Sicherheitsinfos zum 1. August 2019

Zum Start in den August 2019 möchte ich in einem Sammelbeitrag einige Sicherheitsthemen aufbereiten, die mir die letzten Tage im Juli unter die Augen gekommen sind.


Anzeige

Hack bei Capitel One

Die Capital One Financial Corp. ist eine US-Bank, die im März unbemerkt gehackt wurde. Das Unternehmen hat den Hack am 29. Juli 2019 in dieser Veröffentlichung eingestanden. Dem Dokument zufolge wurde die Bank am 19. Juli 2019 über den Hack informiert und die Strafverfolger wurden eingeschaltet.

Ermöglicht wurde dies durch eine Fehlkonfiguration einer Firewall. Eine Programmiererin aus Seattle, die für Amazon arbeitet, konnte über AWS auf die Daten von 100 Millionen US-Amerikanern und 6 Millionen Kanadiern abgreifen. Die Daten umfassten den Kundenstatus (ob die kreditwürdig sind), die letzten Transaktionen, Sozialversicherungsnummern und einiges mehr. Solche Daten ermöglichen den Identitätsdiebstahl.

Aufgefallen ist der Hack erst, als die Programmiererin die Daten auf GitHub einstellte und mit dem Hack prahlte. Ein Sicherheitsforscher informierte die Bank, die dann das FBI einschaltete. Dieses konnte die Frau verhaften und jetzt anklagen. Bloomberg berichtete in diesem Beitrag über den Fall. Deutschsprachige Artikel mit mehr Informationen finden sich bei Golem und bei heise.

Diesem Forbes-Artikel nach könnte der Capitel One-Hack nur die Spitze des Eisberges sein. Die Hackerin soll wohl auch bei anderen Organisationen in den USA eingedrungen sein. Ein Telefonanbieter in Ohio, eine US-Universität, eine Regierungsstelle in Ohio. Das legen jedenfalls private Nachrichten der Beschuldigten früheren Amazon Angestellten, Paige Thompson, auf Slack und Twitter nahe. Möglicherweise hat sie Insider-Informationen zu AWS für diese Hacks verwendet.

Patch für SonicWall-Schwachstellen

In den Firewalls von SonicWall gibt es gravierende Sicherheitslücken in älteren Versionen des SonicOS-Betriebssystem. Der Hersteller hat bereits zum 19. Juli 2019 einen entsprechenden Sicherheitshinweis herausgegeben. Sicherheitsupdates zum Patchen der Schwachstellen sind verfügbar. Heise hat diesen Artikel mit einigen Informationen zum Thema veröffentlicht.

Patch für URGENT/11-Schwachstellen in VxWorks

VxWorks ist ein von WindRiver entwickeltes Echtzeit-Betriebssystem, welches in diversen Geräten (Maschinensteuerungen, Druckern, medizinischen Geräten, Luft- und Raumfahrt etc.) eingesetzt wird. Sicherheitsforscher der Firma Armis sind auf elf kritische Schwachstellen in älteren Version von VxWorks (VxWorks 7 (SR620) ist nicht betroffen) gestoßen, die teilweise 13 Jahre lang nicht aufgefallen sind. Das Ganze wurde unter dem Begriff URGENT/11 (11 kritische Sicherheitslücken) publiziert. Der Hersteller hat inzwischen Updates zum Schließen dieser Schwachstellen bereitgestellt. Mir ist aber unklar, wie viele meine Blog-Leser/innen Geräte mit VxWorks administrieren. In diesem Dokument von WindRiver finden sich weitere Informationen. Heise hat in diesem Beitrag das Thema ebenfalls aufgegriffen und schreibt, dass auch SonicWALLs (siehe vorheriger Abschnitt) betroffen ist. Auch Golem hat einen Artikel zum Thema veröffentlicht.

Schwachstellen in iOS-Geräten


Anzeige

Google-Sicherheitsforscherhaben sechs schwere Sicherheitslücken in Apples iOS-Betriebssystem für das iPhone in der iMessage-App entdeckt und veröffentlicht, wie The Telegraph hier berichtet. Vier der Sicherheitslücken ermöglichen eine Remote Code-Ausführung. Für Schwachstellen wurden von Apple mit iOS 12.4 gepatcht, der sechste Fix ist laut den Sicherheitsforschern unvollständig. Bei ZDNet.com gib es diesen englischsprachigen Artikel zum Thema (ein deutschsprachiger ZDNet-Beitrag ist hier abrufbar).

iTunes und iCloud für Windows updaten

Die beiden Programmpakete iTunes und iCloud für Windows besitzen in älteren Versionen Sicherheitslücken. Apple hat vor einigen Tagen aktualisierte Fassungen für die Windows-Anwendungen bereitgestellt, um die Schwachstellen zu schließen. Details finden sich in diesem heise-Beitrag.

Amazon: US-Polizei sollte Überwachungskamera promoten

Die US-Site Motherboard berichtet hier über eine Schweinerei der Amazon-Tochter Ring, die Überwachungskameras, vernetzte Türklingeln, Bewegungsmelder und ähnliches, privates Sicherheitszubehör vertreibt. Ring hat in den USA angeblich um die 200 Polizeibehörden für eine Kooperation angeworben und mit diesen eine geheime Vereinbarung geschlossen. Die lokalen Polizeistationen sollen für Ring-Überwachungskameras werben und sollen dafür im Gegenzug Guthaben für den Kauf weiterer Kameras erhalten. Zudem soll eine für die Sicherheitskameras konzipierte App Neighbors beworben werden. Mit der App können Polizeibehörden oder Nachbarn die Daten der Sicherheitseinrichtungen abrufen. Wer sich für das Thema interessiert, heise hat es in diesem Artikel aufbereitet.

Sicherheitsupdate für OXID eShop

OXID ist ein e-Commerce-Shop-System welches auch in Deutschland angeboten wird. Das Admin-Panel weist aber eine Sicherheitslücke auf, über die das Shop-System angreifbar ist. In folgendem Tweet weist heise darauf hin, dass ein Sicherheitsupdate für den OXID eShop bereitsteht.

Java updaten

Ich adressiere es, wegen der abnehmenden Bedeutung, aktuell nicht mehr im Blog: Aber in Java gibt es in den diversen Versionen der Laufzeitumgebung Schwachstellen. CERTBund warnt in dieser Meldung vor Schwachstellen in Oracle Java SE 11.0.3, Oracle Java SE 12.0.1, Oracle Java SE 7u221, Oracle Java SE 8u212, Oracle Java SE Embedded 8u211, Debian Linux, Oracle Linux und Red Hat Enterprise Linux. Updates sollten also eingepflegt werden.

Hack des Visa 50 Euro-Limits

Mit Visa-Karten ist ja ein kontaktloses Bezahlen ohne Pin und Unterschrift möglich. Um Missbrauch und das Leeren des Kreditkartenkontos zu vermeiden, wurde von VISA eine Grenze von 30 britischen Pfund bzw. 50 Euro festgelegt. Beträge unter dieser Grenze sollen so bequem bezahlt werden können. Wie heise berichtet, ist es britischen Sicherheitsforschern gelungen, diese Grenze mit einem Hack auszuheben.

Microsoft Office 365 Webmail gibt IP-Adressen preis

Aus Sicherheitsgründen gehen manche Firmen oder Leute dazu über, die eigene IP-Adresse möglichst nicht an Dritte preis zu geben. Lawrence Abrams von Bleeping Computer nutzte für diesen Zweck Microsofts Office 365 Webmail, um fremden Personen per Mail zu antworten. Dies Praxis hat er jetzt aber beendet, denn bei der Auswertung der E-Mail-Header der versandten Nachrichten kam er darauf, dass dort genau seine verwendete IP-Adresse mit eingefügt wurde. Details lassen sich in seinem Blog-Beitrag hier nachlesen.

Beim Senden von E-Mails über Office 365 wird Ihre lokale IP-Adresse als zusätzlicher E-Mail-Header in die Nachricht eingefügt.

Ransomware: Louisiana erklärt den Notstand

Die Kommunen in Good own Country, den USA, werden zunehmend durch Ransomware-Befall geplagt. Hier im Blog hatte ich ja diverse Artikel, wo US-Kommunen gezahlt haben, um wieder an ihre Daten zu kommen.

Allein im Juli wurden in Louisiana die Schulbezirke in Morehouse, Sabine, Monroe City und Ouachita mit Ransomware infiziert, die zu Störungen ihrer Computersysteme und Telefonsysteme führte. Der Gouverneur von Louisiana, John Edwards, halt laut dieser Pressemitteilung, nach dieser Welle von Ransomware-Angriffen, die in diesem Monat auf Schulbezirke gerichtet waren, den Ausnahmezustand ausgerufen. Dies soll es ermöglichen, dass staatliche Ressourcen und Cybersicherheitsexperten die lokalen Behörden bei der Sicherung ihrer Netzwerke unterstützen. Bleeping Computer hat hier einen Artikel zum Thema.

No More Ransom spart 108 Millionen US $ an Lösegeld

No More Ransomware wurde 2016 durch eine Allianz zwischen dem Europäischen Cyberkriminalitätszentrum von Europol, der nationalen High-Tech-Kriminalitätseinheit der niederländischen Polizei und McAfee gegründet, um Ransomware zu bekämpfen und den Opfern kostenlose Entschlüsselungsdienste und Unterstützung anzubieten. Bleeping Computer berichtet hier zum dreijährigen Jubiläum über den Erfolg dieser Allianz. Durch die kostenlosen Entschlüsselungstools haben Betroffene mindestens 108 Millionen US $ an Lösegeld für die verschlüsselten Daten gespart.

MyDoom-Wurm nach 15 Jahren noch auf Auto-Pilot

Mydoom (auch bekannt als Novarg, Mimail und Shimg) ist eine Malware-Familie, die seit mindestens 2004 aktiv ist. Die Malware besitzt Wurmfunktionen, um sich per Massen-E-Mails an andere Opfer verbreiten zu können.

Nach der Infektion eines Computers öffnet der MyDoom-Wurm eine Hintertür auf den TCP-Ports 3127 bis 3198, so dass die Angreifer aus der Ferne auf die kompromittierten Systeme zugreifen, andere bösartige Nutzlasten verteilen und bei einigen Varianten Denial-of-Service (DoS)-Angriffe starten können.

Bleeping Computer berichtet hier, dass der Mydoom E-Mail-Wurm immer noch seine Runden im Internet macht. Der Schädling läuft auf Autopilot und verbreitet sich weiterhin aktiv an E-Mail-Nutzer auf der ganzen Welt.

Virenschutz für Windows 10: Defender gut eingestuft

Das AV-Test-Labor hat auf dieser Webseite wieder eine Auflistung getesteter Virenscanner für Windows 10 veröffentlicht. In der Liste lässt sich dann nachsehen, wie der eigene Virenscanner so abschneidet. Der Windows Defender kommt dabei unter Windows 10 sehr gut weg. Martin Geuß hat sich auf Dr. Windows an diesem Thema abgearbeitet.

BlueKeep: Wie lange dauert es noch bis zum Angriff?

BlueKeep ist ein Zombie, der uns als Thema noch eine Weile begleiten dürfte. Es handelt sich um eine Schwachstelle in den RDP-Diensten von Windows XP bis Windows 7, über die Systeme angegriffen werden können. Es gibt Sicherheitsupdates und es ist häufig genug vor der Schwachstelle gewarnt worden (auch hier im Blog). 

Sicherheitsforscher von Rapid7 haben mal analysiert, wie es mit der Zahl der per RDP geführten Angriffsversuche ausschaut.


(Quelle: Rapid7)

Seit der Veröffentlichung der BlueKeep-Schwachstelle im April 2019 und der Freigabe der Patches gibt es eine starke Zunahme der RDP-Angriffsversuche. Es ist also nur eine Frage der Zeit, bis es dort knallt – denn noch gut 800.000 Systeme sind momentan ungepatcht unterwegs.

Ähnliche Artikel:
Johannisburg: Stromversorger durch Ransomware außer Gefecht
Ransomware legt DRK-Krankenhäuser in Rheinland-Pfalz/Saarland lahm
Stadt in Florida zahlt nach Ransomware-Befall – und dann?
Florida: Ransomware erpresst ca. 1,5 Millionen $ im Juni 2019
MSP zahlt nach Ransomware-Befall
Eurofins: Opfer einer Ransomware, zahlt und wird gekündigt


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sicherheitsinfos zum 1. August 2019


  1. Anzeige
  2. ID sagt:

    Ergänzend zur RDP Schwachstelle:

    Sophos neue Studie – „RDP Exposed: Die Wölfe stehen bereits vor deiner Tür“.

    https://computerwelt.at/news/cyberangriffe-via-rdp-gefahr-im-verzug/

  3. MEcki sagt:

    Schön wenn die Sonicwall im Contenfilter plötzlich die Microsoft URL “http://www.msftncsi.com” für das DNSProbing enhält und alle Computer sagen Eingeschränkte Connectivität…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.