{"id":276664,"date":"2023-01-09T13:23:00","date_gmt":"2023-01-09T12:23:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276664"},"modified":"2023-08-02T17:54:26","modified_gmt":"2023-08-02T15:54:26","slug":"sicherheits-news-9-jan-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/09\/sicherheits-news-9-jan-2023\/","title":{"rendered":"Sicherheits-News 9. Jan. 2023"},"content":{"rendered":"

\"SicherheitIn diesem Sammelbeitrag gibt es einen \u00dcberblick \u00fcber einige Sicherheitsthemen, die mir die Tage unter die Augen gekommen sind. So schlie\u00dft Synology die mit einem CVS-Score von 10 eingestufte Schwachstelle CVE-2022-43931 in seinem VPN Plus Server. Die Zoho ManageEngine muss dringend gepatcht werden, da eine Schwachstelle im Passwort-Manager existiert. Beim Schuhhersteller Eco gab es einen Datenschutzvorfall, und bei 20 Fahrzeugherstellern wie BMW, Mercedes, Porsche etc. konnten Unbefugte per API-Schwachstelle auf pers\u00f6nliche Daten zugreifen, Fahlerzeuge \u00f6ffnen, starten oder sogar verfolgen. Dies und mehr als dem Sammelsurium der aktuellen Sicherheitsvorf\u00e4lle.<\/p>\n

<\/p>\n

Synology schlie\u00dft CVE-2022-43931 in VPN Plus Server<\/h3>\n

\"\"In einer Sicherheitswarnung<\/a> vom 3. Januar 2023 fordert der taiwanesische Hersteller Synology seine Kunden auf, die mit einem CVS-Score von 10 eingestufte Schwachstelle CVE-2022-43931<\/a> in seinem VPN Plus Servern per Update zu schlie\u00dfen. Eine Sicherheitsl\u00fccke erlaubt entfernten Angreifern die Ausf\u00fchrung beliebiger Befehle \u00fcber eine anf\u00e4llige Version von Synology VPN Plus Server. Bleeping Computer hat in diesem Artikel<\/a> noch einige Informationen dazu ver\u00f6ffentlicht.<\/p>\n

Patch f\u00fcr Zoho ManageEngine erforderlich<\/h3>\n

Der Hersteller Zoho weist Administratoren auf, dringend die ManageEngine seines Produkts per Sicherheitsupdate zu aktualisieren. Der Patch schlie\u00dft die Schwachstelle CVE-2022-47523. Es handelt sich um ein SQL-Injektionsschwachstelle, die in den Zoho-Produkten Password Manager Pro Secure Vault, PAM360 Privileged Access Management Software und dem Access Manager Plus Privileged Session Management Solution gefunden wurde. Die Kollegen von Bleeping Computer haben hier die Einzelheiten<\/a> dazu.<\/p>\n

Netgear Sicherheitsupdates<\/h3>\n

Kurzer Nachtrag f\u00fcr Besitzer von Netgear-Routern. Laut diesem heise-Artikel<\/a> von Anfang Januar 2023 empfiehlt der Hersteller seinen Kunden dringend Sicherheitsupdates f\u00fcr seine Router-Modelle (auch Nighthaw), um Schwachstellen zu schlie\u00dfen.<\/p>\n

Datenleck beim Schuhhersteller Ecco<\/h3>\n

Die Meldung liegt mir bereits seit Dezember 2022 vor. Beim d\u00e4nischen Schuhhersteller Ecco betrieb eine ungesch\u00fctzte Datenbank mit zahlreichen internen Dokumenten, die frei im Internet abrufbar war. Die abgelegten Dokumente reichen von Verkaufs- und Marketingdaten bis hin zu Protokollierungs- und Systeminformationen. Die exponierte Datenbank war seit dem 4. Juni 2021 mindestens 506 Tage lang zug\u00e4nglich. Am Ende des Tages h\u00e4tte Unbefugte 60 GByte an sensitiven Daten abrufen k\u00f6nnen. Details sind \u00fcber diesen Cybernews-Artikel<\/a> abrufbar.<\/p>\n

API-Schwachstelle bei BMW, Porsche Mercedes, Toyota etc.<\/h3>\n

API-Sicherheitsschwachstellen bei zwanzig Automobilhersteller und -diensten wie BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota und Genesis h\u00e4tten es Hackern erm\u00f6glicht, b\u00f6sartige Aktivit\u00e4ten durchzuf\u00fchren. Dies reicht vom Entriegeln, Starten und Verfolgen der Fahrzeuge bis hin zur Preisgabe pers\u00f6nlicher Daten der Kunden. Die Kollegen von Bleeping Computer haben hier die Details<\/a>, ein deutschsprachiger Beitrag findet sich bei heise<\/a>.<\/p>\n

Das MS Teams Cookie-Leck<\/h3>\n

Im August 2022 gab es die Information, dass Microsoft Teams seine Cookies im Klartext auf den Clients speichert – ich hatte im September 2022 im Blog-Beitrag Microsoft Teams speichert Authentifizierungstoken als Klartext in Windows, Linux, Macs<\/a> berichtet.<\/p>\n

Dies erm\u00f6glicht Angreifern den Zugriff auf Konten mittels dieser Tokens, selbst wenn eine Multi-Faktor-Authentifizierung (MFA) aktiviert wurde. Kunden wurde geraten, auf die Web-Anwendungen f\u00fcr Teams zur\u00fcckzugreifen oder die Zugriffe auf die MS Teams Daten durch Prozesse zu \u00fcberwachen, da Microsoft diese Schwachstelle nicht umgehend schlie\u00dfen wird.<\/p>\n

\"MS<\/a><\/p>\n

Frank Carius hat sich dieses Themas nochmals vor einigen Tagen angenommen und kommt in diesem Beitrag<\/a> zur Einsch\u00e4tzung, dass das Ganze zwar unsch\u00f6n sei. Aber wenn jemand bereits auf dem System starten k\u00f6nne, sei die Maschine kompromittiert und das Kind bereits in den Brunnen gefallen. Daher w\u00e4re dieses Cookie Leak eher minder schwer einzustufen.<\/p>\n

Windows WerFault.exe f\u00fcr Malware missbraucht<\/h3>\n

Die Windows Fehlerberichterstattung (Error-Reporting, WerFault.exe) l\u00e4sst sich zum Verteilen von Malware missbrauchen. Die Kollegen von Bleeping Computer gehen in diesem Artikel<\/a> auf einen entsprechenden Fall ein. Dieser wurde von Sicherheitsforschern entdeckt – man vermutet die Hacker, die diesen Angriffsvektor verwendeten, in China.<\/p>\n

Windows und die Dateitypen<\/h3>\n

Insidern ist es bewusst, der Windows blendet die Erweiterungen bestimmter Dateitypen aus, egal wie die Option zur Anzeige von Dateitypen gesetzt wird. Auf diesen Sachverhalt, der 16 Dateitypen betrifft, weil nachfolgender Tweet<\/a> hin.<\/p>\n

<\/a><\/p>\n

Enthalten solche Dateien einen echten PE-Inhalt (exe), gibt es beim Doppelklicken darauf ein unterschiedliches Verhalten. Im d\u00fcmmsten Fall passiert nichts oder es wird ein Fehler angezeigt. Es kann aber auch der OpenWith-Dialog erscheinen und bei einem der Dateitypen wird beim Doppelklick die eigentliche Exe-Datei ausgef\u00fchrt. Speziell Verkn\u00fcpfungsdateien (.lnk und .pif) k\u00f6nnen ein Eigenleben entwickeln und ausf\u00fchrbare Programme abrufen.<\/p>\n

US-Schulen verklagen TikTok, YouTube & Co.<\/h3>\n

Die \u00f6ffentlichen Schulen von Seattle verklagen TikTok, YouTube, Instagram und andere auf Schadenersatz. Die Begr\u00fcndung: Diese Plattformen sind f\u00fcr die psychischen Krise von Jugendlichen verantwortlich. Details finden sich in diesem Artikel<\/a>.<\/p>\n

Missbrauch von ChatGPT f\u00fcr Hacks<\/h3>\n

Vor einigen Tagen hatte ich \u00fcber die AI-Entwicklung ChatGPT berichtet (siehe Bericht: Microsoft plant Bing bis M\u00e4rz 2023 mit ChatGPT-Suche zu erweitern<\/a>). Auf Maschinen-Leaning (ML) oder k\u00fcnstlicher Intelligenz (KI, AI) basierende Modelle werden uns in Zukunft noch arg besch\u00e4ftigen. Der aktuell gehypte KI-Chatbot ChatGPT k\u00f6nnte Bedrohungsakteuren Tipps geben, wie sie sich leicht in Netzwerke einhacken k\u00f6nnen. Auf diese Gefahr weisen Sicherheitsforscher von Cybernews hin.<\/p>\n

Das Team stellte an ChatGPT Fragen zur Durchf\u00fchren eines Penetrationstests und lie\u00df sich \u00fcber Ans\u00e4tze f\u00fcr das Eindringen in eine Simulationsplattform informieren. Die Forscher nutzten die Cybersecurity-Trainingsplattform \"Hack the Box\" f\u00fcr ihr Experiment. Der Chatbot antwortete mit f\u00fcnf grundlegenden Ansatzpunkten, was auf der Website auf der Suche nach Schwachstellen untersucht werden sollte.<\/p>\n

Indem die Sicherheitsforscher beschrieben, was sie im Quellcode sehen, erhielten sie Hinweise des ChatGPT-Bot, auf welche Teile des Codes sie sich konzentrieren sollten. Au\u00dferdem erhielten sie Beispiele f\u00fcr vorgeschlagene Code\u00e4nderungen. Nach etwa 45 Minuten Chat mit dem Chatbot gelang es den Forschern, die bereitgestellte Website zu hacken. Der vollst\u00e4ndige Artikel ist hier abrufbar<\/a>.<\/p>\n

Rackspace best\u00e4tigt Play Ransomware-Angriff<\/h3>\n

Beim US-Anbieter Rackspace von Exchange-Instanzen gab es im Dezember 2022 einen Ausfall, der durch einen Ransomware-Angriff ausgel\u00f6st wurde. Ich hatte im Blog-Beitrag Ransomware-Angriff f\u00fcr Ausfall der Rackspace-Exchange-Instanzen im Dez. 2022 verantwortlich<\/a> berichtet. Im Nachgang hat der Anbieter jetzt offen gelegt, dass die Play-Ransomware-Gruppe hinter diesem Angriff steckte und weitere Details bekannt<\/a> gegeben.<\/p>\n

Die forensische Untersuchung ergab, dass der als PLAY bekannte Bedrohungsakteur eine bisher unbekannte Sicherheitsl\u00fccke CVE-2022-41080 nutzte, um sich zun\u00e4chst Zugang zur Rackspace Hosted Exchange E-Mail-Umgebung zu verschaffen. Ich hatte im Dezember 2021 kurz vor Weihnachten im Blog-Beitrag Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware<\/a> \u00fcber diese Schwachstelle berichtet. heise hat diesen Artikel<\/a> und Bleeping Computer diesen Beitrag<\/a> nachgetragen.<\/p>\n

Analyse von Vice Society<\/h3>\n

Die Sicherheitsforscher von SentinelLabs (Threat Research-Team von SentinelOne) haben neue Angriffsmethoden der Vice Society Group aufgedeckt. Die Gruppe wurde erstmals im Juni 2021 identifiziert und es handelt sich um eine gut ausger\u00fcstete Ransomware-Gruppe, die erfolgreich in verschiedene Arten von Organisationen eingedrungen ist. Mit der klassischen doppelten Erpressungstechnik versuchen sie, den finanziellen Gewinn durch rein opportunistische Angriffe zu maximieren.<\/p>\n

In den letzten Monaten hat Vice Society seine Zielauswahlstrategie auf weitere sensible Bereiche ausgeweitet. Anstatt ihre eigene Locker-Payload zu verwenden oder zu entwickeln, haben die Bedrohungsakteure Ransomware von Drittanbietern f\u00fcr ihre Angriffe eingesetzt, darunter HelloKitty, Five Hands und Zeppelin. Details der Entdeckungen von SentinelLabs lassen sich in diesem Artikel<\/a> nachlesen.<\/p>\n

Neue Ransomware-Familien entdeckt<\/h3>\n

Sicherheitsforscher von Cyble haben neue Ransomware-St\u00e4mme in geleaktem Conti-Quellcode gefunden, wie sie in diesem Beitrag<\/a> offen legen.<\/p>\n

\u00dcberwachungskameras manipuliert<\/h3>\n

\u00dcberwachungskameras in Echtzeit manipulieren zu k\u00f6nnen, um ein falsches Bild zu liefern und so die \u00dcberwachung zu unterlaufen, genau dies ist einem israelischen Startup gelungen. heise berichtete in diesem Artikel<\/a> \u00fcber diesen Ansatz. Generell sind \u00dcberwachungskameras ja so etwas wie eine Archillesferse, da die Software nur so vor Sicherheitsl\u00fccken strotzt und die Ger\u00e4te sich leicht \u00fcbernehmen lassen. CyberNews wies im Dezember 2022 in diesem Artikel<\/a> darauf hin, dass 3,5 Millionen Sicherheitskameras per Internet zugreifbar sind – US-Nutzer liegen dabei an der Spitze.<\/p>\n

DNS4EU: EU-DNS-Resolver<\/h3>\n

Golem berichtete<\/a> zum Jahreswechsel, dass ein\u00a0 Konsortium den EU-DNS-Resolver DNS4EU mit entsprechender Filtertechnik\u00a0 betreiben soll. DNS4EU soll zwar Phishing und Malware-Angriffe auf Ebene des DNS verhindern, aber auch URLs filtern, \"die zu illegalen Inhalten f\u00fchren, basierend auf gesetzlichen Anforderungen, die in der EU oder in nationalen Gerichtsbarkeiten (z. B. basierend auf Gerichtsbeschl\u00fcssen) gelten, unter vollst\u00e4ndiger Einhaltung der EU-Vorschriften\"<\/em>. Es gilt also Netzsperren umzusetzen, auch wenn es hei\u00dft, dass die Abh\u00e4ngigkeit gegen\u00fcber anderen Anbietern au\u00dferhalb der EU verringert werden soll.<\/p>\n

Kontenhack bei Air France und KLM<\/h3>\n

Die Airlines\u00a0Air France und KLM haben ihre Mitglieder des Flying Blue-Treuprogramms \u00fcber einen Hack von Benutzerkonten informiert. Dadurch , wurden pers\u00f6nlichen Daten offengelegt. Details lassen sich bei Bleeping Computer<\/a> nachlesen.<\/p>\n

CircleCI-Nutzer, bitte Passwort \u00e4ndern<\/h3>\n

CircleCI ist Betreiber der Cloud-basierten Continuous-Integration-Plattform (CI). Es gab bei denen im Dezember 2022 einen Sicherheitsvorfall.\u00a0Falls wer Nutzer bei CircleCI sein sollte: Das Unternehmen empfielt, Benutzerpassw\u00f6rter und gespeicherte Anmeldedaten zu \u00e4ndern. Details zum Beispiel bei heise<\/a>.<\/p>\n

Details zur TCP-Schwachstelle\u00a0CVE-2022\u201334718<\/h3>\n

Im Dezember 2022 wurde die\u00a0TCP-Schwachstelle CVE-2022\u201334718 in Windows per Sicherheitsupdate gepatcht. Eine tiefergehende Analyse samt Proof of Concept von Numen findet sich hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

In diesem Sammelbeitrag gibt es einen \u00dcberblick \u00fcber einige Sicherheitsthemen, die mir die Tage unter die Augen gekommen sind. So schlie\u00dft Synology die mit einem CVS-Score von 10 eingestufte Schwachstelle CVE-2022-43931 in seinem VPN Plus Server. Die Zoho ManageEngine muss … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-276664","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276664","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276664"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276664\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276664"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276664"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276664"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}