![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Heute wieder ein Sammelbeitrag, in dem ich einige Sicherheitsthemen dieser Tage zusammenfasse. Verschl\u00fcsselungstrojaner wie WannaCry oder Locky bedrohen ungepatchte Systeme, ein entlassener IT-Administator hat Wasserwerke still gelegt und mehr.<\/p>\n
<\/p>\n
Hier l\u00e4sst sich nur empfehlen, dass noch zu betreibende Systeme mit Windows XP und Windows Vista wenigstens zu patchen sind. In folgenden Beitr\u00e4gen gebe ich Hinweise auf aktuelle Sicherheitsupdates.<\/p>\n Sicherheits-Updates f\u00fcr Windows XP\/ Server 2003<\/a> \u00dcber die Ransomware WannaCry, die Mitte Mai 2017 hundertausende Rechner befiel, hatte ich ja eine Reihe Blog-Beitr\u00e4ge publiziert. Die Verbreitung konnte durch einen entdeckten Killswitch gestoppt werden. Aber Wanny Cry ist l\u00e4ngst noch nicht tot.<\/p>\n Bringt mich nat\u00fcrlich zur Frage: Sind die alle bl\u00f6d, dass einen Monat nach der ersten WannaCry-Attacke immer noch ungepatchte Systeme aktiv sind. Die Antwort ist recht einfach: Die Kette ist immer so stark, wie das schw\u00e4chste Glied. Die aktuelle F\u00e4lle sind das beste Beispiel, dass vernetzte Systeme schlicht nicht in den Griff zu bekommen sind. In der Theorie kann man so wunderbar erkl\u00e4ren, wie und warum man das alles absichern kann. Und dann hat der Administrator in der Praxis pl\u00f6tzlich D\u00fcnnschiss und kommt nicht mehr vor Klo, w\u00e4hrend die Rechner im Netzwerk flei\u00dfig von Malware befallen werden.<\/p>\n Lawrence Abrams, der Gr\u00fcnder von Bleeping Computer, beschreibt in diesem Artikel<\/a> eine Ransomware mit dem Namen TeslaWare, die momentan in russischen Untergrundforen gehandelt wird. Die Ransomware enth\u00e4lt auch Code, um sich als Wurm in einem Netzwerk zu verbreiten. Eine Analyse der Ransomeware ergab, dass diese aber recht ineffizient geschrieben sei und sehr langsam arbeitet. Zudem gibt es Bugs im Programm, so dass eine Entschl\u00fcsselung m\u00f6glich ist. Allerdings spielt die Malware russisches Roulette mit den Dateien: Nach 59 Minuten werden 10 Dateien vom Desktop oder aus Unterordnern gel\u00f6scht. Nach 72 Stunden werden alle Dateien auf dem Laufwerk C.: gel\u00f6scht. Weitere Details sind dem verlinkten Artikel zu entnehmen.<\/p>\n Ein entlassener Angestellter ist jetzt von einem Gericht in Pennsylvania zu einem Jahr Haft verurteilt worden, weil er seinen Arbeitgeber gehackt hatte. Konkret griff er in die IT-Netzwerke verschiedener Wasserwerke ein, die er fr\u00fcher betreut hatte. Damit st\u00f6rte er die Wasserversorgung von f\u00fcnf St\u00e4dten, wie man bei Bleeping Computer nachlesen<\/a> kann. St\u00fctzt mal wieder die These, dass der Feind oft in den eigenen vier W\u00e4nden sitzt.<\/p>\n Zweiter Beleg f\u00fcr die These: Eigene Leute sind die \u00dcbelt\u00e4ter ist dieser heise.de-Artikel<\/a>. Diesem Beitrag zufolge hat ein Ingenieur, dem gek\u00fcndigt wurde, Teile der Software von Funkmasten mit den Texten von Ping Floyd-Songs \u00fcberschrieben. Der Gute ist jetzt f\u00fcr ein Jahr verknackt worden.<\/p>\n Und noch eine kurze Info. Reuters berichtet in einem exklusiven Artikel<\/a>, wie man ein System von Schattenbanken, die von Spielern im Untergrund f\u00fcr Zahlungen im Internet genutzt wird, aufgedeckt habe. Die Schattenbank nutzt ein System aus gefakten Webshops, die angeblich Haushaltswaren vertreiben. Die in Europa operierenden Seiten dienten aber dazu, Geld f\u00fcr Internet-Spielbanken zu waschen<\/p>\n Es ist ein Fall mit Ansage: In der vom Hersteller Rarlab angeboten RAR-Bibliothek gibt es einen Bug bzw. Sicherheitsl\u00fccke, die zu einer Memory-Corruption f\u00fchren und f\u00fcr Angriffe verwendet werden kann. Die Sicherheitsl\u00fccke wurde von Tavis Ormandis vom Google Project Zero bereits 2012 gefunden<\/a> und an Sophos gemeldet. Sophos hat einen Fix f\u00fcr seine Produkte herausgebracht \u2013 und das war es dann auch.<\/p>\n Die RAR-Bibliothek wurde flei\u00dfig von anderen Antivirenherstellern eingesetzt, ohne dass der Entwickler der Bibliothek \u00fcber die Schwachstelle informiert wurde. Anfang Juni 2017 machte Thomas Dullen in diesem Chromium-Bug-Report<\/a> darauf aufmerksam, dass der Fehler immer noch nicht gepatcht sei, wenn die urspr\u00fcngliche RAR-Bibliothek verwendet werde. Bedeutet: Antivirus-Software, deren Hersteller diese Bibliothek einsetzen, sind potentiell von der Sicherheitsl\u00fccke betroffen. Wie heise.de hier schreibt<\/a>, sind eine Reihe AV-Hersteller (nicht aber der Windows Defender) betroffen.<\/p>\n Der Windows Defender scheint nicht angreifbar \u2013 da Microsoft m\u00f6glicherweise eigene Bibliotheken einsetzt. Aber die Malware Protection Enging (MsMpEng) hat erst am Wochenende ein Sicherheitsupdate erfahren, wie ich im Beitrag Microsoft schlie\u00dft Sicherheitsl\u00fccke CVE-2017-8558 in der Malware Protection Engine (23. Juni 2017)<\/a> berichtete.<\/p><\/blockquote>\n Wer den Zugriff auf ein Online-Konto verliert, kann bei den meisten Systemen das Kennwort zur\u00fccksetzen. Israelische Sicherheitsforscher haben nun ein Konzept vorgelegt, mit dem Angreifer einen Benutzer bei diesem Vorgang austricksen k\u00f6nnen.<\/p>\n Der Password Reset Man-in-the-Middle genannte Angriff basiert darauf, dass Nutzer auf eine pr\u00e4parierte Webseite gelockt werden, auf denen sie ein Formular zum Zur\u00fccksetzen eines Passworts f\u00fcr einen Online-Dienst vorfinden. Gibt der Benutzer seine Daten an, greifen die Cyberkriminellen die Daten ab und leiten diese an eigene Server um. Gleichzeitig wird eine Anfrage zum Zur\u00fccksetzen des Passworts an Dienste wie Google, Yahoo etc. geschickt. Damit lassen sich E-Mail-Konten recht leicht \u00fcbernehmen \u2013 Details sind bei BleepingComputer beschrieben<\/a>.<\/p>\n Der letzte Infosplitter f\u00fcr heute: Vor ein paar Tagen hat WikiLeaks Geheimdokumente der CIA ver\u00f6ffentlicht. Dort geht es um eine Technik, um Rechner, die nicht am Netzwerk und am Internet h\u00e4ngen, per USB-Stick zu infizieren. Das Prinzip: Zuerst werden Rechner im Netzwerk infiziert. Die CIA geht davon aus, dass irgendwann Dateien per USB-Stick auf die Standalone-Rechner transferiert werden m\u00fcssen. Wird ein USB-Stick an einem infizierten Rechner angest\u00f6pselt, kopiert sich die Schadsoftware des CIA auf den Stick. Wird der USB-Stick an einen netzwerklosen Rechner angeschlossen, infiziert dieser den Rechner. Das gleiche Prinzip wurde von Stuxnet verwendet, um iranische Atomanlagen anzugreifen. Spiegel Online hat hier einen Artikel<\/a> ver\u00f6ffentlicht, der die Vorgehensweise gut beschreibt \u2013 vielleicht f\u00fcr Administratoren in Firmen ganz lehrreich. Ein weitere Artikel (Englisch) findet sich hier<\/a>.<\/p>\n Momentan l\u00e4uft einen Attacke mit dem Petya Verschl\u00fcsselungstrojaner, n\u00e4heres findet sich im Blog-Beitrag\u00a0Achtung: Petya Ransomware bef\u00e4llt weltweit System<\/a>.<\/p>\n Ach: Und noch was – Apple und Cisco m\u00f6chten, dass die Pr\u00e4mien von Cyberversicherungen sinken, wenn Ger\u00e4te deren Software verwenden. Kann man hier nachlesen<\/a>\u00a0(englisch) – einen deutschen Artikel gibt es hier<\/a>.<\/p>\n \u00c4hnliche Artikel:<\/strong> Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a> Heute wieder ein Sammelbeitrag, in dem ich einige Sicherheitsthemen dieser Tage zusammenfasse. Verschl\u00fcsselungstrojaner wie WannaCry oder Locky bedrohen ungepatchte Systeme, ein entlassener IT-Administator hat Wasserwerke still gelegt und mehr.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[916,4839,4328,6177],"class_list":["post-191728","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hacks","tag-locky","tag-sicherheit","tag-wannacry"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191728","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191728"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191728\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191728"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191728"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191728"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Locky ist ein Verschl\u00fcsselungstrojaner \u00fcber den ich mehrfach im Blog berichtet habe (siehe Ransomware: Angriffswelle mit Locky & Co im November 2016<\/a>). Der Trojaner w\u00fctete vor allem 2016, scheint aber jetzt zur\u00fcck zu sein. In einer massiven Spam-Welle haben Sicherheitsforscher die Ransomware gefunden. Wie BleepingComputer hier berichtet<\/a>, scheint die Ransomware aber nur auf Windows XP und Vista zu zielen. Denn eine Analyse von Thalos<\/a> (Englisch) ergab, dass die Entpackungsroutinen der Malware unter Windows 7 und h\u00f6her wegen der dort verwendeten DEP-Sicherheitsfunktion nicht funktionieren. Ein deutschsprachiger Beitrag zu Locky findet sich hier bei heise.de<\/a>.<\/p>\n
\nTipp: Updates f\u00fcr Windows Vista nach Supportende<\/a><\/p>\nWannaCry noch aktiv<\/h2>\n
\n
TeslaWare Ransomeware<\/h2>\n
Gefeuerter Angestellter blockiert Wasserversorgung<\/h2>\n
Gefeuerter Ingenieur killt Software f\u00fcr Funkmasten<\/h2>\n
Schattenbank hinter Fake-Shops entdeckt<\/h2>\n
Risiko: Bug in RAR-Kompressionsbiblithek<\/h2>\n
PRMitM: Angriff auf Passwort-Reset-Prozesse<\/h2>\n
CIA kann Rechner per USB-Sticks angreifen<\/h2>\n
Das Allerletzte<\/h2>\n
\nCyber-Crime: Crypto-Trojaner, Betrugsmails & mehr (20.2.2016)<\/a>
\nRansomware: Angriffswelle mit Locky & Co im November 2016<\/a>
\nNeue Locky-Trojaner-Welle und weitere Sicherheitsthemen<\/a>
\nLocky tauchte bereits Mitte Februar in Mails auf<\/a>
\nNice: 'BKA-Warnung' vor Locky mit Virus inside<\/a>
\nWas sch\u00fctzt vor Locky und anderer Ransomware?<\/a><\/p>\n
\nMalwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a>
\nWannaCrypt: Updates f\u00fcr Windows XP, Server 2003 & Co.<\/a>
\nWannaCry: Neue Versionen und mehr Neuigkeiten<\/a>
\nWannaCry: Die Lage am Montag<\/a>
\nWannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a>
\nMalwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a>
\nWannaCry: Hinweise auf Lazarus-Gruppe<\/a>
\nWannaCry: Verschl\u00fcsselte Daten per Recovery retten?<\/a>
\nWannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor<\/a>
\n'WannaCry' \u00e4hnliche Android-Malware und Dvmap-Trojaner<\/a>
\nWannaCry: Analysen, Windows 10-Port, Daten-Recovery \u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"