Vorweihnachtliche Sicherheitssplitter (23.12.2019)

Publiziert am 23. Dezember 2019 von Günter Born

Für Blog-Leser/innen, die gelangweilt im Büro oder zuhause herumsitzen und vor Langeweile sterben, noch einige Sicherheitssplitter als Weihnachtsvorbereitung – notfalls ab Heiligabend lesen, falls keine Zeit ist.

Anzeige

Windows Remote Desktop Dienst als Schwachstelle

Das Windows Remote Desktop-Protokoll (RDP) wird zunehmend von Cyber-Kriminellen missbraucht, um Malware auf Windows-Zielsystemen einzuschleusen. Dabei kommt einer fileless-Malsware, die keine Dateien benötigt, sondern im Speicher ausgeführt wird, eine steigende Bedeutung zu.

Crypto-Geld-Miner, Info-Stealer-Programme oder auch Ransomware werden über eine Remote-Verbindung im RAM des Zielrechner ausgeführt. Das hinterlässt keine Informationen im Dateisystem und ermöglicht der Malware auch, nützliche Informationen von kompromittierten Rechnern zu exfiltrieren.

Network-Shares
(Quelle: Bleeping Computer)

Die Angreifer nutzten ein Feature der Windows Remote Desktop Services, das es einem Client erlaubt, lokale Laufwerke mit Lese- und Schreibrechten für einen Terminalserver freizugeben. Diese Laufwerke erscheinen auf dem Server als eine Freigabe an einem virtuellen Netzwerkstandort namens "tsclient", gefolgt vom Laufwerksbuchstaben, und können lokal zugeordnet werden.

Der Zugriff auf die auf diese Weise gemeinsam genutzten Ressourcen ist über RDP möglich und es wird keine Spur auf der Festplatte des Client-Rechners hinterlassen, wenn Anwendungen im Speicher ausgeführt werden. Wenn eine RDP-Sitzung beendet wird, werden auch die zugehörigen Prozesse beendet und der Speicher wird normalerweise freigegeben.

Die Malware-Analysten von Bitdefender fanden heraus, dass Angreifer diese Funktion nutzen und mehrere Malware verschiedener Typen zusammen mit einer Komponente namens "worker.exe" ablegen, die dann vom Angreifer über Anweisungen gesteuert wird. Über diesen Ansatz können Informationen über das Zielsystem gesammelt und weitere Sauereien veranstaltet werden.

Bitdefender
(Quelle: Bitdefender/Bleeping Computer)

Obige Karte zeigt, in welchen Ländern Rechner infiziert sind. Neben den USA scheint auch Deutschland ganz gut dabei zu sein. Neben dem oben verlinkten Bitdefender PDF-Bericht hat Bleeping Computer hier eine Zusammenfassung veröffentlicht.

Anzeige

OilRig zielt auf LANDesk Agent-Nutzer

OilRig ist eine dem Iran zugeschriebene staatsnahe Hackergruppe, die im nahen Osten Industrieunternehmen und Ölförderungsanlagen mit Cyber-Angriffen überzieht (siehe auch hier).

Dem obigen Tweet nach zielt OilRig über PowDesk auf LANDesk Agent-Benutzer. Eine neue PowerShell-basierte Malware ähnelt QUADAGENT.  Eine Reihe Virenscanner erkennen diese Malware aber bereits.

Chinesische Hacker umgehen Zweifaktor-Authentifizierung

Gemäß nachfolgendem Tweet sind Sicherheitsforscher von Fox-IT auf Aktivitäten der mutmaßlich vom chinesischen Staat geförderten Hackergruppe APT20 gestoßen. Diese versuchen Regierungseinrichtungen und Managed Service Providern zu hacken und die Zweifaktor-Authentifizierung (2FA) zu umgehen.

Details sind dem verlinkten ZDNet-Artikel (Englisch) zu entnehmen.  Ergänzung: Heise hat hier einen deutschsprachigen Artikel veröffentlicht.

Schwachstelle im Dropbox for Windows-Client

Im Dropbox for Windows-Client gibt es eine Zero-Day-Schwachstelle, die es Angreifern ermöglicht, SYSTEM-Berechtigungen zu erlangen. Damit kann ein Angreifer den Rechner praktisch kontrollieren. Die nicht gepatchte Sicherheitslücke betrifft Standard-Dropbox-Installationen. Sie bezieht sich auf den Updater, der als Dienst läuft und dafür verantwortlich ist, die Anwendung auf dem neuesten Stand zu halten.

Dropbox wollte die Schwachstelle zwar bis Ende Oktober 2019 schließen, nachdem die Sicherheitsforscher diese im September 2019 meldeten. Das scheint aber nicht passiert zu sein. Die Leute von 0patch haben daher (siehe obigen Tweet) einen 0-Fix freigegeben, die den Dropbox-Updater deaktiviert. Wer den Dropbox-Client unter Windows einsetzt und sich für die Details interessiert, findet bei Bleeping Computer Lesefutter.

Alter Cisco ASA DoS-Bug wird für DoS ausgenutzt

Cisco Talos hat kürzlich einen plötzlichen Anstieg der Ausbeutungsversuche gegen eine bestimmte Schwachstelle im Cisco Adaptive Security Appliance (ASA) und im Firepower Appliance festgestellt. Bei der Schwachstelle, CVE-2018-0296, handelt es sich um einen Denial-of-Service und Information Disclosure Directory Traversal Bug, der im Web-Framework der Appliance gefunden wurde.

Der Angreifer kann eine speziell gestaltete URL verwenden, um einen Neustart der ASA-Appliance oder die Offenlegung nicht authentifizierter Informationen zu veranlassen. Die Schwachstelle wurde bereits Mitte 2018 durch ein Software-Update vom Hersteller geschlossen. Der verlinkte Cisco Talos-Artikel enthält Hinweise, wie man prüfen kann, ob Appliances angreifbar sind. Bleeping Computer hat hier zudem einen Abriss des Ganzen veröffentlicht.

Zum Abschluss: DNS-über-HTTPS ist ja der letzte Schrei der Software-Firmen, um das Abfragen von DNS-Servern sicherer zu machen. Golem berichtet hier, dass es einem Sicherheitsforscher gelungen ist, die Pakete an ihrer Größe zu erkennen. Die Pakete lassen sich also abfangen und blockieren, etwas, was DoH eigentlich verhindern sollte.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.