Auch 2020 wird uns das Thema Sicherheit stark beschäftigen. Im heutigen Blog-Beitrag fasse ich einige Sicherheitsmeldungen der letzten Stunden zusammen, von denen einige vielleicht für Administratoren relevant sein könnten.
Anzeige
Systemeinbruch über RDP
Der folgende Tweet und der verlinkte Artikel sollte ein Weckruf für alle Administratoren von Domain-Controllern sein. Ein Sicherheitsforscher berichtet, wie ein RDP Honeypot durch Hacker besucht wurde, für den diese keinen offiziellen Zugriff hatten.
An attacker logged into the RDP Honeypot a few weeks ago and was able to dump credentials and move laterally in 36 minutes. They used Advanced Scanner + ProcDump + PsExec to move laterally to a Domain Controller. #rdphoneypotting #infosec https://t.co/1qdgfQWBgO
— JW (@wilbursecurity) December 29, 2019
Binnen 36 Minuten hatten die Hacker weitere Anmeldeinformationen abgezogen und waren damit in der Lage, sich im Netzwerk lateral zu einem Domain Controller vorzuarbeiten. Die Details sind im verlinkten Artikel zu finden und zeigen, wie schnell sich Netzwerke übernehmen lassen.
Xiaomi Mijia-Kamera-Datenleck beim Google Nest Hub
Die bei einigen Leutchen werkelnden IoT-Geräte in Form von Überwachungskameras werden noch für einige Sicherheitsvorfälle gut sein. Vor einigen Tagen hatte ich im Artikel Amazons Ring-Kameras gehackt über Probleme mit Amazons Ring-Kameras berichtet. Jetzt hat es Xiaomi Mijia-Kameras getroffen (gibt es für knapp 25 Euro).
Auf reddit.com berichtete ein Nutzer, dass ihm auf seinem Google Nest Hub plötzlich Bilder von Überwachungskameras fremder Nutzer in Zufallsfolge gestreamt wurden. Er hat mehrere Screenshots solcher Bilder gepostet. MS Power User vermutet, dass der Fehler in Xiaomis Backend passiert, der Google Nest Hub aber die Bilder vom Backend zieht. Inzwischen hat Google die Integration von Xiaomis Backend-Daten in den Google Nest Hub deaktiviert und untersucht den Vorfall. Schöne neue Welt – fast wie Chat-Roulette – nur irgendwie ungeplant.
Schwachstelle in Citrix Produkten
Im Dezember 2019 hatte ich über eine Schwachstelle CVE-2019-19781 in Citrix Produkten berichtet (siehe Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke).
AVAILABLE FOR VIEWING NOW – learn how to protect yourself and your organization against the critical @citrix Gateway (Netscaler) Vulnerability CVE-2019-19781
View now: https://t.co/qAocKYb7o9
Download slides here: https://t.co/QY35KMoLhV pic.twitter.com/INBLWMHU11— SANS Pen Test (@SANSPenTest) January 2, 2020
Anzeige
Wer noch Informationen in Sachen 'wie schütze ich meine Infrastruktur' sucht, wird möglicherweise im Webinar von SANS fündig.
Travelex mit Malware infiziert
Die Travelex Group ist eine von Lloyd Dorfman gegründete Devisengesellschaft mit Sitz in London. Zu den Hauptgeschäftsbereichen gehören internationale Zahlungen, Wechselstuben und die Ausgabe von Prepaid-Kreditkarten für Reisende, sowie globale Überweisungen. Die sind auch in Deutschland tätig.
Travelex, the holiday money currency exchange people (about 10k employees) has been hacked, systems offline. pic.twitter.com/c2um9qnQAn
— Kevin Beaumont (@GossiTheDog) January 2, 2020
Es ging bereits vor Stunden über Twitter, dass die gehackt wurden und die Webseiten offline seien.
We've taken our systems offline due to a virus discovered on 31 Dec. This was done as a precautionary measure to protect data and prevent the spread of the virus. We've deployed teams of IT specialists and Cyber Security experts to isolate the virus and restore affected systems.
— Travelex UK (@TravelexUK) January 2, 2020
In einer Statusmitteilung gab die Firma bekannt, dass sie am 31. Dezember 2019 einen Virus in ihren Systemen gefunden hätten. Daher wurden die Systeme heruntergefahren.
New: Global foreign exchange Travelex has confirmed it was hit by malware, forcing the company to take many of its services offline.https://t.co/e8sUHYFwtZ
— Zack Whittaker (@zackwhittaker) January 2, 2020
Inzwischen hat Techcrunch laut obigem Tweet einen Artikel zu diesem Thema veröffentlicht. Übrigens: Die haben laut diesem Tweet auf der AWS-Plattform (Amazon Web Services) Windows-Server mit RDP für das Internet aktiviert und NLA deaktiviert.
Gab von Sicherheitsforschern auch Tweets, dass die Webseiten von TUI down seien. Da scheint es Entwarnung zu geben, wie ich diesem TUI-Tweet entnehme.
0-Day-Schwachstelle im Windows Media Player
Im Windows Media Player gibt es im Mpeg Audio Codec eine ungepatchte 0-Day-Schwachstelle, wie man nachfolgendem Tweet entnehmen kann.
***Unpatched*** out-of-bounds read information disclosure vulnerability revealed in #Microsoft Windows Media Player that exists within the MPEG audio codec.https://t.co/gKfUMOQtdt#infosec
— The Hacker News (@TheHackersNews) January 2, 2020
Diese Schwachstelle ermöglicht Remote-Angreifern, sensible Informationen über betroffene Installationen des Windows Media Players abzufragen. Um diese Sicherheitslücke auszunutzen, ist eine Interaktion des Benutzers erforderlich. Dieser muss eine bösartige Seite besuchen oder eine bösartige Datei öffnen.
Die spezifische Schwachstelle besteht innerhalb des MPEG-Audiocodecs. Das Problem ergibt sich aus der mangelnden Validierung der vom Benutzer bereitgestellten Daten, was dazu führen kann, dass die Daten über das Ende eines zugewiesenen Puffers hinaus gelesen werden. Ein Angreifer kann dies in Verbindung mit anderen Sicherheitslücken ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen.
Mozilla will COPA-konform werden
Der US-Bundesstaat Kalifornien hat zum 1.1.2020 eigene Datenschutzregeln eingeführt. Das Ganze läuft unter dem Stichwort COPA (oder CCPA) und soll Bewohnern dieses Bundesstaats die Kontrolle über ihre Daten beim Surfen im Internet erlauben. Speziell das Tracking durch Browser soll unterbunden oder von einer Zustimmung abhängig gemacht werden. Mir ist COPA die Tage in die Quere gekommen, weil ich dies als Blog-Betreiber berücksichtigen muss (obwohl bei den Amis keiner weiß, wie COPA rechtskonform umzusetzen ist – also nicht anders als bei der DSGVO).
Nun hat Mozilla laut diesem Artikel von MS Power User angekündigt, dass man mit dem Datenschutzregeln Kaliforniens konform werden will. Dazu soll der Firefox das Tracking künftig verhindern, indem die Daten gelöscht werden.
Intel-Treiberupdates für Bluetooth und WLAN
Intel hat seine Windows 10-Treiber für Bluetooth und WLAN auf die Version 21.60.0 aktualisiert. Dabei wurden nicht näher erläuterte Sicherheitsprobleme korrigiert, wie die Kollegen bei deskmodder.de hier berichten.
Starbucks-Entwickler vergessen API-Key auf GitHub
Wie Bleeping Computer hier berichtet, ist den Starbucks Software-Entwicklern ein schwere Fehler passiert. Ein Entwickler von Starbucks hinterließ einen API-Schlüssel auf einem öffentlichen GitHub-Repository. Der API-Schlüssel könnte von einem Angreifer verwendet werden, um auf interne Systeme zuzugreifen und die Liste der autorisierten Benutzer zu manipulieren. Der Schweregrad der Schwachstelle wurde auf kritisch gesetzt, da der Schlüssel den Zugriff auf eine Starbucks JumpCloud-API ermöglichte.
Keylogger gab schon im kalten Krieg
Wir beschäftigen uns hier schon mal mit Keyloggern, die Tastaturanschläge aufzeichnen und per Internet weiterreichen, also zur Spionage genutzt werden können. Aber diese 'Technologie' gab es bereits zu Zeit des kalten Kriegs des Westens gegen den Osten.
"The NSA shipped all the electronics in the embassy back to the US and struck gold: parts inside an IBM Selectric typewriter had been cleverly duplicated and rigged to transmit the typist's keystrokes using Soviet over-the-air TV signals." https://t.co/JAdt07NxiX
— Espionage News (@EspionageNews) January 2, 2020
Der obige Tweet verlinkt auf einen Artikel, der einen frühen Fall eines Keyloggers thematisiert. Dem russischen Geheimdienst KGB war es wohl gelungen, IBM Selectric-Schreibmaschinen in der amerikanischen Botschaft in Moskau entsprechend zu manipulieren und mit einem Keylogger auszustatten. Mangels Internet sendete der Keylogger Signale auf TV-Frequenzen.
Ähnliche Artikel
Stadt Alsfeld Opfer von Cyber-Kriminellen?
Vorweihnachtliche Sicherheitssplitter (23.12.2019)
Sicherheitslücken im deutschen Gesundheitsdatennetz
Sicherheitsrückblick (15. Dez. 2019)
Ransomware legt Uni Maastricht lahm
Ransomware Ryuk legt IT der US-Küstenwache lahm
Trojanerbefall in Stadt Bad Homburg und Hochschule Freiburg
Stadt Frankfurt/Main Opfer eines Cyber-Angriffs (19.12.2019)
Klinikum Fürth im Betrieb zurück, Uni Gießen nutzt Desinfec't
Ryuk-Ransomware wütet: Prosegur, TECNOL, Texas-Klinik …
Google Chrome: Neue Magellan 2.0-Schwachstellen
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheit: Digitale Assistenten unterm Weihnachtsbaum
2015
Bei dem RDP-Einbruch bereitet mir folgende Aussage auf wilburesecurity.com Sorgen, gleich der erste Schritt im Protokoll:
"10:46 – Attacker logs on from 193.188.22[.]29."
Ja, wie? Einfach so? Wenn es ja so einfach wäre, sich ohne Kenntnis von Username und Passwort einzuloggen?
Schau dich ein wenig auf der Seite um. Dann findest du mehr Infos dazu.
Jetzt hat (vermutlich) Emotet wohl die Stadt Alsfeld erwischt: https://www.hessenschau.de/panorama/erpressung-alsfeld-nimmt-sich-selbst-vom-netz,alsfeld-offline-100.html Die "Oberhessische Zeitung" schreibt aber kurioserweise von einem Erpresser-Brief an die Stadtverwaltung: https://www.oberhessische-zeitung.de/lokales/alsfeld/stadt-alsfeld-nach-anonymem-schreiben-nicht-per-e-mail-erreichbar_20974966 Wär doch mal ne neue Variante, garnicht wirklich in das Netz eindringen, sondern einfaach per Post behaupten, man könnte jederzeit…
Danke für den Hinweis. Eine Quelle für Emotet habe ich nicht gefunden – die lokale Presse schwurbelt – was ich bisher weiß, habe ich in im Artikel Stadt Alsfeld Opfer von Cyber-Kriminellen? mal zusammen getragen. Aktuell ist viel widersprüchliches im Umlauf.
Emotet ist ja auch nur eine Vermutung von mir, ist schließlich die erfolgreichste Ransomware des vergangenen Jahres, vielleicht sogar die erfolgreichste bisher. (Mancheiner würde ja "Aller Zeiten" schreiben, aber das würde ja ausschließen, dass es mal noch was schlimmeres gibt…) – also wird es mit einer Wahrscheinlichkeit gegen 90% genau der wieder sein. Nordkorea braucht Devisen für sein Raketenprogramm.
Die Digitalisierung frisst so langsam ihre Kinder. Die Infektion mit Ransom/Verschlüsselungstrojaner nimmt spürbar zu. Die Antivirussoftware-Hersteller ziehen nach und es beginnen ggf. die False-Positives.
Wir beobachten aktuell, dass es – bei Anwendern, die Kaspersky Antivirus nutzen – seit ca 22.Dezember gehäuft Probleme beim Start von Berufsbranchensoftware über Netzwerkfreigaben gibt; aufgrund einer Blockade durch das Kaspersky-Schutzmodul "Aktivitätsmonitor". Es kommt leider kein sichtbarer Hinweis. Deaktiviert man testweise dieses Modul, klappt es wieder. Hat jemand ähnliche Erfahrungen?
Und das E-Voting System der Schweiz ist 100 % sicher.
Warnungen vor Cyberangriffen durch den Iran.
https://www.bleepingcomputer.com/news/security/us-government-issues-warning-about-possible-iranian-cyberattacks/
Eventuell schon erfolgreich.
https://twitter.com/BNONews/status/1213631435573284864/photo/1