Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

CISA warnt vor Angriffen auf Palo-Alto-Software

Im Oktober hatte Palo Alto Networks mehrere, teils kritische Sicherheitslücken im Migrationswerkzeug Expedition gemeldet und Updates zum Stopfen der Lecks bereitgestellt. Jetzt warnt die US-amerikanische IT-Sicherheitsbehörde CISA, dass Angriffe auf diese Schwachstellen in freier Wildbahn beobachtet wurden.

Anzeige

Konkret warnt die CISA davor, dass zwei der vor rund einem Monat korrigierten Lücken angegriffen werden und sie diese Schwachstellen daher in den Katalog der angegriffenen Sicherheitslücken aufnimmt ("Known Exploited Vulnerabilities"-Katalog). Es handelt sich um eine Befehlsschmuggel-Lücke (CVE-2024-9463, CVSS 9.9, Risiko "kritisch") sowie um eine SQL-Injection-Schwachstelle (CVE-2024-9465, CVSS 9.2, kritisch) in Palo Altos Expedition.

Angreifer können verwundbare Appliances vollständig kompromittieren, denn Palo Alto erklärt die Auswirkungen der Lücke in der Sicherheitsmitteilung: Die Schwachstellen ermöglichen Angreifern demnach, Datenbankinhalte und beliebige Dateien zu lesen sowie beliebige Dateien in temporäre Verzeichnisse zu schreiben. In Kombination sind dadurch Nutzernamen, Klartext-Passwörter, Gerätekonfigurationen und API-Keys von PAN-OS-Firewalls zugreifbar.

Die Sicherheitslecks betreffen Palo Alto Expedition vor der fehlerkorrigierten Version 1.2.96. IT-Verantwortliche sollten umgehend die Aktualisierung anwenden. Außerdem sollen sie sicherstellen, dass die Software nicht aktiv ist, sofern sie nicht gebraucht wird.

Weiterlesen
  56 Aufrufe

Sicherheitspatches: Apache Traffic Server über mehrere Lücken angreifbar

Apache Traffic Server (ATS) optimiert als Web-Proxy-Cache den Datenverkehr in großen Netzwerken. Unter anderem Internetkonzerne wie Yahoo! nutzen ATS. Nun können Angreifer an mehreren Sicherheitslücken ansetzen und unter anderem Instanzen abstürzen lassen.

Anzeige

Wie aus einem Beitrag auf einer Mailingliste hervorgeht, haben die Entwickler in den aktuellen Ausgaben 9.2.6 und 10.0.2 insgesamt drei Schwachstellen (CVE-2024-38479 "hoch", CVE-2024-50305 "hoch", CVE-2024-50306 "kritisch") geschlossen.

Durch das erfolgreiche Ausnutzen der kritischen Lücke können Angreifer ATS dazu bringen, dass Privilegien beim Start des Servers erhalten bleiben. Attacken auf eine andere Schwachstelle können zu Abstürzen führen. Zurzeit gibt es noch keine Berichte, dass bereits Angriffe stattfinden.

Weiterlesen
  57 Aufrufe

Fehlerhafte Patches: Microsoft stoppt Exchange-Server-Updates

Die in der Nacht zum Mittwoch dieser Woche veröffentlichten Updates zum Microsoft Patchday haben unerwünschte Nebenwirkungen. Microsoft stellt daher vorerst die Verteilung auf Exchange-Server 2016 und 2019 ein.

Anzeige

In einem Techcommunity-Artikel hatte Microsoft zunächst die Inhalte und Verbesserungen der Updates zum Microsoft-Patchday für Exchange erläutert. In der Nacht zum Freitag hat der Hersteller den Artikel jedoch aktualisiert und erläutert darin nun, dass die Aktualisierungen vorerst gestoppt wurden. Insbesondere für die Versionen Exchange Server 2019 CU13 und CU14 sowie Exchange Server 2016 CU23 hat Microsoft die Verteilung ausgesetzt.

"Uns ist bekannt, dass Kunden ein Problem mit regelmäßig ausfallenden Transport-Regeln nach der Installation des Updates haben"; erörtert Microsoft. "Unseren initialen Untersuchungen zufolge kann das auftreten, sofern Kunden eigene Transport- oder DLP-Regeln einsetzen". Sofern man auf dieses Problem stoße, müsse das November-Update deinstalliert werden, bis es (korrigiert) wiederveröffentlicht werde, ergänzen Microsofts Entwickler.

"Wir setzen unsere Untersuchungen fort und arbeiten an einer permanenten Korrektur des Problems. Wir veröffentlichen sie dann, wenn sie fertig ist. Wir haben zudem den Rollout des November-2024-Service-Updates auf Windows- respektive Microsoft-Update pausiert", ergänzen die Redmonder. "Kunden, die keine Transport- oder DLP-Regeln verwenden und in keine Probleme mit solchen Regeln gelaufen sind, können das November-Update weiter verwenden".

Weiterlesen
  45 Aufrufe

Gegen Enkeltrickbetrug: KI-Omi soll Kriminelle in endlose Gespräche verwickeln

Der Mobilfunkprovider O2 hat nach eigenen Angaben eine KI-Technik entwickelt, die am Telefon eine alte Frau imitieren und Betrüger möglichst lange beschäftigen kann. Das teilte O2 jetzt mit und ergänzte, dass die Technik bereits Anrufe aus betrügerischen Absichten entgegengenommen hätte. Ziel sei es, dass die in Echtzeit generierten Antworten und Monologe von "Daisy" die Betrüger so lange wie möglich hinhalten, damit sie in der Zeit keine echten Menschen kontaktieren können. Damit sie überhaupt angerufen wird, würden zugehörige Telefonnummern auf Listen mit angeblich lohnenswerten Zielen hinzugefügt, die solche Betrüger verwenden.

Anzeige

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen. Videos immer laden (Quelle: virginmediao2.co.uk)

Scam-Anrufe sind seit Jahren ein großes Problem, mit unterschiedlichen Vorgehensweisen wird dabei versucht, die Opfer dazu zu bringen, Geld auszuhändigen. Dem kann im Prinzip jeder zum Opfer fallen, besonders häufig trifft es aber alte Menschen. Denen wird beispielsweise vorgetäuscht, dass ein Familienmitglied in ernsten Schwierigkeiten steckt und schnell Geld benötigt. Zuletzt war die Sorge gewachsen, dass die Kriminellen auf KI-Technik setzen könnten, um ihre Betrugsgeschichten noch glaubhafter zu machen und mehr Anrufe zu tätigen. O2 will zeigen, dass das auch andersherum geht. Ob und wie erfolgreich die Methode ist, muss sich zeigen, hierzulande wird die Gefahr durch die englischsprachige Technik nicht verringert.

Die KI-Omi ist auch nur darauf ausgelegt, Telefon-Scam abzufangen, der auf das direkte Gespräch setzt. Immer öfter erfolgen die Betrugsversuche aber auch über WhatsApp. Unter dem Vorwand, dass das Familienmitglied eine neue Handynummer habe, schreibt der Betrüger Personen an. Recht schnell wird auch in diesem Fall nach Geld gefragt. Dafür wird behauptet, dass ein Telefonat nicht möglich ist und es keine Zeit für Erklärungen gibt. All diese Erzählungen sind ebenfalls frei erfunden, aber oft genug erfolgreich. Auch gegen andere Betrugsformen, wie etwa jene über angeblichen Tech-Support, kann "Daisy" nichts ausrichten.

Selbst wenn "Daisy" so funktioniert, wie O2 das jetzt behauptet, wird die KI-Technik die Betrugsversuche also nicht unterbinden können. Bestenfalls handelt es sich nur um den nächsten Schritt im anhaltenden Katz-und-Maus-Spiel. Um sich zu schützen, hält man sich am besten weiterhin an eine Reihe von Fragen bereit, die man bei Telefonaten im Hinterkopf haben sollte. Außerdem sollte man nie Geld an unbekannte (ausländische) Bankkonten überweisen und übers Telefon keine persönlichen Daten weitergeben, darunter etwa Bankinformationen wie die IBAN. Anrufende sollten nie den Zugriff auf Computer erhalten. Ist das Geld einmal weg, sind Versuche, es wiederzuholen, meist aussichtslos.

Weiterlesen
  47 Aufrufe

heise-Angebot: iX-Workshop: Nach dem Einbruch – Digital Forensics & Incident Response (DFIR)

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

Weiterlesen
  0 Aufrufe

Chinas Cyberspione greifen Telefondaten und -gespräche von US-Netzbetreibern ab

Kommerzielle Netzbetreiber der USA wie AT&T und Verizon sind Opfer chinesischer Cyberspione geworden. Dabei haben die von der Regierung Chinas unterstützten Angreifer Zugriff auf Telefonaufzeichnungen und -daten von Kunden sowie private Kommunikationsdaten von Politikern und Regierungsangehörigen erlangt. Sogar von Polizeibehörden durchgeführte und gerichtlich genehmigte Abhörungen wurden abgegriffen. Das FBI und die US-Cybersicherheitsbehörde CISA bezeichnen es als "umfassende und bedeutende Cyberspionagekampagne".

Anzeige

Damit haben das FBI und die CISA (Cybersecurity and Infrastructure Security Agency) bestätigt, was zuvor bereits bekannt geworden war. Anfang Oktober wurde berichtet, dass AT&T, Verizon und Co. angeblich von einer chinesischen Spionagegruppe infiltriert worden seien. Die Kampagne scheint auf Informationsbeschaffung ausgerichtet zu sein und gilt als potenziell katastrophale Sicherheitsverletzung. Denn über mehrere Monate oder länger könnten die Cyberkriminellen Zugang zu Netzwerkinfrastrukturen gehabt haben.

Details zum Umfang und der Dauer des Cyberangriffs bleibt die gemeinsame Erklärung von FBI und CISA schuldig, aber die Verbindung der Angreifer zur Volksrepublik China wird mehrfach erwähnt. Die Untersuchung der Vorfälle dauert an, betroffene Opfer werden informiert. Namen werden nicht genannt, aber im Visier der Cyberspione waren etwa der gerade zum US-Präsidenten gewählte Donald Trump sowie sein designierter Vizepräsident J.D. Vance, schreibt Politico.

Demnach hätten die Cyberspione Zugriff auf Telefondaten mehrerer Millionen US-Amerikaner gehabt, aber nicht jede einzelne Person sei dabei überwacht worden. Die Angreifer hätten anfangs rund 40 Opfer gesucht, um diese auszuspionieren. Allerdings hat sich diese Zahl mittlerweile erhöht und könnte sogar mehr als Tausend Individuen umfassen, heißt es. Insgesamt seien rund 10 Telekommunikationsunternehmen betroffen, darunter Verizon, AT&T und Lumen Technologies.

Weiterlesen
  50 Aufrufe

Google wagt Ausblick auf die IT-Sicherheitslage 2025

Google schaut in die Glaskugel: Ein fast 20-seitiges PDF liefert Einschätzungen der zu erwartenden IT-Bedrohungslage 2025 von Googles Cloud-Security-Köpfen. Neben dem Führungspersonal kommen auch IT-Forscher aus den diversen IT-Sicherheitsteams von Google und der Google-Tochter Mandiant zu Wort.

Anzeige

Google wählt dem zugehörigen Blog-Beitrag zufolge einen konservativen Ansatz und extrapoliert zu Erwartendes aus den derzeit beobachteten Trends. Das soll einen realistischen Ausblick liefern, anhand dessen sich Organisationen darauf vorbereiten können, was im kommenden Jahr auf sie zukomme.

Das hat aber auch zur Folge, dass keine überraschenden Informationen darin auftauchen. Google erörtert, dass bösartige Akteure vermehrt auf KI für verfeinertes Phishing, Vishing und Social Engineering setzen werden. Zudem sei eine Zunahme an Deepfake-Einsätzen für Identitätsbetrug und -Diebstahl, Betrug oder zur Umgehung von Sicherheitsmaßnahmen zu erwarten. Mittels KI werden die Täter außerdem ihre Schlagzahl optimieren: Skalierung der Inhaltserzeugung, Erstellen von mehr überzeugenden Inhalten, oder Verbesserung von nicht authentischen Persönlichkeiten.

Die sogenannten "Big Four", namentlich China, Iran, Nordkorea und Russland werden weiterhin aktiv bleiben und sich weiter in Spionageaktivitäten stürzen, Cybercrime begehen und Ausspähoperationen in Verknüpfung mit ihren geopolitischen Interessen verfolgen. Auch zum Teil staatlich gelenkt: Ransomware und vielschichtige Erpressung bleiben die am meisten störenden Formen der Cyberkriminalität, schätzt Google, die Auswirkungen auf diverse Sektoren und Länder haben.

Weiterlesen
  59 Aufrufe

heise-Angebot: Last Call: IT-Sicherheitstag Gelsenkirchen – Komplexität managen

Anzeige

Der IT-Sicherheitstag an der Westfälischen Hochschule Gelsenkirchen zeigt am 21. November, wie Sicherheitsverantwortliche, Security-Experten und IT-Projektleiter mit der steigenden Komplexität der Systeme in ihren Unternehmen umgehen können. Dass das Zusammenspiel der Komponenten im Systemverbund leicht aus dem Tritt gerät, hat zuletzt der Crowdstrike-Vorfall gezeigt.

Das Programm des IT-Sicherheitstags bietet den Teilnehmern dabei viele Möglichkeiten, sich untereinander und mit den Referenten zu vernetzen – letztere stehen in offenen Diskussionsrunden zur Beantwortung der drängendsten Fragen bereit. Veranstalter sind das Institut für Internetsicherheit und die heise academy.

Neben einer allgemeinen Einordnung zu Sicherheitswerkzeugen und Technologien, mit der Unternehmen die Komplexität managen können, beleuchtet eine Panel-Diskussion, wie man den regulatorischen Anforderungen begegnet und gegenüber sich ständig wandelnden Bedrohungen wettbewerbsfähig und resilient bleibt. Außerdem geht es darum, wie man seine empfindlichen Unternehmensdaten clientseitig verschlüsselt, damit das Lagern der Daten bei Cloudanbietern zu weniger Kopfschmerzen führt. Ein weiterer Vortrag zeigt, wie man digitale Signaturen nutzt, um seine Unternehmenskommunikation gegen Spear-Phishing-Angriffe zu wappnen.

Besonders ärgerlich ist es, wenn man selbst abgesichert ist, es aber einen Dienstleister in der eigenen Supply Chain trifft, von dem aus sich der Angriff ins eigene Netz ausbreitet. Auch im Zuge von NIS2 und dem Cyber Resilience Act (CRA) der EU müssen sich Unternehmen Gedanken über die Sicherheit ihrer IT-Lieferkette machen oder sich bewusst sein, dass sie ein wichtiges Kettenglied für andere Firmen darstellen. Die Software Bill of Materials (SBOM) hilft Unternehmen, die Anforderungen in Verträge und Prozesse zu integrieren, um rechtliche Risiken zu minimieren und die Sicherheit ihrer IT-Lieferketten zu gewährleisten.

Weiterlesen
  55 Aufrufe

Destatis: Cyberkriminelle erbeuten offenbar 3,8 GByte an Daten

Cyberkriminellen ist es anscheinend gelungen, auf eine oder mehrere Datenbanken des Statistischen Bundesamts (Destatis) Zugriff zu erlangen. Dabei haben sie angeblich Unternehmensdaten in einem Umfang von 3,8 GByte kopiert. Diese stehen nun im digitalen Untergrund zum Verkauf.

Anzeige

Die Destatis-Datenbank steht in einem Untergrundforum zum Verkauf.

(Bild: Screenshot / cku)

Die Daten umfassen etwa Kontaktdaten, Anschrift, Unternehmensabteilung, Umsatzsteuernummern, Bundesland, Titel, Namen, Telefon- und Fax-Nummern, E-Mail-Adresse und einige Dokumente, behaupten die Täter in ihrem Angebotstext im Untergrundforum. Ob da auch sensible respektive vertrauliche Informationen drunter sind, ist bislang unklar.

Weiterlesen
  51 Aufrufe

Updates verfügbar: Mehrere Sicherheitslücken bedrohen Gitlab

Die Gitlab-Entwickler empfehlen, die aktuellen Sicherheitspatches für Gitlab Community Edition (CE) und Enterprise Edition (EE) für selbst gehostete Instanzen zeitnah zu installieren. Geschieht das nicht, können Angreifer an mehreren Lücken ansetzen und sich unter anderem Zugriff auf eigentlich abgeschottete Bereiche des Entwicklungsservers verschaffen. Gitlab.com ist ihnen zufolge bereits abgesichert.

Anzeige

Insgesamt haben die Entwickler einer Warnmeldung zufolge in den aktuellen Versionen 17.3.7, 17.4.4 und 17.5.2 sechs Sicherheitslücken geschlossen. Bis auf eine Schwachstelle sind alle Lücken mit dem Bedrohungsgrad "mittel" eingestuft.

Sind Attacken erfolgreich, können sich Angreifer unter anderem Zugriff auf den Kubernetes Cluster Agent verschaffen (CVE-2024-9693 "hoch"). Unbefugte Zugriffe sind auch über OAuth möglich (CVE-2024-7404 "mittel"). Über weitere Lücken können noch Informationen leaken (CVE-2024-10240 "mittel). Außerdem sind DoS-Attacken vorstellbar (noch keine CVE-Nummer zugeteilt).

Bislang gibt es noch keine Berichte, dass Angreifer bereits Lücken ausnutzen. Leider geben die Entwickler Nutzern keine Orientierungspunkte, an denen bereits erfolgte Attacken erkennbar sind.

Weiterlesen
  53 Aufrufe

Software-Entwicklungs-Tool Jenkins schließt mehrere Sicherheitslücken

Die aktualisierte Version der Open-Source-Software Jenkins dichtet mehrere Sicherheitslücken ab. Diese stufen die Entwickler zum Großteil als hochriskant ein.

Anzeige

Jenkins ist ein webbasiertes Software-Entwicklungs-Tool mit zahlreichen Plug-ins, das wiederkehrende Aufgaben wie den Build-Prozess von Software automatisiert und dabei das Zusammenfassen von Funktionen mit APIs und Bibliotheken erlaubt.

In einer Sicherheitsmitteilung schreiben die Jenkins-Entwickler, dass Sicherheitslücken in insgesamt sieben Plug-ins entdeckt wurden. Davon ordnen sie sechs als hohes und eines als mittleres Risiko ein.

Die Sicherheitslücken finden sich in folgenden Plug-ins von Jenkins:

Weiterlesen
  56 Aufrufe

Gratis-Tool: Sicherheitsforscher knacken ShrinkLocker-Verschlüsselung

ShrinkLocker hat es auf Windows-PCs abgesehen, verschlüsselt Festplatten und erpresst Lösegeld. Nun haben Sicherheitsforscher von Bitdefender Schwachstellen in der Vorgehensweise der Ransomware entdeckt und für Opfer ein kostenloses Entschlüsselungstool veröffentlicht.

Anzeige

Wie aus einer Analyse der Sicherheitsforscher hervorgeht, nutzt der PC-Schädling keinen Verschlüsselungsalgorithmus, sondern Microsofts legitimes Windows-Sicherheitsfeature Bitlocker, das Festplatten verschlüsselt. In diesem Fall kennen aber nur die Täter den zufällig generierten Schlüssel, den sie Opfern gegen eine Lösegeldzahlung anbieten.

Um das zu bewerkstelligen, nutzt ShrinkLocker den Forschern zufolge ein Visual Basic Script, dessen Code aber ziemlich veraltet und fehlerhaft sein soll. Darüber sollen die Angreifer Bitlocker-Konfigurationen modifizieren und dann Systemfestplatten verschlüsseln. Im Anschluss werden Opfer von einem Bitlocker-Bildschirm begrüßt, der zur Eingabe des Passworts zum Entschlüsseln hinweist. Über eine eingeblendete E-Mail-Adresse können Opfer die Angreifer für die Lösegeldzahlung kontaktieren. ShrinkLocker nutzt Group Policy Objects (GPOs) und geplante Aufgaben, um weitere Systeme im Netzwerk zu verschlüsseln. So können Angreifer ganze Domänen in Mitleidenschaft ziehen.

Bei der Analyse der Malware stießen die Forscher eigenen Angaben zufolge auf mehrere Fehler im Code. Ihr Tool setzt zur Datenwiederherstellung in einem bestimmten Zeitfenster im Bitlocker-Recovery-Modus an. Wie das im Detail funktioniert, steht im Beitrag der Forscher. Das Tool steht kostenlos zum Download. So können Opfer ohne Lösegeldzahlung wieder auf ihre Daten zugreifen.

Weiterlesen
  52 Aufrufe

Datenleck bei Online-Auskunftei: Hackerin kann beliebige Bonitätsdaten einsehen

Erneut gibt ein Anbieter für Bonitätsauskünfte unfreiwillig höchst sensible Daten preis. Wie die Hackerin Lilith Wittmann mittels eines prominenten Opfers zeigte, lässt sich "it's my data" Informationen über die Zahlungsmoral prominenter Politiker entlocken, aber auch beliebiger anderer Personen. Ursache: Ein ungenügend abgesicherter API-Aufruf.

Anzeige

Auskunfteien wie die Schufa oder Infoscore geben Einschätzungen über die Kreditwürdigkeit möglicher Vertragspartner ab – nicht nur Banken und Unternehmen, sondern auch Vermieter fordern diese Informationen routinemäßig an. Das Start-up "it's my data" macht aus diesem Umstand gleich mehrere Produkte wie einen "Bonitätspass" und eine "Mietermappe" zur Vorlage beim Vermieter.

Die itsmydata-Produkte seien von Maklern empfohlen, 100 Prozent DSGVO-konform und zertifiziert für digitale Transparenz, so die Eigenwerbung des Unternehmens. Doch Hackerin Wittmann stellte mehr Transparenz her als vom Anbieter beabsichtigt. Nachdem sie ein Konto bei itsmydata angelegt hatte, konnte sie mithilfe eines ungeschützten API-Calls ihre eigenen Daten wie Name und Meldeadresse ändern und durch die einer fremden Person ersetzen. Deren Bonitätsauskunft erhielt sie dann im praktischen PDF-Format. Laut Wittmann lässt sich dieses Vorgehen mehrfach wiederholen.

Derlei Lücken sind für die Berlinerin nichts Neues: Bereits vor gut einem Jahr hatte Wittmann sich die App "Bonify", eine Schufa-Tochter, vorgenommen und ebenfalls Bonitätsdaten eines Prominenten abgerufen. Die Kreditwürdigkeit des Ex-CDU-Gesundheitsministers habe sich immerhin ein wenig verbessert, bemerkte Wittmann belustigt in den sozialen Netzwerken.

Weiterlesen
  52 Aufrufe

Malware: Erkennung entgehen durch angeflanschtes ZIP

Windows-Nutzerinnen und -Nutzer, die bestimmte Tools zum Öffnen von ZIP-Dateien verwenden, stehen im Visier von Cyberkriminellen. Sie senden speziell präparierte ZIP-Dateien, die von Virenscannern nicht angemeckert werden, aber sich mit bestimmten Programmen öffnen lassen.

Anzeige

Im konkreten Fall haben die IT-Forscher von PerceptionPoint verkettete ZIP-Archive mit Schadsoftware darin entdeckt und beschreiben den Fall in einer Analyse. Ein Trojaner, der als Frachtpapier-Dateianhang getarnt war, versteckte sich in einem verketteten ZIP. Dieser Dateianhang an der E-Mail wird von vielen Anti-Malware-Programmen nicht entdeckt. Auf den Windows-Schädling in diesem manipulierten Archiv ließ sich etwa mit WinRAR jedoch zugreifen.

Die Erkennung durch Antivirensoftware lässt sich mit ZIP-Dateien umgehen, die einfach aneinander kopiert wurden: An das harmlose .zip-Archiv eins hängen die Täter einfach das zweite .zip, das den Schädling enthält. Unter Windows würde etwa der Befehl copy /b Archiv-*.zip VerkettetesArchiv.zip die Dateien zusammenführen, die etwa als Archiv-1.zip und Archiv-2.zip in dem Verzeichnis vorliegen.

Die Ursache des Problems liegt im Umgang unterschiedlicher Software mit solchen Dateien. Die IT-Sicherheitsforscher haben das verkettete ZIP mit mehreren Programmen getestet: 7zip zeigt die Inhalte der ersten Datei und eine Warnung, dass weitere Daten nach dem Ende des Archivs vorliegen. Das im Windows Explorer ZIP-Tool liefert unterschiedliche Ergebnisse. Mit der Dateiendung .zip kann es die Datei gar nicht öffnen, sofern das präparierte Archiv jedoch in .rar umbenannt wird, taucht der Inhalt des zweiten Archivs mit der Malware auf. WinRAR hingegen liest das zentrale Verzeichnis des zweiten .zip und zeigt dessen Inhalt an. Ein derartiger Angriff ist also nur auf Nutzerinnen und Nutzer mit WinRAR erfolgversprechend, oder mit geändertem Dateinamen auf Windows-Nutzer mit Windows-Bordmitteln. Die Phishing-Mail in dem analysierten Fall enthielt dieses verkettete ZIP-Archiv mit dem Dateinamen "SHIPPING_INV_PL_BL_pdf.rar". Auf die Malware war dadurch mit Windows-eigenen Tools und WinRAR zugreifbar.

Weiterlesen
  52 Aufrufe

Kostenloser Dekryptor für ShrinkLocker

Nach Analyse der Funktionsweise von ShrinkLocker entdeckten die Experten der Bitdefender Labs eine Möglichkeit, um Dateien unmittelbar nach Aufheben der böswillig missbrauchten Schutzmechanismen für mit BitLocker verschlüsselte Laufwerke wiederherzustellen. Das Entschlüsselungsprogramm ist kostenlos zum Download frei verfügbar.

Einfaches Tool statt komplexer Algorithmen

ShrinkLocker, das im Mai 2024 identifiziert wurde, ist eine einfache, aber effektive Ransomware, welche die BitLocker-Konfigurationen von Windows ändert, um die Laufwerke eines Systems zu verschlüsseln. Im Gegensatz zu den meisten modernen Ransomware-Programmen, die auf ausgefeilten Verschlüsselungsalgorithmen beruhen, verfolgt ShrinkLocker einen sehr einfachen Ansatz. ShrinkLocker ändert die BitLocker-Konfigurationen, um die Laufwerke eines Systems zu verschlüsseln.

Die Malware überprüft zunächst, ob Bitlocker auf einem Opfersystem aktiviert ist. Wenn nicht, erfolgt die Installation von Bitlocker und das System wird neu verschlüsselt. Ein per Zufall generiertes Passwort lädt die Malware auf einem von den Angreifern kontrollierten Server hoch. Nach Reboot des Systems fordert der modifizierte Bitlocker den Nutzer auf, dieses ihm unbekannte Passwort zum Entschlüsseln des Laufwerks einzugeben. Auf dem BitLocker-Screen erscheint die Kontaktmail der Angreifer, um gegen Lösegeld einen Dekryptorschlüssel der Angreifer zu erhalten.

Seine Einfachheit macht den Angriff besonders attraktiv für individuell agierende Bedrohungsakteure, die möglicherweise nicht Teil eines größeren Ransomware-as-a-Service (RaaS)-Ökosystems sind. Erste Programmierer von ShrinkLocker haben das Tool möglicherweise vor über einem Jahrzehnt für legale und nützliche Zwecke geschrieben, spätere Hacker das Tool nun für böswillige Absichten zweckentfremdet.

Original Autor: ZDNet-Redaktion

  51 Aufrufe

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

Malwarebytes hat eine Reihe von Betrugsmaschen untersucht, die sich insbesondere in der Weihnachtseinkaufssaison gegen Verbraucher richten. Die Betrugsversuche wurden in verschiedenen für Geschenke beliebten Produktkategorien beobachtet, darunter Spielkonsolen und Geschenkgutscheine, sowie auf Einkaufsplattformen wie Amazon und bei Versanddiensten wie USPS. Zudem verzeichnet das Unternehmen im Zusammen mit den bevorstehenden Weihnachtseinkäufen einen kontinuierlichen Anstieg von Malvertising.

Allein zwischen Juli und September verzeichnete der Sicherheitsanbieter in den USA einen Anstieg von 41 Prozent bei schädlicher Werbung, also Malvertising. Im Vorjahreszeitraum waren es 42 Prozent. Auch sein keine Marke vor Malvertising sicher, einschließlich Google. Malvertising-Kampagnen registrierte Malwarebytes unter anderem für die Marken Google, Walmart, Disney+, Lowe’s, Apple und sogar für Malwarebytes selbst. Die meisten (77 Prozent) der Werbekonten, die im Rahmen von Malvertising-Kampagnen verwendet wurden, waren Einmalkonten, die schnell erstellt und dann direkt wieder gelöscht wurden. Cyberkriminelle erstellten dann das nächste entsprechende Konto und so weiter.

„Webbasierte Angriffe sind für Angreifer eine neue, zusätzliche Möglichkeit“, sagte Mark Beare, General Manager der Consumer Business Unit von Malwarebytes. „Früher mussten Angreifer Zugriff auf den Desktop ihrer Opfer haben, um auf Dateien oder sensible Information zugreifen zu können. Heute geben die meisten Endverbraucher ihre Passwörter, Kreditkartendaten, Privatadressen und verschiedene andere personenbezogene Daten freiwillig in Browsern und Website-Formularen ein und speichern diese dort auch. Damit locken sie Cyberkriminelle an, die sich Profit erhoffen. Viele Verbraucher glauben, dass sie schon nicht betroffen sein werden, aber tatsächlich geht es den Angreifern nicht um den einzelnen Verbraucher, sondern um Verbraucher im großen Maßstab.“

„Cyberkriminelle investieren Geld und nutzen KI-Tools, um sehr glaubwürdige, aber gefälschte Websites, Warenkörbe und andere Betrugsmaschen zu erstellen“, ergänzte Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes. „Dringende Empfehlungen für alle Online-Einkäufer sind deshalb, gesponserte Werbelinks zu meiden, vorsichtig zu sein, wo sie sensible Informationen preisgeben, und Tools für den Browser-Schutz zu nutzen, um zu verhindern, dass ihre Kreditkarteninformationen ausgelesen werde. Letzteres ist eine Gefahr, die oftmals nicht einmal erkannt wird.“

Original Autor: Stefan Beiersmann

  44 Aufrufe

heise-Angebot: iX-Workshop: AWS-Sicherheit - Angriffe erkennen und abwehren

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

November
28.11. – 29.11.2024
Online-Workshop, 09:00 – 17:00 Uhr
März
06.03. – 07.03.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 05. Feb. 2025

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 28. und 29. November 2024 statt

Weiterlesen
  44 Aufrufe

Sicherheitsupdates: Zoom Room Client & Co. angreifbar

Zoom hat Patches veröffentlicht, die mehrere Sicherheitslücken in Meeting SDK, Rooms Client, Rooms Controller, Video SDK, Workplace App und Workplace VDI Client schließen. Die abgesicherten Versionen sind für Android, iOS, Linux, macOS und Windows erschienen. Bislang gibt es keine Hinweise auf bereits laufende Angriffe.

Anzeige

In den unterhalb dieser Meldung verlinkten Beiträgen finden Admins Informationen zu den bedrohten Versionen und Sicherheitspatches. Nach erfolgreichen Attacken können sich Angreifer mit Netzwerkzugriff, aber ohne Anmeldung höhere Nutzerrechte verschaffen (CVE-2024-45421 "hoch"). Außerdem können Informationen leaken (CVE-2024-45419 "hoch").

Liste nach Bedrohungsgrad absteigend sortiert:

Weiterlesen
  56 Aufrufe

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Check Point warnt in seinem Global Threat Index für Oktober vor einer deutlichen Zunahme von Schadsoftware, die auf den Diebstahl vertraulicher Informationen ausgerichtet ist – sogenannter Infostealer. Darüber hinaus setzen Hacker auf immer raffiniertere Angriffsmethoden.

In Deutschland blieben die Machtverhältnisse indes unter den bekannten Malware-Ausläufern stabil: Der Infostealer Formbook war weiterhin die aktivste Malware, machte jedoch nur noch 12 Prozent der von Check Point beobachteten Infektionen aus – ein Rückgang um rund 9 Prozentpunkte zum Vormonat. Auf Platz zwei und drei hielten sich Androxgh0st mit 4,5 Prozent und FakeUpdates mit 3,4 Prozent bei weitestgehend unveränderten Verbreitungsraten. Die größte Veränderung beobachteten die Sicherheitsforscher bei den Sektoren: Hier liegen nun Versorgungsunternehmen auf Platz drei (zuvor war hier der Transport-Sektor gelistet) hinter der Kommunikationsbranche auf Platz zwei und dem Bildungs- und Forschungssektor weiterhin an der Spitze.

Letzten Monat entdeckte Check Point zudem eine Infektionskette, bei der gefälschte CAPTCHA-Seiten zur Verbreitung der Lumma-Stealer-Malware genutzt werden. In Check Points globalem Ranking saß der Stealer zuletzt auf dem vierten Platz der meistverbreiteten Malwares. Die Kampagne zeichnet sich durch ihre globale Reichweite aus und betrifft mehrere Länder über zwei primäre Infektionsvektoren: einer davon über geknackte URLs zum Herunterladen von Videospielen und der andere über Phishing-E-Mails, die als neuartiger Angriffsvektor auf GitHub-Benutzer abzielen. Der Infektionsprozess soll die Opfer dazu verleiten, ein bösartiges Skript auszuführen, das in die Zwischenablage kopiert wird. Die Vorgehensweise zeugt Check Point zufolge von der zunehmenden Verbreitung von Infostealern zum Klau von sensiblen Daten aus infizierten Systemen.

Darüber hinaus verweist Check Point eine neue Angriffsmethode der Ransomware-Gruppe RansomHub. Sie nutzt eine neuartige Fernverschlüsselung für die Datenerpressung. Diese gefährliche Innovation wurde von Check Point erstmals im vergangenen Jahr beobachtet und breitet sich seitdem rasant aus. Dem Angreifer reiche bei dieser Taktik ein einziger ungeschützter Endpunkt, beispielsweise ein Mobiltelefon, um Daten auf anderen Geräten im selben Netzwerk zu verschlüsseln. Die Hacker riefen dabei die Daten über das ungeschützte Gerät ab, verschlüsselten sie und ersetzten die Originaldateien durch die verschlüsselten.

„Die Zunahme hochentwickelter Infostealer zeigt eine neue Realität: Cyber-Kriminelle entwickeln ihre Methoden ständig weiter und nutzen innovative Angriffsvektoren“, kommentiert Maya Horowith, Vice President of Research bei Check Point. „Um diesen anhaltenden Herausforderungen wirksam zu begegnen, müssen Organisationen über die traditionellen Abwehrmaßnahmen hinausblicken und adaptive-präventive Sicherheitsmaßnahmen ergreifen, die neu auftretende Bedrohungen bestmöglich vorhersehen.“

Original Autor: Stefan Beiersmann

  55 Aufrufe

Fortinet stopft Sicherheitslecks in FortiOS, FortiAnalyzer und FortiClient

Fortinet hat Updates veröffentlicht, die hochriskante Sicherheitslücken in FortiOS, FortiAnalyzer und FortiClient schließen. Angreifer können die Schwachstellen missbrauchen, um ihre Rechte auszuweiten, unbefugt sensible Aktionen auf betroffenen Geräten auszuführen oder unbefugt Zugriff auf Netze zu erlangen.

Anzeige

Der FortiClient für Windows ermöglicht Angreifern, ihre Rechte im System mittels LUA-Auto-Patch-Skripten auszuweiten, schreibt Fortinet (CVE-2024-36513, CVSS 7.4, Risiko "hoch"). In einer weiteren Sicherheitsmitteilung schreiben Fortinets Entwickler, dass Angreifer mit niedrigen Rechten mit gefälschten Named-Pipe-Nachrichten zudem in den FortiClients für Windows beliebigen Code mit höheren Rechten ausführen können (CVE-2024-47574, CVSS 7.4, hoch). FortiClient für Windows 7.0.13, 7.2.5 und 7.4.1 schließen die Lücken, im Versionszweig 7.4 ist die LUA-Lücke hingegen nicht vorhanden. Wer FortiClient 6.4 einsetzt, soll auf eine dieser Fassungen aktualisieren.

Im FortyAnalyzer und Fortimanager können Nutzer mit Nur-Lese-Zugriff einige sensible Aktionen starten, schreiben die Entwickler in einer Sicherheitsnotiz. Dafür müssen sie angemeldet sein – welche Operationen genau sie dann unbefugt ausführen können, nennt der Hersteller jedoch nicht (CVE-2024-23666, CVSS 7.1, hoch). Die Lücken dichten die Versionen FortiAnalyzer und Fortimanager 7.4.3, 7.2.6, 7.0.13 und 6.4.15 sowie FortiAnalyzer-BigData 7.4.1 und 7.2.7, die Versionszweige 7.0, 6.4 und 6.2 sollen auf diese unterstützten Fassungen oder neuere aktualisieren.

Außerdem warnt Fortinet davor, dass Angreifer ohne vorherige Anmeldung SSL-VPN-Sessions mittels Phishing von SAML-Authentifzierungs-Links in FortiOS übernehmen können (CVE-2023-50176, CVSS 7.1, hoch). FortiOS 7.4.4, 7.2.8 sowie 7.0.14 oder neuer korrigieren den zugrundeliegenden Fehler.

Weiterlesen
  56 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image