{"id":282516,"date":"2023-06-13T17:00:49","date_gmt":"2023-06-13T15:00:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282516"},"modified":"2023-06-16T18:37:35","modified_gmt":"2023-06-16T16:37:35","slug":"sicherheitsvorflle-13-juni-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/13\/sicherheitsvorflle-13-juni-2023\/","title":{"rendered":"Sicherheitsvorfälle (13. Juni 2023)"},"content":{"rendered":"

\"SicherheitKurzer Abriss diverser Sicherheitsmeldungen, die mich die letzten Stunden erreicht haben. In der Schweiz weitet sich der Cyberangriff auf einen IT-Dienstleister (XPlain) der f\u00fcr \"Home-Security\" zust\u00e4ndig war, aus. Daten der Polizei und des Zolls werden im Dark-Net weitergereicht. Und Black Basta hat die Schweizer Aviatik-Firma TAG Aviation angegriffen. Und die Internetseiten von Kaltennordheim und VG Hohe Rh\u00f6n sind nach einem Cyberangriff offline. Zudem wurde eine Datei aus Microsofts Datenmarktplatz Xandr aufgesp\u00fcrt, die zeigt, wie Datenh\u00e4ndler die Nutzer kleinteilig kategorisieren.<\/p>\n

<\/p>\n

Kaltennordheim und VG Hohe Rh\u00f6n<\/h2>\n

\"\"Auf die Internetseite der der Stadt Kaltennordheim sowie der Verwaltungsgemeinschaft Hohe Rh\u00f6n (Kreis Schmalkalden-Meiningen) gab es einen Cyberangriff und die Seiten sind offline. Nachfolgender Tweet<\/a> verweist auf den Artikel<\/a> des MDR mit einigen Details.<\/p>\n

<\/a><\/p>\n

Kaltennordheims B\u00fcrgermeister Erik Th\u00fcrmer (CDU) best\u00e4tigte, dass Unbekannte die Zugangsdaten f\u00fcr die Webserver abgegriffen und andere Inhalte auf die Seiten gebracht haben. Der Zugang wurde deswegen gesperrt: Aktuell sehen Nutzer auf allen Seiten und Unterseiten von kaltennordheim.de sowie von vghoherhoen.de nur den Hinweis: \"Wir sind bald wieder f\u00fcr Sie da!!!\"<\/p>\n

Das Netzwerk der Stadtverwaltung und der Verwaltungsgemeinschaft ist laut Th\u00fcrmer nicht betroffen, weil die Internetseiten \u00fcber andere Server laufen. Schwein gehabt \u2026 die wollen jetzt die Sicherheitsma\u00dfnahmen verbessern.<\/p>\n

Daten von Polizei und Zoll im Darknet<\/h2>\n

Im Blog-Beitrag Ransomware-Infektionen, Datenabfl\u00fcsse, Sicherheitsl\u00fccken Ende Mai 2023<\/a> hatte ich Anfang Juni 2022 \u00fcber einen Angriff (Supply Chain Attack) auf den IT-Dienstleister XPlain berichtet, von dem die Schweizer Armee und\/oder das Bundesamt f\u00fcr Polizei (Fedpol) direkt betroffen sein sollen.<\/p>\n

<\/a><\/p>\n

Patrick Breyer (Piratenpartei im EU-Parlament) weist in obigem Tweet<\/a> auf diesen Computerworld-Beitrag<\/a> hin. Laut diesem zirkulieren Daten vom Bundesamt f\u00fcr Polizei (Fedpol) und dem Bundesamt f\u00fcr Zoll und Grenzsicherheit (BAZG) im Darknet. Breyer weist in obigem Tweet auf die Implikationen hin \u2013 \"der Staat\" will immer mehr Daten erfassen und zentral speichern \u2013 im Tweet ist von anlassloser Vorratsdatenspeicherung die Rede. Aber auch elektronische Gesundheitsakte oder die Digitalisierung der Verwaltung samt Speicherung in \"in der Cloud\", verwaltet durch IT-Dienstleister, sind f\u00fcr mich auf dem Radar.<\/p>\n

Und dann hackt jemand diesen Dienstleister und bekommt die Daten frisch aus der Cloud serviert \u2013 wunderbar. Ich verweise in diesem Kontext auf meine beiden Blog-Beitr\u00e4ge Dienstleister Adesso verschwieg Bundesbeh\u00f6rden und Kunden Risiko durch Hack<\/a> und Cyberangriffe auf Krankenkassen-IT-Dienstleister Bitmarck, Klinikum Hochsauerland GmbH<\/a>. Wir werden in Zukunft noch viel Freude haben \u2013 speziell die \"ich habe ja nichts zu verbergen Fraktion\".<\/p>\n

Patrick Breyer weist in diesem Tweet<\/a> auf das Ansinnen hin, dass Unternehmen aktuell nach Daten aus Patientenakten gieren. Er setzt sich beim geplanten Europ\u00e4ischen Raum f\u00fcr Gesundheitsdaten (EHDS) daf\u00fcr ein, dass ohne Einwilligung der Patienten keine Daten weitergeben werden d\u00fcrfen. Die EU will die Weitergabe an Unternehmen, ohne dass der Patient dem widersprechen kann. Diese sensiblen Daten aus Krankenakten gehen Unternehmen nichts an. Breyer hat die Petiton Kein Zugriff auf Patientenakten f\u00fcr Big Tech<\/a> dazu aufgesetzt \u2013 Ziel sind 100.000 Unterschriften \u2013 knapp 70.000 sind erreicht. Also tragt euch in diese Petition ein.<\/p><\/blockquote>\n

Erg\u00e4nzungen: Am 12. Juni gab es einen DDoS-Angriff auf diverse Webseiten der Schweizer Bundesverwaltung (siehe<\/a>). Und vom Cyberangriff auf die Firma Xplain sind auch die Schweizer Bundesbahn (SBB) sowie der Kanton Aargau betroffen. Details finden sich in diesem Beitrag<\/a>.<\/p>\n

Ransomware bei TAG Aviation<\/h2>\n

Das am Genfer Flughafen angesiedelte Unternehmen TAG Aviation wurde von einer Ransomware-Attacke der Black Basta-Gruppe getroffen, Das Schweizer Medium Watson berichtet in diesem Beitrag<\/a> \u00fcber diesen Fall. TAG Aviation sei ein bekannter Name in der Gesch\u00e4fts- und Luxusfliegerei. Bereits am 21. Mai 2023 gab es einen Alarm des Intrusion Detection System (IDS), der aber eine Teilverschl\u00fcsselung einiger IT-Systeme nicht verhindern konnte.<\/p>\n

Analyse des Fortigate CVE-2023-27997<\/h2>\n

Gerade hatte ich im Beitrag Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023)<\/a> berichtet, wo eine kritische RCE-Schwachstelle in FortiOS geschlossen wurde.<\/p>\n

\"CVE-2023-27997<\/a><\/p>\n

Obiger Tweet<\/a> verlinkt auf diesen Artikel<\/a> mit einer Analyse der Schwachstelle \u2013 falls es jemanden interessiert.<\/p>\n

Exploit f\u00fcr MOVEit RCE-Bug bei Angriffen genutzt<\/h2>\n

Die Tage hatte ich \u00fcber die RCE-Schwachstelle in der Software MOVEit Transfer berichtet (siehe die Links am Artikelende). Die Kollegen von Bleeping Computer beschreiben in diesem Beitrag<\/a> ein Proof of Concept f\u00fcr einen Exploit f\u00fcr den MOVEit RCE-Bug, der von Sicherheitsforschern entwickelt wurde und bei Angriffen zum Datendiebstahl genutzt werden k\u00f6nnte.<\/p>\n

Chinesische Hacker zielen auf VMware ESXi 0-day<\/h2>\n

Die Kollegen weisen in diesem Tweet<\/a> und dem Artikel hier<\/a> darauf hin, dass chinesische Hacker eine 0-day-Schwachstelle in VMware ESXi ausnutzen, um eine Backdoor in VMs zu installieren.<\/p>\n

\"VMware<\/a><\/p>\n

Google Chrome Passw\u00f6rter hacken<\/h2>\n

Ein YouTube<\/a>-Video von John Mammond zeigt, wie sich Google Chrome Passw\u00f6rter im Klartext aus lokalen Browser-Profilen extrahieren lassen. Der folgende Tweet<\/a> weist auf diesen Sachverhalt hin.<\/p>\n

\"Google<\/a><\/p>\n

Datenleck: Microsofts Datenmarktplatz Xandr<\/h2>\n

Ein Sicherheitsforscher ist im Internet auf eine Datei gesto\u00dfen, die zum von Microsoft gekauften Datenmarktplatz Xandr geh\u00f6rt. Die Datei zeigt, wie die Datenh\u00e4ndler die Internetnutzer kategorisieren, von \"arm\" und \"geschieden\" \u00fcber \"fragile Senioren\" und \"Moms who shop like crazy\" bis \"spiels\u00fcchtig\", \"depressiv\" und \"Brustkrebs\". Die Datei enth\u00e4lt 650.000 Kategorien, in die die Werbeindustrie Internetnutzer einsortiert.<\/p>\n

<\/a><\/p>\n

Das Dokument wurde von dem Wiener Tracking-Forscher Wolfie Christl Datei aufgest\u00f6bert. Er hat es mit netzpolitik.org sowie The Markup geteilt. Obiger Tweet<\/a> von netzpolitik.org weist auf das Thema hin, welches auf der Seite in diesem Artikel<\/a> aufbereitet wird.<\/p>\n

Erg\u00e4nzung:<\/strong> Der Vorfall schl\u00e4gt nun Wellen. Laut diesem Bericht<\/a> von heise leiten die deutschen Datenschutzbeh\u00f6rden von Berlin, Hamburg, Bayern und Baden-W\u00fcrttemberg eine Pr\u00fcfung gegen Xandr ein. Das umfasst nat\u00fcrlich auch Microsoft (Bayern) als K\u00e4ufer\u00a0 sowie DataXTrade. netzpolitik.org hat den Sachverhalt in diesem Beitrag<\/a> dokumentiert.<\/p>\n

EU Vorratsdatenspeicherung und Verschl\u00fcsselung<\/h2>\n

Ein Dokument, welches netzpolitik.org vorliegt, enth\u00fcllt, wie EU-Regierungen mit dem Mythos des Missbrauchs EU bei der Durchsetzung von Vorratsdatenspeicherung und Verschl\u00fcsselung tricksen. Patrick Breyer weist in folgendem Tweet<\/a> und diesem Artikel<\/a> auf das Thema hin.<\/p>\n

<\/a><\/p>\n

Microsoft Office Sicherheitssignaturen nutzlos<\/h2>\n

Microsoft kennt die M\u00f6glichkeit, Office-Dateien mit Office Open XML (OOXML)-Signaturen, ein Ecma\/ISO-Standard, zu signieren. Der in Microsoft Office-Anwendungen und im Open-Source-Programm OnlyOffice verwendete Standard weist mehrere Sicherheitsl\u00fccken auf. Daher k\u00f6nnen die Sicherheitssignaturen leicht gef\u00e4lscht werden.Das bedeutet, dass auf diese Weise signierte Office-Dateien unbemerkt ver\u00e4ndert oder mit einer gef\u00e4lschten Signatur ausgezeichnet werden k\u00f6nnen. Das f\u00fchrt das Konzept von digitalen Signaturen ad-absurdum.<\/p>\n

F\u00fcnf Computerforscher der Ruhr-Universit\u00e4t Bochum – Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Daniel Hirschberger und J\u00f6rg Schwenk – beschreiben diesen Sachverhalt im Dokument \"Every Signature is Broken: On the Insecurity of Microsoft Office's OOXML Signatures<\/a>\". The Register hat es in diesem Artikel<\/a> aufbereitet.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nBedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a>
\nLace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a>
\nMOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?<\/a>
\nMOVEit Transfer: Neue Schwachstelle; dringend patchen!<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Kurzer Abriss diverser Sicherheitsmeldungen, die mich die letzten Stunden erreicht haben. In der Schweiz weitet sich der Cyberangriff auf einen IT-Dienstleister (XPlain) der f\u00fcr \"Home-Security\" zust\u00e4ndig war, aus. Daten der Polizei und des Zolls werden im Dark-Net weitergereicht. Und Black … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282516","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282516","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282516"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282516\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282516"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282516"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282516"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}