Sicherheitsinformationen (3.1.2020)

Auch 2020 wird uns das Thema Sicherheit stark beschäftigen. Im heutigen Blog-Beitrag fasse ich einige Sicherheitsmeldungen der letzten Stunden zusammen, von denen einige vielleicht für Administratoren relevant sein könnten.


Anzeige

Systemeinbruch über RDP

Der folgende Tweet und der verlinkte Artikel sollte ein Weckruf für alle Administratoren von Domain-Controllern sein. Ein Sicherheitsforscher berichtet, wie ein RDP Honeypot durch Hacker besucht wurde, für den diese keinen offiziellen Zugriff hatten.

Binnen 36 Minuten hatten die Hacker weitere Anmeldeinformationen abgezogen und waren damit in der Lage, sich im Netzwerk lateral zu einem Domain Controller vorzuarbeiten. Die Details sind im verlinkten Artikel zu finden und zeigen, wie schnell sich Netzwerke übernehmen lassen.

Xiaomi Mijia-Kamera-Datenleck beim Google Nest Hub

Die bei einigen Leutchen werkelnden IoT-Geräte in Form von Überwachungskameras werden noch für einige Sicherheitsvorfälle gut sein. Vor einigen Tagen hatte ich im Artikel Amazons Ring-Kameras gehackt über Probleme mit Amazons Ring-Kameras berichtet. Jetzt hat es Xiaomi Mijia-Kameras getroffen (gibt es für knapp 25 Euro).

Xiaomi Mijia-Kamera-Datenleck

Auf reddit.com berichtete ein Nutzer, dass ihm auf seinem Google Nest Hub plötzlich Bilder von Überwachungskameras fremder Nutzer in Zufallsfolge gestreamt wurden. Er hat mehrere Screenshots solcher Bilder gepostet. MS Power User vermutet, dass der Fehler in Xiaomis Backend passiert, der Google Nest Hub aber die Bilder vom Backend zieht. Inzwischen hat Google die Integration von Xiaomis Backend-Daten in den Google Nest Hub deaktiviert und untersucht den Vorfall. Schöne neue Welt – fast wie Chat-Roulette – nur irgendwie ungeplant.

Schwachstelle in Citrix Produkten

Im Dezember 2019 hatte ich über eine Schwachstelle CVE-2019-19781 in Citrix Produkten berichtet (siehe Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke).


Anzeige

Wer noch Informationen in Sachen ‘wie schütze ich meine Infrastruktur’ sucht, wird möglicherweise im Webinar von SANS fündig.

Travelex mit Malware infiziert

Die Travelex Group ist eine von Lloyd Dorfman gegründete Devisengesellschaft mit Sitz in London. Zu den Hauptgeschäftsbereichen gehören internationale Zahlungen, Wechselstuben und die Ausgabe von Prepaid-Kreditkarten für Reisende, sowie globale Überweisungen. Die sind auch in Deutschland tätig.

Es ging bereits vor Stunden über Twitter, dass die gehackt wurden und die Webseiten offline seien.

In einer Statusmitteilung gab die Firma bekannt, dass sie am 31. Dezember 2019 einen Virus in ihren Systemen gefunden hätten. Daher wurden die Systeme heruntergefahren.

Inzwischen hat Techcrunch laut obigem Tweet einen Artikel zu diesem Thema veröffentlicht. Übrigens: Die haben laut diesem Tweet auf der AWS-Plattform (Amazon Web Services) Windows-Server mit RDP für das Internet aktiviert und NLA deaktiviert.

Gab von Sicherheitsforschern auch Tweets, dass die Webseiten von TUI down seien. Da scheint es Entwarnung zu geben, wie ich diesem TUI-Tweet entnehme.

0-Day-Schwachstelle im Windows Media Player

Im Windows Media Player gibt es im Mpeg Audio Codec eine ungepatchte 0-Day-Schwachstelle, wie man nachfolgendem Tweet entnehmen kann.

Diese Schwachstelle ermöglicht Remote-Angreifern, sensible Informationen über betroffene Installationen des Windows Media Players abzufragen. Um diese Sicherheitslücke auszunutzen, ist eine Interaktion des Benutzers erforderlich. Dieser muss eine bösartige Seite besuchen oder eine bösartige Datei öffnen.

Die spezifische Schwachstelle besteht innerhalb des MPEG-Audiocodecs. Das Problem ergibt sich aus der mangelnden Validierung der vom Benutzer bereitgestellten Daten, was dazu führen kann, dass die Daten über das Ende eines zugewiesenen Puffers hinaus gelesen werden. Ein Angreifer kann dies in Verbindung mit anderen Sicherheitslücken ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen.

Mozilla will COPA-konform werden

Der US-Bundesstaat Kalifornien hat zum 1.1.2020 eigene Datenschutzregeln eingeführt. Das Ganze läuft unter dem Stichwort COPA (oder CCPA) und soll Bewohnern dieses Bundesstaats die Kontrolle über ihre Daten beim Surfen im Internet erlauben. Speziell das Tracking durch Browser soll unterbunden oder von einer Zustimmung abhängig gemacht werden. Mir ist COPA die Tage in die Quere gekommen, weil ich dies als Blog-Betreiber berücksichtigen muss (obwohl bei den Amis keiner weiß, wie COPA rechtskonform umzusetzen ist – also nicht anders als bei der DSGVO).

Nun hat Mozilla laut diesem Artikel von MS Power User angekündigt, dass man mit dem Datenschutzregeln Kaliforniens konform werden will. Dazu soll der Firefox das Tracking künftig verhindern, indem die Daten gelöscht werden.

Intel-Treiberupdates für Bluetooth und WLAN

Intel hat seine Windows 10-Treiber für Bluetooth und WLAN auf die Version 21.60.0 aktualisiert. Dabei wurden nicht näher erläuterte Sicherheitsprobleme korrigiert, wie die Kollegen bei deskmodder.de hier berichten.

Starbucks-Entwickler vergessen API-Key auf GitHub

Wie Bleeping Computer hier berichtet, ist den Starbucks Software-Entwicklern ein schwere Fehler passiert. Ein Entwickler von Starbucks hinterließ einen API-Schlüssel auf einem öffentlichen GitHub-Repository. Der API-Schlüssel könnte von einem Angreifer verwendet werden, um auf interne Systeme zuzugreifen und die Liste der autorisierten Benutzer zu manipulieren. Der Schweregrad der Schwachstelle wurde auf kritisch gesetzt, da der Schlüssel den Zugriff auf eine Starbucks JumpCloud-API ermöglichte.

Keylogger gab schon im kalten Krieg

Wir beschäftigen uns hier schon mal mit Keyloggern, die Tastaturanschläge aufzeichnen und per Internet weiterreichen, also zur Spionage genutzt werden können. Aber diese ‘Technologie’ gab es bereits zu Zeit des kalten Kriegs des Westens gegen den Osten.

Der obige Tweet verlinkt auf einen Artikel, der einen frühen Fall eines Keyloggers thematisiert. Dem russischen Geheimdienst KGB war es wohl gelungen, IBM Selectric-Schreibmaschinen in der amerikanischen Botschaft in Moskau entsprechend zu manipulieren und mit einem Keylogger auszustatten. Mangels Internet sendete der Keylogger Signale auf TV-Frequenzen.

Ähnliche Artikel
Stadt Alsfeld Opfer von Cyber-Kriminellen?
Vorweihnachtliche Sicherheitssplitter (23.12.2019)
Sicherheitslücken im deutschen Gesundheitsdatennetz
Sicherheitsrückblick (15. Dez. 2019)
Ransomware legt Uni Maastricht lahm
Ransomware Ryuk legt IT der US-Küstenwache lahm
Trojanerbefall in Stadt Bad Homburg und Hochschule Freiburg
Stadt Frankfurt/Main Opfer eines Cyber-Angriffs (19.12.2019)
Klinikum Fürth im Betrieb zurück, Uni Gießen nutzt Desinfec’t
Ryuk-Ransomware wütet: Prosegur, TECNOL, Texas-Klinik …

Google Chrome: Neue Magellan 2.0-Schwachstellen
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheit: Digitale Assistenten unterm Weihnachtsbaum


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Sicherheitsinformationen (3.1.2020)


  1. Anzeige
  2. 1ST1 sagt:

    Bei dem RDP-Einbruch bereitet mir folgende Aussage auf wilburesecurity.com Sorgen, gleich der erste Schritt im Protokoll:

    “10:46 – Attacker logs on from 193.188.22[.]29.”

    Ja, wie? Einfach so? Wenn es ja so einfach wäre, sich ohne Kenntnis von Username und Passwort einzuloggen?

  3. 1ST1 sagt:

    Jetzt hat (vermutlich) Emotet wohl die Stadt Alsfeld erwischt: https://www.hessenschau.de/panorama/erpressung-alsfeld-nimmt-sich-selbst-vom-netz,alsfeld-offline-100.html Die “Oberhessische Zeitung” schreibt aber kurioserweise von einem Erpresser-Brief an die Stadtverwaltung: https://www.oberhessische-zeitung.de/lokales/alsfeld/stadt-alsfeld-nach-anonymem-schreiben-nicht-per-e-mail-erreichbar_20974966 Wär doch mal ne neue Variante, garnicht wirklich in das Netz eindringen, sondern einfaach per Post behaupten, man könnte jederzeit…

    • Günter Born sagt:

      Danke für den Hinweis. Eine Quelle für Emotet habe ich nicht gefunden – die lokale Presse schwurbelt – was ich bisher weiß, habe ich in im Artikel Stadt Alsfeld Opfer von Cyber-Kriminellen? mal zusammen getragen. Aktuell ist viel widersprüchliches im Umlauf.

      • 1ST1 sagt:

        Emotet ist ja auch nur eine Vermutung von mir, ist schließlich die erfolgreichste Ransomware des vergangenen Jahres, vielleicht sogar die erfolgreichste bisher. (Mancheiner würde ja “Aller Zeiten” schreiben, aber das würde ja ausschließen, dass es mal noch was schlimmeres gibt…) – also wird es mit einer Wahrscheinlichkeit gegen 90% genau der wieder sein. Nordkorea braucht Devisen für sein Raketenprogramm.

  4. Anzeige

  5. Compeff sagt:

    Die Digitalisierung frisst so langsam ihre Kinder. Die Infektion mit Ransom/Verschlüsselungstrojaner nimmt spürbar zu. Die Antivirussoftware-Hersteller ziehen nach und es beginnen ggf. die False-Positives.

    Wir beobachten aktuell, dass es – bei Anwendern, die Kaspersky Antivirus nutzen – seit ca 22.Dezember gehäuft Probleme beim Start von Berufsbranchensoftware über Netzwerkfreigaben gibt; aufgrund einer Blockade durch das Kaspersky-Schutzmodul “Aktivitätsmonitor”. Es kommt leider kein sichtbarer Hinweis. Deaktiviert man testweise dieses Modul, klappt es wieder. Hat jemand ähnliche Erfahrungen?

  6. Roland Moser sagt:

    Und das E-Voting System der Schweiz ist 100 % sicher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.