Ich greife mal einige Sicherheitsthemen in einem Sammelbeitrag auf, die mir die Tage untergekommen sind. AWS SSM-Agenten lassen sich missbrauchen, um Remote Access-Trojaner zu lancieren. Microsofts neues Azure Active Directory Cross-Tenant Synchronization (CTS)-Feature könnte Angreifern das laterale Ausbreiten auf andere Azure-Tenants erleichtern. Selbst Office-Anwendungen lassen sich zur Verteilung von Malware missbrauchen. Die Liste der entsprechende Programmdateien hat sich gerade um sechs Kandidaten erweitert. Die US-Sicherheitsbehörde CISA warnt, dass ungepatchte Barracuda-Appliances seit Monaten durch chinesisch Cyberspione infiltriert werden. Und eine Angriffswelle auf Citrix-Server war wohl erfolgreich, laut Sicherheitsforschern wurden mehr als 640 Instanzen durch eine Backdoor infiziert.
Anzeige
Azure CTS-Feature als Sicherheitsrisiko
Mitte Juni 2023 hat Microsoft sein Azure Active Directory Cross-Tenant Synchronization (CTS)-Feature vorgestellt. Mit dem Feature soll eine mandantenübergreifende Synchronisierung möglich sein. Die Funktion automatisiert das Erstellen, Aktualisieren und Löschen von Azure AD B2B-Collaboration-Benutzern in verschiedenen Mandanten einer Organisation. Sie ermöglicht es Benutzern, auf Anwendungen zuzugreifen und mandantenübergreifend zusammenzuarbeiten.
Die Kollegen von Bleeping Computer weisen hier auf die Erkenntnisse von Sicherheitsforschern hin, dass Microsoft mit der neuen Funktion eine neue potenzielle Angriffsfläche geschaffen hat. Diese könnte es Bedrohungsakteuren ermöglichen, sich leichter seitlich auf andere Azure-Tenants auszubreiten.
Missbrauchte AWS SSM-Agenten liefern Trojaner
Die Mitiga-Sicherheitsforscher Ariel Szarf und Or Aspir sind auf eine neue Post-Exploitation-Technik in Amazon Web Services (AWS) gestoßen, die es ermöglicht, den AWS Systems Manager Agent (SSM Agent) als Fernzugriffstrojaner in Windows- und Linux-Umgebungen auszuführen. "Der SSM-Agent, ein legitimes Tool, das von Administratoren zur Verwaltung ihrer Instanzen verwendet wird, kann von einem Angreifer, der einen hochprivilegierten Zugriff auf einen Endpunkt mit installiertem SSM-Agenten erlangt hat, dazu verwendet werden, fortlaufend bösartige Aktivitäten auszuführen", heißt es von den Sicherheitsforschern. Ein entsprechender Artikel wurde die Tage von The Hacker News veröffentlicht.
Microsoft Office-Programme als Malware-Verteiler
Hacker können legitime Office-Programme zur Verteilung von Schadsoftware missbrauchen. Das Ganze ist unter dem Begriff LOLBAS-Missbrauch bekannt. LOLBAS ist das Kürzel für Living-off-the-Land Binarärdateien und Scripte, die i.d.R. als signierte Dateien in Windows enthalten sind oder mit Windows-Anwendungen ausgeliefert bzw. von Microsoft heruntergeladen werden können. Angreifer kennen eine ganze Liste an Dateien, die zum Ausliefern von Malware geeignet sind, was dann ggf. nicht durch Schutzsoftware bemerkt werden kann.
Anzeige
Die Kollegen von Bleeping Computer weisen über obigem Tweet auf diesen Artikel hin, der das eigentlich alte Thema erneut anfasst. Denn Nir Chako, ein Sicherheitsforscher bei Pentera, hat die ausführbaren Dateien der Microsoft Office-Suite auf neue LOLBAS-Dateien untersucht und ist fündig geworden. In diesem Artikel von Chako macht er öffentlich, dass es sechs weiterer LOLBAS-Programmdateien gebe, die sich für Angriffe eignen. Diese wurden durch automatisierte Tests ermittelt und lassen die Liste der LOLBAS-Dateien um gut 30 Prozent anwachsen.
Barracuda-Appliances durch "Submarine" infiltriert
In China ansässige Cyberspione (als Submarine bezeichnet) haben in den letzten Monaten anfällige Barracuda-Appliances infiltriert. Ziel ist es, die Sicherheitsmechanismen für E-Mails in den angegriffenen Unternehmen zu umgehen. Die Angreifer nutzen die Schwachstelle CVE-2023-2868, die ich bereits im Mai 2023 im Beitrag Barracuda-Warnung vor Angriffen auf E-Mail-Gateways per 0-Day-Schwachstelle (19. Mai 2023) berichtet. Inzwischen gibt es von Barracuda den Supportbeitrag Barracuda Email Security Gateway Appliance (ESG) Vulnerability vom 28. Juli 2023, der sich auf diesen CISA-Bericht bezieht. Dark Reading hat das Thema in diesem Artihttps://www.darkreading.com/attacks-breaches/cisa-submarine-backdoor-barracuda-email-securitykel aufbereitet.
Angriffswelle infiziert über 640 Citrix-Server
Ich hatte Ende Juli 2023 im Blog-Beitrag CISA-Warnung: Citrix NetScaler ADC wird über CVE-2023-3519 angegriffen auf eine Warnung der US-Cybersicherheitsbehörde CISA reagiert und berichtet, dass es Angriffe auf Citrix-Server über die Schwachstelle CVE-2023-3519 gebe. Denn der Hersteller Citrix warnte in einer Sicherheitsmeldung vor einer kritischen Remote Code Execution-Schwachstelle in den Produkten. Es wurden Updates für die betreffenden Produkte veröffentlicht, die von Administratoren auf den betreuten Installationen unverzüglich eingespielt werden sollten. Details finden sich im Blog-Beitrag Kritische RCE-Schwachstelle in Citrix NetScaler ADC und Citrix Gateway.
Die Kollegen von Bleeping Computer weisen in diesem Artikel nun erneut auf eine neue Angriffswelle hin, die auf Citrix-Server mit Sicherheitslücken zielt. Dabei waren die Angreifer wohl erfolgreich und konnten auf mehr als 640 Citrix-Servern eine Backdoor installieren. Sicherheitsforscher der Non-Profit-Organisation Shadowserver Foundation haben dies wohl beobachtet und aufgedeckt.
Anzeige
