{"id":227724,"date":"2020-01-31T23:57:58","date_gmt":"2020-01-31T22:57:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227724"},"modified":"2020-09-11T10:14:42","modified_gmt":"2020-09-11T08:14:42","slug":"sicherheitsinformationen-31-januar-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/31\/sicherheitsinformationen-31-januar-2020\/","title":{"rendered":"Sicherheitsinformationen (31. Januar 2020)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/02\/01\/sicherheitsinformationen-31-januar-2020\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Zum Abschluss des Monats Januar 2020 noch einige Informationen zu Sicherheitsthemen,\u00a0 die mir die letzten Stunden unter die Augen gekommen sind.<\/p>\n<p><!--more--><\/p>\n<h2>NEC 2016 gehackt<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/ee3256bb118247dcaf380728e43693aa\" alt=\"\" width=\"1\" height=\"1\" \/>Der japanische Hersteller NEC (Elektronik und IT) wurde 2016 gehackt und es wurden Daten abgezogen. Hacker haben 27.445 Dateien aus dem Gesch\u00e4ftsbereich Verteidigung gestohlen. Der Hack wurde erst jetzt <a href=\"https:\/\/jpn.nec.com\/press\/202001\/20200131_01.html\" target=\"_blank\" rel=\"noopener noreferrer\">\u00f6ffentlich<\/a> gemacht.<\/p>\n<blockquote><p>NEC best\u00e4tigt, dass einige der internen Server, die vom Verteidigungsgesch\u00e4ftsbereich des Unternehmens verwendet werden, einem nicht autorisierten Zugriff durch Dritte unterliegen. Aufgrund von Untersuchungen des Unternehmens und externer Fachorganisationen wurden bisher keine Sch\u00e4den wie Informationslecks best\u00e4tigt.<\/p><\/blockquote>\n<p>Der letzte Satz ist allerdings Realsatire, die in Japan zum Kerngesch\u00e4ft geh\u00f6rt (oder mein \u00dcbersetzer spinnt). Denn in der \u00dcbersicht zum nicht autorisierten Zugriff hei\u00dft es:<\/p>\n<blockquote><p>Juli 2018 ist es uns gelungen, die verschl\u00fcsselte Kommunikation mit einem infizierten Server und einem externen Server, der nicht autorisierte Kommunikation ausf\u00fchrte, zu entschl\u00fcsseln und auf unserem internen Server f\u00fcr den Informationsaustausch mit anderen Abteilungen unseres Gesch\u00e4ftsbereichs Verteidigung zu speichern. Es wurde festgestellt, dass auf 27.445 Dateien illegal zugegriffen wurde.<\/p><\/blockquote>\n<p>Man muss sich das in der japanischen Realit\u00e4t so vorstellen: Wir haben nachgesehen, da auf dem Server sind noch alle Dateien vorhanden, also ist nichts weggekommen, ergo gab es auch keine Sch\u00e4den.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">NEC confirmed defense business division security breach in a press release issued today.<\/p>\n<p>\u2022 Network initially infiltrated after December 2016<br \/>\n\u2022 Unauthorized communication detected and blocked in June 2017<br \/>\n\u2022 Encrypted communication with external servers decrypted in July 2018 <a href=\"https:\/\/t.co\/S9Wdj1TH17\">pic.twitter.com\/S9Wdj1TH17<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1223041476101394435?ref_src=twsrc%5Etfw\">January 31, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der obige Tweet zeigt Ausrisse aus der Pressemitteilung von NEC. Catalin Cimpanu hat es auf ZDnet.com aufbereitet, wie er in folgendem Tweet schreibt.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">In a press conference today, Japan's defense minister says NEC is second of four defense companies that have been hacked between 2016 and 2018.<\/p>\n<p>The first was Mitsubishi Electric &#8212; breach disclosed last week.<\/p>\n<p>The last two have not been named yet.<\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1223214587153088512?ref_src=twsrc%5Etfw\">January 31, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Jetzt hat Japans Verteidigungsminister den Hack, der sieben Monate unbemerkt blieb, bei NEC \u00f6ffentlich gemacht. Bleeping Computer hat <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/nec-defense-contracts-info-potentially-compromised-in-breach\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> ebenfalls einen Artikel zum Thema ver\u00f6ffentlicht.<\/p>\n<h2>Universit\u00e4ten in Hongkong mit Malware infiziert<\/h2>\n<p>Laut nachfolgendem Tweet von Bleeping Computer wurden die Universit\u00e4ten in Hongkong mit Malware infiziert. Die Infektion soll mit der Malware Winnti erfolgt sein.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Winnti Group Infected Hong Kong Universities With Malware &#8211; by <a href=\"https:\/\/twitter.com\/serghei?ref_src=twsrc%5Etfw\">@serghei<\/a><a href=\"https:\/\/t.co\/gkCRY2IMiK\">https:\/\/t.co\/gkCRY2IMiK<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1223297746871910400?ref_src=twsrc%5Etfw\">January 31, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Angriffe wurden im November 2019 entdeckt, nachdem die Augur-Maschinenlern-Engine der Sicherheitsfirma Malware-Proben von ShadowPad Launcher auf mehreren Ger\u00e4ten an den beiden Universit\u00e4ten entdeckt hatte, nachdem zwei Wochen zuvor, im Oktober, bereits Winnti-Malware-Infektionen entdeckt worden waren.<\/p>\n<p>Diese Angriffe waren sehr gezielt, da die Winnti-Malware und die multimodulare Shadowpad-Backdoor sowohl Befehls- und Kontroll-URLs als auch Kampagnenkennungen in Verbindung mit den Namen der betroffenen Universit\u00e4ten enthielten.<\/p>\n<h2>Magento per RCE-Schwachstelle angreifbar<\/h2>\n<p>Die eCommerce-Shop-Software Magento weist bis zu den Versionen 1.9.4.3\/1.14.4.3\/2.2.10\/2.3.3 eine Remote Code Execution-Schwachstelle auf, wie nachfolgender Tweet mitteilt.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Magento up to 1.9.4.3\/1.14.4.3\/2.2.10\/2.3.3 Deserialization Remote Code Execution <a href=\"https:\/\/t.co\/2178vtaObr\">https:\/\/t.co\/2178vtaObr<\/a> <a href=\"https:\/\/t.co\/Mzf1pPb0Nr\">pic.twitter.com\/Mzf1pPb0Nr<\/a><\/p>\n<p>\u2014 Digitalmunition (@maher275) <a href=\"https:\/\/twitter.com\/maher275\/status\/1222889620364505094?ref_src=twsrc%5Etfw\">January 30, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Heise hat <a href=\"https:\/\/www.heise.de\/security\/meldung\/Jetzt-updaten-CMS-Magento-ueber-sechs-verschiedene-Schwachstellen-angreifbar-4649661.html\" target=\"_blank\" rel=\"noopener noreferrer\">einen deutschsprachigen Beitrag<\/a> zu dieser Schwachstelle und den verf\u00fcgbaren Updates ver\u00f6ffentlicht.<\/p>\n<h2>Microsoft Azure war \u00fcber Schwachstelle angreifbar<\/h2>\n<p>Die Cybersicherheitsforscher von Check Point haben die Tage Einzelheiten \u00fcber zwei k\u00fcrzlich gepatchte, potenziell gef\u00e4hrliche Schwachstellen in Microsoft Azure-Diensten enth\u00fcllt. Diese h\u00e4tten es Angreifern erm\u00f6glicht, mehrere Unternehmen, die ihre Web- und Mobilanwendungen auf Azure betreiben, ins Visier zu nehmen. The Hacker News hat in <a href=\"https:\/\/thehackernews.com\/2020\/01\/microsoft-azure-vulnerabilities.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> Details zusammen gestellt.<\/p>\n<h2>Neue Angriffsmethode \u00fcber Excel<\/h2>\n<p>Microsoft ist bei der Analyse der TA505-Phishing-Kampagne auf einen neuen Angriffsvektor gesto\u00dfen, der die sich Excel-Dateien zunutze macht.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">The new campaign uses HTML redirectors attached to emails. When opened, the HTML leads to the download Dudear, a malicious macro-laden Excel file that drops the payload. In contrast, past Dudear email campaigns carried the malware as attachment or used malicious URLs. <a href=\"https:\/\/t.co\/mcRyEBUmQH\">pic.twitter.com\/mcRyEBUmQH<\/a><\/p>\n<p>\u2014 Microsoft Security Intelligence (@MsftSecIntel) <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1222995256540454912?ref_src=twsrc%5Etfw\">January 30, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Blog-Leser 1ST1 hat in <a href=\"https:\/\/borncity.com\/blog\/diskussion-allgemeines\/#comment-84140\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Kommentar<\/a> auf diesen Sachverhalt hingewiesen und den <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-detects-new-evil-corp-malware-attacks-after-short-break\/\" target=\"_blank\" rel=\"noopener noreferrer\">Artikel von Bleeping Computer<\/a> verlinkt.<\/p>\n<h2>Trickbot nutzt UAC-Bypass-Trick<\/h2>\n<p>Die Malware Trickbot verwendet einen neuen Kniff, um die Benutzerkontensteuerung zu umgehen und Admin-Rechte zu erhalten. Bleeping Computer weist in nachfolgendem Tweet auf das Thema hin.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Just two weeks after adding the fodhelper.exe Windows 10 UAC bypass, TrickBot has started using the Wsreset.exe UAC bypass instead.<\/p>\n<p>Constantly evolving and keeping all of you on your toes!<\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1222992754646691842?ref_src=twsrc%5Etfw\">January 30, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Zum Thema UAC-Bypassing gibt es einige Blog-Beitr\u00e4ge (siehe Artikelliste am Beitragsende).<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">[local] Microsoft Windows &#8211; Multiple UAC Protection Bypasses <a href=\"https:\/\/t.co\/rSXvOEvkWR\">https:\/\/t.co\/rSXvOEvkWR<\/a><\/p>\n<p>\u2014 Nicolas Krassas (@Dinosn) <a href=\"https:\/\/twitter.com\/Dinosn\/status\/1203926333186826240?ref_src=twsrc%5Etfw\">December 9, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Nicolas Krassas weist in obigem Link auf einen Beitrag mit Informationen zum Thema UAC-Bypassing hin.<\/p>\n<blockquote><p>Zum Thema Active Directory Dumping durch Trickbot m\u00f6chte ich noch auf <a href=\"https:\/\/web.archive.org\/web\/20200309134441\/https:\/\/identityaccessdotmanagement.files.wordpress.com\/2020\/01\/attcking-ad-for-fun-and-profit-1.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">dieses PDF-Dokument<\/a> hinweisen.<\/p><\/blockquote>\n<h2>Trackt Amazon seine Kindle-Nutzer?<\/h2>\n<p>Vor einigen Stunden bin ich noch auf einen merkw\u00fcrdigen Tweet gesto\u00dfen. Adrianne Jeffries hat die Daten \u00fcber seine Ger\u00e4te von Amazon angefordert.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Amazon appears to be tracking every tap on Kindle. I just got my data back and there are 90K rows of this <a href=\"https:\/\/t.co\/wVCSXCTVwv\">pic.twitter.com\/wVCSXCTVwv<\/a><\/p>\n<p>\u2014 Adrianne Jeffries (@adrjeffries) <a href=\"https:\/\/twitter.com\/adrjeffries\/status\/1222277544730337280?ref_src=twsrc%5Etfw\">January 28, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Sie hat den Eindruck, dass auf ihrem Kindle jedes Tippen auf dem Screen aufgezeichnet wird.<\/p>\n<h2>Und sonst?<\/h2>\n<p>Zum Abschluss noch eine bittere Erkenntnis: Ransomware lohnt sich wohl f\u00fcr die Hinterm\u00e4nner, wie folgender Tweet erl\u00e4utert.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">Ransomware brachte seinen Hinterm\u00e4nnern doppelt so hohe Profite im 4. Quartal 2019 (84.116 $) als in dem Quartal (41.198 $) zuvor, und auch die Ausfallzeiten sind nach oben gegangen, von 12,1 auf 16,2 Tage <a href=\"https:\/\/t.co\/03K1gErJZY\">https:\/\/t.co\/03K1gErJZY<\/a> ^RW<\/p>\n<p>\u2014 Trend Micro Deutschland (@TrendMicroDE) <a href=\"https:\/\/twitter.com\/TrendMicroDE\/status\/1222806657786437633?ref_src=twsrc%5Etfw\">January 30, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Und Sicherheitsanbieter Kaspersky bietet \u00fcber folgenden Tweet Zugriff auf ein Dokument, in denen deren APT-Researcher Einsch\u00e4tzungen \u00fcber Bedrohungen geben.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">Mit welchen Cyberattacken m\u00fcssen Unternehmen in diesem Jahr rechnen? Unsere f\u00fchrenden APT-Researcher <a href=\"https:\/\/twitter.com\/craiu?ref_src=twsrc%5Etfw\">@craiu<\/a> und <a href=\"https:\/\/twitter.com\/trompi?ref_src=twsrc%5Etfw\">@trompi<\/a> geben ihre Prognose ab: <a href=\"https:\/\/t.co\/Q0ICq9v5Sb\">https:\/\/t.co\/Q0ICq9v5Sb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Kaspersky?src=hash&amp;ref_src=twsrc%5Etfw\">#Kaspersky<\/a> <a href=\"https:\/\/t.co\/rhGlNAtGRD\">pic.twitter.com\/rhGlNAtGRD<\/a><\/p>\n<p>\u2014 Kaspersky DACH (@Kaspersky_DACH) <a href=\"https:\/\/twitter.com\/Kaspersky_DACH\/status\/1222806765911322624?ref_src=twsrc%5Etfw\">January 30, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Damit sollte gen\u00fcgend Lesefutter f\u00fcr das Wochenende vorliegen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/24\/windows10-neue-uac-bypassing-methode-fodhelper-exe\/\">Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/07\/04\/windows-uac-ber-silentcleanup-ausgehebelt\/\">Windows UAC \u00fcber SilentCleanup ausgehebelt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/02\/10\/erebus-ransomware-und-die-ausgetrickste-uac\/\">Erebus Ransomware und die ausgetrickste UAC<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/02\/27\/windows-10-administration-fehlentwicklung-in-sachen-sicherheit\/\">Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Zum Abschluss des Monats Januar 2020 noch einige Informationen zu Sicherheitsthemen,\u00a0 die mir die letzten Stunden unter die Augen gekommen sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-227724","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227724"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227724\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}