Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Manageengine Analytics Plus: Sicherheitslücke erlaubt Rechteausweitung

In Manageengine Analytics Plus von Zohocorp können Angreifer aufgrund einer Schwachstelle ihre Rechte ausweiten. Dies gelingt durch unbefugt möglichen Zugriff auf sensible Daten.

Anzeige

In der Sicherheitsmitteilung von Zoho erörtern die Autoren, dass eine Schwachstelle in Analytics Plus sensible Daten offenlegt. Angemeldete Nutzerinnen und Nutzer können dadurch an sensible Token gelangen, die mit dem "org-admin"-Konto verknüpft sind. Das ermöglicht ihnen eine unbeabsichtigte Ausweitung ihrer Rechte (CVE-2024-52323, CVSS 8.1, Risiko "hoch").

"Diese Schwachstelle ermöglicht Angreifern, Admin-Aktionen auszuführen. Sie können etwa Nutzerinnen und Nutzer hinzufügen oder entfernen und Konfigurationen verändern", erklären die Autoren der Sicherheitsmitteilung.

Das Problem lösen die Softwareentwickler dadurch, dass sie ungenutzten und verwundbaren Code aus der Anwendung entfernen. Das eliminiere die Schwachstelle, führen die Entwickler weiter aus.

Weiterlesen
  66 Aufrufe

l+f: Erst hacken, dann schützen

Wie kann ein Dienstleister, der Cyberattacken vorbeugt, seinen Service bewerben? Etwa indem er seine Dienste mit Werbeanzeigen, die seine Reputation präsentieren, anpreist. Doch es geht auch ganz anders, wie jüngst ein Anbieter solcher Dienste in Kansas, USA gezeigt hat. Dafür hat er jetzt eine Anzeige kassiert.

Anzeige

Einem Beitrag des United States Attorney's Office zufolge, hat er in drei dokumentierten Fällen unter anderem einen Betreiber von Fitnesscentern gehackt, um im Anschluss seinen Service zu bewerben und Hilfe anzubieten, künftige Attacken vorzubeugen. Er gibt an, Zugriff auf Sicherheitskameras zu haben und Nutzeraccounts einsehen zu können. Als Beweis für den Zugriff habe er zudem seinen Mitgliedsbeitrag auf 1 US-Dollar pro Monat gesenkt.

In einem weiteren Fall habe er vor Ort eine Non-Profit-Organisation attackiert. Dabei umging er mittels einer Bootdisk die Authentifizierung und verschaffte sich Zugriff auf sensible Daten. Anschließend hat er sich einen Fernzugriff via VPN eingerichtet und die Passwörter der Angestellten geändert, um sie auszusperren. Die Attacke habe die Organisation 5000 US-Dollar gekostet. Das geht aus einem ausführlichen Bericht zu den Vorfällen hervor.

Ob der Dienstleister in einem der Fälle engagiert wurde, bleibt unklar – das ist aber äußerst unwahrscheinlich. Welche Strafe den Täter erwartet, ist bislang noch nicht bekannt.

Weiterlesen
  74 Aufrufe

Sicherheitsupdates: Vielfältige Angriffe auf Synology NAS und BeeDrive möglich

Netzwerkspeicher von Synology sind verwundbar. Angreifer können an Sicherheitslücken in DSM und der NAS-App Surveillance Station ansetzen, um Schaden anzurichten. Auch die Backuplösung BeeDrive for Desktop wurde gegen mögliche Attacken abgesichert. Noch sind aber nicht alle Sicherheitspatches erschienen.

Anzeige

CVE-Nummern und eine Einstufung des Bedrohungsgrads der Lücken stehen derzeit noch aus. Die DSM-Lücke stuft das Notfallteam des BSI CERT Bund als "kritisch" ein. Sind Attacken erfolgreich, können Angreifer DoS-Zustände erzeugen, auf sensible Daten zugreifen oder sich höhere Nutzerrechte aneignen. Wie das ablaufen könnte, ist bislang unklar.

Es gibt auch noch keine Hinweise auf bereits laufende Angriffe. Um NAS-Systeme abzusichern, stehen die Sicherheitsupdates DSM 7.2.1-69057-2, 7.2.2-72806 und DSMUC 3.1.4-23079 bereit. Der Patch für DSM 7.1 steht noch aus.

Surveillance Station ist in den Ausgaben 9.2.2-11575 und 9.2.2-9575 abgesichert. Die Schwachstelle in BeeDrive for Desktop kann Schadcode auf PCs durchlassen. Die Version 1.3.2-13814 ist dagegen gerüstet.

Weiterlesen
  88 Aufrufe

Microsoft-Sicherheitsfunktion "Administrator Protection" jetzt ausprobierbar

Microsoft startet einen neuen Anlauf, um die Sicherheit von Windows zu verbessern. "Administrator Protection" heißt dieser Mechanismus, der das Arbeiten mit den niedrigstmöglichen Rechten erlauben und so den Rechner vor ungewollten Folgen aufgrund von schädlichen Admin-Aktionen schützen soll. Wem das bekannt vorkommt: Das sollte ursprünglich bereits die Benutzerkontensteuerung (UAC) aus Windows Vista leisten, die jedoch später von Microsoft offiziell nicht mehr als Sicherheitsfunktion eingestuft und so aufgeweicht wurde, dass Admin-Rechte sogar automatisch vergeben wurden – gelegentlich auch an Malware.

Anzeige

Vor einer administrativen Aufgabe wie der Software-Installation steht mit "Administrator Protection" ein Windows-Hello-Prompt.

(Bild: Microsoft)

Die neue Funktion ist zwar ähnlich, unterscheidet sich jedoch deutlich an entscheidenden Stellen. Bei der Benutzerkontensteuerung fragt Windows vor manchen Admin-Aktionen nach einer Bestätigung, die auf einen isolierten Desktop mit einem Dialog und einem Freigabe- und Abbrechen-Knopf führt – erbittet also eine "geschützte" Autorisierung der Aktion. Die "Administrator Protection" fährt schwerere Geschütze auf: Eine Authentifizierung mittels Windows Hello soll sicherstellen, dass nur Befugte aktiv die Admin-Aufgabe freigeben. Somit handelt es sich um eine Authentifizierung mit anschließender Autorisierung des Vorgangs.

Weiterlesen
  81 Aufrufe

Italiens Polizei hebt illegale Streaming-Plattformen mit Millioneneinnahmen aus

Europäische Polizeibehörden haben eine internationale Bande von Streaming-Piraten auffliegen lassen, deren IPTV-Plattformen von mehr als 22 Millionen Nutzern besucht wurden. Die illegal kopierten Video-Streams namhafter TV-Sender und großer Streaming-Dienste haben laut Polizeiangaben über 250 Millionen Euro pro Monat generiert. Doch jetzt wurde eine Vielzahl von Websites sowie Server beschlagnahmt und einige Verdachtspersonen in Kroatien verhaftet.

Anzeige

Das meldet die Polizia Postale, die für Internetkriminalität zuständige Sonderabteilung der italienischen Polizei. Die Operation unter dem Namen "Taken Down" wurde in Zusammenarbeit mit Europol und Eurojust sowie anderen europäischen Staaten durchgeführt und ist der größte Schlag gegen Streaming-Piraten sowohl in Italien als auch international. Fernsehpiraterie wird zu einem immer größer werdenden Problem der Medien. Anfang 2023 wurde etwa berichtet, dass 5,9 Millionen Deutsche illegal in die Röhre schauen.

Welche Plattformen und Websites jetzt geschlossen und welche Domains dafür genutzt wurden, geht aus der Mitteilung der Polizia Postale nicht hervor. Dort wurden kopierte IPTV-Inhalte, Live-Übertragungen und Streaming-Dienste großer Sender wie Sky, DAZN, Amazon Prime, Netflix, Disney+ und Paramount angeboten. Insgesamt wurden 2500 illegale Kanäle und Server beschlagnahmt, darunter neun Server in Rumänien und Hongkong.

"Über 270 Mitarbeiter der Polizia Postale führten in Zusammenarbeit mit ausländischen Polizeikräften 89 Durchsuchungen in fünfzehn italienischen Regionen durch, davon 14 Durchsuchungen im Vereinigten Königreich, in Holland, Schweden, der Schweiz, Rumänien, Kroatien und China, an denen 102 Personen beteiligt waren", schreibt die italienische Behörde zu den zwei Jahre umfassenden Ermittlungen.

Weiterlesen
  78 Aufrufe

Interpol und Afripol: 1006 verhaftete Cyberkriminelle bei Operation Serengeti

In der gemeinsamen "Operation Serengeti" von Interpol und Afripol haben Strafverfolger in 19 afrikanischen Ländern 1006 verdächtige Cyberkriminelle festgenommen. Dabei haben sie 134.089 kriminelle Netzwerke zerschlagen. Die Operation lief vom 2. September bis 31. Oktober dieses Jahres. Nationale Behörden und private Partner unterstützten die Operation mit wichtigen Informationen und Ressourcen.

Anzeige

Die Ermittlungen konzentrierten sich auf Cyberkriminalität wie Ransomware, Phishing und Online-Betrug, schreibt Interpol zu der Aktion. Mehr als 35.000 Opfer wurden dabei identifiziert. Die weltweiten Verluste summieren sich auf fast 193 Millionen US-Dollar. Immerhin konnten die Beamten fast 44 Millionen US-Dollar sicherstellen.

In Kenia konnten die Strafverfolger demnach etwa einen Fall von Online-Kreditkartenbetrug aufklären, der den Opfern Verluste in Höhe von 8,6 Millionen US-Dollar einbrachte. Mit betrügerischen Skripten, die nach Manipulationen des Sicherheitsprotokolls des Banksystems liefen, wurde das gestohlene Geld mittels SWIFT an Unternehmen in die Vereinigten Arabischen Emirate, Nigeria und China verschoben, an Einrichtungen zur Verwaltung digitaler Vermögenswerte. Hierbei kam es bislang zu fast zwei Dutzend Verhaftungen.

Im Senegal wurden acht Personen, einschließlich fünf Chinesen, wegen eines Schneeballsystems verhaftet, mit dem sie 1811 Opfer um 6 Millionen US-Dollar gebracht haben. Die Durchsuchung ihrer Wohnung förderte 900 SIM-Karten, 11.000 US-Dollar in bar, Telefone, Laptops und Kopien von Identitätsdokumenten (ID-Karten) von Opfern zu Tage.

Weiterlesen
  78 Aufrufe

Palo Alto Globalprotect: Schadcode-Lücke durch unzureichende Zertifikatsprüfung

Palo Alto Networks Globalprotect App dient zur Herstellung von VPN-Verbindungen. Eine Sicherheitslücke ermöglicht Angreifern, Schadcode einzuschleusen und mit erhöhten Rechten auf verwundbaren Rechnern zu installieren.

Anzeige

Die Entdecker der Sicherheitslücke von Amberwolf schreiben in ihrer detaillierten Analyse, dass die Globalprotect-VPN-Clients sowohl unter macOS als auch unter Windows anfällig für das Ausführen von Schadcode aus dem Netz und der Ausweitung der Rechte sind, und zwar durch den automatischen Update-Mechanismus (CVE-2024-5921, CVSS-B 7.2, Risiko "hoch"). Zwar erfordert der Update-Prozess, dass MSI-Dateien signiert sind, jedoch können Angreifer den PanGPS-Dienst zum Installieren eines bösartigen, dadurch vertrautem Root-Zertifikat missbrauchen. Die Updates laufen dann mit den Rechten der Dienst-Komponente – root und macOS und SYSTEM unter Windows.

Standardmäßig können Nutzerinnen und Nutzer beliebige Endpunkte in der Bedienoberfläche der VPN-Clients eintragen. Das können Angreifer etwa mit Social Engineering ausnutzen, um Opfer dazu zu bringen, auf bösartige VPN-Server zu verbinden. Diese können Zugangsdaten abgreifen und Systeme mit bösartigen Client-Updates kompromittieren.

In der Sicherheitsmitteilung erklärt Palo Alto, dass von der Sicherheitslücke die Globalprotect Apps 6.3 für alle Betriebssysteme, 6.2 für Linux, macOS und Windows, 6.1 für alle OS, die Globalprotect iOS-App sowie die UWP-App betroffen sind. Bei der Android-Version laufen die Analysen von Palo Alto noch. Nicht betroffen sind Globalprotect 5.1 und 6.0 im FIPS-CC-Modus, dessen Aktivierung die Entwickler auch als einen möglichen Workaround nennen. Außerdem ist die Lücke ab Globalprotect 6.2.6 für Windows nicht mehr enthalten.

Weiterlesen
  67 Aufrufe

Microsoft patcht teils kritische Lücken außer der Reihe

Microsoft hat in der Nacht zum Mittwoch vier Sicherheitsmitteilungen veröffentlicht. Sie behandeln teils kritische Schwachstellen, für die Microsofts Entwickler Updates bereitstellen. Einige müssen Nutzerinnen und Nutzer selbst installieren, andere hat Microsoft auf Cloud-Diensten bereits selbst verteilt.

Anzeige

Eine kritische Sicherheitslücke betrifft Microsofts Copilot Studio. Sie erlaubte es Angreifern, ihre Rechte auszuweiten (CVE-2024-49038, CVSS 9.3, Risiko "kritisch"). Ursächlich ist eine unzureichende Filterung von Nutzereingaben während der Webseitenerstellung, Microsoft ordnet die Lücke unter Cross-Site-Scripting ein. Nicht autorisierte Angreifer aus dem Netz können dadurch ihre Rechte ausweiten. Kunden müssen keine Maßnahmen ergreifen, um das Problem zu korrigieren.

Eine Schwachstelle im "partner.microsoft.com"-Angebot wurde bereits missbraucht, erklärt Microsoft im Schwachstelleneintrag. Angreifer aus dem Netz können ohne vorherige Authentifizierung ihre Rechte erhöhen, da Zugriffsrechte nicht korrekt umgesetzt wurden (CVE-2024-49035, CVSS 8.7, hoch). Konkret gab es das Problem in der Online-Version der Microsoft Power Apps. Abweichend von der CVSS-Einstufung ordnet Microsoft die Lücke jedoch als kritisch ein. Auch hier müssen Kunden nichts weiter machen, Microsoft hat das Problem serverseitig gelöst.

In Microsoft Azure PolicyWatch konnten Angreifer aus dem Netz ohne Autorisierung ihre Rechte erhöhen, da einer nicht näher genannten, kritischen Funktion eine Authentifizierung schlicht fehlte (CVE-2024-49052, CVSS 8.2, hoch). Auch hier stufen Microsofts Entwickler das Risiko abweichend als kritisch ein. Immerhin müssen Kunden nichts weiter tun, die Korrekturen erfolgen serverseitig durch Microsoft.

Weiterlesen
  76 Aufrufe

Root-Sicherheitslücken in VMware Aria Operations geschlossen

Aufgrund mehrerer Softwareschwachstellen könnten Attacken auf VMware Aria Operations bevorstehen. Eine dagegen geschützte Ausgabe steht zum Download bereit. Insgesamt haben die Entwickler fünf Lücken geschlossen.

Anzeige

In einer Warnmeldung führen die Entwickler aus, dass zwei Root-Schwachstellen (CVE-2024-38830, CVE-2024-38831) mit dem Bedrohungsgrad "hoch" eingestuft sind. Sind Attacken erfolgreich, können sich Angreifer Rootrechte verschaffen. In so einer Position ist davon auszugehen, dass sie Systeme vollständig unter ihre Kontrolle bringen können. Die Hürde für einen Angriff ist aber hoch, und Angreifer müssen bereits über lokale Adminrechte verfügen.

Wie so eine Attacke im Detail ablaufen könnte und woran Admins bereits attackierte PCs erkennen können, führt VMware derzeit nicht aus.

Die drei verbleibenden Schwachstellen (CVE-2024-38832 "hoch", CVE-2024-38833 "mittel", CVE-2024-38834 "mittel") ermöglichen Stored-XSS-Attacken. An dieser Stelle können Angreifer mit Zugriff zum Editieren auf einen Cloudanbieter eigenen Code ausführen.

Weiterlesen
  74 Aufrufe

brillen.de: Hintergründe zum Datenleck

Mitte November wurde bekannt, dass Daten von mehr als 3,5 Millionen europäischen Kunden von brillen.de frei zugänglich im Netz standen. Inzwischen hat der Betreiber des Angebots Supervista die Untersuchungen weitgehend abgeschlossen.

Anzeige

Auf dem brillen.de-Webauftritt hat das Unternehmen eine Kundeninformation zu dem Vorfall veröffentlicht. Auf unsere Nachfrage hat Supervista weiterreichende Informationen herausgegeben. "Am 7. August 2024 wurde durch eine Fehlkonfiguration eines Server-Ports auf drei AWS-gehosteten Servern bei Supervista eine potenzielle Sicherheitslücke eröffnet. Ein Mitarbeiter hatte zu Testzwecken eine Eingangsregel hinzugefügt, die Zugriff über Port 9200/TCP ermöglichte, ging jedoch irrtümlich davon aus, dass diese Sicherheitsgruppe ausschließlich für Test-Systeme genutzt würde", erklärt ein Jurist des Unternehmens gegenüber heise online.

Es sei zudem kein Authentifizierungsmechanismus aktiviert worden. "Nach Abschluss der Tests vergaß der Mitarbeiter, die Eingangsregel wieder zu entfernen, was einen externen, unautorisierten Zugriff ermöglichte", so der Unternehmenssprecher weiter.

Bereits am 9. August habe das System von Supervista einen ungewöhnlichen Zugriff von einer externen IP-Adresse erkannt. Der Zugriff sei umgehend blockiert worden. Der Konfigurationsfehler sei dem Mitarbeiter nicht bewusst gewesen, weshalb der Zugriff nicht auf den offenstehenden Server-Port zurückgeführt wurde. Dem heutigen Kenntnisstand nach hat es sich um den Zugriff von Cybernews gehandelt, die die offenstehende Elasticsearch-Instanz entdeckt und gemeldet hatten.

Weiterlesen
  81 Aufrufe

heise-Angebot: Nächste Woche: M365-Sicherheit im heise security Webinar

ScubaGear ist ein Tool zum Überprüfen der Sicherheitseinstellungen in M365. Entwickelt hat es die US-Sicherheitsbehörde CISA, damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst checken und verbessern können. ScubaGear deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Dieses heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen vergleichbaren Werkzeugen – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare auch später in der exklusiven PRO-Mediathek abrufen.

Weiterlesen
  74 Aufrufe

HPE Insight Remote Support: Monitoring-Software ermöglicht Codeschmuggel

Die von HPE kostenlos angebotene Monitoring-Software HPE Insight Remote Support ist anfällig für das Einschleusen von Schadcode. Zudem warnt der Hersteller vor weiteren Sicherheitslücken in der Software.

Anzeige

In der Sicherheitsmitteilung bleibt HPE sehr oberflächlich bezüglich der Schwachstellen. Die Dringlichkeit schätzt der Hersteller als "hoch" ein, die Auswirkungen beschreibt er als Codeausführung, Directory Traversal und Informationsabfluss "aus der Ferne" (Remote). Am gravierendsten ist eine Directory-Traversal-Lücke in der Software, die Angreifern das Einschmuggeln und Ausführen beliebigen Codes erlaubt (CVE-2024-53676, CVSS 9.8, Risiko "kritisch").

Genauere Informationen zu der Schwachstelle nennt HPE nicht. Es bleibt unklar, wie Angreifer sie ausnutzen können, wie Angriffe zu erkennen sind oder was mögliche temporäre Gegenmaßnahmen wären. Eine weitere Sicherheitslücke ist betrifft die Deserialisierung von Daten in Java, wodurch nicht authentifizierte Angreifer Code einschleusen können (CVE-2024-53673, CVSS 8.1, hoch). Auch hier gibt HPE keine weiteren hilfreichen Informationen heraus.

Drei weitere Schwachstellen (CVE-2024-11622, CVE-2024-53674, CVE-2024-53675) erreichen mit einem CVSS-Wert von 7.3 ebenfalls eine Bewertung als hohes Risiko. Verwundbar ist HPE Insight Remote Support vor der nun veröffentlichten Version 7.14.0.629. Diese oder neuere sollten Admins, die die Software in ihrem Netz einsetzen, zügig installieren, um die Angriffsfläche in ihrem Netzwerk zu minimieren.

Weiterlesen
  63 Aufrufe

Angreifer attackieren SSL-VPN-Gateways von Array Networks

Alert!

Es gibt derzeit Attacken auf eine kritische Sicherheitslücke in den VPN-Produkten Array Networks AG und vxAG.

(Bild: Dmitry Demidovich/Shutterstock.com)

Anzeige

Um zurzeit laufende Angriffe zu unterbinden, sollten Netzwerkadmins ihre SSL-VPN-Gateways Array Networks AG und vxAG umgehend auf den aktuellen Stand bringen. Ein Sicherheitsupdate ist verfügbar.

Anzeige

Weiterlesen
  67 Aufrufe

Microsoft: Hotpatching kommt auch in Windows 11

Windows 11 bekommt Unterstützung für Hotpatching. Es lässt sich mit Windows 11 24H2 Enterprise als Vorschau testen. Damit kommen auch Desktop-Systeme ohne monatlichen Neustart aus.

Anzeige

Im Windows Message Center hat Microsoft den öffentlichen Test des Hotpatching in Windows 11 angekündigt. "Diese öffentliche Vorschau bietet denselben Level an Security-Patching wie die üblichen monatlichen Sicherheitsupdates, ohne Neustart der Geräte oder Unterbrechung der Nutzerinnen und Nutzer", schreibt Microsoft dort. "Um die neuesten Funktionen zu erhalten, werden dafür infrage kommende Geräte das standardmäßige monatliche Sicherheitsupdate installieren und jeden ersten Monat in einem Quartal neu starten", fahren die Autoren fort.

Dafür können interessierte Admins eine neue Windows-Quality-Update-Richtlinie in Microsoft Intune und Windows Autopatch nutzen. Damit können sie Geräte für Hotpatching hinzufügen oder entfernen. Ein bislang unbeachteter Blog-Beitrag in der Microsoft-Techcommunity aus der vergangenen Woche geht etwas weiter in die Details. Voraussetzung ist ein Microsoft-Abonnement mit Windows Enterprise E3- oder E5-Lizenz, als Beispiel nennt der Autor Microsoft 365 A3/A5, Microsoft 365 F3 oder ein Windows 365 Enterprise-Abo.

Auf den Geräten muss zudem Windows 11 Enterprise laufen, Build 24H2 mit Versionsnummer 26100.2033 (entsprechend dem Oktober-Update von Microsoft) oder neuer. Zudem müssen Admins Microsoft Intune nutzen. Die zu aktivierende Windows-Quality-Update-Richtlinie erkennt automatisch PCs, auf denen die Funktion nutzbar ist. Auf anderen Geräten etwa mit Windows 10 oder älteren Windows-11-Builds laufen weiterhin die monatlichen Standard-Updates.

Weiterlesen
  75 Aufrufe

"Passwort" Folge 19: Tor-Angriffe, Security-Fails und viel Feedback

In Folge 19 von "Passwort", dem Podcast von heise security, gehen die Christopher und Sylvester wieder diverse Themen an. Unter anderem, weil sie erfreulich viel Feedback zu den Inhalten der vergangenen Folgen bekommen haben und die Anmerkungen der Hörerinnen und Hörer besprechen. Neben Druckern im Internet, der Chatkontrolle oder auch der Werbung im Podcast ging es wiederholt um das Anonymisierungsnetzwerk Tor, das Thema der letzten Folge.

Anzeige

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden

Damit machen die Hosts auch gleich selbst weiter, denn eine aktuelle Angriffswelle auf das System hatte die vergangene Folge gerade so verpasst. Die Angriffe sind technisch durchaus interessant und auch nicht Tor-spezifisch: Im Grunde kann man damit versuchen, beliebige Systeme aus dem Netz zu kegeln.

Anschließend geht es in Folge 19 um einige Security-Fails von Sicherheitsfirmen, die in letzter Zeit bekannt wurden. Die Spannbreite der Probleme reicht von etwas peinlichen Fauxpas bis zu wahrlich erschreckenden Lücken, bei denen fast jedes neue Detail schlimmer als das vorhergehende ist. Die Hosts gehen die Sache mit Galgenhumor an und sind dadurch wenigstens gut unterhalten.

Zum Schluss geht es einmal mehr um die Dauerbaustelle Zertifikate, denn es gibt mal wieder ein paar (zum Glück) kleinere Problemchen mit der Public-Key-Infrastruktur des Internets, an denen gebastelt werden muss. Das passt gut zum Anfang der Folge, als Christopher den Kryptografie-Papst Bruce Schneier zitiert: "Security ist ein Prozess, kein Produkt."

Weiterlesen
  64 Aufrufe

Starbucks von Cyberangriff auf Software-Anbieter betroffen

Ein Ransomware-Angriff auf den US-amerikanischen Softwarehersteller Blue Yonder hat in der vergangenen Woche den Betrieb von Starbucks und großen britischen Lebensmittelhändlern beeinträchtigt. Das berichtete am Montag die US-Tageszeitung Wall Street Journal. Blue Yonder gehört zu dem japanischen Mischkonzern Panasonic. Das Unternehmen ist einer der weltweit größten Anbieter von Lieferkettentechnologie. Es stellt Software her, mit der sich die Abläufe von der Verwaltung der Lager und des Transports bis hin zur Bearbeitung von Rücksendungen überwachen lassen.

Anzeige

Dem Bericht des Wall Street Journal zufolge störte der Angriff letzte Woche Systeme, die Blue Yonder für seine Kunden hostet. Die US-amerikanische Kaffeehauskette Starbucks erklärte, dass unternehmenseigene Filialen in Nordamerika von der Ransomware-Attacke betroffen waren. Vor allem Lohnzahlungen und die Erfassung der Arbeitszeiten von Angestellten wurden demnach beeinträchtigt. Das Unternehmen musste auf manuelle Prozesse umstellen.

Auch der US-Automobilhersteller Ford Motor nutzt nach eigenen Angaben Blue Yonder-Software. Untersuchungen über Beeinträchtigungen durch den Cyberangriff liefen noch. Sainsbury's und Morrisons, zwei der größten Lebensmittelketten Großbritanniens, waren durch den Ausfall primär von Lagerverwaltungssystemen für frische Lebensmittel und Produkte betroffen. Sie hielten ihren Betrieb über Ersatzpläne aufrecht. Laut Wall Street Journal machte der niederländische Supermarktkonzern Ahold Delhaize, zu dem verschiedene Lebensmittelketten gehören, Anfang November ein "Cybersicherheitsproblem" in seinem US-Netzwerk bekannt. Der Vorfall führte in Filialen im Nordosten der USA fast zwei Wochen lang zu Produktausfällen.

Blue Yonder meldete am 21. November "Störungen in der gehosteten Managed Services-Umgebung, die auf einen Ransomware-Vorfall zurückzuführen waren". Seit Bekanntwerden des Vorfalls habe man zusammen mit externen Cybersecurity-Firmen daran gearbeitet, Fortschritte bei der Wiederherstellung zu erzielen. "Wir haben mehrere defensive und forensische Protokolle implementiert. Die Experten und das Blue Yonder-Team arbeiten an verschiedenen Wiederherstellungsstrategien, und die Untersuchung ist noch nicht abgeschlossen", heißt es in einer öffentlichen Mitteilung von Blue Yonder. Am Montag erklärte das Unternehmen, dass es an der Wiederherstellung seiner Dienste arbeite, nannte jedoch keinen Zeitplan.

Weiterlesen
  76 Aufrufe

Starbucks von Cyberattacke betroffen

Starbucks in den USA soll ebenso betroffen sein wie mindestens zwei der vier großen Supermarktketten in Großbritannien. „Blue Yonder hat Störungen in seiner gehosteten Managed Services-Umgebung festgestellt, die auf einen Ransomware-Vorfall zurückzuführen sind“, heißt es in einer offiziellen Erklärung. “Unsere Ermittlungen dauern noch an, aber sie sollten wissen, dass unsere Priorität darin besteht, eine sichere Wiederherstellung zu gewährleisten. Zum jetzigen Zeitpunkt haben wir aber noch keinen Zeitplan für die Wiederherstellung“. Das letzte Update zu der Situation von Blue Yonder wurde am 24. November veröffentlicht.

Ransomware trifft auch britischen Supermarkt

Reuters hat berichtet, dass sich der Ransomware-Angriff auf die Verwaltung von Barista-Zeitplänen und Zahlungen auswirkt, da ein Back-End-Prozess unterbrochen wurde. Ein Starbucks-Sprecher erklärte gegenüber Reuters, dass der Vorfall „keine Auswirkungen auf den Kundenservice hat und das Unternehmen daran arbeitet, sicherzustellen, dass die Mitarbeiter für ihre geleisteten Arbeitsstunden vollständig bezahlt werden, ohne dass es zu Unterbrechungen oder Diskrepanzen kommt.“

Zwei der vier großen Supermarktketten in Großbritannien, Morrisons und Sainsbury’s, sind Berichten zufolge ebenfalls von dem Blue Yonder Ransomware-Angriff betroffen. Ein Sprecher von Sainsbury’s teilte mit, dass das Unternehmen „in engem Kontakt mit Blue Yonder steht und unseren Kunden versichern kann, dass wir Vorkehrungen getroffen haben“.

„Hacker haben es geschafft, einige der größten Einzelhandels- und Kaffeeketten der Welt in einer der geschäftigsten Wochen des Jahres anzugreifen. In den USA wird diese Woche Thanksgiving gefeiert. Dies zeigt einmal mehr, wie der Angriff auf ein einzelnes Unternehmen Zugang zu einem ganzen Ökosystem verschaffen kann – in diesem Fall zu einer Zeit, in der sie eher bereit sind, Lösegeldforderungen nachzugeben, um Umsatzeinbußen zu vermeiden“, sagt Dan Schiappa, Chief Product Officer bei Arctic Wolf. „Leider erleben wir die Auswirkungen dieser Art von Angriffen in Echtzeit, und es ist von entscheidender Bedeutung, dass Unternehmen – und nicht nur diejenigen mit direkten Verbindungen zu Blue Yonder – jetzt handeln und sich schützen. Unternehmen sollten ihre Sicherheitsvorkehrungen in der gesamten Lieferkette überprüfen und verstärken.“

 

Original Autor: ZDNet-Redaktion

  82 Aufrufe

Bitwarden: Autofill bietet generierte Passwörter mit einem Klick an

Mehr Komfort verspricht eine neue Funktion von Bitwarden. In der neuen Version 2024.11 hat ein Feature Einzug gehalten, das nicht nur Passwort-Felder auf Webseiten mit gespeicherten Kontodaten befüllt, sondern das auch anbietet, ein automatisch generiertes Passwort einzufügen.

Anzeige

Bitwarden kann nun automatisch generierte Passwörter mit Auto-Fill vorschlagen.

(Bild: Bitwarden)

Beim Besuch von Webseiten, für die keine Log-in-Daten im Bitwarden-Vault gespeichert sind, führt der Klick in ein Passwort-Feld dazu, dass das Inline-Auto-Fill-Menü ein automatisch erstelltes und starkes Passwort vorschlägt, schreibt Bitwarden in einem Blogbeitrag aus der vergangenen Woche. Das Passwort basiert auf den aktuellen Einstellungen der Browser-Erweiterung für die Passworterstellung. Nutzerinnen und Nutzer können den ersten Vorschlag direkt nutzen oder ein weiteres Passwort erstellen lassen, indem sie das "Regenerieren"-Icon" anklicken.

Weiterlesen
  87 Aufrufe

Helldown-Ransomware: Einbruch durch Sicherheitslücke in Zyxel-Firewalls

Kriminelle missbrauchen Sicherheitslücken in Zyxel-Firewalls, um sich Zugriff auf Netzwerke zu verschaffen. IT-Sicherheitsforscher haben beobachtet, wie sie danach die Ransomware Helldown eingesetzt haben, um Daten in großem Umfang zu exfiltrieren.

Anzeige

Das IT-Sicherheitsunternehmen Sekoia schreibt in einer Analyse, dass die Helldown-Ransomware noch recht jung ist und im August erstmals beschrieben wurde. Die Drahtzieher dahinter missbrauchen Schwachstellen, um Netzwerke von Opfern zu infiltrieren und die Ransomware zu verteilen. Auf der Data-Leakage-Site (DLS) der Gruppierung Helldown waren Anfang November 31 Opfer aufgelistet. Darunter auch Zyxel Europa, berichtet Sekoia.

Bei der Analyse fiel auf, dass mindestens acht Opfer IPSec-VPN-Zugriff mit Zyxel-Firewalls bereitstellten; zwei der Opfer haben ihre Zyxel-Firewalls offenbar durch welche anderer Hersteller ersetzt, nachdem sie kompromittiert wurden. In einer Sicherheitsmitteilung aus dem September warnte Zyxel vor einer Befehlsschmuggel-Lücke im IPSec-VPN in diversen Firewalls (CVE-2024-42057, CVSS 8.1, Risiko "hoch"), die die Firmware-Version 5.39 abdichten soll. Öffentlicher Exploit-Code sei bis Mitte November nicht gesichtet worden, erklärt Sekoia.

Dennoch haben Ende September mehrere Nutzerinnen und Nutzer im Zyxel-Forum von kompromittierten Firewalls mit dem verwundbaren Firmware-Stand 5.38 berichtet. Vermeintliche Konfigurationsdateien wurden hochgeladen, die jedoch base64-kodierte MIPS-ELF-Binärdateien enthielten, und neue Benutzer auf den Firewalls angelegt. Zyxel hat am 9. Oktober eine Exploit-Warnung veröffentlicht und gibt dort Hinweise, wie betroffene Geräte erkannt werden können sowie welche Maßnahmen zur Bereinigung Admins ergreifen können.

Weiterlesen
  77 Aufrufe

heise-Angebot: iX-Workshop: Linux-Server härten

Malware und Hacker-Angriffe sind längst nicht mehr nur ein Windows-Thema – auch Linux-Server und die darauf laufenden Dienste geraten immer häufiger unter Beschuss. Der fünftägige Intensiv-Workshop Linux-Server härten: Verschlüsselung, Zugriffskontrolle, Integritätschecks beschäftigt sich umfassend mit der Sicherheit von Linux-Servern. Das Themenspektrum reicht von der physischen Sicherheit über Mechanismen der Zugriffskontrolle bis hin zu Logging, Monitoring und Intrusion Detection.

Anzeige

Sie lernen, wie Sie Daten verschlüsseln und Netzwerkdienste absichern, fortgeschrittene Methoden der Zugriffskontrolle wie Zwei-Faktor-Authentifizierung einrichten und die bekannten Sicherheitsframeworks SELinux und AppArmor einsetzen. Florian Winkler erklärt, wie man Logfiles mit sicherheitsrelevanten Vorfällen analysiert und geht auch auf das Thema Einbruchserkennung ein. Darüber hinaus erhalten Sie eine theoretische Einführung in das Penetration Testing und erfahren, wie Sie Sicherheitslücken in der eigenen IT gezielt aufspüren.

Januar
13.01. – 17.01.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 15. Dez. 2024
Februar
24.02. – 28.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 26. Jan. 2025

Der nächste iX-Workshop findet vom 13. bis 17. Januar 2025 per Videokonferenz in einem Remote Classroom statt. Trainer Florian Winkler ist seit 2014 als Berater und Trainer beim Linux-Systemhaus B1 Systems tätig. Seine Themenschwerpunkte liegen in den Bereichen Konfigurationsmanagement, DevOps, Deployment, Security und Automatisierung.

Damit Sie in diesem Workshop das Gelernte direkt ausprobieren und selbst Hand anlegen können, erhalten Sie einen ssh-Zugang zu einer Trainingsumgebung mit bereitgestellten Linux-Systemen. Der Workshop ist interaktiv: Sie haben jederzeit die Möglichkeit, dem Referenten Fragen zu stellen und sich mit den anderen Teilnehmenden auszutauschen. Damit dies gut funktioniert, ist die Gruppengröße auf maximal 12 Personen begrenzt.

Weiterlesen
  77 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image