Die letzten Tage sind einige Sicherheitsinformationen aufgelaufen, die ich in einem Sammelbeitrag für interessierte Blog-Leser zusammenfasse.
Anzeige
Sorebrect: Datei-lose Ransomware
Sicherheitsforscher von Trend Micro beschreiben in diesem Blog-Beitrag eine neue Ransomware mit dem Namen Sorebrect. Diese benötigt keine Dateien zur Verbreitung und kann Code in legale Betriebssystemprozesse svchost.exe) injizieren. Sorebrect ist so entworfen, dass sowohl Unternehmens-Server als auch Clients befallen werden können. Nach einer Infektion verschlüsselt die Ransomware Dateien auf der Maschine und auf allen Netzwerkfreigaben. Nach der Aktion zerstört sich die Ransomware automatisch, um eine Entdeckung zu vermeiden. Ein etwas lesefreundlicherer Artikel (als bei Trend Micro) findet sich bei Hacker News.
Fast 1 Million Systeme gewähren einen SMB-Gast-Zugang
Über das SMBv1-Protokoll bzw. dessen Implementierungsschwachstellen konnte sich die Schadsoftware WannaCry verbreiten. John Matherly, der Gründer der Shodan-Suchmaschine hat nun einige Zahlen veröffentlicht.
42% of Internet-facing SMB allow guest access. 95% of those are running Samba. pic.twitter.com/hDi2hyzAxm
— John Matherly (@achillean) 6. Juni 2017
Gut 42% der per Internet erreichbaren Systeme erlauben einen Gast-Zugang über das SMB-Protokoll. Davon sind 95% Samba-Server unter Linux. Der NSA Exploit ETERNALBLUE kann zwar keine Linux-Systeme angreifen. SMB-Zugänge per Internet bergen aber die Gefahr, das diese für Angriffe missbraucht werden. Und unter Linux wütet ja SambaCry. Weitere Details lassen sich in diesem Bleeping-Computer-Beitrag nachlesen.
Mirai-Botnetz könnte Neustart überleben
Bisher waren durch das Mirai-Botnet infizierte IoT-Geräte recht einfach zu bereinigen. Nach einem Neustart war der Schädling weg. Wurde das IoT-Gerät dann (z.B. durch eine Passwort) abgesichert, konnte keine neue Infektion erfolgen.
Nun haben Sicherheitsforscher aber festgestellt, dass sich das Mirai-Botnetz weiter entwickelt. Neue Schwachstellen ermöglichen es, dass die Infektion auch einen Neustart des IoT-Geräts übersteht. Details lassen sich in diesem englischsprachigen Beitrag nachlesen.
Übrigens: 15 % der Nutzer von IoT-Geräten und Routern ändern das Kennwort dieser Geräte nicht, sondern belassen die Herstellereinstellungen. Dies geht aus diesem Bericht hervor, der bei Bleeping Computer hier aufbereitet wurde.
Die Linux Stack Clash-Sicherheitslücke
In Linux klafft eine gravierende Sicherheitslücke, die den Namen Stack Clash bekommen hat. Über diese Lücke können Angreifer sich root-Rechte unter Linux und Unix verschaffen. Das erste Mal wurde eine Schwachstelle bereits 2005 gefunden – und dann gab es 2010 einen Patch. Jetzt ist wieder eine Sicherheitslücke gefunden worden. Allerding benötigt der Angreifer lokalen Zugriff auf das System. Details finden sich bei Bleeping Computer (Englisch) und bei heise.de (Deutsch). Ergänzung: Gemäß diesem Beitrag (Englisch) sollen wohl Patches verfügbar sein.
Erebus-Ransomware: Hoster zahlt 1 Million
Der in Südkorea aktive Hoster Nayana hat Erpressern 1 Million US $ Lösegeld gezahlt, nachdem 153 Linux-Server mit dem Erpressungsgstrojaner Erebus infiziert wurden. Dabei wurden Kundendaten, die auf diesen Linux-Servern gehostet waren, verschlüsselt. Der Angriff wurde möglich, weil beim Hoster veraltete Linux-Kernel und PHP-Versionen eingesetzt wurden. Details lassen sich in diesem heise.de-Artikel nachlesen.
Anzeige
NSA-Malware infiziert PCs mit Crypto-Miner
Die Hacker haben nicht lange gefackelt. Nachdem diverse Exploits der NSA publik wurden, hat jemand den Code des DOUBLEPULSAR-Exploits genutzt, um ungepatchte Windows-Systeme mit einem Crypto-Miner Trojan.BtcMine.1259 zu infizieren. Der Angriff erfolgt über die SMBv1-Schnittstelle. Details lassen sich in diesem englischsprachigen Beitrag nachlesen. Nachtrag: Zwischenzeitlich hat heise.de diesen deutschsprachigen Beitrag zum Thema publiziert.
125.000 Euro Strafe für verschleppte Updates
Und das Letzte: das Information Commissioner's Office (ICO) in Großbritannien hat dem Stadtrat der Stadt Gloucester eine Strafe von $125.000 Euro aufgebrummt. Der Grund: Die lokalen Behörden haben es 3 Monate versäumt, Sicherheits-Updates auf ihren IT-Systemen einspielen zu lassen. Am Ende des Tages kam es dann 2014 zu einem Hack, bei dem 30.000 E-Mails abgezogen wurden. Details finden sich hier.
2015
"125.000 Euro Strafe für verschleppte Updates"
Hat sich also 2014 zumindest in England noch wer für interessiert… heutzutage scheints gefühlt eher unter Unfall und isso zu fallen. Oder passiert mit den Krankenhäusern in England was, nachdem da neulich die Rechner auf dem Rücken lagen?
Was müsste wohl unser Bundestag nach dem Hack als Strafe zahlen und wäre das dann nicht auch wieder ne Art Steuergeldverschwendung ;) ? Aber beim Bundestag wars ja ne Art "Kriegsführung" laut Merkel und nicht bloss einfaches Hacken. Persönlich haftbar ist da eh auch niemand.
Maximal ist dort die IT Firma dafür zuständig und haftbar wozu gibts auch eine IT Haftpflichtversicherung die aber auch nicht bei Fahrlässigkeit haftet (also eigentlich nie, oder hat hier wer eine Versicherung die im Schadensfall sich selbst meldet und gerne Zahlt).
Irgendwer wir da schon dafür bezahlt haben, spätestens aber wir Steuerzahler.
Finde ich aber gut das Leute dafür zu Kasse gebeten werden wenn sie es den Hackern all zu leicht machen, wenn ich mein Auto offen Stehen lasse kann ich ja auch mit einer Anzeige rechnen weil ich es Dieben all zu leicht mache mein Auto zu stehlen.
Ist natürlich immer etwas schwierig den Tatsächlich Schuldigen aus zu machen bei Ransomware müsste man dann den Finder und Käufer eines Zero Day erst ausfindig machen und anschließend diesen dafür belangen.