logic Pro und Adobe Photoshop ausgeliefert werden. Durch die Installation der manipulierten Software werde zugleich ein Cryptomining-Tool eingeschleust, berichtet das Sicherheitsteam des MDM-Anbieters Jamf berichtet. Die Malware liege inzwischen in der dritten Generation vor und verstecke sich immer besser, zur Kommunikation komme die dezentrale und verschlüsselte Netzwerkschicht i2P („Invisible Internet Project“) zum Einsatz, erläutern die Sicherheitsforscher – darüber werde das Mining-Tool von einem Server nachgeladen. Bestimmte Versionen des Skripts achteten offenbar darauf, ob der Nutzer die integrierte Aktivitätsanzeige öffnet, um etwa Auffälligkeiten in Hinblick auf die plötzlich unerwartet hohe Prozessorauslastung zu prüfen. Die Malware stoppe daraufhin ihre Aktivität, solange das Programm geöffnet ist. In der jüngsten Generation der Malware tarne sie ihre Prozesse als Systemprozesse der Spotlight-Suche wie mdworker_localheißt es im Bereicht des Jamf Thread Labs. Neue Sicherheitsfunktionen in macOS 13 Ventura verhindern zwar, dass die über The Pirate Bay per BitTorrent zum Download angebotenen manipulierte Versionen von Final Cut Pro und Logic Pro geöffnet wurden, das Mining-Tool konnte sich aber trotzdem einschleusen können, so die Sicherheitsforscher. Die manipulierte Photoshop-Version habe sich in macOS 13.2 aber normal starten lassen und den Krypto-Miner ebenfalls installiert. Neuere Macs mit Apples M-Chip seien wegen ihrer Prozessorleistung ein reizvolles Ziel für Cryptojacking, merkt Jamf an. Apples XProtect-Update wird gewöhnlich automatisch von macOS geladen und installiert. Nutzer können in den Systeminformationen unter „Installationen“ prüfen, ob die XProtectPlistConfigData bereits in neuer Version 2166 vorliegt. XProtect blockiere diese Malware, betonte Apple in einer Stellungnahme gegenüber 9to5Mac – die Malware-Familie könne den Gatekeeper-Schutz zudem nicht umgehen.

Quelle: Heise

Cyber-Angriff: Salatknappheit in den USA durch Ransomware bei Dole

Der weltgrößte Obst- und Gemüseproduzent Dole ist einem Cyber-Angriff zum Opfer gefallen. In der Folge musste das Unternehmen die Produktion in Nordamerika temporär einstellen. Es kam dadurch auch zu Ausfällen von Nahrungsmittellieferungen an Lebensmittelgeschäfte. Kunden beschwerten sich offenbar über Salatknappheit. In einer Nachricht an Retail-Händler schrieb Doles Senior Vice President Emanuel Lazopoulos CNN zufolge: „Dole Food Company befindet sich inmitten eines Cyber-Angriffs und hat daraufhin seine Systeme in ganz Nordamerika abgeschaltet.“ Das Memo wurde bereits am 10. Februar 2023 versendet. Dem Nachrichtensender nach hätten dessen Quellen zudem erklärt, dass es sich um einen Ransomware-Angriff handelte. Dole bestätigte jetzt den Vorfall auf der Unternehmenswebseite. Demzufolge gab Dole „bekannt, dass das Unternehmen vor kurzem einen Cyber-Sicherheitsvorfall hatte, der als Ransomware identifiziert wurde“. Das Unternehmen ergänzt: „Nach Bekanntwerden des Vorfalls hat Dole schnell gehandelt, um die Bedrohung einzudämmen und führende externe Cybersecurity-Experten engagiert, die in Zusammenarbeit mit den internen Teams von Dole an der Behebung des Problems und der Sicherung der Systeme arbeiten“. Weiterhin ergänzt der Nahrungsmittelhersteller: „Das Unternehmen hat die Strafverfolgungsbehörden über den Vorfall informiert und kooperiert mit ihnen bei den Ermittlungen“. Der Umfang des Vorfalls werde weiter untersucht, die Auswirkungen auf den Betrieb von Dole seien jedoch begrenzt. Gegenüber CNN haben einige Lebensmittelgeschäfte bestätigt, dass sie seit Tagen ihre Regale etwa nicht mehr mit Salat-Kits auffüllen konnten. Ein Manager eines Ladens sagte demnach, dass der Cyber-Angriff bei Dole zu der Salatknappheit geführt habe. „Sie [die Kunden] regen sich darüber auf, aber das passiere“, sagte der Manager, „sie können nichts dagegen machen, außer [die Bestellungen einzugeben]“. Auch in anderen Läden hätten Kunden Fragen zu den leeren Regalen gestellt. Weitere Details nennt Dole nicht. Es bleibt unklar, wie weitreichend die IT oder die Produktion eingeschränkt ist und bleibt und wann mit einer vollen Wiederherstellung des Normalbetriebs zu rechnen ist. Auch über die Höhe der Lösegeldforderung oder die hinter der Ransomware stehende Gruppierung gibt es noch keine Informationen. Der Befall mit Ransomware bedeutet für die betroffenen Unternehmen in der Regel zumindest Umsatzeinbußen. Dies trifft sogar zu, wenn Unternehmen nicht selbst betroffen sind, sondern Zulieferer. Applied Materials hat in seinem Quartalsbericht den Umsatzverlust aufgrund eines Ransomware-Befalls in der Lieferkette etwa auf 250 Millionen US-Dollar geschätzt. Das kann für manche Unternehmen bereits das Abrutschen in die Insolvenz bedeuten. Ein Cyber-Angriff auf den Fahrradhersteller Prophete hat diesen im vergangenen Jahr etwa in die Pleite getrieben.

Quelle: Heise

Cisco stopft mehrere Sicherheitslücken

In mehreren Produkten aus dem Portfolio hat Cisco Sicherheitslücken aufgespürt und Aktualisierungen bereitgestellt, die sie schließen sollen. Zudem hat das Unternehmen eine Sicherheitsnotiz zu einer potenziellen Schwachstelle bei der SSH-Authentifizierung veröffentlicht, die bei nicht unterstützten Authentifizierungsmethoden zur Rechteausweitung im System missbraucht werden könnte. In Ciscos Application Policy Infrastructure Controller (APIC) und Cloud Network Controller klaffte eine Cross-Site-Request-Forgery-Lücke. Nicht angemeldete Angreifer aus dem Netz hätten dadurch im Kontext von Nutzern beliebige Aktionen in der Web-basierten Verwaltungsoberfläche ausführen können. Dazu hätten Opfer lediglich einen präparierten Link klicken müssen (CVE-2023-20011, CVSS 8.8, Risiko „hoch“). Die Nexus-9000 Fabric-Switches von Cisco haben zudem eine Schwachstelle im Link Layer Discovery Protocol (LLDP). Angreifer aus dem Netz könnten ohne vorherige Anmeldung mit manipulierten LLDP-Paketen für eine Denial-of-Service-Attacke missbrauchen. Solche Pakete können ein Speicherleck provozieren, in dessen Folge die Geräte unerwartet neu starten (CVE-2023-20089, CVSS 7.4, hoch). Die konkret betroffenen Versionen, die dafür bereitstehenden Aktualisierungen und gegebenenfalls temporäre Gegenmaßnehmen erläutert Cisco in den jeweiligen Sicherheitsmeldungen. Nach absteigender Risikoeinstufung sortiert:

IT-Verantwortliche sollten die Aktualisierungen zeitnah herunterladen und installieren, um die potenzielle Angriffsfläche zu minimieren. Cisco hatte erst vergangene Woche bereits zahlreiche Produkte mit Sicherheitsupdates versorgt. Unter anderem gehörte eine als kritisch eingestufte Schwachstelle in der Antivirensoftware ClamAV zu den damit behobenen Fehlern.

Quelle: Heise

Ukraine-Krieg: So viele Angriffe mit zerstörerischen Wipern wie nie zuvor

Die Ukraine wurde im vergangenen Jahr mit so viel destruktiver Wiper-Malware attackiert, wie kein Land zuvor. Das geht aus Zusammenfassungen verschiedener IT-Security-Firmen anlässlich des Jahrestags des großangelegten russischen Angriffs hervor. Wiper sollen auf infizierten Computern Daten löschen und können immense Schäden anrichten. Während aber anfangs befürchtet worden sei, dass diese Attacken auch auf andere Staaten überschwappen könnten, habe sich das nicht bestätigt, schreibt etwa die Google-Tochter Mandiant. Eset spricht laut Wired von der „intensivsten Nutzung von Wiper-Malware in der Computergeschichte“. Russland versuche aber schon lange nicht mehr, der Ukraine mit qualitativ hochwertiger Malware zu schaden. Es werde einfach alles eingesetzt, was vorhanden ist – teilweise inklusive simpler Programmierfehler. Die Zusammenfassungen werfen ein Schlaglicht auf einen Teil des Ukraine-Kriegs, der für die Öffentlichkeit weitgehend unsichtbar abläuft. Von wenigen Ausnahmen wie dem Angriff auf die Viasat-Satelliten ganz zu Anfang – der auch im Ausland Schaden angerichtet hat – abgesehen, findet dieser Cyberwar hinter den Kulissen statt. Die mit der Abwehr solcher Angriffe betrauten Security-Firmen sehen laut Wired eine nie dagewesene Vielfalt von Wiper-Malware. Angegriffen würden nicht nur Windows-Geräte, sondern auch Linux-Systeme und sogar welche mit den selteneren Betriebssystemen Solaris oder FreeBSD. Fortinet hat dem Artikel zufolge insgesamt 16 verschiedene Malware-Familien von Wipern entdeckt, bis 2022 seien es zumeist ein oder zwei pro Jahr gewesen. Diese regelrechte Explosion an Wiper-Malware könnte dem US-Unternehmen zufolge als Anzeichen dafür gewertet werden, wie viele Malware-Entwickler Russland auf den Nachbarstaat angesetzt hat. Gleichzeitig scheinen die Angriffe aber vergleichsweise ineffektiv zu sein. Die Ukraine hat bereits seit der Besetzung der Ostukraine und der Krim Erfahrung mit solchen Cyberangriffen, besonders zerstörerisch war etwa die Attacke mit NotPetya. Inzwischen kämen aus Russland aber vor allem schnell ausgeführte Cyberangriffe, die oft wiederholt würden, um irgendwie Schaden anzurichten. Es habe den Anschein, als Russland auch in diesem Bereich nicht auf einen längeren Krieg vorbereitet gewesen. Auch bei Eset wird das Vorgehen laut Wired nicht als eine kontinuierliche Entwicklung gesehen. Russland scheine einfach jedes zerstörerische Werkzeug „auf die Ukraine“ loszulassen, das aufgetrieben werden kann. Dabei werde versucht, auf alle erdenklichen Weisen Chaos zu stiften. Dabei experimentieren die russischen Cyber-Angreifer offenbar viel. Eine Zeitleiste zu den Angriffswellen gibt es bei Mandiant. Darauf wird deutlich, dass sich die Schadsoftware CaddyWiper wohl als beliebtestes Werkzeug herauskristallisiert. Zwischen den Angriffen werde der Code des simplen Wipers nur so weit verändert, dass er von Antivirus-Software gerade nicht mehr erkannt wird.

Quelle: Heise