bedrohungsfeed

Groupware: Präparierte E-Mails könnten zur Codeausführung in Zimbra führen

Die Groupware Zimbra leidet unter einem Sicherheitsproblem im Entpackprogramm unrar. Der Bug erlaubt es Angreifern, die Sicherheitsprüfungen zu symbolischen Links und relativen Pfaden auszutricksen und ein RAR-Archiv zu erstellen, das Dateien in beliebigen Verzeichnissen auf dem Zielsystem schreibt (CVE-2022-30333, CVSS 7.5, Risiko-Einstufung „hoch“). In Zimbra kommt unrar unter anderem bei der Überprüfung von E-Mail-Anhängen auf Viren zum Einsatz. Sendet der Angreifer eine E-Mail mit einem RAR-Archiv, wird dieses vom Virenscanner entpackt und die vom Angreifer präparierten Dateien werden auf dem Zimbra-Server erstellt. Um eigenen Schadcode auf dem Zielsystem auszuführen, können Angreifer nun durch einen manipulierten RAR-Anhang zum Beispiel eine JSP-Shell im Basisverzeichnis der Zimbra-Weboberfläche entpacken, wie die IT-Sicherheitsfirma Sonar in einem Blogartikel schreibt. Die Entwickler von unrar haben das Sicherheitsproblem in Version 6.12 behoben, die jedoch zum Zeitpunkt der Meldung nicht in allen Linux-Distributionen verfügbar ist – bei Debian und Ubuntu steht der Status noch auf „nicht behoben“, bei Red Hat findet sich derweil kein Ticket dazu; SUSE hat inzwischen teilweise Aktualisierungen herausgegeben. Administratoren von Zimbra-Servern sollten überprüfen, ob eine angreifbare Version von unrar installiert ist.

Quelle: Heise

Datenverwaltung: Kritische Lücke in Dell EMC PowerScale OneFS abgedichtet

Aufgrund von Sicherheitslücken In dem Betriebssystem Dell EMC PowerScale OneFS könnten Angreifer aus dem Netz ohne Privilegien vollen Systemzugriff erlangen oder unbefugt auf sensible Informationen zugreifen. Diese Lücken stuft Dell teilweise als kritisch ein. Zudem stellen veraltete Versionen von Drittherstellerkomponten ein Sicherheitsrisiko dar. Updates stehen für einige betroffene Versionen bereit, sind für andere noch in der Entwicklung – und für einige veraltete Versionen lautet die von Dell angedachte Lösung, sie auf neueren Stand zu migrieren. Das Betriebssystem PowerScale OneFS soll Speicher- und Datenmanagement für unstrukturierte Daten bieten und sehr skalierbar sein. Es liefert unter Umständen eine Fehlermeldung mit sensiblen Informationen. Ein Administrator könnte das missbrauchen, um an vertrauliche Informationen zu gelangen. Mit diesen Informationen könnten Angreifer dann weitere sensible Ressourcen zugreifen (CVE-2022-31229, CVSS 9.6, Risiko „kritisch“). Zudem hätten unprivilegierte Angreifer aus dem Netz eine Schwachstelle missbrauchen können, die auf riskanten oder schlicht kaputten kryptografischen Algorithmen beruht. Das hätte ihnen vollen Systemzugriff ermöglicht (CVE-2022-31230, CVSS 8.1, hoch). Weiterhin listet Dell in der Sicherheitsmeldung 18 sicherheitsrelevante Fehler in der mitgelieferten Bibliothek libexpat auf. Eine Lücke in OpenSSL hätten Angreifer für Denial-of-Service-Angriffe ausnutzen können (CVE-2022-0778, CVSS 7.5, hoch). Betroffen von den Sicherheitslücken sind die Versionen Dell EMC PowerScale OneFS 8.2.x bis einschließlich 9.3.0.x. Für die Versionen 9.1.0.x, 9.2.1.x und 9.4.0.x stehen RUP-Updatepakete bereit, die Administratorinnen und Administratoren zügig anwenden sollten. Für Version 9.3.0.x soll im Juli ein RUP-Paket erscheinen. Wer darauf nicht warten möchte oder die Versionen 9.0.0, 9.1.1.x und 9.2.0.x oder ältere einsetzt, soll Dell zufolge ein Upgrade auf eine neuere OneFS-Version vornehmen.

Quelle: Heise

Ukraine-Krieg: DDoS-Angriffe auf Litauen

Das litauische Verteidigungsministerium meldete in der Nacht auf Dienstag dieser Woche auf Twitter schwere Distributed-Denial-of-Service-Attacken gegen Webseiten staatlicher Einrichtungen und privatwirtschaftlicher Unternehmen. Die schlimmsten Angriffe seien inzwischen unter Kontrolle und die Dienste wiederhergestellt. Da Litauen Transitland für Warenlieferungen von Russland in die russische Exklave Kaliningrad ist und EU-Sanktionen diese einschränken, ist das Land ins Visier russischer Cybergangs geraten. Bei Distributed-Denial-of-Service-Angriffen (DDoS) legen Angreifer Zielsysteme im Internet lahm, indem sie sie mit einer riesigen Zahl an Anfragen überfluten, was die Systeme oder deren Internetanbindung an die Belastungsgrenzen bringt. Dadurch sind sie für reguläre Anfragen von Nutzerinnen und Nutzern nicht mehr zugreifbar. Zwar seien die größten Attacken inzwischen eingedämmt, jedoch warnt die Behörde, dass in den kommenden Tagen mit weiteren Cyber-Angriffen zu rechnen sei. Insbesondere der Transport-, Energie- und Finanzsektor würde ins Visier der Angreifer geraten. Gegenüber der Nachrichtenagentur Reuters bestätigte ein Sprecher der pro-russischen Cybergang Killnet, für die Angriffe verantwortlich zu sein. Die Angriffe würden weitergehen, bis Litauen die Blockade der Warenlieferungen nach Kaliningrad aufhebe. „Wir haben 1652 Web-Ressourcen demoliert. Und das nur bis jetzt“, erklärte der Killnet-Sprecher. Der Nachrichtenagentur dpa zufolge hatte die Cybergang Killnet auf dem Messengerdienst Telegram wegen der Beschränkung des Warenverkehrs in die russische Ostsee-Exklave Kaliningrad mit Angriffen gedroht. Litauen hatte Mitte Juni den Transport einiger Waren über sein Territorium in das Gebiet um das frühere Königsberg verboten, die auf westlichen Sanktionslisten stehen. Killnet trat unter anderem bereits mit DDoS-Angriffen auf den Eurovision Song Contest in Erscheinung.

Quelle: Heise

EU-Richtlinie zur Resilienz kritischer Einrichtungen kommt voran

Der Vorsitz des Rates der EU und das Europäische Parlament haben sich politisch geeinigt, wie eine Richtlinie über die Resilienz kritischer Einrichtungen aussehen soll. Künftig müssen die Mitgliedstaaten der EU eine nationale Strategie vorweisen, wie sie solche Einrichtungen widerstandsfähiger machen. Damit sind Einrichtungen in Bereichen wie Energie, Verkehr, Gesundheit, Trinkwasser, Abwasser und Weltraum gemeint. Einige Bestimmungen des Richtlinienentwurfs betreffen auch Zentralstellen der öffentlichen Verwaltung. Mit der neuen Richtlinie sollen die seit 2008 bestehenden Pflichten für Betreiber kritischer Einrichtungen erweitert werden. Dazu gehört, dass die EU-Staaten eine Liste solcher Einrichtungen erstellen müssen und mindestens alle vier Jahre die Risiken bewerten, durch die ihre Dienste beeinträchtigt werden könnten. Zudem müssen sie „geeignete Maßnahmen ergreifen, um ihre Resilienz zu gewährleisten, und den zuständigen Behörden Störfälle melden“, heißt es in einer Mitteilung. Der Richtlinienvorschlag enthält auch Vorschriften dafür, wie kritische Einrichtungen von besonderer europäischer Bedeutung ermittelt werden. Das sind jene, die einen wesentlichen Dienst für sechs oder mehr Mitgliedstaaten erbringen. Hier können die Mitgliedstaaten die EU-Kommission ersuchen, eine Beratung zu organisieren oder selbst beurteilen, ob und wie der betreffende Mitgliedsstaat seinen Verpflichtungen nachkommt. Die Beratungen zu dieser Richtlinie werden nun auf fachlicher Ebene fortgesetzt, um einen vollständigen Rechtstext zu schaffen. Diese Einigung muss dann vom Rat und vom Europäischen Parlament gebilligt werden, bevor sie in einem weiteren Verfahren förmlich angenommen werden kann. Die EU-Kommission hatte im Dezember 2020 den Vorschlag für eine Richtlinie über die Resilienz kritischer Einrichtungen vorgelegt. Im Jahr zuvor hatte sich gezeigt, dass die seit 2008 bestehenden Vorschriften vor dem Hintergrund der wachsenden digitalen Wirtschaft, den zunehmenden Auswirkungen des Klimawandels und den terroristischen Bedrohungen aktualisiert und weiter gestärkt werden müssten. Auch habe die Coronavirus-Pandemie besonders deutlich gemacht, wie anfällig kritische Infrastrukturen und Gesellschaften sein können, wie sehr EU-Mitgliedstaaten voneinander abhängig sind. Für den Bereich der Cybersicherheit hatten sich im Mai 2022 EU-Rat und -Parlament über einen Vorschlag der EU-Kommission für eine Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2) geeinigt. Im September 2020 hatte die EU-Kommission eine Verordnung über die Betriebsstabilität digitaler Systeme (DORA) vorgeschlagen, mit dem die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungsunternehmen und Wertpapierfirmen gestärkt werden soll. Über diesen Vorschlag haben sich ebenfalls im Mai Rat und Parlament geeinigt.

Quelle: Heise

Apetito: Cyberattacke auf Essenslieferanten für Schulen und Kliniken

Ein Cyberangriff hat das Lebensmittelunternehmen Apetito getroffen. Nach Angaben der Firma haben die Mitarbeiter aktuell keinen Zugriff auf ihre IT-Systeme, da die Server attackiert wurden. Deshalb sind momentan keine Bestellungen möglich. Apetito bietet tiefgekühlte sowie gekühlte Menüs an und beliefert Kindertagesstätten, Schulen, Unternehmen, Kliniken, Senioreneinrichtungen und Essen auf Rädern. Das Unternehmen mit Hauptsitz im nordrhein-westfälischen Rheine erklärt auf seiner derzeit stark eingeschränkten Website, dass ein Expertenteam intern und extern mit Hochdruck an Analyse und Lösungen arbeitet. Allerdings sei noch nicht absehbar, wann Apetito wieder erreichbar sein wird. Kunden sollen sich an die zuständigen Außendienstmitarbeiter wenden. Nach einem Bericht des WDR sind Apetitos Server bereits am vergangenen Wochenende angegriffen worden. Noch bestehe Unklarheit über die Folgen für das Unternehmen. Ob personenbezogene Daten betroffen sind, könne die Firma momentan noch nicht sagen. Apetito hat die Zentral- und Anlaufstelle Cybercrime Nordrhein-Westfalens in Köln (ZAC NRW) eingeschaltet und laut Lebensmittel Praxis Anzeige bei der Polizei Münster erstattet. Auch wenn Apetito keine Einzelheiten zu dem Cyberangriff nennt, deutet der massiv eingeschränkte Zugriff auf die eigenen IT-Systeme darauf hin, dass es sich um eine Ransomware-Attacke handelt. Bei dieser Art von Cyberangriff werden die Nutzer durch Verschlüsselung aus ihren Systemen ausgesperrt und sollen Zugriff erst nach Zahlung eines Lösegelds (Englisch: Ransom) erhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Opfern von Verschlüsselungs-Trojanern bereits seit Jahren davon ab, die geforderte Lösegeldsumme zu zahlen. Stattdessen sollten Opfer von Ransomware Anzeige erstatten. In einem offenen Brief haben kürzlich erst mehr als 30 IT-Sicherheitsexperten aus Bildung und Wirtschaft Maßnahmen gegen Lösegeldzahlungen von Opfern gefordert. Demnach seien Lösegeldzahlungen bei Ransomware Wurzel allen Übels. Apetito ist in den letzten Jahren zu einem attraktiven Ziel für Cyber-Erpresser geworden, denn das Unternehmen hat laut Tagesschau von der Corona-Pandemie und der zunehmenden Alterung der Gesellschaft in Deutschland profitiert. Im vergangenen Jahr erzielte der Kantinenessen- und Tiefkühlkost-Hersteller mit fast 12.000 Mitarbeitern einen Jahresumsatz von über einer Milliarde Euro.

Quelle: Heise

Zero Trust: Bund will bei IT-Sicherheit niemandem mehr vertrauen

Der Bund will auf die aktuelle Cybersicherheitslage reagieren, die sich mit dem Angriffskrieg Russlands auf die Ukraine nach offizieller Darstellung „massiv geändert“ hat. Insbesondere die mit der Hackerattacke auf den Bundestag bekannt gewordenen Netze des Bundes müsse der Staat so aufstellen, „dass wir schrittweise in Richtung Zero-Trust-Architektur gehen“, erklärte Andreas Könen, Leiter der Abteilung Cyber- und IT-Sicherheit im Bundesinnenministerium (BMI), am Dienstag auf der Jahreskonferenz des Verbands Teletrust in Berlin. IT-Sicherheitsfirmen werben seit ein paar Jahren für den Umstieg auf das Modell Zero Trust („Traue niemandem“). Jeder einzelne Zugriff soll daher eine Authentifizierung erfordern. Das Innenministerium habe bei den bisherigen Cyberscharmützeln „mehr erwartet“, etwa „mit schlafender Schadsoftware“ in kritischen Infrastrukturen (Kritis). Dennoch will der Bund laut Könen künftig von vornherein verhindern, dass solche Angriffsmittel in seinen IT-Systemen installiert werden können. Eine entsprechende Attacke auf das Auswärtige Amt habe es schon gegeben. Es gehe um einen „Paradigmenwechsel“ vom Schutz der Peripherie „hin zu einzelnen Assets“, führte der Diplom-Mathematiker aus. Die Frage der Umsetzung des neuen Prinzips sei eine der digitalen Souveränität. Es gelte, erst mal Transparenz zu erzeugen, „was verwendet wird“. Bei einer kritischen IT-Infrastruktur sollten dann nur Produkte und Dienste „aus kontrollierter, europäischer oder deutscher Provenienz“ eingesetzt werden. Vor allem an Cloud-Infrastrukturen werde der Staat gesonderte Ansprüche stellen, um auch die heimische Wirtschaft zu stärken, stellte Könen klar. Die deutsche Verwaltungscloud etwa werde „mit wesentlichen Sicherheitsanforderungen“ hinterlegt. Dazu solle eine Open-Source-Struktur kommen, an der sich dann aber angesichts der damit einhergehenden prinzipiellen Offenheit auch US-Unternehmen beteiligen könnten. Mit der geplanten Cybersicherheitsagenda will das Innenressort zudem die „operative Sicherheit“ stärken, kündigte der Abteilungsleiter an. Die Auflagen aus dem IT-Sicherheitsgesetz beschränkten sich derzeit auf eine Meldepflicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalte darüber Informationen über Computer Emergency Response Teams (CERTs) aus der Wirtschaft. Die Fachkräfte, „die den Betrieb aufrechterhalten“, sprächen bislang aber nicht miteinander. Das Cyberabwehrzentrum muss Könen zufolge daher „auch eine Rolle im Operativen einnehmen“. Er stelle sich das so vor, dass das CERT Bund auf einer Seite des Flurs liege, auf anderer Seite das für Energie. Dazwischen noch viele andere solche Informationsdrehscheiben eingebunden. Darüber lasse sich dann gezielt mit Providern etwa darüber reden, dass in einem Angriffsfall nur noch eine Streckenabschaltung bleibe, um den Gegner auszuschalten. Auf EU-Ebene gebe es bei der Cybersicherheitsbehörde Enisa ähnliche Vorstellungen, um „näher an die Verantwortlichen“ heranzukommen. Ransomware, die hierzulande neben Unternehmen und öffentlichen Einrichtungen auch ganzen Landkreisen zusetzt, bezeichnete der Ministeriale als „weltweite Seuche“, die auch global bekämpft werden müsse. Hier gelte es national, noch mal einen Aufschlag im IT-Sicherheitsrecht zu machen. Um das BSI als Zentralstelle gegenüber den Ländern und so als Dienstleister zu etablieren, „müssen wir die Verfassung ändern“. Bei der Kritis-Absicherung gehe der Bund hier zudem jetzt mit rein über die Neuaufstellung des Zivilschutzes. Nicht ganz eins waren sich Könen und Regine Grienberger, Beauftragte für Cybersicherheitspolitik des Auswärtigen Amts, in der Einschätzung der mit dem Ukraine-Krieg verknüpften Cybervorfälle. Während der BMI-Vertreter diesen trotz Wiper-Attacken etwa auf Viasat und den damit verknüpften Ausfällen auch bei Windradbetreibern in Deutschland vor allem einen „Lästigkeitsfaktor“ attestierte, sprach die Diplomatin von einer „Zeitenwende auch für den Cyberraum“. Den Angriff auf Viasat schreibe man dem russischen Militärgeheimdienst GRU zu. Könen gab dagegen zu bedenken: „Die technische Attribution fehlt noch immer.“ Betitelt hatte Grienberger ihre Ausführungen zwar mit „Mythos Cyberwar“. Trotzdem konstatierte sie mit Blick auf Russland: „Es ist ein Cyberkrieg“, der parallel zu einem konventionellen Krieg stattfinde. Diese Form der Kriegsführung verlängere die Kampfhandlungen, vergrößere den Schaden und erschwere den Waffenstillstand, selbst wenn die von der Ukraine einberufene „IT-Armee“ den Gegner auch mit Unterstützung durch westliche Partner auf gewissem Abstand halten könne. Die unsauberen Online-Schlagabtausche hörten leider auch mit einem potenziellen Ende des klassischen Kriegs nicht auf, beklagte die Diplomatin: „Die Hunde sind jetzt von der Kette.“ Jenseits der mit Russland verknüpften Cybergang Conti gebe es viele kleinere Akteure, die insbesondere auf Erpressungstrojaner setzten. Auch westliche Hacktivisten und Angehörige der ukrainischen IT-Armee machten die Lage „völkerrechtlich extrem schwierig“: sie würden durch ihre Beteiligung zu Kombattanten. Wenn die selbst ernannten Online-Kämpfer „einen deutschen Pass haben, ziehen die uns mit rein“, verdeutlichte Grienberger. Da lasse sich dann nicht mehr unterscheiden, ob es sich um eine private oder staatliche Aktion handle. Wenn Russland „auf uns zukommt und verlangt“, die virtuellen Eindringlinge zu bestrafen, „sind wir in einer schwierigen Situation“. Es müsste daher dringend geklärt werden, „wie kann man diese Leute wieder demobilisieren?“  Vertreter aus dem Publikum forderten, den „Closed Shop“-Ansatz bei der Allianz für Cyber-Sicherheit abzuschaffen. Zur Teilnahme sei schon eine Mitgliedschaft nötig. Zusätzlich müsse man eine Verschwiegenheitserklärung unterschreiben, um Lageberichte zu bekommen. Dies sei weit weg von der von Könen verlangten offenen Kommunikationsstruktur.

Quelle: Heise

Firefox 102: Mehrere Sicherheitslücken geschlossen

Firefox 102 ist erschienen. Die neue Version des Browsers von Mozilla ist auch die Basis für Firefox ESR, die Version mit längerem Supportzeitraum. Mit dem Update wurden einige Sicherheitslücken geschlossen, es enthält aber auch einige neue Funktionen. So lässt sich jetzt etwa verhindern, dass die Download-Schaltfläche oben rechts bei jedem Herunterladen erneut aufklappt. Beim Surfen im strengen Enhanced Tracking Protection-Modus will Firefox das Tracking von Abfrageparametern einschränken, heißt es in den Release Notes zu Firefox 102. Dazu entferne der Browser bestimmte Parameter automatisch aus URLs, berichtet das Technologie-Blog Ghacks. Man findet den Modus in den Einstellungen bei „Datenschutz & Sicherheit“ unter „Verbesserter Schutz vor Aktivitätenverfolgung“; die Funktion sei aber auch im privaten Modus von Firefox aktiv, so Ghacks. Auch konkrete Sicherheitsprobleme hat Mozillas Entwicklungsabteilung mit Firefox 102 behoben. Die zugehörige Sicherheitsmeldung listet vier Sicherheitslücken mit hohem Risiko, elf mit mittlerem sowie vier mit der Einstufung als niedriger Schweregrad. Als eine Schwachstelle wurde etwa das Durchreichen von Protokollen wie ms-msdt eingestuft: Firefox 102 filtert diese jetzt aus, damit Sicherheitslücken etwa in Microsofts Diagnostic Tool sich nicht darüber missbrauchen lassen (CVE-2022-34478. Risiko „mittel“). Bei der Nutzung von Screenreadern trat in Firefox bisher ein Fehler auf, durch den die Eingabetaste Elemente nicht aktivierte oder gar ein falsches Element auswählte, etwa ein anderes Fenster. Dieser Fehler sei mit Firefox 102 behoben worden, so die Release Notes. Des Weiteren seien mit Firefox 102 für mehrere Dienste, etwa HBO Max und Disney+, Untertitel für Bild-im-Bild-Videos verfügbar. Firefox 102 ist die neue Basis für Firefox ESR. Die „Extended Support Release“-Variante des Browsers hat einen längeren Supportzeitraum und eignet sich deshalb besonders für größere Organisationen, etwa Schulen oder Unternehmen. Der Support für den Vorgänger Firefox 91 ESR ende am 20. September 2022. Schon in den Release Notes zur vorherigen Major Version Firefox 101 wurde angekündigt, dass Nutzerinnen und Nutzer dann automatisch das Upgrade auf Firefox 102 ESR erhalten würden.

Quelle: Heise

Deutlich mehr Angriffe über E-Mail – aber weniger Ransomware-Erkennungen

33,6 Millionen E-Mail-Bedrohungen in Cloud-basierten Systemen wie Microsoft 365 und Google Workspace blockierte das Sicherheitsunternehmen Trend Micro im vergangenen Jahr. Im Vergleich zum Vorjahr bedeutet das einen Anstieg von über 100 Prozent. Noch immer ist damit E-Mail das Haupteinfallstor für Cyberattacken. Das liegt daran, dass Angriffe mit wenig Aufwand und hoher Wirkung ausgeführt werden können. Auch das FBI verzeichnete in seinem Internet Crime Report 2021 einen „beispiellosen Anstieg von Cyberangriffen und bösartigen Cyberaktivitäten“, darunter die Kompromittierung von Geschäfts-E-Mails. Die Analyse der Angriffsdaten von Trend Micro ergab einige Besonderheiten, etwa den deutlichen Rückgang an Ransomware-Erkennungen um 43 Prozent im Vergleich zum Vorjahr – und das, obwohl die Gesamtrate der Malware-Erkennung gestiegen ist. Die Experten von Trend Micro vermuten zum einen, dass die Kriminellen immer gezielter gegen ausgewählte Unternehmen vorgehen und die Spam-Massenaussendungen zurückgehen. In solchen Fällen etablieren sie zunächst ausschließlich den Zugang zum Unternehmensnetzwerk der Opfer, ohne Daten zu stehlen oder zu verschlüsseln. Später verkaufen sie dann im Untergrund diese Zugänge als „Access as a Service“. Zum anderen blockieren aktuelle Sicherheitsprodukte die Ransomware-Affiliate-Tools und verhindern solche Angriffe schon am E-Mail-Gateway. Die Anzahl der identifizierten Bedrohungen über Business Email Compromise (BEC) nahm im Vergleich zum Vorjahr ebenfalls um 11 Prozent ab. Dahingegen sind BEC-Angriffe, die Trend Micro mithilfe von KI-Analysen erkannte, um 83 Prozent angestiegen – ein Zeichen dafür, dass Betrugsversuche immer ausgefeilter werden. Insgesamt verzeichnete Trend Micro aber einen Rückgang der BEC-Angriffe. Weniger Angriffe bedeuten aber nicht weniger Gewinne für die Kriminellen: Nach Angaben des FBI verursachten sie im Jahr 2021 Verluste in Höhe von 2,4 Milliarden US-Dollar für Unternehmen und Verbraucher. Und zwischen Juni 2016 und Dezember 2021 erreichten sie bei inländischen und internationalen Vorfällen ein Volumen von über 43 Milliarden US-Dollar. Weitere Ergebnisse: Eine beliebte Zielgruppe von Kriminellen sind nach wie vor Mitarbeiter in hybriden Arbeitsmodellen. Hier ergab die Analyse 16,5 Millionen identifizierte und abgewehrte Phishing-Angriffe, ein Anstieg um 138 Prozent im Vergleich zum Vorjahr. Phishing ist nach wie vor Hauptangriffsmittel: Rund 6,3 Millionen Phishing-Angriffe auf Zugangsdaten (Credential Phishing) konnten erkannt werden, das bedeutet einen Anstieg um 15 Prozent. Der vollständige Cloud App Security Threat Report in englischer Sprache ist auf der Website von Trend Micro veröffentlicht.

Quelle: Heise

Open Source Security: GitHub Advisory Database kennt Erlang und Elixir

Code-Hoster GitHub stellt mit der Advisory Database eine umfangreichen Datenbank zur Erfassung von Sicherheitsproblemen bei Open-Source-Software bereit. Auf Basis dieser für Entwicklerinnen und Entwickler frei zur Verfügung stehenden Informationen sollen sich Software Supply Chains besser schützen lassen. Zu den bisher bereits unterstützten acht Ökosystemen kamen mit Erlang und Elixir nun zwei Sprachen hinzu, die für die virtuelle Maschine BEAM kompiliert wurden. In einem Blog-Beitrag berichten die GitHub-Macher, dass sie mit dieser Erweiterung der Advisory Database nun insgesamt neun verschiedene Ökosysteme mit den Hinweisen in dieser Datenbank unterstützen: Composer, Go, Maven, npm, NuGet, pip, RubyGems, Rust und nun auch Erlang/Elixir. Erlang wird vielfach als relativ kompakte Allzweckprogrammiersprache bezeichnet. Zu ihr gehört neben einer entsprechende Laufzeitumgebung eine umfangreiche Bibliothek. Sie kommt häufig in der Entwicklung skalierbarer und nebenläufiger Systeme zum Einsatz. Elixir ist eine dynamische, funktionale Sprache für die Entwicklung skalierbarer und wartbarer Anwendungen und kommt häufig zum Einsatz, wenn es um die Steuerung großer Mengen von Infrastruktur geht. Diese und andere Sprachen, die für die virtuelle Maschine BEAM kompiliert wurden, werden von der Hex-Paketregistrierung verwaltet. Dabei handelt es sich um einen Paketmanager speziell für die Erlang-Welt. Die Open-Source-Datenbank mit Sicherheitshinweisen ist unter der Creative Commons Attribution 4.0 lizenziert. Auf diese Weise können die Daten nach Aussagen des GitHub-Teams überall verwendet werden und sollen zudem für immer kostenlos zur Verfügung stehen. Da die Advisory Database nun das Erlang-Ökosystem unterstützt, nimmt GitHub neuerdings Beiträge zu Hex-Paketen aus der Community entgegen. Sicherheitsforscher, Akademiker und Enthusiasten sollen so zusätzliche relevante Informationen bereitstellen können. Sie können ihre Beiträge gemäß den Community-Richtlinien von GitHub einreichen.

Quelle: Heise

Lockbit-Ransomware-Gruppe stellt sich professioneller auf

Die Professionalisierung der Erpresserbande hinter der Lockbit-Ransomware hat eine neue Stufe erklommen. Dazu gehört markiges Marketing für eine aktualisierte Ransomware-Version, Lockbit 3.0, mit dem Spruch „Make Ransomware Great Again!“. Weniger erwartbar ist ein Bug-Bounty-Programm, das die Cyberkriminellen mit dem Ransomware-as-a-service-Geschäftsmodell jetzt aufgelegt haben. Darauf gestoßen ist das vx-underground-Kollektiv auf Twitter. Dort finden sich auch Screenshots etwa von der Bug-Bounty-Webseite. So loben die Malware-Entwickler Belohnungen dafür aus, dass ihnen Fehler auf der Webseite, Fehler bei der Verschlüsselungssoftware, die etwa eine spätere Entschlüsselung verhindern könnten oder einfach gute Ideen zur „Verbesserung“ der Webseite und Software gemeldet werden. Ebenfalls auf der Liste ist Doxxing insbesondere wichtigerer Menschen, also das Zusammentragen von (kompromittierendem) Material und Ausforschen von Adressen, um damit Personen zu erpressen. Um ihre eigene Anonymität machen sich die Cyberkriminellen ebenfalls Gedanken. Daher wollen sie auch Kopfgelder zahlen, sollte jemand Schwachstellen in dem verwendeten TOX-Messenger oder allgemein im anonymisierenden Netzwerk von Tor finden, die das Abfangen von Nachrichten ermöglichen oder die Nutzer erkenn- und auffindbar machen würden. Ob tatsächlich jemand darauf anspringt und potenzielle Fehler meldet, steht jedoch auf einem anderen Blatt. Das Vertrauen gegenüber den Kriminellen dürfte sehr niedrig sein. Ihr gesamtes Geschäft basiert schließlich auf Lug, Betrug und Abzocke. Etwas zynisch formuliert denken die Lockbit-Drahtzieher auch an die Opfer ihres kriminellen Geschäftsmodells. So haben sie inzwischen die Webseite, auf der sie erbeutete Informationen zu veröffentlichen drohen, mit mehr Optionen bezüglich des gewünschten Umgangs der Opfer mit den Daten ausgestattet. Ein Beispiel-Screenshot vom vx-underground auf Twitter zeigt, dass Bieter sich eine Fristverlängerung für 10.000 US-Dollar kaufen können. Für eine Summe von 874.330 US-Dollar können Besucher im gezeigten Beispiel der Leak-Seite entweder die Zerstörung der Daten oder deren Download erstehen. Auch hier lässt sich eine professionellere Aufstellung erkennen. Die Cybergang Conti hat ihre Leak- und Bieter-Webseite hingegen gerade erst geschlossen. Am Montag dieser Woche hatten renommierte IT-Sicherheitsexperten aus Forschung, Lehre und Privatwirtschaft einen offenen Brief veröffentlicht. Darin haben sie bereits das Problem angesprochen, dass die Lösegeldzahlungen zu einer deutlichen Professionalisierung der Verbrecherbanden geführt hätten. Diese seien „technisch und methodisch oft um Größenordnungen besser aufgestellt […] als die angegriffenen Unternehmen“.

Quelle: Heise

Microsoft: Support-Ende von Exchange 2013 naht

Microsofts Exchange-Server 2013 wird in rund neun Monaten sein endgültiges Support-Ende erreichen. Daran erinnert Scott Schnoll, seines Zeichens Senior Product Marketing Manager für Exchange Online und Exchange Server beim Hersteller. Am 11. April 2023 schlägt das letzte Stündchen für Exchange 2013. In einem Beitrag in Microsofts Tech-Community erläutert Schnoll, welche Folgen das Support-Aus für Administratorinnen und Administratoren eines Exchange-2013-Servers hat. Microsoft liefere danach keine technische Unterstützung mehr für möglicherweise auftretende Schwierigkeiten. Ebenso müssen sie auf Fehlerbehebungen für Probleme verzichten, die die Stabilität und Nutzbarkeit des Servers betreffen. Außerdem gebe es keine Sicherheitsaktualisierungen für Schwachstellen mehr, die danach noch entdeckt werden und den Server verwundbar machen. Selbst Aktualisierungen für Zeitzonen weerde es nicht mehr dafür geben, führt Schnoll aus. Zwar laufe der Exchange-2013-Server nach dem 11. April kommenden Jahres selbstverständlich weiter. Jedoch empfehle das Exchange-Team in Anbetracht dieser Risiken nachdrücklich, auf einen neueren Server zu migrieren – und zwar so schnell wie möglich. Sofern IT-Verantwortliche den Umzug noch nicht in Angriff genommen haben, sei jetzt der richtige Zeitpunkt für die Planung. Als Migrationsziele kämen Exchange 2019 als On-Premise-Lösung im eigenen Netzwerk oder Exchange Online infrage. Für letzteres könnten Kunden je nach Abo-Modell die Nutzung des FastTrack-Services beauftragen, bei dem ein Support-Ingenieur von Microsoft die Administration bei der Planung, dem Design und dem Umzug der Mailboxen an die Hand nehme.

Quelle: Heise

Ransomware: Unternehmen im Gesundheitswesen zahlen am häufigsten Lösegeld 

Unternehmen aus dem Gesundheitswesen gehen am häufigsten von allen Branchen auf Lösegeldforderungen von Datenerpressern ein. Andererseits zahlen sie aber mit durchschnittlich 197.000 US-Dollar das niedrigste Lösegeld, das weltweit im Mittel bei 812.000 Dollar liegt. Diese und weitere Besonderheiten des Gesundheitssektors in Sachen Ransomware erfasst ein Whitepaper von Sophos, für das weltweit 5600 IT-Experten, darunter 381 aus der Gesundheitsbranche, befragt wurden. Im Gesundheitssektor haben Angriffe mit Ransomware außerdem deutlich stärker zugenommen als in anderen Branchen. Waren im Jahr 2020 noch 34 Prozent der Organisationen im Gesundheitswesen betroffen, so waren es im vergangenen Jahr bereits 66 Prozent – ein Anstieg von 94 Prozent innerhalb eines Jahres. Da Gesundheitsdaten besonders sensibel sind, sind sie für Angreifer auch attraktiv. Hinzu kommt, dass aufgrund der Arbeitsbedingungen nicht immer alle Schutzmaßnahmen umgesetzt werden und werden können. So ist es etwa erforderlich, dass medizinisches Fachpersonal von überall Zugriff auf die Daten hat – das erschwert es aber, Strategien und Maßnahmen wie Zero Trust oder Zwei-Faktor-Authentifizierung zu realisieren. Folglich sind Organisationen der Gesundheitsbranche auch verwundbarer – und entscheiden sich möglicherweise daher häufiger als andere, die geforderten Lösegeld zu bezahlen, um die gegebenenfalls lebensrettenden Gesundheitsdaten zurückzuerhalten, sagt John Shier, Senior-Security-Experte bei Sophos. Was die Datenverschlüsselung durch Ransomware abgeht, ist sie in der Gesundheitsbranche weniger häufig anzutreffen (61 Prozent) als in anderen Sektoren (65 Prozent). Die Experten von Sophos mutmaßen, das liege an den häufiger abgeschlossenen Cyberversicherungen in dieser Branche, die bei den Versicherten bestimmte Sicherheitsmaßnahmen vorschreiben. Erfolgreicher als andere Branchen ist das Gesundheitswesen auch bei der Wiederherstellung der verschlüsselten Daten. 99 Prozent der befragten Unternehmen erhielten einige verschlüsselte Daten zurück (im Vorjahr 93 Prozent). Das könnte daran liegen, dass die Branche einen mehrstufigen Ansatz verfolgt: Die häufigste Methode, wieder an die Daten zu gelangen, ist das Einspielen von Backups, die Organisationen zahlten außerdem Lösegeld und gaben an, weitere Mittel zur Wiederherstellung angewendet zu haben. Damit liegt das Gesundheitswesen auf Platz 1 in Sachen Datenrückgewinnung. Die Geschäftsabläufe sind hier allerdings auch in hohem Maße von der Datenverfügbarkeit abhängig, insbesondere die Versorgung der Patienten. Weitere Details sind dem Whitepaper The State of Ransomware in Healthcare 2022 zu entnehmen.

Quelle: Heise

Offener Brief: Lösegeldzahlungen bei Ransomware Wurzel allen Übels

Einen offenen Brief mit dem Titel „Lösegeldzahlungen bei Ransomware-Angriffen: ein geostrategisches Risiko“ haben mehr als 30 Experten aus dem Bereich IT-Sicherheit und Informatik in Bildung, Forschung sowie dem privatwirtschaftlichen Sektor unterzeichnet. Darin erläutern die Autoren das Risiko durch Lösegeldzahlungen, das weit über einzelne Personen oder Unternehmen hinausgehe. Zudem haben sie einen Maßnahmenkatalog erstellt, in dem sie konkrete rechtliche Umsetzungen von Maßnahmen zur Verhinderung solcher Ransomware-Zahlungen fordern. Um das Problem zu verdeutlichen, führen die IT-Spezialisten einige Zahlen ins Feld: Der Schaden durch Daten-Diebstahl, Spionage und Sabotage für die deutsche Wirtschaft belaufe sich auf 223 Milliarden Euro jährlich, was mehr als 6 Prozent des deutschen Bruttoinlandsprodukts für 2021 (3,57 Billionen Euro) entspreche. Es seien neben Behörden und kritischer Infrastruktur 90 Prozent der Unternehmen betroffen. Für einen Großteil sei Ransomware verantwortlich. Backups seien nur selten eine Hilfe, da die kriminellen Akteure diese ebenfalls verschlüsselten. Zudem drohten sie ihren Opfern mit der Preisgabe vertraulicher Daten. Das erhöhe die Bereitschaft zur Lösegeldzahlung, folgern die Autoren. So zahlten einer Sophos-Studie zufolge 42 Prozent der deutschen Unternehmen Lösegeld, im Schnitt eine Viertelmillion Euro – entgegen den Empfehlungen von BSI und BKA. Vor dem Hintergrund, dass die Kosten zur Wiederaufnahme Durschnittlich 1,6 Millionen Euro betragen würden, verwundere dies wenig. Diese Kosten würden zudem oftmals von Cyberversicherungen übernommen. Inzwischen seien rund 80 Prozent der Unternehmen gegen Ransomware-Angriffe versichert. Die Autoren erläutern, dass viele Versicherungen nebst Wiederherstellungsmaßnahmen auch Lösegeld erstatten würden, wenn dies den Schaden für das Unternehmen minimiere. „Ransomware ist seit Jahren ein stark organisiertes Verbrechen, dessen Umsätze in Deutschland die des gesamten europäischen Drogenhandels um rund das Achtfache übersteigen. Wenn Opfer von Ransomware das geforderte Lösegeld nicht zahlen würden, dann würde dieses Geschäftsmodell im Keim erstickt“, schreiben die Unterzeichner in ihrem Brief. So hätten die Lösegeldzahlungen zu einer deutlichen Professionalisierung der Verbrecherbanden geführt. Diese seien „technisch und methodisch oft um Größenordnungen besser aufgestellt […] als die angegriffenen Unternehmen“. Gewinne kämmen insbesondere Staaten zugute, die Deutschland eigentlich sanktioniert. So landeten 74 Prozent aller Ransomware-Lösegelder im Jahr 2021 bei Cybergangs in Russland. Lösegeldzahlungen würden das aktuelle EU-Embargo gegen Russland signifikant schwächen. Zu den unter Embargo stehenden Nutznießern stehe aber auch Nordkorea. Es sei direkt in Ransomwareangriffe verstrickt, stehle darüber hinaus aber auch regelmäßig entsprechende Kryptowährungen zur Finanzierung seines Atomraketenprogramms. Die Autoren des offenen Briefs erklären, dass sich die Bereitschaft zu Lösegeldzahlungen mittlerweile für Deutschland zu einem massiven geostrategischen Risiko entwickelt habe, das nicht länger ignoriert werden dürfe. Sie erläutern: „Lösegeldzahlungen stärken Deutschlands geopolitische Konkurrenten und schwächen die deutsche Wirtschaft und den deutschen Staat, sie gefährden unsere kritischen Infrastrukturen. Aber auch hier vor Ort setzen Lösegeldzahlungen falsche Anreize, denn sie ermöglichen Unternehmen und Behörden einen vermeintlich einfachen Ausweg, der zwar kurzzeitig das Leid lindert, aber mittelfristig mehr Probleme verursacht als er löst“. Die als Lösegeld gezahlte Summe wandere nicht in Maßnahmen zur Verbesserung der IT-Sicherheit, sondern erhöhten die Wahrscheinlichkeit weiterer erfolgreicher Angriffe gegen sich selbst und andere. Insbesondere kleine Unternehmen könnten sich weder Lösegelder noch Cyber-Versicherungen leisten und stünden nach einem Angriff potenziell vor dem Bankrott. „Statt diese Milliarden an Euro jährlich dem organisierten Verbrechen und den Staaten, die diese Verbrecherbanden beheimaten, zukommen zu lassen, sollten deutsche Unternehmen diese Gelder vielmehr in ihre eigene IT-Sicherheit investieren, um somit einerseits die Hürden für weitere Angriffe zu erhöhen und andererseits die Finanzströme der Verbrecherbanden versiegen zu lassen“, erklären die Unterzeichner. Die Ersteller des offenen Briefs haben einen Maßnahmenkatalog aufgestellt, der zur Senkung der skizzierten Risiken umgesetzt werden sollte. Die Initiatoren fordern von der Bundespolitik, sie solle Maßnahmen erlassen und Anreize bieten, die Lösegeldzahlungen unterbinden würden:

  • Schaffen Sie die steuerliche Absetzbarkeit von Ransomware-Lösegeldzahlungen (§ 33 EStG) ab.
  • Führen Sie für Unternehmen ab einer bestimmten Größe eine Meldepflicht für Ransomwareangriffe und Lösegeldzahlungen ein.
  • Unterbinden Sie Versicherungen, die diese Lösegeldzahlungen absichern.
  • Befördern Sie stattdessen Versicherungen, die die verursachten Umsatzeinbußen und Wiederherstellungsmaßnahmen absichern. Da die Versicherer zunehmend starke Sicherheitsmaßnahmen bei den Versicherungsnehmern einfordern, besteht hier die Möglichkeit, die IT-Sicherheit in der Breite signifikant zu erhöhen, ohne weitere regulatorische Maßnahmen treffen zu müssen.
  • Unterstützen Sie Unternehmen, die durch Ransomwareangriffe in eine finanzielle Notlage geraten, in angemessener Weise, beispielsweise über einen Hilfsfonds, sodass diese nicht gezwungen werden, Lösegelder zu zahlen. Die Unterstützung sollte jedoch an Bedingungen geknüpft sein, welche sicherstellen, dass die Opfer ihre Pflicht zur eigenständigen Absicherung nicht vernachlässigen.
  • Forcieren Sie Maßnahmen, die deutschen Unternehmen in Zukunft Methoden und Technologien bereitstellen, um an sie gestellte IT-Sicherheitsanforderungen effektiv und dennoch möglichst kostengünstig erfüllen zu können.

Zu der Frage, warum er den offenen Brief initiiert habe, antwortete Professor Dr. Eric Bodden vom Heinz Nixdorf Institut der Universität Paderborn und Fraunhofer IEM: „Diese Maßnahmen würden es stark erleichtern, dass betroffene Organisationen keine Lösegeldzahlungen nach Ransomware-Angriffen mehr zahlen müssen. Sie können helfen, die kriminellen Gruppen finanziell auszutrocknen und sanktionierten Staaten keine Devisen zukommen zu lassen.“ Professor Dr.-Ing. Tibor Jager von der Bergischen Universität Wuppertal ergänzte: „Dass ein Unternehmen durch die Nichtzahlung eines Lösegeldes in finanzielle Bedrängnis kommen kann, ist ein großes Problem, jedoch kein unlösbares. Es ist auf jeden Fall wesentlich sinnvoller, geschädigte Unternehmen vor dem Bankrott zu retten, als kriminelle Geschäftsmodelle zu finanzieren und so gesamtwirtschaftlich noch höheren Schaden zu fördern“. „Durch die Lösegeldzahlungen fließen immense Mittel an die Seite der Angreifer und insbesondere nach Russland. Das ist geopolitisch nicht tragbar und steigert das Risiko von Cyberangriffen, auch auf kritische Infrastrukturen, immer weiter“, erklärte Professor Dr.-Ing. Dorothea Kolossa von der Ruhr-Universität Bochum, warum die Politik das Thema jetzt angehen sollte.

Quelle: Heise

Flut von Angriffen auf Paketmanager PyPI schleust Backdoor in Python-Pakete ein

Derzeit läuft offensichtlich ein großangelegter Angriff auf Inhalte im Python-Paketmanager PyPI. Sonatype hatte zunächst fünf Pakete mit Schadcode identifiziert, der sensible Daten wie AWS-Schlüssel und weitere Secrets an eine anfangs ungeschützte öffentliche Site hochgeladen hat. Seitdem sind zahlreiche weitere Vorfälle in der CVE-Datenbank (Common Vulnerabilities and Exposures) aufgetaucht. Die fünf angegriffenen Pakete, die Sonatype ausgemacht hat, stellen namentlich eine eigentümliche Mischung dar. Während loglib-modules und pyg-modules offensichtlich auf Entwicklerinnen und Entwickler zielen, die die PyPI-Pakete loglib und pyg verwenden, findet sich für die anderen drei kein direkter Bezug zu bekannten Python-Paketen. Sie heißen pygratapygrata-utils und hkg-sol-utils. Auch die beiden bekannten Pakete sind nicht wirklich stark verbreitet. Das als Alternative zum Paketmanagertool pip gestartete pyg ist laut der Projektbeschreibung offiziell tot und setzt noch auf die veralteten Python-Version 2.6 und 2.7. Einige der Pakete enthalten direkten Schadcode, und andere laden ihn erst über eine Dependency nach. Sonatype hat im Blogbeitrag einen Screenshot eines Codeausschnitts veröffentlicht, der unter anderem den Zugriff auf Amazon-Credentials, Informationen zum Netzwerkinterface und Umgebungsvariablen zeigt. Der Bezug zu den beiden Paketen mit Pygrata im Namen ergibt sich im weiteren Schadcode, der die abgegriffenen Informationen auf Endpunkte der gleichnamigen .com-Domain hochlädt. Interessanterweise war diese zunächst ungeschützt erreichbar, sodass die Sicherheitsforscher Zugriff auf die hochgeladenen Textdateien erhielten. Sonatype hat die Betreiber der Domain daraufhin kontaktiert und sie über den Vorfall und den mangelnden Zugriffsschutz informiert. Damit wollten die Sicherheitsforscher ausschließen, dass es sich bei den Angreifern um ein legitim handelndes Red Team handelt, das gezielt die Security untersucht. Dass die Betreiber der Domain eine Antwort schuldig blieben, aber den öffentlichen Zugriff auf Pygrata in Folge sperrten, legt die Vermutung nahe, dass es sich um einen gezielten, bösartigen Angriff handelte. Die PyPI-Betreiber haben die fünf Pakete inzwischen entfernt. Seitdem sind auf der Plattform zahlreiche weitere Packages mit Schadcode aufgetaucht. Eine Suche nach „pypi“ im Frontend der National Vulnerability Database zeigt alleine zwanzig Treffer vom 24. Juni. Alle Ergebnisse haben dieselbe Beschreibung der Schwachstelle, die auf eine Backdoor hinweist. Weitere Details zu der ursprünglichen Attacke lassen sich dem Sonatype-Blog entnehmen. Mitte Juni hatte die Open Source Security Foundation (OpenSSF) angekündigt, die Python Software Foundation mit 400.000 US-Dollar zu unterstützen. Die Stiftung ist unter anderem für den Paketmanager PyPI verantwortlich, und das Geld soll zusätzlichen Security-Maßnahmen dienen.

Quelle: Heise

Citrix dichtet Sicherheitslücken in Hypervisor ab

Im Xen-Hypervisor von Citrix könnten Angreifer eine Schwachstelle missbrauchen, um die Kontrolle über ein betroffenes System zu übernehmen, warnt die US-amerikanische Cyber-Sicherheitsbehörde CISA. Mit aktualisierten Softwarepaketen dichtet der Hersteller die Lücke sowie vier weitere ab. Die Lücke, durch die Angreifer aus paravirtualisierten virtuellen Maschinen auf den Host ausbrechen könnten, schätze man jedoch als komplex ein, schreibt Citrix in einer Sicherheitsmeldung. Es gibt die Unterscheidung zwischen Hardware Virtual Machine (HVM) und Paravirtualisierung (PV). Bei HVM weiß das Gastsystem nichts von der Virtualisierung, dafür unterstützen sie inzwischen moderne CPUs mit ihren erweiterten Befehlssätzen. PV-Maschinen hingegen nutzen speziell angepasste Kernel, um bessere Performance zu erreichen. Der Fehler basiert auf einer Race-Condition bei dem Nachschlagen einer Type-Reference für Pages. Im paravirtualisierten Modus dürfen VM-Gäste nicht direkt auf Page-Tables zugreifen, sondern Xen filtert aus Sicherheitsgründen und arbeitet mit einer zweiten Page-Table. Durch Fehler in der Zugriffslogik kann ein Gast fälschlicherweise seine Rechte ausweiten und dadurch das System übernehmen (CVE-2022-26362, CVSS 6.4, Risiko „mittel“). Die Aktualisierungen schließen zudem Sicherheitslücken, die speziell Intel-Prozessoren betreffen. Durch die Fehler könnte die CPU-Hardware Code in Gastsystemen erlauben, auf kleine Bereiche des Speichers zuzugreifen, die an anderen Stellen im System aktiv genutzt werden (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166). Zwar sei das kein Fehler im Hypervisor, merkt Citrix an, jedoch enthalten die Hotfixes Anpassungen, um diese CPU-Probleme zu beheben. Die Hotfixes heben die Software auf Versionsstand Citrix XenServer 7.1 CU2 LTSR (Hotfix XS71ECU2075) respektive Citrix Hypervisor 8.2 CU1 LTSR (Hotfix XS82ECU1012). Da die CISA vor der Schwachstelle warnt, sollten Administratoren, die Intel-CPUs oder Paravirtualisierung nutzen, die Aktualisierungen rasch herunterladen und installieren.

Quelle: Heise

Online-Schwarzmarkt-Bericht: Gestohlene Kreditkarten werden immer günstiger

Der Online-Schwarzmarkt floriert und das Angebot von gestohlenen Kreditkarten und gehackten PayPal- und Kryptowährungs-Accounts wächst stetig. Aufgrund des Wachstums fallen die Preise teils drastisch. Einem Report von Privacy Affairs zufolge ist der Online-Schwarzmarkt im Vergleich zu 2021 in vielen Belangen deutlich gewachsen. Außerdem gebe es immer mehr illegal angebotene Produkte. Für ihre Studie haben sie eigenen Angaben zufolge verschiedene Shops und Foren durchkämmt und neben der Angebotsvielfalt auch die Preise und Struktur der Shops analysiert. Ein von ihnen beobachteter Trend ist, dass sich die Kriminellen immer mehr an die Qualität von legitimen Shopping-Portalen annähern. So gibt es auch im Online-Schwarzmarkt Produkt-Bewertungen und Kommentare von Käufern, sodass potenziell Interessierte sich besser zurechtfinden und Vertrauen geweckt wird. Außerdem wird der Kundenservice stetig ausgebaut und es gibt regelmäßig Rabatt-Aktionen. Damit Strafverfolger Transaktionen nicht zurückverfolgen können, feilen die Shop-Betreiber an anonymisierenden Verfahren, um Kunden zu schützen. Mittlerweile finden Bezahlungen meist mit der Kryptowährung Monero statt. Der Großteil der Shops ist im verschlüsselten Tor-Netzwerk angesiedelt. Oft kommt sogar noch eine zusätzliche eine Verschlüsselung via PGP zum Einsatz. Neben Kreditkartendaten und anderen Bezahl-Accounts sind auch Streaming-Konten von Netflix & Co., gefälschte Ausweise und Malware im Angebot. Im Vergleich zu 2021 seien die Preise teils drastisch gefallen, berichtet Security Affairs. So kostet eine gestohlene Kreditkarte mit einem Limit von 5000 US-Dollar gemittelt 120 statt 240 US-Dollar. Die Preise von gehackten PayPal-Accounts sind aufgrund der Masse an Angeboten noch weiter eingebrochen: 2021 waren 340 US-Dollar fällig. Jetzt sind es noch durchschnittlich 45 US-Dollar. Die Preise von gekaperten Streaming-Konten sind nahezu unverändert. Gefälschte Pässe sind im Schnitt mehrere 100 US-Dollar günstiger geworden. Der Großteil der Angebote setzt sich aus von Opfern kopierten persönlichen Daten zusammen, wie Kreditkartennummern. Man sollte also stets aufpassen, dass man online nicht zu viele Daten von sich preisgibt. Selbst auf den ersten Blick harmlos aussehende Daten wie E-Mail-Adressen können Kriminelle missbrauchen, um etwa über Phishing-Mails an Bezahldaten von Opfern zu kommen. Außerdem sollte man seine Accounts mit sicheren Passwörtern schützen. Wichtig ist vor allem, für jedes Konto ein anderes Kennwort zu nutzen. Andernfalls könnten sich Angreifer mit nur einem Passwort Zugang zu allen Konten verschaffen. Zusätzlich sollte man, wo es geht, eine Zwei-Faktor-Authentifizierung aktivieren. In diesem Fall können Betrüger mit einem erbeuteten Passwort nichts anfangen, weil ihnen der zweite Faktor zur Anmeldung fehlt.

Quelle: Heise

Ransomware-Gang Conti schließt Leak- und Verhandlungsplattform

Der Verschlüsselungstrojaner Conti hat weltweit für Ärger gesorgt und Millionen Euro an Lösegeldern in die Kassen der Drahtzieher gespült. Nachdem der Rückzug der Gang schon länger läuft, haben sie nun ihre Leak- und Verhandlungsplattform offline genommen. Darüber berichtet ein Sicherheitsforscher auf Twitter. Weitere Quellen wie die im Ransomware-Bereich gut vernetzte IT-Nachrichtenseite Bleepingcomputer.com bestätigen die Schließung des Portals. Es war ausschließlich über das anonymisierende Tor-Netzwerk abrufbar und ist seit knapp einem Monat nicht mehr erreichbar. Auf der Website hat ein verbleibender Mitarbeiter bis zuletzt von attackierten Unternehmen kopierte Dateien veröffentlicht. Die Plattform diente auch zur Verhandlungen zwischen der Gang und ihren Opfern. Bei den veröffentlichten Informationen soll es sich zum Schluss aber um Interna aus älteren Attacken gehandelt haben. Damit wollten die Drahtzieher offensichtlich Sicherheitsforscher und Ermittler in die Irre führen. Das Ziel der Gruppe ist derzeit nämlich eine Aufspaltung in kleinere Gangs, um so nicht in Gänze angreifbar und somit schwieriger zu fassen zu sein. Mittlerweile nutzen die ehemaligen Conti-Mitglieder ihr Know-how und weiterreichende Kontakte in Gruppen wie BlackCat, Hello Kitty und Hive, um dezentralisiert vorgehen zu können. Dass sich eine der größten und einflussreichsten Cybercrime-Banden auflöst, zeichnet sich schon länger ab. Der Druck von Strafverfolgern auf die Kriminellen wurde immer größer. Auf das Ergreifen eines Mitglieds der Führungsebene war ein Kopfgeld von 15 Millionen US-Dollar ausgesetzt. Aber nicht nur der Druck durch Ermittler sorgte für diese Entscheidung, auch ein großer Leak von internen Daten setzte den Drahtziehern zu. Zuletzt sorgten Drohungen gegen Costa Rica für Schlagzeilen, das war aber nur eine Finte, um von der Neustrukturierung der Gangster abzulenken. Der Name Conti wurde also beerdigt. Das weltweit aktive Verbrechersyndikat operiert nun aber in kleinere Zellen verteilt weiter.

Quelle: Heise

Softwareentwicklung: Schadcode-Attacken auf Automation-Server Jenkins möglich

Entwickler, die das Open-Source-Automationswerkzeug Jenkins bei der Softwareerstellung einsetzen, sollten es zügig auf den aktuellen Stand bringen. In aktuellen Ausgaben und in verschiedenen Plug-ins hat das Jenkins-Team 20 Sicherheitslücken geschlossen. In einer Warnmeldung steht, dass vier Lücken (CVE-2022-34176, CVE-2022-34177, CVE-2022-34178, CVE-2022-34182) mit dem Bedrohungsgrad „hoch“ eingestuft sind. Nutzen Angreifer die Schwachstellen erfolgreich aus, könnten sie beispielsweise dauerhaft Schadcode auf Systemen platzieren (Stored XSS). Geschieht so etwas auf einem Webserver, wird der Code bei jedem Besuch der Website ausgeliefert und ausgeführt. Außerdem könnten Angreifer noch Dateien überschreiben. Die verbleibenden Schwachstellen sind mit den Einstufungen „mittel“ und „niedrig“ versehen. Hier könnten Angreifer beispielsweise auf unverschlüsselte Passwörter im Klartext zugreifen. Dafür müssen sie aber bereits Zugriff auf Systeme haben und authentifiziert sein. Um Systeme gegen die geschilderten Attacken abzusichern, müssen die Jenkins-Versionen 2.356, LTS 2.332.4 oder 2.346.1 installiert sein. Außerdem sollte sichergestellt sein, dass diese reparierten Plug-ins installiert sind:

  • Embeddable Build Status Plugin 2.0.4
  • Hidden Parameter Plugin 0.0.5
  • JUnit Plugin 1119.1121.vc43d0fc45561
  • Nested View Plugin 1.26
  • Pipeline: Input Step Plugin 449.v77f0e8b_845c4
  • REST List Parameter Plugin 1.6.0
  • xUnit Plugin 3.1.0

Quelle: Heise

Sicherheits-Management: Teils kritische Lücken in Splunk geschlossen

Im Security Information and Event Management-System (SIEM) Splunk des gleichnamigen Herstellers haben die Entwickler mehrere Sicherheitslücken geschlossen. Insgesamt acht Schwachstellen meldet das Unternehmen. Darunter findet sich eine mit kritischem Schweregrad, fünf mit hohem, eine mit mittlerem und eine mit undefiniertem Risiko für die Nutzer. Die kritische Sicherheitslücke betrifft die Splunk Enterprise Deployment Server. Diese lassen Clients sogenannte „Forwarder Bundles“ an andere Clients ausliefern. Wenn ein Angreifer einen universellen Forwarder kompromittiert hat, könnte er von dort auf allen anderen, an denselben Deployment-Server angebundenen universellen Forwardern beliebigen Code ausführen (CVE-2022-32158, CVSS 9.0, Risiko „kritisch“). Zudem erlaubten die Splunk Enterprise Deployment Server unauthentifiziertes Herunterladen der Forwarder Bundles (CVE-2022-32157, CVSS 7.5, hoch). Die weiteren Schwachstellen mit hohem Risiko betreffen insbesondere den ungenügenden Umgang mit TLS-Zertifikaten (CVE-2022-32151, CVE-2022-32152, CVE-2022-32153, CVE-2022-32156). Von den meisten Sicherheitslücken sei die Cloud-Version nicht betroffen, schreibt Splunk in den Sicherheitsmeldungen. Lediglich die Lücke von mittlerem Schweregrad, durch die Angreifer riskante Suchbefehle in Formular-Token einschleusen könnten, betraf auch die Cloud – wurde dort aber vom Hersteller bereits abgedichtet (CVE-2022-32154, CVSS 6.8, mittel). Ohne Risikobewertung ergänzt Splunk, dass die universellen Forwarder standardmäßig Log-ins aus dem Netz erlaubten. In der aktualisierten Fassung bindet die Verwaltung an localhost, was die Anmeldung aus dem Netz unterbindet (CVE-2022-32155). Laut Splunk gebe es bislang keine Belege, dass die Schwachstellen von externen Angreifern missbraucht würden. Die Fehler behebt der Hersteller mit der Version 9.0 der Software. Die ist erst kürzlich erschienen, was bei einigen Administratoren die Befürchtung nährt, sie sei noch nicht ausgereift. IT-Verantwortliche, die noch ältere Versionen wie 8.x einsetzen, sollten zur Absicherung ihrer Systeme dennoch ein Wartungsfenster für die Migration auf die neue Fassug zeitnah einplanen.

Quelle: Heise

Angreifer nutzen kontinuierlich Log4Shell-Lücke in VMware Horizon aus

Vor allem staatliche Hacker-Gruppen nutzen die Log4Shell-Schwachstelle aus. Nun gibt es erneut Attacken auf VMware Horizon und Unified Access Gateway (UAG) und Angreifer hinterlassen unter anderem Hintertüren für spätere Zugriffe. Sicherheitspatches sind schon seit Ende 2021 verfügbar, aber offensichtlich noch nicht flächendeckend installiert. Laut den Einträgen einer Liste, die internationale IT-Sicherheitsbehörden zusammengetragen haben, gehört die „kritische“ Log4Shell-Lücke (CVE-2021-44228) zu den am häufigsten angegriffenen Sicherheitslücken 2021. Die Lücke bedroht aber nicht nur Produkte von VMware, sondern auch viele weitere Apps und Server. Vor den Attacken warnt die US-amerikanische Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Bericht. Die Lücke betrifft die weitverbreitete Java-Bibliothek Log4j für Logging-Aufgaben. Angreifer können mit vergleichsweise wenig Aufwand an der Schwachstelle ansetzen und Schadcode ausführen. So etwas führt in der Regel zur vollständigen Kompromittierung von Systemen. In den aktuellen Fällen sollen es entfernte Angreifer auf ungepatchte und öffentlich über das Internet erreichbare VMware-Horizon-Instanzen abgesehen haben. Sind Attacken erfolgreich, sollen sich die Angreifer weiter durchs Netzwerk hangeln und unter anderem Firmen-Interna kopieren. Admins sollten der CISA zufolge davon ausgehen, dass ungepatchte Systeme bereits kompromittiert sind und betroffene Systeme umgehend aus dem Verkehr ziehen und sie isolieren. Zur Analyse stellen sie in ihrem Beitrag Indicators of Compromise (IOCs) zur Verfügung, die Admins nutzen können. Informationen zu betroffenen VMware-Produkten und Sicherheitspatches hat der Softwareentwickler in einer Warnmeldung zusammengetragen.

Quelle: Heise

Google: Android- und Apple-Handys von italienischer Spyware ausgespäht

Spyware der italienischen Firma RCS Lab wurde zum Ausspähen verschiedener Android- und iOS-Smartphones in Italien und Kasachstan genutzt. Das berichtet die Threat Analysis Group (TAG) von Google. Das Unternehmen aus Mailand entwickelt Software, mit der private Nachrichten und Kontakte ausgelesen werden können. RCS Lab arbeitet nach eigenen Angaben mit europäischen Strafverfolgungsbehörden zusammen und versorgt diese mit entsprechender Software. Die von Googles TAG identifizierte Spionage wurde realisiert über einen an das Opfer geschickten Link, der die Installation der Spyware zur Folge hat. Teilweise wurde dieser in Zusammenarbeit mit dem Mobilfunk-Provider verschickt, angeblich, um eine unterbrochene Internetverbindung wiederherzustellen. In anderen Fällen haben sich die Apps als Messenger oder Komponenten sozialer Netzwerke ausgegeben. Als Beispiele nennt Google Facebook, WhatsApp und Instagram, die über einen Download angeblich repariert werden würden. Die Zusammenarbeit mit Internet-Providern lässt auf polizeiliche Untersuchungen schließen. Nachfragen bei Behörden in Italien und Kasachstan blieben bislang unbeantwortet. Ein Apple-Sprecher erklärte der Nachrichtenagentur Reuters hingegen, dass die iPhone-Firma alle bekannten Konten und Zertifikate widerrufen habe, die im Zusammenhang mit dieser Hacking-Kampagne stehen würden. Nach Angaben von RCS Lab stehen die Produkte und Angebote des Unternehmens im Einklang mit europäischen Regularien. Man würde die Strafverfolgungsbehörden unterstützen, um Verbrechen zu untersuchen und Straftäter zu verfolgen. „Mitarbeiter von RCS Lab sind nicht Teil der Aktivitäten, die von den entsprechenden Kunden durchgeführt werden“, erklärte die Firma in einer E-Mail an Reuters. Googles Sicherheitsforscher haben auch herausgefunden, dass RCS Lab mit dem umstrittenen, mittlerweile nicht mehr tätigen Spähsoftware-Hersteller Hacking Team zusammengearbeitet habe. Diese ebenfalls aus Italien stammende Firma hatte Überwachungssoftware für ausländische Regierungen entwickelt, um Handys und Computer ausspionieren zu können. Vor zwei Jahren jedoch erklärte der Ex-CEO die Spionagesoftware-Firma Hacking Team für „endgültig tot“, nachdem sie zuvor selbst gehackt worden war und Wikileaks etliche interne Dokumente veröffentlicht hatte.

Quelle: Heise