![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ich stelle zum Ende April 2022 mal wieder einen Sammelbeitrag zu diversen Sicherheitsvorf\u00e4llen und Datenschutzverletzungen zusammen, die mir die Tage unter die Augen gekommen sind. Egal, wo Du hin schaust, die H\u00fctten sind sicherheitstechnisch am brennen.<\/p>\n
<\/p>\n
KrbRelayUp erm\u00f6glicht eine lokale Privilegienerweiterung in Windows-Dom\u00e4nenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Auf Github<\/a> hat jemand einen Wrapper im Quellcode publiziert, der diese Angriffe vereinfachen soll. Administratoren sollten also handeln und die LDAP-Signierung erzwingen.<\/p>\n Unmittelbar vor der Invasion haben mindestens sechs verschiedene mit Russland verb\u00fcndete nationalstaatliche Akteure mehr als 237 Operationen gegen die Ukraine gestartet. Das legt Microsoft in einem aktuell ver\u00f6ffentlichten Bericht<\/a> offen. Dazu geh\u00f6ren auch noch andauerd zerst\u00f6rerische Angriffe, die das Wohlergehen der Zivilbev\u00f6lkerung gef\u00e4hrden. Die zerst\u00f6rerischen Angriffe wurden auch von umfangreichen Spionage- und Geheimdienstaktivit\u00e4ten begleitet. Die Angriffe haben nicht nur die Systeme der Institutionen in der Ukraine beeintr\u00e4chtigt, sondern auch versucht, den Zugang der Bev\u00f6lkerung zu verl\u00e4sslichen Informationen und lebenswichtigen Dienstleistungen, auf die die Zivilbev\u00f6lkerung angewiesen ist, zu st\u00f6ren und das Vertrauen in die F\u00fchrung des Landes zu ersch\u00fcttern. Microsoft hat auch begrenzte Spionageangriffe auf andere NATO-Mitgliedstaaten und einige Desinformationsaktivit\u00e4ten beobachtet.<\/p>\n Die Kollegen von Bleeping Computer warnen<\/a>, dass fortgeschrittene Hacker aktiv eine kritische RCE-Schwachstelle (Remote Code Execution) CVE-2022-22954 aus, die VMware Workspace ONE Access (fr\u00fcher VMware Identity Manager) betrifft, ausnutzen, um eine Backdoor zu installieren. Die Schwachstelle wurde durch VMware Anfang April 2022 gepatcht (siehe Warnung: Kritische Schwachstellen in VMware-Produkten (6. April 2022)<\/a><\/p>\n \u00dcber die Emotet-Ransomware habe ich ja diverse Male berichtet – und Microsoft musste den Protokoll-Handler des MSIX ms-appinstaller Handlers sogar so modifizieren, dass die Angriffe nicht mehr m\u00f6glich waren (Microsoft deaktiviert wegen Emotet & Co. MSIX ms-appinstaller Protokoll-Handler in Windows (Feb. 2022)<\/a>). Die Ransomware-Gruppe hat nachgebessert, nachdem der \"kaputte\" Installer nicht mehr funktionierte. In einer neuen Kampagne werden wieder Systeme angegriffen, wie Bleeping Computer hier<\/a> und heise hier<\/a> berichten.<\/p>\n In obigem Tweet<\/a> und diesem Artikel<\/a> beschreibt Proofpoint ein weiteres von Emotet getestetes Angriffsszenario, welches OneDrive-URLs missbraucht. Und in diesem Tweet<\/a> beschreibt jemand ein Proof of Concept mit verlinktem Beispiel, wie ein simpler Link von Emotet ein PowerShell Script starten und dann eine Infektion ausf\u00fchren kann.<\/p>\n Oft liest man ja, dass Ransomware-Infektionen \u00fcber Wochen vorbereitet werden. Die Quantum Ransomware ist eine der am schnellsten agierenden Schadprogramme. Der DFIR-Report beschreibt, wie die Ransomware \u00fcber IcedID ISOs ein System bef\u00e4llt (siehe Neue IcedID-Malware-Kampagne zielt auf ungepatchte Exchange Server (M\u00e4rz 2022)<\/a>) und sich dann binnen 3 Stunden und 48 Minuten Domain-weit ausbreitet.<\/p>\n Aktuell untersucht das Unternehmen Coca Cola, ob Berichte zutreffen, dass eine Ransomware-Gruppe hawks Daten gestohlen haben k\u00f6nnte – Details finden sich bei The Record<\/a>. Die russische Stormous Ransomware-Gruppierung behauptet auf ihrer Webseite, Daten von Softdrink-Hersteller Coca Cola exfiltriert zu haben.<\/p>\n Der Maschinenbauer IMA Schelling in Schwarzach (\u00d6sterreich) ist Opfer eines Hackerangriffs geworden. Details lassen sich hier nachlesen<\/a>. Die Kollegen von Golem berichten hier<\/a> \u00fcber ein Datenleck bei der Universit\u00e4tsbibliothek Leipzig.<\/p>\n Dass die App-Manie ihre Schattenseiten hat, wissen Eingeweihte. Die Shopping-Apps f\u00fcr Online-Apotheken von Shop-Apotheke, Doc Morris und Mayd geben sensible Nutzerdaten preis, wie Friedhelm Greis hier auf Golem<\/a> ausf\u00fchrt.<\/p>\n","protected":false},"excerpt":{"rendered":" Ich stelle zum Ende April 2022 mal wieder einen Sammelbeitrag zu diversen Sicherheitsvorf\u00e4llen und Datenschutzverletzungen zusammen, die mir die Tage unter die Augen gekommen sind. Egal, wo Du hin schaust, die H\u00fctten sind sicherheitstechnisch am brennen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4328],"class_list":["post-264767","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264767","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=264767"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264767\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=264767"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=264767"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=264767"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Microsoft hat gerade zwei Schwachstellen CVE-2022-29799 und CVE-2022-29800 in Linux offen gelegt. Die Schwachstellen befinden sich in der Linux systemd networkd-dispatcher Komponente und k\u00f6nnen bei Kombination genutzt werden, um Root-Rechte auf Linux-Systemen zu erlangen. Details finden sich in diesem Artikel<\/a> bzw. \u00fcber folgenden Tweet<\/a>.<\/p>\n
![\"Nimbuspwn](\"https:\/\/i.imgur.com\/Z27aQwR.png\" "\\"Nimbuspwn")
<\/a><\/p>\nKrbRelayUp-Angriffe in Windows Domains<\/h3>\n
Microsoft-Bericht \u00fcber russische Cyber-Angriffe auf die Ukraine<\/h3>\n
Hacker zielen auf VMware-Schwachstellen<\/h3>\n
Emotet-Malware wieder aktiv<\/h3>\n
![\"Emotet\"](\"https:\/\/i.imgur.com\/nlySj6P.png\" "\\"Emotet\\"")
<\/a><\/p>\nQuantum-Ransomware in 4 Stunden drin<\/h3>\n
![\"Quantum](\"https:\/\/i.imgur.com\/5KMvQmX.png\" "\\"Quantum")
<\/a><\/p>\nRansomware-Angriffe und Datenlecks<\/h3>\n