{"id":227623,"date":"2020-01-29T13:24:19","date_gmt":"2020-01-29T12:24:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227623"},"modified":"2024-08-23T22:32:47","modified_gmt":"2024-08-23T20:32:47","slug":"sicherheitsinformationen-28-januar-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/29\/sicherheitsinformationen-28-januar-2020\/","title":{"rendered":"Sicherheitsinformationen (28. Januar 2020)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/01\/29\/security-information-january-28-2020\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Auch nachdem der europ\u00e4ische Datenschutztag vorbei ist, dr\u00e4uen diverse Sicherheitsthemen weiter im Untergrund. Im Blog-Beitrag m\u00f6chte ich einige Informationen aufgreifen, die mir die letzten Stunden unter die Augen gekommen sind. Von der Analyse des Ransomware-Befalls am Berliner Kammergericht \u00fcber Maze und ver\u00f6ffentlichte Daten bis hin zu Datenlecks ist alles dabei.<\/p>\n<p><!--more--><\/p>\n<h2>Ransomware am Kammergericht Berlin:Totalschaden<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/455fec9d7a78472d96e3abf9bb703967\" width=\"1\" height=\"1\"\/>Beim Berliner Oberlandesgericht (OLG) mussten die Computersystem im letzten Herbst wegen einer Infektion mit Schadsoftware vom Netz genommen werden (siehe mein Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/02\/emotet-trojaner-befall-in-berliner-oberlandesgericht\/\">Emotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a>). Blog-Leser Anton hat die Tage in <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/02\/emotet-trojaner-befall-in-berliner-oberlandesgericht\/#comment-83875\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Kommentar<\/a> darauf hingewiesen, dass der Abschlussbericht von T-Systems \u00fcber das Ausma\u00df des Schadsoftwarebefalls ver\u00f6ffentlicht sei. <\/p>\n<p>In dem Gespr\u00e4ch, anl\u00e4sslich der Vorstellung des Abschlussberichts am 24. Januar 2020, wurde mitgeteilt, dass Daten wie etwa Zugangsdaten abgeflossen sind. Es ist insoweit davon auszugehen, dass durch die Schadsoftware Passw\u00f6rter, wie beispielsweise Browserpassw\u00f6rter, abgeflossen sind.  <\/p>\n<p>Die Trojaner Emotet und Trickbot konnten \u00fcber mehrere Tage hinweg weitgehend ungehindert im Netz des Gerichts agieren und Daten abziehen. Selbst Indizien f\u00fcr einen manuellen, interaktiven Zugriff durch die Angreifer gibt es im vorl\u00e4ufigen. IT-technisch ist der Vorfall als Totalschaden zu betrachten. Ich hatte es in folgendem Tweet satirisch aufgespie\u00dft.  <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"de\" dir=\"ltr\">Was <a href=\"https:\/\/twitter.com\/hashtag\/Dresden?src=hash&amp;ref_src=twsrc%5Etfw\">#Dresden<\/a> kann (Gr\u00fcne Gew\u00f6lbe), kann <a href=\"https:\/\/twitter.com\/hashtag\/Berlin?src=hash&amp;ref_src=twsrc%5Etfw\">#Berlin<\/a> schon lange. <a href=\"https:\/\/twitter.com\/hashtag\/Datenraub?src=hash&amp;ref_src=twsrc%5Etfw\">#Datenraub<\/a> (Kronjuwelen) beim Kammergericht &#8211; mal schauen, wo die Klunker, \u00e4h Daten, demn\u00e4chst angeboten werden. <a href=\"https:\/\/t.co\/sGRximANWG\">https:\/\/t.co\/sGRximANWG<\/a><\/p>\n<p>\u2014 G\u00fcnter Born (@etguenni) <a href=\"https:\/\/twitter.com\/etguenni\/status\/1222128101796261889?ref_src=twsrc%5Etfw\">January 28, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der Senator Dr. Dirk Behrendt beabsichtigt, dem Kammergericht externen Sachverstand zur Seite zu stellen, um eine IT-Infrastruktur und IT-Sicherheit am Gericht zu gew\u00e4hrleisten, die den aktuellen Anforderungen entspricht. heise hat einiges aus dem Bericht in <a href=\"https:\/\/www.heise.de\/security\/meldung\/Emotet-IT-Totalschaden-beim-Kammergericht-Berlin-4646568.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> aufbereitet.  <\/p>\n<h2>Maze-Hinterm\u00e4nner publizieren weitere Nutzerdaten<\/h2>\n<\/p>\n<p>Die Drahtzieher der Maze-Ransomware drohen ihren Opfern, wenn sie nicht zahlen, mit der Ver\u00f6ffentlichung der erbeuteten Dokumente. Ich hatte es im Blog bisher nicht thematisiert, aber die Kollegen von Bleeping Computer haben <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/maze-ransomware-not-getting-paid-leaks-data-left-and-right\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> und <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/maze-ransomware-sued-for-publishing-victims-stolen-data\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> \u00fcber die Ver\u00f6ffentlichung von Daten berichtet. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/MazeTeam?src=hash&amp;ref_src=twsrc%5Etfw\">#MazeTeam<\/a> updates its site, dumps more victims' data: <a href=\"https:\/\/t.co\/3xV5NuSNPD\">https:\/\/t.co\/3xV5NuSNPD<\/a> One of them is a <a href=\"https:\/\/twitter.com\/hashtag\/HIPAA?src=hash&amp;ref_src=twsrc%5Etfw\">#HIPAA<\/a>-covered entity, one of them is a community college, and one is a famous brewery.<\/p>\n<p>\u2014 Dissent Doe, PhD (@PogoWasRight) <a href=\"https:\/\/twitter.com\/PogoWasRight\/status\/1222297309683310594?ref_src=twsrc%5Etfw\">January 28, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Obigem Tweet entnehme ich, dass die Maze-Hinterm\u00e4nner flei\u00dfig weitere Daten von Opfern \u00f6ffentlich stellen. <\/p>\n<h2>Exploit f\u00fcr frisch gepatchte RDP-Schwachstelle<\/h2>\n<p>In Windows gibt es eine Schwachstelle im RDP-Protokoll, welches zum 14. Januar 2020 durch Microsoft geschlossen wurde. Inzwischen gibt es einen Exploit zur Ausnutzung, was bekannt ist.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"de\" dir=\"ltr\">Exploit f\u00fcr frisch gepatchte RDP-L\u00fccke in Windows Server ver\u00f6ffentlicht &#8211; <a href=\"https:\/\/t.co\/R7fX9mMVlA\">https:\/\/t.co\/R7fX9mMVlA<\/a> <a href=\"https:\/\/t.co\/6LEck9nabl\">pic.twitter.com\/6LEck9nabl<\/a><\/p>\n<p>\u2014 ZDNet.de (@zdnet_de) <a href=\"https:\/\/twitter.com\/zdnet_de\/status\/1222124356316344320?ref_src=twsrc%5Etfw\">January 28, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>ZDnet hat das Thema in obigem Tweet aufgegriffen und weist auf einen deutschsprachigen Artikel zum Thema hin \u2013 kann ich mir die Schreibe also sparen. <\/p>\n<h2>Tracking-Apps bei US-College-Studenten <\/h2>\n<p>In den USA schlagen \u00dcberwachungsma\u00dfnahmen Kapriolen. \u00dcber Aryeh Goretsky wurde ich auf folgenden Tweet aufmerksam.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">US colleges are trying to install location tracking apps on students' phones <a href=\"https:\/\/t.co\/XoghPJh1Ko\">https:\/\/t.co\/XoghPJh1Ko<\/a> via <a href=\"https:\/\/twitter.com\/verge?ref_src=twsrc%5Etfw\">@Verge<\/a><\/p>\n<p>\u2014 Aryeh Goretsky (@goretsky) <a href=\"https:\/\/twitter.com\/goretsky\/status\/1222435630921048064?ref_src=twsrc%5Etfw\">January 29, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die University of Missouri verlangt von neuen Studenten die Installation der SpotterEDU-App, wobei diese aber nur f\u00fcr Sportstudenten verpflichtend sei. Mit der App, die Apples iBeacons verwendet, um ein Bluetooth-Signal zu senden, l\u00e4sst sich mit Hilfe des Smartphones herausfinden, ob sich ein Sch\u00fcler tats\u00e4chlich in einem Raum befindet. Es stand der Verdacht im Raum, dass die App alle Bewegungen per GPS \u00fcberwacht und aufzeichnet \u2013 was aber negiert wurde. Diese und \u00e4hnliche Apps werden an US-Schulen und Universit\u00e4ten derzeit getestet. \u00dcberwachung, wie an chinesischen Schulen?<\/p>\n<h2>30 Millionen Wawa-Kreditkartendaten online angeboten<\/h2>\n<p>Im Dezember 2019 gab die US-Firma Wawa einen gro\u00dfen Sicherheitsversto\u00df bekannt. Hacker hatten Malware in die Kassensysteme des Unternehmens eingeschleust, die Kreditkartendaten abziehen konnte. Wawa teilte mit, die Malware habe Kartendaten aller Kunden gesammelt, die mit Kredit- oder Debitkarten in ihren Lebensmittell\u00e4den und Tankstellen einkauften. Das Unternehmen sagte, dies habe sich auf alle seine 860 Einzelhandelsgesch\u00e4fte ausgewirkt, wobei 600 davon auch Tankstellen aufwiesen. Nun sind diese Kreditkartendaten auf dem Markt, wie folgender Tweet verr\u00e4t. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Per Gemini Advisory, the Wawa card dump appears to contain:<\/p>\n<p>&#8211; 30 million US card records for users across 40 states<br \/>&#8211; 1 million international cards from 100 countries<\/p>\n<p>US cards are sold for $17\/card<br \/>International cards are sold for $210\/card<a href=\"https:\/\/t.co\/NUjN1qYS7W\">https:\/\/t.co\/NUjN1qYS7W<\/a> <a href=\"https:\/\/t.co\/PRg6zXsRIa\">pic.twitter.com\/PRg6zXsRIa<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1222281448662740992?ref_src=twsrc%5Etfw\">January 28, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Am Montag haben Hacker die Zahlungskartendaten von mehr als 30 Millionen Amerikanern und \u00fcber einer Million Ausl\u00e4ndern in Joker's Stash, dem gr\u00f6\u00dften Betrugsforum f\u00fcr Kartenzahlungen im Internet, zum Verkauf angeboten. Dieses neue \"Kartendepot\" wurde unter dem Namen BIGBADABOOM-III beworben, doch nach Angaben von Experten des Nachrichtendienstes Gemini Advisory wurden die Kartendaten bis zu Wawa zur\u00fcckverfolgt.<\/p>\n<h2>Kinokette verliert Millionen Nutzerdaten<\/h2>\n<p>Das Safety Detective Research Team hat herausgefunden, dass es bei der peruanischen Kinokette Cineplanet ein Datenleck gab. Es waren Millionen von Datens\u00e4tzen mit pers\u00f6nlichen Daten der Nutzer per Internet zug\u00e4nglich. Zu den Daten geh\u00f6rten pers\u00f6nliche Angaben der Benutzer, Anmeldedaten mit unverschl\u00fcsselten Passw\u00f6rtern, zahlungsbezogene Daten usw. <\/p>\n<p><img decoding=\"async\" title=\"Azure-Host\" alt=\"Azure-Host\" src=\"https:\/\/www.safetydetectives.com\/wp-content\/uploads\/2020\/01\/server-size_censored.jpg\"\/><\/p>\n<p>Das Unternehmen hatte seine Datenbest\u00e4nde auf einem Microsoft Azure-Server in Virginia, USA, gehostet. Gefunden wurden etwa 14 Millionen Login-Datens\u00e4tze und \u00fcber 205 Millionen Datenprotokolle. Das Leck wurde am 24. Januar 2020 geschlossen. Die Details lassen sich in <a href=\"https:\/\/www.safetydetectives.com\/blog\/cineplanet-leak-report\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem englischsprachigen Beitrag<\/a> nachlesen. <\/p>\n<h2>Magento 2.3.4 fixt kritische Schwachstelle<\/h2>\n<p>Abschlie\u00dfend noch ein Hinweis f\u00fcr Leute, die einen Online-Shop mit Magento betreiben. Mit Magento 2.3.4 wird eine kritische Remote Execution-Schwachstelle geschlossen. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Magento 2.3.4 Fixes Critical Code Execution Vulnerabilities &#8211; by <a href=\"https:\/\/twitter.com\/Ionut_Ilascu?ref_src=twsrc%5Etfw\">@Ionut_Ilascu<\/a><a href=\"https:\/\/t.co\/QkJ58QZj5U\">https:\/\/t.co\/QkJ58QZj5U<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1222312960468627456?ref_src=twsrc%5Etfw\">January 29, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Details lassen sich bei den Kollegen von Bleeping Computer nachlesen. An dieser Stelle vielleicht auch der Hinweis, dass eine Reihe Magento-Versionen dieses Jahr das End-of-Life erreichen. Nachfolgender Tweet von Catalin Cimpanu weist darauf hin.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Between 200,000 and 240,000 Magento online stores will reach EOL next year<\/p>\n<p>&gt; Magento 1.x EOL is June 2020<br \/>&gt; Magento 1.x accounts for ~80% of all Magento stores<br \/>&gt; Adobe already posted EOL from Nov 2018<br \/>&gt; Why update? One word: Magecart!<a href=\"https:\/\/t.co\/SRdLDADn8x\">https:\/\/t.co\/SRdLDADn8x<\/a> <a href=\"https:\/\/t.co\/F6EsSqucmh\">pic.twitter.com\/F6EsSqucmh<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1192213987720679424?ref_src=twsrc%5Etfw\">November 6, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<h2>BSD\/Linux: RCE-Schwachstelle in OpenSMTPD-Library<\/h2>\n<\/p>\n<p>In der von BSD und Linux verwendeten OpenSMTPD-Library gibt es eine Remote Code Execution-Schwachstelle (CVE-2020-7247), wie nachfolgender Tweet offen legt.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"in\" dir=\"ltr\">Nun BSD und Linux dran <a href=\"https:\/\/t.co\/FssLfcm4sP\">https:\/\/t.co\/FssLfcm4sP<\/a><\/p>\n<p>\u2014 G\u00fcnter Born (@etguenni) <a href=\"https:\/\/twitter.com\/etguenni\/status\/1222498798246690817?ref_src=twsrc%5Etfw\">January 29, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Ein Sicherheitshinweise dazu <a href=\"https:\/\/github.com\/OpenSMTPD\/OpenSMTPD\/releases\" target=\"_blank\" rel=\"noopener noreferrer\">gibt es auf GitHub<\/a>. Erste <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1222470670640128006\" target=\"_blank\" rel=\"noopener noreferrer\">Best\u00e4tigungen von Betroffenen<\/a> (Debian, AlpineLinux), die patchen, gibt es schon. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Auch nachdem der europ\u00e4ische Datenschutztag vorbei ist, dr\u00e4uen diverse Sicherheitsthemen weiter im Untergrund. Im Blog-Beitrag m\u00f6chte ich einige Informationen aufgreifen, die mir die letzten Stunden unter die Augen gekommen sind. Von der Analyse des Ransomware-Befalls am Berliner Kammergericht \u00fcber Maze &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/29\/sicherheitsinformationen-28-januar-2020\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-227623","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227623","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227623"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227623\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227623"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227623"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227623"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}