Zum Wochenabschluss einige Informationen zu Sicherheitsthemen, die mir die Tage unter die Augen gekommen sind, und für die ich keinen separaten Artikel plane. Ist mal wieder alles dabei, von gefixten Sicherheitslücken (Cisco Backdoor mit Standard-Passwort) über Lücken in Microsofts Sicherheitskultur bis hin zu Langzeit-SSL-Zertifikaten, die ab 1.9.2020 vom Safari Browser als unsicher abgelehnt werden – aber lest einfach selbst.
Anzeige
Die Cisco SSM-Backdoor
Immer wieder herrlich zu sehen, wie kaputt Premium-Software von Cisco ist. In deren 'Smart' Software Manager (SSM) für die On-Premise Lizenzverwaltung hat man eine Backdoor gefunden.
Backdoor account discovered in Cisco SSM (on-prem license management solution)https://t.co/3lFaS9qewf pic.twitter.com/0Up0JqigQl
— Catalin Cimpanu (@campuscodi) February 20, 2020
Der Sicherheitshinweis lässt mir nur die Kinnlade herunterklappen. Eine Schwachstelle im Hochverfügbarkeitsdienst (HA) des Cisco Smart Software Manager On-Prem könnte einem nicht authentifizierten, entfernten Angreifer den Zugriff auf einen sensiblen Teil des Systems mit einem hochprivilegierten Konto ermöglichen. Der Hintergrund: Die Schwachstelle ist auf ein Systemkonto zurückzuführen, das über ein Standardkennwort und ein statisches Kennwort verfügt und sich nicht unter der Kontrolle des Systemadministrators befindet. Gibt übrigens noch ein paar mehr Sicherheitsbaustellen bei dem Verein, die gerade per Update beackert wurden. Wer Cisco-Kram einsetzt, liest bei heise nach, wo in den nächsten Stunden zu patchen ist.
Google macht den Brexit
Die Briten haben beschlossen, keine guten EU-Bürger mehr sein zu wollen. So mit DSGVO (dort als GDPR bekannt) und Datenschutz, Privatsphäre und so. Wenn schon Rückzug, dann auch richtig. So sieht es jedenfalls Google, wenn der Reuter-Artikel hier stimmt. Google plant, die Konten seiner britischen Nutzer aus der Kontrolle der Datenschutzbehörden der Europäischen Union herauszunehmen und sie stattdessen der US-Jurisdiktion zu unterstellen. Das haben jedenfalls Quellen Reuters verraten.
Anzeige
Die Hälfte der Medizingeräte per BlueKeep angreifbar
Vor einem Jahr wurde eine RDP-Schwachstelle in Windows-Diensten unter dem Namen BlueKeep bekannt und durch Microsoft gepatcht.
Almost half of connected hospital devices are still exposed to the wormable BlueKeep Windows flaw nearly a year after it was announced.https://t.co/LimKKmWlp8
— Naked Security (@NakedSecurity) February 20, 2020
Sophos greift das Thema auf, dass die Hälfte der im Medizinbereich eingesetzten Systeme weiterhin ungepatcht sind und über die BlueKeep-Schwachstelle angreifbar sind.
Daten von 10,6 Millionen MGM-Hotelgästen angeboten
Auch ganz nett: Wer in der MGM-Hotelkette übernachtet hat, ist möglicherweise Opfer eines Hacks geworden – der letztes Jahr bekannt wurde. Jetzt wurden die persönlichen Daten von mehr als 10,6 Millionen Nutzern, die in den Hotels von MGM Resorts übernachtet haben, diese Woche in einem Hacking-Forum veröffentlicht. Details zu dieser Geschichte sind auf ZDNet nachlesbar.
Google hat 600 Android-Apps rausgeworfen
Das Android App-Öko-System ist schlicht kaputt – da tummelt sich inzwischen mehr Malware als es vernünftige Apps gibt. Jetzt hat Google mal wieder Android 600 App aus dem Google Play Store rausgeworfen und die Entwickler geblockt. Darunter ist auch der chinesische Entwickler Cheetah Mobile, die durch Ad-Betrug aufgefallen ist (siehe diesen Blog-Beitrag). Damit hat man einem großen chinesischen Anbieter, der durch aufdringliche Werbe-Apps und Werbebetrug (Ad-Fraud) schon mal aufgefallen war, den Stecker gezogen. Die aus dem Play Store entfernten Apps sind durch unerwünschtes Werbeverhalten (Werbung erscheint, obwohl die App nicht benutzt wird etc.) oder Werbebetrug aufgefallen und wurden 4,5 Milliarden Mal installiert, wie Buzzfeed hier schreibt.
Hack bei US-Verteidigungsbehörde (DOD DISA)
Auch nett: Bei der US Defense Agency (Behörde des Verteidigungsministeriums, die für die Sicherung der IT und die sichere Kommunikation von Kampfeinheiten zuständig ist), hat es zwischen Mai und Juli 2019 einen erfolgreichen Hack gegeben.
Data breach hits US defense agency responsible for securing combat IT from @lhautalahttps://t.co/ee53PU8wmY
— CNET (@CNET) February 20, 2020
Hacker haben Sozialversicherungsnummern und andere persönliche Daten gestohlen. Das wurde durch einen Brief bekannt, der laut einem Bericht von Reuters am Donnerstag an ein Opfer des Hacks geschickt worden sein soll. Einen zweiten Bericht gibt es auf ZDNet.
Microsofts löchrige Sicherheitskultur
Es sind verschiedene Meldungen, die mir gestern auf den Tisch kamen. Microsoft bietet ab sofort Office 365 und Dynamics 365 aus der deutschen Microsoft-Cloud an. Damit landen Daten automatisch auf deutschen Servern – gute Sache, wenn es denn stimmt. Martin Geuß hat das Ganze zum Beispiel hier thematisiert.
Microsoft Defender ATP für Linux
Und Microsoft hat in diesem Blog-Beitrag ein Feuerwerk an Neuankündigungen abgeschossen. So gibt es eine öffentliche Vorschau des Microsoft Defender ATP for Linux. Defender ATP hat nicht mit dem Defender zu tun, sondern steht als kostenpflichtige Lösung für Unternehmen bereit. Und diese Lösung, die für Unternehmensumgebungen verfügbar ist, soll in diesem Jahr auch noch für Android und iOS kommen.
Domain-Takeover an der Tagesordnung
Läuft unter der Rubrik 'Boah, die tun echt was bei Microsoft', und das ist auch gut so! Noch besser wäre es aber, wenn Herr Nadella mal den Hinterhof kehren und aufräumen lässt. Gut, da schaut nicht jeder rein, was nicht bedeutet, dass da alles im Reinen ist – im Gegenteil.
Bei Google las ich vor wenigen Stunden, dass ein Sicherheitsforscher in den letzten Jahen hunderte an Microsoft Subdomains übernehmen (kapern) konnte, wenn die verwaist waren. Wird reden dann über Subdomains wie onedrive.microsoft.com (ist jetzt nur ein Beispiel, da Microsoft diese Subdomain noch hält). Immer wenn ein Angebot aufgegeben wird, gelang es dem Sicherheitsforscher in vielen Fällen, diese Subdomains für sich zu reservieren. Damit könnte er Schindluder treiben, da er mit der Subdomain unter dem Dach von microsoft.com unterwegs ist. So wurde eine zwielichtige, indonesische Glücksspielseite wurde unter mindestens vier vernachlässigten Microsoft-Subdomains entdeckt, wie ZDNet hier schreibt. Auch für Phisher sind solche Subdomains Gold wert. Laut Sicherheitsforscher Michel Gaschet hat er 2019 alleine 259 Subdomains an Microsoft gemeldet. Laut Gaschet kümmert Microsoft sich nur um 5 bis 10 % der gemeldeten Fälle. Einen Fall hatte ich im Dezember 2019 hier berichtet, ein anderer Fall ist im Artikel Sicherheit: Windows und die gekaperten Live-Kacheln beschrieben.
Die Anonymisierungsfalle beim Datenverkauf
Kommen wir noch zu dem Geschäft mit dem Datenhandel. Datenbroker kaufen ja Daten, anonymisieren diese vermeintlich und geben diese dann in Paketen gegen Geld und gute Worte an solvente Käufer ab. Ist ja alles anonymisiert …
Wie Avast auf den Bauch gefallen ist
Im Blog-Beitrag Leak enthüllt: Avast-Nutzerdaten wurden verkauft hatte ich ja berichtet, dass AVAST Nutzerdaten, die gesammelt wurden, in anonymisierter Form über die Tochtergesellschaft Jumpshot verkauft hat. Laut diesem heise-Artikel prüft die tschechische Datenschutzbehörde nun, ob diese Weitergabe von Benutzerdaten ein Datenschutzverstoß darstellt.
Der heise-Redaktion wurde ein 18 GByte großes Datenpaket mit angeblich anonymisierten Daten der Firma Jumpshot zugespielt. Im Artikel Wie Avast die Daten seiner Kunden verkaufte bereitet die Redaktion das Ganze auf. Dort wird berichtet, dass in den Datensätzen Session-IDs für Webmailer wie GMX oder URLs zu Dokumenten, mit denen man die Nutzer eingrenzen könnte, enthalten waren.
Data-Broker vertickt Bank-/Kreditkartendaten
Auch nett: Der US-Datenbroker Yodlee ist größte Finanzdaten-Broker in den USA und verkauft die Bank- und Kreditkarten von Millionen Amerikanern.
New: Yodlee, largest financial data broker in US, sells bank/credit card data on tens of millions of Americans; says data is anonymous.
But we obtained a doc that lays out the process.
"Let me be blunt. This is bullshit 'anonymization,'" said one experthttps://t.co/tKui4PHvfK
— Joseph Cox (@josephfcox) February 19, 2020
Die Firma sagt, die Daten seien anonym. Laut obigem Tweet haben Sicherheitsexperten ein Dokument erhalten haben, in dem der Prozess der Anonymisierung beschrieben wird. Dazu ein Experte: "Lassen Sie mich ganz offen sein. Das ist Schwachsinn 'Anonymisierung'", der Datensatz enthielt beispielsweise eine ID, die für Zahlungen eines Kunden bei der Bank verwendet wurden. Details gibt es im verlinkten Artikel.
Ach ja: Laut diesem Tweet befasst sich eine Studie des ZEW Mannheim, der Universität Zürich und der Universität von East Anglia mit kostenlosen Apps. Demnach zahlen Nutzer von Gratis-Apps mit jeder Menge privater Daten, die nicht selten an Dritte weitergegeben werden. Passt also.
Iranische Hacker hinterlassen Hintertüren bei VPN-Servern
Iranische Hacker greifen VPN-Server an, um bei Erfolg eine Hintertür zu hinterlassen. So können sie auf diese Server jederzeit zugreifen.
Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world
Targeted:
– Pulse Secure (CVE-2019-11510)
– Fortinet (CVE-2018-13379)
– Palo Alto Networks (CVE-2019-1579)
– Citrix (CVE-2019-19781)https://t.co/21aPYpqlSk pic.twitter.com/TDLM3jQ804— Catalin Cimpanu (@campuscodi) February 16, 2020
Obiger Tweet beschreibt, welche Sicherheitslücken für die Hacks so benutzt werden. Weitere Infos finden sich auch in diesem Tweet.
Cameo-App leakt private Videos und Benutzerdaten
Die immer beliebtere App Cameo ermöglicht zahlenden Prominenten kurzer persönliche Videos aufzunehmen. Diese können dann Nutzergruppen zur Verfügung gestellt werden. Nutzer können aber aufzeichnete Videos als privat markieren, damit diese nicht öffentlich abrufbar sind – schön bescheuert, das Ganze.
Denn die App ermöglicht wegen einer Fehlkonfiguration eine Fülle von Benutzerdaten, darunter E-Mail-Adressen, gehashte und gesalzene Passwörter, Telefonnummern sowie Nachrichten abzurufen. Die Website des Anbieters hat zudem auch ein weiteres Problem: Videos, die angeblich privat sein sollen, können tatsächlich von jedermann gefunden und heruntergeladen werden. Unter Ausnutzung des Designfehlers schrieb Motherboard grundlegenden Code, um Listen von angeblich privaten Videos zu erstellen, die von Prominenten wie Snoop Dogg, Ice T und Michael Rapaport für Benutzer gefilmt wurden. Ich sage es mal so: Ihr verdient es nicht anders.
Apple-Safari verwirft bald Langzeit SSL-Zertifikate
Noch eine Info für Webmaster, die Langzeit SSL-Zertifikate, die für mehr als 12 Monate gültig sind. Apple will ab dem 1. September 2020 alle neuen Zertifikate, deren Gültigkeitsdauer 398 Tage (13 Monate) übersteigt, im Safari Browser als unsicher kennzeichnen. Das berichtet The Register in diesem Beitrag. Bereits ausgestellte SSL-Zertifikate bleiben davon unberücksichtigt.
Costa Rica verliert Millionen durch Cyber-Betrug
Cyber-Kriminellen ist es gelungen, Regierungsstellen in Costa Rica auszutricksen, so dass Millionen überwiesen wurden. Hatte es die Tage schon gesehen – hier ein aktueller Tweet.
Cybercriminals used a hacked email account of an employee to steal millions from a Puerto Rico government corporation in a recent #BEC #scam. The story: https://t.co/t3TMX4XXl1
— Trend Micro Research (@TrendMicroRSRCH) February 21, 2020
Anzeige