Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

NAS nicht benutzbar: Qnap streicht fehlerhaftes Sicherheitsupdate

Derzeit mehren sich im Internet Probleme mit Netzwerkspeichern (NAS) von Qnap: Nach der Installation eines aktuellen Sicherheitsupdates können sich Nutzer unter anderem nicht mehr anmelden oder auf Freigaben zugreifen. Mittlerweile hat der Hersteller die Probleme bestätigt und den fehlerhaften Patch zurückgezogen.

Anzeige

Das problematische Update trägt die Kennung QTS 5.2.2.2950 build 20241114 und wurde am 15. November 2024 veröffentlicht. Dem Beitrag zu dieser Version zufolge hat es unter anderem mehrere Sicherheitsprobleme gelöst. Welche das konkret sind, geht aus dem Beitrag aber nicht hervor.

Nach der Installation kommt es bei Nutzern zu Problemen und sie können nicht mehr auf ihre SMB-Freigaben zugreifen. Andere können sich nicht mehr anmelden. Mittlerweile hat Qnap das Problem bestätigt und die Firmware zurückgezogen.

Der Fehler findet sich dem Qnap-Support zufolge im Kontext der DOM-sekundären Partition. Wann die Entwickler das Problem lösen, ist bislang nicht bekannt. Um wieder Zugriff zu bekommen, sollen Betroffene via Qfinder Pro auf die Firmware 5.2.1 downgraden. Daraus folgernd müssten die Geräte auch wieder anfällig für Attacken auf die mit 5.2.2 geschlossenen Sicherheitslücken sein.

Weiterlesen
  42 Aufrufe

Neue Wireshark-Version schließt zwei Absturz-Lücken

Sind Attacken auf Wireshark erfolgreich, können Angreifer die Anwendung abstürzen lassen. Aktuelle Versionen sind vor solchen Angriffen geschützt.

Anzeige

In einem Beitrag geben die Entwickler an, zwei Sicherheitslücken in der aktuellen Ausgabe 4.4.2 geschlossen zu haben. Setzen Angreifer erfolgreich an der ersten Softwareschwachstelle an, können sie durch das Versenden eines präparierten Pakets die CPU überlasten (CVE-2024-11595 "hoch"). Im zweiten Fall kann die Anwendung durch die Verarbeitung einer speziellen Anfrage abstürzen (CVE-2024-11596 "hoch").

Neben Wireshark 4.4.2 sei auch die Version 4.2.9 gegen die geschilderten Attacken geschützt. Die Entwickler geben an, dass es zurzeit keine Hinweise auf Exploits für die Lücken gibt.

Die Entwickler haben aber nicht nur Sicherheitsprobleme gelöst, sondern auch einige Bugs beseitigt. So wird etwa das iPhone-Mirroring unter macOS nicht mehr unterbrochen. Außerdem gelingt die Verarbeitung von RTCP-Paketen wieder, sie war ab Version 4.4.1 gestört. Zusätzlich unterstützt die aktuelle Ausgabe nun neue Protokolle wie ARTNET und ZigBEE ZCL.

Weiterlesen
  41 Aufrufe

Sicherheitsupdates für Drupal: Schadcode-Attacken auf Webbrowser möglich

Mangelhafte Input Validation macht bisherige Versionen von Drupal angreifbar. Stimmen die Voraussetzungen, können Angreifer über kompromittierte, mit Drupal erstellte Websites Schadcode im Webbrowser von Opfern ausführen. Es sind noch weitere Attacken denkbar. Sicherheitspatches sind verfügbar.

Anzeige

Wie aus einer Warnmeldung hervorgeht, ist von der Webbrowser-Schadcode-Attacke ausschließlich Drupal 7 mit aktiviertem Overlay-Modul gefährdet. Weil in diesem Kontext Nutzereingaben nicht ausreichend überprüft werden, können Angreifer im Zuge einer Reflected-XSS-Attacke Schadcode im Webbrowser von Opfern ausführen. Die Entwickler führen keine CVE-Nummer auf. Sie stufen die Gefahr als "kritisch" ein. Dagegen ist Drupal 7.102 gerüstet.

Der Großteil der verbleibenden Schwachstellen ist als "moderat kritisch" gekennzeichnet. An diesen Stellen kann es unter anderem zu einer PHP Code Injection kommen, sodass Angreifer eigenen Code ausführen können. In einem anderen Fall ist die Authentifizierung umgehbar und Angreifer können sich mit einer E-Mail-Adresse eines anderen Nutzers anmelden. Von diesen Lücken sind verschiedene Ausgaben von Drupal 7, 8, 10 und 11 betroffen.

Bislang gibt es noch keine Hinweise auf bereits laufende Attacken. Website-Admins sollten aber dennoch zügig handeln und die verfügbaren Sicherheitsupdates installieren.

Weiterlesen
  40 Aufrufe

Phishing-Warnung: Kriminelle missbrauchen Black-Friday-Trubel

Die Angebotswochen rund um den "Black Friday" haben begonnen. Online-Betrüger nutzen die Gelegenheit, um Opfer mit gefälschten Warnungen vor unbefugten Zugriffen etwa aus den Niederlanden zu ködern.

Anzeige

Mit solchen Mails versuchen Phisher, ihren Opfern unbekannte Malware – möglicherweise Spyware – unterzuschieben.

(Bild: Phishingradar / Verbraucherzentrale.de)

Im Phishingradar warnen die Verbraucherzentralen, dass seit Freitag betrügerische E-Mails im Umlauf sind, die zum Gegenstand haben, dass unbekannte Zugriffe auf das Konto zu einer vorübergehenden Sperrung des Kontos führe. Die Betreffzeile laute etwa "Wichtige Warnung: Ungewöhnliche Aktivität erkannt". Mit dem Amazon-Logo wird der wohl größte Online-Händler, bei dem besonders viele bestellen, als Aufhänger missbraucht.

Weiterlesen
  37 Aufrufe

Nearest Neighbor Attack: Angriff über WLAN des Nachbarn

Die Security-Welt kennt jetzt eine neue Angriffsmethode auf geschützte Netzwerke: Die "Nearest Neighbor Attack", also: Angriff über den nahesten Nachbarn. Mit diesem Verfahren gelang es mutmaßlich den russischen Cyberangreifern der Gruppe APT28 in das Netz einer Firma in den USA einzudringen. Sie griffen dabei sowohl die Infrastruktur dieser Firma wie auch die eines benachbarten Unternehmens am selben Ort an.

Anzeige

Wie die Sicherheitsberater von Volexity berichten, erwischte es dabei einen ihrer Kunden. Der stellte verdächtige Zugriffe auf seine Systeme fest, konnte sich aber nicht erklären, wie die Angreifer in das Netz gelangen konnten. Eineinhalb Monate untersuchte Volexity den Vorfall, und kam zu mehreren Erkenntnissen: Die Eindringlinge hatten gezielt dieses Unternehmen im Februar 2022 angegriffen, weil es nicht näher benannte "Projekte in der Ukraine" betrieb, nach Daten dazu gesucht, und dafür auch eine Zero-Day-Lücke eingesetzt. Kurz darauf begann die russische Invasion der Ukraine.

In der Kombination, und weil man schon früher mit dieser Organisation zu tun hatte, ordnet Volexity den Angriff APT28 zu, die auch unter Namen wie Fancy Bear, Forest Blizzard, Sofacy oder, wie von Volexity bisher verwendet, GruesomeLarch bekannt sind. All diese Bezeichnungen, die von Sicherheitsforschern als Arbeitsnamen vergeben werden, meinen dieselbe Gruppe, die einen "Advanced Persistent Threat" (APT) darstellt, also eine Organisation, die über lange Zeit mit ausgeklügelten Methoden und hohem Aufwand eine Bedrohung darstellt.

Dahinter stecken laut gängiger Meinung von Sicherheitsforschern in der Regel Staaten, welche die Gruppen finanzieren, schützen und beispielsweise mit dem Übermitteln von Sicherheitslücken unterstützen. Die Zuordnung der Attacke auf den Kunden von Volexity war letztendlich nur möglich, weil Microsoft im April 2024 eine Methode von APT28 beschrieb, mit der diese eine Lücke in Windows ausgenutzt hatten. Volexity fand Teile dieses Verfahrens auch bei dem Angriff auf seinen Kunden. Das Tool dafür heißt "GooseEgg", und enthielt den Exploit, den man im Februar 2022 bei dem angegriffenen US-Unternehmen fand. Genauer: Teile davon, denn die Eindringlinge hatten viele ihrer Spuren verwischt, unter anderem, durch sicheres Überschreiben von freiem Speicherplatz mit dem in Windows integrierten Tool "cipher.exe".

Weiterlesen
  39 Aufrufe

heise-Angebot: iX-Workshop: Nach dem Einbruch – Digital Forensics & Incident Response (DFIR)

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

Weiterlesen
  0 Aufrufe

Minispiel auf Steam: Hacky macht Spieler zum filmreifen Meister-Hacker

Manchmal finden sich auf Steam kleine Perlen, die für ein paar unterhaltsame Stunden gut sind. Für Möchtegern-Computerhacker ist Hacky eine solche Perle. Das Spiel ist von den Hacking-Minispielen der Deus-Ex-Saga inspiriert und sorgt zwischendurch ohne große Einarbeitung und Hintergrundgeschichte für Kurzweil.

Anzeige

Hacky kommt in typischer Retrografik daher und kennt keinen "Light mode" – der Bildschirmhintergrund ist stets dunkel. Auf Wunsch lässt sich ein CRT-Effekt zuschalten, der die Krümmung der Bildröhre auch auf flunderflachen Laptopbildschirmen simuliert. Auch die Bedienung gemahnt an die neunziger Jahre: Gespielt wird mit der Tastatur, die Maus kommt nur in Menüs zum Einsatz.

Hackys Darstellung und Spielmechaniken erinnern an die Hacker-Szenen in Filmen der neunziger und frühen Nullerjahre. In Jurassic Park ("Das ist ein UNIX-System, damit kenne ich mich aus!"), Hackers und Password: Swordfish manipulierten die Protagonisten oft neongrüne Symbole und Zeichenketten mit beherztem Tastaturklappern, meist unter Zeitdruck oder Lebensgefahr.

Die Hintergrundgeschichte ist schnell erzählt: Im Auftrag einer mysteriösen Figur mit Kapuze übernimmt der Spieler – eine ebenfalls mysteriöse, jedoch etwas putzigere Figur mit Kapuze – die Kontrolle über Netzwerke, indem er sich von Knoten zu Knoten hangelt. Zum Sprung auf einen Netzknoten gibt der Spieler dessen Hostname ein und drückt die Entertaste; je nach Knotentyp kann er dann über weitere Kommandos Bitcoins, Mikrochips oder Kryptoschlüssel einsammeln.

Weiterlesen
  42 Aufrufe

"Schlimmsten-Liste": CISA veröffentlicht die Top 25 Softwarelücken des Jahres

Die Cybersecurity and Infrastructure Security Agency (CISA) hat in Zusammenarbeit mit dem von MITRE betriebenen Homeland Security Systems Engineering and Development Institute (HSSEDI) eine Top-25-Liste der gefährlichsten Software-Schwachstellen des Jahres 2024 veröffentlicht. Die 25 sind laut MITRE die am häufigsten vorkommenden und schwerwiegendsten hinter den 31,770 CVE-Datensätzen des Jahres 2024. Sie würden von Angreifern häufig genutzt, um Systeme zu kompromittieren, sensible Daten zu stehlen oder kritische Systeme zu sabotieren, schreibt die CISA auf ihrer Website.

Anzeige

Unternehmen und öffentlichen Stellen empfiehlt die Behörde, die Liste bei ihrer Software-Security-Strategie zu beachten. Die gelisteten Schwachstellen in Entwicklungs- und Procurementprozessen zu berücksichtigen, helfe, Sicherheitslücken im Kern des Softwarelebenszyklus zu vermeiden. So sollen Security-Verantwortliche die Top 25 bei Schwachstellenmanagement und Application-Testing-Prozessen berücksichtigen, Entwickler sollen sie zurate ziehen, um mögliche Schwachstellen mit hoher Priorität zu identifizieren. Laut Mitre können so ganze Fehlerklassen eliminiert werden, etwa solche, die die Speichersicherheit betreffen. Produkt- und Entwicklerteams sollen nach Möglichkeit die sogenannten Secure-by-Design-Praktiken in ihre Entwicklungsprozesse integrieren. Secure by Design meint, dass Hersteller von Software Best Practices aus dem Bereich der IT-Sicherheit im gesamten Design- und Entwicklungsprozess befolgen.

Daneben richtet sich die Liste an Einkäufer und Risikomanager: Sie sollen die Liste beim Einschätzen von Anbietern heranziehen und sogenannte Secure-by-Demand-Prinzipien in ihre Prozesse integrieren. Secure by Demand wiederum meint, dass Einkäufer darauf achten, Software nur bei Anbietern zu erwerben, die die Secure by-Design-Richtlinien der CISA befolgen.

Laut Mitre kann das Einbeziehen der Liste in die genannten Prozesse nicht nur das Auftreten von Sicherheitslücken verhindern, sondern auch bei der Analyse von Trends und der Priorisierung von Risiken helfen und unter Umständen eine Kostenreduktion herbeiführen. Transparenz im Umgang mit Schwachstellen und deren Management könne außerdem das Vertrauen der Kunden steigern.

Weiterlesen
  38 Aufrufe

Black Friday: Vorsicht vor schädlichen QR-Codes

Dazu gibt es neue Trends mit Bildern, denen man nicht ansieht, dass es QR-Codes sind. Cisco Talos hat QR-Codes aus Bildern in E-Mail-Nachrichten und angehängten PDF-Dateien zur Analyse extrahiert. Dabei kam heraus, dass QR-Codes effektiv die meisten Anti-Spam-Filter umgehen, sodass eine beträchtliche Anzahl ihren Weg in die E-Mail-Postfächer der Nutzer findet. “Besonders zur Schnäppchenzeit sollten Online-Shopper sehr genau abwägen, ob sie einen QR-Code scannen oder nicht – er könnte direkt zu kompromittierten Webseiten führen, auf denen dann zum Beispiel Bezahldaten gestohlen werden”, warnt  Thorsten Rosendahl von Cisco Talos in Deutschland.

Laut Talos-Daten sind etwa 60 Prozent aller E-Mails, die einen QR-Code enthalten, Spam. Wirklich bösartige QR-Codes sind in einer viel geringeren Anzahl von Nachrichten zu finden. Diese E-Mails enthalten zum Beispiel Links zu Phishing-Seiten.

Bei den häufigsten bösartigen QR-Codes handelt es sich in der Regel um Anfragen zur Multifaktor-Authentifizierung, die zum Phishing von Benutzerdaten verwendet werden. Das Scannen eines unbekannten oder verdächtigen QR-Codes ist gleichbedeutend mit einem Klick auf eine verdächtige URL.

Um die Situation noch komplizierter zu machen, gibt es inzwischen QR-Code-Bilder, die als „QR-Code-Art“ bezeichnet werden – Bilder, die die Datenpunkte eines QR-Codes nahtlos in ein künstlerisches Bild einfügen, so dass das Ergebnis überhaupt nicht wie ein QR-Code aussieht.

 

Original Autor: ZDNet-Redaktion

  45 Aufrufe

Black Friday: Zahl der ominösen Shopping-Websites steigt

Auch in diesem Jahr lockt der Black Friday zur Vorweihnachtszeit wieder mit zahlreichen Angeboten und Rabatten. Damit das Weihnachtsgeschäft keine bösen Überraschungen bereithält, hat Check Point Research (CRP) die Augen nach betrügerischen Websites, Markenimitation und Phishing-Methoden offengehalten, damit Verbraucher die hinterhältigen Nachahmungen frühzeitig erkennen ihre Geldbörse schützen können.

89 Prozent mehr Websites in Verbindung mit Black Friday als 2023

Ein Vergleich mit den Vorjahren zeigt einen auffälligen Trend: In den Wochen vor dem Black Friday ist die Zahl der neu registrierten Websites enorm gestiegen. Das laufende Jahr ist dafür exemplarisch: Zwei Wochen vor dem Black Friday sind im Vergleich zu 2023 satte 89 Prozent mehr Websites registriert worden, die thematisch mit dem Black Friday in Verbindung stehen. Noch beeindruckender ist, dass sich diese Zahl im Vergleich zu den Zahlen aus dem Jahr 2022 mehr als verdreifacht hat – ein Zeugnis dafür, dass Cyber-Kriminelle mit ihren Operationen erfolgreich sind und sich das finstere Geschäft mit dem Shopping-Rausch rasant herumgesprochen hat.

Obwohl nicht alle dieser Websites mit böswilliger Absicht erstellt wurden, zeigt die Analyse von CPR eine besorgniserregende Statistik: Etwa drei Prozent werden als riskant oder geradezu böswillig eingestuft, während praktisch keine als „sicher“ eingestuft werden konnte. Beim Großteil dieser Websites ist das Motiv hinter der Erstellung nicht klar identifizierbar, in der Regel handelt es sich um standardmäßige „geparkte“ Webseite, die mit Werbung und Links überladen sind. Dieses harmlose Erscheinungsbild kann sich jedoch schnell ändern und aus diesen Websites Plattformen für Phishing-Angriffe machen.

Die eindeutig bösartigen Websites, die CPR beobachtet hat, deuten auf einen weiteren beunruhigenden Trend hin. Die Websites geben sich nicht nur als bekannte globale Marken (auch „Brand Spoofing“ genannt) aus, sondern zielen auch auf kleinere Boutique-Marken, die möglicherweise weniger bekannt sind. Viele dieser betrügerischen Websites weisen ähnliche Designelemente und Formatierungen auf, was darauf hindeutet, dass hinter diesen betrügerischen Praktiken möglicherweise eine koordinierte Aktion steckt.

Beispiele für gefälschte „Black Friday“-Marken-Websites

Stüssy (Straßenkleidung): stussycanadablackfriday[.]comLongchamp (Taschen): longchampblackfriday[.]comWayfair (Online-Händler für Inneneinrichtung): wayfareblackfriday[.]comSOREL (Schuhe): soreloutletblackfriday[.]comJ.Crew (Einzelhandel): jcrewblackfriday[.]comIUN (Schuhe): blackfriday-shoe[.]top

„Sortiment“ der Fake-Websites: jcrewblackfriday[.]com, soreloutletblackfriday[.]com und longchampblackfriday[.]com (Quelle: Check Point Software Technologies Inc.)Recycelte Phishing-Kampagnen

Die Hauptmethode, um Opfer zu erreichen, besteht darin, betrügerische Phishing-E-Mails zu versenden, in denen erhebliche Rabatte und exklusive Angebote angeboten werden. Diese E-Mails sollen Benutzer verleiten, auf einen Link zu klicken, der sie auf eine gefälschte Website weiterleitet. Ein bemerkenswerter Trend, den wir in diesem Jahr beobachtet haben, ist, dass Angreifer immer wieder fast identische E-Mails und Websites verwenden und nur die E-Mail-Absender und Links ändern. Die folgenden Beispiele zeigen Nachahmungen der Luxusmarken Rolex und Louis Vuitton, die von den Drahtziehern fast eins zu eins vom Vorjahr übernommen wurden – lediglich mit neuen Absender-Adressen und URLs. Obwohl diese Phishing-Mails leichte Unterschiede aufweisen, bleibt das allgemeine Angriffsformat sehr ähnlich. Dies zeigt, dass Angreifer nur minimale Änderungen vornehmen müssen, um ihre groß angelegten Operationen fortzusetzen.

Weiterlesen
  48 Aufrufe

US-Justiz beschlagnahmt kriminellen Marktplatz und klagt Admins an

Das US-Justizministerium hat die Beschlagnahmung der Website PopeyeTools bekanntgegeben. Dabei handelt es sich um einen illegalen Online-Marktplatz, auf dem Kriminelle gestohlene Kreditkarten und andere Cybercrime- und Betrugs-Tools handeln. Außerdem hat es Anklage gegen drei Administratoren der Website erhoben, von denen zwei aus Pakistan und einer aus Afghanistan stammen.

Anzeige

Laut Strafanzeige werfen die Ermittler den Beschuldigten die Verschwörung zum Betrug mit Zugangsgeräten (Access Devices), Handel mit Zugangsgeräten und Aufforderung von anderen zum Anbieten von Zugangsgeräten aus ihrer Rolle als Administratoren der PopeyeTools-Website heraus vor. Das erklärt das US-Justizministeriumein einer Mitteilung.

Im Zuge der Aktionen haben die Vereinigten Staaten die Domains www.PopeyeTools.com, www.PopeyeTools.co.uk sowie www.PopeyeTools.to beschlagnahmt, die Zugriff auf das Angebot PopeyeTools ermöglichten. PopeyeTools war demnach seit etwa 2016 aktiv. Das Angebot diente als wichtiger Online-Marktplatz für den Verkauf sensibler Finanzdaten, anderer illegaler Waren und Cybercrime-Tools an Tausende Nutzer weltweit. Davon stehen einige auch mit Ransomware-Aktivitäten in Verbindung. Von einem Kryptowährungskonto der Angeklagten konnten die Strafverfolger zudem Krypto-Geld in Wert von 283.000 US-Dollar beschlagnahmen.

Zu den Daten, die die Hehler dort handelten, gehören Bankdaten, Kreditkarten- und Debitkarten-Daten und zugehörige Informationen, die für Transaktionen damit benötigt werden. Seit der Gründung von PopeyeTools wurden sensible Informationen von mindestens 227.000 Individuen sowie Zugangsgeräte mit einem Umsatz von 1,7 Millionen US-Dollar auf der Plattform verkauft. Die Plattform bot auch Garantien an: Sollten gekaufte Kreditkarten nicht mehr gültig sein, wurde den Käufern Ersatz oder Rückzahlung versprochen. Zwischenzeitlich bot PopeyeTools zudem einen Dienst an, mit dem sich die Gültigkeit der Daten verifizieren ließ.

Weiterlesen
  41 Aufrufe

Kritischer Firewall-Bug: Über 2000 Palo-Alto-Geräte weltweit bereits geknackt

Durch einen kritischen Sicherheitsfehler in Palo-Alto-Firewalls sind weltweit zwischenzeitlich über 2.000 Geräte von Angreifern übernommen worden. Das hat das Shadowserver Project durch eigene Messungen festgestellt. Ironisch: Der Hersteller der Geräte hält es lediglich für möglich, nicht aber bewiesen, dass öffentliche Exploits für die Lücke existieren.

Anzeige

Palo Alto verspricht derweil größte Transparenz bei der Behandlung der Lücke, die aus zwei unterschiedlichen, aber miteinander verketteten Fehlern in der Web-GUI und der Webserverkonfiguration der Firewalls beruht. Die Fehler sind mittlerweile mit Patches behoben. Ob einmal kompromittierte Geräte nach der Aktualisierung sicher sind, ist unklar.

Palo-Alto-Lücke: Die USA und Indien stechen in der Karte betroffener Systeme stark hervor. Deutschland kommt glimpflich davon.

(Bild: The Shadowserver Foundation)

Weiterlesen
  35 Aufrufe

Angriffe auf Citrix-Sicherheitslücke beobachtet

Die Sicherheitslücken in Citrix Session Recording, für die der Hersteller in der vergangenen Woche Software-Updates bereitgestellt hat, werden in freier Wildbahn angegriffen. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen daher schnellstmöglich installieren.

Anzeige

Das Internet Storm Center des SANS Institute hat nun Angriffsversuche auf die Schwachstelle auf ihren Honeypots beobachtet. Johannes Ullrich schreibt, dass er am Montag dieser Woche Exploit-Versuche entdeckt hat.

Ullrich erklärt, dass Citrix Virtual Apps and Desktops sicheren Fernzugriff auf Desktop-Anwendungen liefern soll. Es komme häufig für Arbeit aus der Ferne zum Einsatz; er habe zudem Setups in Callcentern gesehen, die damit die Workstation vom Desktop isolieren. Diese Remote Desktops laufen jedoch alle auf dem gleichen Server. Eine Rechteausweitung betreffe damit nicht nur den konkreten Desktop, sondern den Server und alle damit verbundenen Sitzungen, erklärt der IT-Sicherheitsforscher weiter.

Citrix ergänzt eine Funktion zum Aufzeichnen und Speichern von Sitzungen, die Admins bei Bedarf einsehen können. Dieses Feature nutzt eine .Net-Funktion, die Deserialisierungsschwachstellen aufweist. Die Lücke wurde etwa von den IT-Sicherheitsexperten von Watchtowr untersucht und ein Proof-of-Concept-Exploit auf Github veröffentlicht.

Weiterlesen
  39 Aufrufe

Programmiersprache Rust: AWS-Wettbewerb für mehr Sicherheit der Standard-Library

Amazon Web Services (AWS) hat einen Wettbewerb gestartet, der die Sicherheit der Rust-Standard-Library überprüft. Einzelne Herausforderungen verifizieren unterschiedliche Bereiche der Rust-Bibliotheken.

Anzeige

Die Rust Foundation, die sich um die Entwicklung der Programmiersprache kümmert, unterstützt den Wettbewerb.

Rust ist vor allem wegen seiner Memory-Safety-Konzepte beliebt. Die Vorgaben verhindern typische Speicherfehler, die für einen Großteil der Schwachstellen in Software verantwortlich sind.

In der Low-Level-Programmierung, beispielsweise für direkte Interaktionen mit dem Betriebssystem, kommt Rust dabei jedoch an seine Grenzen. Als Ausweg existiert das Keyword unsafe, das unter anderem das Verbot aufhebt, Raw Pointer zu dereferenzieren.

Weiterlesen
  34 Aufrufe

heise-Angebot: iX-Workshop: Angriffe auf Entra ID abwehren

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 4. bis 5. Dezember 2024 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Weiterlesen
  0 Aufrufe

l+f: Pentester auf der dunklen Seite der Macht

Malware-Entwickler wollen die Qualität ihrer Erpressungstrojaner verbessern und suchen dafür professionelle Hilfe.

(Bild: JARIRIYAWAT/Shutterstock.com)

Anzeige

Normalerweise sind Pentester auf der hellen Seite der Macht und decken etwa im Auftrag von Unternehmen Sicherheitslücken in Netzwerken auf, damit diese geschlossen werden können. Nun wollen offensichtlich Cybergangster Pentester engagieren.

Anzeige

Darauf sind Sicherheitsforscher von Cato Networks in einem Untergrundforum gestoßen. Dort seien Cyberkriminelle auf der Suche nach Pentestern, um die Ransomware verschiedener Affiliate-Programme wie Apos, Linx und Rabbit Hole zu optimieren.

Weiterlesen
  33 Aufrufe

SmokeBuster bekämpft SmokeLoader

Durch die Operation Endgame konnten im Mai viele bekannte Malware Loader ausgeschaltet werden. Mehr als 1.000 Befehls- und Kontrolldomänen (C2) wurden beschlagnahmt und über 50.000 Infektionen beseitigt. Diese großangelegte Aktion gegen eine C2-Infrastruktur hatte allerdings nur kurzfristige Wirksamkeit. SmokeLoader zielt beispielsweise bereits seit 2011 darauf ab, Payloads der zweiten Stufe zu übermitteln, die für Ransomware-Infektionen und Datendiebstahl sorgen.

Die Forscher vom Zscaler ThreatLabz-Team haben deshalb das Anti-Malware-Tool SmokeBuster entwickelt, um die SmokeLoader-Malware – auch unter dem Namen Dofoil bekannt – auf infizierten Systemen aufzuspüren und zu entfernen. Dabei haben die Forscher Fehler in neueren Versionen der Malware entdeckt, die die Performance eines infizierten Systems beeinträchtigen. SmokeBuster unterstützt 32-Bit- und 64-Bit-Instanzen von SmokeLoader und die Versionen 2017-2022. Das Tool ist mit Windows 7 bis Windows 11 kompatibel und bietet einen Deinstallationsbefehl, der robuster ist als die SmokeLoader-eigene Deinstallationsfunktion. Bei der SmokeLoader eigenen Deinstallationsroutine bleiben Artefakte im Speicher zurück und einige Versionen bereinigen die Disk oder Registry nicht vollständig.

Deinstallationsfunktionen von SmokeBuster

Schließen der SmokeLoader Mutex-VorgehensweiseSchließen der SmokeLoader Vorgehensweise von offenen Dateien, was benötigt wird, um benutzte Dateien zu löschenLöschen der ausführbaren Datei von SmokeLoader, von Plugins und geplanten AufgabenLöschen von InstallationsverzeichnissenBeenden von SmokeLoader Threads ( oder explorer.exe Prozessen für Version 2017)Zuordnung von SmokeLoader explorer.exe aufhebenBeenden des SmokeLoader Plugin-Prozesses

 

SmokeBuster hat darüber hinaus ein Feature implementiert, das es Malware-Analysten ermöglicht, SmokeLoaders Threads zu beenden, auszusetzen oder aufzunehmen. Damit kann die SmokeLoader-Funktion aufgehoben werden, die die Malware-Erkennung durch Analyse-Tools behindert. Serienmäßig werden die meisten Versionen von SmokeLoader in der Sektion von PAGE_EXECUTE_READ in explorer.exe abgelegt. Als Folge davon sind Debugger nicht in der Lage, Software-Breakpunkte zu setzen oder den Code zu patchen. Hier setzt SmokeBuster durch ein Remapping der SmokeLoader Memory-Sektionen an und durchbricht diesen Prozess mit Hilfe von PAGE_EXECUTE_READWRITE-Berechtigungen.

 

Original Autor: ZDNet-Redaktion

  30 Aufrufe

Sicherheitsrisiko: D-Link rät zur Entsorgung einiger Routermodelle

Eine Schadcode-Lücke gefährdet bestimmte D-Link-Router. Weil für diese Modelle der Support ausgelaufen ist, bekommen sie aber keine Sicherheitspatches mehr. Der Hersteller rät zur Entsorgung und zur Anschaffung eines neuen Gerätes.

Anzeige

Das geht aus einem aktuellen Beitrag von D-Link hervor. Davon sind folgende Modelle in allen Hardwarerevisionen betroffen:

DSR-150, DSR 150NDSR-250, DSR-250NDSR-500NDSR-1000N

Über die Sicherheitslücke gibt es bislang keine weiterführenden Informationen; auch eine CVE-Nummer ist bislang nicht bekannt. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Dementsprechend scheinen die Hürden für Angriffe nicht sehr hoch zu sein. Bislang gibt es noch keine Meldungen zu laufenden Attacken. Besitzer solcher Geräte sollten mit dem Austausch aber nicht zu lange zögern.

Offensichtlich hat D-Link die Produktwebsite des betroffenen Modells DSR-250N noch nicht überarbeitet und das Gerät ist dort noch als im Support befindlich gelistet.

Weiterlesen
  38 Aufrufe

PHP-Updates: 8.1.31, 8.2.26, 8.3.14 und 8.4.1 stopfen Sicherheitslecks

Die PHP-Entwickler haben aktualisierte Pakete veröffentlicht. Während PHP 8.4.1 "zahlreiche Verbesserungen und neue Funktionen" neben geschlossenen Sicherheitslücken liefert, handelt es sich bei PHP 8.1.31, 8.2.26 und 8.3.14 um reine Sicherheitsupdates, die IT-Verantwortliche zügig installieren sollten.

Anzeige

In den Versionsankündigungen zu den PHP-Aktualisierungen halten sich die Programmierer recht bedeckt mit Details. Für 8.4.1 erwähnen sie keine Sicherheitsaktualisierungen, die drei anderen Fassungen hingegen haben ausschließlich "Dies ist ein Sicherheits-Release. Alle PHP 8.[1|2|3].x-Nutzer sollen ermutigt werden, auf diese Version zu aktualisieren." als Änderungseintrag.

Die Aktualisierungen behandeln unterschiedliche Schwachstellen, einige betreffen jedoch alle Fassungen. So kann etwa als eine der hervorstechenden Schwachstellen auf 32-Bit-Systemen die ldap_escape()-Funktion bei der Übernahme ungefilterter langer Strings einen Integer-Überlauf provozieren, der in Schreibzugriffen außerhalb vorgesehener Grenzen mündet – und damit offenbar das Ausführen von eingeschleustem Schadcode ermöglicht (CVE-2024-8932, CVSS 9.8, Risiko "kritisch").

Interessierte finden in den einzelnen Changelogs Details zu den weiteren Änderungen und Sicherheitsfixes der aktualisierten PHP-Pakete:

Weiterlesen
  33 Aufrufe

heise-Angebot: iX-Workshop: AWS-Sicherheit - Angriffe erkennen und abwehren

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

November
28.11. – 29.11.2024
Online-Workshop, 09:00 – 17:00 Uhr
März
06.03. – 07.03.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 05. Feb. 2025

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 28. und 29. November 2024 statt

Weiterlesen
  37 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image