[English]Zum Abschluss des Monats Januar 2020 noch einige Informationen zu Sicherheitsthemen, die mir die letzten Stunden unter die Augen gekommen sind.
Anzeige
NEC 2016 gehackt
Der japanische Hersteller NEC (Elektronik und IT) wurde 2016 gehackt und es wurden Daten abgezogen. Hacker haben 27.445 Dateien aus dem Geschäftsbereich Verteidigung gestohlen. Der Hack wurde erst jetzt öffentlich gemacht.
NEC bestätigt, dass einige der internen Server, die vom Verteidigungsgeschäftsbereich des Unternehmens verwendet werden, einem nicht autorisierten Zugriff durch Dritte unterliegen. Aufgrund von Untersuchungen des Unternehmens und externer Fachorganisationen wurden bisher keine Schäden wie Informationslecks bestätigt.
Der letzte Satz ist allerdings Realsatire, die in Japan zum Kerngeschäft gehört (oder mein Übersetzer spinnt). Denn in der Übersicht zum nicht autorisierten Zugriff heißt es:
Juli 2018 ist es uns gelungen, die verschlüsselte Kommunikation mit einem infizierten Server und einem externen Server, der nicht autorisierte Kommunikation ausführte, zu entschlüsseln und auf unserem internen Server für den Informationsaustausch mit anderen Abteilungen unseres Geschäftsbereichs Verteidigung zu speichern. Es wurde festgestellt, dass auf 27.445 Dateien illegal zugegriffen wurde.
Man muss sich das in der japanischen Realität so vorstellen: Wir haben nachgesehen, da auf dem Server sind noch alle Dateien vorhanden, also ist nichts weggekommen, ergo gab es auch keine Schäden.
NEC confirmed defense business division security breach in a press release issued today.
• Network initially infiltrated after December 2016
• Unauthorized communication detected and blocked in June 2017
• Encrypted communication with external servers decrypted in July 2018 pic.twitter.com/S9Wdj1TH17— BleepingComputer (@BleepinComputer) January 31, 2020
Anzeige
Der obige Tweet zeigt Ausrisse aus der Pressemitteilung von NEC. Catalin Cimpanu hat es auf ZDnet.com aufbereitet, wie er in folgendem Tweet schreibt.
In a press conference today, Japan's defense minister says NEC is second of four defense companies that have been hacked between 2016 and 2018.
The first was Mitsubishi Electric — breach disclosed last week.
The last two have not been named yet.
— Catalin Cimpanu (@campuscodi) January 31, 2020
Jetzt hat Japans Verteidigungsminister den Hack, der sieben Monate unbemerkt blieb, bei NEC öffentlich gemacht. Bleeping Computer hat hier ebenfalls einen Artikel zum Thema veröffentlicht.
Universitäten in Hongkong mit Malware infiziert
Laut nachfolgendem Tweet von Bleeping Computer wurden die Universitäten in Hongkong mit Malware infiziert. Die Infektion soll mit der Malware Winnti erfolgt sein.
Winnti Group Infected Hong Kong Universities With Malware – by @sergheihttps://t.co/gkCRY2IMiK
— BleepingComputer (@BleepinComputer) January 31, 2020
Die Angriffe wurden im November 2019 entdeckt, nachdem die Augur-Maschinenlern-Engine der Sicherheitsfirma Malware-Proben von ShadowPad Launcher auf mehreren Geräten an den beiden Universitäten entdeckt hatte, nachdem zwei Wochen zuvor, im Oktober, bereits Winnti-Malware-Infektionen entdeckt worden waren.
Diese Angriffe waren sehr gezielt, da die Winnti-Malware und die multimodulare Shadowpad-Backdoor sowohl Befehls- und Kontroll-URLs als auch Kampagnenkennungen in Verbindung mit den Namen der betroffenen Universitäten enthielten.
Magento per RCE-Schwachstelle angreifbar
Die eCommerce-Shop-Software Magento weist bis zu den Versionen 1.9.4.3/1.14.4.3/2.2.10/2.3.3 eine Remote Code Execution-Schwachstelle auf, wie nachfolgender Tweet mitteilt.
Magento up to 1.9.4.3/1.14.4.3/2.2.10/2.3.3 Deserialization Remote Code Execution https://t.co/2178vtaObr pic.twitter.com/Mzf1pPb0Nr
— Digitalmunition (@maher275) January 30, 2020
Heise hat einen deutschsprachigen Beitrag zu dieser Schwachstelle und den verfügbaren Updates veröffentlicht.
Microsoft Azure war über Schwachstelle angreifbar
Die Cybersicherheitsforscher von Check Point haben die Tage Einzelheiten über zwei kürzlich gepatchte, potenziell gefährliche Schwachstellen in Microsoft Azure-Diensten enthüllt. Diese hätten es Angreifern ermöglicht, mehrere Unternehmen, die ihre Web- und Mobilanwendungen auf Azure betreiben, ins Visier zu nehmen. The Hacker News hat in diesem Artikel Details zusammen gestellt.
Neue Angriffsmethode über Excel
Microsoft ist bei der Analyse der TA505-Phishing-Kampagne auf einen neuen Angriffsvektor gestoßen, der die sich Excel-Dateien zunutze macht.
The new campaign uses HTML redirectors attached to emails. When opened, the HTML leads to the download Dudear, a malicious macro-laden Excel file that drops the payload. In contrast, past Dudear email campaigns carried the malware as attachment or used malicious URLs. pic.twitter.com/mcRyEBUmQH
— Microsoft Security Intelligence (@MsftSecIntel) January 30, 2020
Blog-Leser 1ST1 hat in diesem Kommentar auf diesen Sachverhalt hingewiesen und den Artikel von Bleeping Computer verlinkt.
Trickbot nutzt UAC-Bypass-Trick
Die Malware Trickbot verwendet einen neuen Kniff, um die Benutzerkontensteuerung zu umgehen und Admin-Rechte zu erhalten. Bleeping Computer weist in nachfolgendem Tweet auf das Thema hin.
Just two weeks after adding the fodhelper.exe Windows 10 UAC bypass, TrickBot has started using the Wsreset.exe UAC bypass instead.
Constantly evolving and keeping all of you on your toes!
— BleepingComputer (@BleepinComputer) January 30, 2020
Zum Thema UAC-Bypassing gibt es einige Blog-Beiträge (siehe Artikelliste am Beitragsende).
[local] Microsoft Windows – Multiple UAC Protection Bypasses https://t.co/rSXvOEvkWR
— Nicolas Krassas (@Dinosn) December 9, 2019
Nicolas Krassas weist in obigem Link auf einen Beitrag mit Informationen zum Thema UAC-Bypassing hin.
Zum Thema Active Directory Dumping durch Trickbot möchte ich noch auf dieses PDF-Dokument hinweisen.
Trackt Amazon seine Kindle-Nutzer?
Vor einigen Stunden bin ich noch auf einen merkwürdigen Tweet gestoßen. Adrianne Jeffries hat die Daten über seine Geräte von Amazon angefordert.
Amazon appears to be tracking every tap on Kindle. I just got my data back and there are 90K rows of this pic.twitter.com/wVCSXCTVwv
— Adrianne Jeffries (@adrjeffries) January 28, 2020
Sie hat den Eindruck, dass auf ihrem Kindle jedes Tippen auf dem Screen aufgezeichnet wird.
Und sonst?
Zum Abschluss noch eine bittere Erkenntnis: Ransomware lohnt sich wohl für die Hintermänner, wie folgender Tweet erläutert.
Ransomware brachte seinen Hintermännern doppelt so hohe Profite im 4. Quartal 2019 (84.116 $) als in dem Quartal (41.198 $) zuvor, und auch die Ausfallzeiten sind nach oben gegangen, von 12,1 auf 16,2 Tage https://t.co/03K1gErJZY ^RW
— Trend Micro Deutschland (@TrendMicroDE) January 30, 2020
Und Sicherheitsanbieter Kaspersky bietet über folgenden Tweet Zugriff auf ein Dokument, in denen deren APT-Researcher Einschätzungen über Bedrohungen geben.
Mit welchen Cyberattacken müssen Unternehmen in diesem Jahr rechnen? Unsere führenden APT-Researcher @craiu und @trompi geben ihre Prognose ab: https://t.co/Q0ICq9v5Sb #Kaspersky pic.twitter.com/rhGlNAtGRD
— Kaspersky DACH (@Kaspersky_DACH) January 30, 2020
Damit sollte genügend Lesefutter für das Wochenende vorliegen.
Ähnliche Artikel:
Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)
Windows UAC über SilentCleanup ausgehebelt
Erebus Ransomware und die ausgetrickste UAC
Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit?
Anzeige
