Sicherheits-News 9. Jan. 2023

In diesem Sammelbeitrag gibt es einen Überblick über einige Sicherheitsthemen, die mir die Tage unter die Augen gekommen sind. So schließt Synology die mit einem CVS-Score von 10 eingestufte Schwachstelle CVE-2022-43931 in seinem VPN Plus Server. Die Zoho ManageEngine muss dringend gepatcht werden, da eine Schwachstelle im Passwort-Manager existiert. Beim Schuhhersteller Eco gab es einen Datenschutzvorfall, und bei 20 Fahrzeugherstellern wie BMW, Mercedes, Porsche etc. konnten Unbefugte per API-Schwachstelle auf persönliche Daten zugreifen, Fahlerzeuge öffnen, starten oder sogar verfolgen. Dies und mehr als dem Sammelsurium der aktuellen Sicherheitsvorfälle.

Synology schließt CVE-2022-43931 in VPN Plus Server

In einer Sicherheitswarnung vom 3. Januar 2023 fordert der taiwanesische Hersteller Synology seine Kunden auf, die mit einem CVS-Score von 10 eingestufte Schwachstelle CVE-2022-43931 in seinem VPN Plus Servern per Update zu schließen. Eine Sicherheitslücke erlaubt entfernten Angreifern die Ausführung beliebiger Befehle über eine anfällige Version von Synology VPN Plus Server. Bleeping Computer hat in diesem Artikel noch einige Informationen dazu veröffentlicht.

Patch für Zoho ManageEngine erforderlich

Der Hersteller Zoho weist Administratoren auf, dringend die ManageEngine seines Produkts per Sicherheitsupdate zu aktualisieren. Der Patch schließt die Schwachstelle CVE-2022-47523. Es handelt sich um ein SQL-Injektionsschwachstelle, die in den Zoho-Produkten Password Manager Pro Secure Vault, PAM360 Privileged Access Management Software und dem Access Manager Plus Privileged Session Management Solution gefunden wurde. Die Kollegen von Bleeping Computer haben hier die Einzelheiten dazu.

Netgear Sicherheitsupdates

Kurzer Nachtrag für Besitzer von Netgear-Routern. Laut diesem heise-Artikel von Anfang Januar 2023 empfiehlt der Hersteller seinen Kunden dringend Sicherheitsupdates für seine Router-Modelle (auch Nighthaw), um Schwachstellen zu schließen.

Datenleck beim Schuhhersteller Ecco

Die Meldung liegt mir bereits seit Dezember 2022 vor. Beim dänischen Schuhhersteller Ecco betrieb eine ungeschützte Datenbank mit zahlreichen internen Dokumenten, die frei im Internet abrufbar war. Die abgelegten Dokumente reichen von Verkaufs- und Marketingdaten bis hin zu Protokollierungs- und Systeminformationen. Die exponierte Datenbank war seit dem 4. Juni 2021 mindestens 506 Tage lang zugänglich. Am Ende des Tages hätte Unbefugte 60 GByte an sensitiven Daten abrufen können. Details sind über diesen Cybernews-Artikel abrufbar.

API-Schwachstelle bei BMW, Porsche Mercedes, Toyota etc.

API-Sicherheitsschwachstellen bei zwanzig Automobilhersteller und -diensten wie BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota und Genesis hätten es Hackern ermöglicht, bösartige Aktivitäten durchzuführen. Dies reicht vom Entriegeln, Starten und Verfolgen der Fahrzeuge bis hin zur Preisgabe persönlicher Daten der Kunden. Die Kollegen von Bleeping Computer haben hier die Details, ein deutschsprachiger Beitrag findet sich bei heise.

Das MS Teams Cookie-Leck

Im August 2022 gab es die Information, dass Microsoft Teams seine Cookies im Klartext auf den Clients speichert – ich hatte im September 2022 im Blog-Beitrag Microsoft Teams speichert Authentifizierungstoken als Klartext in Windows, Linux, Macs berichtet.

Dies ermöglicht Angreifern den Zugriff auf Konten mittels dieser Tokens, selbst wenn eine Multi-Faktor-Authentifizierung (MFA) aktiviert wurde. Kunden wurde geraten, auf die Web-Anwendungen für Teams zurückzugreifen oder die Zugriffe auf die MS Teams Daten durch Prozesse zu überwachen, da Microsoft diese Schwachstelle nicht umgehend schließen wird.

Frank Carius hat sich dieses Themas nochmals vor einigen Tagen angenommen und kommt in diesem Beitrag zur Einschätzung, dass das Ganze zwar unschön sei. Aber wenn jemand bereits auf dem System starten könne, sei die Maschine kompromittiert und das Kind bereits in den Brunnen gefallen. Daher wäre dieses Cookie Leak eher minder schwer einzustufen.

Windows WerFault.exe für Malware missbraucht

Die Windows Fehlerberichterstattung (Error-Reporting, WerFault.exe) lässt sich zum Verteilen von Malware missbrauchen. Die Kollegen von Bleeping Computer gehen in diesem Artikel auf einen entsprechenden Fall ein. Dieser wurde von Sicherheitsforschern entdeckt – man vermutet die Hacker, die diesen Angriffsvektor verwendeten, in China.

Windows und die Dateitypen

Insidern ist es bewusst, der Windows blendet die Erweiterungen bestimmter Dateitypen aus, egal wie die Option zur Anzeige von Dateitypen gesetzt wird. Auf diesen Sachverhalt, der 16 Dateitypen betrifft, weil nachfolgender Tweet hin.

Enthalten solche Dateien einen echten PE-Inhalt (exe), gibt es beim Doppelklicken darauf ein unterschiedliches Verhalten. Im dümmsten Fall passiert nichts oder es wird ein Fehler angezeigt. Es kann aber auch der OpenWith-Dialog erscheinen und bei einem der Dateitypen wird beim Doppelklick die eigentliche Exe-Datei ausgeführt. Speziell Verknüpfungsdateien (.lnk und .pif) können ein Eigenleben entwickeln und ausführbare Programme abrufen.

US-Schulen verklagen TikTok, YouTube & Co.

Die öffentlichen Schulen von Seattle verklagen TikTok, YouTube, Instagram und andere auf Schadenersatz. Die Begründung: Diese Plattformen sind für die psychischen Krise von Jugendlichen verantwortlich. Details finden sich in diesem Artikel.

Missbrauch von ChatGPT für Hacks

Vor einigen Tagen hatte ich über die AI-Entwicklung ChatGPT berichtet (siehe Bericht: Microsoft plant Bing bis März 2023 mit ChatGPT-Suche zu erweitern). Auf Maschinen-Leaning (ML) oder künstlicher Intelligenz (KI, AI) basierende Modelle werden uns in Zukunft noch arg beschäftigen. Der aktuell gehypte KI-Chatbot ChatGPT könnte Bedrohungsakteuren Tipps geben, wie sie sich leicht in Netzwerke einhacken können. Auf diese Gefahr weisen Sicherheitsforscher von Cybernews hin.

Das Team stellte an ChatGPT Fragen zur Durchführen eines Penetrationstests und ließ sich über Ansätze für das Eindringen in eine Simulationsplattform informieren. Die Forscher nutzten die Cybersecurity-Trainingsplattform "Hack the Box" für ihr Experiment. Der Chatbot antwortete mit fünf grundlegenden Ansatzpunkten, was auf der Website auf der Suche nach Schwachstellen untersucht werden sollte.

Indem die Sicherheitsforscher beschrieben, was sie im Quellcode sehen, erhielten sie Hinweise des ChatGPT-Bot, auf welche Teile des Codes sie sich konzentrieren sollten. Außerdem erhielten sie Beispiele für vorgeschlagene Codeänderungen. Nach etwa 45 Minuten Chat mit dem Chatbot gelang es den Forschern, die bereitgestellte Website zu hacken. Der vollständige Artikel ist hier abrufbar.

Rackspace bestätigt Play Ransomware-Angriff

Beim US-Anbieter Rackspace von Exchange-Instanzen gab es im Dezember 2022 einen Ausfall, der durch einen Ransomware-Angriff ausgelöst wurde. Ich hatte im Blog-Beitrag Ransomware-Angriff für Ausfall der Rackspace-Exchange-Instanzen im Dez. 2022 verantwortlich berichtet. Im Nachgang hat der Anbieter jetzt offen gelegt, dass die Play-Ransomware-Gruppe hinter diesem Angriff steckte und weitere Details bekannt gegeben.

Die forensische Untersuchung ergab, dass der als PLAY bekannte Bedrohungsakteur eine bisher unbekannte Sicherheitslücke CVE-2022-41080 nutzte, um sich zunächst Zugang zur Rackspace Hosted Exchange E-Mail-Umgebung zu verschaffen. Ich hatte im Dezember 2021 kurz vor Weihnachten im Blog-Beitrag Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware über diese Schwachstelle berichtet. heise hat diesen Artikel und Bleeping Computer diesen Beitrag nachgetragen.

Analyse von Vice Society

Die Sicherheitsforscher von SentinelLabs (Threat Research-Team von SentinelOne) haben neue Angriffsmethoden der Vice Society Group aufgedeckt. Die Gruppe wurde erstmals im Juni 2021 identifiziert und es handelt sich um eine gut ausgerüstete Ransomware-Gruppe, die erfolgreich in verschiedene Arten von Organisationen eingedrungen ist. Mit der klassischen doppelten Erpressungstechnik versuchen sie, den finanziellen Gewinn durch rein opportunistische Angriffe zu maximieren.

In den letzten Monaten hat Vice Society seine Zielauswahlstrategie auf weitere sensible Bereiche ausgeweitet. Anstatt ihre eigene Locker-Payload zu verwenden oder zu entwickeln, haben die Bedrohungsakteure Ransomware von Drittanbietern für ihre Angriffe eingesetzt, darunter HelloKitty, Five Hands und Zeppelin. Details der Entdeckungen von SentinelLabs lassen sich in diesem Artikel nachlesen.

Neue Ransomware-Familien entdeckt

Sicherheitsforscher von Cyble haben neue Ransomware-Stämme in geleaktem Conti-Quellcode gefunden, wie sie in diesem Beitrag offen legen.

Überwachungskameras manipuliert

Überwachungskameras in Echtzeit manipulieren zu können, um ein falsches Bild zu liefern und so die Überwachung zu unterlaufen, genau dies ist einem israelischen Startup gelungen. heise berichtete in diesem Artikel über diesen Ansatz. Generell sind Überwachungskameras ja so etwas wie eine Archillesferse, da die Software nur so vor Sicherheitslücken strotzt und die Geräte sich leicht übernehmen lassen. CyberNews wies im Dezember 2022 in diesem Artikel darauf hin, dass 3,5 Millionen Sicherheitskameras per Internet zugreifbar sind – US-Nutzer liegen dabei an der Spitze.

DNS4EU: EU-DNS-Resolver

Golem berichtete zum Jahreswechsel, dass ein  Konsortium den EU-DNS-Resolver DNS4EU mit entsprechender Filtertechnik  betreiben soll. DNS4EU soll zwar Phishing und Malware-Angriffe auf Ebene des DNS verhindern, aber auch URLs filtern, "die zu illegalen Inhalten führen, basierend auf gesetzlichen Anforderungen, die in der EU oder in nationalen Gerichtsbarkeiten (z. B. basierend auf Gerichtsbeschlüssen) gelten, unter vollständiger Einhaltung der EU-Vorschriften". Es gilt also Netzsperren umzusetzen, auch wenn es heißt, dass die Abhängigkeit gegenüber anderen Anbietern außerhalb der EU verringert werden soll.

Kontenhack bei Air France und KLM

Die Airlines Air France und KLM haben ihre Mitglieder des Flying Blue-Treuprogramms über einen Hack von Benutzerkonten informiert. Dadurch , wurden persönlichen Daten offengelegt. Details lassen sich bei Bleeping Computer nachlesen.

CircleCI-Nutzer, bitte Passwort ändern

CircleCI ist Betreiber der Cloud-basierten Continuous-Integration-Plattform (CI). Es gab bei denen im Dezember 2022 einen Sicherheitsvorfall. Falls wer Nutzer bei CircleCI sein sollte: Das Unternehmen empfielt, Benutzerpasswörter und gespeicherte Anmeldedaten zu ändern. Details zum Beispiel bei heise.

Details zur TCP-Schwachstelle CVE-2022–34718

Im Dezember 2022 wurde die TCP-Schwachstelle CVE-2022–34718 in Windows per Sicherheitsupdate gepatcht. Eine tiefergehende Analyse samt Proof of Concept von Numen findet sich hier.