{"id":191579,"date":"2017-06-21T02:14:33","date_gmt":"2017-06-21T00:14:33","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191579"},"modified":"2023-04-24T00:23:04","modified_gmt":"2023-04-23T22:23:04","slug":"sicherheitsinfos-21-juni-2017","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/06\/21\/sicherheitsinfos-21-juni-2017\/","title":{"rendered":"Sicherheitsinfos 21. Juni 2017"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>Die letzten Tage sind einige Sicherheitsinformationen aufgelaufen, die ich in einem Sammelbeitrag f\u00fcr interessierte Blog-Leser zusammenfasse.<\/p>\n<p><!--more--><\/p>\n<h2>Sorebrect: Datei-lose Ransomware<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/522ec82ffdc34f499ad8061e1ec94326\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsforscher von Trend Micro beschreiben in <a href=\"http:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/analyzing-fileless-code-injecting-sorebrect-ransomware\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> eine neue Ransomware mit dem Namen Sorebrect. Diese ben\u00f6tigt keine Dateien zur Verbreitung und kann Code in legale Betriebssystemprozesse svchost.exe) injizieren. Sorebrect ist so entworfen, dass sowohl Unternehmens-Server als auch Clients befallen werden k\u00f6nnen. Nach einer Infektion verschl\u00fcsselt die Ransomware Dateien auf der Maschine und auf allen Netzwerkfreigaben. Nach der Aktion zerst\u00f6rt sich die Ransomware automatisch, um eine Entdeckung zu vermeiden. Ein etwas lesefreundlicherer Artikel (als bei Trend Micro) findet sich <a href=\"http:\/\/thehackernews.com\/2017\/06\/fileless-ransomware-code-injection.html\" target=\"_blank\" rel=\"noopener\">bei Hacker News<\/a>.<\/p>\n<h2>Fast 1 Million Systeme gew\u00e4hren einen SMB-Gast-Zugang<\/h2>\n<p>\u00dcber das SMBv1-Protokoll bzw. dessen Implementierungsschwachstellen konnte sich die Schadsoftware WannaCry verbreiten. John Matherly, der Gr\u00fcnder der Shodan-Suchmaschine hat nun einige Zahlen <a href=\"https:\/\/twitter.com\/achillean\/status\/872157045029576704\" target=\"_blank\" rel=\"noopener\">ver\u00f6ffentlicht<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">42% of Internet-facing SMB allow guest access. 95% of those are running Samba. <a href=\"https:\/\/t.co\/hDi2hyzAxm\">pic.twitter.com\/hDi2hyzAxm<\/a><\/p>\n<p>\u2014 John Matherly (@achillean) <a href=\"https:\/\/twitter.com\/achillean\/status\/872157045029576704\">6. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Gut 42% der per Internet erreichbaren Systeme erlauben einen Gast-Zugang \u00fcber das SMB-Protokoll. Davon sind 95% Samba-Server unter Linux. Der NSA Exploit ETERNALBLUE kann zwar keine Linux-Systeme angreifen. SMB-Zug\u00e4nge per Internet bergen aber die Gefahr, das diese f\u00fcr Angriffe missbraucht werden. Und unter Linux w\u00fctet ja SambaCry. Weitere Details lassen sich in <a href=\"https:\/\/web.archive.org\/web\/20220408184510\/https:\/\/www.bleepingcomputer.com\/news\/security\/nearly-one-million-systems-provide-guest-smb-access-most-are-linux\/\" target=\"_blank\" rel=\"noopener\">diesem Bleeping-Computer-Beitrag<\/a> nachlesen.<\/p>\n<h2>Mirai-Botnetz k\u00f6nnte Neustart \u00fcberleben<\/h2>\n<p>Bisher waren durch das Mirai-Botnet infizierte IoT-Ger\u00e4te recht einfach zu bereinigen. Nach einem Neustart war der Sch\u00e4dling weg. Wurde das IoT-Ger\u00e4t dann (z.B. durch eine Passwort) abgesichert, konnte keine neue Infektion erfolgen.<\/p>\n<p>Nun haben Sicherheitsforscher aber festgestellt, dass sich das Mirai-Botnetz weiter entwickelt. Neue Schwachstellen erm\u00f6glichen es, dass die Infektion auch einen Neustart des IoT-Ger\u00e4ts \u00fcbersteht. Details lassen sich in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-vulnerability-could-give-mirai-the-ability-to-survive-device-reboots\/\" target=\"_blank\" rel=\"noopener\">diesem englischsprachigen Beitrag<\/a> nachlesen.<\/p>\n<blockquote><p>\u00dcbrigens: 15 % der Nutzer von IoT-Ger\u00e4ten und Routern \u00e4ndern das Kennwort dieser Ger\u00e4te nicht, sondern belassen die Herstellereinstellungen. Dies geht aus <a href=\"https:\/\/web.archive.org\/web\/20210417010158\/http:\/\/blog.ptsecurity.com\/2017\/06\/practical-ways-to-misuse-router.html\" target=\"_blank\" rel=\"noopener\">diesem Bericht<\/a> hervor, der bei Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/15-percent-of-all-iot-device-owners-dont-change-default-passwords\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> aufbereitet wurde.<\/p><\/blockquote>\n<h2>Die Linux Stack Clash-Sicherheitsl\u00fccke<\/h2>\n<p>In Linux klafft eine gravierende Sicherheitsl\u00fccke, die den Namen Stack Clash bekommen hat. \u00dcber diese L\u00fccke k\u00f6nnen Angreifer sich root-Rechte unter Linux und Unix verschaffen. Das erste Mal wurde eine Schwachstelle bereits 2005 gefunden \u2013 und dann gab es 2010 einen Patch. Jetzt ist wieder eine Sicherheitsl\u00fccke gefunden worden. Allerding ben\u00f6tigt der Angreifer lokalen Zugriff auf das System. Details finden sich bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/stack-clash-vulnerability-grants-root-access-on-linux-and-other-unix-oses\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a> (Englisch) und bei <a href=\"https:\/\/www.heise.de\/security\/meldung\/Stack-Clash-Schwachstelle-fuehrt-zu-Rechteausweitung-auf-Linux-und-BSD-Systemen-3748070.html\" target=\"_blank\" rel=\"noopener\">heise.de<\/a> (Deutsch). Erg\u00e4nzung: Gem\u00e4\u00df <a href=\"https:\/\/web.archive.org\/web\/20230129031648\/https:\/\/thenewstack.io\/linux-bsd-solaris-servers-risk-compromise-stack-clash-flaw\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag <\/a>(Englisch) sollen wohl Patches verf\u00fcgbar sein.<\/p>\n<h2>Erebus-Ransomware: Hoster zahlt 1 Million<\/h2>\n<p>Der in S\u00fcdkorea aktive Hoster Nayana hat Erpressern 1 Million US $ L\u00f6segeld gezahlt, nachdem 153 Linux-Server mit dem Erpressungsgstrojaner Erebus infiziert wurden. Dabei wurden Kundendaten, die auf diesen Linux-Servern gehostet waren, verschl\u00fcsselt. Der Angriff wurde m\u00f6glich, weil beim Hoster veraltete Linux-Kernel und PHP-Versionen eingesetzt wurden. Details lassen sich in <a href=\"https:\/\/www.heise.de\/security\/meldung\/Verschluesselungstrojaner-Erebus-Hoster-zahlt-1-Million-US-Dollar-Loesegeld-3747944.html\" target=\"_blank\" rel=\"noopener\">diesem heise.de-Artikel<\/a> nachlesen.<\/p>\n<h2>NSA-Malware infiziert PCs mit Crypto-Miner<\/h2>\n<p>Die Hacker haben nicht lange gefackelt. Nachdem diverse Exploits der NSA publik wurden, hat jemand den Code des DOUBLEPULSAR-Exploits genutzt, um ungepatchte Windows-Systeme mit einem Crypto-Miner Trojan.BtcMine.1259 zu infizieren. Der Angriff erfolgt \u00fcber die SMBv1-Schnittstelle. Details lassen sich in <a href=\"https:\/\/web.archive.org\/web\/20221206233336\/https:\/\/www.bleepingcomputer.com\/news\/security\/nsa-malware-used-to-infect-windows-pcs-with-cryptocurrency-miner\/\" target=\"_blank\" rel=\"noopener\">diesem englischsprachigen Beitrag<\/a> nachlesen. Nachtrag: Zwischenzeitlich hat heise.de <a href=\"https:\/\/www.heise.de\/security\/meldung\/Windows-Trojaner-nutzt-NSA-Hintertuer-um-verdeckt-Kryptowaehrungen-zu-schuerfen-3751247.html\" target=\"_blank\" rel=\"noopener\">diesen deutschsprachigen Beitrag<\/a> zum Thema publiziert.<\/p>\n<h2>125.000 Euro Strafe f\u00fcr verschleppte Updates<\/h2>\n<p>Und das Letzte: das Information Commissioner's Office (ICO) in Gro\u00dfbritannien hat dem Stadtrat der Stadt Gloucester eine Strafe von $125.000 Euro aufgebrummt. Der Grund: Die lokalen Beh\u00f6rden haben es 3 Monate vers\u00e4umt, Sicherheits-Updates auf ihren IT-Systemen einspielen zu lassen. Am Ende des Tages kam es dann 2014 zu einem Hack, bei dem 30.000 E-Mails abgezogen wurden. Details finden sich <a href=\"https:\/\/web.archive.org\/web\/20221206070806\/https:\/\/www.bleepingcomputer.com\/news\/security\/uk-city-council-slapped-with-100k-fine-after-failure-to-update-server-leads-to-hack\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die letzten Tage sind einige Sicherheitsinformationen aufgelaufen, die ich in einem Sammelbeitrag f\u00fcr interessierte Blog-Leser zusammenfasse.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-191579","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191579"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191579\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}