![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ich fasse mal in einem Sammelbeitrag einige Cybervorf\u00e4lle und -Themen zusammen, die mir gerade untergekommen sind. So gibt es wohl neue Erkenntnisse zum Angriff auf die Dena, und die US-Tochter von Fresenius Medical Care ist Opfer eines Hacks geworden, bei dem Patientendaten abgeflossen sind. Sicherheitsforscher haben Schwachstellen bei CPUs und bei Bluetooth gefunden.<\/p>\n
<\/p>\n
Ein Blog-Leser hat mich \u00fcber obigen Mastodon-Post auf den aktuellen Artikel<\/a> des Handelsblatts hingewiesen. Die vermutlich aus Russland heraus operierende Gruppe von Cyberkriminellen, ALPHV,\u00a0 droht damit, Daten zu ver\u00f6ffentlichen. Es gibt u.a. um die gesamte E-Mail-Korrespondenz ab 2016, die beim Hack wohl erbeutet wurde. Auf der dena-Webseite hei\u00dft es hier<\/a>: Nach derzeitigem Stand kann infolge des Cyberangriffs auf die dena leider eine Gef\u00e4hrdung von verarbeiteten Daten unserer Gesch\u00e4ftskontakte nicht ausgeschlossen werden. Hiervon sind eventuell auch sensible Daten betroffen, wie zum Beispiel Kontoverbindungen.<\/em><\/p>\n In einem weiteren Mastodon-Post hat mich der Leser auf einen Cyberangriff auf Cardiovascular Consultant (eine US-Tochter von Fresenius Medical Care) hingewiesen. Bei diesem Angriff wurden m\u00f6glicherweise Daten von rund 500.000 aktuellen und fr\u00fcheren Patienten gestohlen. DataBreaches.Net hat hier<\/a> eine entsprechende Meldung. Auch das Handelsblatt geht in diesem Artikel<\/a> auf den Vorfall ein.<\/p>\n Erst Ende November 2023 wurde die BLUFF Schwachstelle in Bluetooth bekannt – ein Leser hatte auf diesen Artikel<\/a> hingewiesen, wo auch Gegenma\u00dfnahmen besprochen werden. Ein Artikel mit den Details ist hier<\/a> (PDF) abrufbar – Bleeping Computer hat sich in diesem Artikel<\/a> \u00fcber die Schwachstelle CVE-2023-24023<\/a> ausgelassen.<\/p>\n Nun wurde eine neue Bluetooth Schwachstelle CVE-2023-45866 (als kritisch eingestuft) bekannt, die Angreifern es erm\u00f6glicht, die Kontrolle \u00fcber Ger\u00e4te mit Android, Linux, maxOS und iOS zu \u00fcbernehmen. Der Entdecker hat die Authentification Bypass-Schwachstelle hier<\/a> beschrieben. The Hacker News beschreibt das Ganze in diesem Artikel<\/a>. Die kritische Schwachstelle d\u00fcrfte sich aber nur ausnutzen lassen, wenn Bluetooth auch eingeschaltet ist.<\/p>\n Wissenschaftler haben eine SPECTRE-artige Angriffsmethode auf CPUs vorgestellt und nennen diese SLAM. Dazu hei\u00dft es, dass SLAM die verbleibende Angriffsfl\u00e4che von Spectre auf modernen (und sogar zuk\u00fcnftigen) CPUs erforscht, die mit Intel LAM (Intel Linear Address Masking<\/a>)\u00a0oder \u00e4hnlichen Funktionen ausgestattet sind. SLAM zielt nicht auf neue transiente Ausf\u00fchrungstechniken (wie BHI oder Inception) ab, sondern konzentriert sich auf die Ausnutzung einer verbreiteten, aber bisher unerforschten Klasse von Spectre-Offenlegungs-Gadgets. Standardm\u00e4\u00dfige (so genannte \"maskierte\") Offenlegungs-Gadgets beinhalten Code-Schnipsel, die geheime Daten zum Indexieren eines Arrays verwenden. Details lassen sich hier<\/a> nachlesen – Bleeping Computer hat diesen Beitrag<\/a> dazu ver\u00f6ffentlicht.<\/p>\n Gleich 21 Schwachstellen haben Sicherheitsforscher der Forescout Vedere Labs in der Firmware von OT\/IoT-Routern von Sierra entdeckt. Sierra Router werden in kritischen Infrastrukturen und Industriesystemen eingesetzt. Die\u00a0 21 neu entdeckten Schwachstellen\u00a0 bedrohen kritische Infrastrukturen mit Remote-Code-Ausf\u00fchrung, unberechtigtem Zugriff, Cross-Site-Scripting, Authentifizierungsumgehung und Denial-of-Service-Angriffen.<\/p>\n Die Schwachstellen betreffen Sierra Wireless AirLink Mobilfunkrouter und Open-Source-Komponenten wie TinyXML und OpenNDS (Open Network Demarcation Service). Mehr Informationen zum Sachverhalt lassen sich in diesem Artikel<\/a> der Kollegen von Bleeping Computer nachlesen.<\/p>\n Ich bin auf Mastodon auf einen schier unglaublichen Fall<\/a> gesto\u00dfen. Polnische Z\u00fcge weigerten sich pl\u00f6tzlich zu fahren, nachdem sie in fremden Werkst\u00e4tten gewartet worden waren. Der Hersteller der betreffenden Triebwagen argumentierte, dass dies auf ein \"Fehlverhalten dieser Werkst\u00e4tten\" zur\u00fcckzuf\u00fchren sei und dass die Z\u00fcge von ihm selbst und nicht von Dritten gewartet werden sollten.<\/p>\n Darauf haben sich Hacker mal den Code der Speicherprogrammierbaren Steuerungen (SPS) angesehen, der f\u00fcr die Steuerung der Z\u00fcge verwendet wurde. Sie fanden heraus, dass der SPS-Code eine Logik enthielt, die den Zug nach einem bestimmten Datum oder wenn der Zug eine bestimmte Zeit lang nicht fuhr, mit falschen Fehlercodes sperrte. Eine Version des Steuerger\u00e4ts enthielt sogar GPS-Koordinaten, um das Verbringen in fremde Werkst\u00e4tten zu erfassen. Gem\u00e4\u00df Code war es m\u00f6glich, die Z\u00fcge durch Dr\u00fccken einer Tastenkombination in der Kabinensteuerung zu entriegeln. Dies alles vom Hersteller der Z\u00fcge wurde nicht dokumentiert.<\/p>\n Diese Sperre wurde zwar in neueren SPS-Softwareversionen gel\u00f6scht, die Sperrlogik blieb jedoch erhalten. Nach einer bestimmten Aktualisierung durch NEWAG zeigten die F\u00fchrerstandskontrollen aber pl\u00f6tzlich be\u00e4ngstigende Meldungen \u00fcber Urheberrechtsverletzungen an, wenn die Mensch-Maschine-Schnittstelle eine Untergruppe von Bedingungen erkannte, die die Sperre h\u00e4tten ausl\u00f6sen m\u00fcssen, der Zug aber noch in Betrieb war.<\/p>\n Die Z\u00fcge waren au\u00dferdem mit einer GSM-Telemetrieeinheit ausgestattet, die den Verriegelungszustand \u00fcbermittelte und in einigen F\u00e4llen offenbar in der Lage war, den Zug aus der Ferne remote zu verriegeln. Diese Geschichte macht aktuell die Runde in polnischen Medien (es wurde auf polnisch hier<\/a> dokumentiert), aber die Hacker haben einen Vortrag auf dem 37C3 geplant, in dem sie das Thema vertiefen und unsere Ergebnisse ver\u00f6ffentlichen wollen. Ich habe gesehen, dass Golem einige Informationen in diesem deutschen Artikel<\/a> zusammen gezogen hat.<\/p>\n Die Sicherheitsforscher von Cybernews haben mich in einer Nachricht \u00fcber eine Barcode-App f\u00fcr Android hingewiesen, die mit besonderen \"Features\" aufwarten kann. Die Android-App mit mehr als 100.000 Google Play-Downloads und einer durchschnittlichen Bewertung von 4,5 Sternen hat eine Schwachstelle, so dass sensible Nutzerdaten f\u00fcr jedermann zug\u00e4nglich sind.<\/p>\n Das Cybernews-Rechercheteam fand heraus, dass die App-Entwickler ihre Firebase-Datenbank, die \u00fcber 368 MByte Daten enth\u00e4lt, f\u00fcr jeden zug\u00e4nglich gelassen hat. Die Android-App Barcode to Sheet <\/em>gibt sensible Benutzerinformationen und Unternehmensdaten preis, die von den App-Entwicklern in der Datenbank gespeichert wurden. In der Datenbank fanden sich folgende Informationen:<\/p>\n Zu den Details, die zug\u00e4nglich blieben, geh\u00f6rten die Web-Client-ID, der Schl\u00fcssel f\u00fcr die Google-API (Application Programming Interface), die Google-App-ID, der Schl\u00fcssel f\u00fcr die Absturzmeldung und andere Informationen, die normalerweise nur f\u00fcr App-Entwickler bestimmt sind. Details zu diesem Fall sind in diesem Blog-Beitrag v<\/a>on Cybernews beschrieben.<\/p>\n Hier noch weitere Meldungen, die mir gerade untergekommen sind, in einer Kurz\u00fcbersicht.<\/p>\n Sicherheitsforscher von Cyble beschreiben in diesem Artikel<\/a> die R\u00fcckkehr des Banking-Trojaners TrickMo. Der Banking-Trojaner \"TrickMo\" wurde im September 2019 identifiziert und \u00fcber die Malware \"TrickBot\" weiterverbreitet. Im M\u00e4rz 2020 analysierten IBM Forscher einen neu entdeckten Android-Bankentrojaner mit dem Namen \"TrickMo\". Dieser Trojaner zielte speziell auf Nutzer in Deutschland ab und hatte das Ziel, Transaktions-Authentifizierungsnummern (TANs) zu stehlen, indem er eine Bildschirmaufzeichnungsfunktion nutzte. Nun wird eine neue Variante mit aktualisiertem Schadcode verteilt.<\/p>\n Check Point Research hat einen ausgekl\u00fcgelten Krypto-W\u00e4hrungsbetrug aufgedeckt, bei dem Hacker die Pool-Liquidit\u00e4t manipulierten, um den Preis eines Tokens um unglaubliche 22 000 Prozent in die H\u00f6he zu treiben und ahnungslosen Investoren 80 000 US-Dollar zu stehlen. Details lassen sich in diesem Blog-Beitrag<\/a> nachlesen.<\/p>\n In den USA gibt es die sogenannte Green Card Lotterie, \u00fcber die sich Interessenten um ein US-Einreisevisa (Green Card) bewerben k\u00f6nnen. Private Daten von Tausenden von Bewerbern f\u00fcr das Diversity Immigrant Visa Program (Green Card Lotterie), wurden von der US GREEN CARD OFFICE LIMITED (USGCO)\u00a0 offen gelegt. Die USGCO ist eine im Vereinigten K\u00f6nigreich registrierten Gesellschaft mit beschr\u00e4nkter Haftung und hilft bei der Erstellung der Dokumente f\u00fcr die Green Card Lotterie. Die Firma hatte eine Datenbank mit Informationen \u00fcber etwa 202.000 einzelne Konten sowie weitere 147.000 zugeh\u00f6rige \"Zweitnutzer\" im Klartext und ungesch\u00fctzt in einem offenen Verzeichnis auf usgreencardoffice[.]com abgelegt. Der Datenbankauszug war ungesch\u00fctzt und f\u00fcr Webcrawler, Scraper oder Website-Besucher zug\u00e4nglich. Details hat Cybernews in diesem Artikel<\/a> ver\u00f6ffentlicht.<\/p>\n Von Check Point gibt es diesen Artikel<\/a>, in dem Sicherheitsforscher des Anbieters Angriffswege gegen Microsoft Outlook unter Alltagsbedingungen gepr\u00fcft haben. In der detaillierten Analyse der Desktop-Anwendung Microsoft Outlook, verkn\u00fcpft mit dem Microsoft Exchange Server, werden tiefe Einblicke in Angriffs-Vektoren erm\u00f6glicht. Untersucht wurde insbesondere die Version Outlook 2021 unter Windows mit den Updates ab November 2023.<\/p>\n Die Analyse, die in Werkseinstellungen und in einer typischen Unternehmensumgebung durchgef\u00fchrt wurde, zeigt unter Ber\u00fccksichtigung des typischen Benutzerverhaltens, wie Klicken und Doppelklicken, <\/b>drei Hauptangriffswege: Hyperlinks, Anh\u00e4nge und fortgeschrittene Angriffe (welche das Lesen von E-Mails und speziellen Objekten beinhalten). Sich dieser g\u00e4ngigen Methoden der Hacker bewusst zu sein, ist entscheidend f\u00fcr das Verst\u00e4ndnis und die Minderung von Schwachstellen in der E-Mail-Kommunikation.<\/p>\n Das Threat Labs-Team von Jamf hat eine Manipulationstechnik in iOS-Endger\u00e4ten identifiziert, die auf kompromittierten Ger\u00e4ten dazu genutzt werden kann, ein falsches Sicherheitsgef\u00fchl beim Nutzer zu erzeugen. Dabei handelt es sich nicht um eine iOS-immanente Schwachstelle oder einen Code-Fehler im Blockierungsmodus von iOS-Endger\u00e4ten, sondern um eine gezielte Manipulationsmethode. Dabei wird dem Nutzer mithilfe von Malware visuell vorget\u00e4uscht, dass sich sein Ger\u00e4t im Blockierungsmodus befindet, ohne dass dieser tats\u00e4chlich aktiviert ist und die entsprechenden Schutzfunktionen eingeschaltet werden. Diese Methode wird nach aktuellem Stand bislang noch nicht von Hackern genutzt. Das Ziel der Analyse ist die Sensibilisierung der Nutzer f\u00fcr die Funktionsweise und Limitierungen des Blockierungsmodus. Eine ausf\u00fchrliche technische Analyse des falschen Blockierungsmodus finden Interessenten im Blog von Jamf<\/a>.<\/p>\n Im Beitrag WordPress 6.4.2 verf\u00fcgbar<\/a> hatte ich \u00fcber ein Update dieses CMS berichtet und am Rande erw\u00e4hnt, dass auch eine Sicherheitsl\u00fccke geschlossen wurde. Bei dieser Sicherheitsl\u00fccke handelt es sich um eine Remotecode Ausf\u00fchrungsschwachstelle (RCE) , die nicht direkt im Kernprogramm ausgenutzt werden kann. Das WordPress Sicherheitsteam ist jedoch der Ansicht, dass in Verbindung mit einigen Plugins, insbesondere bei Multisite-Installationen, ein hoher Schweregrad erreicht werden kann. Man sollte WordPress also updaten.<\/p>\n","protected":false},"excerpt":{"rendered":" Ich fasse mal in einem Sammelbeitrag einige Cybervorf\u00e4lle und -Themen zusammen, die mir gerade untergekommen sind. So gibt es wohl neue Erkenntnisse zum Angriff auf die Dena, und die US-Tochter von Fresenius Medical Care ist Opfer eines Hacks geworden, bei … Weiterlesen Die Deutsche Energie Agentur (dena) wurde Im November 2023 Opfer eines Cyberangriffs (siehe Auch die Dena ist Opfer eines Cyberangriffs (Nov. 2023)<\/a>). Die Deutsche Energie-Agentur GmbH<\/a> (dena) ist ein bundeseigenes deutsches Unternehmen, das laut Gesellschaftsvertrag] bundesweit und international Dienstleistungen erbringen soll, um die energie- und klimapolitischen Ziele der Bundesregierung zu Energiewende und Klimaschutz auszugestalten und umzusetzen. Die dena wurde im Herbst 2000 auf Initiative der rot-gr\u00fcnen Bundesregierung als private GmbH gegr\u00fcndet.<\/p>\n
![\"dena](\"https:\/\/i.postimg.cc\/ZqRvbGhY\/image.png\" "\\"dena")
<\/a><\/p>\nCyberangriff auf Fresenius Tochter<\/h2>\n
Bluetooth-Schwachstelle CVE-2023-45866<\/h2>\n
![\"Bluetooth](\"https:\/\/i.postimg.cc\/zGdL2KdP\/image.png\" "\\"Bluetooth")
<\/a><\/p>\nSLAM-Angriff auf CPUs<\/h2>\n
Sierra:21 bedroht Router f\u00fcr KRITIS<\/h2>\n
Zug mit \"Killswitch\" versehen<\/h2>\n
![\"Train](\"https:\/\/i.postimg.cc\/90Cq93tw\/image.png\" "\\"Train")
<\/a><\/p>\nAndroid Barcode App verr\u00e4t Passw\u00f6rter<\/h2>\n
\n
Weitere Sicherheitsmeldungen<\/h2>\n
Banking-Trojaners TrickMo<\/h3>\n
Krypto-W\u00e4hrungsbetrug<\/h3>\n
Datenleck bei Green Card Lotterie<\/h3>\n
Angriffswege gegen Microsoft Outlook unter Alltagsbedingungen<\/h3>\n
Manipulationstechnik in iOS-Endger\u00e4ten<\/h3>\n
WordPress 6.4.2 schlie\u00dft kritische Schwachstelle<\/h3>\n