Suche
Close this search box.

Schlagwort: Hackerangriff

Schadcode-Lücke in Drucker Spooler
Bedrohung

Schadcode-Lücke in Drucker Spooler

Schadcode-Lücke in Drucker Spooler entdeckt – Eine neue Sicherheitslücke geht zur Zeit durchs Netz. Sicherheitsforscher haben eine neue Lücke im Printer-Spooler-Service von Microsoft entdeckt. Bislang gibt es dafür keinen Patch von Microsoft aber es gibt einen Workaround den Administratoren durchführen sollten. Schadcode-Lücke in Drucker Spooler Forscher von Sangfor haben versehentlich einen Exploit-Code für die neue Lücke veröffentlicht. Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der bevorstehenden Hacker-Konferenz Black Hat im August 2021. Nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossen Lücke ist, welche Microsoft am Patchday im Juni geschlossen hat. Die Schwachstelle bezog sich auch auf den Printer-Spooler. Man ging also davon aus dass es sich um die Schwachstelle CVE-2021-1675 mit der Priorität “hoch” handelt, doch weit gefehlt. Es handelt sich um eine neue Lücke die bereits als Zero-Day-Exploit im Netz unterwegs ist. Für diese neue Schwachstelle gibt es noch keine CVE-Beschreibung und Microsoft stellt auch noch keinen Patch zur Verfügung. Vermutlich wird dieser zum Patchday im Juli vorhanden sein. Der Patchday ist allerdings erst am 13. Juli geplant und die Schwachstelle kann jetzt ausgenutzt werden. Administratoren sollten also vorab schon handeln. Ob es bereits Attacken gibt, ist derzeit nicht bekannt. Printer-Spooler Schwachstelle Das Problem befindet sich im Printer-Spooler-Service von Windows. Laut Informationen sollen alle Version von Windows 7 SP1 bis 2019 betroffen sein. Diverse Sicherheitsforscher geben an, vollständige gepatchte Systeme mit Windows 2019 Server erfolgreich attackiert zu haben. Sie konnte Schadcode mit System-Rechten ausführen. Das wäre vor allem auf einem Domain-Controller fatal. Angreifer könnten so weitere Systeme mit Schadcode bzw. Malware infizieren und sich im Netzwerk ausbreiten. Nicht ausgeschlossen wäre auch ein Diebstahl von Daten bzw. Kennungen zu den Benutzern. Einem Bericht der Carnegie Mellon University zufolge muss ein Angreifer aber authentifiziert sein. Ist das gegeben, könnte er an der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service ansetzen und dem Betriebssystem einen mit Schadcode präparierten Treiber unterschieben. Mit System-Rechten ausgestattet könnten Angreifer hier viel Schaden anrichten. Was können Sie tun? Noch hat Microsoft nicht auf die neue Lücke reagiert und keinen Patch angekündigt. Man geht davon aus dass ein Patch frühestens zum Patchday im Juli veröffentlicht wird. Dennoch kann man etwas gegen die Schwachstelle tun… Deaktivieren Sie den Print-Spooler Service und Systeme können mit der beschriebenen Attacke nicht angegriffen werden. Derzeit ist es nur möglich mit Deaktivierung des Dienstes das Problem zu beheben. Sie benötigen Unterstützung?Sprechen Sie uns an, unsere Techniker stehen Ihnen mit Rat und Tat zur Seite.

Hacker erpressen deutsche Behörden
Bedrohung

Hacker erpressen deutsche Behörden

Hacker erpressen deutsche Behörden – Laut einer Umfrage von BR und “Zeit Online” ist es Cyberkriminellen in mehr als 100 Fällen gelungen, IT-Systeme von Behörden und öffentlichen Einrichtungen zu verschlüsseln. Die Bundesregierung hat keinen Überblick über die Fälle. Nicht alle Vorfälle werden gemeldet oder an zentrale Stelle der Bundesregierung registriert oder bearbeitet. Hacker erpressen deutsche Behörden In der kleinen Gemeinde Kammeltal im Landkreis Günzburg haben Cyberkriminelle einen Server verschlüsselt und versucht von der Gemeinde Geld zu erpressen. Der geschäftsführende Beamte Ernst Walter erzählt: Als die Hacker kamen, sah ich nur noch Buchstabensalat! Ernst Walter – geschäftsführender Beamter der Gemeinde Kammeltal Die Gemeinde erstattet Anzeige und nach 45 Minuten war die Kriminalpolizei im Rathaus anwesend. Ausrichten konnten diese allerdings an dieser Stelle nicht mehr viel. Die Daten sind nach wie vor nicht wieder vollständig vorhanden, die Gemeinde arbeitet mit einem Backup. Durch den Erpressungsversuch sind Daten verloren gegangen. Durch Ransomware-Angriffe werden jedes Jahr mehrere Millionen Euro erbeutet. Eine genaue Schadenshöhe lässt sich allerdings nicht so einfach ermitteln. Nicht alle Vorfälle werden gemeldet und in manchen Fällen werden stillschweigend die Lösegelder für die entwendeten oder verschlüsselten Daten bezahlt. Behörden und öffentliche Einrichtungen im Fokus Das Problem der Ransomware ist durchaus bekannt, auch das BKA gibt jährlich einen Status bzw. ein Bundeslagebild zu Cybercrime ab. Dennoch gibt es in Deutschland keinen genauen Überblick, wie stark öffentliche Verwaltungen von Hack-Angriffen betroffen sind. Es besteht derzeit keine generelle Meldepflicht für Ransomware-Angriffe, von daher hat die Bundesregierung keine Kenntnis über die genauen Zahlen der Fälle. Die Recherche von BR und “Zeit Online” geben einen kleinen Einblick in die Dimension des Problems. In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen zu erfolgreichen Verschlüsselungen von IT-Systemen gekommen. Diese Informationen gehen aus eine Umfrage von BR und “Zeit Online” hervor. Die Gesamtzahl könnte deutlich höher liegen, denn mehrere Innenministerien von Ländern wie Berlin, Hessen und Nordrhein-Westfalen machten keine konkreten Angaben. Landtage, Ministerien und Kommunen betroffen Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Auch große Städte wie Frankfurt am Main wurden bereits angegriffen. Im Prinzip sind alle öffentlichen Stellen ein potenzielles Angriffsziel. In manchen Fällen sind die Kriminellen erfolgreich bei der Erpressung von öffentlichen Einrichtungen. Es fließt also auch Steuergeld in die Taschen von Cyberkriminellen. Im Jahr 2019 soll das Staatstheater Stuttgart 15.000€ bezahlt haben nach einer Lösegeldforderungen für verschlüsselte Daten. Lokale Medien berichteten über diese Fall. Einen Überblick über erfolgreiche Erpressungen gibt es aber eben so wenig wie einen genauen Überblick über die Angriffe selbst. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlt haben. Ransomware betrifft also nicht nur große Unternehmen, sondern auch sämtliche öffentliche Stellen wie auch kleine Unternehmen und Selbstständige. Wir haben in unserem Blog auch bereits mehrfach darüber berichtet. Mit einer durchdachten Sicherheitsstrategie können Sie viele Angriffe bereits im Vorfeld abwehren. Wir unterstützen Sie gerne bei der Umsetzung einer IT-Sicherheitsstrategie. Sprechen Sie uns an!

DDos-Attacke legt Onlinedienste der Volksbanken lahm
Bedrohung

DDos-Attacke legt Onlinedienste der Volksbanken lahm

DDos-Attacke legt Onlinedienste der Volksbanken lahm – Ein Cyberangriff auf die Rechenzentren der Volks- und Raiffeisenbanken hat das Onlinebanking zeitweise blockiert und lahm gelegt. Inzwischen wurde der Angriff abgewehrt und das Onlinebanking vieler Geldhäuser funktioniert wieder. Ein Angriff auf den IT-Dienstleister Fiducia & GAD hatte in den vergangenen Tagen viele Kunden der Volks- und Raiffeisenbanken getroffen. Persönliche Daten seien aber nicht entwendet worden. Bei der DDoS-Attacke (Distributed Denial of Service Attacke) überrollten die Angreifer die Server mit einer Flut von Datenanfragen um die Systeme lahm zu legen. Nach der ersten Attacke auf das Rechenzentrum in Karlsruhe erfolgte eine zweite Attacke auf das Rechenzentrum in Münster. Bei den jeweils dort angeschlossenen Instituten waren die Bank-Webseiten oder das Onlinebanking nicht oder nur sporadisch erreichbar, wie Fiducia & GAD am Freitagmorgen mitteilte. Am Geldautomaten konnten Kunden weiterhin Geld abheben. DDos-Attacke legt Onlinedienste der Volksbanken lahm Die Angriffe erfolgten bis in die Nacht hinein. Es gab immer wieder größere Angriffe die aber erfolgreich abgewehrt wurden. Der IT-Dienstleister erklärte: “Der Krisenstab der Fiducia & GAD beobachtet die Systeme weiter engmaschig, um schnell auf etwaige erneute Attacken reagieren zu können.” Betroffen waren demnach auch Institute, die sich auf den genossenschaftlichen IT-Dienstleister stützen, zum Beispiel einige Sparda-Banken und auch private Geldhäuser. Zunächst war unklar wie viele Kunden insgesamt betroffen waren. Die Angriffe seien aber unter Kontrolle und das Onlinebanking steht wieder überall zur Verfügung. Zu den Hintergründen des Angriffs ist nicht viel bekannt. Was die Absichten und das genaue Ziel waren ist bisher nicht geklärt. Ebenso wer hinter den Angriffen steht, bleibt noch im dunkeln. Weitere Informationen finden Sie auch hier.Mehr IT-Security News? In unserem Telegram-Channel werden Sie fündig – Jetzt anmelden

Reaktionsstrategien nach Hacker-Angriffen
Business

Reaktionsstrategien nach Hacker-Angriffen

Die Reaktionsstrategien nach Hacker-Angriffen müssen gut vorbereitet und geplant sein. Ein effektiver Schutz durch eine IT-Security-Lösungen hängt unter anderem davon ab, ob detaillierte und gründlich getestete Strategien zur Reaktion auf Sicherheitsverletzungen existieren. Dazu ist muss Vorarbeit geleistet werden. Das bedeutet, relevante Daten zu sammeln, potenzielle Bedrohungen zu identifizieren und Frühwarnsysteme einzusetzen um eine möglichst gute Sicherheitsstrategie zu erstellen. Reaktionsstrategien nach Hacker-Angriffen Ein wichtiger Schritt ist zunächst die Hauptrisiken zu identifizieren. Das Unternehmen muss verstehen lernen, welche Katastrophen entstehen können wenn zu wenig in die Sicherheitsprodukte investiert wird oder wenn diese mit schlechten oder wenigen Kenntnissen konfiguriert werden. Ein IT-Security Partner kann ihrem Unternehmen beratend zur Seite stehen und mit Ihnen gemeinsam ein ausführliches Sicherheitskonzept erstellen. Um zu identifizieren welche Bedrohungen für das Unternehmen am bedrohlichsten sind, müssen alle Interessenvertreter:innen des Unternehmens eingebunden werden. Netzwerk analysieren und vollständig abbilden Häufig ist es in Unternehmen nicht klar, welche Systeme im Netzwerk tatsächlich vorhanden sind. Für die IT-Abteilung ist das ein große Herausforderung eine Übersicht zu erstellen welche Geräte wo und wann im Netzwerk vorhanden sind. Eine Netzwerkübersicht bzw. Dokumentation wird zwar erstellt aber nur selten auch aktualisiert und weiter ausgebaut. Gerade in den schweren Corona-Zeiten ist es mit Home-Office und mobilen Benutzer:innen noch komplexer geworden. Neben der Dokumentation der Systeme ist auch sehr wichtig, welche Zugriffe die Benutzer:innen haben. Oftmals werden vorübergehend zu viele Recht vergeben und nie wieder zurückgenommen. Systeme zur Überwachung der Rechtevergabe und welche Zugriffe gewährt wurden stehen häufig nicht zur Verfügung. Zumindest nicht in einfacher und übersichtlicher Form so dass die IT-Abteilung schnell Auskünfte über die vergebenen Rechte geben könnte. Unternehmen investieren häufig nicht in die internen Sicherheitsinfrastrukturen und oft zu wenig in die externe Sicherheitsinfrastruktur. Überwachungssysteme errichten Manche Attacken bleiben lange unentdeckt. Ein Angreifer kann sich mit einer erfolgreichen Phishing oder Exploit Attacke kann oftmals mehrere Tage, Wochen oder sogar Monate unbemerkt im Netzwerk aufhalten. Darum sollte man bei der Strategieentwicklung mit der Annahme beginnen, eine Datenschutz-Verletzung habe bereits stattgefunden, sodass das Unternehmen vorab mit einem Tiefenscan des Netzwerks beginnen kann. Zu diesem Zweck errichtet die IT-Abteilung ein kontinuierliches Überwachungssystem, für das Software zum Einsatz kommt, die ungewöhnliche Benutzeraktivitäten und Datenexfiltrationen erkennt. Damit diese Art von Software effektiv arbeitet, muss ein Typus von „normalem Verhalten“ definiert werden. Das Ziel ist es, eine Attacke in Echtzeit zu erkennen, ihre Entstehung zu verhindern und den potenziellen Schaden zu minimieren. Weitere wichtige Punkte sind klare Befehlsketten zu etablieren – Verantwortlichkeit bestimmen, nicht in Panik verfallen, To-do-Listen bei Befall oder Erkennung einer Bedrohung Kommunikationsstrategien entwickeln Strategien erstellen und testen Wenn eine Hacker-Attacke festgestellt wurde, muss diese eindeutig als solche klassifiziert werden, bevor das Eingreifteam einzuschalten ist. Klar definierte Handlungslinien für verschiedene Arten von Angriffen sollen adäquate und zeitnahe Reaktionen garantieren. Identity Access Management und Privileged Access Management können Ihre Infrastruktur effizient sichern und mehr Übersicht erzeugen. Auch andere Produkte wie Premium Antispam Filter inklusive Sandboxing und Anti-Phishing Module sowie eine effiziente AV-Lösung unterstützt Sie beim Kampf gegen Cyberkriminelle. Sprechen Sie uns an. Wir beraten Sie gerne und unterstützen Sie mit mehr als 10-jähriger Erfahrung im Bereich der IT-Security.

Nach oben scrollen