Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

USA: Drohende Klage wegen Datenleak, Milliarden personenbezogene Daten betroffen

Ein Datenleck bei dem auf Hintergrundchecks spezialisierten Unternehmen National Public Data hat Konsequenzen, denn ein Betroffener namens Christopher Hofmann plant eine Sammelklage beim Bundesbezirksgericht für Südflorida gegen Jerico Pictures Inc., das Mutterunternehmen von National Public Data. Er wirft dem Unternehmen vor, personenbezogene Daten von Milliarden Menschen nicht ausreichend geschützt zu haben.

Anzeige

Hofmann habe um den 24. Juli herum eine Benachrichtigung seines Identitätsschutzsystems erhalten. Demnach seien seine persönlichen Daten im Untergrundforum aufgetaucht. Zu den Daten gehören unter anderem Vor- und Nachnamen, frühere und aktuelle Adressen der vergangenen 30 Jahre, Sozialversicherungsnummern und Informationen über Angehörige. Das berichtet unter anderem The Register.

Aufgrund bisheriger Erkenntnisse ist Hofmann überzeugt, dass die Daten allerdings auch "aus nicht-öffentlichen Quellen zusammengetragen wurden". Er habe keine Daten an National Public Data weitergegeben. Die Daten seien vom Unternehmen fahrlässig gespeichert und deren Inhalte nicht verschlüsselt worden. Ebenso sei auch keine Schwärzung sensibler Informationen erfolgt, was Betrugsmaschen Tür und Tor öffnen kann und ein "anhaltendes Risiko" darstelle. Der Kläger fordert, dass das Unternehmen die betroffenen Personen aus der Datenbank entfernt und künftig strengere Sicherheitsmaßnahmen ergreift.

Nach Informationen von The Register werden derzeit alle Daten kostenlos im Untergrundforum angeboten. Die Cyberkriminellen behaupten, dass der Leak 2,9 Milliarden Datensätze mit Informationen von Bürgern aus den USA, Kanada und Großbritannien umfasst.

Weiterlesen
  113 Aufrufe

Ivanti schließt unter anderem Admin-Lücke in Virtual Traffic Manager

Angreifer können an mehreren Schwachstellen in Ivanti Avalanche, Neurons for ITSM oder Virtual Traffic Manager (vTM) ansetzen und Systeme im schlimmsten Fall vollständig kompromittieren. Ivanti versichert, dass ihnen derzeit keine Informationen über laufende Attacken vorliegen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, können entfernte Angreifer ohne Authentifizierung durch das erfolgreiche Ausnutzen einer "kritischen" Schwachstelle (CVE-2024-7593) in vTM Nutzer mit Admin-Rechten erstellen. Attacken sind den Entwicklern zufolge möglich, weil ein Authentifizierungsalgorithmus falsch implementiert wurde.

Bislang sind nur die abgesicherten vTM-Ausgaben 22.2R1 und 22.7R7 erschienen. Weitere Sicherheitsupdates sollen ab der kommenden Woche erscheinen. Um die Angriffsfläche für diese und ähnliche Attacken zu verkleinern, sollten Admins generell den Zugriff auf Managementinterfaces einschränken.

Eine "kritische" Lücke (CVE-2024-7569) betrifft Neurons for ITSM, wenn OIDC-Authentifizierung genutzt wird, schreiben die Entwickler in einem Beitrag. Ist das der Fall, kann ein Angreifer ohne Anmeldung das OIDC Client Secret einsehen. Eine zweite Schwachstelle (CVE-2024-7570 "hoch") erlaubt es einem entfernten Angreifer, sich als Man-in-the-Middle in Verbindungen einzuklinken. Hier schaffen die Ausgaben 2023.2 W/ patch, 2023.3 w/ patch und 2023.4 w/ patch Abhilfe.

Weiterlesen
  98 Aufrufe

"Passwort" Folge 10: Nordkoreas digitale Armeen

Nordkorea ist abgeschottet wie kaum ein anderes Land auf der Welt. In der öffentlichen Wahrnehmung gilt es oft als technologisch rückständig und fällt durch martialische Außenpolitik auf. Doch in den vergangenen anderthalb Jahrzehnten hat die selbst ernannte "demokratische Volksrepublik" eine schlagkräftige Cyber-Armee aufgebaut, die nicht nur spektakuläre Angriffe durchführt, sondern auch reichlich Devisen ins Land bringt.

Anzeige

Bereits die zehnte Folge ihres Security-Podcasts bestreiten die Hosts Christopher Kunz und Sylvester Tremmel gemeinsam. Zum Anlass dieses Mini-Jubiläums schauen sie auf die koreanische Halbinsel und werfen einen Blick hinter die Fassade nordkoreanischer Cyberkrieger. Wer die Lazarus-Gruppe, Andariel und Bluenoroff sind, erfahren die Hörer genauso wie Details zu deren aufsehenerregenden Angriffen auf Sonys Filmstudio, Windows-PCs und Forschungsinstitute.

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden

Weiterlesen
  86 Aufrufe

Noch kein Patch: Sicherheitsforscher beraubt Windows sämtlicher Schutzfunktionen

Ein Sicherheitsforscher von SafeBreach hat das Tool "Windows Downdate" entwickelt, mit dem er die Windows-Update-Funktion unter Windows 10, 11 und den Server-Varianten dazu missbrauchen kann, beliebige alte und damit verwundbare Vorgängerversionen sämtlicher Windows-Komponenten zu installieren. Doch so eine Attacke ist nicht ohne Weiteres möglich.

Anzeige

Der Forscher demonstrierte im Rahmen der Hacker-Konferenzen Black Hat und Def Con 32, wie Angreifer etwa besonders sensible Systembestandteile wie den Windows-Kernel oder den Hypervisor downgraden können. Weiterführende Details zu seiner Attacke beschreibt er in einem Blogbeitrag.

Er gibt an, die Schwachstelle im Februar an Microsoft gemeldet zu haben. Derzeit gibt es noch keine Sicherheitsupdates, die die Schwachstelle komplett schließen. Im Zuge des aktuellen Patchdays hat Microsoft immerhin zwei Sicherheitshinweise veröffentlicht (CVE-2024-38202 und CVE-2024-21302), mit denen sich das Risiko senken lassen soll.

Der Sicherheitsforscher Alon Leviev konnte manipulierend in den Windows-Update-Prozess eingreifen, um essenzielle Systemkomponenten durch verwundbare Versionen zu ersetzen.

Weiterlesen
  130 Aufrufe

Elektronische Schließfächer in Hotels & Co. gehackt – Abhilfe nur schwer möglich

Zwei Hardware-Hacker haben unter anderem diverse Schlösser des in Europa gängigen Herstellers Schulte-Schlagbaum AG (SAG) und des in den USA weitverbreiteten Anbieters Digilock auf Schwachstellen abgeklopft. Sämtliche überprüfte Schlösser funktionieren offline und stammen aus den Jahren 2014 bis 2023. Man findet sie unter anderem in Fitnessstudios, Krankenhäusern, Banken, Hotels und Bibliotheken.

Anzeige

Das Ergebnis präsentierten sie im Rahmen der Hacker-Konferenz Def Con 32. Die Schlösser lassen sich vergleichsweise einfach aushebeln. Im Gespräch mit heise security betonte Dennis Giese, dass dies kein auf Digilock und SAG beschränktes Problem sei, sondern auch andere Hersteller betrifft.

Dies ist umso fataler, da sich die gefundenen Einfallstore unter Umständen nur schwer aus der Welt schaffen lassen. Stellt ein Hersteller überhaupt ein Firmware-Update bereit – wie Digilock es als Reaktion auf die Hacks plant – müsste jedes Schloss aufgeschraubt, mit einem Programmiergerät verbunden und mit neuer Software versehen werden.

Beispiele für geknackte elektronische Schlösser, die unter anderem in Schließfächern in öffentlichen Einrichtungen verwendet werden.

Weiterlesen
  98 Aufrufe

heise-Angebot: iX-Workshop KRITIS: Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

September
11.09. – 12.09.2024
Online-Workshop, 09:00 – 17:00 Uhr
November
13.11. – 14.11.2024
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 15. Okt. 2024

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Weiterlesen
  137 Aufrufe

Patchday Adobe: Acrobat, Illustrator & Co. als Schlupfloch für Schadcode

Angreifer können an Schwachstellen in Acrobat und Reader, Bridge, Commerce, Dimension, Illustrator, InCopy, InDesign, Photoshop, Substance 3D Designer, Substance 3D Sampler und Substance 3D Stager ansetzen.

Anzeige

In vielen Fällen können Angreifer durch das erfolgreiche Ausnutzen der Sicherheitslücken Schadcode auf Systeme schieben und ausführen. Den Großteil der Lücken stuft Adobe als "kritisch" ein.

In einigen Fällen können sich Angreifer auch höhere Rechte verschaffen oder Sicherheitsfeatures umgehen. Wie Attacken im Detail ablaufen könnten, führen die Entwickler derzeit nicht aus. Bislang gibt es keine Informationen zu Attacken.

Da eine Auflistung der abgesicherten Versionen den Umfang dieser Meldung sprengt, müssen Admins die verlinkten Warnmeldungen von Adobe studieren.

Weiterlesen
  119 Aufrufe

Patchday Microsoft: Angreifer attackieren Office und Windows mit Schadcode

Derzeit haben Angreifer Office und verschiedene Windows- und Windows-Server-Versionen im Visier. In einigen Fällen kann Schadcode auf Computer gelangen und Systeme kompromittieren. Sicherheitspatches stehen über ein Windows-Update zur Verfügung. In der Regel erfolgt die Installation automatisch. Aufgrund der Angriffe sollten Admins den Patchstatus aber dringend prüfen.

Anzeige

Insgesamt nutzen Angreifer derzeit sechs Softwareschwachstellen aus. Eine davon (CVE-2024-38189 "hoch") betrifft Office LTSC 2021, Project 2016, 365 Apps for Enterprise und Office 2019 in den 32- und 64-Bit-Versionen.

Damit ein Angriff erfolgreich ist, muss ein Opfer aber eine mit Makros präparierte Office-Project-Datei öffnen. Außerdem muss die Schutzfunktion, die Makros in aus dem Internet heruntergeladenen Dokumenten verbietet, deaktiviert sein. Ist das gegeben und ein Opfer öffnet so eine etwa via E-Mail verschickte Datei, gelangt Schadcode auf PCs. Über die Preview-Funktion sollen Angreifer keine Attacken einleiten können.

Die weiteren ausgenutzten Lücken betreffen diverse Windows- und Windows-Server-Ausgaben. Darunter sind unter anderem Windows 11 22H2. In einem Fall (CVE-2024-38178 "hoch") müssen Angreifer Opfer dazu bringen, dass Edge im Internet-Explorer-Modus läuft. Ist das der Fall, schieben sie Opfern einen präparierten Link unter. Ein Klick darauf führt zu einem Speicherfehler in der Komponente Scripting Engine und es kommt zur Ausführung von Schadcode.

Weiterlesen
  84 Aufrufe

Cybercrime mit Angler Exploit-Kit: Bandenführer kommt in den USA vor Gericht

Mit dem Exploit-Kit Angler haben Cyberkriminelle über viele Jahre Computer und Mobilgeräte für Malvertising und Ransomware-Erpressungen missbraucht. Doch jetzt wird der Anführer dieser Bande in den USA angeklagt, nachdem er letztes Jahr in Spanien festgenommen und nun von Polen in die Vereinigten Staaten ausgeliefert wurde. Ihm droht eine langjährige Haftstrafe wegen Überweisungs- und Computerbetrug sowie Identitätsdiebstahl.

Anzeige

Maksim S. mit der doppelten Staatsbürgerschaft Weißrusslands und der Ukraine wird beschuldigt, über mehrere Jahre zwei verschiedene Cybercrime-Systeme betrieben zu haben. Dabei habe er Online-Spitznamen wie "J.P. Morgan", "xxx" und "lansky" genutzt. Gemeinsam mit Volodymyr K., ebenfalls mit weißrussischer und ukrainischer Staatsbürgerschaft, und Andrej T. aus Russland habe Maksim S. von Oktober 2013 bis mindestens März 2022 mithilfe des Angler-Exploit-Kits Malware durch Online-Werbeanzeigen verteilt (Malvertising) und erbeutete Daten von Opfern im Darknet verkauft. Volodymyr K. und Andrej T. sind bislang allerdings nicht gefasst.

Das Exploit-Kit Angler hat im letzten Jahrzehnt zahlreiche Schlagzeilen gemacht. Auf Basis dieses Exploits haben etwa Webseiten von AOL, BBC und MSN im Rahmen einer Malvertising-Kampagne Erpressungs-Trojaner verteilt. Manipulierte Werbeanzeigen haben damals zehntausende Besucher mit Verschlüsselungs-Trojanern infiziert. Daneben hat der Exploit-Kit Angler Android-Trojaner verteilt und Opfer mit Kinderpornos erpresst. Durch die mit dem Exploit-Kit verteilten Erpressungs-Trojaner hätten die Täter Millionen gemacht.

Die Werbeanzeigen erschienen legitim, hätten nichts ahnenden Nutzer aber zu Webseiten geleitet, die mithilfe des Exploit-Kits Angler Malware auf die Geräte der Anwender geladen oder Nutzerdaten abgefragt hätten. So wurden die Anwender etwa fälschlich vor Virusinfektionen gewarnt. Die erbeuteten Daten hätten die Angeklagten in russischen Cybercrime-Foren zum Verkauf angeboten, um diese etwa erpressen zu können oder weiteren Zugang zu Konten oder Geräten zu erlangen. Diese Anklage ist beim Bezirksgericht in New Jersey anhängig (Aktenzeichen 2013R01333/AMT/AAH/LKB/CG).

Weiterlesen
  136 Aufrufe

August-Patchday: Microsoft schließt mehrere Zero-Day-Lücken

Microsoft hat die Updates des August-Patchdays zum Download freigegeben. Insgesamt verteilt der Softwarekonzern Fixes für 91 Schwachstellen in seinen Produkten. Bei sechs Schwachstellen warnt das Unternehmen vor bereits aktiven Angriffen. Darüber hinaus sind Details zu vier weiteren Anfälligkeiten öffentlich bekannt.

Die Zero-Day-Lücken stecken allen unterstützten Versionen von Windows und Windows Server, Microsoft Project und der Sicherheitsfunktion Mark of the Web. Letztere führt dazu, dass der SmartScreen-Filter umgangen werden kann – Nutzer werden nicht vor einem möglicherweise gefährlichen Dateidownload gewarnt. Zudem nutzen Hacker bereits den Umstand aus, dass der Windows-Kernel eine nicht autorisierte Ausweitung von Benutzerrechten ermöglicht.

Darüber hinaus beseitigt Microsoft neun kritische Sicherheitslücken. Betroffen sind Azure Health Bot, Copilot Studio, Dynamics 365 und erneut alle unterstützten Versionen von Windows und Windows Server. Die Patches sollen das Einschleusen und Ausführen von Schadcode aus der Ferne, die Preisgabe vertraulicher Informationen sowie das Umgehen von Sicherheitsfunktionen verhindern.

Weitere Schwachstellen stecken in .NET und Visual Studio, Azure, Microsoft DWM Core Library, Edge, Excel, Office Visio, Outlook, PowerPoint und Teams. Außerdem sind der Windows App Installer, Bluetooth-Treiber, Windows DNS, Hyper-V, IP-Routing, Kerberos, NAT und die Druckwarteschlange angreifbar.

Die Updates stehen über die üblichen Quellen wie Windows Update, WSUS und Microsoft Update Catalog zum Download bereit. Windows 11 und Windows 10 erhalten die Patches als kumulatives Update.

Original Autor: Stefan Beiersmann

  83 Aufrufe

Sinkclose: Sicherheitslücke in Millionen von AMD-CPUs

AMD hat eine Sicherheitswarnung für bestimmte PC- und Server-Prozessoren ausgesprochen. Angreifer können unter Umständen die Konfiguration des System Management Mode (SMM) verändern – sogar, wenn die Sicherheitsfunktion SMM Lock aktiv ist. Ein von AMD bereitgestellter Patch lässt sich nur per BIOS-Update installieren. Für einige ältere angreifbare CPU-Modelle stellt AMD allerdings keinen Patch zur Verfügung.

Betroffen sind unter anderem Epyc-Serverprozessoren der der 1., 2., 3. und 4. Generation, sowie einige Epyc und Ryzen Embedded-Prozessoren und die Data-Center-Grafik Instinct MI300A. Im Client-Bereich sind unter Ryzen-Prozessoren der Serien 3000, 4000, 5000, 7000 und 8000 und auch Threadripper-CPUs der Serien 3000 und 7000 angreifbar. Zudem steckt der Fehler in Threadripper-Pro-CPUs (Castle Peak und Chagall) und mobilen CPUs der Serien Athlon 3000, Ryzen 3000, 4000, 5000, 6000, 7020, 7030, 7035, 7040 und 7045. Eine vollständige Übersicht hält AMD in seiner Sicherheitswarnung bereit. Keinen Fix plant AMD für CPUs der Ryzen 3000 Series (Codename Matisse).

Entdeckt wurde die Schwachstelle von Forschern des Sicherheitsanbieters IOActive. Auf seiner Website beschreibt das Unternehmen den System Management Mode als „einen der leistungsstärksten Ausführungsmodi der x86-Architektur. Code auf dieser Ebene ist für den Hypervisor und die Schutzmechanismen auf Betriebssystemebene, einschließlich Anti-Cheat-Engines und Anti-Viren-Systeme, unsichtbar.“

Allerdings sind die Hürden für einen erfolgreichen Angriff auf die Sinkclose-Lücke sehr hoch: Hacker müssten sich zuvor Zugriff auf den Kernel verschaffen, was ja bereits einer vollständigen Kompromittierung eines Systems entspricht. Dann könnte Schadcode allerdings unbemerkt und dauerhaft implantiert werden. Nicht einmal eine Neuinstallation des Betriebssystems würde die Malware entfernen.

Original Autor: Stefan Beiersmann

  101 Aufrufe

Hacker kopieren legitime KI-Tools

Danach wenden sie Tricks an, um ihre digitalen Wanzen an ihre Opfer zu bringen.

Fake-Werbung in sozialen Netzwerken

Im ersten Schritt übernehmen Hacker den Social-Media-Auftritt eines Unternehmens, beispielsweise im Rahmen einer erfolgreichen Phishing-Attacke. Danach schalten die Hacker über diesen Kanal offensiv Werbung, die zum Beispiel die neueste Version von Googles KI-Assistenten Bard vorstellt. Wollen Nutzer die neuen Funktionen ausprobieren und klicken auf die Anzeige, werden sie auf eine Fake-Website weitergeleitet, auf der sie sich mit Malware infizieren. Meta warnte 2023, dass viele dieser Kampagnen darauf abzielen, Unternehmen mit Zugang zu Werbekonten im Internet zu kompromittieren.

Gefälschte Webseiten

Hacker erstellen Webseiten, die denen legitimer KI-Anbieter zum Verwechseln ähnlich sehen. In der zweiten Hälfte des Jahres 2023 blockierte ESET über 650.000 Versuche auf potenzielle Phishing-Webseiten zuzugreifen, die „chapgpt“ oder ähnliche Stichworte enthielten. Die Opfer gelangen höchstwahrscheinlich dorthin, nachdem sie auf einen Link in sozialen Medien oder über eine E-Mail bzw. Mobilnachricht geklickt haben. Einige dieser Phishing-Seiten enthalten Links zur Installation von Malware, die sich als KI-Software ausgibt.

KI-App-Imitate

Eine weitere beliebte Masche: Hacker imitieren eine KI-App und bieten sie zum Download in einem App Store an. Viele dieser Apps enthalten Schadsoftware und stehlen nach der Installation Informationen vom Gerät des Benutzers. Dazu gehören Anmeldedaten, persönliche Identifikationsdaten und finanzielle Informationen. Andere wiederum bombardieren ihre Nutzer mit Werbung oder verlangen Abonennements für die weitere Nutzung. Kommen Nutzer dem nach erhalten sie im Gegenzug entweder keine oder ungenügende Dienste.

 

Original Autor: ZDNet-Redaktion

  110 Aufrufe

E-Mail-Angriffe mithilfe von lateralem Phishing

Die Analyse von Barracuda Networks zeigt, dass laterales Phishing 42 Prozent der gezielten E-Mail-Bedrohungen ausmacht, die auf Unternehmen mit 2.000 oder mehr Mitarbeitende abzielen. Kleinere Unternehmen sind dagegen mit 71 Prozent am ehesten von externen Phishing-Angriffen betroffen. Kleinere Unternehmen sind zudem dreimal so häufig von Erpressungsversuchen betroffen als ihre größeren Pendants. Allerdings machten sie nur sieben Prozent der auf sie abzielenden Angriffe aus. Die Unternehmensgröße hatte hingegen keine Auswirkung auf die Häufigkeit der Angriffsmethoden Business E-Mail Compromise (BEC) und Conversation Hijacking.Die Ergebnisse des Threat Spotlights basieren auf einer Analyse der gezielten E-Mail-Angriffe auf Unternehmen zwischen Anfang Juni 2023 und Ende Mai 2024.

Olesia Klevchuk von Barracuda. „Größere Unternehmen mit vielen E-Mail-Postfächern und Mitarbeitenden bieten Angreifern mehr potenzielle Angriffspunkte und Kommunikationskanäle, um schädliche E-Mails im Unternehmen zu verbreiten. Gleichzeitig werden Mitarbeiter E-Mails, die von innerhalb ihres Unternehmens gesendet werden, eher vertrauen, selbst wenn ihnen der tatsächliche Absender nicht bekannt ist. Bei kleineren Unternehmen hingegen ist die Wahrscheinlichkeit geringer, dass sie über mehrschichtige Sicherheitsstrategien verfügen. Zudem ist es wahrscheinlicher, dass kleinere Unternehmen aufgrund von mangelnder interner Expertise und mangelnden Ressourcen falsch konfigurierte E-Mail-Filter einsetzen.“

 

 

  97 Aufrufe

Happy Birthday E-Mail! Aber Vorsicht!

„Sie ist seitdem einem unverzichtbaren Teil des Kommunikationsalltags geworden. Aber genau das macht sie auch zu einer sensiblen Schwachstelle im Cybersicherheitsgefüge von Unternehmen, denn noch immer starten neun von zehn aller Cyber-Attacken mit einer E-Mail“, sagt Umut Alemdar, Leiter der Security Labs von Hornetsecurity, und warnt vor nach wie vor unterschätzten Risiken wie Spam und Phishing, Schadprogrammen, Aero-Day-Angriffen und DDoS-Angriffen.

Noch weniger bekannt sind dagegen die Risiken von E-Mails in Microsoft 365-Umgebungen, in denen es oft Lücken beim Schutz der E-Mail-Kommunikation. Der Grund: Viele Unternehmen gehen davon aus, dass ihre Daten in der Cloud-Umgebungen geschützt sind. Sie wissen nicht, dass Microsoft in seinen Shared-Responsibility-Guidelines explizit darauf hinweist, dass die Kunden selbst dafür verantwortlich sind, ihre Datensicherheitsrichtlinien zu konfigurieren, ihre Daten vor Ausfall und Verlust zu schützen und die eigenen Compliance-Anforderungen zu erfüllen. Abhilfe schafft eine umfassende Cloud-Security-Strategie für Microsoft 365, die die Bereiche Sicherheit, Compliance, Datenschutz und Backup abdeckt.

„Neben technischen Tools ist für eine nachhaltige Sicherheitskultur auch das sicherheitsbewusste Verhalten der Mitarbeiter essenziell. Wichtig sind hierfür regelmäßige Schulungen, welche die Bedrohungen der Branche abdecken und auf den Kenntnisstand jedes einzelnen eingehen. Denn nur konsequent geschulte Mitarbeiter sind in der Lage, Cyber-Bedrohungen zu erkennen, die über E-Mail und andere Kommunikationsmethoden versendet werden“, sagt Umut Alemdar und empfiehlt IT-Admins ihre End-User hinsichtlich E-Mail-Sicherheit vor allem unter folgenden Aspekten schulen:

Anhänge prüfen
Zwar blockiert Microsoft mittlerweile automatisch Makros in Word- und Excel-Dateien, jedoch gehen Cyberkriminelle mittlerweile vermehrt dazu über, Dateien im LNK-Format zu versenden oder über maliziöse Links auf Unternehmensdaten zuzugreifen. Beim LNK-Format handelt es sich um ein Dateiformat, das von Microsoft Windows verwendet wird, um Verknüpfungen zu Dateien, Ordnern, Websites und anderen Ressourcen zu erstellen. Endnutzer sollten daher unbedingt vermeiden, auf externe, unsichere Links zu klicken oder LNK-Anhänge zu öffnen, ohne sie zuvor von der IT-Abteilung freigeben zu lassen.

Vorsicht vor QR-Codes
Mobile Endgeräte wachsen immer stärker zur Schnittstelle zwischen Privat- und Berufsleben heran. Ein Beispiel hierfür ist die Mehrfaktorauthentifizierung (MFA), die vielerorts über ein privates Smartphone gesteuert wird. In Kombination mit QR-Codes, die mehr und mehr Einzug in den Alltag erhalten, lauert hier eine nicht zu unterschätzende Gefahr. QR-Code-Phishing oder Quishing wird als Cyberangriff-Methode immer beliebter und verleitet Enduser dazu, einen QR-Code mit der Kamera zu scannen. Besonders wenn auf demselben Handy eine MFA-App installiert ist, laufen Mitarbeiter Gefahr, zu einem Sicherheitsleck zu werden. Aus diesem Grund gilt es, die verlinkte Quelle eines QR-Codes eingehend zu prüfen, bevor man ihr vertraut.

Weiterlesen
  115 Aufrufe

Microsoft erweitert Microsoft 365 um kostenlosen VPN-Dienst

Microsoft hat sein Software- und Services-Abonnement Microsoft 365 um einen neuen Dienst erweitert. Nutzer können ab sofort ihre Internetverbindung mit einem virtuellen privaten Netzwerk (VPN) schützen. Aktiviert wird der Dienst über die Defender-App für Windows, macOS, Android oder iOS.

Zum Start ist der VPN-Dienst in den USA, Großbritannien, Kanada und Deutschland erhältlich. Monatlich steht ein Datenvolumen von 50 GByte zur Verfügung, das jeweils am Monatsanfang zurückgesetzt wird. Der VPN-Dienst verschlüsselt den Datenverkehr und verschleiert die eigene IP-Adresse, was vor allem in öffentlich WLAN-Netzwerken oder in anderen nicht vertrauenswürdigen Netzwerken empfehlenswert ist.

In der Defender-App wird das VPN unter dem Punkt „erweiterter Datenschutz“ aktiviert. Dort kann auch das bereits verbrauchte Datenvolumen sowie die Anzahl der Tage bis zum Zurücksetzen des Datenvolumens eingesehen werden. Konfigurationsmöglichkeiten, wie sie kostenpflichtige VPN-Dienste bieten, fehlen indes. Unter anderem ist es nicht möglich, einen Standort auszuwählen um beispielsweise lokale Sperren bestimmter Diensteanbieter zu umgehen.

Auch werden bestimmte Anwendungen automatisch von Microsofts VPN-Dienst ausgeschlossen. Dazu gehören unter anderem Streaming-Dienste wie Youtube, Netflix, Disney+, Amazon Prime, Spotify und Youtube Music, aber auch Social-Media-Angebote wie TikTok, Instagram, Snapchat, Facebook Video und WhatsApp.

Da bei aktivem VPN alle Daten über Server des VPN-Anbieters geleitet werden, betonte Microsoft, dass weder Browser-Daten noch der Verlauf, persönliche Informationen oder gar der Standort eines Geräts gespeichert werden. Allerdings würden bestimmte anonymisierte wie die Nutzungsdauer des VPN, die verbrauchte Bandbreite und auch möglicherweise schädliche WLAN-Hotspots erfasst.

Original Autor: Stefan Beiersmann

  117 Aufrufe

Sicherheitslücken bei Sofortbildkamera Ubiquiti G4 und Router

2019 wurde bekannt, dass fast 500.000 Geräte von Ubiquiti anfällig für DoS-Attacken sind. Der Hersteller gab dann bekannt, dass die Sicherheitslücke mittels Patch geschlossen wurde und sämtliche Geräte mit der jüngsten Firmware versehen worden sind. Jetzt hat Check Point Research herausgefunden, dass noch immer über 20 000 Geräte gefährdet sind. Die entschlüsselten Host-Namen enthüllten detaillierte Informationen über die Geräte, einschließlich der Namen der Besitzer und der Standorte, die beispielsweise für Social-Engineering-Angriffe ausgenutzt werden könnten.

Beispiele für offengelegte Daten sind die Geräte-Identifizierung mit Enthüllung von Gerätetypen, wie NanoStation Loco M2 oder AirGrid M5 HP. Dazu könnten Informationen über den Besitzer wie Namen, Firmennamen und Adressen abgezogen und für gezielte Angriffe genutzt werden. Einige Geräte zeigten sogar Warnungen wie „HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD“ an, die darauf hinwiesen, dass sie attackiert worden waren.

Schwachstellen bei IoT-Geräten

Für die Sicherheitsforscher ist dies ein Beispiel für die Schwierigkeit, bei IoT-Geräten eine Schwachstelle vollständig zu schließen. Die Sicherheitsforscher haben entdeckt, dass, neben dem Secure Shell (SSH)-Protokoll (das manuell aktiviert werden muss) und einem Webserver für die Standardverwaltung, zwei benutzerdefinierte privilegierte Prozesse auf der Netzwerkschnittstelle der Kamera offengelegt wurden. Sie verwenden das UDP-Protokoll an den Ports 10001 und 7004. Sicherheitslücken in diesen Diensten können zu einer vollständigen Infiltrierung des Geräts führen.

Über das Monitoring-Tool tcpdump identifizierten die Forscher auf dem Port 10001 das Ubiquiti-Erkennungsprotokoll. Das CloudKey+-Gerät sendete zudem regelmäßig Ping-Pakete an Multicast- und erkannte Geräte, und die Kamera antwortete mit Meldungen, die detaillierte Informationen wie Plattformname, Softwareversion und IP-Adressen enthielten. Es fiel auf, dass das Erkennungspaket (ping) keine Authentifizierung enthielt. Zudem war die Antwort der Kamera deutlich größer als das Erkennungspaket, was auf ein Potenzial für Wirkungsverstärkerangriffe hinweist.

Geräte reagierten auf gefälschte Pakete

Die Forscher waren in der Lage, ein gefälschtes Erkennungspaket an das interne Testnetzwerk zu senden und sowohl die G4-Kamera als auch die CK+ reagierten. Anschließend prüften sie, ob sich dieses Verhalten auch über das Internet reproduzieren ließ. Trotz Port-Weiterleitung reagierten die Geräte nicht auf Internet-Sonden, was wahrscheinlich auf die spezielle Netzwerkeinrichtung und NATing von CPR zurückzuführen ist. Mit einem benutzerdefinierten Decoder konnten die Experten jedoch über 20 000 Ubiquiti-Geräte im Internet identifizieren. Zufällige Stichproben zeigten, dass auch diese Geräte auf gefälschte Pakete reagierten. Dieses Problem wurde bereits früher gemeldet (CVE-2017-0938) und eigentlich von Ubiquiti behoben, wie oben beschrieben.

Weiterlesen
  148 Aufrufe

Dark Angels: Ransomware-Gruppe erhält Lösegeldzahlung von 75 Millionen Dollar

Die Ransomware-Gruppe Dark Angels hat offenbar die bisher höchste dokumentierte Lösegeldzahlung erhalten. Das geht aus dem ThreatLabz 2024 Ransomware Report des Sicherheitsanbieters Zscaler hervor. Demnach zahlte ein bisher nicht bekanntes Opfer den Cybererpressern 75 Millionen Dollar.

Der Bericht basiert unter anderem auf 4,4 Millionen Ransomware-Angriffen, die durch die Zscaler-Cloud blockiert worden. Die Zahl der Attacken erhöhte sich gegenüber dem Vorjahr um 17,8 Prozent. Zudem analysierte Zscaler die Data Leak Websites verschiedener Ransomware-Gruppen, was wiederum eine Zunahme von 57,8 Prozent bei der Zahl der erpressten Unternehmen nahelegt.

Die Fertigungsindustrie war zwischen April 2023 und April 2024 das beliebteste Ziel für Ransomware mit 653 Attacken. 312 Angriffe zählte Zscaler im Gesundheitssektor, 265 im Technologiesektor und 217 im Bildungsbereich. Auch der Finanzsektor und Großhandel und Einzelhandel stehen bei Cybererpressern hoch im Kurs.

Zudem konzentrierten sich die Erpressungsversuche vor allem auf die USA mit einem Anteil von 49,95 Prozent. Auf den weiteren Plätzen führt Zscaler Großbritannien mit 5,92 Prozent, Deutschland mit 4,09 Prozent, Kanada mit 3,51 Prozent und Frankreich mit 3,26 Prozent.

Original Autor: Stefan Beiersmann

  124 Aufrufe

Mandrake: Spyware im Google Play Store betrifft auch Nutzer in Deutschland

Kaspersky-Experten haben eine neue Spyware-Kampagne entdeckt, die die Malware Mandrake in Google Play verbreitet. Die Schadsoftware tarnt sich als legitime Apps für Kryptowährungen, Astronomie oder Utility Tools. Fünf der von Kaspersky gefundenen Apps sind bereits seit zwei Jahren in Google Play verfügbar und wurden mehr als 32.000 Mal heruntergeladen. Durch fortgeschrittene Verschleierungs- und Umgehungstechniken umgeht Mandrake einer Entdeckung durch Sicherheitsanbieter.

Bei Mandrake handelt es sich Kaspersky zufolge um eine fortgeschrittene Spionage-Plattform für Android, die zum ersten Mal im Jahr 2020 identifiziert wurde und bereits seit mindestens 2016 aktiv ist. Im April 2024 untersuchten Kaspersky-Experten ein verdächtiges Sample, bei dem Mandrake neue Funktionalitäten aufwies. Ihr Hauptunterscheidungsmerkmal zur früheren Kampagne: erweiterte Verschleierungs- und Umgehungstechniken. Unter anderem kann Mandrake schädliche Funktionen mit OLLVM in systemeigene Libraries verschieben und prüfen, ob sie auf einem gerooteten Gerät oder innerhalb einer virtuellen Umgebung operiert.

Mandrake tarnte sich im Google Play Store als Apps zum Filesharing über WLAN, für astronomische Dienstleistungen, Kryptowährung und Logikpuzzles sowie als Game zum Charakter „Amber“ aus dem RPG „Genshin Impact“. Neben Deutschland stammen die meisten der über 32.000 Downloads aus Kanada, Italien, Mexiko, Spanien, Peru und dem Vereinigten Königreich. Die Apps sind laut Kaspersky nicht länger in Google Play verfügbar.

„Nachdem sie in ihrer Ursprungsform vier Jahre lang einer Entdeckung entgangen war, blieb auch die aktuelle Mandrake-Kampagne im Google Play Store zwei Jahre unentdeckt. Dies zeigt die fortgeschrittenen Fähigkeiten des Bedrohungsakteurs hinter der Malware“, kommentiert Tatyana Shishkova, Lead Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Sie zeigt einen besorgniserregenden Trend: Angesichts sich verschärfender Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und dadurch schwieriger zu entdecken.“

Original Autor: Stefan Beiersmann

  126 Aufrufe

Die ACIG 2024 - eine kleine Nachlese

Markiert in:
  166 Aufrufe

NVD-Schwachstellendatenbank: NIST verpflichtet Unternehmen zur Mithilfe

Das US-amerikanische NIST (National Institute of Standards and Technology) hat einen großen Rückstau bei der Aufarbeitung der CVE-Schwachstelleneinträge in der Nation Vulnerability Database (NVD) aufgebaut. Bei der Suche nach einer Lösung hat die Behörde ein Unternehmen unter Vertrag genommen, das bei der Auflösung des Backlogs aushelfen soll.

Anzeige

Das NIST hat die Auflösung des Rückstaus bei der Anreicherung der CVE-Einträge in der NVD-Datenbank mithilfe eines Vetragsunternehmens angekündigt.

(Bild: Screenshot / dmk)

In einer Ankündigung auf der NIST-Webseite erläutert die US-Behörde ihre Pläne. "Das NIST hat einen Vertrag für zusätzliche Verarbeitungsunterstützung für eingehende Common Vulnerabilities and Exposures (CVEs) zur Aufnahme in die NVD vergeben. Wir sind zuversichtlich, dass die zusätzliche Unterstützung uns ermöglicht, in den nächsten Monaten zu Verarbeitungsraten zurückzukehren, die wir vor Februar 2024 gepflegt haben", schreiben die Mitarbeiter.

Weiterlesen
  133 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image