Lockbit-Angreifer missbrauchen Windows Defender, um Cobalt Strike zu laden

Veröffentlicht am 5. August 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Sentinel One sind auf einen interessanten Angriffsweg unter Windows gestoßen, die die Ransomware-Gang Lockbit beschreitet. Die Gruppe nutzt in ihrem Ransomware-Baukasten den Windows Defender, um über diesen das Testtool Cobalt Strike zu laden und dann zu missbrauchen. Dabei wird das (ungepatchte) Zielsystem über die Log4j-Schwachstelle angegriffen.

Weiterlesen

Veröffentlicht unter Sicherheit, Windows | Verschlagwortet mit , | 6 Kommentare

Remote-Access-Trojaner "Woody Rat" nutzt Follina-Exploits für Angriffe auf russische Organisationen

Veröffentlicht am 5. August 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Das Threat-Intelligence-Team von Malwarebytes hat einen neuen, technisch fortschrittlichen Remote-Access-Trojaner identifiziert. Der „Woody Rat" getaufte Trojaner ist seit rund einem Jahr im Umlauf und zielt auf russische Organisationen ab. Unter anderem wurde bereits Obyedinyonnaya Aviastroitelnaya Korporatsiya (OAK), ein Luftfahrt- und Verteidigungsunternehmen, das sich mehrheitlich im russischen Staatsbesitz befindet, zum Ziel von Woody Rat. Der Trojaner nutzt den sogenannten Follina-Exploit (CVE-2022-30190), eine Zero-Day-Schwachstelle, mit der die Microsoft Support Diagnostics Utility missbraucht werden kann, um schädliche Microsoft Word- oder Excel-Dokumente aus dem Web herunterzuladen.

Weiterlesen

Veröffentlicht unter Sicherheit | Verschlagwortet mit | Kommentar hinterlassen

Kritische RCE-Schwachstelle CVE-2022-32548 in DrayTek Vigor-Routern

Veröffentlicht am 5. August 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Kurzer Hinweis für Administratoren und Nutzer, die vielleicht Vigor-Router in ihrer Umgebung einsetzen. Sicherheitsforscher sind auf eine kritische Remote Code Execution Schwachstelle (RCE) gestoßen, die eine Übernahme des Routers durch die Angreifer ermöglicht. DrayTek hat ein entsprechendes Firmware-Update zum Schließen der Schwachstelle bereitgestellt.

Weiterlesen

Veröffentlicht unter Geräte, Sicherheit | Verschlagwortet mit , | 6 Kommentare

Macht TM Worry-Free Business 10.0 SP1 Patch 2419 Probleme?

Veröffentlicht am 5. August 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Gibt es bei Trend Micro Worry-Free Business Security 10.0 SP1 Patch 2419 bei euch Probleme, dass der Dienst zum Zugriff auf die Sicherheitsdatenbank eine hohe Last auf den Maschinen erzeugt? Ein Betroffener hat sich hier im Blog mit einem entsprechenden Kommentar gemeldet und fragt, ob es auch andere betrifft. Bevor das verloren geht, hole ich es kurz als Beitrag hoch.

Weiterlesen

Veröffentlicht unter Störung, Virenschutz, Windows | Verschlagwortet mit , , | 3 Kommentare

Blockiert Microsoft aktive Tutanota-Nutzer in Teams?

Veröffentlicht am 5. August 2022 von Günter Born

Stop - Pixabay[English]Unschöne Geschichte, die gerade hochkocht. Die Betreiber des sicheren E-Mail-Anbieters Tutanota teilten gerade mit, dass Microsoft deren Nutzern jetzt aktiv die Registrierung von Konten auf seinen Plattformen (z.B. Microsoft Teams) verweigert, indem Mail-Adressen für das Microsoft Konto abgewiesen werden. Der Vorfall bestätigt erneut, wie große Konzerne als Gate-Keeper fungieren. Ergänzung: Es könnte eine technische Erklärung geben (Domain in Azure von Dritten registriert). Ich habe den Titel mit einem Fragezeichen versehen und die offenen Fragen im Text nachgetragen.

Weiterlesen

Veröffentlicht unter Cloud, OneDrive, Outlook.com, Sicherheit | Verschlagwortet mit , , , | 14 Kommentare

Piratenpartei legt Beschwerde wegen Durchsuchung wegen G7-Leaks ein

Veröffentlicht am 4. August 2022 von Günter Born

ParagraphIm Juni 2022 kam es im Vorfeld des G7-Gipfels in Elmenau (Bayer) bei der Piratenpartei zu einer Hausdurchsuchung mit Beschlagnahmung von Daten. Der Beschluss wurde vom Amtsgericht München erlassen, weil im Rahmen der sogenannten G7-Leaks (Polizeidokumente des Hamburger G7-Gipfels von 2015) geleakt wurden.

Weiterlesen

Veröffentlicht unter Allgemein | Verschlagwortet mit | 16 Kommentare

IHK Opfer eines massiven Cyberangriffs (4.8.2022)

Veröffentlicht am 4. August 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Wer aktuell versucht, die IHK-Seiten in Deutschland per Browser aufzurufen, bekommt die Meldung, dass der Dienst nicht verfügbar sei. Über eine weitere Seite erfährt er, dass die IT-Systeme der Industrie- und Handelskammern in Deutschland nach einem vermuteten Cyberangriff  aus Sicherheitsgründen vorsorglich heruntergefahren wurden.

Weiterlesen

Veröffentlicht unter Sicherheit | Verschlagwortet mit | 20 Kommentare

Microsoft findet AiTM-Phishing-Kampagne, die auch 2FA aushebelt

Veröffentlicht am 4. August 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Kleiner Nachtrag in Sachen Sicherheit bei Online-Konten mittels Zwei-Faktor-Authentifizierung (2FA). Microsofts Sicherheitsteams sind auf eine groß angelegte AiTM-Phishing-Kampagne gestoßen, bei der seit September 2021 versucht wurde, mehr als 10.000 Organisationen anzugreifen. Bei der Kampagne wurden Passwörter gestohlen, die Anmeldesitzung der Benutzers entführt und der Authentifizierungsprozess übersprungen. Das galt auch, falls der Benutzer die Multifaktor-Authentifizierung (MFA) aktiviert hatte. Die Angreifer nutzten dann die gestohlenen Anmeldedaten und Sitzungscookies, um auf die Postfächer der betroffenen Benutzer zuzugreifen und weitere BEC-Kampagnen (Business Email Compromise) gegen andere Ziele durchzuführen.

Weiterlesen

Veröffentlicht unter Sicherheit | Verschlagwortet mit | 12 Kommentare

Automatisierte Kontaktsynchronisation im Unternehmensumfeld: Warum IT-Administratoren das Thema nicht unterschätzen sollten

[Sponsored Post]In vielen Unternehmen existiert ein Wildwuchs an Kontaktquellen: GAL, Outlook-Postfächer, interne Telefonverzeichnisse, CRM-Systeme, lokale Listen oder Schatten-Adressbücher, die irgendwo „mitlaufen". Für erfahrene Administratoren ist das kein neues Problem – aber eines, das im hybriden und mobilen Arbeitsalltag zunehmend Relevanz bekommt. Aber es gibt eine Lösung ... Weiterlesen ... [

"Cashback"-Aktion für ehemalige VMware-Kunden

[Sponsored Post]Wie kann man die alten, nicht mehr benötigten Perpetual Software-Lizenzen kapitalisieren, nachdem VMware oder andere Anbieter von Perpetual- zu Abo-Lizenzen schwenken? Weiterlesen ... [

Fünf Best Practices für Single Sign-On zur Absicherung von Zugriffen im Jahr 2026

[Sponsored Post]Single Sign-On (SSO) ist ein zentraler Bestandteil moderner Identitätsarchitekturen. Es vereinfacht den Zugriff für Nutzer und ermöglicht Sicherheitsteams, konsistente Kontrollen über alle Anwendungen hinweg anzuwenden. Hier sollte man aber die "Best practice für SSO" berücksichtigen. Weiterlesen ...

F5 BIG-IP iSeries läuft aus – wie Sie Ihre ADC-Zukunft jetzt sichern

[Sponsored Post]Das Ende der F5 BIG-IP iSeries rückt unaufhaltsam näher. Für viele IT-Abteilungen bedeutet das nicht nur das Aus für eine vertraute Hardware, sondern eine eine Herausforderung, die gesamte Application-Delivery-Strategie auf den Prüfstand zu stellen. Progress Kemp veranstaltet am 30. Januar 2026 ein kostenloses Webinar zur Frage "wie Sie Ihre ADC-Zukunft jetzt sichern" Weiterlesen ...

Windows 10: Update KB5014666 beschädigt Eingabeanzeige und Sprachleiste

Veröffentlicht am 4. August 2022 von Günter Born

Windows[English]Mit dem Ende Juni 2022 für Windows 10 20H2 bis 21H2 freigegebenen Preview-Update gibt es das Problem, dass u.U. die Eingabeanzeige und Sprachenleiste nicht mehr im Statusbereich der Taskleiste angezeigt wird. Microsoft hat den Fehler bestätigt und nimmt die Korrekturen per Known Issues Rollback (KIR) zurück. Hier ein paar Informationen zu diesem Sachverhalt.

Weiterlesen

Veröffentlicht unter Problemlösung, Windows 10 | Verschlagwortet mit , , | 3 Kommentare

Azure AD Connect (AADConnect) Bug-Fix-Update (2. August 2022)

Veröffentlicht am 4. August 2022 von Günter Born

Kurzer Hinweis für Administratoren, die Azure AD Connect im Einsatz haben. Zum 2. August 2022 haben die Entwickler wohl die Version 2.1.16.0 veröffentlicht. Grund für dieses Release war ein Bug, bei dem das Auto-Upgrade fehlschlägt, wenn das Dienstkonto im "UPN"-Format vorliegt.

Weiterlesen

Veröffentlicht unter Windows Server | Verschlagwortet mit , | Kommentar hinterlassen