{"id":284595,"date":"2023-08-04T13:18:16","date_gmt":"2023-08-04T11:18:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284595"},"modified":"2023-08-04T13:18:16","modified_gmt":"2023-08-04T11:18:16","slug":"cyberbedrohungen-durch-ungepatchte-systeme-und-missbrauchte-legitime-anwendungen-office-azure-ad-cts-ws-ssm-agent","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/04\/cyberbedrohungen-durch-ungepatchte-systeme-und-missbrauchte-legitime-anwendungen-office-azure-ad-cts-ws-ssm-agent\/","title":{"rendered":"Cyberbedrohungen durch ungepatchte Systeme und missbrauchte legitime Anwendungen (Office, Azure AD CTS, WS SSM Agent)"},"content":{"rendered":"

\"SicherheitIch greife mal einige Sicherheitsthemen in einem Sammelbeitrag auf, die mir die Tage untergekommen sind. AWS SSM-Agenten lassen sich missbrauchen, um Remote Access-Trojaner zu lancieren. Microsofts neues Azure Active Directory Cross-Tenant Synchronization (CTS)-Feature k\u00f6nnte Angreifern das laterale Ausbreiten auf andere Azure-Tenants erleichtern. Selbst Office-Anwendungen lassen sich zur Verteilung von Malware missbrauchen. Die Liste der entsprechende Programmdateien hat sich gerade um sechs Kandidaten erweitert. Die US-Sicherheitsbeh\u00f6rde CISA warnt, dass ungepatchte Barracuda-Appliances seit Monaten durch chinesisch Cyberspione infiltriert werden. Und eine Angriffswelle auf Citrix-Server war wohl erfolgreich, laut Sicherheitsforschern wurden mehr als 640 Instanzen durch eine Backdoor infiziert. <\/p>\n

<\/p>\n

Azure CTS-Feature als Sicherheitsrisiko<\/h2>\n

\"\"Mitte Juni 2023 hat Microsoft sein Azure Active Directory Cross-Tenant Synchronization (CTS)-Feature vorgestellt<\/a>. Mit dem Feature soll eine mandanten\u00fcbergreifende Synchronisierung m\u00f6glich sein. Die Funktion automatisiert das Erstellen, Aktualisieren und L\u00f6schen von Azure AD B2B-Collaboration-Benutzern in verschiedenen Mandanten einer Organisation. Sie erm\u00f6glicht es Benutzern, auf Anwendungen zuzugreifen und mandanten\u00fcbergreifend zusammenzuarbeiten.<\/p>\n

Die Kollegen von Bleeping Computer weisen hier<\/a> auf die Erkenntnisse von Sicherheitsforschern hin, dass Microsoft mit der neuen Funktion eine neue potenzielle Angriffsfl\u00e4che geschaffen hat. Diese k\u00f6nnte es Bedrohungsakteuren erm\u00f6glichen, sich leichter seitlich auf andere Azure-Tenants auszubreiten.<\/p>\n

Missbrauchte AWS SSM-Agenten liefern Trojaner <\/h2>\n

Die Mitiga-Sicherheitsforscher Ariel Szarf und Or Aspir sind auf eine neue Post-Exploitation-Technik in Amazon Web Services (AWS) gesto\u00dfen<\/a>, die es erm\u00f6glicht, den AWS Systems Manager Agent (SSM Agent) als Fernzugriffstrojaner in Windows- und Linux-Umgebungen auszuf\u00fchren. \"Der SSM-Agent, ein legitimes Tool, das von Administratoren zur Verwaltung ihrer Instanzen verwendet wird, kann von einem Angreifer, der einen hochprivilegierten Zugriff auf einen Endpunkt mit installiertem SSM-Agenten erlangt hat, dazu verwendet werden, fortlaufend b\u00f6sartige Aktivit\u00e4ten auszuf\u00fchren\", hei\u00dft es von den Sicherheitsforschern. Ein entsprechender Artikel<\/a> wurde die Tage von The Hacker News ver\u00f6ffentlicht. <\/p>\n

Microsoft Office-Programme als Malware-Verteiler<\/h2>\n

Hacker k\u00f6nnen legitime Office-Programme zur Verteilung von Schadsoftware missbrauchen. Das Ganze ist unter dem Begriff LOLBAS-Missbrauch bekannt. LOLBAS ist das K\u00fcrzel f\u00fcr Living-off-the-Land Binar\u00e4rdateien und Scripte, die i.d.R. als signierte Dateien in Windows enthalten sind oder mit Windows-Anwendungen ausgeliefert bzw. von Microsoft heruntergeladen werden k\u00f6nnen. Angreifer kennen eine ganze Liste an Dateien, die zum Ausliefern von Malware geeignet sind, was dann ggf. nicht durch Schutzsoftware bemerkt werden kann. <\/p>\n

\"Office<\/p>\n

Die Kollegen von Bleeping Computer weisen \u00fcber obigem Tweet auf diesen Artikel<\/a> hin, der das eigentlich alte Thema erneut anfasst. Denn Nir Chako, ein Sicherheitsforscher bei Pentera, hat die ausf\u00fchrbaren Dateien der Microsoft Office-Suite auf neue LOLBAS-Dateien untersucht und ist f\u00fcndig geworden. In diesem Artikel<\/a> von Chako macht er \u00f6ffentlich, dass es sechs weiterer LOLBAS-Programmdateien gebe, die sich f\u00fcr Angriffe eignen. Diese wurden durch automatisierte Tests ermittelt und lassen die Liste der LOLBAS-Dateien um gut 30 Prozent anwachsen. <\/p>\n

Barracuda-Appliances durch \"Submarine\" infiltriert<\/h2>\n

In China ans\u00e4ssige Cyberspione (als Submarine bezeichnet) haben in den letzten Monaten anf\u00e4llige Barracuda-Appliances infiltriert. Ziel ist es, die Sicherheitsmechanismen f\u00fcr E-Mails in den angegriffenen Unternehmen zu umgehen. Die Angreifer nutzen die Schwachstelle CVE-2023-2868, die ich bereits im Mai 2023 im Beitrag Barracuda-Warnung vor Angriffen auf E-Mail-Gateways per 0-Day-Schwachstelle (19. Mai 2023)<\/a> berichtet. Inzwischen gibt es von Barracuda den Supportbeitrag Barracuda Email Security Gateway Appliance (ESG) Vulnerability<\/a> vom 28. Juli 2023, der sich auf diesen CISA-Bericht<\/a> bezieht. Dark Reading hat das Thema in diesem Artihttps:\/\/www.darkreading.com\/attacks-breaches\/cisa-submarine-backdoor-barracuda-email-security<\/a>kel aufbereitet. <\/p>\n

Angriffswelle infiziert \u00fcber 640 Citrix-Server<\/h2>\n

Ich hatte Ende Juli 2023 im Blog-Beitrag CISA-Warnung: Citrix NetScaler ADC wird \u00fcber CVE-2023-3519 angegriffen<\/a> auf eine Warnung der US-Cybersicherheitsbeh\u00f6rde CISA reagiert und berichtet, dass es Angriffe auf Citrix-Server \u00fcber die Schwachstelle CVE-2023-3519 gebe. Denn der Hersteller Citrix warnte in einer Sicherheitsmeldung vor einer kritischen Remote Code Execution-Schwachstelle in den Produkten. Es wurden Updates f\u00fcr die betreffenden Produkte ver\u00f6ffentlicht, die von Administratoren auf den betreuten Installationen unverz\u00fcglich eingespielt werden sollten. Details finden sich im Blog-Beitrag Kritische RCE-Schwachstelle in Citrix NetScaler ADC und Citrix Gateway<\/a>.<\/p>\n

Die Kollegen von Bleeping Computer weisen in diesem Artikel<\/a> nun erneut auf eine neue Angriffswelle hin, die auf Citrix-Server mit Sicherheitsl\u00fccken zielt. Dabei waren die Angreifer wohl erfolgreich und konnten auf mehr als 640 Citrix-Servern eine Backdoor installieren. Sicherheitsforscher der Non-Profit-Organisation Shadowserver Foundation haben dies wohl beobachtet und aufgedeckt. <\/p>\n","protected":false},"excerpt":{"rendered":"

Ich greife mal einige Sicherheitsthemen in einem Sammelbeitrag auf, die mir die Tage untergekommen sind. AWS SSM-Agenten lassen sich missbrauchen, um Remote Access-Trojaner zu lancieren. Microsofts neues Azure Active Directory Cross-Tenant Synchronization (CTS)-Feature k\u00f6nnte Angreifern das laterale Ausbreiten auf andere … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-284595","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284595","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284595"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284595\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284595"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284595"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284595"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}