In diesem Sammelbeitrag gibt es einen Überblick über einige Sicherheitsthemen, die mir die Tage unter die Augen gekommen sind. So schließt Synology die mit einem CVS-Score von 10 eingestufte Schwachstelle CVE-2022-43931 in seinem VPN Plus Server. Die Zoho ManageEngine muss dringend gepatcht werden, da eine Schwachstelle im Passwort-Manager existiert. Beim Schuhhersteller Eco gab es einen Datenschutzvorfall, und bei 20 Fahrzeugherstellern wie BMW, Mercedes, Porsche etc. konnten Unbefugte per API-Schwachstelle auf persönliche Daten zugreifen, Fahlerzeuge öffnen, starten oder sogar verfolgen. Dies und mehr als dem Sammelsurium der aktuellen Sicherheitsvorfälle.
Anzeige
Synology schließt CVE-2022-43931 in VPN Plus Server
In einer Sicherheitswarnung vom 3. Januar 2023 fordert der taiwanesische Hersteller Synology seine Kunden auf, die mit einem CVS-Score von 10 eingestufte Schwachstelle CVE-2022-43931 in seinem VPN Plus Servern per Update zu schließen. Eine Sicherheitslücke erlaubt entfernten Angreifern die Ausführung beliebiger Befehle über eine anfällige Version von Synology VPN Plus Server. Bleeping Computer hat in diesem Artikel noch einige Informationen dazu veröffentlicht.
Patch für Zoho ManageEngine erforderlich
Der Hersteller Zoho weist Administratoren auf, dringend die ManageEngine seines Produkts per Sicherheitsupdate zu aktualisieren. Der Patch schließt die Schwachstelle CVE-2022-47523. Es handelt sich um ein SQL-Injektionsschwachstelle, die in den Zoho-Produkten Password Manager Pro Secure Vault, PAM360 Privileged Access Management Software und dem Access Manager Plus Privileged Session Management Solution gefunden wurde. Die Kollegen von Bleeping Computer haben hier die Einzelheiten dazu.
Netgear Sicherheitsupdates
Kurzer Nachtrag für Besitzer von Netgear-Routern. Laut diesem heise-Artikel von Anfang Januar 2023 empfiehlt der Hersteller seinen Kunden dringend Sicherheitsupdates für seine Router-Modelle (auch Nighthaw), um Schwachstellen zu schließen.
Datenleck beim Schuhhersteller Ecco
Die Meldung liegt mir bereits seit Dezember 2022 vor. Beim dänischen Schuhhersteller Ecco betrieb eine ungeschützte Datenbank mit zahlreichen internen Dokumenten, die frei im Internet abrufbar war. Die abgelegten Dokumente reichen von Verkaufs- und Marketingdaten bis hin zu Protokollierungs- und Systeminformationen. Die exponierte Datenbank war seit dem 4. Juni 2021 mindestens 506 Tage lang zugänglich. Am Ende des Tages hätte Unbefugte 60 GByte an sensitiven Daten abrufen können. Details sind über diesen Cybernews-Artikel abrufbar.
Anzeige
API-Schwachstelle bei BMW, Porsche Mercedes, Toyota etc.
API-Sicherheitsschwachstellen bei zwanzig Automobilhersteller und -diensten wie BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota und Genesis hätten es Hackern ermöglicht, bösartige Aktivitäten durchzuführen. Dies reicht vom Entriegeln, Starten und Verfolgen der Fahrzeuge bis hin zur Preisgabe persönlicher Daten der Kunden. Die Kollegen von Bleeping Computer haben hier die Details, ein deutschsprachiger Beitrag findet sich bei heise.
Das MS Teams Cookie-Leck
Im August 2022 gab es die Information, dass Microsoft Teams seine Cookies im Klartext auf den Clients speichert – ich hatte im September 2022 im Blog-Beitrag Microsoft Teams speichert Authentifizierungstoken als Klartext in Windows, Linux, Macs berichtet.
Dies ermöglicht Angreifern den Zugriff auf Konten mittels dieser Tokens, selbst wenn eine Multi-Faktor-Authentifizierung (MFA) aktiviert wurde. Kunden wurde geraten, auf die Web-Anwendungen für Teams zurückzugreifen oder die Zugriffe auf die MS Teams Daten durch Prozesse zu überwachen, da Microsoft diese Schwachstelle nicht umgehend schließen wird.
Frank Carius hat sich dieses Themas nochmals vor einigen Tagen angenommen und kommt in diesem Beitrag zur Einschätzung, dass das Ganze zwar unschön sei. Aber wenn jemand bereits auf dem System starten könne, sei die Maschine kompromittiert und das Kind bereits in den Brunnen gefallen. Daher wäre dieses Cookie Leak eher minder schwer einzustufen.
Windows WerFault.exe für Malware missbraucht
Die Windows Fehlerberichterstattung (Error-Reporting, WerFault.exe) lässt sich zum Verteilen von Malware missbrauchen. Die Kollegen von Bleeping Computer gehen in diesem Artikel auf einen entsprechenden Fall ein. Dieser wurde von Sicherheitsforschern entdeckt – man vermutet die Hacker, die diesen Angriffsvektor verwendeten, in China.
Windows und die Dateitypen
Insidern ist es bewusst, der Windows blendet die Erweiterungen bestimmter Dateitypen aus, egal wie die Option zur Anzeige von Dateitypen gesetzt wird. Auf diesen Sachverhalt, der 16 Dateitypen betrifft, weil nachfolgender Tweet hin.
Enthalten solche Dateien einen echten PE-Inhalt (exe), gibt es beim Doppelklicken darauf ein unterschiedliches Verhalten. Im dümmsten Fall passiert nichts oder es wird ein Fehler angezeigt. Es kann aber auch der OpenWith-Dialog erscheinen und bei einem der Dateitypen wird beim Doppelklick die eigentliche Exe-Datei ausgeführt. Speziell Verknüpfungsdateien (.lnk und .pif) können ein Eigenleben entwickeln und ausführbare Programme abrufen.
US-Schulen verklagen TikTok, YouTube & Co.
Die öffentlichen Schulen von Seattle verklagen TikTok, YouTube, Instagram und andere auf Schadenersatz. Die Begründung: Diese Plattformen sind für die psychischen Krise von Jugendlichen verantwortlich. Details finden sich in diesem Artikel.
Missbrauch von ChatGPT für Hacks
Vor einigen Tagen hatte ich über die AI-Entwicklung ChatGPT berichtet (siehe Bericht: Microsoft plant Bing bis März 2023 mit ChatGPT-Suche zu erweitern). Auf Maschinen-Leaning (ML) oder künstlicher Intelligenz (KI, AI) basierende Modelle werden uns in Zukunft noch arg beschäftigen. Der aktuell gehypte KI-Chatbot ChatGPT könnte Bedrohungsakteuren Tipps geben, wie sie sich leicht in Netzwerke einhacken können. Auf diese Gefahr weisen Sicherheitsforscher von Cybernews hin.
Das Team stellte an ChatGPT Fragen zur Durchführen eines Penetrationstests und ließ sich über Ansätze für das Eindringen in eine Simulationsplattform informieren. Die Forscher nutzten die Cybersecurity-Trainingsplattform "Hack the Box" für ihr Experiment. Der Chatbot antwortete mit fünf grundlegenden Ansatzpunkten, was auf der Website auf der Suche nach Schwachstellen untersucht werden sollte.
Indem die Sicherheitsforscher beschrieben, was sie im Quellcode sehen, erhielten sie Hinweise des ChatGPT-Bot, auf welche Teile des Codes sie sich konzentrieren sollten. Außerdem erhielten sie Beispiele für vorgeschlagene Codeänderungen. Nach etwa 45 Minuten Chat mit dem Chatbot gelang es den Forschern, die bereitgestellte Website zu hacken. Der vollständige Artikel ist hier abrufbar.
Rackspace bestätigt Play Ransomware-Angriff
Beim US-Anbieter Rackspace von Exchange-Instanzen gab es im Dezember 2022 einen Ausfall, der durch einen Ransomware-Angriff ausgelöst wurde. Ich hatte im Blog-Beitrag Ransomware-Angriff für Ausfall der Rackspace-Exchange-Instanzen im Dez. 2022 verantwortlich berichtet. Im Nachgang hat der Anbieter jetzt offen gelegt, dass die Play-Ransomware-Gruppe hinter diesem Angriff steckte und weitere Details bekannt gegeben.
Die forensische Untersuchung ergab, dass der als PLAY bekannte Bedrohungsakteur eine bisher unbekannte Sicherheitslücke CVE-2022-41080 nutzte, um sich zunächst Zugang zur Rackspace Hosted Exchange E-Mail-Umgebung zu verschaffen. Ich hatte im Dezember 2021 kurz vor Weihnachten im Blog-Beitrag Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware über diese Schwachstelle berichtet. heise hat diesen Artikel und Bleeping Computer diesen Beitrag nachgetragen.
Analyse von Vice Society
Die Sicherheitsforscher von SentinelLabs (Threat Research-Team von SentinelOne) haben neue Angriffsmethoden der Vice Society Group aufgedeckt. Die Gruppe wurde erstmals im Juni 2021 identifiziert und es handelt sich um eine gut ausgerüstete Ransomware-Gruppe, die erfolgreich in verschiedene Arten von Organisationen eingedrungen ist. Mit der klassischen doppelten Erpressungstechnik versuchen sie, den finanziellen Gewinn durch rein opportunistische Angriffe zu maximieren.
In den letzten Monaten hat Vice Society seine Zielauswahlstrategie auf weitere sensible Bereiche ausgeweitet. Anstatt ihre eigene Locker-Payload zu verwenden oder zu entwickeln, haben die Bedrohungsakteure Ransomware von Drittanbietern für ihre Angriffe eingesetzt, darunter HelloKitty, Five Hands und Zeppelin. Details der Entdeckungen von SentinelLabs lassen sich in diesem Artikel nachlesen.
Neue Ransomware-Familien entdeckt
Sicherheitsforscher von Cyble haben neue Ransomware-Stämme in geleaktem Conti-Quellcode gefunden, wie sie in diesem Beitrag offen legen.
Überwachungskameras manipuliert
Überwachungskameras in Echtzeit manipulieren zu können, um ein falsches Bild zu liefern und so die Überwachung zu unterlaufen, genau dies ist einem israelischen Startup gelungen. heise berichtete in diesem Artikel über diesen Ansatz. Generell sind Überwachungskameras ja so etwas wie eine Archillesferse, da die Software nur so vor Sicherheitslücken strotzt und die Geräte sich leicht übernehmen lassen. CyberNews wies im Dezember 2022 in diesem Artikel darauf hin, dass 3,5 Millionen Sicherheitskameras per Internet zugreifbar sind – US-Nutzer liegen dabei an der Spitze.
DNS4EU: EU-DNS-Resolver
Golem berichtete zum Jahreswechsel, dass ein Konsortium den EU-DNS-Resolver DNS4EU mit entsprechender Filtertechnik betreiben soll. DNS4EU soll zwar Phishing und Malware-Angriffe auf Ebene des DNS verhindern, aber auch URLs filtern, "die zu illegalen Inhalten führen, basierend auf gesetzlichen Anforderungen, die in der EU oder in nationalen Gerichtsbarkeiten (z. B. basierend auf Gerichtsbeschlüssen) gelten, unter vollständiger Einhaltung der EU-Vorschriften". Es gilt also Netzsperren umzusetzen, auch wenn es heißt, dass die Abhängigkeit gegenüber anderen Anbietern außerhalb der EU verringert werden soll.
Kontenhack bei Air France und KLM
Die Airlines Air France und KLM haben ihre Mitglieder des Flying Blue-Treuprogramms über einen Hack von Benutzerkonten informiert. Dadurch , wurden persönlichen Daten offengelegt. Details lassen sich bei Bleeping Computer nachlesen.
CircleCI-Nutzer, bitte Passwort ändern
CircleCI ist Betreiber der Cloud-basierten Continuous-Integration-Plattform (CI). Es gab bei denen im Dezember 2022 einen Sicherheitsvorfall. Falls wer Nutzer bei CircleCI sein sollte: Das Unternehmen empfielt, Benutzerpasswörter und gespeicherte Anmeldedaten zu ändern. Details zum Beispiel bei heise.
Details zur TCP-Schwachstelle CVE-2022–34718
Im Dezember 2022 wurde die TCP-Schwachstelle CVE-2022–34718 in Windows per Sicherheitsupdate gepatcht. Eine tiefergehende Analyse samt Proof of Concept von Numen findet sich hier.
Anzeige
Der Abschlusssatz bei der API Schwachstelle der Autohersteller ist sicher verrutscht:
"Kunden wurde geraten, auf die Web-Anwendungen für Teams zurückzugreifen oder die Zugriffe auf die MS Teams Daten durch Prozesse zu überwachen, da Microsoft diese Schwachstelle nicht umgehend schließen wird."
Gehört thematisch eher zum darunter stehenden MS Teams Artikel.
Gruß
Ja, der nachstehende Abschnitt von MS-Teams ist mir irgendwie nach unten verrutscht. Habe es jetzt neu geordnet und es sollte wieder passen.
Sein erstes Program nennt man "test"
Und wird wahnsinnig.
Im Debugger geht es, da kommt "Hello work"
Auf Zeile passiert nichts.
Irgendwann wann sieht der Tutor den verzweifelten Newbie und grinst.
Da wird dem newbie klar, das es ja auch den Befehl "test" gibt, der nur einen Status zurück meldet.
BTDT…
Also:
Besser nix "test" nennen
(und niemals mit dem Explorer arbeiten…)
Na, vielleicht hätte auch die neuste Godfather-Warnung der Bafin hierher gehört:
https://www.heise.de/news/BaFin-warnt-vor-Godfather-Banking-Trojaner-7453238.html
Kann man so sehen – aber die Bafin und heise sind a bisserl spät – ich hatte zum 30. Dezember 2022 den Beitrag Rückkehr der GodFather-Malware; zielt auf Bankkunden hier im Blog. Habe es daher entfallen lassen. Aber schön für Auffrischung des Kurzzeitgedächtnisses der Blog-Leserschaft.
Cyber Polygon läuft, bis die Welt endlich nach neuem, sicheren, nur mit persönlicher digitaler Identität zugänglichem und 100% getracktem Internet schreit.
Ergänzung: Nun gibt es weitere Informationen zum "Cyber-Vorfall in Potsdam", der keiner war. Ich hatte im Blog-Beitrag Vermuteter Cyberangriff auf Stadt Potsdam, Stadtwerke auch offline (29./30. Dez. 2022) berichtet. Es war wohl ein vorbeugendes Trennen der IT vom Internet – was aber nach wie vor anhält. Die Informationen sind in obigem Artikel nachgetragen.