Sicherheitsinfos 9.4.2018

Noch ein paar Sicherheitsinfos zum Wochenstart, bevor am morgigen Dienstag die Microsoft-Update-Welle über uns zusammen schlägt.


Anzeige

Finnland: 130.000 Datensätze mit Klartext-Passwörtern

Sonntag habe ich im Blog-Beitrag Patzer: T-Mobile Austria speichert Kennwörter im Klartext auf den Umstand hingewiesen, dass der genannte Mobilfunkanbieter Kundenkennwörter im Klartext speichert. Das scheint irgendwie weiter verbreitet zu sein. In Finnland wurde das drittgrößte Datenleck jetzt bekannt. The Hacker News berichtet hier, das die Daten von 130.000 Benutzern geleakt wurden. In den Datensätzen sind auch die Kennwörter im Klartext enthalten. 

Magento-Webshops verteilen Malware

Die eCommerce-Plattform Magento wird von vielen Web-Shops als Basis verwendet. Das Sicherheitsunternehmen FlashPoint schreibt in diesem Blog-Beitrag, dass man mehr als 1.000 gehackte Magento-Shops gefunden habe. Diese wurden durch Brute-Force-Angriffe und Abarbeitung von Standard-Kennwort-Listen kompromittiert. Die Angreifer installierten dann Schadcode in die Shops, um die Besucher zu attackieren. Details lassen sich auch in diesem deutschsprachigen heise.de-Beitrag nachlesen.

Remote-Execution Lücke im Spring Framework

Entwickler von (JAVA) Apps, die auf das Spring Framework aufsetzen, haben ein Problem. In diesem Framework gibt es eine Bug, der einen Remote Code Execution-Angriff ermöglicht. Wenn Apps auf Basis dieses Framework eingesetzt werden, ist ein Sicherheitsupdate erforderlich. Details lassen sich bei The Hacker News nachlesen.  

Vertrauliche Dokumente frei im Internet

Alles soll vernetzt oder in die Cloud verlagert werden. Häufig wird man aber die Geister, die man rief, nicht mehr los. Falsch konfigurierte Server (Web-Server, File-Server, Amazon S3 Bucketes) etc. führen dazu, dass vertrauliche Dokumente und Backups plötzlich frei im Internet abrufbar sind. Es geht dabei nicht um eine Hand voll vertrauliche Dateien oder Einzelfälle, sondern der Umfang reicht in die Milliarden. 

Die Sicherheitsfirma digital shadows hat sich des Themas angenommen und geht von 1,5 Milliarden vertraulicher Dokumente aus, die so unbeabsichtigt per Internet abrufbar sind. Der betreffende Artikel ist hier (Englisch) einsehbar. Wer es lieben in Deutsch lesen will, heise.de hat hier einen Artikel veröffentlicht.

Bing Chrome Download verteilt PUPs

Google bewirbt ja seinen Chrome Browser in Suchmaschinen recht prominent und bietet diesen zum Download an. Wer über Bing suchte und dort auf einen Chrome-Download stieß, konnte sich aber einen weiteren Beifang zuziehen. Bleeping Computer berichtet hier, dass die Anzeigen zum Download von Google Chrome ein potentiell unerwünschtes Programm (PUP) verteilten. Es handelt sich um einen Adware-Installer. Wer Software braucht, sollte zum Download die Webseite des Entwicklers nutzen.

Aufregung um Chrome Datei-Scan

Der Google Chrome-Browser wird seit einiger Zeit mit einem Chrome Cleanup-Tools ausgeliefert. Dieses ermöglicht eine Überprüfung des System auf Malware. Ich hatte im Blog-Beitrag Chrome 62 und neues Clean Tool mit Virenschutz freigegeben diese Funktion vorgestellt. Und im Verbund mit dem Software Reporter-Tool kann es auch schon mal Ärger geben. Denn dieses Programm kommt ebenfalls mit dem Google Chrome und scannt den PC auf Komponenten, die mit Chrome nicht kompatibel sind. Ich hatte das im Blog-Beitrag Windows: Software-Reporter-Tool erzeugt hohe Last angerissen.


Anzeige

Soviel als Vorbemerkung. Vor einigen Tagen sorgte ein Tweet für ‘Aufregung’ im Blätterwald. Kelly Sortridge war aufgefallen, dass der Google Chrome ein Antivirus-Scan ausführt – ihr war das nicht bewusst. Wie gesagt, eigentlich bekannt, aber in Tagen des Facebook-Skandals geht es durch’s Web. Sowohl heise.de als auch Dr. Windows haben das Thema beleuchtet.

Trojaner wird über YouTube verteilt

Die Virenanalysten von Doctor Web warnen aktuell vor einem neuen Trojaner, der mithilfe von Links in den Kommentarspalten auf YouTube verbreitet wird. Der Trojaner stiehlt vor allem die Login-Daten von sozialen Netzwerken und Online-Services der Betroffenen.

Der entdeckte Trojaner Trojan.PWS.Stealer.23012 ist in Python geschrieben und infiziert Rechner unter Microsoft Windows. Seit dem 11. März 2018 verbreitet er sich in den Kommentarspalten auf YouTube. In vielen dieser Videos geht es um spezielle Software, mit der man bei Videospielen „cheaten“ kann. Die Links unter den Videos verweisen angeblich auf eben diese Software. Um die Benutzer von der Echtheit der Links zu überzeugen, werden mehrere Kommentare mit gefälschten Accounts verfasst. Nachdem die Benutzer auf den Link geklickt haben, wird automatisch eine RAR-Datei heruntergeladen, die den Trojaner enthält.

Nachdem der Trojaner auf dem infizierten Rechner gestartet ist, sammelt er Screenshots sowie gespeicherte Login-Daten und Passwörter von sozialen Netzwerken und Online-Services. Betroffen sind u.a. die Browser Chrome, Opera und Vivaldi. Ferner kopiert der Trojaner alle Dateien auf dem Desktop, mit folgenden Erweiterungen: “.txt”, “.pdf”, “.jpg”, “.png”, “.xls”, “.doc”, “.docx”, “.sqlite”, “.db”, “.sqlite3”, “.bak”, “.sql”, “.xml”. Zuletzt packt er diese Dateien in das Archiv spam.zip und sendet es an den Server der Cyber-Kriminellen.

Alle bekannten Modifikationen des Schädlings werden durch Dr.Web Antivirus erfolgreich entdeckt und stellen deshalb keine Gefahr für Dr.Web Nutzer dar. Weitere Informationen finden sich hier.

Matrix Ransomware kommt per gehackten RDP

Das MalwareHunterTeam hat neue Matrix-Ransomware-Varianten entdeckt, die über gehackte Remote Desktop Services verteilt werden. Die zwei neuen Matrix-Varianten werden über gehackte RDP-Verbindungen installiert.

Über eine Schwachstelle in RDP hatte ich im Beitrag CredSSP-Sicherheitslücke in RDP unter Windows berichtet. Microsoft wird bald solche RDP-Verbindungen blockieren (siehe Microsoft blockt bald RDP-Anfragen von Clients).

Die jetzt beobachteten Matrix-Ransomware-Varianten verschlüsseln nicht zugeordnete Netzwerkfreigaben, zeigen beim Verschlüsseln Statusfenster an, löschen Schattenvolumenkopien und verschlüsseln die Dateinamen. Details lassen sich bei Bleeping Computer nachlesen.

Crypto-Jacking im MSN

Zwischen dem 25. und 27. März 2018 ist es wohl einem Angreifer gelungen, in MSN einen Crypto-Miner über Anzeigen auszurollen. Der Miner war nur in Japan aktiv und schürfte Krypto-Geld in den Browsern der Nutzer. Details finden sich bei Bleeping Computer. Zu diesem Thema hatte ich im Februar die Artikelreihe Wissen: Crypto-Mining/-Jacking erkennen und verhindern im Blog.

Industriesteuerungen in Gefahr?

Abschließend noch ein kurzer Sicherheitssplitter, der den Fokus von Blog-Lesern, die im Bereich von Industriesteuerungen aktiv sind, auf ein Problem lenken soll. Ende 2017 wurde ein Kraftwerk in Saudi Arabien von Hackern angegriffen. Ziel war es, die Anlage zu zerstören, wobei Tote und Verletzte in Kauf genommen wurden. Beim Angriff wurden Sicherheitssysteme manipuliert und nur eine, durch den Hack ungewollt ausgelöst Sicherheitsabschaltung des Kraftwerks verhinderte eine Zerstörung der Anlage.

Angriffsziel sind 10 Jahre alte Controller des Triconex Safety Instrumented System (SIS) von Schneider Electric. Zum Fall in Saudi Arabien gibt es hier einen deutschsprachigen Artikel. Auffällig ist, dass die Angreifer offenbar über sehr viele Ressourcen verfügten, um diesen Angriff durchführen zu können. Es dürfte sich um staatliche Hacker gehandelt haben.

Spiegel Online macht in diesem Artikel darauf aufmerksam, dass diese Sicherheitskomponente auch in deutschen Industrieanlagen (u.a. in Kraftwerken) im Einsatz ist. Geht möglicherweise auf diesen Artikel in der New York Times zurück. Auch heise.de befasst sich in diesem Beitrag mit dem Thema. Interessant ist auch dieser ältere Artikel von Januar 2018, der sich mit Apps und Industriesteuerungen befasst – Russisches Roulett würde ich mal sagen.

Ich habe mal nach Schneider Electric im Blog gesucht und bin auf diesen Artikel Überwachungstechnik mit NSA-Backdoor und der BND schweigt gestoßen. Dort ging es um kompromittierte Überwachungstechnik, die der Hersteller zugekauft hatte.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.