Suche
Close this search box.

Monat: Juli 2021

Warum Pentests wichtig sind
Business

Warum Pentests wichtig sind

Warum Pentests wichtig sind – Unternehmen sollten mehr auf Pentests setzen. Täglich wird der Datentraffic größer und so auch das Risiko von Angriffen durch Hacker. Mithilfe von Pentests können Unternehmen bereits im Vorfeld ihre sensiblen und wertvollen Daten schützen, noch bevor ein Angriff auf die Systeme stattfindet. Mit einem Penetrationstest werden Hacker-Angriffe simuliert, um zu ermitteln, wie sicher die Infrastrukturen, Netzwerke Apps und Anwendungen der Unternehmen sind. Warum Pentests wichtig sind Mit der Simulation eines Hackerangriffs können Unternehmen die Sicherheitslücken in ihrer Infrastruktur, Netzwerken oder in Anwendungen ausfindig machen. Bevor also ein wirklicher Angriff stattfindet, kann so herausgefunden werden, wo man eventuelle Verbesserungen vornehmen kann oder noch mehr in Sicherheit investieren muss. In der Corona Pandemie konnten wir sehen, dass der täglich Datentraffic im Internet angestiegen ist. Durch Home-Office, Homeschooling und vieles mehr. Das Datenvolumen lag 2018 bei ca. 33 Zetabyte. Für 2025 wird eine Datennutzung von 175 Zettabyte prognostiziert – ein Anstieg um etwa 530 Prozent innerhalb von weniger als 10 Jahren. Laut SoSafe bietet der erhöhte Datentraffic auch eine breitere Angriffsfläche für Cyber-Kriminelle. Noch mehr Angriffe wird es in Zukunft geben erklären viele Experten, allein schon aus dem Grund der erhöhten Datenlast im Internet. Mehr Traffic, mehr Risiko Wie gefährlich Angriffe von Hackern und Cyber-Kriminellen werden können, haben diverse Unternehmen bereits erfahren müssen. Auch die Technische Universität (TU) Berlin wurde Ende April 2021 Opfer einer Attacke. Windows-Teilbereiche wurden dabei lahm gelegt. Studierende und Mitarbeiter waren nicht mehr in der Lage E-Mails zu versenden da man aus Sicherheitsgründen die Server heruntergefahren hat. Auch das SAP-System war betroffen und erst nach einigen Tagen wieder einsatzbereit. Pentests bieten präventiven Schutz Mit einem Penetrationstest oder Pentest werden Hacker-Angriffe simuliert. Schwachstellen oder Lücken lassen sich so schnell aufdecken bevor sie Hacker finden. Getestet werden dabei die Infrastrukturen der Netzwerke sowohl von extern als auch intern, sowie auch Apps und Anwendungen bzw. Webanwendungen. Im Prinzip ist ein Pentest ein beauftragter Hack um definieren zu können welche Sicherheitsmaßnahmen getroffen werden können oder getroffen werden müssen um das Unternehmen bestmöglich vor Angriffen schützen zu können. Dabei können Konfigurationsfehler aufgedeckt werden, mangelnde oder fehlende Sicherheitsmechanismen ersichtlich gemacht werden oder auch die Struktur der Netzwerke analysiert werden. Diverse Tools helfen die notwendigen Informationen zu erhalten. In jedem Fall sollten Unternehmen sich präventiv schützen und auch die Überlegungen von Pentests in Betracht ziehen. Ein Auto kaufen viele auch nicht ohne eine Probefahrt vorab. In vielen Bereichen unseres Lebens gehen wir auch Nummer sicher. Warum nicht auch in der IT-Infrastrukturen von Unternehmen? Gerne bieten wir Ihnen weitere Informationen zu Pentests an. Die iKomm GmbH führt mit diversen Partnern ebenfalls Penetrationstests durch. Dabei können Sie zwischen verschiedenen Modellen auswählen was genau Sie testen möchten. Sprechen Sie uns an! Wir freuen uns mit Ihnen gemeinsam ihre Unternehmens-Netzstrukturen sicherer zu gestalten. Weitere Tipps und Empfehlungen zum Thema Pentest finden Sie auch in diesem Artikel.

Lieferketten unzureichend gesichert
Business

Lieferketten unzureichend gesichert

Lieferketten unzureichend gesichert – Immer häufiger werden Cyber-Angriffe gegen die Lieferketten von Unternehmen vorgenommen. Der Global Supply Chain Report von Interos belegt, dass rund 145 Millionen Dollar Umsatz pro Jahr im Schnitt verloren gehen für Unternehmen in der DACH-Region. Ursache der Störungen der Lieferketten sind häufig Angriffe mit Verschlüsselungstrojanern. Lieferketten unzureichend gesichert Nicht nur der finanzielle Schaden der durch die Cyber-Attacken entsteht ist relevant, sondern auch die Reputation von Unternehmen ist betroffen. Laut dem Report von Interos soll es bereits bei 83% der betroffenen Unternehmen zu Reputationsschäden gekommen sein. Das hat zur Folge, dass Kunden ihr Vertrauen in das Unternehmen verloren haben. Die Probleme von Unternehmen im Bereich der physischen und digitalen Lieferketten auf Grund von Attacken stellen für alle Unternehmen ein großes Problem dar. Kommen weitere Faktoren hinzu die sich auf die Lieferketten auswirken wie beispielsweise die Corona-Pandemie, können weitere wirtschaftliche Schäden und Nachteile für Firmen in Deutschland, Österreich und Schweiz (DACH-Region) entstehen. Generell sind alle Konzerne die weltweit agieren davon betroffen und Angriffe auf die Lieferketten bzw. Angriffe mit Verschlüsselungssoftware sind für alle ein hohes wirtschaftliches Risiko. Rund 80% der Unternehmen betroffen Rund 80% der befragten Unternehmen aus dem Report verzeichneten in den vergangenen zwei Jahren Vorfälle im Bereich Cyber-Security. Angriffe mit einer Ransomware wie REvil kommen immer häufiger vor. Laut der Studie ist vor allem eines wichtig: ein komplett transparente Lieferkette. Unternehmen müssen darüber informiert sein, wie die einzelnen Glieder der Supply Chain miteinander verknüpft sind. Nur mit diesem Informationen kann das Risiko abgeschätzt werden, was ein Ausfall von Lieferanten bedeuten kann. Doch nur ein Drittel der Unternehmen führt regelmäßig ein Assessment durch und knapp ein Viertel greift auf automatisierte Prozesse zurück. Das Fazit der Studie: Die jetzigen Maßnahmen reichen in den meisten Fällen nicht aus, um einen zufriedenstellenden Schutz der Lieferketten zu garantieren. Gerne unterstützen wir Sie mit unserer 12-jährigen Erfahrung mit IT-Security. Sprechen Sie uns an!

Was ist EDR?
Business

Was ist EDR?

Was ist EDR? Die Abkürzung EDR steht für Endpoint Detection and Response. Mittlerweile ist EDR in aller Munde und steht bei vielen Security Anbietern ganz oben auf der Agenda. Doch was genau steckt hinter der Bezeichnung Endpoint Detection and Response? Wir haben Ihnen ein paar Informationen zusammengetragen und erläutern Ihnen kurz was genau EDR ist und wie es für Sie nützlich sein kann. Was ist EDR? EDR steht für Endpoint Detection and Response. Im Prinzip werden von Endpoints Daten über das System gesammelt, zu einem weiteren Monitoring System geschickt und analysiert. Mit Hilfe von EDR können frühzeitig Veränderungen oder Anomalien an Systemen registriert werden. Durch automatische Regeln bzw. IT-Security Spezialisten werden die Daten analysiert und anschließend gibt es eine Reaktion also ein Response. Es stehen einige diverse Ansätze von verschiedensten Herstellern am Markt zur Verfügung. Das EDR ist zunächst mal nur ein Sammeln von Daten eines Systems und anschließender Auswertung. Hin und wieder kommen weitere Sicherheitsfunktionen hinzu, je nach Hersteller. In einem sogenannten SOC (Security Operations Center) laufen die Daten zusammen und können durch Analyse-Spezialisten analysiert und kategorisiert werden. Ein EDR Beispiel Nehmen wir einen ganz gewöhnlichen User, der E-Mails schreibt über Outlook, Microsoft Office Anwendungen verwendet und evtl. ein ERP oder Warenwirtschaftssystem. Die Office-Anwendungen werden ohne Makros oder sonstigen VBA-Scripte verwendet. Wird nun beispielsweise aus einer Office-Anwendung die Windows Powershell mit einem Befehl aufgerufen, könnte das eine Anomalie sein und evtl. ein Schadcode sein. Dieses Event bzw. diese Information wird an das SOC gemeldet bzw. an die EDR Instanz des jeweiligen eingesetzten Tools. Nun können automatisierte Regeln einen Abgleich mit vorhandenen Angriffsszenarien durchführen. Zusätzlich können Spezialisten sich diese Anomalie genauer ansehen und an Empfehlung an den Kunden weitergeben. Durch die Endpoint Detection und Response können also Angriffe frühzeitig erkannt werden. Es handelt sich also auch um Frühwarnsystem für Ihre IT-Infrastruktur. Handelt es bei dem oben genannten Beispiel um eine legitime Aktion auf dem Endsystem, kann das Event abgearbeitet werden. Sollte es wie ein Angriffsmuster aussehen oder haben die Spezialisten Ihre Bedenken bei dieser Aktion können weitere Schritte eingeleitet werden. So wäre es denkbar das Endsystem von den anderen Systemen zu isolieren um eventuelle Schäden auf anderen Systemen zu vermeiden. Auch ein Abtrennen vom lokalen Netzwerk ist eine Möglichkeit. Generell gibt es viele weitere Mechanismen die nun zum Tragen kommen können. Ist EDR etwas ganz neues? Nein, EDR ist keine neue Erfindung der IT-Security Industrie. Der Begriff ist schon seit einigen Jahren im Umlauf und auch die Funktionen sind schon seit einigen Jahren bekannt. Allerdings stieg das Interesse an weiterführenden Endpoint-Lösungen in den letzten zwei Jahren. Das Anti-Viren-System, welches ein fester Bestandteil in der Sicherheitsinfrastruktur von Unternehmen ist, wird nun mit einer ergänzenden Funktion erweitert. Durch Cloud-Anbindungen und Anbindungen zu einem SOC können Unternehmen Ihre IT-Strukturen noch effizienter und besser schützen. Wo ist der Haken? Der Haken bei EDR – Endpoint Detection and Response ist im Prinzip das Know-how. Daten sammeln ist noch kein effizienter Schutz gegen Cyberkriminalität. Diese Informationen auswerten, mit Angriffsszenarien vergleichen und wissen was diese Meldungen bedeuten ist das “A” und “O” von EDR. Unternehmen müssen also Mitarbeitern beschäftigen, welche auch die erzeugten Events lesen und richtig interpretieren können. Dafür gibt es IT-Security Analysten deren Aufgabe es ist, diese Anomalien, Auffälligkeiten etc. zu erkennen bzw. zu bewerten. Nicht jedes Unternehmen hat die Mittel sich eigens dafür Mitarbeiter einzustellen. Viele Anbieter von EDR Lösungen bieten deshalb gleich ein SOC mit an oder eine MDR (Managed Detection and Response). Hierbei profitiert der Kunden vom Know-how der Hersteller und deren Analysten. Auf diesem Weg muss das Unternehmen keine eigenen Mitarbeiter anstellen bzw. anlernen, sondern kann sich das Wissen von Herstellern als Service buchen. Was ist EDR? Sie möchten mehr zu diesem Thema erfahren?Lesen Sie hier mehr zu einer der führenden EDR Lösungen am Markt von Kaspersky Labs. Gerne stellen wir Ihnen weitere Informationen zum Thema EDR zur Verfügung. Sprechen Sie uns an.

Kaspersky Endpoint Security Linux 11.2.0
Kaspersky Labs

Kaspersky Endpoint Security Linux 11.2.0 veröffentlicht

Kaspersky Endpoint Security Linux 11.2.0 veröffentlicht – Kaspersky hat die neue Version der Endpoint Security für Linux Systeme veröffentlicht. Die neue Version trägt die Versionsnummer 11.2.0.4528. Kaspersky Endpoint Security 11.2.0 für Linux (im Weiteren “Kaspersky Endpoint Security”) schützt Computer mit Linux-Betriebssystemen vor Schadsoftware. Weitere Informationen zur neuen Version: NEUERUNGEN Kaspersky Endpoint Security bietet nun folgende Möglichkeiten und Verbesserungen: ProgrammkontrolleEs ist nun möglich, den Start von Programmen auf den Computern der Benutzer zu überwachen. Inventarisierung.Es wurde eine Aufgabe implementiert, mit der Sie Informationen über alle ausführbaren Programmdateien erhalten, die auf den Computern gespeichert sind. Container untersuchen.Die Integration der CRI-O-Umgebung und der Tools Podman und runc wird nun unterstützt.Darüber hinaus ermöglicht das Programm den Schutz von Containern im Rahmen der Lösung RedHat OpenShift. Dazu müssen Sie das Programm auf physischen oder virtuellen Maschinen installieren, die als Kubernetes Nodes verwendet werden. KESL-Container.Der Lieferumfang von Kaspersky Endpoint Security enthält Dateien zum Erstellen einer Container-Anwendung (im Folgenden als KESL-Container bezeichnet) mithilfe der REST API zur Integration in externe Systeme. Integration von Kaspersky Managed Detection and Response.Es ist nun möglich, mit der Lösung Kaspersky Managed Detection and Response (MDR) zu interagieren. Diese Lösung gewährleistet die kontinuierliche Suche, Erkennung und Beseitigung der Bedrohungen, die gegen Ihr Unternehmen gerichtet sind. Untersuchung wichtiger Bereiche.Die Aufgaben zur Untersuchung der Bootsektoren (Boot_Scan) und zur Untersuchung des Prozess- und Kernelspeichers (Memory_Scan) wurden in die neue Aufgabe zur Untersuchung wichtiger Bereiche (Critical_Areas_Scan) verschoben. Diese Aufgabe ermöglicht die Untersuchung der Autostart-Objekte, der Bootsektoren, des Prozessarbeitsspeichers und des Kernelspeichers. Die separaten Aufgaben zur Untersuchung der Bootsektoren (Boot_Scan) und zur Untersuchung des Prozess- und Kernelspeichers (Memory_Scan) wurden entfernt. Gibt die Priorität der Untersuchungsaufgabe an.Es ist nun möglich, für die Ausführung von Aufgaben zur Untersuchung auf Viren, der benutzerdefinierten Untersuchung, der Inventarisierung sowie der Aufgaben vom Typ ContainerScan eine von drei Prioritäten anzugeben. Einstellungen für die Erstellung von Protokolldateien.Es ist nun möglich, die Erstellung von Protokolldateien beim Start des Programms zu aktivieren. Richtlinienprofile.Die Verwendung von Richtlinienprofilen in Kaspersky Security Center wird nun unterstützt. Einstellungen der Update-Aufgabe.Die Einstellungen für die Verwendung eines Proxyservers für die Verbindung mit den Kaspersky-Update-Servern und mit benutzerdefinierten Update-Quellen wurden entfernt. Die Liste der unterstützten Betriebssysteme wurde aktualisiert. SYSTEMANFORDERUNGEN Kaspersky Endpoint Security hat folgende Hard- und Softwareanforderungen: Die Mindest-Hardwarevoraussetzungen: Prozessor Core 2 Duo 1,86 GHz oder höher Swap-Speicher nicht unter 1 GB 1 GB RAM für 32-Bit-Betriebssysteme, 2 GB RAM für 64-Bit-Betriebssysteme 4 GB freier Speicherplatz auf der Festplatte für die Installation des Programms und zur Speicherung von temporären Dateien und Log-Dateien Softwarevoraussetzungen: Unterstützten 32-Bit-Betriebssysteme: CentOS 6.7 und höher Debian GNU / Linux 9.4 und höher Debian GNU / Linux 10.1 und höher Linux Mint 19 und höher Mageia 4 Red Hat Enterprise Linux 6.7 und höher ALT Education 9 ALT Workstation 9 ALT Server 9 Unterstützte 64-Bit-Betriebssysteme: AlterOS 7.5 und höher Amazon Linux 2 Astra Linux 1.5 (generic and PaX kernel) Astra Linux 1.6 (generic and PaX kernel) Astra Linux Common Edition Orel 2.12 CentOS 6.7 und höher CentOS 7.2 und höher CentOS 8.0 und höher Debian GNU / Linux 9.4 und höher Debian GNU / Linux 10.1 und höher Linux Mint 19 und höher Linux Mint 20.1 und höher openSUSE Leap 15.0 und höher Oracle Linux 7.3 und höher Oracle Linux 8.0 und höher Pardus OS 19.1 Red Hat Enterprise Linux 6.7 und höher Red Hat Enterprise Linux 7.2 und höher Red Hat Enterprise Linux 8.0 und höher SUSE Linux Enterprise Server 15 und höher Ubuntu 18.04 LTS und höher Ubuntu 20.04 LTS ALT Education 9 ALT Workstation 9 ALT Server 9 GosLinux 7.2 Interpreter Perl Version 5.10 oder höher Installiertes Hilfstool which Installierte Pakete zur Programmkompilierung und Aufgabenausführung (gcc, binutils, glibc, glibc-devel, make, ld, rpcbind), Quellcode für den Kernel des Betriebssystems (zum Kompilieren der Module von Kaspersky Endpoint Security auf Betriebssystemen ohne Unterstützung der fanotify-Technologie). Vor der Installation von Kaspersky Endpoint Security und des Administrationsagenten im Betriebssystem SUSE Linux Enterprise Server 15 muss das Paket insserv-compat installiert werden. In den Betriebssystemen Red Hat Enterprise Linux 8 und CentOS 8 muss das Paket perl-Getopt-Long installiert sein. Für die Ausführung des Kaspersky Endpoint Security Verwaltungs-Plug-ins muss Microsoft Visual C++ 2015 Redistributable Update 3 RC (https://www.microsoft.com/de-de/download/details.aspx?id=52685) installiert werden. Kaspersky Endpoint Security 11.2.0 für Linux ist mit den folgenden Versionen von Kaspersky Security Center kompatibel: Kaspersky Security Center 10 Service Pack 3 Kaspersky Security Center 11 Kaspersky Security Center 12 INSTALLATION UND UPDATE DES PROGRAMMS Die Beschreibung der Installation und des Updates des Programms finden Sie in der Online-Hilfe für Kaspersky Endpoint Security. Nach dem Update startet Kaspersky Endpoint Security 11.2.0 für Linux, selbst wenn es vor dem Update-Vorgang angehalten wurde. BEKANNTE PROBLEME UND LÖSUNGEN Kaspersky Endpoint Security 11.2.0 für Linux besitzt eine Reihe von nicht kritischen Einschränkungen: Schutz vor Verschlüsselung funktioniert mit den Protokollen SMB1, SMB2, SMB3 und NFS3. Beim Deaktivieren des Programms unter Betriebssystemen der Reihe Red Hat Enterprise Linux 7.3 bei der Arbeit mit NFS4 kann das Programm manchmal nicht deaktiviert werden.Mögliche Lösung: Konfigurieren Sie die Netzwerkpartitionen für die Verwendung von NFS3-Protokoll. Bei der Ausführung des Programms unter Betriebssystemen der Reihe Red Hat Enterprise Linux 7.2 werden manchmal Dateien mit mehr als 2 Gigabyte blockiert.Mögliche Lösung: Nehmen Sie ein Upgrade des Betriebssystems zu Red Hat Enterprise Linux 7.3 und höher vor. Bei der Ausführung des Programms unter Betriebssystemen der Reihe Red Hat Enterprise Linux 7 kann bei der Verwendung von CIFS (SMB1) die Erstellung von Dateien auf Remote-Netzwerkpartitionen manchmal viel Zeit in Anspruch nehmen.Mögliche Lösung: Wechseln Sie zum SMB2-Protokoll und deaktivieren Sie CIFS oplock. Bei einer Trennung der Netzwerkverbindung während der gleichzeitigen aktiven Nutzung von Remote-Netzwerkpartitionen können Verzögerungen in der Arbeit des Betriebssystems auftreten. Es kann evtl. unmöglich sein, eine Datei, deren Name nicht die gleiche Codierung hat wie das Betriebssystem, mittels des Befehls scan-file zu untersuchen.Mögliche Lösung: Ändern Sie den Dateinamen, lassen Sie das gesamte Verzeichnis untersuchen oder verwenden Sie eine standardmäßige ODS-Aufgabe. Das Programm kann manchmal keine Dateien auf virtuellen Pseudo-Dateisystemen verarbeiten.Mögliche Lösung: Verwenden Sie den Befehl mount zum Anschluss von Netzwerk- oder lokalen Partitionen. Unter dem Betriebssystem Mageia 4 funktioniert eine Remote-Installation des Kaspersky Security Center-Pakets klnagent\kesl über das SSH-Protokoll nicht.Mögliche Lösung: Entfernen Sie die

Cyber-Attacke Kaseya
Bedrohung

Cyber-Attacke Kaseya – 70 Millionen Dollar Lösegeld gefordert

Die Cyber-Attacke Kaseya zieht ihre Kreise. Bereits vergangene Woche wurde zahlreich in den Medien über die Cyber-Attacke Kaseya berichtet. Das amerikanische IT-Dienstleistungsunternehmen Kaseya wurde Opfer eines groß angelegten Cyberangriffs. Das Unternehmen wurde vermutlich von der Hackergruppe REvil attackiert. Die Cyberkriminellen nutzen eine Schwachstelle im Programm um die Kunden von Kaseya zu attackieren, Daten zu verschlüsseln und Lösegeld zu fordern. Cyber-Attacke Kaseya REvil behauptet, mehr als eine Million Computer infiziert zu haben. Das Ausmaß über die Schäden ist bislang kaum zu überblicken. Die Hackergruppe forderte mit Ihrer Erpressersoftware rund 70 Millionen Dollar von den betroffenen Unternehmen. Bei Zahlung sollten die betroffenen einen Generalschlüssel erhalten um die Systeme wieder zu entschlüsseln. Der Betrag sollte in Bitcoin bezahlt werden, so hieß es in einem Blogbeitrag von der IT-Sicherheitsfirma Sophos. Kassensysteme von Supermarkt-Kette lahmgelegt Unter den betroffenen Unternehmen ist auch eine schwedische Supermarkt-Kette Coop, die wegen nicht funktionierender Kassen vorübergehend 800 Filialen schließen musste. Kaseya berichtete zunächst von weniger als 40 Kunden die betroffen sein sollen, inzwischen ist deutlich geworden das es mindestens zwischen 800 und 1500 Kunden sind. Kaseya hat viele Dienstleister die wiederum Kunden haben welche ebenfalls betroffen sein können. Es stellt sich eine Art Domino-Effekt ein. Kaseya bietet Softwareprogramme für Firmen an, die ihren Kunden administrative und organisatorische Arbeiten abnehmen. REvil steht im Verdacht, das Desktop-Management-Tool VSA gehackt zu haben und ein schadhaftes Update aufgespielt zu haben. Dieses Update infizierte die IT-Dienstleister bzw. Management Anbieter und diese infizierten dann wiederum ihre eigenen Kunden. Bis auf die schwedische Supermarkt-Kette sind allerdings keine Produktionsausfälle bisher bekannt geworden. Supply-Chain-Attacke Im Zusammenhang mit diesem Angriff sprechen die Experten von einer sogenannten “Supply-Chain-Attacke”. Also ein Angriff auf die Lieferketten von Unternehmen bzw. auf die gesamte Kette von Lieferanten, Partner und Kunden. Diese Angriffe habe laut Thomas Uhlemann, IT-Spezialist bei ESET in Jena, deutlich zugenommen. Auch in Deutschland waren Kunden bzw. IT-Dienstleister von der Attacke auf Kaseya betroffen. Ein Sprecher des Bundesamt für Sicherheit und Informationstechnik sprach von tausenden Computern bei mehreren Unternehmen. Bereits vor einigen Wochen wurde der Fleischkonzern JBS Opfer einer Cyber-Attacke von REvil. Das Unternehmen musste mehrere Werke für Tage schließen. Laut Berichten zahlte das Unternehmen 11 Millionen US-Dollar in Bitcoin an die Hackergruppe. Auch andere Unternehmen stehen im Visier der Cyberkriminellen. Kurz vor dem Fall JBS gab es einen Angriff auf eine der größten Benzin-Pipelines in den USA. Immer häufiger werden nicht nur einzelne Unternehmen attackiert sondern ganze Netzwerke bzw. Lieferketten von Unternehmen. So können die Kriminellen noch mehr Opfer gleichzeitig erpressen. Wie können Sie sich schützen?Gerne stellen wir Ihnen unsere Lösungsansätze und Sicherheitstechnologien vor. Wir beraten Sie mit unserer 12-jähriger IT-Security Erfahrung und arbeiten mit Ihnen Hand in Hand um solche Fälle wie beschrieben so gut wie möglich zu vermeiden. Sprechen Sie uns an!

Schadcode-Lücke in Drucker Spooler
Bedrohung

Schadcode-Lücke in Drucker Spooler

Schadcode-Lücke in Drucker Spooler entdeckt – Eine neue Sicherheitslücke geht zur Zeit durchs Netz. Sicherheitsforscher haben eine neue Lücke im Printer-Spooler-Service von Microsoft entdeckt. Bislang gibt es dafür keinen Patch von Microsoft aber es gibt einen Workaround den Administratoren durchführen sollten. Schadcode-Lücke in Drucker Spooler Forscher von Sangfor haben versehentlich einen Exploit-Code für die neue Lücke veröffentlicht. Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der bevorstehenden Hacker-Konferenz Black Hat im August 2021. Nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossen Lücke ist, welche Microsoft am Patchday im Juni geschlossen hat. Die Schwachstelle bezog sich auch auf den Printer-Spooler. Man ging also davon aus dass es sich um die Schwachstelle CVE-2021-1675 mit der Priorität “hoch” handelt, doch weit gefehlt. Es handelt sich um eine neue Lücke die bereits als Zero-Day-Exploit im Netz unterwegs ist. Für diese neue Schwachstelle gibt es noch keine CVE-Beschreibung und Microsoft stellt auch noch keinen Patch zur Verfügung. Vermutlich wird dieser zum Patchday im Juli vorhanden sein. Der Patchday ist allerdings erst am 13. Juli geplant und die Schwachstelle kann jetzt ausgenutzt werden. Administratoren sollten also vorab schon handeln. Ob es bereits Attacken gibt, ist derzeit nicht bekannt. Printer-Spooler Schwachstelle Das Problem befindet sich im Printer-Spooler-Service von Windows. Laut Informationen sollen alle Version von Windows 7 SP1 bis 2019 betroffen sein. Diverse Sicherheitsforscher geben an, vollständige gepatchte Systeme mit Windows 2019 Server erfolgreich attackiert zu haben. Sie konnte Schadcode mit System-Rechten ausführen. Das wäre vor allem auf einem Domain-Controller fatal. Angreifer könnten so weitere Systeme mit Schadcode bzw. Malware infizieren und sich im Netzwerk ausbreiten. Nicht ausgeschlossen wäre auch ein Diebstahl von Daten bzw. Kennungen zu den Benutzern. Einem Bericht der Carnegie Mellon University zufolge muss ein Angreifer aber authentifiziert sein. Ist das gegeben, könnte er an der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service ansetzen und dem Betriebssystem einen mit Schadcode präparierten Treiber unterschieben. Mit System-Rechten ausgestattet könnten Angreifer hier viel Schaden anrichten. Was können Sie tun? Noch hat Microsoft nicht auf die neue Lücke reagiert und keinen Patch angekündigt. Man geht davon aus dass ein Patch frühestens zum Patchday im Juli veröffentlicht wird. Dennoch kann man etwas gegen die Schwachstelle tun… Deaktivieren Sie den Print-Spooler Service und Systeme können mit der beschriebenen Attacke nicht angegriffen werden. Derzeit ist es nur möglich mit Deaktivierung des Dienstes das Problem zu beheben. Sie benötigen Unterstützung?Sprechen Sie uns an, unsere Techniker stehen Ihnen mit Rat und Tat zur Seite.

Nach oben scrollen