Zum Wochenabschluss noch eine kurze Zusammenfassung verschiedener Sicherheitsmeldungen. Finger weg von Zoom, wenn es um Vertrauliches geht; Elastikserver in Massen gelöscht, und Datenlecks sind Themen.
Anzeige
Finger weg von Zoom bei Vertraulichem
Im Blog-Beitrag Sicherheitsinformationen (1. April 2020) hatte ich ja bereits über Zoom-Sicherheitsprobleme berichtet. Und der Beitrag Zoom: Nutzer-Explosion und Sicherheitsprobleme geht auf weitere Probleme des Dienstes ein.
Da aktuell aber viele Angestellte aus Firmen im Home Office arbeiten, stelle ich mal die Information ein. Wenn es um sensitive oder vertrauliche Informationen geht, sind Zoom & Co. möglicherweise nicht so envogue. Die Webseite The Intercept macht in diesem Artikel auf ein Problem aufmerksam.
Sicherheitsforschern ist aufgefallen dass Zoom Video- und Audioinhalte mit einem selbst entwickelten Verschlüsselungsschema schützt. Weiterhin gibt es eine Schwachstelle in der "Wartezimmer"-Funktion (Waiting-Room). Zoom hat zudem mindestens 700 Mitarbeiter in China, die auf drei Niederlassungen verteilt sind.
Zudem stehen wohl 5 von 73 Verwaltungsrechner für die Generierung von Schlüsseln für die Verschlüsselung in China, der Rest befindet sich in den Vereinigten Staaten. Interessanterweise werden die chinesischen Server zumindest manchmal für Zoom-Chats verwendet, die keine Verbindung zu China haben. Die beiden Citizen-Lab-Forscher, Bill Marczak und John Scott-Railton, leben in den Vereinigten Staaten und Kanada. Während eines Testanrufs zwischen den beiden wurde der gemeinsame Besprechungs-Verschlüsselungsschlüssel "von einem offenbar in Peking befindlichen Zoom-Server über TLS an einen der Teilnehmer gesendet", so die Sicherheitsforscher. Die Empfehlung lautet: Finger weg von Zoom, wenn es um sensitive Inhalte geht.
Anzeige
Ergänzungen: Das Ganze weitet sich zum Sicherheitsdesaster aus. Laut diesem Techcrunch-Artikel handelt es sich bei den über China gerouteten Zoom-Verbindungen um Versehen (die haben das nicht im Griff). The Verge berichtet hier, dass Tausende von Zoom-Videoaufzeichnungen – auf Grund der Art, wie Zoom Dateinamen vergibt – auf öffentlichen Amazon AWS Webservern abrufbar seien. Inzwischen verlangt Zoom ein Kennwort, um in einen Waiting-Room zu gelangen. Dadurch soll Zoom-Bombing verhindert werden. Das US-Justizministerium warnt – vor allem Script-Kiddies – davor, sich in Zoom-Sitzungen zu hacken. Die Fälle von Zoombombing, die sich ermitteln lassen, würden von der Justiz verfolgt. Was für die Kiddies wie ein Scherz angesehen wird, könnte im Gefängnis enden.
Firefox speichert Twitter-Daten im Cache
In diesem Beitrag legen die Betreiber von Twitter ein Problem im Firefox offen. Der Firefox speichert offenbar nicht öffentliche Daten im Cache des Browsers. Das bedeutet, dass bei einem gemeinsam genutzten oder öffentlichen Computer bei Firefox-Zugriffen auf Twitter Daten wie das Herunterladen eines Twitter-Datenarchivs oder das Senden oder Empfangen von Medien über Direct Message als Datensatz im Cache des Browsers gespeichert wurden, selbst dann, wenn sich Nutzer sich von Twitter abgemeldet haben.
Die Cache-Verweildauer des Mozilla Firefox-Browsers ist auf 7 Tage festgelegt, und nach dieser Zeit hätten die Informationen automatisch aus dem Cache entfernt werden müssen. Andere Browser sind von dieser Schwachstelle nicht betroffen. Twitter hat nun interne Änderungen vorgenommen, um dieses Ablegen von Daten zu verhindern. Bleeping Computer hat hier einen Artikel zum Thema veröffentlicht.
Hacker löscht 15.000 ElasticSearch-Server
Ein ungekannter Hacker hat seit dem 24. März 2020 damit begonnen, ElasticSearch-Server zu löschen oder deren Inhalte zu verunstalten. Das entnehme ich nachfolgendem Tweet.
NEW: A hacker has wiped, defaced more than 15,000 Elasticsearch servers
– Attacks began around March 24, per @Shadow0pz
– Attacker is leaving behind the name of a security firm
– No ransom demands observed so farhttps://t.co/62ixfAv2rA pic.twitter.com/WfYLC4BtdJ— Catalin Cimpanu (@campuscodi) April 3, 2020
Es betrifft ElasticSearch-Server, die per Internet erreichbar, aber nicht durch einen Benutzernamen und ein Kennwort abgesichert sind. Vermutlich wird ein automatisiertes Script eingesetzt. Gelingt das Löschen, wird der Name einer Sicherheitsfirma hinterlassen.
Datenleck bei US-Anbieter SOS Online Backup
Das in den USA angesiedelte Unternehmen SOS Online Backup ist ein Anbieter von 'sicheren', cloud-basierten Datensicherungen, die Kunden weltweit für persönliche und geschäftliche Zwecke buchen können.
Sicherheitsforscher von vpnmentor sind kürzlich auf eine ungesicherte Datenbank gestoßen, die 135 Millionen Datensätze enthält. Die Metadaten dieser Datenbank beziehen sich auf Benutzerkonten der SOS Online Backup-Kunden und umfassen auch deren vollständigen Namen, die E-Mail-Adresse, die Telefonnummer usw.
Es wird also eine riesige Datenbank an persönlichen Informationen offengelegt. Entdeckt wurde das Datenleck bereits im November, geschlossen wurde es im Dezember 2019. Details zu diesem Datenleck lassen sich in diesem Blog-Beitrag nachlesen.
Neue Infos zur Maze-Ransomware
Seitdem die sogenannte Maze Ransomware im Mai 2019, damals noch unter dem Namen „ChaCha Ransomware" bekannt, entdeckt wurde, kam es immer wieder zu neuen Vorkommnissen. Zuletzt hat die Maze Ransomware eine britische Gesundheitsorganisation und einen US-amerikanischen Versicherungsanbieter befallen.
Das Hauptmerkmal von der Cyber-Kriminellen der Maze-Ransomware ist die Drohung mit der Veröffentlichung von sensiblen Geschäftsinformationen und geistigen Eigentum, falls nicht gezahlt wird. Dass es sich dabei nicht nur um leere Drohungen handelt, musste ein Unternehmen auf schmerzhafte Weise erfahren: sämtliche unternehmensinterne Informationen waren nach dem Angriff im Internet für alle zugänglich.
Wer sich also weigert das Lösegeld zu bezahlen, muss mit schwerwiegenden Folgen rechnen – ähnlich wie bei der Sodinokibi, Nemty oder Clop Ransomware. Sicherheitsforscher von McAfee haben nun einige neue Erkenntnisse rund um Maze herausgefunden und veröffentlicht:
- Die Gruppe, die hinter der Maze Ransomware steckt, ist sehr aktiv in den sozialen Medien, beispielsweise auf Twitter, und kennt den aktuellen Stand der Sicherheitsforschung rund um die Ransomware.
- Der Code der Maze Ransomware ist sehr komplex und beinhaltet einige Tricks, um eine Analyse zu erschweren. So werden beispielsweise Disassembler deaktiviert und Plug-Ins bestehend aus Pseudocode verwendet.
- Die Entwickler von Maze sind gezielt einzelne Sicherheitsforscher angegangen, um psychologische Spielchen mit ihnen zu spielen.
Die Sicherheitsforscher von McAfee haben die gesammelten Informationen in diesem englischen Blogpost zusammen getragen und veröffentlicht.
WordPress Contact Form 7 Datepicker Plugin löschen
Im WordPress Plugin Contact Form 7 Datepicker gibt es eine Cross-Site-Scripting (XSS)-Schwachstelle. Diese ermöglicht es Angreifern, Admin-Konten zu entnehmen. Das Plugin wird nicht mehr gewartet und ist aus dem Repository entfernt. Wer das Plugin noch einsetzt, sollte dieses deaktivieren und löschen. Details lassen sich bei Bleeping Computer nachlesen.
Anzeige
@Firefox speichert Twitter-Daten im Cache
Einfach bei "Die Chronik löschen, wenn Firefox geschlossen wird" Häkchen setzen und ggf. unter Einstellungen die Optionen dafür festlegen dann ist das Problem generell gelöst.
Das ist aber eine Einfach&Brachial-Lösung. Dann ist nämlich die gesamte Chronik futsch – und vielleicht will man das ja dann doch nicht…?
Alternativ könnte man auch mit dem Holzhammer so lange auf den Rechner einschlagen, bis die Funken zu sprühen aufhören. Dann ist das Problem noch genereller gelöst.
@gesamte Chronik futsch
Nein, unter SF Einstellungen kann man versch. Optionen wählen. Bspw. nur den Cache löschen.
Mache ich bei mir auch.
@Firefox speichert Twitter-Daten im Cache
Das ist alles Bockmist von Twitter, ist kein Fehler in Firefox, ist Fehler der Twitter-Programmierer!
Mozilla kann nun diesen Bockmist ausbaden den Twitter verzapft und muss nun Schadensbegrenzung machen, ich hoffe Mozilla verklagt Twitter wegen Ruf-Schädigung.
Ihr könnt bei Golem auch nachlesen
https://www.golem.de/news/twitter-security-nur-fuer-chrome-nutzer-danke-fuer-nichts-2004-147702.html
"…Hacker löscht 15.000 ElasticSearch-Server…"
Der ist das Beste seit langem :-)!!!!!!
Und er macht weiter :-) !!!!!!!!!