Suche
Close this search box.

Kategorie: Bedrohung

Microsoft Defender macht es leicht
Bedrohung

Microsoft Defender macht es leicht

Microsoft Defender macht es leicht – Der Virenschutz von Microsoft erleichtert das Einnisten von Schädlingen. Durch eine kleine Schwachstelle bei Zugriffsrechten des Microsoft Defender können Angreifer unter Windows 10 Malware vor den Scans verstecken. Eine laxe Rechtevergabe macht es Eindringlingen unnötig einfach. Es ist möglich die Schadsoftware vor den Scans zu verstecken und so der Entdeckung zu entgehen. Microsoft Defender macht es leicht Die Ursache für die Schwachstelle ist eine laxe Rechtvergabe bei Defender. Jeder angemeldete Benutzer kann mit einem einfachen Befehl die Liste der Scan-Ausnahmen auslesen. Hier besteht also das Problem. Ein Einbrecher kann die Verzeichnisse einfach auslesen welche nicht gescannt werden. Genau dort platziert er dann seine Schadsoftware. Durch die Ausnahme wird die Schadsoftware auch bei zukünftigen Scans nicht erkannt. Ob Cyberkriminelle diese Lücke bereits ausgenutzt haben ist derzeit nicht bekannt. Erst kürzlich wurde die Lücke vom IT-Sicherheitsforscher Antonio Cocomazzi auf Twitter gepostet. Laut dem Forscher ist es nicht nur lokal möglich, also bei lokal erstellten Ausnahmen, sondern auch bei Windows-Domänen mit Gruppenrichtlinien. Weitere Forscher haben sich der Sache angenommen und bestätigen diese Lücke. Auftreten soll demnach die Lücke bei Windows 10 Build 21H1 und 21H2. Bei Windows 11 weise nichts darauf hin sagen die Forscher. Nicht ganz neu Ganz neu ist die Lücke jedoch nicht. Bereits im Mai vergangenen Jahres ist bereits der Forscher Paul Bolten schon einmal darüber gestolpert. Die Leserechte auf für unprivilegierte Benutzer, stellt eine unnötige Vereinfachung für Angriffe dar. Professionellere Angreifer sind allerdings auf diese Lücken nicht angewiesen. Sie verstecken ihre Malware auch vor Lösungen der anderen Hersteller ohne Scan-Ausnahmen zu verwenden. Aber dadurch erhöht sich der Aufwand für Angreifer und es stellt eine weitere Sicherheitshürde dar. Rechteprüfung Ob Microsoft mit einem Update dieses Problem beheben wird ist derzeit nicht bekannt. Man kann sich aber Abhilfe schaffen in dem man mit dem Registrierungseditor (regedit) die Werte überprüft bzw. anpasst. Erfahrene Benutzer oder Administratoren können das unter diesem Key einsehen: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions Quelle: https://www.heise.de/news/Virenschutz-Microsoft-Defender-erleichtert-Einnisten-von-Schaedlingen-6329300.html Gerne stellen wir Ihnen alternativen zu Microsoft Defender vor. Auf unserer Webseite finden Sie zahlreiche Informationen zu Antiviren-Lösungen welche bereits seit Jahren etabliert sind und Ihnen und Ihrer Umgebung eine erhöhte Sicherheit bieten können. Mit weiteren Sicherheitsmechanismen wie der Endpoint Detection and Response Lösungen können Sie noch weitere Sicherheitsmechanismen einführen.

Zero-Day-Lücke in Log4j
Bedrohung

Zero-Day-Lücke in Log4j

Zero-Day-Lücke in Log4j  – Kritische Sicherheitslücke gefährdet zahlreiche Server und Apps. Apple, Twitter, Amazon und tausende andere Dienste sind anfällig. Die ersten Angriffe laufen bereits und wurden dokumentiert. Administratoren müssen sofort handeln. Zero-Day-Lücke in Log4j  Eine Zero-Day-Sicherheitslücke names Log4Shell ermöglicht es Angreifern beliebigen Code auszuführen. Über die weit verbreitete Java-Logging-Bibliothek Log4j können Attacken auf viele Server und Apps durchgeführt werden. Dienste wie Apple, Twitter, Steam und Amazon sind betroffen aber auch viele kleinere Angebote. Es gibt bereits ein Proof-of-Concept Code der das Ausnutzen der Lücke demonstriert. Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Der Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h zeigt, dass der Angreifer eine Zeichenkette der Form ${jndi:ldap://127.0.0.1:1389/a} ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert den genannten LDAP-Server 127.0.0.1:1389 und nimmt schließlich von ihm Daten wie potenziell bösartige Java-Klassen entgegen und führt diese aus. Ein Angreifer müsste demnach einen von ihm kontrollierten Server angeben, um einen Server über das Logging zu kapern (Log4Shell). Verwundbare Projekte Die Lücke hat bereits eine CVE-Nummer erhalten (CVE-2021-44228, Risiko kritisch, CVSSv3 10/10). Auch das BSI warnt vor dieser Lücke und Administratoren sollten dringend handeln. Viele Anwendungen verwenden die Log4j-Bibliothek und all diese sind von der Sicherheitslücke betroffen. Die Pen-Testing-Gruppe 0x0021h schreibt zu ihrem PoC-Exploit, dass er für Apache Struts2, Apache Solr, Apache Druid, Apache Flink und weitere funktioniere. Die Bibliothek Betroffen ist die Log4j Bibliothek von der Version 2.0-beta9 bis 2.14.1. Das Apache-Projekt hat kurzfristig Version 2.15.0 veröffentlicht, die die Lücke schließt. In einer Sicherheitsmeldung listen die Apache-Entwickler zudem Maßnahmen auf, wie man die Server ohne Update vorläufig sichern kann. Bei Log4j ab Version 2.10 helfe das Setzen der Systemeigenschaft „log4j2.formatMsgNoLookups“ auf “true” oder das Entfernen der JndiLookup-Klasse aus dem Klassenpfad (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Weitere Informationen finden Sie auch hier: https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html?wt_mc=rss.red.security.alert-news.atom.beitrag.beitrag https://www.spiegel.de/netzwelt/web/log4-j-schwachstelle-ja-leute-die-scheisse-brennt-lichterloh-a-760bd03d-42d2-409c-a8d2-d5b13a9150fd#ref=rss?sara_ecid=soci_upd_wbMbjhOSvViISjc8RPU89NcCvtlFcJ Haben Sie Fragen? Unsere Techniker stehen Ihnen gerne zur Verfügung. Kontaktieren Sie uns!

Sicherheitslücken in AMD Prozessoren
Bedrohung

Sicherheitslücken in AMD Prozessoren Epyc

Sicherheitslücken in AMD Prozessoren Epyc – Bei den AMD-Epyc-Serverprozessoren sind mindestens 22 Sicherheitslücken vorhanden. Einige Lücken sind bereits 2 Jahre alt. Wer einen Server mit AMD-Epyc-Prozessoren betreibt, sollte schnell BIOS-Update durchführen um die Lücken zu schließen. Sicherheitslücken in AMD Prozessoren Epyc Unter der Bulletin ID „AMD-SB-1021“ listet AMD insgesamt 22 Sicherheitslücken in Serverprozessoren der Baureihen Epyc 7001 (Naples), Epyc 7002 (Rome) und Epyc 7003 (Milan) auf. Am meisten betroffen von der Sicherheitslücken ist die eingebaute AMD Platform Security Processor (PSP). Aber auch die System Management Unit (SMU) ist betroffen. Einige Lücken wirken sich auf die Speicherverschlüsselung SVE (Secure Encrypted Virtualization aus, da die PSP die dabei verwendeten Schlüssel verwaltet. Bei vier Sicherheitslücken ist das Risiko mit „hoch“ beschrieben. Die anderen weisen den Status „Mittel“ auf. Die meisten Lücken sind allerdings nicht Remote bzw. aus der Ferne nutzbar, sondern setzen einen lokalen Zugriff auf den physischen Server voraus. Angriffe via Remote können unter diesen Umständen also kaum stattfinden. Die Angreifer müssten sich zunächst Zugang zum physischen Server verschaffen. Dennoch sind die Lücken nicht unkritisch und es sollte sich um Updates gekümmert werden. AMD stellt neue Firmware bereit AMD hat neue Versionen der Firmware-Komponente für jede Epyc-Generation an die Hersteller von Mainboards und Servern verteilt. Diese integrieren diese nun in BIOS-Updates. Folgende verfügbare BIOS-Updates stehen bereit: Dell Security Advisory DSA-2021-227 Dell PowerEdge Server Security Update for AMD Server Vulnerabilities HPE Security Bulletin HPESBHF04209 HPE ProLiant and Apollo Gen10 and Gen10 Plus Servers HPE Security Bulletin HPESBHF04195 HPE ProLiant Gen10 Plus Servers Epyc 3 Lenovo Security Advisory LEN-75180 Multi-vendor BIOS Security Vulnerabilities Supermicro „AMD Security Vulnerabilities, November 2021„ Kritik von Experten Via Twitter kritisiert der Sicherheitsforscher Volodymyr Pikhur AMD der AMD über die Lücke CVE-2020-12988 informierte. Es sei einer der schlechtesten Coordinated-Disclosure-Prozesse gewesen, an denen er beteiligt war. Lücken die von Hugo Magalhaes bereits 2019 an AMD gemeldet wurden, erhielten fast zwei Jahre später ihre Updates. Der Umgang mit Sicherheitslücken bei AMD sei nicht zufriedenstellend. Die Epyc-Schwachstellen ähneln laut Pikhur den 2015 veröffentlichten Lücken „Speed Racer“ bei Intel-Systemen. Diese Lücke nutzte das LoJax-Rootkit um sich im UEFI-BIOS einzunisten. LoJax wurde 2020 von Kaspersky auf zwei Rechnern nachgewiesen. Anbei die Liste der veröffentlichten CVE-Nummern: CVE-Nummern der mit AMD-SB-1021 veröffentlichten Sicherheitslücken: CVE-2020-12954 CVE-2020-12961 CVE-2021-26331 CVE-2021-26335 CVE-2021-26315 CVE-2020-12946 CVE-2020-12951 CVE-2021-26336 CVE-2021-26337 CVE-2021-26338 CVE-2021-26320 CVE-2020-12944 CVE-2020-12988 CVE-2021-26329 CVE-2021-26330 CVE-2021-26321 CVE-2021-26323 CVE-2021-26325 CVE-2021-26326 CVE-2021-26322 CVE-2021-26327 CVE-2021-26312 Weitere Informationen zu Kaspersky finden Sie auch hier.

Hacker jagen das Gesundheitswesen
Bedrohung

Hacker jagen das Gesundheitswesen

Hacker jagen das Gesundheitswesen – Seit Beginn der Corona-Pandemie steigen die Zahlen der Angriffe auf das Gesundheitswesen. Durch den Ansturm auf die Remote-Bereitstellung von Gesundheitsdienstleistungen, Home-Office etc. haben die Cyberangriffe stark zugenommen. Zu den Top-Risiken zählen Ransomware, Botnets, Phishing, Angriffe auf Webanwendungen und Cloud-Schwachstellen. Hacker jagen das Gesundheitswesen In der Corona-Krise können Experten einen deutlichen Anstieg von Cyberattacken auf Institutionen und Dienstleister des Gesundheitswesen feststellen. Schon bereits vor der Pandemie waren die Anforderungen im Gesundheitswesen an die IT relativ hoch und nicht immer konnten Einrichtungen und Unternehmen diese gerecht werden. Durch die Pandemie erhöht sich die Belastung der IT-Security um ein vielfaches. Hacker haben es auf sensible Daten wie Patientendaten bzw. Unternehmensdaten abgesehen, die im Gesundheitswesen vorgehalten werden. Es gibt mehrere Top-Risiken die von IT-Sicherheitsexperten identifiziert wurden. Dazu gehören vor allem die Ransomware-Angriffe die auch Unternehmen aus der Wirtschaft und Industrie häufig stark bedrohen. Top-Risiko: Ransomware Insbesondere Ransomware stellt die Verantwortlichen vor große Probleme. Sperrungen von Patientenakten die durch Ransomware erfolgten können großen Schaden anrichten, wenn Ärzte und medizinisches Personal nicht auf die Daten zugreifen können. Verschreibungsinformationen und Dosierungen für komplexe, chronische Erkrankungen könnten dann nicht abgerufen werden und zu weiteren Komplikationen führen. Schlimmer noch, könnten Hacker die Therapiepläne oder die Gesundheitsdaten manipulieren. Die Patientenversorgungen ist dabei stark gefährdet. Bislang übertrugen Institutionen wie beispielsweise Krankenhäuser und Reha-Fachkliniken dieses Risiko auf Cyber-Versicherungen. Dies wird mittlerweile erschwert, da die Versicherer zusehends spezifische Kontrollmechanismen fordern. Beispielsweise eine Multi-Faktor-Authentifizierung oder auch Endpunkt-Erkennungs -und Reaktionstechnologien werden hierbei häufig aufgeführt. Botnets und Bad Bots Eine weitere große Herausforderungen für die Gesundheitsbranche ist der Datenverkehr von Bad Bots bzw. Bot-Netzwerken. Hacker versuchen Daten von Websites abzugreifen, Spam zu versenden oder Zugriffe auf Anwendungen zu erhalten. Vor allem im vergangenen Jahr in der Pandemie wurde diese Attacke immer beliebter. Zurück zu führen ist das auf die neuen Websites der Regierungen und andere digitale Infrastrukturen die zur Unterstützung der Covid-19 Pandemie eingerichtet wurden. Hacker können hierbei auch Passwörter knacken um in Konten einzudringen. Beispielsweise wurden hierbei schon Medikamentenbestellungen manipuliert um diese später illegal zu verkaufen. Teilweise werden auch DDoS-Angriffe auf die Webanwendungen gefahren um Störungen für Anwender*innen und Ausfallzeiten zu generieren. Das belastende Niveau schlägt sich auch auf die Kosten der Infrastruktur von Kliniken und Gesundheitseinrichtungen nieder. Phishing Auch das Phishing ist nach wie vor ein beliebte Methode um Ransomware zu platzieren oder sich Zugriffe auf Systeme zu verschaffen. Phishing gilt als die häufigste Art von Bedrohungen, die für erhebliche Sicherheitsvorfälle im Gesundheitswesen verantwortlich sind. Gerade Impfstoff-bezogene Attacken werden sehr häufig beobachtet, aber auch Angriffe die nur am Rande mit der Pandemie zusammenhängen.

Vorsicht vor präparierten Office-Dokumenten
Bedrohung

Vorsicht vor präparierten Office-Dokumenten

Vorsicht vor präparierten Office-Dokumenten – Derzeit gehen wieder gezielte Angriffe auf Windows-Systeme los. Angreifer versuchen über präparierte Office-Dokumente sich Zugriff zum System zu verschaffen bzw. einen Trojaner-Download zu erzwingen. Standardmäßig sind die Systeme nicht gefährdet. Die Sicherheitslücke ist bei Microsoft bekannt. Vorsicht vor präparierten Office-Dokumenten Gezielte Angriffe sind zur Zeit im Umlauf. Mit präparierten Microsoft-Office-Dokumenten versuchen die Cyberkriminellen nach dem Öffnen dieser Dokumente den Rechner mit Schadcode zu infizieren. Mit den Standard-Einstellungen von Office laufen die Attacken allerdings ins leere. Sicherheits-Patches stehen allerdings derzeit noch aus. Über einen Workaround können aber Administratoren die Systeme absichern. Microsoft hat dazu eine Warnmeldung herausgegeben und stuft die Lücke als „hoch“ ein. (CVE-2021-40444). Die Lücke betrifft die HTML-Rendering-Engine MSHTML von Windows. Die Engine wird von Microsoft Office verwendet wie auch vom Internet Explorer. Betroffen sind Systeme von Windows 8.1 bis Windows 10 sowie die Windows Server 2008 bis 2019. Ablauf der Angriffe Auf diese Lücke sind mehrere Sicherheitsforscher gestoßen unter anderem von Expmon. Sie berichten, dass wenn ein Opfer eine Office-Datei öffnet, der Internet Explorer eine von Angreifern kontrollierte Webseite öffnet. Über ein platziertes ActiveX-Steuerelement wird eine Trojaner auf den Computer geladen. In den Standard-Einstellungen von Office funktionieren diese Angriffe allerdings nicht. Office öffnet Dokumente aus dem Internet in einem abgesicherten Modus. Zudem gibt es noch den Schutzmechanismus Office Application Guard der Dokumente isolieren soll und so die Angriffe auf diese Art und Weise verhindern kann. Dennoch können diese Attacken zu Erfolgen führen wenn die Opfer bestimmte Einstellungen verändert haben oder verändern auf Grund von Aufforderungen in den E-Mails. Generell sollten keine Dokumente willkürlich geöffnet werden. Erhält man Dokumente die man selbst nicht angefragt hat, sollte man skeptisch sein. Noch mehr hinterfragen sollte man sich, wenn es Dokumente von unbekannten Absendern sind. Patchen Sicherheits-Updates stellt Microsoft für den kommenden Patchday in Aussicht. Bis dahin können Admins die ActiveX-Steuerelemente im Internet Explorer deaktivieren. Erzeugen Sie hierfür eine Textdatei mit folgenden Inhalt und speichern Sie die Datei mit der Endung .reg. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] „1001“=dword:00000003 „1004“=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] „1001“=dword:00000003 „1004“=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] „1001“=dword:00000003 „1004“=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] „1001“=dword:00000003 „1004“=dword:00000003 Im Anschluss öffnen Sie die Datei mit einem Doppelklick und fügen die Einträge zur Windows Registry hinzu. Anschließend führen Sie einen Neustart des Systems durch. Sie können die Registry Einträge auch manuell im Registrierungseditor setzen. Die ActiveX-Steuerelemente sind dann deaktiviert und es können über die präparierten Office-Dokumente keine Trojaner heruntergeladen werden. Sichern Sie Ihre E-Mail Kommunikation bereits vorher ab, bevor die E-Mails bei Ihnen im Hause landen. Mit Hornetsecurity können Sie Dokumente vorab in der Sandbox prüfen und solche Angriffe gehören bei Ihrem Unternehmen der Vergangenheit an. Lesen Sie mehr zum Thema E-Mail Sicherheit mit Hornetsecurity.

Exchange-Server-Attacken reißen nicht ab
Bedrohung

Exchange-Server-Attacken reißen nicht ab

Exchange-Server-Attacken reißen nicht ab – Nach wie vor werden dutzende Exchange-Server attackiert. Die Administratoren müssen jetzt endlich handeln. Die Sicherheitsupdates sind bereits seit April verfügbar und dennoch gibt es viele ungepachtet Exchange Server. Exchange-Server-Attacken reißen nicht ab Angreifer haben es immer noch auf die ProxyShell-Lücken im Exchange Server von Microsoft abgesehen. Nach erfolgreichen Angriffen platzieren die Angreifer Hintertüren im System um Geschäftsdaten kopieren zu können, Daten zu verschlüsseln oder weitere Ransomware-Angriffe durchzuführen. In diesem Zusammenhang wird von dem Verschlüsselungstrojaner Conti berichtet. Sicherheitsforscher von Sophos geben in einem Bericht an, man habe Attacken beobachtet, bei denen sich Angreifer nach dem Ausnutzen der kritischen Sicherheitslücken systematisch in Netzwerken ausbreiten konnten. Kombinierte Angriffe aus der Ferne um Authentifizierung zu umgehen und sich erhöhte Nutzerrechte zu verschaffen um Schadcode ausführen zu können. Conti-Verschlüsselungstrojaner mit an Board Die Forscher haben beobachtet, dass über die attackierten Systeme anschließend auch der Conti-Verschlüsselungstrojaner von der Leine gelassen wurde. Mindestens sieben Backdoors für spätere Zugriffe sollen platziert worden sein. Mehr als 1 Terabyte Daten wurden kopiert. Für die Angriffe wird auf die verwundbare Autodiscover-Funktion zurückgegriffen. Typische Anfragen können so aussehen: https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com In den Logdateien können Administratoren diese Form von Angriffen erkennen. Auch die iKomm GmbH registriert immer wieder diese Attacken auf diverse Systeme. Auch größere, bekannte Unternehmen sollen von den Attacken bereits betroffen worden sein. Es wird also höchste Zeit die Sicherheitsupdates einzuspielen. Jetzt patchen! Die Sicherheitsupdates sind bereits seit April verfügbar. Wir berichteten ebenfalls bereits über die ProxyShell-Lücken und haben Ihnen die Links zu Microsoft zur Verfügung gestellt. Für die Updates wird der Exchange Server in dieser kurzen Zeit keine E-Mails mehr empfangen oder versenden können. Es kommt einem Upgrade gleich. Das ist vermutlich auch ein Grund warum manche Admins die Updates noch nicht durchgeführt habe. Das Risiko ist allerdings sehr groß und schon seit Monaten werden die Lücken ausgenutzt. Administratoren müssen nun handeln… Weitere Informationen zu Microsoft-Themen finden Sie hier.

ProxyShell Angriffswelle auf Exchange-Server
Bedrohung

ProxyShell Angriffswelle auf Exchange-Server

ProxyShell Angriffswelle auf Exchange-Server – Die Sicherheitslücken sind bekannt, es existieren Patches und dennoch sind tausende Exchange Server angreifbar. Nun startet eine große Angriffswelle welche die Schwachstellen ausnutzt. Bereits seit Freitag, 20. August läuft eine massive Angriffswelle auf die ungepatchten Exchange Server Version 2013 bis 2019. Die sogenannte ProxyShell-Schwachstelle ist das Ziel der Angreifer. Wir haben bereits über diese Schwachstellen berichtet. Sicherheitsforscher haben binnen 48 Stunden über 1900 Übernahmen von Exchange-Server beobachten können. ProxyShell Angriffswelle auf Exchange-Server Bereits Anfang August hatte der Sicherheitsforscher Orange Tsai im Rahmen der BlackHat 2021 Hackerkonferenz auf die Schwachstellen hingewiesen bzw. die Angriffsszenarien vorgestellt. Kurze Zeit darauf wurden auch die ersten Scans im Internet nach verwundbaren Exchange Servern dokumentiert. Durch eine Kombination von drei Schwachstellen sind ProxyShell-Exploits per Remote-Angriffe auf die Systeme möglich. Das gilt nur für Server die ungepatcht sind, denn Microsoft hat bereits Updates und Patches zur Verfügung gestellt. Die beschriebenen Schwachstellen lauten: CVE-2021-34473 (als „kritisch“ eingestuft), CVE-2021-34523 (ebenfalls „kritisch“) und CVE-2021-31207 („mittel“). Über die Suchmaschine Shodan lassen sich ca. 240.000 Exchange Server aus dem Internet ermitteln. Ca. 46.000 davon sollen angreifbar sein. In Deutschland sollen es ca. 7800 Exchange Server sein welche per ProxyShell-Exploit verwunbar sind. Fast 2000 infizierte Server in 48 Stunden Auch Sicherheitsforscher von HuntressLabs verfolgen die Angriffe und schlagen Alarm. In ihrem Blog führen fünf verschieden Arten von WebShells vor, welche über die ProxyShell-Angriffsszenarien eingesetzt werden können. Über WebShells verschaffen sich die Cyberkriminellen erhöhte Rechte am System und damit eine Hintertür zu weiteren Aktivitäten. In nur 48 Stunden wurden weltweit über 1900 Exchange Server infiziert. Betroffen sind dabei alle gängigen Versionen des Microsoft Exchange Servers (2013,2016 und 2019). Zahlreiche Unternehmen sind bereits betroffen darunter sind laut Informationen der Sicherheitsexperten auch Unternehmen aus der Verarbeitungsindustrie für Meeresfrüchte, Industriemaschinen, Autowerkstätten und weitere Firmen. Patches seit April 2021 Die Patches für die Schwachstellen hat Microsoft bereits im April 2021 veröffentlicht. Microsoft wusste also bereits vor der Vorstellung der Schwachstellen auf der Hackerkonferenz von den Problemen. Seit Wochen werden Administratoren aufgefordert ihre Exchange Server zu patchen. Wer bisher noch nicht gepatcht hat, könnte bereits mit einer WebShell als Backdoor infiziert sein. Die Patches entfernen diese aber nicht. Wie Sie Infektionen finden hat Heise.de bereits ausführlich beschrieben.

Was ist Vishing?
Bedrohung

Was ist Vishing?

Was ist Vishing? Viele würden meinen es handele sich hierbei um ein Tippfehler, doch weit gefehlt. Vishing ist ein besondere Art von Phishing. Der Begriff Phishing ist mittlerweile geläufig geworden. Cyberkriminelle versuchen sich über bestimmte Techniken und Methoden Zugriffe zu Systeme zu verschaffen oder bestimmte Inhalte zu stehlen. Die Angreifer angeln nach potenziellen Opfern um sich so zu bereichern. Am Ende geht es immer um das liebe Geld in Form von Erpressungsversuchen und mehr. Mit Vishing wird eine weitere Variante des Phishings immer beliebter. Was ist Vishing? Vishing ist Phishing per Telefon. Betrügerische Anrufe von angeblichen Support-Mitarbeitern, die Zugriff auf Ihren Computer haben möchten oder vermeintlich besorgte Finanzbeamte, die Zahlungen anfordern, Lieferanten von Medizinprodukten, die zurückrufen und vieles mehr. Immer häufiger werden Angriffe über das Telefon registriert. Gerade durch die Covid-19 Pandemie ist die Masche immer beliebter geworden. Durch den Wechsel auf Remote-Arbeitsmodelle ist das Telefon zu einem beliebten Tool für Betrüger geworden. Laut Daten aus 2019 der US-amerikanischen Handelskommission FTC führten rund 6% der Betrugsanrufe zu finanziellen Verlusten. Experten sagen, dass jeder einem Fake-Anruf zum Opfer fallen kann. Es gibt gerissene Betrüger, die sogar das Vertrauen der wachsamsten Personen gewinnen können. Vishing ist konservativer als das normale Phishing, da Telefonate eine ältere Kommunikationsform sind. Durch massive Datenlecks kommen Betrüger an weit mehr Informationen über quasi allen Menschen auf dem Planeten. Das kommt den Angreifern zu gute, sowie auch das rasche ausbreiten von Internet-Telefonie Voice-over-IP. Hier lassen sich Telefonnummern einfacher manipulieren und verwischen. Welche Betrugsmaschen gibt es? Im Prinzip gibt es nichts was man sich nicht vorstellen könnte. Anrufe von Support-Mitarbeitern, Telemarketing, Behörden, Banken und vieles mehr. Die Methoden variieren und können teilweise auch miteinander kombiniert werden. Beispielsweise versuchen Betrüger oft sich als Behörden auszugeben welche Steuern vom Unternehmen eintreiben müssten. Also Finanzbeamte die ausstehende Zahlungen fordern. Dabei werden häufig zwei Optionen angeboten: Entweder sofort zahlen oder es drohen Bußgelder und Verzugszinsen. Mit Zeitdruck wird versucht die Mitarbeiter einzuschüchtern und zum handeln zu bringen. Der technische Support-Mitarbeiter ist ebenfalls ein häufiges Angriffsszenario. Die Angreifer verschaffen sich Zugriff zum Systems des Mitarbeiters in dem Sie Hilfe bzw. Unterstützung bei einem speziellen Problem vorgaukeln. Sind die Kriminellen erst mal auf dem System wird Malware installiert und das System so infiziert. Bei Unternehmen können dann unter Umständen auch andere Systeme angegriffen werden um so dem Erpressungsversuch Nachdruck zu verleihen. Betrugsanrufe erkennen Betrugsanrufe zu erkennen ist nicht immer einfach. Wie bereits erwähnt kann prinzipiell jeder darauf reinfallen. Es gibt aber durchaus Anzeichen die einen stutzig machen sollten und vorsichtshalber den Anruf abblocken sollten: Wenn ein Anruf, der angeblich von einer Behörde oder einer Bank stammt, mit einem Handy getätigt wird, handelt es sich höchstwahrscheinlich um Vishing. Stammt die Nummer aus einem anderen Land oder einer anderen Gegend wird es wohl auch nicht legitim sein. Dennoch sind die Telefonnummern keine sichere Anzeichen, denn diese können über Call-ID-Spoofing auch gefälscht werden. Wenn jemand Sie dazu drängt Zahlungen zu tätigen und außerdem eine Frist angibt, ist es definitiv ein Betrugsversuch. Sollte ein Anrufer Sie dazu überreden, eine bestimmte Software auf Ihrem Computer zu installieren, um ein Problem zu lösen, dessen Sie sich gar nicht bewusst waren, kann das nicht gut ausgehen. Wenn Anrufer vertrauliche Informationen erhalten möchten und das versucht mit Drohungen zu erreichen, ist das auch ein Anzeichen von Vishing. Jeglicher Versuch an private Informationen heranzukommen, ist ein Warnhinweis für Betrug. Wenn Sie auch nur einen der oben genannten Anzeichen entdecken, legen Sie am besten direkt auf. Rufen Sie danach direkt das Unternehmen oder die Behörde an, die Sie angeblich gerade kontaktiert hat, um den Vorfall zu melden: Je mehr Informationen zur Betrugsmasche zur Verfügung stehen, umso wahrscheinlicher ist es, dass der Betrüger erwischt wird oder wenigstens der Betrug weitgehend verhindert werden kann. Verwenden Sie außerdem zuverlässige Sicherheitslösungen, die gefährliche Anwendungen rechtzeitig erkennen können.

Ransomware-Angriffe sind teuer
Bedrohung

Ransomware-Angriffe sind teuer

Ransomware-Angriffe sind teuer – Jedes Unternehmen welches bereits Opfer eines Angriffs wurde konnte das feststellen. Ransomware-Angriffe kosten im Durchschnitt 570.000 US-Dollar. Ein neuer Ransomware-Report gibt Informationen zu den Zahlen und Fakten. Ransomware-Angriffe sind teuer Seit 2020 steigen die durchschnittlichen Lösegeldzahlungen bei Ransomware-Angriffen stetig an. Im ersten Halbjahr 2021 steigt der Wert auf die Rekordsumme von 570.000 US-Dollar. Das ist eine Anstieg um 82% Prozent im Gegensatz zum Jahr 2020. Die Lösegeldforderungen sind sogar um 518 Prozent an und betrug im Durchschnitt 5,3 Millionen US-Dollar. Diese Daten gehen aus dem letzten Ransomware-Report des IT-Sicherheitsunternehmen Palo Alto hervor. Kriminelle werden immer aggressiver Immer aggressivere Taktiken von Cyberkriminellen sind zu beobachten. Viele IT-Sicherheitsexperten gehen davon aus, dass Kriminellen weiterhin aggressivere Taktiken anwenden werden, um Unternehmen zur Zahlung von größeren Lösegeldforderungen zu zwingen. Oftmals wird ein Angriff mit mehreren Techniken durchgeführt wie beispielsweise Verschlüsselung von Daten, Datendiebstahl, DoS-Attacken (Denial-Of-Service) und auch Belästigungen. Die Angreifer sind dabei sehr hartnäckig und geben nicht so schnell auf. Teilweise werden bei Betrugsmasche von falschen Rechnungen bis zu 10 Mahnungen nachgereicht. Man versucht auf diese Art die Unternehmen einzuschüchtern oder hat die Hoffnung, dass neue Mitarbeiter in der Finanzabteilung, die angeblich offene Rechnung bezahlen. Viele kombinierte Angriffe führen bei den Angreifern immer häufiger zum Ziel. Die bisher größte bestätigte Lösegeldzahlung sind 11 Millionen US-Dollar von dem Fleischkonezern JBS S.A aus Brasilien, der nach Angriffen im Juni zeitweise sogar fünf Fabriken schließen musste. Auch IT-Unternehmen selbst betroffen Auch IT-Unternehmen sind hiervon betroffen und müssen sich gegen die Gefahren der Cyberkriminellen schützen. So traf es vor kurzem den Hardware Hersteller Gigabyte. Hinter dem Angriff vermutet man eine Gruppe die unter dem Namen RansomEXX agiert. Die Angreifer sollen Daten verschlüsselt und auch entwendet haben. Die Support-Seite des Herstellers war davon ebenfalls betroffen und zeitweise nicht mehr erreichbar. Für alle Unternehmen ist es wichtig, ein kombiniertes Sicherheitskonzept zu erstellen um die eigenen Infrastrukturen zu schützen. Dabei kommen viele Tools und Anwendungen zum Einsatz die Ihr Unternehmen vor Angriffen aus dem Cyberspace schützen können. Möchten Sie mehr erfahren? Gerne unterstützen wir Sie bei der Ausarbeitung eines Sicherheitskonzeptes für Ihr Unternehmen. Sprechen Sie uns an.

Exchange Server Lücken jetzt patchen
Bedrohung

Exchange Server Lücken jetzt patchen

Exchange Server Lücken jetzt patchen – Angreifer suchen aktiv nach neuer Lücke. Der Exchange Server ist immer wieder ein beliebtes Ziel von Cyberkriminellen. Die meisten Angriffe werden per E-Mails durchgeführt und dabei werden auch oft die E-Mail Server als Angriffsziel ausgewählt. Microsoft Exchange Server bietet hier ein beliebtes Ziel, da der Marktführer Microsoft und das Produkt Exchange extrem oft zum Einsatz kommt. Exchange Server Lücken jetzt patchen Auf der Black Hat 2021 Konferenz in der vergangenen Woche stellt der Sicherheitsforscher Orange Tsai neue Angriffe auf das System Exchange Server vor. Nur wenige Tage nach der Vorstellung auf der Konferenz konnten Honeypot-Betreiber feststellen, dass genau diese Lücken gesucht werden um diese ausnutzen zu können. Administratoren sollten also schnell die aktuellen Exchange Patches einspielen. Microsoft stellt die Patches bereits seit April bereit. Demnach hat Microsoft schon vorher von diesen Sicherheitslücken erfahren. Gleich drei CVE-Nummern sind für die Problematik beschrieben worden. (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) Unter dem Namen ProxyShell wurden die Angriffe bereits dokumentiert. In den KBs KB5001779 und KB5003435 macht Microsoft auf die Sicherheitslücken aufmerksam bzw. stellt die Patches bereit. Was ist das Problem? Mehrere Probleme musste Orange Tsai kombinieren um als unauthentifizierter Benutzer von außen mehr Rechte zu erhalten. Die Schwachstelle liegt im Client Access Service (CAS) von Exchange. Hier wickeln verschiedenen Protokolle den eingehenden Verkehr ab. Das Problem liegt in der Autodiscover-Funktion. Die Funktion soll dem Benutzer helfen bzw. es ihm ersparen Serveradresse, Port und weitere Details einzutippen. Genau hier wurde die Schwachstelle gefunden und ausgenutzt. Hacker informieren sich Der Sicherheitsforscher Kevin Beaumont beobachtet bereits kurze Zeit nach der Konferenz und Veröffentlichung der Sicherheitslücken, Einträge im Log, in denen genau diese Lücke ausspioniert wurde. Damit ist relativ wahrscheinlich das Angreifer, Hacker sich gut informieren und auch die IT-Sicherheitskonferenzen verfolgen. Sicherheitsforscher Orange Tsai kann nicht auf eine Belohnung aus dem Microsofts Bug-Bounty-Programm hoffen. Der Exchange Server ist von dem Programm ausgeschlossen. Keine Lust mehr auf ständige Updates des eigenen Exchange Servers? Sehen Sie sich jetzt die Vorteile von Microsoft 365 an.

Nach oben scrollen