Sicherheitsinformationen (31. Januar 2020)

[English]Zum Abschluss des Monats Januar 2020 noch einige Informationen zu Sicherheitsthemen,  die mir die letzten Stunden unter die Augen gekommen sind.


Anzeige

NEC 2016 gehackt

Der japanische Hersteller NEC (Elektronik und IT) wurde 2016 gehackt und es wurden Daten abgezogen. Hacker haben 27.445 Dateien aus dem Geschäftsbereich Verteidigung gestohlen. Der Hack wurde erst jetzt öffentlich gemacht.

NEC bestätigt, dass einige der internen Server, die vom Verteidigungsgeschäftsbereich des Unternehmens verwendet werden, einem nicht autorisierten Zugriff durch Dritte unterliegen. Aufgrund von Untersuchungen des Unternehmens und externer Fachorganisationen wurden bisher keine Schäden wie Informationslecks bestätigt.

Der letzte Satz ist allerdings Realsatire, die in Japan zum Kerngeschäft gehört (oder mein Übersetzer spinnt). Denn in der Übersicht zum nicht autorisierten Zugriff heißt es:

Juli 2018 ist es uns gelungen, die verschlüsselte Kommunikation mit einem infizierten Server und einem externen Server, der nicht autorisierte Kommunikation ausführte, zu entschlüsseln und auf unserem internen Server für den Informationsaustausch mit anderen Abteilungen unseres Geschäftsbereichs Verteidigung zu speichern. Es wurde festgestellt, dass auf 27.445 Dateien illegal zugegriffen wurde.

Man muss sich das in der japanischen Realität so vorstellen: Wir haben nachgesehen, da auf dem Server sind noch alle Dateien vorhanden, also ist nichts weggekommen, ergo gab es auch keine Schäden.

Der obige Tweet zeigt Ausrisse aus der Pressemitteilung von NEC. Catalin Cimpanu hat es auf ZDnet.com aufbereitet, wie er in folgendem Tweet schreibt.

Jetzt hat Japans Verteidigungsminister den Hack, der sieben Monate unbemerkt blieb, bei NEC öffentlich gemacht. Bleeping Computer hat hier ebenfalls einen Artikel zum Thema veröffentlicht.

Universitäten in Hongkong mit Malware infiziert

Laut nachfolgendem Tweet von Bleeping Computer wurden die Universitäten in Hongkong mit Malware infiziert. Die Infektion soll mit der Malware Winnti erfolgt sein.


Anzeige

Die Angriffe wurden im November 2019 entdeckt, nachdem die Augur-Maschinenlern-Engine der Sicherheitsfirma Malware-Proben von ShadowPad Launcher auf mehreren Geräten an den beiden Universitäten entdeckt hatte, nachdem zwei Wochen zuvor, im Oktober, bereits Winnti-Malware-Infektionen entdeckt worden waren.

Diese Angriffe waren sehr gezielt, da die Winnti-Malware und die multimodulare Shadowpad-Backdoor sowohl Befehls- und Kontroll-URLs als auch Kampagnenkennungen in Verbindung mit den Namen der betroffenen Universitäten enthielten.

Magento per RCE-Schwachstelle angreifbar

Die eCommerce-Shop-Software Magento weist bis zu den Versionen 1.9.4.3/1.14.4.3/2.2.10/2.3.3 eine Remote Code Execution-Schwachstelle auf, wie nachfolgender Tweet mitteilt.

Heise hat einen deutschsprachigen Beitrag zu dieser Schwachstelle und den verfügbaren Updates veröffentlicht.

Microsoft Azure war über Schwachstelle angreifbar

Die Cybersicherheitsforscher von Check Point haben die Tage Einzelheiten über zwei kürzlich gepatchte, potenziell gefährliche Schwachstellen in Microsoft Azure-Diensten enthüllt. Diese hätten es Angreifern ermöglicht, mehrere Unternehmen, die ihre Web- und Mobilanwendungen auf Azure betreiben, ins Visier zu nehmen. The Hacker News hat in diesem Artikel Details zusammen gestellt.

Neue Angriffsmethode über Excel

Microsoft ist bei der Analyse der TA505-Phishing-Kampagne auf einen neuen Angriffsvektor gestoßen, der die sich Excel-Dateien zunutze macht.

Blog-Leser 1ST1 hat in diesem Kommentar auf diesen Sachverhalt hingewiesen und den Artikel von Bleeping Computer verlinkt.

Trickbot nutzt UAC-Bypass-Trick

Die Malware Trickbot verwendet einen neuen Kniff, um die Benutzerkontensteuerung zu umgehen und Admin-Rechte zu erhalten. Bleeping Computer weist in nachfolgendem Tweet auf das Thema hin.

Zum Thema UAC-Bypassing gibt es einige Blog-Beiträge (siehe Artikelliste am Beitragsende).

Nicolas Krassas weist in obigem Link auf einen Beitrag mit Informationen zum Thema UAC-Bypassing hin.

Zum Thema Active Directory Dumping durch Trickbot möchte ich noch auf dieses PDF-Dokument hinweisen.

Trackt Amazon seine Kindle-Nutzer?

Vor einigen Stunden bin ich noch auf einen merkwürdigen Tweet gestoßen. Adrianne Jeffries hat die Daten über seine Geräte von Amazon angefordert.

Sie hat den Eindruck, dass auf ihrem Kindle jedes Tippen auf dem Screen aufgezeichnet wird.

Und sonst?

Zum Abschluss noch eine bittere Erkenntnis: Ransomware lohnt sich wohl für die Hintermänner, wie folgender Tweet erläutert.

Und Sicherheitsanbieter Kaspersky bietet über folgenden Tweet Zugriff auf ein Dokument, in denen deren APT-Researcher Einschätzungen über Bedrohungen geben.

Damit sollte genügend Lesefutter für das Wochenende vorliegen.

Ähnliche Artikel:
Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)
Windows UAC über SilentCleanup ausgehebelt
Erebus Ransomware und die ausgetrickste UAC
Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.