Suche
Close this search box.

Kategorie: Kaspersky Labs

Kaspersky Security for Windows 10.1.2
Kaspersky Labs

Kaspersky Security 10.1.2 für Windows Server verfügbar

Die Kaufversion von Kaspersky Security 10.1.2 für Windows Server wurde am 7. Mai 2019 veröffentlicht. Die vollständige Versionsnummer ist 10.1.2.996. Kaspersky Security 10.1.2 für Windows Server (früher „Kaspersky Anti-Virus für Windows Server Enterprise Edition“) ist eine Lösung zum Schutz von Unternehmensservern und Datenspeichersystemen. Der Schutzbereich und die Verfügbarkeit von Funktionskomponenten hängen vom Lizenztyp ab. Download KSWS 10.1.2 Download Plugin für KSC Kaspersky Security for Windows Server 10.1.2 Erfahren Sie mehr über die neue Version von Kaspersky Security 10.1.2 für Windows Server: Neuerungen Die Programmtreiber wurden optimiert, damit sie mit Updates für das Betriebssystem Windows Server 2019 kompatibel sind. Das Programm blendet teilweise einen hinzugefügten Aktivierungscode in der Benutzeroberfläche aus. Die Benutzeroberfläche der lokalen MMC-Konsole und des Plug-ins zur Programmverwaltung über das Kaspersky Security Center wurde verbessert. Die Funktion des Programms beim Abfangen einer Dateioperation, die von einem vertrauenswürdigen Prozess ausgeführt wurde, wurde optimiert. Solche Dateioperationen werden schneller verarbeitet. In die Einstellungen der Aufgabe „Schutz vor Verschlüsselung“ wurden vordefinierte Ausnahmen für die Dateierweiterungen, für die das Programm häufig einen Fehlalarm meldet, hinzugefügt: STT, SIG, EXE, SLDPRT. Die Version enthält Fehlerkorrekturen aus folgenden kritischen Patches für 10.1.1: CORE3, CORE4, CORE5. Bekannte Einschränkungen Schutz für Datenverkehr Wir empfehlen es nicht, den VPN-Datenverkehr in den Schutzbereich einzuschließen (Port 1723). Der Browser Opera Presto Engine informiert über versuchte Verbindungen mithilfe eines nicht vertrauenswürdigen Zertifikats, wenn Kaspersky Security für Windows Server zum Schutz des HTTPS-Datenverkehrs verwendet wird. Der Datenverkehr von IP-Adressen im IPv6-Format wird nicht untersucht. Die Komponente zum Schutz des Datenverkehrs ist für Betriebssysteme Microsoft Windows Server 2008 R2 und höher verfügbar. Das Programm verarbeitet nur den TCP-Datenverkehr. Wir empfehlen, den Administrationsagenten vor der Bereitstellung der Komponente zum Schutz des Datenverkehrs zu installieren, weil der Administrationsagent des Administrationsservers die Komponente zum Schutz des Datenverkehrs beim Herstellen einer Verbindung mit dem Verwaltungs-Plug-in erkennt. Wenn der Schutz des Datenverkehrs installiert und die Aufgabe zum Schutz des Datenverkehrs vor der Installation des Administrationsagenten gestartet wurde, starten Sie die Aufgabe zum Schutz des Datenverkehrs neu. Untersuchung auf Befehl, Schutz vor bedrohlichen Dateien, Schutz vor Verschlüsselung und Schutz des Prozessarbeitsspeichers Für über MTP angeschlossenen Geräten kann bei der Verbindung keine Virensuche durchgeführt werden. Die Untersuchung von Archivobjekten ist ohne die Untersuchung von SFX-Archiven nicht verfügbar. Wenn die Untersuchung von Archiven in den Schutzeinstellungen von Kaspersky Security für Windows Server aktiviert ist, untersucht die Anwendung automatisch Objekte in Archiven und SFX-Archiven. Die Untersuchung von SFX-Archiven ohne Untersuchung von Archiven ist möglich. Ausnahmen aus der vertrauenswürdigen Zone werden während der Untersuchung in den Containern von Windows Server 2016 nicht übernommen. Die Technologie „iSwift“ wird während der Untersuchung in den Containern von Windows Server 2016 nicht verwendet. Die Komponente Exploit-Prävention schützt keine Programme, die über den Microsoft Store installiert wurden, in den Betriebssystemen Windows Server 2012 und Windows Server 2012 R2. Wenn das Verfahren zur DEP-Mitigation zusammen mit dem deaktivierten System-DEP verwendet wird, kann Funktionsfehler der geschützten Prozesse und des gesamten Systems verursachen. Wenn Probleme beim Verwenden das Verfahrens zur DEP-Mitigation für den Schutz von Prozessen aufgetreten sind, kontaktieren Sie den technischen Support von Kaspersky Lab. Computer-Kontrolle und Diagnose Die Aufgabe „Protokollanalyse“ findet potenzielle Muster des Kerberos-Angriffs (MS14-068) nur auf Computern mit den Betriebssystemen Windows Server 2008 und höher in der Rolle des Domain Controller mit installierten Updates. Die Aufgabe „Gerätekontrolle“ blockiert alle Verbindungen eines MTP-Geräts im aktiven Modus. Firewall-Verwaltung Die Verwendung von IP-Adressen im Format IPv6 beim Festlegen eines Gültigkeitsbereichs der Regeln, der aus nur einer Adresse besteht, ist nicht verfügbar. Beim Start der Aufgabe „Firewall-Verwaltung“ in den Einstellungen der Betriebssystem-Firewall werden festgelegte Regeln der folgenden Typen automatisch gelöscht: verbietende Regeln Regeln zur Kontrolle des ausgehenden Datenverkehrs. Die voreingestellten Regeln der Richtlinie der Firewall-Verwaltung ermöglichen die Ausführung grundlegender Szenarien der Interaktion lokaler Computer mit dem Administrationsserver. Um die Funktionalität des Kaspersky Security Center vollständig nutzen zu können, geben Sie Regeln zum Öffnen von Ports manuell an. Detaillierte Informationen über Portnummern, Protokolle und ihre Funktionen finden Sie im Artikel. Das Programm überwacht Änderungen der Regeln und Regelgruppen der Windows-Firewall während der minutenweisen Abfrage der Aufgabe zur Firewall-Verwaltung nicht, wenn diese Regeln und Gruppen den Aufgabeneinstellungen bei der Programminstallation hinzugefügt wurden. Um den Status und das Vorhandensein solcher Regeln zu aktualisieren, starten Sie die Aufgabe zur Firewall-Verwaltung neu. Für Microsoft Windows Server 2008 und höher: Vor der Installation der Komponente „Firewall-Verwaltung“ muss die Windows-Firewall gestartet werden (standardmäßig aktiviert). Für das Betriebssystem Microsoft Windows Server 2003: Damit die Komponente zur Firewall-Verwaltung ordnungsgemäß ausgeführt wird, starten Sie den Dienst SharedAccess neu. Der Dienst wird standardmäßig gestoppt und kann nur Administratorrechten gestartet werden. Wenn die Aufgabe zur Firewall-Verwaltung gestartet wird, während der Dienst SharedAccess nicht ausgeführt wird, zeigt das Programm einen inkorrekten Status der Aufgabe an: Die Aufgabe ist aktiv und wird ausgeführt, die Windows Firewall ist jedoch nicht gestartet und die Netzwerkregeln werden nicht angewendet. Installation Während der Installation des Programms wird eine Warnung über einen zu langen Pfad angezeigt, wenn der vollständige Pfad des Installationsordners von Kaspersky Security für Windows Server mehr als 150 Zeichen enthält. Die Warnung hat keine Auswirkung auf den Installationsvorgang. Zur Installation der Komponente zur SNMP-Unterstützung muss der SNMP-Dienst auf dem geschützten Server installiert sein. Zur Installation der Komponente „Unterstützung des SNMP-Protokolls“ muss der SNMP-Dienst, sofern er gestartet wurde, neu gestartet werden. Die Installation der Administrations-Tools für Kaspersky Security für Windows Server durch die Gruppenrichtlinien für Microsoft Active Directory ist nicht möglich. Wenn Sie das Programm auf Computern installieren, auf denen nicht mehr unterstützte Betriebssysteme laufen, für die keine regelmäßigen Updates empfangen werden können, überprüfen Sie, ob die folgenden Stammzertifikate installiert sind: DigiCert Assured ID Root CA DigiCert_High_Assurance_EV_Root_CA DigiCertAssuredIDRootCA Wenn diese Zertifikate fehlen, wird das Programm möglicherweise nicht ordnungsgemäß ausgeführt. Die Anleitung zum Herunterladen und Installieren aktueller Zertifikate ist im Artikel. Lizenzverwaltung Das Programm kann nicht mithilfe eines Schlüssels aktiviert werden, wenn sich die Schlüsseldatei auf einem Laufwerk befindet, das mithilfe des Befehls SUBST erstellt wurde, oder ein Netzwerkpfad für die Schlüsseldatei angegeben wurde. Updates Nach der Installation von kritischen Updates für Module von Kaspersky Security für Windows Server wird das Symbol für Kaspersky Security für Windows Server standardmäßig ausgeblendet. Benutzeroberfläche In der Konsole von Kaspersky Security für Windows Server ist bei Verwendung eines Filters in den Knoten Quarantäne, Backup, Systemaudit-Bericht und Berichte über Aufgabenausführung auf die Groß- und Kleinschreibung zu achten. Bei der Anpassung der Schutz- und Untersuchungsbereiche über die Konsole für Kaspersky Security darf nur eine einzige Maske verwendet werden, und die Maske muss am Ende des Dateipfads stehen. Beispiele für korrekte Angabe von Masken: „C:TempTemp*“ „C:TempTemp???.doc“ „C:TempTemp*.doc“ Die Beschränkung erstreckt sich nicht auf die Einstellungen der vertrauenswürdigen Zone. Integration ins Kaspersky Security Center Der Administrationsserver prüft die Richtigkeit der Datenbanken-Updates des Programms bei ihrem Erhalt und vor ihrer Verteilung auf die Computer im Netzwerk. Auf der Seite des Administrationsservers wird keine Überprüfung der Richtigkeit der erhaltenen Updates der Programm-Module ausgeführt. Bei der Arbeit mit Komponenten, die mithilfe von Netzwerklisten Daten, die sich dynamisch ändern, ans Kaspersky Security Center übermitteln (Quarantäne, Backup), müssen Sie sicherstellen, dass in den Einstellungen der Interaktion mit dem Administrationsserver die entsprechenden Kontrollkästchen aktiviert sind. Andere Funktionen Vom Programm werden CaseSensitive-Verzeichnisse teilweise unterstützt. Es sind Szenarien bekannt, in denen CaseSensitive-Verzeichnisse nicht vom Programm unterstützt werden: in den Einstellungen für Schutz- und Untersuchungsaufgaben festgelegte Ausnahmen Ausnahmen der vertrauenswürdigen Zone Regeln der Kontrolle des Programmstarts: Bei der Verarbeitung von Programmstarts in dem vom Pfad angewendeten Regelbereich wandelt das Programm Pfadwerte in Großschreibung um. Dadurch wird der Geltungsbereich sowohl der erlaubenden als auch der verbietenden Regeln für die CaseSensitive-Verzeichnisse erweitert. Um das Risiko eines Starts von verbotenen Programmen aufgrund der Erweiterung des Geltungsbereichs von erlaubenden Regeln zu senken, empfehlen wir, erlaubende Regeln mit strengen Kriterien festzulegen (Prüfsumme oder digitales Zertifikat). Bei Verwendung des Befehlszeilen-Tools

Kaspersky Labs

Wenn Ihr Unternehmen zum Spam-Verteiler wird

Vor nicht allzu langer Zeit kam ein großes brasilianisches Unternehmen auf der Suche nach Hilfe bei der Analyse eines Vorfalls auf uns zu. Das Kernproblem in diesem Fall war, dass Cyberkriminelle damit begonnen hatten, Spam über die E-Mail-Adressen der Mitarbeiter zu verteilen. Das heißt, sie gaben sich nicht – wie in den meisten Fällen – als legitime Absender aus, sondern verschickten die Spam-Nachrichten direkt über den Mailserver des Unternehmens. Nach einer eingehenden Untersuchung konnten wir den genauen Modus Operandi der Angreifer ermitteln. Das Angriffsschema Zunächst schickten die Betrüger Phishing-E-Mails an die Mitarbeiter des Unternehmens, in denen sie den Empfängern die bevorstehende Löschung bzw. Sperrung ihrer Mailbox mitteilten und sie dazu aufforderten, einen Link zur Aktualisierung ihrer Kontodaten zu klicken, um dies zu verhindern. Dieser Link führte die Mitarbeiter zu einem Phishing-Formular, das sie zu der Eingabe ihrer System-Anmeldeinformationen aufforderte. Übersetzung: Sehr geehrter Nutzer, Ihre Mailbox wird in Kürze gelöscht, weil sich zu viele ungelesene Nachrichten in Ihrem Postfach befinden. Um dies zu vermeiden, klicken Sie hier, um Ihr Konto zu aktualisieren. Wir entschuldigen uns für die Unannehmlichkeiten. Der Systemadministrator. Die Opfer füllten das Formular guten Gewissens aus, wodurch sie den Betrügern vollen Zugriff auf ihre E-Mail-Konten gewährten. Die Kriminellen begannen dann, Spam-Nachrichten über die kompromittierten Konten zu verteilen, ohne die Notwendigkeit, die Header der Nachrichten zu ändern, da diese bereits völlig legitim waren. Da die Spam-Nachrichten von seriösen Servern stammten, passierten sie auch jegliche Filter ohne Probleme. Nachdem die Cyberkriminellen die volle Kontrolle über die Postfächer erlangt hatten, gingen sie zur nächsten Mailing-Welle über. In diesem Fall verschickten die Betrüger sogenannte „Nigeria Scam„-Nachrichten in verschiedenen Sprachen. Beispiel einer „Nigerian Scam“-Nachricht Unsere Vorfallsanalyse ergab, dass das brasilianische Unternehmen nicht das einzige Opfer war; denn dieselbe Nachricht wurde auch in großen Mengen von den Adressen verschiedener staatlicher und gemeinnütziger Organisationen verschickt, wodurch den Nachrichten zusätzliche Authentizität verliehen wurde. Verheerende Konsequenzen Der Missbrauch Ihrer Unternehmensserver zum Versenden betrügerischer Angebote macht keinen besonders guten Eindruck – weder auf Kunden noch auf Geschäftspartner. Gehen die Angreifer jedoch einen Schritt weiter und entscheiden sich für die Verteilung von Malware über Ihre Server, könnte das den Ruf Ihres Unternehmens nachhaltig schädigen. Doch die Folgen eines solchen Vorfalls können noch deutlich schlimmere Ausmaße annehmen; denn häufig stimmen die Anmeldeinformationen der E-Mail-Postfächer von Angestellten mit ihren Domain-Benutzernamen und -Passwörtern überein. Dies bedeutet, dass gestohlene Anmeldeinformationen auch für den Zugriff auf andere Unternehmensdienste verwendet werden können. Durch den Zugriff auf das Postfach des Mitarbeiters eines renommierten Unternehmens können Cyberkriminelle darüber hinaus versuchen, einen zielgerichteten Angriff auf Kollegen, Geschäftspartner oder Regierungsbeamte zu unternehmen. Zwar erfordern derartige Angriffe erstklassige Social-Engineering-Skills, um das Opfer dazu zu bewegen, alle erforderlichen Handlungen auch tatsächlich durchzuführen, aber der Schaden, den ein solcher Angriff dann verursachen kann, kann unvorhersehbar hoch sein. Die in diesem Beitrag beschriebene Art von Betrug wird als BEC (Business E-Mail Compromise) bezeichnet und kann betroffenen Unternehmen ziemliche Kopfschmerzen bereiten. Im Wesentlichen versucht der Fake-Absender hierbei per Korrespondenz, Zugriff auf Kontodaten, Finanzdokumente und andere vertrauliche Informationen zu erhalten. Unglücklicherweise sind BEC-Nachrichten sehr schwer zu erkennen, da sie von einer legitimen Adresse stammen. Schutz für Unternehmen und Mitarbeiter Um den Ruf Ihres Unternehmens zu schützen und derartige Vorfälle zu vermeiden, empfehlen wir Ihnen die Installation einer zuverlässigen Schutzlösung, die Phishingversuche – sowohl auf Mailserver als auch auf Workstations – problemlos erkennt. Darüber hinaus ist das regelmäßige Update von heuristischen Antispam-Datenbanken und Antiphishing-Komponenten ein absolutes Muss. Quelle: https://www.kaspersky.de/blog/brazil-spam-mail-takeover/19150/Author: Maria Vergelis  

Kaspersky Labs

Quellcode-Leak der berüchtigten Carbanak-Malware

Medienberichten zufolge haben Sicherheitsforscher kürzlich den Quellcode der berüchtigten Malware Carbanak auf dem kostenlosen Open-Source-Portal VirusTotal entdeckt. Carbanak gilt derzeit als die bislang erfolgreichste finanzielle Cyberbedrohung, verantwortlich für den Diebstahl von 1 Milliarde Euro bei Finanzinstituten weltweit. Unsere Experten von Kaspersky Lab entdeckten und analysierten Carbanak erstmals im Jahr 2014. Im Fokus stand zu diesem Zeitpunkt die Untersuchung zahlreicher miteinander in Verbindung stehender Vorfälle, bei denen Geld von diversen Bankautomaten gestohlen worden war – hierbei handelte es sich um eine internationale, groß angelegte Kampagne, die darauf abzielte, möglichst viel Geld von verschiedenen Banken auf der ganzen Welt zu entwenden. Zu Beginn untersuchten unsere Sicherheitsexperten lediglich Vorfälle in Osteuropa, stießen jedoch in kürzester Zeit auch auf Opfer in den USA, Deutschland und China. Wie viele andere Angriffe begann auch diese Kampagne mit Spear Phishing. In diesem Fall waren es zielgerichtete, mit schädlichen Anhängen bewaffnete E-Mails, die eine Backdoor – basierend auf der Malware Carberp – installierten. Diese Backdoor gewährte den Angreifern Zugriff auf das gesamte Netzwerk der Zielorganisation und kompromittierte Computer, die ihnen so die Möglichkeit gaben, Geld zu entwenden. Die Kriminellen versuchten, über verschiedene Wege an ihre Beute zu gelangen: In einigen Fällen gaben sie den Automaten die direkte Remote-Anweisung, eine spezifische Geldsumme auszugeben, die dann von den sogenannten Money Mules abgehoben wurde. In anderen Fällen nutzten sie das SWIFT-Netzwerk, um Geld direkt auf ihre eigenen Konten zu überweisen. Bis zum Zeitpunkt der Entdeckung Carbanaks war keine der beiden Methoden massiv ausgenutzt worden, sodass die Größenordnung und die von Carbanak eingesetzten Technologien sowohl die Finanz- als auch die Cybersicherheitsbranche erschütterten. Was hält die Zukunft bereit? Seit Carbanaks Entdeckung sind unsere Experten auf mehrere Angriffe gestoßen (Silence ist einer davon), die ähnliche Taktiken und Verfahren verwendet haben und in diesem Zeitraum auch recht aktiv waren. Mit der Veröffentlichung des Carbanak-Quellcodes werden solche Vorfälle in Zukunft aber möglicherweise wesentlich häufiger auftreten. Unser Forscher, Sergey Golovanov, der diesen Fall bereits von Anfang an untersucht und mitverfolgt hat, äußert sich folgendermaßen zu dem Vorfall: „Die Tatsache, dass der Quellcode der berüchtigten Carbanak-Malware auf einer Open-Source-Website verfügbar war, ist ein schlechtes Zeichen. Tatsächlich wurde die Carbanak-Malware selbst zunächst auf dem Quellcode der Carberp-Malware aufgebaut, nachdem sie online veröffentlicht wurde. Wir haben allen Grund zu der Annahme, dass sich dieses Szenario nun wiederholen wird und wir uns in Zukunft mit gefährlichen Modifikationen von Carbanak konfrontiert sehen werden. Die gute Nachricht ist, dass sich die Cybersicherheitsbranche seit dem Carberp-Leck stark weiterentwickelt hat und den geänderten Code heute leicht erkennen kann. Wir fordern Unternehmen und Einzelpersonen auf, sich gegen diese und zukünftige Bedrohungen mit einer robusten Sicherheitslösung zu schützen.“ Quelle: Kaspersky Bloghttps://www.kaspersky.de/blog/carbanak-source-code-leaked/19117/Author: Kaspersky Team

Kaspersky Labs

Wenn USB-Geräte zur Cyber-Waffe werden

Für industrielle Steuerungssysteme sind USB-Geräte die Hauptquelle von Malware.“ Dieses Statement gab Luca Bongiorni von Bentley Systems während seines Vortrags auf dem #TheSAS2019. Die meisten Leute, die in irgendeiner Weise mit Sicherheit zu tun haben, kennen klassische Geschichten über Flash-Laufwerke, die irgendwem „versehentlich“ auf einem Parkplatz aus der Tasche gefallen sind, wahrscheinlich zu genüge. Aber in unserer Branche ist diese Geschichte einfach zu illustrativ, um sie nicht immer wieder zu erzählen. Bei einer anderen – realen – Story über USB-Flashlaufwerke war der Protagonist der Mitarbeiter einer Industrieanlage, der sich den Spielfilm La La Land während seiner Mittagspause auf einen USB-Stick lud. Und das war der Beginn einer Geschichte, die mit der Infektion des Air-Gap-Systems eines Kernkraftwerks endete; Eine Geschichte, die sich (wie so oft) in das Genre „vermeidbare Infektion kritischer Infrastrukturen“ einordnen lässt. Leider vergessen viele, dass USB-Geräte nicht ausschließlich auf Flashlaufwerke beschränkt sind. Human Interface Devices (HIDs) wie Tastaturen und Mäuse, Ladekabel für Smartphones und sogar Dinge wie Plasmabälle und Thermobecher können manipuliert werden, um industrielle Steuerungssysteme anzuvisieren. Eine kurze Geschichte existierender USB-Waffen Ungeachtet der Vergesslichkeit der Menschen, sind als Waffen eingesetzte USB-Geräte definitiv nichts Neues. Die ersten Geräte dieser Art wurden bereits im Jahr 2010 verzeichnet. Basierend auf einem kleinen Entwicklungsboard namens Teensy, ausgestattet mit einem USB-Anschluss, konnten sie als HIDs fungieren und beispielsweise Tastatureingaben an einen PC senden. Hacker stellten schnell fest, dass die Geräte zu Penetrationstestzwecken dienten, und entwickelten daraufhin eine ähnliche Version, die darauf ausgerichtet war, neue Nutzer zu erstellen, Backdoor-liefernde Programme auszuführen oder Geräte mit Malware zu infizieren. Die erste Version dieser Teensy-Modifikation war unter dem Namen PHUKD bekannt. Es folgte Kautilya, eine Variante, die mit den bekannteren Arduino-Boards kompatibel war. Danach kam Rubberducky – dank der Serie Mr. Robot der vielleicht bekannteste USB-Tastatur-Emulator, der auf den ersten Blick wie ein ganz gewöhnlicher USB-Stick erscheint. Bei Angriffen auf Geldautomatenwurde ein leistungsfähigeres Gerät namens Bash Bunny verwendet. Es dauerte nicht lange, bis der Erfinder von PHUKD auf eine neue Idee kam und eine trojanisierte Maus mit integriertem Pentesting-Board entwickelte, die nicht nur wie eine normale Maus funktionierte, sondern darüber hinaus auch alle PHUKD-Fähigkeiten besaß. Unter Social-Engineering-Gesichtspunkten ist die Verwendung echter HIDs für die Systempenetration möglicherweise noch einfacher als der Gebrauch eines USB-Sticks, da selbst Personen, die keinenfremden USB-Stick an ihren PC anschließen würden, normalerweise keine Bedenken bei Tastaturen oder Mäusen haben. Die zweite Generation der als Waffen eingesetzten USB-Geräte wurde in den Jahren 2014 und 2015 ins Leben gerufen; zu ihnen gehörten auch die berüchtigten BadUSB-basierten Geräte. Erwähnenswert sind auch TURNIPSCHOOL und Cottonmouth, die angeblich von der US-amerikanischen National Security Agency (NSA) entwickelt worden waren: bei ihnen handelte es sich um Geräte, die so klein waren, dass sie in ein USB-Kabel integriert werden konnten, um Daten von Computern (einschließlich Computer ohne Netzwerkverbindung) abzufangen. Aktueller Stand schädlicher USB-Geräte Die dritte Generation der USB-Pentesting-Tools bringt diese auf ein völlig neues Niveau. Der sogenannte WHID Injector ist beispielsweise ein solches Tool; hierbei handelt es sich im Grunde genommen um einen zweiten Rubberducky mit WLAN-Verbindung, die es Hackern erlaubt, das Tool fernzusteuern, was ihnen mehr Flexibilität und die Möglichkeit, mit verschiedenen Betriebssystemen zu arbeiten, bietet. Ein weiteres Tool der dritten Generation ist P4wnP1, das auf Raspberry Pi basiert und, abgesehen von einigen zusätzlichen Features, Bash Bunny sehr ähnlich ist. Und natürlich sind sowohl WHID Injector als auch Bash Bunny klein genug, um in eine Tastatur oder Maus eingebettet zu werden. Das folgende Video zeigt einen Laptop, der mit einer trojanisierten Tastatur verbunden ist, die es einem Remote-Angreifer erlaubt, beliebige Befehle und Apps auszuführen.   Luca Bongiorni@LucaBongiorni   11710:36 – 14. Feb. 2018  Kleine USB-Geräte wie die oben genannten können sogar so programmiert werden, dass sie wie ein bestimmtes HID-Modell wirken, um so spezifische Sicherheitsmaßnahmen von Unternehmen zu umgehen, die ausschließlich Mäuse und Tastaturen bestimmter Hersteller akzeptieren. Tools wie WHID Injector können zudem mit einem Mikrofon ausgestattet werden, um Personen einer bestimmten Einrichtung auszuspionieren. Und was noch viel schlimmer ist: ein einziges dieser Geräte reicht aus, um das gesamte Netzwerk zu gefährden, wenn dieses nicht angemessen segmentiert ist. So schützen Sie Systeme vor schädlichen USB-Geräten Trojanisierte Mäuse und Tastaturen, ebenso wie manipulierte Kabel, sind ernstzunehmende Bedrohungen, mit denen selbst Air-Gap-Systeme gefährdet werden können. Heutzutage können die erforderlichen Tools für derartige Angriffe kostengünstig erworben und programmiert werden, ohne die Notwendigkeit über ausgereifte Programmierkenntnisse zu verfügen; behalten Sie solche Bedrohungen also immer im Hinterkopf.   Um kritische Infrastrukturen vor derartigen Bedrohungen zu schützen, ist der Einsatz eines mehrschichtigen Ansatzes empfehlenswert: Gewährleisten Sie zunächst die physische Sicherheit Ihres Unternehmens, sodass unautorisiertes Personal keine Chance hat, dubiose USB-Geräte an industrielle Steuerungssysteme anschließen kann. Blockieren Sie zudem ungenutzte USB-Anschlüsse auf solchen Systemen und verhindern Sie, dass bereits installierte HIDs entfernt werden. Schulen Sie Ihre Mitarbeiter angemessen, damit sie sich den verschiedenen Arten von Bedrohungen bewusst sind; dazu gehören auch als Waffen eingesetzte USB-Geräte. Segmentieren Sie Netzwerke ordnungsgemäß und verwalten Sie Zugriffsrechte, um zu verhindern, dass Angreifer auf Systeme zugreifen können, die zur Steuerung kritischer Infrastrukturen verwendet werden. Schützen Sie jedes System mit Sicherheitslösungen, die dazu in der Lage sind jegliche Bedrohugsarten zu erkennen. Die Technologie unserer Lösung Kaspersky Endpoint Securityautorisiert keine HIDs, es sei denn, der Nutzer gibt über ein bereits aurotisiertes HID einen spezifischen Code ein. Quelle: Kaspersky Blog https://www.kaspersky.de/blog/weaponized-usb-devices/19067/Author: Alex Perekalin

Kaspersky Labs

Mögliche Probleme mit Plug-ins von Drittanbietern

Online-Shops, Informationsportale und andere Ressourcen basieren häufig auf Plattformen, die Entwicklern eine Reihe gebrauchsfertiger Tools zur Verfügung stellen. Unser Blog funktioniert ähnlich. Funktionen und Features werden in der Regel in Form von Plug-ins zur Verfügung gestellt, die dann von Nutzern bei Bedarf und nach Belieben hinzugefügt werden können. Einerseits ist dies ein durchaus praktisches System, das verhindert, dass Entwickler das Rad sprichwörtlich jedes Mal neu erfinden müssen, wenn sie ein bestimmtes Tool oder eine bestimmte Funktion benötigen. Andererseits bedeuten mehr Drittanbieter-Entwicklungen auf Ihrer Website gleichzeitig auch eine größere Gefahr, dass etwas schief gehen könnte. Mögliche Probleme Bei einem Plug-in handelt es sich um ein kleines Software-Modul, das die Funktionalität einer Website entweder ergänzt oder verbessert. Plug-ins gibt es wie Sand am Meer; einige von ihnen zeigen die Widgets sozialer Netzwerke an, während andere Module Statistiken erfassen und Umfragen oder ähnlichen Content erstellen – die Möglichkeiten sind hier wirklich grenzenlos. Wenn Sie ein Plug-in mit der Engine Ihrer Website verknüpfen, wird dieses automatisch ausgeführt und erfordert nur dann Ihre Aufmerksamkeit, wenn ein Betriebsfehler auftritt – bzw. dann, wenn jemand den Fehler bemerkt. Und darin lauert die Gefahr solcher Module: Wenn Entwickler Plug-ins nicht mehr länger unterstützen oder weiterverkaufen, kriegen Nutzer dies oftmals gar nicht mit. Plug-ins mit Leak-Risiko Plug-ins, die seit Jahren nicht aktualisiert wurden, enthalten möglicherweise nicht gepatchte Schwachstellen, die ausgenutzt werden können, um die vollständige Kontrolle über eine Website zu übernehmen oder die Seite mit einem Keylogger, Krypto-Miner oder sonstiger Schadsoftware zu bestücken. Selbst wenn Updates zur Verfügung stehen, schenken viele Websitebetreiber diesen nur wenig bis gar keine Beachtung, und gefährdete Module können auch noch Jahre, nachdem ihr Support eingestellt wurde, aktiv bleiben. Selbst wenn Plug-in-Entwickler mögliche Schwachstellen patchen, kann es sein, dass die Patches aus irgendeinem Grund nicht automatisch installiert werden. In einigen Fällen vergessen Modul-Autoren beispielsweise ganz einfach, die Versionsnummer im Update zu ändern. Kunden, die sich auf automatische Updates verlassen, anstatt manuell nach verfügbaren Aktualisierungen zu suchen, bleiben dann auf veralteten Plug-ins sitzen. Plug-in-Ersatz Einige Website-Content-Management-Plattformen blockieren den Download von Modulen, die nicht länger unterstützt werden, automatisch. Dennoch können Entwickler und Plattformen keine anfälligen Plug-ins von den Webseiten der Nutzer löschen; denn das könnte zu Störungen oder schlimmeren Schäden oder Beeinträchtigungen führen. Hinzu kommt, dass veraltete Plug-ins möglicherweise nicht auf der Plattform selbst, sondern auf öffentlich verfügbaren Diensten gespeichert werden. Löscht der Entwickler ein Modul oder stellt dessen Support ein, greift Ihre Website trotzdem weiterhin auf den jeweiligen Container zu, in dem das Plug-in einst gespeichert wurde. Cyberkriminelle können diesen Container ganz einfach klonen oder zu ihren Gunsten nutzen und die Ressource dazu zwingen, Malware anstelle des Plug-ins herunterzuladen. Genau das ist mit dem Tweet-Zähler „New Share Counts“ passiert, der im Cloud-Speicher Amazon S3 gehostet wurde. Nachdem der Support des fraglichen Plug-ins eingestellt wurde, veröffentlichte der Entwickler eine Nachricht diesbezüglich auf der dazugehörigen Website. Das Problem? Mehr als 800 Kunden hatten die Message schlichtweg nicht gelesen. Kurze Zeit später schloss der Plug-in-Autor den in Amazon S3 gespeicherten Container und Cyberkriminelle nutzten die Gunst der Stunde. Sie erstellten einen Speicher mit demselben Namen und platzierten darin ein bösartiges Skript. Webseiten, die das Plug-in weiterhin verwendeten, fingen an, den neuen Code zu laden, der Nutzer direkt zu einer Phishing-Seite umleitete, die, anstelle des Tweet-Zählers, eine nette Prämie für die Teilnahme an einer Umfrage versprach. Wenn Plug-ins den Besitzer wechseln Anstatt ihre Kreationen einfach aufzugeben, entscheiden sich einige Entwickler dazu, diese lieber zu verkaufen – und nicht alle sind besonders wählerisch, wenn es um einen potenziellen Käufer geht. Das bedeutet, dass auch Cyberkriminelle ein Modul im Handumdrehen legal erwerben können. In solchen Fällen kann das nächste Update möglicherweise Malware auf Ihrer Website bereitstellen. Derartige Plug-ins zu entdecken ist leider keine leichte Aufgabe und in den meisten Fällen tatsächlich eine Frage des Zufalls. Behalten Sie die Plug-ins auf Ihrer Website im Auge Wie Sie sehen, gibt es zahlreiche Möglichkeiten eine Website über die darauf installierten Plug-ins zu infizieren. Aus diesem Grund empfehlen wir Ihnen, die Sicherheit der Plug-ins auf Ihrer Website stets im Auge zu behalten. Erstellen Sie eine Liste aller Plug-ins, die auf Ihren Ressourcen verwendet werden und überprüfen und aktualisieren Sie diese regelmäßig. Lesen Sie die Entwicklerhinweise der von Ihnen verwendeten Drittanbieter-Software und der Websites, über die sie verbreitet wird. Aktualisieren Sie Plug-ins regelmäßig. Wenn sie nicht länger unterstützt werden, sollten Sie diese so schnell wie möglich ersetzen oder entfernen. Wenn eine Unternehmenswebsite nicht länger benötigt oder verwendet wird, sollten Sie nicht vergessen, alle Inhalte – inklusive Plug-ins – zu löschen. Es ist lediglich eine Frage der Zeit, bis sich Schwachstellen einschleichen, die Cyberkriminelle ausnutzen könnten, um Ihr Unternehmen zu kompromittieren. Quelle: Kaspersky Bloghttps://www.kaspersky.de/blog/dangerous-plugins/18959/Author: Sergey Golubev

Kaspersky Labs

Schlüssel-Leaks auf GitHub & wie sie verhindert werden können

Vor kurzem haben Forscher der North Carolina State University mehr als 100.000 Projekte auf GitHub, die Token, kryptographische Schlüssel und andere vertrauliche Daten enthielten, gefunden, die in offener Form gespeichert worden waren. Insgesamt konnten mehr als eine halbe Million dieser Objekte, von denen mehr als 200.000 einzigartig sind, in der Public Domain gefunden werden. Die betroffenen Token gehörten zu großen Unternehmen wie Google, Amazon MWS, Twitter, Facebook, MailChimp, MailGun, Stripe, Twilio, Square, Braintree und Picatic. GitHub ist eine bekannte und beliebte Ressource im Bereich der kooperativen Softwareentwicklung. Die Plattform wird verwendet, um Code in Repositories mit offenem oder eingeschränktem Zugriff zu speichern, mit Kollegen zu teilen, sie in Programmtests einzubeziehen oder gebrauchsfertige Open-Source-Entwicklungen zu verwenden. Der Onlinedienst vereinfacht und beschleunigt die Erstellung von Apps und Diensten erheblich, weshalb er vor allem bei Programmierern besonders beliebt ist. Unternehmen, die ihre Software basierend auf Open-Source-Modulen erstellen, verwenden GitHub aktiv und auch Firmen, die Wert auf Transparenz legen, greifen häufig auf die Plattform zurück. Trotzdem ist immer Vorsicht geboten, wenn Code auf GitHub hochgeladen wird – ein gut gemeinter Rat, den Entwickler nicht immer befolgen. Welche Daten wurden veröffentlicht? Die Forscher hatten bei ihrer Untersuchung festgestellt, dass GitHub Blöcke mit frei verfügbarem Code hostet, der Token und Schlüssel enthält, die zur Autorisierung und somit zur Ausführung bestimmter Aktionen im Namen von Nutzern oder Apps ausreichen. Zu diesen unwissentlich freigegebenen Informationen gehörten: Anmeldeinformationen für Administratorkonten auf wichtigen Websites; API-Schlüssel oder -Token, die die Verwendung von In-App-API-Funktionen ermöglichen – eine Reihe von Tools, die der Interaktion zwischen verschiedenen Systemkomponenten, z. B. einem Programm und einer Website dienen; Kryptographische Schlüssel von denen viele zur Authentifizierung anstelle eines Passworts verwendet werden; die Kenntnis eines einzigen Schlüssels reicht aus, um Zugriff auf eine Reihe von Ressourcen zu erhalten, einschließlich privater Netzwerke. Deshalb stellen geleakte Token und kryptographische Schlüssel eine Gefahr dar Der nicht autorisierte Zugriff auf Ihre Konten stellt eine ernsthafte Bedrohung für Ihr Unternehmen dar. Warum, erklären wir Ihnen an den folgenden Beispielen. Eine Möglichkeit, Token zu missbrauchen, die auf GitHub veröffentlicht wurden, ist der Versand von E-Mail-Nachrichten oder die Veröffentlichungen von Beiträgen, die angeblich von dem Unternehmen stammen, das diese Token zur Verfügung gestellt hat. So könnte ein Eindringling beispielsweise Zugriff auf eine Unternehmens-Website oder ein Facebook- oder Twitter-Konto erhalten und dort einen schädlichen Post- oder Phishing-Link platzieren. Da offizielle Webseiten und Konten oftmals als zuverlässige Informationsquellen angesehen werden, ist die Wahrscheinlichkeit groß, dass viele Leser davon ausgehen, dass der Beitrag oder Link vollkommen sicher ist und keine Gefahren birgt. Darüber hinaus können Cyberkriminelle Ihre Abonnenten-Liste (wenn Sie beispielsweise MailChimp verwenden) zu Phishing-Zwecken verwenden. Wie im vorherigen Szenario hoffen die Kriminellen auch in diesem Fall darauf, dass die Nutzer einer E-Mail vertrauen, die von einem legitimen Unternehmen stammt. Derartige Angriffe können den Ruf eines Unternehmens enorm schädigen und aufgrund der verlorenen Kunden und vor allem der Zeit, die für die Wiederherstellung des normalen Unternehmensbetriebs benötigt wird, großen Schaden anrichten. Zudem können Cyberkriminelle die kostenpflichtigen Features eines Dienstes – wie  Amazon AWS – auf Ihre Kosten nutzen. So erhielt der Blogger Luke Chadwick beispielsweise eine Nachricht von Amazon, in der ihm mitgeteilt wurde, dass sein Schlüssel öffentlich auf GitHub verfügbar war. Eine Suche führte ihn zu einem alten Projekt, das er aus irgendeinem Grund vergessen hatte zu schließen. Als Chadwick sich in sein Amazon-Konto einloggte, staunte er nicht schlecht, als er sah, dass noch ganze 3.493 US-Dollar zur Zahlung ausstanden. Wie sich herausstellte, hatte ein unbefugter Nutzer den öffentlich verfügbaren Schlüssel in die Hände bekommen und angefangen unter Verwendung von Lukes Konto Kryptowährung zu schürfen. Letztendlich wurden dem Blogger die Kosten von Amazon erstattet. Denken Sie jedoch daran, dass die Geschichte nicht immer so glücklich ausgeht wie in diesem Fall. So landeten die privaten Daten auf GitHub Die Analyse der Forschungsergebnisse zeigt, dass nicht nur junge und unerfahrene Programmierer vertrauliche Informationen in der Public Domain vergessen. So wurden beispielsweise Daten, die den Zugriff auf die Website einer großen Regierungseinrichtung bereitstellten, von einem Entwickler mit 10-jähriger Erfolgsgeschichte auf GitHub veröffentlicht. Token und Schlüssel aller Art werden in GitHub-Repositories aus zahlreichen Gründen veröffentlicht. Um eine App in einen bestimmten Service zu integrieren sind möglicherweise Autorisierungstools erforderlich. Bei der Veröffentlichung von Test-Code verwenden einige Programmierer gültige Schlüssel anstelle von Debug-Schlüsseln und vergessen dann, diese erneut zu entfernen. Der Securosis-Analyst und CEO Rich Mogull veröffentlichte unter anderem eine App auf GitHub, die er für einen Konferenzbericht entwickelte. Alle Daten zur Autorisierung wurden lokal gespeichert. Um jedoch einzelne Codeblöcke debuggen zu können, erstellte er eine Testdatei mit mehreren Zugriffsschlüsseln. Nach dem Debuggen hatte Mogull einfach vergessen, die Schlüssel wieder aus dieser Datei zu entfernen. Sie wurden anschließend von Kriminellen gefunden, die Amazon-Dienste im Wert von 500 US-Dollar für sich verbuchen konnten, bevor der Vorfall bemerkt wurde. Möglicherweise sind sich viele Entwickler auch einfach nicht der Gefahr bewusst, die das Hinterlassen gültiger Token in GitHub-Repositories birgt. So schützen Sie Ihre Ressourcen Machen Sie Ihre Entwickler darauf aufmerksam, dass der Upload gültiger Token und Schlüssel zum Öffnen von Repositories schädlich und gefährlich sein kann; Programmierer sollten verstehen, dass sie vor dem Platzieren von Code sicherstellen müssen, dass dieser keine geheimen Daten enthält. Alle Produktmanager sollten die Projekte Ihres Unternehmens auf GitHub überprüfen, um herauszufinden, ob sie vertrauliche Informationen enthalten. Wenn dies der Fall ist, sollten diese umgehend gelöscht werden. Wenn Daten, die Ihr Unternehmen auf GitHub speichert, Passwörter enthalten, sollten Sie die jeweiligen Kennwörter umgehend ändern. Es gibt keine Möglichkeit herauszufinden, ob der Code bereits angesehen und gespeichert wurde. Author: Sergey GolubevQuelle: Kaspersky Blog https://www.kaspersky.de/blog/token-on-github/18892/

KSC11-Webkonsole
Kaspersky Labs

KSC11-Webkonsole komplett überarbeitet und Neu

KSC11-Webkonsole – Holla die Waldfee… Was ist denn hier passiert? Kaspersky hat im Zuge der neuen Kaspersky Security Center Version auch eine neue Web-Konsole veröffentlicht. „Kann man nun das Security Center über den Browser steuern?“ werden sich einige Benutzer fragen. Bisher war die Web-Konsole für Reporting Zwecke verwendbar aber nicht wirklich notwendig. In den vorherigen Releases kamen zwar stetig neue Verbesserungen hinzu, auch Management-Optionen kamen hinzu, dennoch konnte man das gesamte Security Center nicht über die Web-Konsole verwalten. Soll sich das nun endlich ändern? Schauen wir es uns an… Nach Installation der KSC11-Webkonsole die nach wie vor separat installiert werden muss, erhalten wir schon mal ein schickes Login… Das sieht doch schon mal viel versprechend aus… Melden wir uns an, sehen wir eine komplett überarbeitete Web-GUI die auf den ersten Blick aufgeräumt und übersichtlich wirkt. Uns begrüßt ein Tutorial welches uns eine kleine Tour durch die neue Web-Konsole geben möchten. Ok, wunderbar, also klicken wir uns durch das Tutorial und müssen feststellen: Kaspersky hat hier seine Hausaufgaben gemacht. Alles sehr übersichtlich und ordentlich angeordnet. Man könnte fast meinen, man kann wirklich das gesamte Security Center über die webbasierte GUI verwalten. Nach den 16 Punkten der Tour klicken wir noch ein wenig in der neuen Konsole herum und schauen uns um… UNSER FAZIT: Kaspersky hat es tatsächlich geschafft eine komplette Web-GUI für das KSC11 zu bauen. Man kann Richtlinien verwalten und erstellen sowie Aufgaben, die Gruppenstrukturen erstellen und verändern, Tags setzen, Softwareverteilung durchführen und vieles mehr. Ob man nun wirklich alle Funktionen des KSC11 in der Web-GUI einstellen kann, können wir in diesem kurzen Test noch nicht zu 100% sagen. Im Bezug auf Patch-Management, Mobile Geräte und auch Imageing scheinen Einstellungen bzw. bestimmte Punkte zu fehlen. Also kann man  das KSC11 als MMC-Konsole noch nicht ganz weglassen. Aber die Weboberfläche geht definitiv in die richtige Richtung und ist ein großer Schritt nach vorne. Hier ein paar Impressionen der neuen Kaspersky KSC11-Webkonsole Weitere Details zu Kaspersky Labs finden Sie hier www.kaspersky.de

kes11.1
Kaspersky Labs

Kaspersky Endpoint Security 11.1 veröffentlicht

Kaspersky hat mit dem neuen Kaspersky Security Center 11 nun auch eine aktuelle Endpoint Security veröffentlicht und in das KSC11 integriert. Die Version 11.1.0 ist der Nachfolger der Version 11.0.1.90. Neue Module haben den Weg in die Endpoint Security gefunden. So findet man in der Richtlinie im „Basisschutz“ nun eine neues Modul mit dem Namen „AMSI-Provider“.  Dieses Modul ermöglicht Microsoft Office Programmen und andere Drittanbieter-Software die Verwendung der Kaspersky Endpoint Security für Windows zur benutzerdefinierten Virensuche mithilfe von Windows Antimalware Scan Interface kurz AMSI. Mit Windows 10 führte Microsoft das neue Antimalware Scan Interface ein. Das AMSI soll den Anwender indirekt besser vor Schadsoftware schützen, und das selbst dann, wenn die Schadsoftware nur im RAM vorliegt und nicht etwa als scanbare Datei. Einstellungen in der Endpoint Security 11.1.0 Weitere Informationen zum Antimalware Scan Interface finden Sier hier: https://docs.microsoft.com/en-us/windows/desktop/amsi/antimalware-scan-interface-portal Unter dem Menüpunkt „Sicherheitskontrolle“ finden wir ebenfalls ein neues Modul: „Adaptive Kontrolle von Anomalien“. Was kann oder macht diese Komponente? Kurz gesagt, dieses neue Feature kann anomales Verhalten von Anwendungen erkennen und blockieren. Die „Adaptive Kontrolle von Anomalien“ bietet folgende Modi: Lernmodus. Die „Adaptive Kontrolle von Anomalien“ sendet beim Training Informationen über verdächtige Aktionen an Kaspersky Security Center. Auf Basis dieser Informationen kann der Administrator des lokales Netzwerks bestimmte verdächtige Aktionen zu den Ausnahmen hinzufügen. Nachdem der Zeitraum für den Lernmodus abgelaufen ist, blockiert Kaspersky Endpoint Security die verdächtigen Aktionen, die nicht zu den Ausnahmen hinzugefügt wurden.Die Dauer des Lernmodus wird von den Kaspersky-Lab-Experten vorgegeben. Ausführungsmodus. In diesem Modus ist die Reaktion der „Adaptiven Kontrolle von Anomalien“ von der ausgewählten Aktion abhängig. Eine verdächtige Aktivität wird entweder blockiert oder es erfolgt eine Benachrichtigung über das Auftreten einer solchen Aktivität. Die „Adaptive Kontrolle von Anomalien“ basiert auf erstellten Regeln. Wenn eine verdächtige Aktion erkannt wird, die unter eine der aktivierten Regeln für die „Adaptive Kontrolle von Anomalien“ fällt, ist die Reaktion von Kaspersky Endpoint Security von den Einstellungen dieser Regel abhängig. Die verdächtige Aktion wird entweder blockiert oder erlaubt, und Daten über die Auslösung von Regeln werden im Bericht gespeichert. Einstellungen der Richtlinie Die Neuerungen im Überblick Kaspersky Endpoint Security 11.1 für Windows bietet folgende Neuerungen und Verbesserungen: Unterstützung von Betriebssystemen: Hinzugefügt: Unterstützung des Betriebssystems Windows 10 April 2018 Update (Redstone 4, Version 1803) Hinzugefügt: Unterstützung der Migration des installierten Programms Kaspersky Endpoint Security 11.1 für Windows beim Upgrade des Betriebssystems Windows 7 / 8 / 8.1 auf Windows 10 Hinzugefügt: Unterstützung der Integration mit Windows Defender Security Center Hinzugefügt: Unterstützung von Antimalware Scan Interface (AMSI) Hinzugefügt: Unterstützung von Windows Subsystem for Linux (WSL) Unterstützung der Programmverwaltung über Kaspersky Security Center 11 Web Console Unterstützung des Datenbanken-Updates von Kaspersky-Lab-Servern mit dem HTTPS-Protokoll Hinzugefügt: neue Komponente „Adaptive Kontrolle von Anomalien“. Die Komponente überwacht und blockiert potentiell gefährliche Aktionen, die für den geschützten Computer nicht charakteristisch sind. Hinzugefügt: Untersuchung des HTTPS-Datenverkehrs Für die Komponente „Schutz vor Netzwerkangriffen“ wurde eine Funktionalität für den Schutz vor Angriffen hinzugefügt, die Schwachstellen im ARP-Protokoll ausnutzen, um die MAC-Adresse eines Geräts zu modifizieren. Im Installationspaket für die Remote-Verteilung des Programms wurde ein Indikator für das Schutzniveau hinzugefügt, der die Sicherheitsstufe anzeigt, wenn die zu installierenden Komponenten ausgewählt werden. Für die Komponente „Web-Kontrolle“ wurde die neue Kategorie „Kryptowährungen und Mining“ hinzugefügt. Programmkontrolle: Hinzugefügt: Option zur Erstellung und Bearbeitung einer Programmkategorie aus der Richtlinie von Kaspersky Endpoint Security 11.1 für Windows Die Berichte über blockierte Programmstarts wurden verbessert. Sonstige Verbesserungen: Der Verbrauch von Betriebssystemressourcen im Hintergrundmodus des Programms wurde reduziert. Der Mechanismus für Untersuchungsausnahmen, mit denen die Funktion kritischer Systemprozesse und -dienste gewährleistet wird, wurde optimiert. Bei der Installation ist es nicht mehr erforderlich, die vordefinierten Ausnahmen, die von den Kaspersky-Lab-Experten empfohlen werden, zu erstellen. In Kaspersky Security Center wurde ein Bericht über den Zustand der Programmkomponenten hinzugefügt. In den Einstellungen des Kennwortschutzes wurde eine Option hinzugefügt, mit der die Programmverwaltung für Domänenbenutzer und Gruppen erlaubt werden kann. Hinzugefügt: Option, mit der die Wiederherstellung von Objekten aus dem Backup durch ein Kennwort geschützt werden kann. Hinzugefügt: Option, mit welcher die in einer Richtlinie angegebenen Ausnahmelisten der vertrauenswürdigen Zone durch Listen, die in Profilen angegeben sind, ergänzt werden können. Weitere Informationen zum Produkt Kaspersky finden Sie hier Weitere Details zur Kaspersky Endpoint Security 11 finden Sie in der Online-Hilfe von Kaspersky: Online-Hilfe

ksc11
Kaspersky Labs

Kaspersky Security Center 11 veröffentlicht

KSC11 – Kaspersky hat das neue Kaspersky Security Center 11 nun offiziell veröffentlicht. Zu dem neuen KSC gibt es auch eine neue Web Konsole die einige Verbesserungen und Veränderungen aufweist. Kaspersky hat auch die Endpoint Security erneuert und ebenfalls eine neue Version veröffentlicht. Für diese Version wird es in den kommenden Tagen noch einen separaten Eintrag in unserem Blog geben. Hier schon mal eine Übersicht der Verbesserungen im Kaspersky Security Center 11… Verbesserungen des KSC11 Kaspersky Security Center 11 verfügt über die folgenden neuen Funktionen und Verbesserungen: Die Kaspersky Security Center 11 Web Console Sie können Kaspersky Security Center 11 Web Console zusammen oder anstelle der Microsoft Management Console-basierten Verwaltungskonsole verwenden. Kaspersky Security Center 11 Web Console ist eine plattformübergreifende, Touchscreen-freundliche Webanwendung, die nur einen Browser benötigt (Google Chrome 62 und höher). In Kaspersky Security Center 11 werden sowohl die auf der Microsoft Management Console basierende Verwaltungskonsole als auch die Kaspersky Security Center 11 Web Console während der Installation installiert. Sie können jedoch die Kaspersky Security Center 11 Web Console jederzeit auf einem separaten Gerät installieren. Die Kaspersky Security Center 11 Web Console unterstützt nur Kaspersky Endpoint Security 11.1 für Windows und Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 1 für Linux. Die Unterstützung anderer Programme von Kaspersky Lab, die von Kaspersky Security Center verwaltet werden, ist auf die Überwachung beschränkt. Sichtbarkeit von Geräten in der Hierarchie der Administrationsservers von Kaspersky Security Center Wenn Sie mehrere Administrationsserver in Ihrem Netzwerk haben, können sie dieselben Clientgeräte sehen. Dies kann zum Beispiel zur Remote-Installation der gleichen Anwendung auf ein und demselben Client-Gerät von mehr als einem Server und anderen Konflikten führen. Zur Vermeidung einer solchen Situationkönnen Sie verhindern, dass eine Anwendung auf einem Gerät installiert wird, das von einem anderen Administrationsserver verwaltet wird. Die Einstellung Verhalten für Geräte, die über andere Administrationsserver verwaltet werden ist an folgenden Stellen vorhanden: Assistent für die Erstellung neuer Aufgaben Eigenschaftenfenster der Aufgabe zur Remote-Installation Softwareverteilungs-AssistentWenn Sie bereits eine Remote-Installationsaufgabe haben, wird der Wert von Vorgehen bei Geräten, die über andere Administrationsserver verwaltet werdenstandardmäßig auf Immer installieren gesetzt (die Anwendung wird sogar auf Geräten installiert, die über andere Administrationsserver verwaltet werden). Möglicherweise möchten Sie den Wert ändern, wenn diese Aufgabe auf mehreren Administrationsservern in Ihrer Organisation vorhanden ist. Sie können anhand des Kriteriums Von einem anderen Administrationsserver verwaltet Geräte suchen und auswählen. Es wird in den folgenden Fenstern angezeigt: Fenster für die Eigenschaften der Geräteauswahl, Abschnitt Netzwerk Suchfenster, Abschnitt Netzwerk Fenster für die Eigenschaften der Gerätebewegungsregel, Abschnitt Netzwerk Der Assistent für neue Bedingung der Regel für die automatische Tag-Zuweisung, Fenster Netzwerk Benutzerrollen und Berechtigungen Kaspersky Security Center unterstützt nun RBAC-Rollen für die Hierarchie der Administrationsserver. Alle auf dem Hauptadministrationsserver definierten Rollen können auf seinen untergeordneten Administrationsservern verwendet werden. Standardmäßig ist diese neue Option deaktiviert, aber Sie können sie jederzeit aktivieren. Wenn Sie dem Hauptadministrationsserver eine Rolle hinzufügen (oder an den Rollenberechtigungen Änderungen vornehmen) und die Option Liste der Rollen an untergeordnete Administrationsserver weiterleiten aktiviert ist, werden diese Änderungen umgehend für alle untergeordneten Server übernommen. Sie können diese Option jederzeit deaktivieren. In diesem Fall verbleiben die Rollen auf den untergeordneten Administrationsservern, aber die auf dem Hauptadministrationsserver vorgenommenen Änderungen werden nicht mehr an die untergeordneten Server weitergegeben. Möglicherweise möchten Sie diese Option verwenden, wenn Sie in Ihrer Organisation mindestens einen untergeordneten Administrationsserver haben. Die folgenden neuen Bereiche von Berechtigungen wurden in Kaspersky Security Center 11 implementiert: Verwaltung von Administrationsgruppen. Standardmäßig wird Benutzern, die bereits die Berechtigung Ändern im Bereich Grundlegende Funktionen besitzen, auch die Berechtigung Ändern im Bereich Verwaltung von Administrationsgruppen zugeweisen. Auf Objekte unabhängig von ihren ACLs zugreifen. Standardmäßig sind diese Berechtigungen keinem Benutzer zugewiesen. Sie können die Berechtigungen in diesem Bereich manuell Benutzern zuweisen. Erzwungene Berichtsverwaltung. Standardmäßig sind diese Berechtigungen keinem Benutzer zugewiesen. Sie können die Berechtigungen in diesem Bereich manuell Benutzern zuweisen. Gelöschte Objekte. Standardmäßig wird Benutzern mit der Rolle „Hauptadministrator“ die Berechtigungen Lesen und Ändern in diesem Bereich zugewiesen. Zum Erstellen von Berichten ist jetzt nur die Berechtigung Lesen im Bereich Erzwungene Berichtsverwaltung erforderlich. Die folgenden neuen integrierten Rollen wurden implementiert: Auditor. Dieser Rolle sind die folgenden Berechtigungen zugeordnet: Leseberechtigung im Bereich Auf Objekte unabhängig von ihren ACLs zugreifen Lese- und Änderungsberechtigungen im Bereich Gelöschte Objekte Lese- und Änderungsberechtigungen im Bereich Erzwungene Berichtsverwaltung Security Officer. Dieser Rolle sind die folgenden Berechtigungen zugeordnet: Leseberechtigung im Bereich Auf Objekte unabhängig von ihren ACLs zugreifen Lese- und Änderungsberechtigungen im Bereich Erzwungene Berichtsverwaltung Lesen, Ändern, Ausführen, Dateien von Geräten auf dem Administrator-Arbeitsplatz speichern und Vorgänge für die Geräteauswahlen ausführen im Bereich SystemverwaltungVerbindungen. Supervisor. Dieser Rolle sind die folgenden Berechtigungen zugeordnet: Leseberechtigung im Bereich Auf Objekte unabhängig von ihren ACLs zugreifen Leseberechtigungen im Bereich Erzwungene Berichtsverwaltung Standardmäßig sind diese neuen Rollen keinem Benutzer zugewiesen. Sie können diese Rollen manuell Benutzern zuweisen. Die Erstellung von neuen Rollen ist jetzt Teil der grundlegenden Funktionen. Eigenständiges KSN Proxy Eigenständiges KSN Proxy ist implementiert. KSN Proxy ist jetzt im Administrationsagenten enthalten. Sie können einen Verteilungspunkt als KSN Proxy verwenden, wenn dieser sich im selben Netzwerk wie der Administrationsserver befindet. Das ist zum Beispiel dann sinnvoll, wenn der Verteilungspunkt über ein VPN mit dem Administrationsserver verbunden wird. Um einen Verteilungspunkt als KSN Proxy zu verwenden, aktivieren Sie das Kontrollkästchen KSN Proxy auf Seite des Verteilungspunkts aktivieren im Abschnitt KSN Proxy im Eigenschaftenfenster des Verteilungspunkts. Gelöschte Objekte Informationen über Richtlinien, Aufgaben, Administrationsserver, Benutzer, Sicherheitsgruppen, Administrationsgruppen und Installationspakete bleiben nun auch nach dem Löschen dieser Objekte gespeichert. Diese Informationen werden im Ordner Gelöschte Objekte (standardmäßig ist das ein Unterordner des Ordners Erweitert in der Konsolenstruktur) für Benutzer mit der Berechtigung Lesen im Bereich von Berechtigungen Gelöschte Objekte angezeigt. Die Speicherdauer für Informationen über gelöschte Objekte beträgt standardmäßig 90 Tage. Support für Microsoft Azure Kaspersky Security Center arbeitet mit Microsoft Azure zusammen. Sie können nun den Administrationsserver in der Cloud-Umgebung Microsoft Azure bereitstellen, eine Datenbank mit Microsoft Azure SQL Server erstellen und virtuelle Maschinen von Azure schützen. Verwaltung von Updates Sie können den Benutzern der Client-Geräte die Installation von Microsoft Windows-Updates erlauben oder verbieten. In der Richtlinie des Administrationsagenten im Abschnitt „Software-Updates und -Schwachstellen“ können Sie festlegen, welche Updates von Benutzern installiert werden können: Benutzern die Installation aller anwendbaren Windows-Updates erlauben (diese Option ist standardmäßig ausgewählt) Benutzern nur die Installation von genehmigten Windows-Updates erlauben (in diesem Fall müssen Sie die Updates genehmigen) Benutzern nicht erlauben, Windows-Updates zu installieren Sie können außerdem die Liste mit Updates und Patches ohne Bezug auf Client-Geräte anzeigen; das heißt, es wird ein einziges Exemplar eines Updates angezeigt, wenn es die Aufgabenregeln von mindestens einem Zielgerät erfüllt. Die Liste mit Updates für die

Kaspersky Labs

Deutschland zum vierten Mal in Folge Spam-Weltmeister

Bereits zum vierten Mal in Folge ist Deutschland globaler Spitzenreiter, wenn es um das Empfangen bedrohlicher Spam-E-Mails mit schädlichem Anhang oder Links zu gefährlichen Webseiten geht. Das bedeutet: Seit dem Jahr 2015 landeten die meisten E-Mails, bei denen der Anti-Virus-Alarm von Kaspersky Lab ausgelöst wurde, in deutschen Postfächern. Im Jahr 2018 hatte es folglich mehr als jede zehnte gefährliche E-Mail (12 Prozent) weltweit auf einen deutschen Nutzer abgesehen. Die gute Nachricht: Im Jahr 2017 waren es mit 16 Prozent noch wesentlich mehr. Diese Ergebnisse gehen aus dem Spam- und Phishing-Report von Kaspersky Lab für das Jahr 2018 hervor. Analysiert man, aus welchen Ländern der meiste Spam verschickt wurde, belegt China (12 Prozent) vor den USA (9 Prozent) den ersten Platz. Auf Platz drei liegt hier Deutschland, das mit 7 Prozent vom sechsten Platz im Jahr 2017 auf die Medaillenränge vorrückte. Phishing-Angriffe haben sich mehr als verdoppelt Die Kaspersky-Analyse beschäftigt sich neben Spam auch mit dem Thema Phishing. Demnach scheinen Nutzer unter einem rasanten Anstieg von Phishing-Angriffen zu leiden. So blockierten die Anti-Phishing-Systeme von Kaspersky Lab weltweit über 482 Millionen Versuche, eine betrügerische Webseite zu besuchen. Das entspricht einer Verdoppelung im Vergleich zum Jahr 2017 und bestätigt einen langfristigen Trend, der bereits 2017 und 2016 mit einem Anstieg von 15 Prozent gegenüber dem Vorjahr zu verzeichnen war. Besonders stark betroffen war dabei der Finanzsektor. Über 44 Prozent aller Phishing-Angriffe richteten sich an Banken, Zahlungssysteme und Online-Shops. Dies hatte zur Folge, dass im Vorjahr so viele Financial-Phishing-Angriffe zu verzeichnen waren wie die Summe aller Phishing-Attacken 2017 gesamt. Der Anstieg von Phishing-Angriffen könnte ein Resultat effizienterer Social-Engineering-Methoden sein, mit denen Nutzer dazu verleitet werden sollen, betrügerische Seiten zu besuchen. Das Jahr 2018 offenbarte eine rege Nutzung neuer Systeme und Betrugsmethoden sowie die Perfektionierung alter Taktiken, zum Beispiel die traditionellen Betrügereien am Black Friday oder an Feiertagen. Insgesamt werden Betrüger immer erfolgreicher darin, wichtige globale Anlässe wie die Fußball-Weltmeisterschaft für ihre kriminellen Machenschaften zu nutzen. Der komplette „Spam und Phishing im Jahr 2018“-Report ist unter https://kas.pr/m7h1 abrufbar. Quelle: Kaspersky Blog https://www.kaspersky.de/blog/deutschland-zum-vierten-mal-in-folge-spam-weltmeister/18719/ Author: Michael Roesner

Nach oben scrollen