Ich fasse mal in einem Sammelbeitrag einige Cybervorfälle und -Themen zusammen, die mir gerade untergekommen sind. So gibt es wohl neue Erkenntnisse zum Angriff auf die Dena, und die US-Tochter von Fresenius Medical Care ist Opfer eines Hacks geworden, bei dem Patientendaten abgeflossen sind. Sicherheitsforscher haben Schwachstellen bei CPUs und bei Bluetooth gefunden.
Anzeige
Neues zum Angriff auf die Dena
Die Deutsche Energie Agentur (dena) wurde Im November 2023 Opfer eines Cyberangriffs (siehe Auch die Dena ist Opfer eines Cyberangriffs (Nov. 2023)). Die Deutsche Energie-Agentur GmbH (dena) ist ein bundeseigenes deutsches Unternehmen, das laut Gesellschaftsvertrag] bundesweit und international Dienstleistungen erbringen soll, um die energie- und klimapolitischen Ziele der Bundesregierung zu Energiewende und Klimaschutz auszugestalten und umzusetzen. Die dena wurde im Herbst 2000 auf Initiative der rot-grünen Bundesregierung als private GmbH gegründet.
Ein Blog-Leser hat mich über obigen Mastodon-Post auf den aktuellen Artikel des Handelsblatts hingewiesen. Die vermutlich aus Russland heraus operierende Gruppe von Cyberkriminellen, ALPHV, droht damit, Daten zu veröffentlichen. Es gibt u.a. um die gesamte E-Mail-Korrespondenz ab 2016, die beim Hack wohl erbeutet wurde. Auf der dena-Webseite heißt es hier: Nach derzeitigem Stand kann infolge des Cyberangriffs auf die dena leider eine Gefährdung von verarbeiteten Daten unserer Geschäftskontakte nicht ausgeschlossen werden. Hiervon sind eventuell auch sensible Daten betroffen, wie zum Beispiel Kontoverbindungen.
Cyberangriff auf Fresenius Tochter
In einem weiteren Mastodon-Post hat mich der Leser auf einen Cyberangriff auf Cardiovascular Consultant (eine US-Tochter von Fresenius Medical Care) hingewiesen. Bei diesem Angriff wurden möglicherweise Daten von rund 500.000 aktuellen und früheren Patienten gestohlen. DataBreaches.Net hat hier eine entsprechende Meldung. Auch das Handelsblatt geht in diesem Artikel auf den Vorfall ein.
Anzeige
Bluetooth-Schwachstelle CVE-2023-45866
Erst Ende November 2023 wurde die BLUFF Schwachstelle in Bluetooth bekannt – ein Leser hatte auf diesen Artikel hingewiesen, wo auch Gegenmaßnahmen besprochen werden. Ein Artikel mit den Details ist hier (PDF) abrufbar – Bleeping Computer hat sich in diesem Artikel über die Schwachstelle CVE-2023-24023 ausgelassen.
Nun wurde eine neue Bluetooth Schwachstelle CVE-2023-45866 (als kritisch eingestuft) bekannt, die Angreifern es ermöglicht, die Kontrolle über Geräte mit Android, Linux, maxOS und iOS zu übernehmen. Der Entdecker hat die Authentification Bypass-Schwachstelle hier beschrieben. The Hacker News beschreibt das Ganze in diesem Artikel. Die kritische Schwachstelle dürfte sich aber nur ausnutzen lassen, wenn Bluetooth auch eingeschaltet ist.
SLAM-Angriff auf CPUs
Wissenschaftler haben eine SPECTRE-artige Angriffsmethode auf CPUs vorgestellt und nennen diese SLAM. Dazu heißt es, dass SLAM die verbleibende Angriffsfläche von Spectre auf modernen (und sogar zukünftigen) CPUs erforscht, die mit Intel LAM (Intel Linear Address Masking) oder ähnlichen Funktionen ausgestattet sind. SLAM zielt nicht auf neue transiente Ausführungstechniken (wie BHI oder Inception) ab, sondern konzentriert sich auf die Ausnutzung einer verbreiteten, aber bisher unerforschten Klasse von Spectre-Offenlegungs-Gadgets. Standardmäßige (so genannte "maskierte") Offenlegungs-Gadgets beinhalten Code-Schnipsel, die geheime Daten zum Indexieren eines Arrays verwenden. Details lassen sich hier nachlesen – Bleeping Computer hat diesen Beitrag dazu veröffentlicht.
Sierra:21 bedroht Router für KRITIS
Gleich 21 Schwachstellen haben Sicherheitsforscher der Forescout Vedere Labs in der Firmware von OT/IoT-Routern von Sierra entdeckt. Sierra Router werden in kritischen Infrastrukturen und Industriesystemen eingesetzt. Die 21 neu entdeckten Schwachstellen bedrohen kritische Infrastrukturen mit Remote-Code-Ausführung, unberechtigtem Zugriff, Cross-Site-Scripting, Authentifizierungsumgehung und Denial-of-Service-Angriffen.
Die Schwachstellen betreffen Sierra Wireless AirLink Mobilfunkrouter und Open-Source-Komponenten wie TinyXML und OpenNDS (Open Network Demarcation Service). Mehr Informationen zum Sachverhalt lassen sich in diesem Artikel der Kollegen von Bleeping Computer nachlesen.
Zug mit "Killswitch" versehen
Ich bin auf Mastodon auf einen schier unglaublichen Fall gestoßen. Polnische Züge weigerten sich plötzlich zu fahren, nachdem sie in fremden Werkstätten gewartet worden waren. Der Hersteller der betreffenden Triebwagen argumentierte, dass dies auf ein "Fehlverhalten dieser Werkstätten" zurückzuführen sei und dass die Züge von ihm selbst und nicht von Dritten gewartet werden sollten.
Darauf haben sich Hacker mal den Code der Speicherprogrammierbaren Steuerungen (SPS) angesehen, der für die Steuerung der Züge verwendet wurde. Sie fanden heraus, dass der SPS-Code eine Logik enthielt, die den Zug nach einem bestimmten Datum oder wenn der Zug eine bestimmte Zeit lang nicht fuhr, mit falschen Fehlercodes sperrte. Eine Version des Steuergeräts enthielt sogar GPS-Koordinaten, um das Verbringen in fremde Werkstätten zu erfassen. Gemäß Code war es möglich, die Züge durch Drücken einer Tastenkombination in der Kabinensteuerung zu entriegeln. Dies alles vom Hersteller der Züge wurde nicht dokumentiert.
Diese Sperre wurde zwar in neueren SPS-Softwareversionen gelöscht, die Sperrlogik blieb jedoch erhalten. Nach einer bestimmten Aktualisierung durch NEWAG zeigten die Führerstandskontrollen aber plötzlich beängstigende Meldungen über Urheberrechtsverletzungen an, wenn die Mensch-Maschine-Schnittstelle eine Untergruppe von Bedingungen erkannte, die die Sperre hätten auslösen müssen, der Zug aber noch in Betrieb war.
Die Züge waren außerdem mit einer GSM-Telemetrieeinheit ausgestattet, die den Verriegelungszustand übermittelte und in einigen Fällen offenbar in der Lage war, den Zug aus der Ferne remote zu verriegeln. Diese Geschichte macht aktuell die Runde in polnischen Medien (es wurde auf polnisch hier dokumentiert), aber die Hacker haben einen Vortrag auf dem 37C3 geplant, in dem sie das Thema vertiefen und unsere Ergebnisse veröffentlichen wollen. Ich habe gesehen, dass Golem einige Informationen in diesem deutschen Artikel zusammen gezogen hat.
Android Barcode App verrät Passwörter
Die Sicherheitsforscher von Cybernews haben mich in einer Nachricht über eine Barcode-App für Android hingewiesen, die mit besonderen "Features" aufwarten kann. Die Android-App mit mehr als 100.000 Google Play-Downloads und einer durchschnittlichen Bewertung von 4,5 Sternen hat eine Schwachstelle, so dass sensible Nutzerdaten für jedermann zugänglich sind.
Das Cybernews-Rechercheteam fand heraus, dass die App-Entwickler ihre Firebase-Datenbank, die über 368 MByte Daten enthält, für jeden zugänglich gelassen hat. Die Android-App Barcode to Sheet gibt sensible Benutzerinformationen und Unternehmensdaten preis, die von den App-Entwicklern in der Datenbank gespeichert wurden. In der Datenbank fanden sich folgende Informationen:
- Informationen über Produkte, Berichte, E-Mails und Benutzer-IDs wurden im Klartext gespeichert.
- Die Benutzerpasswörter wurden im MD5-Hash-Format gespeichert.
- Der offene Server speicherte auch wahrscheinlich sensible Informationen auf der Client-Seite der Anwendung mit Zugangsschlüsseln und IDs.
Zu den Details, die zugänglich blieben, gehörten die Web-Client-ID, der Schlüssel für die Google-API (Application Programming Interface), die Google-App-ID, der Schlüssel für die Absturzmeldung und andere Informationen, die normalerweise nur für App-Entwickler bestimmt sind. Details zu diesem Fall sind in diesem Blog-Beitrag von Cybernews beschrieben.
Weitere Sicherheitsmeldungen
Hier noch weitere Meldungen, die mir gerade untergekommen sind, in einer Kurzübersicht.
Banking-Trojaners TrickMo
Sicherheitsforscher von Cyble beschreiben in diesem Artikel die Rückkehr des Banking-Trojaners TrickMo. Der Banking-Trojaner "TrickMo" wurde im September 2019 identifiziert und über die Malware "TrickBot" weiterverbreitet. Im März 2020 analysierten IBM Forscher einen neu entdeckten Android-Bankentrojaner mit dem Namen "TrickMo". Dieser Trojaner zielte speziell auf Nutzer in Deutschland ab und hatte das Ziel, Transaktions-Authentifizierungsnummern (TANs) zu stehlen, indem er eine Bildschirmaufzeichnungsfunktion nutzte. Nun wird eine neue Variante mit aktualisiertem Schadcode verteilt.
Krypto-Währungsbetrug
Check Point Research hat einen ausgeklügelten Krypto-Währungsbetrug aufgedeckt, bei dem Hacker die Pool-Liquidität manipulierten, um den Preis eines Tokens um unglaubliche 22 000 Prozent in die Höhe zu treiben und ahnungslosen Investoren 80 000 US-Dollar zu stehlen. Details lassen sich in diesem Blog-Beitrag nachlesen.
Datenleck bei Green Card Lotterie
In den USA gibt es die sogenannte Green Card Lotterie, über die sich Interessenten um ein US-Einreisevisa (Green Card) bewerben können. Private Daten von Tausenden von Bewerbern für das Diversity Immigrant Visa Program (Green Card Lotterie), wurden von der US GREEN CARD OFFICE LIMITED (USGCO) offen gelegt. Die USGCO ist eine im Vereinigten Königreich registrierten Gesellschaft mit beschränkter Haftung und hilft bei der Erstellung der Dokumente für die Green Card Lotterie. Die Firma hatte eine Datenbank mit Informationen über etwa 202.000 einzelne Konten sowie weitere 147.000 zugehörige "Zweitnutzer" im Klartext und ungeschützt in einem offenen Verzeichnis auf usgreencardoffice[.]com abgelegt. Der Datenbankauszug war ungeschützt und für Webcrawler, Scraper oder Website-Besucher zugänglich. Details hat Cybernews in diesem Artikel veröffentlicht.
Angriffswege gegen Microsoft Outlook unter Alltagsbedingungen
Von Check Point gibt es diesen Artikel, in dem Sicherheitsforscher des Anbieters Angriffswege gegen Microsoft Outlook unter Alltagsbedingungen geprüft haben. In der detaillierten Analyse der Desktop-Anwendung Microsoft Outlook, verknüpft mit dem Microsoft Exchange Server, werden tiefe Einblicke in Angriffs-Vektoren ermöglicht. Untersucht wurde insbesondere die Version Outlook 2021 unter Windows mit den Updates ab November 2023.
Die Analyse, die in Werkseinstellungen und in einer typischen Unternehmensumgebung durchgeführt wurde, zeigt unter Berücksichtigung des typischen Benutzerverhaltens, wie Klicken und Doppelklicken, drei Hauptangriffswege: Hyperlinks, Anhänge und fortgeschrittene Angriffe (welche das Lesen von E-Mails und speziellen Objekten beinhalten). Sich dieser gängigen Methoden der Hacker bewusst zu sein, ist entscheidend für das Verständnis und die Minderung von Schwachstellen in der E-Mail-Kommunikation.
Manipulationstechnik in iOS-Endgeräten
Das Threat Labs-Team von Jamf hat eine Manipulationstechnik in iOS-Endgeräten identifiziert, die auf kompromittierten Geräten dazu genutzt werden kann, ein falsches Sicherheitsgefühl beim Nutzer zu erzeugen. Dabei handelt es sich nicht um eine iOS-immanente Schwachstelle oder einen Code-Fehler im Blockierungsmodus von iOS-Endgeräten, sondern um eine gezielte Manipulationsmethode. Dabei wird dem Nutzer mithilfe von Malware visuell vorgetäuscht, dass sich sein Gerät im Blockierungsmodus befindet, ohne dass dieser tatsächlich aktiviert ist und die entsprechenden Schutzfunktionen eingeschaltet werden. Diese Methode wird nach aktuellem Stand bislang noch nicht von Hackern genutzt. Das Ziel der Analyse ist die Sensibilisierung der Nutzer für die Funktionsweise und Limitierungen des Blockierungsmodus. Eine ausführliche technische Analyse des falschen Blockierungsmodus finden Interessenten im Blog von Jamf.
WordPress 6.4.2 schließt kritische Schwachstelle
Im Beitrag WordPress 6.4.2 verfügbar hatte ich über ein Update dieses CMS berichtet und am Rande erwähnt, dass auch eine Sicherheitslücke geschlossen wurde. Bei dieser Sicherheitslücke handelt es sich um eine Remotecode Ausführungsschwachstelle (RCE) , die nicht direkt im Kernprogramm ausgenutzt werden kann. Das WordPress Sicherheitsteam ist jedoch der Ansicht, dass in Verbindung mit einigen Plugins, insbesondere bei Multisite-Installationen, ein hoher Schweregrad erreicht werden kann. Man sollte WordPress also updaten.
Anzeige
"Diese Sperre wurde zwar in neueren SPS-Softwareversionen gelöscht, die Sperrlogik blieb jedoch erhalten. "
Es wurde m.W. die Tastenkombination zum Verlassen des Sperrzustandes beim nächsten Update entfernt,nicht die Sperre. Diese Kombination war wohl von den Entwicklern vergessen worden.
Tja, und rechtlich konnte man nichts machen, da es ja kein
"right to repair" gibt.
Siehe auch landwirtschaftliche Maschinen und Baumaschinen, Autosm
Überall dieselbe kriminelle Energie.
Auch Autohersteller haben/ machen das so.
Freie Werkstätten müssen viel Geld auf den Tisch legen um an die Hersteller Datenbank zu kommen, der (Selbst-) Bastler schaut in die Röhre…
Im Klartext heißt das für Privatpersonen Finger weg von solchen Produkten und auf gar keinen Fall ein neues Auto kaufen, schon gar kein BEV, denn da sind die Einschränkungen am schlimmsten. Aber selbst beim Autokauf gibt es Verhandlungsspielraum.
Für Industriekunden bedeutet das im Vertrag eine entsprechende Klausel zu verankern, die das Recht auf Instandsetzung durch den Kunden und die kostenfreie Beistellung aller Unterlagen und Softwaretools durch den Auftragnehmer sicherstellt. Kein Anbieter wird deshalb sein Angebot zurückziehen, wenn die Auftragssumme hoch ist.
Du sagst es. Ich kenne da den einen oder anderen, der sie extra einen Wagen ohne Elektronik gekauft hat oder seine 80er Jahre Mähre immer noch fährt. Dabei wird es mit den Ersatzteilen schwer und auch mit Mechanikern, die so etwas, ohne Diagnose Anschluss reparieren können.
Da muss man selbst ran, kann aber auch viel noch selbst machen.
In der Industrie ist es durchaus üblich, dass der Source Code bei einen Anwalt hinterlegt wird für den Fall einer Insolvenz.
Und oft gibt's es ehemalige Mitarbeiter, die die Wartung in solchen Fällen übernehmen.
"Nun wurde eine neue Bluetooth Schwachstelle CVE-2023-45866 (als kritisch eingestuft) bekannt, die Angreifern es ermöglicht, die Kontrolle über Geräte mit Android, Linux, maxOS und iOS zu übernehmen."
An meine besonderen Freunde hier eine Preisfrage: Welches sehr populäre Betriebssystem fehlt hier wohl? *lach* Ich hätte ja jetzt erwartet, dass ihr die Schwachstelle in den beiden oben genannten populären Opensource-Alternativen schon vor Jahren gefunden habt, denn schließlich liegt ja der Quellcode vor und ist von Jedem einsehbar! Jeder kann Sicherheitslücken finden und schließen, so funktioniert Opensource ja doch!
Was soll denn dieser Kommentar? Kindergartenniveau, da kann ich nur den Kopf schütteln und werde beim nächsten Mal die Lösch-Taste betätigen – nur mal angemerkt.
Es ist ein Fehler im Protokoll. Das ist jedem zugänglich.
Im Artikel steht, dass das schon 2020 gefixt worden ist, der Fix aber nicht Default freigeschaltet wurde.
Außerdem konnte man lesen, dass das ein Problem im BT-Protokoll ist und Windows vermutlich schlicht und ergreifend nicht auch noch getestet wurde, weil so ein Test aufwendig ist und Windows nicht so auf BT angewiesen ist.
Es ist gefährlich aus der nicht-Nennung zu schließen das das bedeutet, das die nicht-genannten Systeme nicht gefährdet sind,
außer es steht ausdrücklich dabei, das keine Gefahr besteht.
Wie gesagt, es ist ein Bug im BT-Prokoll, nicht in den genannten Betriebssystemen.
Wenn ein existierender Fix nicht freigeschaltet wird, das macht die Situation nicht gerade besser!
Nerds:Innen (jau, political correctness) deeskaliert mal ;-) Mir fallen einige Win-Patches ein, die "setz noch in Registry XY" oder "mach was und denke" schreien, auch hier im Blog.
Hat eigentlich jemand mal die Linux-Announces weitergelesen? "Unauthenticated Peripheral role HID Device": OK – kritisch aber eher lokal limitiert denn remote. Bei Ubuntu wird hier zB Klärungsbedarf und (nur ein?) Grund erkennbar : "not enabled and not compliant with Security Mode 4". Wofür würdet Ihr Euch entscheiden? Macht gerne mit, dann gehts schneller ;-)
Mitre nennt hier für Ubuntu "in some cases, a CVE-2020-0556 mitigation would have already addressed ". Debian? keine Ahnung, hab den BT-Kram aus. So ne Lücke beschäftigt Admins durchaus mal Stunden bei der Kritikalitätsbewertung im eigenen IT-Pool. Das ist nicht immer 0 und 1 – und auch mal so komnplex wie Zaubern von 32 statt 8 Sprites per IRQ auf der 6502…