Comretix Blog

Adobe hat Sicherheitsupdates für seine PDF-Anwendungen veröffentlicht. Sie beseitigen insgesamt zwölf Anfälligkeiten. Acht Schwachstellen stuft das Unternehmen als kritisch ein, von vier Bugs geht ein hohes Sicherheitsrisiko aus. Ein Angreifer kann unter Umständen aus der Ferne Schadcode einschleusen und ausführen.

Als kritisch gelten unter anderem fünf Use-after-free-Bugs. Sie haben einen CVSS-Score von bis zu 8,1 von 10 möglichen Punkten. Zudem korrigieren die Entwickler einen Fehler, der zu einer fehlerhaften Überprüfung von digitalen Signaturen führt – was wiederum eine nicht autorisierte Ausweitung von Benutzerrechten erlaubt. Um die Sicherheitslücken auszunutzen, muss ein Angreifer in der Regel ein Opfer lediglich dazu verleiten, eine speziell gestalte PDF-Datei zu öffnen.

Betroffen sind Acrobat DC und Reader DC in den Versionen 24.002.20991 und früher für Windows sowie 24.002.20964 für macOS. Außerdem sind Acrobat Classic 2024, Acrobat Classic 2020 und Reader Classic 2020 angreifbar.

Nutzer sollten nun zeitnah auf die fehlerbereinigten Versionen der PDF-Anwendungen umsteigen. Adobe verteilt bereits Acrobat DC und Reader DC 24.0002.21005 für Windows und macOS sowie Acrobat Classic 2024 Version 24.001.30159 für Windows und macOS und Acrobat 2020 und Reader 2020 Version 20.005.30655 für Windows und macOS.

Microsoft hat die Updates des August-Patchdays zum Download freigegeben. Insgesamt verteilt der Softwarekonzern Fixes für 91 Schwachstellen in seinen Produkten. Bei sechs Schwachstellen warnt das Unternehmen vor bereits aktiven Angriffen. Darüber hinaus sind Details zu vier weiteren Anfälligkeiten öffentlich bekannt.

Die Zero-Day-Lücken stecken allen unterstützten Versionen von Windows und Windows Server, Microsoft Project und der Sicherheitsfunktion Mark of the Web. Letztere führt dazu, dass der SmartScreen-Filter umgangen werden kann – Nutzer werden nicht vor einem möglicherweise gefährlichen Dateidownload gewarnt. Zudem nutzen Hacker bereits den Umstand aus, dass der Windows-Kernel eine nicht autorisierte Ausweitung von Benutzerrechten ermöglicht.

Darüber hinaus beseitigt Microsoft neun kritische Sicherheitslücken. Betroffen sind Azure Health Bot, Copilot Studio, Dynamics 365 und erneut alle unterstützten Versionen von Windows und Windows Server. Die Patches sollen das Einschleusen und Ausführen von Schadcode aus der Ferne, die Preisgabe vertraulicher Informationen sowie das Umgehen von Sicherheitsfunktionen verhindern.

Weitere Schwachstellen stecken in .NET und Visual Studio, Azure, Microsoft DWM Core Library, Edge, Excel, Office Visio, Outlook, PowerPoint und Teams. Außerdem sind der Windows App Installer, Bluetooth-Treiber, Windows DNS, Hyper-V, IP-Routing, Kerberos, NAT und die Druckwarteschlange angreifbar.

Die Updates stehen über die üblichen Quellen wie Windows Update, WSUS und Microsoft Update Catalog zum Download bereit. Windows 11 und Windows 10 erhalten die Patches als kumulatives Update.

AMD hat eine Sicherheitswarnung für bestimmte PC- und Server-Prozessoren ausgesprochen. Angreifer können unter Umständen die Konfiguration des System Management Mode (SMM) verändern – sogar, wenn die Sicherheitsfunktion SMM Lock aktiv ist. Ein von AMD bereitgestellter Patch lässt sich nur per BIOS-Update installieren. Für einige ältere angreifbare CPU-Modelle stellt AMD allerdings keinen Patch zur Verfügung.

Betroffen sind unter anderem Epyc-Serverprozessoren der der 1., 2., 3. und 4. Generation, sowie einige Epyc und Ryzen Embedded-Prozessoren und die Data-Center-Grafik Instinct MI300A. Im Client-Bereich sind unter Ryzen-Prozessoren der Serien 3000, 4000, 5000, 7000 und 8000 und auch Threadripper-CPUs der Serien 3000 und 7000 angreifbar. Zudem steckt der Fehler in Threadripper-Pro-CPUs (Castle Peak und Chagall) und mobilen CPUs der Serien Athlon 3000, Ryzen 3000, 4000, 5000, 6000, 7020, 7030, 7035, 7040 und 7045. Eine vollständige Übersicht hält AMD in seiner Sicherheitswarnung bereit. Keinen Fix plant AMD für CPUs der Ryzen 3000 Series (Codename Matisse).

Entdeckt wurde die Schwachstelle von Forschern des Sicherheitsanbieters IOActive. Auf seiner Website beschreibt das Unternehmen den System Management Mode als „einen der leistungsstärksten Ausführungsmodi der x86-Architektur. Code auf dieser Ebene ist für den Hypervisor und die Schutzmechanismen auf Betriebssystemebene, einschließlich Anti-Cheat-Engines und Anti-Viren-Systeme, unsichtbar.“

Allerdings sind die Hürden für einen erfolgreichen Angriff auf die Sinkclose-Lücke sehr hoch: Hacker müssten sich zuvor Zugriff auf den Kernel verschaffen, was ja bereits einer vollständigen Kompromittierung eines Systems entspricht. Dann könnte Schadcode allerdings unbemerkt und dauerhaft implantiert werden. Nicht einmal eine Neuinstallation des Betriebssystems würde die Malware entfernen.

Danach wenden sie Tricks an, um ihre digitalen Wanzen an ihre Opfer zu bringen.

Fake-Werbung in sozialen Netzwerken

Im ersten Schritt übernehmen Hacker den Social-Media-Auftritt eines Unternehmens, beispielsweise im Rahmen einer erfolgreichen Phishing-Attacke. Danach schalten die Hacker über diesen Kanal offensiv Werbung, die zum Beispiel die neueste Version von Googles KI-Assistenten Bard vorstellt. Wollen Nutzer die neuen Funktionen ausprobieren und klicken auf die Anzeige, werden sie auf eine Fake-Website weitergeleitet, auf der sie sich mit Malware infizieren. Meta warnte 2023, dass viele dieser Kampagnen darauf abzielen, Unternehmen mit Zugang zu Werbekonten im Internet zu kompromittieren.

Gefälschte Webseiten

Hacker erstellen Webseiten, die denen legitimer KI-Anbieter zum Verwechseln ähnlich sehen. In der zweiten Hälfte des Jahres 2023 blockierte ESET über 650.000 Versuche auf potenzielle Phishing-Webseiten zuzugreifen, die „chapgpt“ oder ähnliche Stichworte enthielten. Die Opfer gelangen höchstwahrscheinlich dorthin, nachdem sie auf einen Link in sozialen Medien oder über eine E-Mail bzw. Mobilnachricht geklickt haben. Einige dieser Phishing-Seiten enthalten Links zur Installation von Malware, die sich als KI-Software ausgibt.

KI-App-Imitate

Eine weitere beliebte Masche: Hacker imitieren eine KI-App und bieten sie zum Download in einem App Store an. Viele dieser Apps enthalten Schadsoftware und stehlen nach der Installation Informationen vom Gerät des Benutzers. Dazu gehören Anmeldedaten, persönliche Identifikationsdaten und finanzielle Informationen. Andere wiederum bombardieren ihre Nutzer mit Werbung oder verlangen Abonennements für die weitere Nutzung. Kommen Nutzer dem nach erhalten sie im Gegenzug entweder keine oder ungenügende Dienste.

Anhänge prüfen
Zwar blockiert Microsoft mittlerweile automatisch Makros in Word- und Excel-Dateien, jedoch gehen Cyberkriminelle mittlerweile vermehrt dazu über, Dateien im LNK-Format zu versenden oder über maliziöse Links auf Unternehmensdaten zuzugreifen. Beim LNK-Format handelt es sich um ein Dateiformat, das von Microsoft Windows verwendet wird, um Verknüpfungen zu Dateien, Ordnern, Websites und anderen Ressourcen zu erstellen. Endnutzer sollten daher unbedingt vermeiden, auf externe, unsichere Links zu klicken oder LNK-Anhänge zu öffnen, ohne sie zuvor von der IT-Abteilung freigeben zu lassen.

Vorsicht vor QR-Codes
Mobile Endgeräte wachsen immer stärker zur Schnittstelle zwischen Privat- und Berufsleben heran. Ein Beispiel hierfür ist die Mehrfaktorauthentifizierung (MFA), die vielerorts über ein privates Smartphone gesteuert wird. In Kombination mit QR-Codes, die mehr und mehr Einzug in den Alltag erhalten, lauert hier eine nicht zu unterschätzende Gefahr. QR-Code-Phishing oder Quishing wird als Cyberangriff-Methode immer beliebter und verleitet Enduser dazu, einen QR-Code mit der Kamera zu scannen. Besonders wenn auf demselben Handy eine MFA-App installiert ist, laufen Mitarbeiter Gefahr, zu einem Sicherheitsleck zu werden. Aus diesem Grund gilt es, die verlinkte Quelle eines QR-Codes eingehend zu prüfen, bevor man ihr vertraut.

Microsoft hat sein Software- und Services-Abonnement Microsoft 365 um einen neuen Dienst erweitert. Nutzer können ab sofort ihre Internetverbindung mit einem virtuellen privaten Netzwerk (VPN) schützen. Aktiviert wird der Dienst über die Defender-App für Windows, macOS, Android oder iOS.

Zum Start ist der VPN-Dienst in den USA, Großbritannien, Kanada und Deutschland erhältlich. Monatlich steht ein Datenvolumen von 50 GByte zur Verfügung, das jeweils am Monatsanfang zurückgesetzt wird. Der VPN-Dienst verschlüsselt den Datenverkehr und verschleiert die eigene IP-Adresse, was vor allem in öffentlich WLAN-Netzwerken oder in anderen nicht vertrauenswürdigen Netzwerken empfehlenswert ist.

In der Defender-App wird das VPN unter dem Punkt „erweiterter Datenschutz“ aktiviert. Dort kann auch das bereits verbrauchte Datenvolumen sowie die Anzahl der Tage bis zum Zurücksetzen des Datenvolumens eingesehen werden. Konfigurationsmöglichkeiten, wie sie kostenpflichtige VPN-Dienste bieten, fehlen indes. Unter anderem ist es nicht möglich, einen Standort auszuwählen um beispielsweise lokale Sperren bestimmter Diensteanbieter zu umgehen.

Auch werden bestimmte Anwendungen automatisch von Microsofts VPN-Dienst ausgeschlossen. Dazu gehören unter anderem Streaming-Dienste wie Youtube, Netflix, Disney+, Amazon Prime, Spotify und Youtube Music, aber auch Social-Media-Angebote wie TikTok, Instagram, Snapchat, Facebook Video und WhatsApp.

Da bei aktivem VPN alle Daten über Server des VPN-Anbieters geleitet werden, betonte Microsoft, dass weder Browser-Daten noch der Verlauf, persönliche Informationen oder gar der Standort eines Geräts gespeichert werden. Allerdings würden bestimmte anonymisierte wie die Nutzungsdauer des VPN, die verbrauchte Bandbreite und auch möglicherweise schädliche WLAN-Hotspots erfasst.

Die Ransomware-Gruppe Dark Angels hat offenbar die bisher höchste dokumentierte Lösegeldzahlung erhalten. Das geht aus dem ThreatLabz 2024 Ransomware Report des Sicherheitsanbieters Zscaler hervor. Demnach zahlte ein bisher nicht bekanntes Opfer den Cybererpressern 75 Millionen Dollar.

Der Bericht basiert unter anderem auf 4,4 Millionen Ransomware-Angriffen, die durch die Zscaler-Cloud blockiert worden. Die Zahl der Attacken erhöhte sich gegenüber dem Vorjahr um 17,8 Prozent. Zudem analysierte Zscaler die Data Leak Websites verschiedener Ransomware-Gruppen, was wiederum eine Zunahme von 57,8 Prozent bei der Zahl der erpressten Unternehmen nahelegt.

Die Fertigungsindustrie war zwischen April 2023 und April 2024 das beliebteste Ziel für Ransomware mit 653 Attacken. 312 Angriffe zählte Zscaler im Gesundheitssektor, 265 im Technologiesektor und 217 im Bildungsbereich. Auch der Finanzsektor und Großhandel und Einzelhandel stehen bei Cybererpressern hoch im Kurs.

Zudem konzentrierten sich die Erpressungsversuche vor allem auf die USA mit einem Anteil von 49,95 Prozent. Auf den weiteren Plätzen führt Zscaler Großbritannien mit 5,92 Prozent, Deutschland mit 4,09 Prozent, Kanada mit 3,51 Prozent und Frankreich mit 3,26 Prozent.

2019 wurde bekannt, dass fast 500.000 Geräte von Ubiquiti anfällig für DoS-Attacken sind. Der Hersteller gab dann bekannt, dass die Sicherheitslücke mittels Patch geschlossen wurde und sämtliche Geräte mit der jüngsten Firmware versehen worden sind. Jetzt hat Check Point Research herausgefunden, dass noch immer über 20 000 Geräte gefährdet sind. Die entschlüsselten Host-Namen enthüllten detaillierte Informationen über die Geräte, einschließlich der Namen der Besitzer und der Standorte, die beispielsweise für Social-Engineering-Angriffe ausgenutzt werden könnten.

Beispiele für offengelegte Daten sind die Geräte-Identifizierung mit Enthüllung von Gerätetypen, wie NanoStation Loco M2 oder AirGrid M5 HP. Dazu könnten Informationen über den Besitzer wie Namen, Firmennamen und Adressen abgezogen und für gezielte Angriffe genutzt werden. Einige Geräte zeigten sogar Warnungen wie „HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD“ an, die darauf hinwiesen, dass sie attackiert worden waren.

Schwachstellen bei IoT-Geräten

Für die Sicherheitsforscher ist dies ein Beispiel für die Schwierigkeit, bei IoT-Geräten eine Schwachstelle vollständig zu schließen. Die Sicherheitsforscher haben entdeckt, dass, neben dem Secure Shell (SSH)-Protokoll (das manuell aktiviert werden muss) und einem Webserver für die Standardverwaltung, zwei benutzerdefinierte privilegierte Prozesse auf der Netzwerkschnittstelle der Kamera offengelegt wurden. Sie verwenden das UDP-Protokoll an den Ports 10001 und 7004. Sicherheitslücken in diesen Diensten können zu einer vollständigen Infiltrierung des Geräts führen.

Über das Monitoring-Tool tcpdump identifizierten die Forscher auf dem Port 10001 das Ubiquiti-Erkennungsprotokoll. Das CloudKey+-Gerät sendete zudem regelmäßig Ping-Pakete an Multicast- und erkannte Geräte, und die Kamera antwortete mit Meldungen, die detaillierte Informationen wie Plattformname, Softwareversion und IP-Adressen enthielten. Es fiel auf, dass das Erkennungspaket (ping) keine Authentifizierung enthielt. Zudem war die Antwort der Kamera deutlich größer als das Erkennungspaket, was auf ein Potenzial für Wirkungsverstärkerangriffe hinweist.

Geräte reagierten auf gefälschte Pakete

Die Forscher waren in der Lage, ein gefälschtes Erkennungspaket an das interne Testnetzwerk zu senden und sowohl die G4-Kamera als auch die CK+ reagierten. Anschließend prüften sie, ob sich dieses Verhalten auch über das Internet reproduzieren ließ. Trotz Port-Weiterleitung reagierten die Geräte nicht auf Internet-Sonden, was wahrscheinlich auf die spezielle Netzwerkeinrichtung und NATing von CPR zurückzuführen ist. Mit einem benutzerdefinierten Decoder konnten die Experten jedoch über 20 000 Ubiquiti-Geräte im Internet identifizieren. Zufällige Stichproben zeigten, dass auch diese Geräte auf gefälschte Pakete reagierten. Dieses Problem wurde bereits früher gemeldet (CVE-2017-0938) und eigentlich von Ubiquiti behoben, wie oben beschrieben.

Kaspersky-Experten haben eine neue Spyware-Kampagne entdeckt, die die Malware Mandrake in Google Play verbreitet. Die Schadsoftware tarnt sich als legitime Apps für Kryptowährungen, Astronomie oder Utility Tools. Fünf der von Kaspersky gefundenen Apps sind bereits seit zwei Jahren in Google Play verfügbar und wurden mehr als 32.000 Mal heruntergeladen. Durch fortgeschrittene Verschleierungs- und Umgehungstechniken umgeht Mandrake einer Entdeckung durch Sicherheitsanbieter.

Bei Mandrake handelt es sich Kaspersky zufolge um eine fortgeschrittene Spionage-Plattform für Android, die zum ersten Mal im Jahr 2020 identifiziert wurde und bereits seit mindestens 2016 aktiv ist. Im April 2024 untersuchten Kaspersky-Experten ein verdächtiges Sample, bei dem Mandrake neue Funktionalitäten aufwies. Ihr Hauptunterscheidungsmerkmal zur früheren Kampagne: erweiterte Verschleierungs- und Umgehungstechniken. Unter anderem kann Mandrake schädliche Funktionen mit OLLVM in systemeigene Libraries verschieben und prüfen, ob sie auf einem gerooteten Gerät oder innerhalb einer virtuellen Umgebung operiert.

Mandrake tarnte sich im Google Play Store als Apps zum Filesharing über WLAN, für astronomische Dienstleistungen, Kryptowährung und Logikpuzzles sowie als Game zum Charakter „Amber“ aus dem RPG „Genshin Impact“. Neben Deutschland stammen die meisten der über 32.000 Downloads aus Kanada, Italien, Mexiko, Spanien, Peru und dem Vereinigten Königreich. Die Apps sind laut Kaspersky nicht länger in Google Play verfügbar.

„Nachdem sie in ihrer Ursprungsform vier Jahre lang einer Entdeckung entgangen war, blieb auch die aktuelle Mandrake-Kampagne im Google Play Store zwei Jahre unentdeckt. Dies zeigt die fortgeschrittenen Fähigkeiten des Bedrohungsakteurs hinter der Malware“, kommentiert Tatyana Shishkova, Lead Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Sie zeigt einen besorgniserregenden Trend: Angesichts sich verschärfender Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und dadurch schwieriger zu entdecken.“

Der Sicherheitsanbieter Mandiant hat die Ransomware-Bedrohungslage des Jahres 2023 analysiert. Dabei stellten die Sicherheitsforscher fest, dass 76 Prozent der Ransomware-Angriffen außerhalb der Arbeitszeit stattfanden. Fast ein Drittel ereignete sich zudem innerhalb von 48 Stunden nach dem ersten Zugriff der Cyberkriminellen auf ein Unternehmensnetzwerk.

Insgesamt registrierte Mandiant im vergangenen Jahr einen deutlichen Anstieg der Ransomware-Aktivitäten. Gemessen an den Meldungen auf Datenleck-Websites der verschiedenen Ransomware-Gruppen lag die Zunahme bei rund 75 Prozent. Zudem wurden mehr als 50 neue Ransomware-Familien entdeckt, wobei ein Drittel davon Varianten bekannter Familien waren.

Dies begründeten die Forscher unter anderem mit zahlreichen Angeboten für Ransomware-as-a-Service, die Kriminellen den Einstieg in die Welt der Cybererpressung erleichtern. Zudem wurden neue Erpressungsmethoden erprobt wie Swatting. Dabei werden Opfer mit direkten Anrufen oder gar dem Einreichen von Beschwerden bei staatlichen Aufsichtsbehörden unter Druck gesetzt.

Die Statistik zeigt auch, dass die Angreifer zunehmen legitime Tools wie ScreenConnect, Splashtop, Atera und Anydesk einsetzen, um in die Systeme ihrer Opfer einzudringen. Die fünf verbreitetsten Ransomware-Familien waren Alphv (17 Prozent), Lockbit (17 Prozent), Basta (8 Prozent), Redbike (6 Prozent) und Phobos (5 Prozent).