Schwachstellen in Softwareprodukten (13% davon kritisch) wurden im Jahr 2021 bekannt. das entspricht einem Zuwachs von 10% gegenüber dem vorjahr.

WordPress: Attackiert schon während der Installation

Bei vielen Internet-Diensten startet man zunächst ein Basis-System mit Standardeinstellungen, das man dann vor dem Live-Gang konfiguriert und einrichtet. Immer öfter attackieren Unbekannte jedoch schon diese Rohversion mit unsicheren Voreinstellungen. Oft dauert es nur wenige Minuten und die Angreifer haben eine Hintertür eingeschleust. Denn die verwenden einen Trick, der ihnen verrät, wo was zu holen ist, berichtet der Sicherheitsforscher Vladimir Smitka. WordPress ist ein prominentes Beispiel dafür: Man lädt die Basis-Installation auf den Server und startet den Installer auf https://mysite.irgend.wo/wp-admin/setup-config.php, um gleich ein neues Passwort zu setzen. Doch da kommt man vielleicht schon zu spät. Denn typischerweise hat man kurz zuvor einen neuen Server eingerichtet und für diesen auch ein neues Zertifikat erstellt. Dieser Vorgang wird im öffentlich einsehbaren Protokoll der Certificate Transparency dokumentiert. Diverse Angreifer monitoren diese CT-Änderungen und liegen dann schon auf der Lauer, wenn der Eigentümer dort etwas installiert. Dazu warten sie etwa auf das Auftauchen der typischen WordPress-Installer-URLs. Typischerweise 4 Minuten dauerte es in Smitkas Selbstversuchen, bis die ersten Hintertüren auf dem System waren; ein Angreifer benötigte weniger als 1 Minute. Das als Gegenprobe ohne HTTPS eingerichtete WordPress-System blieb hingegen völlig unbehelligt. Smitka gelang es, zumindest eine Angreifergruppe bei ihrem Tun zu beobachten. Innerhalb weniger Tage kaperten die über 800 WordPress-Systeme, deren Eigentümer er direkt benachrichtigte. Doch es ist davon auszugehen, dass dieses Problem noch viel größer ist und tausende WordPress-Systeme auf diesem Weg kompromittiert wurden. Um das zu verhindern, sollte man dafür sorgen, dass das neue System nicht öffentlich zugänglich ist, bevor man die Installation und Einrichtung abgeschlossen hat. Das erreicht man etwa mit einer passenden .htaccess-Datei, die eine Passwort-Abfrage vorschaltet oder wie Smitka vorschlägt, zumindest den Zugriff auf /wp-admin auf eine IP-Adresse beschränkt. Web-Hoster können ihre Kunden schützen, indem sie Zugriffe auf /wp-admin/setup-config.php?step=2 ohne Referrer blockieren. Das macht sich die Tatsache zunutze, dass die aktuell massenhaft stattfindenden Angriffe quer in den Installationsprozess einsteigen. Es lässt sich jedoch durch modifizierte Angriffe leicht umgehen. Das Heimtückische ist, dass die Angreifer das System voll funktionsfähig belassen; viele Admins bekommen es gar nicht mit, dass ihr System bereits eine Hintertür hat. Wer also ein WordPress oder einen anderen Server-Dienst auf dem beschriebenen Weg eingerichtet hat, tut gut daran, sein System sehr sorgfältig nach Hintertüren abzusuchen. Smitka schlägt dafür die Security-Scanner von Wordfence oder Sucuri vor. Wer dabei fündig wird, fängt am besten mit einem neuen, sauberen System von vorn an – diesmal dann besser abgesichert.

Quelle: Heise

Auto-Diebstahl: Sicherheitsforschern genügt E-Mail-Adresse als Zündschlüssel

Sicherheitsforscher von Yuga Labs konnten mit vergleichsweise wenig Aufwand verschiedene Automodelle öffnen und starten. Als Ansatzpunkt dienten die Apps für Hyundai- und Genesis-Modelle MyHyundai und MyGenesis und die Smart-Vehicle-Plattform von SiriusXM. Ihre Erfahrungen führen sie auf Twitter aus (AppSiriusXM). In beiden Fällen mussten sie eigenen Angaben zufolge lediglich den offensichtlich unverschlüsselten Netzwerkverkehr mitschneiden, um darin Hinweise zur Anmeldung von Unbefugten zu entdecken. Bei der Untersuchung von API Calls in der Hyundai-App stießen sie auf die E-Mail-Adresse des Autobesitzers. Im Anschluss fanden sie heraus, dass man sich einen Account ohne E-Mail-Bestätigung anlegen kann. Nach der Erstellung eines Accounts mit der erbeuteten Adresse konnten sie mittels einer HTTP-Anfrage die Gültigkeitsprüfung bei der Anmeldung austricksen und sich so Zugriff auf die App und somit das damit verbundene Auto verschaffen. Sie geben an, über diesen Weg ein Auto geöffnet zu haben. In einem Statement versichert Hyundai, dass ihnen bislang keine Hinweise auf derartige Attacken vorliegen. Die SiriusXM-Plattform soll weltweit bei 12 Millionen vernetzen Autos zum Einsatz kommen. Unter anderem bei Modellen von BMW, Honda, Rover und Toyota. Hier mussten die Forscher lediglich HTTP-Anfragen mit der Fahrzeug-Identifikationsnummer (FIN) an den Endpoint schicken. Diese Nummer kann man bei vielen Modellen durch die Windschutzscheibe von außen ablesen. Darüber gelangten sie eigenen Angaben zufolge an persönliche Daten des Fahrzeughalters wie Namen und Telefonnummer. Die Forscher erläutern, dass sie durch den Zugriff betroffene Autos unter anderem öffnen, starten und stoppen können. Wann die Hersteller die Sicherheitsprobleme lösen, ist noch unbekannt.

Quelle: Heise

Jetzt patchen! Angreifer attackieren Firewalls und Proxies von Fortinet

Netzwerk-Admins aufgepasst: Derzeit nutzen Angreifer eine Sicherheitslücke in Netzwerkprodukten von Fortinet aus. Sind Attacken erfolgreich, sollen sie sich Sicherheitsforschern zufolge Fernzugriffe für Firmennetzwerke mit Admin-Rechten einrichten. Die „kritische“ Sicherheitslücke (CVE-2022-40684) betrifft FortiOS, FortiProxy und FortiSwitch. Konkret sind davon unter anderem Firewalls und Proxies bedroht. Mittels präparierter HTTP/HTTPS-Anfragen könnten Angreifer Aktionen mit Admin-Rechten ausführen. Attacken sollen ohne Authentifizierung und aus der Ferne möglich sein. Sicherheitspatches gibt es seit Anfang Oktober 2022. Nun berichten Sicherheitsforscher von Cyble, dass Angreifer die Schwachstelle im Visier haben und sich darüber SSH-Zugänge mit Admin-Rechten einrichten. So können sie jederzeit auf Systeme zugreifen. Außerdem könnten Angreifer nach einer erfolgreichen Attacke neue Nutzer anlegen, Systemkonfigurationen einsehen und Traffic umleiten. Eigenen Angaben zufolge haben die Forscher in einem Hacker-Forum zum Verkauf stehende VPN-Zugänge zu kompromittierten Systemen gestoßen. In einem Bericht führen sie aus, dass weltweit mehr als 100.000 Firewalls über das Internet erreichbar sind – darunter sind auch welche in Deutschland. Aufgrund der aktuellen Attacken sind offensichtlich noch nicht alle gepatcht. In welchem Umfang die Attacken derzeit stattfinden, ist bislang nicht bekannt. Admins sollten sicherstellen, dass die folgenden gegen die Angriffe abgesicherten Versionen installiert sind:

  • FortiOS 7.0.7, 7.2.2, 7.0.5 B8001 für FG6000F- und 7000E/F-Plattformen
  • Forti Proxy 7.0.7, 7.2.1
  • FortiSwitch 7.0.1, 7.2.1

In einer Warnmeldung von Fortinet findet man weitere Informationen wie Anzeichen (IOCs) für bereits erfolgte Attacken.

Quelle: Heise

Passwort-Manager: Einbruch bei LastPass, Bitwarden streitet ab

Im August dieses Jahres gelang es Einbrechern, sich Zugang zu Servern von LastPass zu verschaffen. Dabei gelangten sie offenbar an Zugangsdaten zu Cloud-Systemen, auf denen LastPass jetzt ungewöhnliche Aktivitäten entdeckt hat. Die Kunden-Passwörter seien jedoch in Sicherheit. In einem Untergrund-Forum behauptet ein Teilnehmer, beim Unternehmen Bitwarden, das hinter dem gleichnamigen Passwort-Manager steht, Klartext-Zugangsdaten abgegriffen zu haben. Das Unternehmen hat jedoch keine Hinweise auf die Echtheit gefunden und streitet einen Einbruch ab. LastPass nutzt Cloud-Speicherdienste. Bei diesen habe das Unternehmen unübliche Aktivitäten festgestellt. Um ihnen auf den Grund zu gehen, habe LastPass umgehend eine Untersuchung eingeleitet. Dazu beauftragte LastPass unter anderem die renommierte IT-Sicherheitsfirma Mandiant. Strafverfolger habe man ebenfalls informiert. Bislang haben die IT-Analysten herausgefunden, dass Unbefugte Zugriff auf bestimmte Elemente von Kundeninformationen erlangen wollten. Dazu verwendeten sie Informationen, die sie beim IT-Einbruch im August ergaunern konnten. „Wir arbeiten mit Hochdruck daran, den Umfang des Vorfalls zu analysieren und herauszufinden, auf welche spezifischen Informationen zugegriffen wurde“, erklärt das Unternehmen. Bis dahin könne man aber bestätigen, „dass die LastPass-Produkte und -Dienste weiterhin voll funktionsfähig bleiben“. LastPass versichert im aktualisierten Blog-Beitrag, dass die Kundenpasswörter sicher seien, da das Unternehmen mit einer „Zero-Knowledge“-Architektur arbeite. In einem Untergrundforum hat ein Nutzer einen vermeintlichen Auszug aus Log-Dateien von bitwarden.com gepostet. In der Datei finden sich zahlreiche Einträge, die Zugangsdaten im Klartext umfassen. Details zu Ursprung, Zeitpunkten und ähnlichem fehlen jedoch. Auf Nachfrage von heise online erklärte Bitwarden, dass das Unternehmen mit dem Bericht vertraut sei: „Der Bericht wurde untersucht und es gibt keine Bedenken bezüglich eines Systemeinbruchs oder einer Datenbank-Kompromittierung innerhalb der Bitwarden-Infrastruktur.“ Bitwarden speichere Passwörter und sensible Informationen nicht im Klartext, sondern ausschließlich verschlüsselte Versionen davon, die nur die Nutzer entsperren können. „Ihre sensiblen Daten werden lokal auf Ihrem persönlichen Gerät verschlüsselt, bevor sie an unsere Cloud-Server gesendet werden“, schließt das Unternehmen die Stellungnahme ab. In logischer Folgerung können die Daten daher nicht von bitwarden.com stammen.

Quelle: Heise

Nvidia schließt Schadcode-Lücken in GPU-Treibern

Neben Grafikkarten-Treibern für Linux und Windows haben die Entwickler von Nvidia auch Sicherheitslücken in verschiedener Software des GPU-Herstellers geschlossen. Setzen Angreifer erfolgreich an den Lücken an, könnten sie im schlimmsten Fall Schadcode auf Geräte schleusen und ausführen. Das führt in der Regel zur vollständigen Kompromittierung von Systemen. Die Auflistung aller geschlossenen Schwachstellen würde den Rahmen dieser Meldung sprengen. Details dazu findet man in einer Warnmeldung von Nvidia. Der Großteil der Lücken ist mit dem Bedrohungsgrad „mittel“ eingestuft. Eine Schwachstelle (CVE-2022-34669 „hoch“) schrammt nur knapp an einer kritischen Einstufung vorbei. Aufgrund von Fehlern im User Mode Layer könnte ein Angreifer ohne besondere Nutzerrechte Systemdateien modifizieren und darüber auf eigentlich abgeschottete Informationen zugreifen oder sogar Schadcode ausführen. In den meisten Fällen könnten Angreifer auf nicht näher beschriebenen Wegen Speicherfehler auslösen und darüber eigenen Code auf Systeme schieben. Über Linux- und Windows-Treiber (GPU und Display) hinaus, sind auch Nvidia Cloud Gaming und Vgpu Software verwundbar. Die für die jeweiligen Grafikkarten reparierten Treiber listet Nvidia in einem Beitrag auf.

Quelle: Heise

Kritische Sicherheitslücke in VLC Media Player

Die jetzt freigegebene Version 3.0.18 des VLC Media Player schließt mehrere Sicherheitslücken. Eine davon gilt als kritisch und ermöglicht Angreifern aus dem Netz, mit manipulierten Dateien oder Streams potenziellen Opfern Schadcode unterzuschieben. VLC (Download) enthält ein vnc-Modul, das aufgrund eines möglichen Pufferüberlaufs Schadcode aus dem Netz ausführen könnte. Dazu müsse eine bösartige vnc-URL abgespielt werden (CVE-2022-41325). Solch eine URL kann auch in einer lokalen Datei enthalten sein, etwa einer m3u-Playlist. Der CVE-Eintrag zur Sicherheitslücke ist zum Meldungszeitpunkt noch nicht öffentlich. Das CERT Bund schätzt den CVSS-Wert jedoch auf 9.6 ein, was dem Risiko „kritisch“ entspricht. Die Sicherheitsmeldung von VideoLAN listet noch drei weitere Fehler auf, die VLC 3.0.18 korrigiert. Aufgrund einer möglichen Division-durch-Null bei der Verarbeitung könnte eine manipulierte MP4-Datei einen Denial of Service (DoS) auslösen. Bei mehreren Dateien konnte ein doppelt aufgerufenes free bereits freigegebene Ressourcen abermals versuchen, freizugeben, und so Abstürze der Software verursachen. Aufgrund einer Null-Pointer-Dereferenzierung könnte bei der Verarbeitung von präparierten .oog-Dateien ein Denial-of-Service auftreten. Die VLC-Entwickler betonen, dass ihnen bislang keine Exploits bekannt seien, die die Schwachstellen missbrauchen. Als automatisches Update scheint die neue Fassung zum jetzigen Zeitpunkt noch nicht angeboten zu werden. Sie lässt sich aber auf der Download-Seite des Projekts etwa als Windows-Installer herunterladen. Linux-Nutzer müssen die Distributions-eigene Softwareverwaltung starten und dort das Update auf Version 3.0.18 suchen.

Quelle: Heise

Ransomware: Klinikum Lippe entschlüsselt Daten nach „intensiven Verhandlungen“ 

Nach einem massiven externen Cyberangriff hat das Klinikum Lippe nach intensiven Verhandlungen mit den Erpressern die notwendigen Daten zur Entschlüsselung der Systeme erhalten. Ob oder in welcher Höhe Lösegeld gezahlt wurde, ist nicht bekannt. Das Klinikum geht davon aus, dass der Cyberangriff beendet ist. Dies bedeute allerdings nicht, dass es keine weiteren Auswirkungen geben wird. „Wir müssen leider davon ausgehen, dass es zu fortlaufenden Störungen der IT-Systeme kommen kann“, sagt Christian Ritterbach, Pressesprecher des Klinikums. Durch die umgehende Trennung von allen externen Netzen nach der Attacke habe weiterer Schaden verhindert werden können. Zwar kann die IT nun verschlüsselte Daten entschlüsseln, einsatzbereit ist die Computertechnik jedoch immer noch nicht. Daher wird das Klinikum auch in den kommenden Tagen weiterhin nur telefonisch oder per Fax zu erreichen sein. Das Klinikum dankt den Behörden und Beamten des Landeskriminalamts, den Ermittlern, Dienstleistern bei der „Bewältigung der sensiblen Lage mit forensischen Maßnahmen“. Zudem sei man froh, dass zu keiner Zeit Patienten in Gefahr waren – auch, da schnell auf analoge Verfahren zur Patientenversorgung umgestellt wurde. Erst kürzlich haben mehr als 30 Experten der IT-Sicherheit und Informatik in Bildung, Forschung sowie dem privatwirtschaftlichen Sektor einen offenen Briefmit dem Titel „Lösegeldzahlungen bei Ransomware-Angriffen: ein geostrategisches Risiko“ unterzeichnet. Darin erklären sie unter anderem, welche Risiken durch Lösegeldzahlungen entstehen, die weit über einzelne Personen oder Unternehmen hinausgehe. Der Schaden durch Daten-Diebstahl, Spionage und Sabotage belaufe sich derzeit auf 223 Milliarden Euro jährlich. Für einen Großteil sei Ransomware verantwortlich.

Quelle: Heise

Verbraucherzentralen warnen vor ING-Phishing und Telefonbetrug

Derzeit haben Cyberkriminelle es auf Zugangsdaten von ING-DiBa-Kunden abgesehen. Zudem geben sich Telefonbetrüger als „Kanzlei der Verbraucherzentrale“ aus und versuchen, potenziellen Opfern Geld abzuluchsen. Davor warnen die Verbraucherzentralen. Die Verbraucherzentrale Niedersachsen warnt vor Anrufern, die sich als „Kanzlei der Verbraucherzentrale“ ausgeben. Im konkreten Fall habe das Opfer 7.000 Euro Schulden bei einer Lotteriefirma angehäuft. Der Betrüger bot einen Vergleich an: Nach Zahlung von 2.000 Euro auf ein bestimmtes Konto sei die Sache erledigt. Dies sollen Angerufene keinesfalls machen. Die Verbraucherzentrale Nidersachens weist darauf hin, dass diese Anrufe nicht von ihr stammen. Aber auch im Posteingang können bösartige Mails mit betrügerischen Absichten lauern. Seit Anfang der Woche beobachtet die Verbraucherzentrale Phishing-Mails, die Kunden der ING zum Ziel haben. In etwas radebrechendem Deutsch behaupten die Betrüger in der Mail, dass die Online-Banking-App ING-DiBa-To-Go bis zum 28.11.2022 aktualisiert werden müsste. Dies würde die Überweisungen noch sicherer machen. Ein Link in der Mail soll zur Aktualisierung der App führen. Allerdings landen die potenziellen Opfer auf einer Webseite, die die Zugangsdaten der Nutzerinnen und Nutzer verlangt. Geben Mail-Empfänger die dort ein, landen sie unverschlüsselt direkt in den Händen der Betrüger. Diese können damit weiteren Schaden einrichten, führt die Verbraucherzentrale weiter aus. Bei Zweifeln an der Echtheit einer Mail sollten sich die Empfänger bei ihrer Bank rückversichern und gegebenenfalls ihre Ansprechpartner kontaktieren. Die Kreativität von Kriminellen scheint grenzenlos. So musste die Verbraucherzentrale vergangenen Monat etwa vor gefälschten Brennholz-Shops warnen.

Quelle: Heise

Webbrowser Chrome 108 dichtet 28 Sicherheitslücken ab

Google hat wie geplant die Version 108 des Webbrowsers Chrome veröffentlicht. Für Endanwender scheinen keine neuen Funktionen bereitzustehen. Allerdings schließen die Entwickler 28 Sicherheitslücken, die die Sicherheit der Nutzerinnen und Nutzer gefährden. Von den 28 Schwachstellen stuft Google acht als hohes Risiko ein, während 14 weitere Lecks eine mittlere Bedrohung darstellen. Der Erläuterung in der Release-Meldung von Google zufolge wurden diese 22 Lücken von externen IT-Forschern gemeldet. Informationen zu den sechs übrigen Lücken fehlen vollständig. Um die Sicherheit der Browsernutzenden nicht zu gefährden, hält Google Details zu den Schwachstellen einige Zeit zurück. Es gibt lediglich einen Hinweis auf die Art der Lücke und betroffene Komponenten. Aufgrund der Höhe der Belohnung, die Google den Entdeckern der Lücken zahlt, lässt sich in gewissen Grenzen auch deren Gefährdungspotenzial einschätzen. Wie so oft findet sich etwa in der JavaScript-Engine V8 eine hochriskante Sicherheitslücke aufgrund einer sogenannten Type Confusion. Dabei passen Datentypen bei Übergaben innerhalb des Programmcodes nicht zueinander, was zu unbefugten Speicherzugriffen und unter Umständen gar zur Ausführung eingeschleusten Codes führen kann. Die Belohnung in Höhe von 15.000 US-Dollar für den Entdecker spricht ebenfalls für derartige Auswirkungen (CVE-2022-4174). Eine weitere Schwachstelle, die Angreifer vermutlich mit manipulierten Webseiten zum Unterschieben von Schadcode missbrauchen können, betrifft die Camera-Capture-Komponente. Der Melder der Lücke erhält dafür 11.000 US-Dollar Belohnung. Es handelt sich dabei um eine Use-after-free-Lücke, bei der Speicherbereiche oder Zeiger genutzt werden, obwohl sie bereits derefenziert wurden. Bei dieser Art von Schwachstelle kann oftmals untergejubelter Code zur Ausführung gelangen (CVE-2022-4175). Für die anderen Schwachstellen schüttet Google weniger Geld zur Belohnung aus oder muss die Höhe noch festsetzen, weshalb sie wahrscheinlich weniger riskant sind. Die Schwachstellen sind in den aktuellen Fassungen nicht mehr vorhanden. Die jetzt aktuellen Versionsnummern lauten 108.0.5359.71 für Linux und Mac, 108.0.5359.71/72 für Windows, 108.0.5359.61 für Android sowie 108.0.5359.52 für iOS. Die Mobilebrowser sollen dieselben Sicherheitslücken schließen wie die Desktop-Versionen, erläutert Google in den Releasenotes für Chrome für Android. Um zu prüfen, ob die laufende Chrome-Version aktuell ist, können Nutzerinnen und Nutzer auf das Einstellungsmenü von Chrome klicken, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende müssen sie dann auf „Hilfe“, anschließend auf „Über Google Chrome“ klicken. Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen. Da die Schwachstellen auch andere Browser betrifft, die auf dem Chromium-Projekt basieren wie Edge von Microsoft, dürften dafür in Kürze ebenfalls Sicherheitsupdates bereitstehen, die Nutzer zeitnah installieren sollten. Erst Ende vergangener Woche hat Google ein Notfall-Update für Chrome veröffentlicht. Damit schlossen die Entwickler eine bereits aktiv angegriffene Zero-Day-Lücke in dem Webbrowser.

Quelle: Heise

Angreifer könnten Secure Boot auf bestimmten Acer-Notebooks deaktivieren

Aufgrund von Fehlern ist es vorstellbar, dass Angreifer die Sicherheitsfunktion Secure Boot auf einigen Laptops von Acer ausschalten könnten. Eine reparierte BIOS-Version und ein via Windows Update verteilter Sicherheitspatch sollen das Problem beheben. Beides ist aber bislang nur angekündigt. Wie aus einer Warnmeldung hervorgeht, sollen die Updates im Supportbereich der Acer-Website verfügbar sein. Konkret sollen die folgenden Modelle von der Schwachstelle (CVE-2022-4020 „hoch“) betroffen sein:

  • Aspire A315-22
  • A115-21
  • A315-22G
  • Extensa EX215-21
  • EX215-21G

Secure Boot prüft beim Start von Windows, ob es gefährliche Modifikationen gibt. Ist der Schutzmechanismus deaktiviert, könnten Angreifer einen mit Schadcode präparierten Bootloader einschleusen und darüber im Hintergrund von Opfern unbemerkt die volle Kontrolle erlangen. Die Lücke haben Sicherheitsforscher von Eset entdeckt. Sie steckt im DXE-Treiber HQSwSmiDxe, der nach der NVRAM-Variablen BootOrderSecureBootDisable Ausschau hält. Durch den Fehler könnte ein Angreifer mit hohen Nutzerrechten NVRAM-Variablen anlegen und so Secure Boot ausschalten. Lenovo kämpfte jüngst gegen eine ähnliche BIOS-Lücke (CVE-2022-3431).

Quelle: Heise

Kommunikationssoftware: Kritische Sicherheitslücke in Atos Unify OpenScape 4000

Der Hersteller Atos warnt vor einer kritischen Sicherheitslücke in Unify OpenScape 4000 Assistant sowie Manager. In den Unified-Messaging-Kommunikationssystemen findet sich eine sogenannte Command-Injection-Lücke, durch die unangemeldete Angreifer beliebige Dateien einschleusen und ihre Rechte am System ausweiten können. Der Hersteller stellt Updates und Workarounds bereit. Atos stuft die Lücke als kritisch ein und vergibt einen CVSS-Wert von 9.8. Wenden Administratoren die vorgeschlagenen Gegenmaßnahmen an, sinkt der Wert auf CVSS 8.6 mit dem Risiko hoch. IT-Verantwortliche fahren daher am besten damit, die bereitgestellten Aktualisierungen zeitnah herunterzuladen und zu installieren. In der Sicherheitsmeldung zählt Atos als betroffene Systeme Unify OpenScape 4000 Assistant V8 und V10 vor V8 R2.22.18, V10 R0.28.13 und V10 R1.34.4 sowie Unify OpenScape 4000 Manager V8 und V10 vor den Releases V8 R2.22.18, V10 R0.28.13 und V10 R1.34.4 auf. Hotfixes stehen bereit, die Administratoren dieser Kommunikationssoftware auf den ihnen bekannten Wegen herunterladen können. Sollte das Installieren der Hotfixes nicht möglich sein, erklärt Atos, dass IT-Verantwortliche die Administratorschnittstelle der OpenScape 4000 nicht im Internet zugänglich machen sollen. Den Zugang zur Verwaltungsoberfläche sollten Administratoren zudem auf bekannte IP-Netze und Host-IPs beschränken, die Zugriff benötigten. Den Zugriff auf den Administrator-Port sollten Admins mit externer Firewall begrenzen. Zuletzt schreibt Atos, solle der Zugang zum Administratorport nur durch Change-Management-Prozeduren gewährt werden, sollte dieser nötig sein.

Quelle: Heise

Angeblich 487 Millionen Telefonnummern über WhatsApp geleakt 

Mitte November soll ein Nutzer eines Hacker-Forums eine Datenbank aus dem Jahr 2022 mit Telefonnummern von 487 Millionen WhatsApp-Nutzern zum Verkauf gestellt haben. Die Nummern stammen wohl aus 84 Ländern. Dem Leak zufolge sind darunter mehr als 6 Millionen Nummern aus Deutschland. Darüber berichtet die Website Cybernews. Eigenen Angaben zufolge konnten sie einige Nummern einsehen und sie WhatsApp-Nutzern zuordnen. Das Leak scheint ihnen zufolge also echte Daten zu beinhalten. Der Verkäufer versichert ihnen gegenüber, dass alle Nummern zu aktiven Konten gehören. Bis jetzt gibt es kein Statement von Meta zu dem Vorfall. Unklar ist bislang, woher die Datenbank stammt. Der Verkäufer gibt nur an, dass er über „seine Strategie“ dran gekommen ist. Der Inhalt der Datenbank könnte Cybernews zufolge aus Scraping stammen, was aber gegen die Nutzungsbedienungen von WhatsApp verstößt. Dabei extrahieren Kriminelle mit Scraping-Tools Daten von Websites- oder -Diensten. Mit 45 Millionen stammt der Großteil der Nummern aus Ägypten. Aber auch Italien (35 Millionen), die USA (32 Millionen) und Frankreich (20 Millionen) sind mit unzähligen Nummern in der Datenbank vertreten. Über den Preis der Datenbank ist derzeit nichts bekannt. Auch ob sie bereits verkauft wurde, ist noch unklar. Die Telefonnummern könnten Angreifer für etwa Betrug und Phishing-Attacken missbrauchen.

Quelle: Heise

Cybercrime: 142 Festnahmen bei Razzia gegen Spoofing-Anbieter

Strafverfolger aus zehn Staaten melden einen Erfolg gegen die organisierte Cyberkriminalität. Der Online-Marktplatz „iSpoof“ wurde von den Ermittlern geschlossen und über 140 Tatverdächtige festgenommen. Der weltweite Schaden, den Kriminelle dort durch Spoofing verursachten, beträgt laut Europol über 100 Millionen Euro. Nach einer jahrelangen internationalen Ermittlung schlugen Ermittler in Großbritannien, der Ukraine und den USA in der zweiten Novemberwoche zu: Die mutmaßlichen Administratoren und Nutzer der Website „iSpoof“ wurden festgenommen, Server und Domain beschlagnahmt und somit ein Umschlagplatz für kriminelle Dienstleistungen geschlossen. In der hoch arbeitsteiligen Welt der organisierten Online-Kriminalität hatte sich iSpoof auf das Fälschen von Mitteilungen jeglicher Art spezialisiert. Neben gefälschten SMS, etwa zum Austricksen von TAN-Abfragen, konnten Ganoven auch Anrufe mit gefälschter Telefonnummer über die Website buchen, um ihre Opfer zu übertölpeln. Der Cybercrime-Dienstleister war, so die Einschätzung von Europol, in der Lage, eine nahezu unbegrenzte Anzahl von Organisationen nachzuahmen – Banken, Versicherungen, aber auch Online-Shops. Die iSpoof-Kunden ließen sich diese Dienste einiges kosten: In 16 Monaten erwirtschafteten die Betreiber für die Plattform einen Umsatz von 3,7 Millionen Euro. Der geschätzte Schaden bei den Opfern gefälschter Bank-Transaktionen beträgt jedoch ein Vielfaches, nämlich laut Europol etwa 115 Millionen Euro. Einige dieser kriminellen Erlöse werden die Nutzer der Plattform nun für Anwälte aufwenden müssen: Unter den 142 Festgenommenen befanden sich laut Europol auch mehrere Verdächtige, die den Ermittlungsbehörden bereits aus anderen Cybercrime-Verfahren bekannt waren. Die Razzia ging auf eine Initiative des Metropolitan Police Service und des Crown Prosecution Service aus Großbritannien zurück; aus Deutschland war neben dem BKA auch die Zentralstelle Cybercrime Bayern bei der Staatsanwaltschaft Bamberg beteiligt. Die Franken leiteten zeitgleich eine weitere umfangreiche Aktion gegen Online-Betrüger: Im November haben sie die Milton Group zerschlagen.

Quelle: Heise

Notfall-Update: Attacken auf Webbrowser Chrome könnten bevorstehen

Chrome ist verwundbar und allem Anschein nach könnten Angreifer nach erfolgreichen Attacken Schadcode auf Systemen ausführen. In einer Warnmeldung gibt Google an, dass die abgesicherten Versionen 107.0.5304.121 für Linux und macOS und 107.0.5304.121/.122 für Windows ab sofort verfügbar sind. Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2022-4135 „hoch“) an, könnten sie einen Speicherfehler (Heap buffer overflow) auslösen. Darüber gelangt in der Regel Schadcode auf Computer. Weiterführende Details zur Schwachstelle hält Google zurück, damit potenzielle Angreifer nicht zu viele Informationen erhalten und Nutzer den Webbrowser aktualisieren können. Da Google eigenen Angaben zufolge bereits auf die Lücke zugeschnittenen Exploit-Code gesichtet hat, sollte das Update zügig geschehen.

Quelle: Heise

UEFI-BIOS mit bekannt unsicherem Code gespickt

Die mehr als 20 Megabyte Binärcode eines modernen UEFI-BIOS enthalten mehrere Hundert ausführbare (EFI-)Programme. Viele davon haben Sicherheitslücken, von denen einige schon seit Jahren bekannt sind. Das belegen Experten der Firma Binarly am Beispiel eines aktuellen BIOS-Updates für ein Business-Notebook aus der Baureihe Lenovo ThinkPad. Die Binarly-Gründer Alex Matrosov und Claudiu Teodorescu haben den BIOS-Binärcode gezielt nach Varianten des Open-Source-Tools OpenSSL durchforstet. OpenSSL dient im offengelegten EFI Design Kit II (EDK 2), welches die Quellcode-Basis vieler UEFI-BIOS-Implementierungen bildet, als Allzweck-Werkzeug für kryptrografische Sicherheitsfunktionen. Denn das UEFI-Codemodul Crypto Package (CryptoPkg) dient unter anderem als Wrapper für OpenSSL-Funktionen. Ein real existierendes UEFI-BIOS enthält allerdings UEFI-Code und BLOBs von unterschiedlichen Firmen und Zulieferern. Und solche BLOBs sind teilweise schon älter oder basieren auf älterem Quellcode. Der Online-Dienst Virustotal.com kann bestimmte BIOS-Images „zerlegen“ und zeigte in einem kurzen Versuch mit einem Lenovo-BIOS-Image über 600 einzelne Module an. Die Binarly-Experten fanden jedenfalls in dem untersuchten BIOS-Image, das Lenovo auch über den Linux Vendor Firmware Service (LVFS) bereitstellt, 27 Funktionen mit drei verschiedenen OpenSSL-Versionen. In den meisten steckte OpenSSL 1.0.2j aus dem Jahr 2018, aber es fanden sich auch OpenSSL 1.0.0a und 0.9.8zb aus dem Jahr 2014. In OpenSSL 0.9.8zb stecken laut Binarly seit acht Jahren bekannte Sicherheitslücken. Pikanterweise dient das Codemodul „InfineonTpmUpdateDxe“ mit dieser OpenSSL-Version wohl dazu, Firmware-Updates für das Trusted Platform Module (TPM) einzuspielen, also für den Sicherheitschip, der als Hardware-Anker (Root of Trust) für wichtige Sicherheitsfunktionen dient.

UEFI-Code-Module mit OpenSSL-Versionen laut Binarly
UEFI-Code-ModuleOpenSSL-Version
DxeCore, Tcg2Dxe, TcgDxe, VariableSmm, SecurityStubDxe, IpSecDxe, IScsiDxe, Setup, PlatformMilestoneHookDxe, PlatformMilestoneHookSmm, LenovoTpmConfigDxe, PlatformInit, PeimBoardInit, Tcg2Pei, TcgPei, PlatformInitPreMem, LenovoPcdInit, LenovoVerifiedBootPeiOpenSSL 1.0.2j (2018)
FlashUtilitySmm, LenovoCryptService, LenovoCryptServiceSmm, LenovoSvpManagerSmm, LenovoSetupAutomationSmm, LenovoSetupUnderOsSmm, LenovoSecureKeySmm, LenovoDriveEraseSmmOpenSSL 1.0.0a (2014)
InfineonTpmUpdateDxeOpenSSL 0.9.8zb (2014)
DXE = Driver Execution Environment, SMM = System Management Mode
PEI = Pre-EFI Initialization, PEIM = Pre-EFI Initialization Module

Laut Binarly ist das OpenSSL-Versionsgewirr in einem real existierenden BIOS-Update nur eines von zahlreichen Beispielen dafür, dass das gängige Konzept zur Pflege von (UEFI-)Firmware nicht funktioniert: „The Firmware Supply-Chain Security Is Broken“. Dadurch werden bekannte Sicherheitslücken zum Teil jahrelang nicht geschlossen.

Quelle: Heise

Microsoft warnt vor Supply-Chain-Attacken am Boa-Web-Server-Beispiel

Vor allem mit Sicherheitslücken gespickte Software Development Kits (SDK) sind ein Ursprung für Supply-Chain-Attacken. Schließlich ist damit erstellte Software ebenfalls verwundbar. Sicherheitsforscher von Microsoft habe diese Art der Bedrohung nun am Beispiel des schon lange nicht mehr im Support befindlichen Web-Servers Boa festgemacht. In einem Bericht schildern sie, dass Ende Oktober 2022 bekannt gewordene Angriffe auf ein indisches Energieversorgungsunternehmen auf IoT-Geräte mit dem verwundbaren Boa Web-Server zurückgehen. Der Support dafür ist bereits 2005 ausgelaufen. Seitdem bekommt die Software keine Sicherheitsupdates mehr. In dem Bericht nennt Microsoft beispielsweise zwei Sicherheitslücken (CVE-2017-9833 „hoch“, CVE-2021-33558 „hoch“) über die Angreifer Schadcode auf Systemen ausführen könnten. Problematisch ist, dass der Web-Server Microsoft zufolge noch in vielen SDKs und IoT-Geräten zum Einsatz kommt. Dementsprechend werden die Verwundbarkeiten beim Erstellen von Software quasi vererbt und Angreifer können daran ansetzen. Oft ist Admins gar nicht klar, dass Boa bei ihnen im Netzwerk zum Einsatz kommt. Schließlich ist so eine Software-Lieferkette oft lang und schwer durchschaubar. Ein Grund, warum solche Attacken so gefährlich sind. Weiterhin ist es auch brisant, dass viele IoT-Geräte gar keine Updates bekommen, sogar, wenn es welche gibt. Doch selbst wenn Sicherheitspatches auf Geräten installiert werden, repariert das nicht die Ursprungsschwachstellen im SDK. Die Sicherheitsforscher erläutern, dass es in diesem Fall etwa Patches für ein RealTeak-SDK mit Boa gibt, es aber unklar ist, ob alle Hersteller sie in ihrer Firmware implementieren. Der Boa Web-Server bietet unter anderem Zugang zu Managementkonsolen und kommt etwa in Kameras und Routern zum Einsatz. Die Forscher geben an, innerhalb von einer Woche weltweit über 1 Million am Internet hängende Instanzen mit dem Web-Server beobachtet zu haben. Solche Geräte kommen oft in kritischen Infrastruktur zum Einsatz, wie der erfolgreiche Zugriff auf das indische Energieversorgungsunternehmen gezeigt hat. Eine Musterlösung für Supply-Chain-Attacken gibt es leider nicht – hier sind schlicht zu viele individuelle Faktoren involviert. Generell sollte man natürlich verfügbare Sicherheitsupdates zügig installieren. Geräte hinter Firewalls abschotten und sie nur an das Internet hängen, wenn es gar nicht anders geht. Ist das der Fall, sollte man Zugriffe stets reglementieren und nur durch etwa verschlüsselte VPN-Verbindungen zulassen. Wichtige Maßnahmen und Tipps, um solche Attacken vorzubeugen, geben etwa Google und die NSA. In der jüngsten Vergangenheit sorgten Supply-Chain-Attacken im Kontext des weitverbreiteten Frameworks Log4j für Schlagzeilen.

Quelle: Heise

MSI Afterburner: Vorsicht vor Fake-Software mit Trojaner im Gepäck

Mittels Phishing-Websites, die oft das Original optisch täuschend echt nachbilden, versuchen Online-Gangster nicht nur Log-in-Daten abzufischen. Oft tarnen sich solche Seiten als vermeintlich legitimes Downloadportal und locken Opfer mit bekannten Tools an, um darüber PCs mit Trojanern zu infizieren. Wie Sicherheitsforscher von Cybel beobachtet haben, findet das derzeit gehäuft mit dem Grafikkarten-Tool MSI Afterburner statt. Fällt ein Opfer darauf rein, kann er mit dem Windows-Tool nicht wie gedacht seine Grafikkarte tunen, sondern fängt sich den Coin-Miner XMR Miner ein. Der missbraucht die Rechenleistung des Computers, um Kryptowährungen zu schürfen. In ihrem Bericht geben die Sicherheitsforscher an, in den vergangenen drei Monaten rund 50 solcher gefälschter Websites beobachtet zu haben. Damit Opfer auf so einer Seite landen, setzen die Hintermänner der Malware-Kampagne unter anderem auf Phishingmails. Sie verteilen die Links aber auch im Internet an verschiedenen Stellen. Doch es geht noch perfider: Oft schalten die Kriminellen sogar Anzeigen, sodass ihre Phishing-Websites etwa in einer Google-Suche auftauchen. Erscheint so eine Anzeige weit oben in den Ergebnissen, ist die Wahrscheinlichkeit hoch, dass Opfer die Seite öffnen und auf den Betrug hereinfallen. Heise Security hat schon öfter Zuschriften von Lesern bekommen, die uns auf solche Anzeigen hingewiesen haben. In einigen Fällen tauchte der Eintrag sogar über der Original-Website der Tools auf. Auch auf Websites für Software-Cracks und Key-Generatoren zur illegalen Aktivierung von Software finden sich immer wieder Trojaner. Das ist auch auf vielen Torrent- und Warez-Websites der Fall. Download-Angebote, die die Installation eines Downloadmanagers voraussetzen, sollte man ebenfalls kritisch gegenübertreten. Oft wollen solche Seiten Besuchern Adware unterschieben. Wer auf der Suche nach einem PC-Tool ist, sollte, um auf Nummer sicher zu gehen, die Original-Websites der Hersteller aufrufen und es von dort herunterladen oder etablierte Downloadportale wie heise Download besuchen. Die auf den Heise-Servern zur Verfügung gestellten Tools werden unter anderem von rund 40 Virenscannern untersucht, bevor sie angeboten werden.

Quelle: Heise

Cyberangriff auf EU-Parlament nach russlandkritischer Abstimmung

Eine kremlnahe Hackergruppe hat sich nach Angaben von EU-Parlamentspräsidentin Roberta Metsola zu einem Cyberangriff auf die Internetseite des Europaparlaments bekannt. „Unsere IT-Experten setzen sich dagegen zur Wehr und schützen unsere Systeme“, schrieb sie am Mittwoch auf Twitter. Zudem betonte sie, dass das Parlament kurz vorher Russland als staatlichen Unterstützer von Terrorismus bezeichnet habe. Wegen zahlreicher Zugriffe war die Website des Parlaments am Mittwoch nur eingeschränkt nutzbar, wie Parlamentssprecher Jaume Duch zuvor ebenfalls bei Twitter mitgeteilt hatte. Die Website wurde demnach „von außen durch ein hohes Maß an externem Netzwerkverkehr beeinträchtigt“. Es handele sich um eine DDoS-Attacke. Dabei überrollen Angreifer die Server ihrer Opfer mit einer Flut von Datenanfragen, um diese lahmzulegen oder den Betrieb zu beeinträchtigen. Zwar spricht Metsola von einem „raffinierten Cyberangriff“, aber DDoS-Attacken sind vielmehr primitiv und einfach umzusetzen. Es handelt sich eher um eine symbolische Geste ohne nennenswerte Auswirkungen auf die reale Welt, wie Jürgen Schmidt, Senior Fellow Security bei Heise, erklärt. Zudem haben DDoS-Angriffe nicht das Ziel, Daten abzugreifen. Im Telegramkanal „We Are Killnet“ (Wir sind Killnet) wurde am frühen Nachmittag ein Screenshot geteilt, das nahelegt, dass die Gruppe für die Attacke verantwortlich sein könnte. Unabhängig bestätigt wurde dies zunächst nicht. Die russische Hackergruppe „Killnet“ ist schon öfter im Zusammenhang mit Angriffen auf westliche Behörden in Verbindung gebracht worden, etwa Ende Juni dieses Jahres mit DDoS-Angriffen auf Litauen. Ob die Cyberattacke in direktem Zusammenhang mit der jüngsten Resolution des EU-Parlaments steht, ist unbestätigt. Am Mittwoch hat das Gremium mit großer Mehrheit geurteilt, dass Russland als „dem Terrorismus Vorschub leistender Staat“ eingestuft wird. Diese Entscheidung hat laut FAZ keine Rechtsfolgen, weil es in der Europäischen Union bisher nur eine Terrorliste für einzelne Personen, Gruppen und Einrichtungen gibt, nicht jedoch für Staaten. Linke-Ko-Chef Martin Schirdewan sieht die Resolution kritisch, betont aber: „Darauf offensichtlich mit einer großangelegten, kriminellen Cyberattacke zu antworten, wirft ein klares Licht auf das Demokratieverständnis der Angreifenden“. Der Grünen-Abgeordnete Rasmus Andresen bezeichnete die Attacke als Warnschuss. „Es ist ein Angriff auf das demokratische Herz Europas.“ Es werde nicht das letzte Mal gewesen sein, dass man Opfer von solchen Angriffen werde. „Wir sind nicht ausreichend vorbereitet auf solche Attacken“, so der Europapolitiker. Die Fraktion der Liberalen schrieb auf Twitterkanal Renew Europe, der Cyberangriff zeige Russlands Verachtung für die Demokratie. „Putins Hacker werden uns nicht zum Schweigen bringen oder unsere Arbeit behindern.“

Quelle: Heise

Sicherheitslücke in HPE-Switches OfficeConnect gefährdet Netzwerke 

Um mögliche Attacken auf Netzwerke mit HPE-Hardware vorzubeugen, sollten Admins die verfügbaren Sicherheitspatches installieren. Wie aus eine Warnmeldung hervorgeht, sind verschiedene Modelle der Switch-Serie OfficeConnect betroffen, wie 1820 und 1920S. Die nun geschlossene Sicherheitslücke (CVE-2022-37932) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Setzen Angreifer erfolgreich an der Schwachstelle an, könnten sie HPE zufolge die Authentifizierung umgehen. Weitere Details zur Lücke gibt es derzeit nicht. Die Entwickler geben an, dass sie die Anmeldung in den Versionen PC.01.22, PD.02.22 und PT.02.14 repariert haben. Alle vorigen Ausgaben sollen verwundbar sein.

Quelle: Heise

Webbrowser-Erweiterung VenomSoftX manipuliert Kryptowährungs-Transaktionen

Vor allem in den USA, aber auch in Deutschland versuchen Kriminelle derzeit mit einer Malware Transaktionen von Kryptowährungen in eigene Wallets umzuleiten. Bis dato sollen sie mehr als 100.000 US-Dollar damit ergaunert haben. Das Besonderes daran ist, dass sich die Malware an zwei Punkten im System verankert. Wie Sicherheitsforscher von Avast berichten, versteckt sich der Windows-Trojaner ViperSoftX auf Websites für Computerspiele-Cracks und Key-Generatoren, um Software illegal freizuschalten. Wer sich dort etwas herunterlädt und die Datei ausführt, könnte sich den Schädling einfangen. Der Trojaner nistet aber nicht nur im System ein, sondern unter dem Namen VenomSoftX auch als Erweiterung in den Webbrowsern Brave, Chrome, Edge und Opera. ViperSoftX soll bereits seit 2020 aktiv sein. Dort taucht die Malware den Sicherheitsforschern zufolge unter anderem als „Google Sheets 2.1″ oder“Update Manger“ auf. Unter Chrome taucht das legitime Google Sheets unter chrome://apps/ auf. Ist so ein Eintrag also im Menü für Erweiterungen, sollte man den Trojaner umgehend deinstallieren. Da sich Malware immer wieder als Browser-Erweiterung auf Systeme schleicht, sollte man regelmäßig die installierten Erweiterungen prüfen. Solche, die man nicht selber installiert hat oder die nicht standardmäßig zum Browser gehören, sollte man entfernen. Die Sicherheitsforscher geben an, dass beide Trojaner gleichzeitig arbeiten, um die Erfolgsquote für die Kriminellen zu erhöhen. Sie sollen etwa Krypto-APIs von unter anderem Blockchain.com und Coinbase anzapfen, um Transaktionen umzuleiten. Außerdem sollten sie Passworteingaben von Opfern mitschneiden.

Quelle: Heise