Suche
Close this search box.

Schlagwort: IT Security

Zero-Day-Lücke in Log4j
Bedrohung

Zero-Day-Lücke in Log4j

Zero-Day-Lücke in Log4j  – Kritische Sicherheitslücke gefährdet zahlreiche Server und Apps. Apple, Twitter, Amazon und tausende andere Dienste sind anfällig. Die ersten Angriffe laufen bereits und wurden dokumentiert. Administratoren müssen sofort handeln. Zero-Day-Lücke in Log4j  Eine Zero-Day-Sicherheitslücke names Log4Shell ermöglicht es Angreifern beliebigen Code auszuführen. Über die weit verbreitete Java-Logging-Bibliothek Log4j können Attacken auf viele Server und Apps durchgeführt werden. Dienste wie Apple, Twitter, Steam und Amazon sind betroffen aber auch viele kleinere Angebote. Es gibt bereits ein Proof-of-Concept Code der das Ausnutzen der Lücke demonstriert. Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Der Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h zeigt, dass der Angreifer eine Zeichenkette der Form ${jndi:ldap://127.0.0.1:1389/a} ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert den genannten LDAP-Server 127.0.0.1:1389 und nimmt schließlich von ihm Daten wie potenziell bösartige Java-Klassen entgegen und führt diese aus. Ein Angreifer müsste demnach einen von ihm kontrollierten Server angeben, um einen Server über das Logging zu kapern (Log4Shell). Verwundbare Projekte Die Lücke hat bereits eine CVE-Nummer erhalten (CVE-2021-44228, Risiko kritisch, CVSSv3 10/10). Auch das BSI warnt vor dieser Lücke und Administratoren sollten dringend handeln. Viele Anwendungen verwenden die Log4j-Bibliothek und all diese sind von der Sicherheitslücke betroffen. Die Pen-Testing-Gruppe 0x0021h schreibt zu ihrem PoC-Exploit, dass er für Apache Struts2, Apache Solr, Apache Druid, Apache Flink und weitere funktioniere. Die Bibliothek Betroffen ist die Log4j Bibliothek von der Version 2.0-beta9 bis 2.14.1. Das Apache-Projekt hat kurzfristig Version 2.15.0 veröffentlicht, die die Lücke schließt. In einer Sicherheitsmeldung listen die Apache-Entwickler zudem Maßnahmen auf, wie man die Server ohne Update vorläufig sichern kann. Bei Log4j ab Version 2.10 helfe das Setzen der Systemeigenschaft „log4j2.formatMsgNoLookups“ auf “true” oder das Entfernen der JndiLookup-Klasse aus dem Klassenpfad (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Weitere Informationen finden Sie auch hier: https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html?wt_mc=rss.red.security.alert-news.atom.beitrag.beitrag https://www.spiegel.de/netzwelt/web/log4-j-schwachstelle-ja-leute-die-scheisse-brennt-lichterloh-a-760bd03d-42d2-409c-a8d2-d5b13a9150fd#ref=rss?sara_ecid=soci_upd_wbMbjhOSvViISjc8RPU89NcCvtlFcJ Haben Sie Fragen? Unsere Techniker stehen Ihnen gerne zur Verfügung. Kontaktieren Sie uns!

Kaspersky akquiriert Brain4Net
Business

Kaspersky akquiriert Brain4Net und startet mit SASE

Kaspersky akquiriert Brain4Net – Um seine Marktposition auszubauen, kauft der Hersteller Kaspersky das russische Unternehmen Brain4Net. Durch den Zukauf kann Kaspersky SASE- und XDR-Dienste in einer Cloud-nativen und multimandantenfähigen Plattform zusammenfassen. Von der Übernahme des russischen Herstellers Brain4Net, der sich auf SD-WAN (Software-Defined Wide Area Network) und NFV (Network Functions Virtualization) spezialisiert hat, erhofft sich Kaspersky so einiges: Zum einen soll das Team von Brain4Net künftig die Netzwerksicherheitsstrategie von Kaspersky betreuen und weiter ausbauen. Kaspersky akquiriert Brain4Net Zum anderen will Kaspersky die Lösungen von Brain4Net als SASE-Angebot (Secure Access Service Edge) auf der neuen Open Single Management Platform (OSMP) auf den Markt bringen. Diese ist eine Weiterentwicklung der bisherigen Security-Center-Konsole von Kaspersky. Zu den Inhalten dieser SASE-Plattform werden Cloud Access Security Broker, Cloud Secure Web Gateway, Cloud Workload Protection Platform, Cloud Security Posture Management sowie Zero Trust Network Access gehören. Des Weiteren stellt die Plattform die Schnittstelle für Security Operations bereit und vereint das aktuelle Portfolio des Herstellers mit Endpoint Protection Platforms, Endpoint Detection and Response, Managed Detection and Response und Threat Intelligence sowie Integrationen für Sicherheitskontrollen von Drittanbietern. So können beispielsweise Managed Security Service Provider (MSSPs) Services direkt auf der Plattform bereitstellen oder Lösungen von Drittanbietern integrieren. Zudem bringt die Einführung von SASE Vorteile für die XDR-Lösung (Extended Detection and Response) von Kaspersky mit sich. Denn die OSMP ist die technologische Grundlage für XDR und stellt die zentralen Dienste dafür bereit. Mithilfe von SASE als Kontrollpunkt können Unternehmen Telemetriedaten aus dem Netzwerkverkehr sammeln, Angriffe im Netzwerk und am Edge stoppen sowie die Orchestrierung und Verwaltung vereinfachen. Sowohl über das Netzwerk hinweg sowie für Endpunkte soll XDR mehr Transparenz über Bedrohungen bieten. Des Weiteren erhalten Nutzer automatisierte Reaktionsmöglichkeiten und Tools zur Netzwerksegmentierung. Weitere XDR-Funktionen sind: Umwandlung einer Vielzahl an Warnungen in eine viel kleinere Anzahl von Vorfällen, die manuell untersucht werden müssen. Bereitstellung integrierter Optionen zur Reaktion auf Vorfälle, die den notwendigen Kontext von allen Sicherheitskomponenten haben, um Warnungen schnell zu beheben. Bereitstellung einer Automatisierungsfähigkeit für sich wiederholende Aufgaben. Reduzierung von Schulungen und Erhöhung des Niveaus des Tier-1-Supports durch Bereitstellung einer gemeinsamen Management- und Workflow-Erfahrung über alle Sicherheitsaspekte hinweg. Quelle: https://www.it-business.de/Autorin: Melanie Staudacher

Kernel-Lücke in Windows
Microsoft

Kernel-Lücke in Windows

Kernel-Lücke in Windows – Mircrosoft hat am Patchday im Oktober zahlreiche Updates für .NET Core, Dynamics, Edge, Exchange Server, Office, Share Point, System Center Operations Manager, Visual Studio und verschiedene Windows-Versionen zur Verfügung gestellt. Eine Lücke davon wird von Angreifern derzeit aktiv ausgenutzt. Microsoft hat dazu drei Sicherheitslücken bekannt gegeben. Kernel-Lücke in Windows – Jetzt patchen Bei der Schwachstelle handelt es sich um eine Lücke im Kernel-Modul Win32k. Mit der Schwachstellenbeschreibung CVE-2021-40449 „hoch“ wurde die Lücke als hohe Sicherheitslücke eingestuft. Betroffen sind dabei Windows 7, 8.1, 10 und einige Server-Versionen. Laut Kaspersky sind von den Attacken primär Diplomaten, IT-Firmen und Militäreinrichtungen betroffen. Wie die Angriffe ablaufen ist noch unbekannt. Sind allerdings die Attacken erfolgreich, sollen sich Angreifer höhere Nutzerrechte verschaffen können und anschließend einen Trojaner wie den MysterSnail-Trojaner installieren können. Über diesen Weg können sich die Kriminellen Remote-Zugriff auf das System verschaffen. Drei Lücken öffentlich bekannt Die drei öffentlich bekannten Lücken betreffen Windows-Kernel, Windows DNS Server (CVE-2021-40469 „hoch„) und Windows AppContainer Firewall (CVE-2021-41338 „mittel„). Angreifer könnten somit Sicherheitsmechanismen umgehen und sich erhöhte Rechte verschaffen. Es wäre möglich Schadcode aus der Ferne auszuführen. Durch die Veröffentlichung könnten Angriffe kurz bevor stehen. Aber auch Lücken in Hyper-V und Word werden von Microsoft gar als „kritisch“ eingestuft. In allen Fällen könnte nach erfolgreichen Attacken Schadcode auf dem System landen. Im Fall von Word muss das Opfer dazu gebracht werden, eine präparierte Word-Datei zu öffnen. Dabei soll die Vorschau-Funktion bereits ausreichen. NSA unterstützt Microsoft Etwas überraschend war die Meldung, dass die NSA eine kritische Lücke im Exchange Server an Microsoft weitergeleitet habe. Normalerweise würde die NSA solche Lücken für sich selbst nutzen um Systeme zu attackieren. Das lässt natürlich Raum für Spekulationen. Mit der Lücke soll Remote Code Execution möglich sein. Microsoft betont, dass dies aber nicht über das Internet möglich sei, dennoch haben solche Informationen heftige Auswirkungen durch die Schlagzeilen der vergangenen Monate. Auch Windows 11 ist zum ersten Mal dabei. Eine Schwachstelle im Rich Text Edit gefährdet Windows 11. Wie eine Attacke hier aussehen könnte, ist bislang unklar. Als Ergebnis könnten Angreifer im Speicher auf Passwörter im Klartext zugreifen. Kein Patchmanagement vorhanden? Informieren Sie sich über die Möglichkeit eine Softwareverteilung bzw. Patchmanagement-System in Ihrem Unternehmen einzusetzen. Weitere Informationen finden Sie hier.

Hacker jagen das Gesundheitswesen
Bedrohung

Hacker jagen das Gesundheitswesen

Hacker jagen das Gesundheitswesen – Seit Beginn der Corona-Pandemie steigen die Zahlen der Angriffe auf das Gesundheitswesen. Durch den Ansturm auf die Remote-Bereitstellung von Gesundheitsdienstleistungen, Home-Office etc. haben die Cyberangriffe stark zugenommen. Zu den Top-Risiken zählen Ransomware, Botnets, Phishing, Angriffe auf Webanwendungen und Cloud-Schwachstellen. Hacker jagen das Gesundheitswesen In der Corona-Krise können Experten einen deutlichen Anstieg von Cyberattacken auf Institutionen und Dienstleister des Gesundheitswesen feststellen. Schon bereits vor der Pandemie waren die Anforderungen im Gesundheitswesen an die IT relativ hoch und nicht immer konnten Einrichtungen und Unternehmen diese gerecht werden. Durch die Pandemie erhöht sich die Belastung der IT-Security um ein vielfaches. Hacker haben es auf sensible Daten wie Patientendaten bzw. Unternehmensdaten abgesehen, die im Gesundheitswesen vorgehalten werden. Es gibt mehrere Top-Risiken die von IT-Sicherheitsexperten identifiziert wurden. Dazu gehören vor allem die Ransomware-Angriffe die auch Unternehmen aus der Wirtschaft und Industrie häufig stark bedrohen. Top-Risiko: Ransomware Insbesondere Ransomware stellt die Verantwortlichen vor große Probleme. Sperrungen von Patientenakten die durch Ransomware erfolgten können großen Schaden anrichten, wenn Ärzte und medizinisches Personal nicht auf die Daten zugreifen können. Verschreibungsinformationen und Dosierungen für komplexe, chronische Erkrankungen könnten dann nicht abgerufen werden und zu weiteren Komplikationen führen. Schlimmer noch, könnten Hacker die Therapiepläne oder die Gesundheitsdaten manipulieren. Die Patientenversorgungen ist dabei stark gefährdet. Bislang übertrugen Institutionen wie beispielsweise Krankenhäuser und Reha-Fachkliniken dieses Risiko auf Cyber-Versicherungen. Dies wird mittlerweile erschwert, da die Versicherer zusehends spezifische Kontrollmechanismen fordern. Beispielsweise eine Multi-Faktor-Authentifizierung oder auch Endpunkt-Erkennungs -und Reaktionstechnologien werden hierbei häufig aufgeführt. Botnets und Bad Bots Eine weitere große Herausforderungen für die Gesundheitsbranche ist der Datenverkehr von Bad Bots bzw. Bot-Netzwerken. Hacker versuchen Daten von Websites abzugreifen, Spam zu versenden oder Zugriffe auf Anwendungen zu erhalten. Vor allem im vergangenen Jahr in der Pandemie wurde diese Attacke immer beliebter. Zurück zu führen ist das auf die neuen Websites der Regierungen und andere digitale Infrastrukturen die zur Unterstützung der Covid-19 Pandemie eingerichtet wurden. Hacker können hierbei auch Passwörter knacken um in Konten einzudringen. Beispielsweise wurden hierbei schon Medikamentenbestellungen manipuliert um diese später illegal zu verkaufen. Teilweise werden auch DDoS-Angriffe auf die Webanwendungen gefahren um Störungen für Anwender*innen und Ausfallzeiten zu generieren. Das belastende Niveau schlägt sich auch auf die Kosten der Infrastruktur von Kliniken und Gesundheitseinrichtungen nieder. Phishing Auch das Phishing ist nach wie vor ein beliebte Methode um Ransomware zu platzieren oder sich Zugriffe auf Systeme zu verschaffen. Phishing gilt als die häufigste Art von Bedrohungen, die für erhebliche Sicherheitsvorfälle im Gesundheitswesen verantwortlich sind. Gerade Impfstoff-bezogene Attacken werden sehr häufig beobachtet, aber auch Angriffe die nur am Rande mit der Pandemie zusammenhängen.

Neuer Service DMFP
Business

Neuer Service DMFP – Dynamic Mailflood Prevention

Neuer Service DMFP – Dynamic Mailflood Prevention – Die iKomm GmbH hat einen neuen Service in das Produktportfolio aufgenommen. Unser neuer Dynamic Mailflood Prevention Service hilft Ihnen dabei einen genauen Überblick über Ihre E-Mail Kommunikationen zu erhalten und wie viele E-Mails überhaupt das Unternehmen verlassen. Der neue Service ist ab sofort buchbar und bietet Ihnen einen zusätzlichen Schutz rund um Ihre E-Mail Kommunikation. Neuer Service DMFP -Dynamic Mailflood Prevention Die iKomm GmbH arbeitet stetig daran neue Funktionen, Sicherheitsprodukte und sichere Technologien in das Produktportfolio aufnehmen zu können. Mit dem DMFP-Service haben wir einen weiteren Meilenstein in unserer Funktion als IT-Security Systemhaus erreichen können. Das eigens entwickelte System ist voll und ganz auf Wünsche unserer Kunden zugeschnitten. Mit diesem kleinen Addon-Service haben Sie nun alles im Blick. Mit dem DMFP-Service (Dynamic Mailflood Prevention-Service) kommt nun der zweite eigene Service in das iKomm Portfolio. Bereits letztes Jahr haben wir den Dynamic Network Aversion Service, kurz DNA ins Leben gerufen. Dieser erfreut sich großer Beliebtheit und unterstützt unsere Absichten dem Kunden möglichst viel Sicherheit in der IT-Infrastruktur zu geben. Was bietet der neue Service Unser neuer Service DMFP hilft Ihnen einen Überblick über Ihre ausgehenden E-Mails zu verschaffen. Er schützt Sie bzw. Ihre Infrastruktur vor ungewolltem Abfluss von E-Mails. Sie haben die volle Kontrolle. Eine Prüfung von E-Mails ist nicht nur für eingehenden Verkehr sinnvoll. Auch der ausgehende Verkehr kann Risiken und Gefahren mit sich bringen. Mit der Dynamic Mailflood Prevention ist es nicht mehr möglich, dass über Ihre E-Mail-Server oder über Ihre Infrastrukturen Spams oder andere ungewollte E-Mails versendet werden. Ihre Reputation ist damit gesichert. In Kombination mit anderen Antispam-Maßnahmen zum Beispiel durch Hornet-Security rundet unser System die Sicherheitsmechanismen ab und ergänzt diese mit weiteren Funktionen. Meine Reputation ist gesichert Mit unserem Service kontrollieren Sie gezielt welche E-Mails Ihr Unternehmen verlassen. Sie können sogenannte „Quotas“ für jede E-Mail Adresse einrichten. Über komplexe mathematische Berechnungen werden zusätzlich dynamische Quotas bzw. Limits gesetzt. Auf diese Weise wird verhindert, dass Spambots oder kompromittierte E-Mails-Server Spammails versenden können. Über das zugehörige E-Mail-Log können Sie jegliche Kommunikation nachvollziehen. Über das iKomm CustomerPanel haben Sie Zugriff auf sämtliche Daten und Informationen. Sie helfen damit auch mit andere Systeme zu schützen. Der größte Vorteil für Sie besteht darin, dass Sie niemals wieder auf einer Blacklist landen oder Ihre öffentlichen IP-Adressen eine schlechte Reputation erhalten. Mit dem Dynamic Mailflood Prevention Service haben Sie, Ihre Domain und damit Ihre E-Mail Kommunikation immer eine gesicherte Vertrauenswürdigkeit. Runden Sie das Thema ab mit einer E-Mail-Verschlüsselung um auch hier das nötige Maß an Sicherheit zu erhalten?Haben wir Interesse geweckt? Sprechen Sie uns an!

ProxyShell Angriffswelle auf Exchange-Server
Bedrohung

ProxyShell Angriffswelle auf Exchange-Server

ProxyShell Angriffswelle auf Exchange-Server – Die Sicherheitslücken sind bekannt, es existieren Patches und dennoch sind tausende Exchange Server angreifbar. Nun startet eine große Angriffswelle welche die Schwachstellen ausnutzt. Bereits seit Freitag, 20. August läuft eine massive Angriffswelle auf die ungepatchten Exchange Server Version 2013 bis 2019. Die sogenannte ProxyShell-Schwachstelle ist das Ziel der Angreifer. Wir haben bereits über diese Schwachstellen berichtet. Sicherheitsforscher haben binnen 48 Stunden über 1900 Übernahmen von Exchange-Server beobachten können. ProxyShell Angriffswelle auf Exchange-Server Bereits Anfang August hatte der Sicherheitsforscher Orange Tsai im Rahmen der BlackHat 2021 Hackerkonferenz auf die Schwachstellen hingewiesen bzw. die Angriffsszenarien vorgestellt. Kurze Zeit darauf wurden auch die ersten Scans im Internet nach verwundbaren Exchange Servern dokumentiert. Durch eine Kombination von drei Schwachstellen sind ProxyShell-Exploits per Remote-Angriffe auf die Systeme möglich. Das gilt nur für Server die ungepatcht sind, denn Microsoft hat bereits Updates und Patches zur Verfügung gestellt. Die beschriebenen Schwachstellen lauten: CVE-2021-34473 (als „kritisch“ eingestuft), CVE-2021-34523 (ebenfalls „kritisch“) und CVE-2021-31207 („mittel“). Über die Suchmaschine Shodan lassen sich ca. 240.000 Exchange Server aus dem Internet ermitteln. Ca. 46.000 davon sollen angreifbar sein. In Deutschland sollen es ca. 7800 Exchange Server sein welche per ProxyShell-Exploit verwunbar sind. Fast 2000 infizierte Server in 48 Stunden Auch Sicherheitsforscher von HuntressLabs verfolgen die Angriffe und schlagen Alarm. In ihrem Blog führen fünf verschieden Arten von WebShells vor, welche über die ProxyShell-Angriffsszenarien eingesetzt werden können. Über WebShells verschaffen sich die Cyberkriminellen erhöhte Rechte am System und damit eine Hintertür zu weiteren Aktivitäten. In nur 48 Stunden wurden weltweit über 1900 Exchange Server infiziert. Betroffen sind dabei alle gängigen Versionen des Microsoft Exchange Servers (2013,2016 und 2019). Zahlreiche Unternehmen sind bereits betroffen darunter sind laut Informationen der Sicherheitsexperten auch Unternehmen aus der Verarbeitungsindustrie für Meeresfrüchte, Industriemaschinen, Autowerkstätten und weitere Firmen. Patches seit April 2021 Die Patches für die Schwachstellen hat Microsoft bereits im April 2021 veröffentlicht. Microsoft wusste also bereits vor der Vorstellung der Schwachstellen auf der Hackerkonferenz von den Problemen. Seit Wochen werden Administratoren aufgefordert ihre Exchange Server zu patchen. Wer bisher noch nicht gepatcht hat, könnte bereits mit einer WebShell als Backdoor infiziert sein. Die Patches entfernen diese aber nicht. Wie Sie Infektionen finden hat Heise.de bereits ausführlich beschrieben.

Was ist Vishing?
Bedrohung

Was ist Vishing?

Was ist Vishing? Viele würden meinen es handele sich hierbei um ein Tippfehler, doch weit gefehlt. Vishing ist ein besondere Art von Phishing. Der Begriff Phishing ist mittlerweile geläufig geworden. Cyberkriminelle versuchen sich über bestimmte Techniken und Methoden Zugriffe zu Systeme zu verschaffen oder bestimmte Inhalte zu stehlen. Die Angreifer angeln nach potenziellen Opfern um sich so zu bereichern. Am Ende geht es immer um das liebe Geld in Form von Erpressungsversuchen und mehr. Mit Vishing wird eine weitere Variante des Phishings immer beliebter. Was ist Vishing? Vishing ist Phishing per Telefon. Betrügerische Anrufe von angeblichen Support-Mitarbeitern, die Zugriff auf Ihren Computer haben möchten oder vermeintlich besorgte Finanzbeamte, die Zahlungen anfordern, Lieferanten von Medizinprodukten, die zurückrufen und vieles mehr. Immer häufiger werden Angriffe über das Telefon registriert. Gerade durch die Covid-19 Pandemie ist die Masche immer beliebter geworden. Durch den Wechsel auf Remote-Arbeitsmodelle ist das Telefon zu einem beliebten Tool für Betrüger geworden. Laut Daten aus 2019 der US-amerikanischen Handelskommission FTC führten rund 6% der Betrugsanrufe zu finanziellen Verlusten. Experten sagen, dass jeder einem Fake-Anruf zum Opfer fallen kann. Es gibt gerissene Betrüger, die sogar das Vertrauen der wachsamsten Personen gewinnen können. Vishing ist konservativer als das normale Phishing, da Telefonate eine ältere Kommunikationsform sind. Durch massive Datenlecks kommen Betrüger an weit mehr Informationen über quasi allen Menschen auf dem Planeten. Das kommt den Angreifern zu gute, sowie auch das rasche ausbreiten von Internet-Telefonie Voice-over-IP. Hier lassen sich Telefonnummern einfacher manipulieren und verwischen. Welche Betrugsmaschen gibt es? Im Prinzip gibt es nichts was man sich nicht vorstellen könnte. Anrufe von Support-Mitarbeitern, Telemarketing, Behörden, Banken und vieles mehr. Die Methoden variieren und können teilweise auch miteinander kombiniert werden. Beispielsweise versuchen Betrüger oft sich als Behörden auszugeben welche Steuern vom Unternehmen eintreiben müssten. Also Finanzbeamte die ausstehende Zahlungen fordern. Dabei werden häufig zwei Optionen angeboten: Entweder sofort zahlen oder es drohen Bußgelder und Verzugszinsen. Mit Zeitdruck wird versucht die Mitarbeiter einzuschüchtern und zum handeln zu bringen. Der technische Support-Mitarbeiter ist ebenfalls ein häufiges Angriffsszenario. Die Angreifer verschaffen sich Zugriff zum Systems des Mitarbeiters in dem Sie Hilfe bzw. Unterstützung bei einem speziellen Problem vorgaukeln. Sind die Kriminellen erst mal auf dem System wird Malware installiert und das System so infiziert. Bei Unternehmen können dann unter Umständen auch andere Systeme angegriffen werden um so dem Erpressungsversuch Nachdruck zu verleihen. Betrugsanrufe erkennen Betrugsanrufe zu erkennen ist nicht immer einfach. Wie bereits erwähnt kann prinzipiell jeder darauf reinfallen. Es gibt aber durchaus Anzeichen die einen stutzig machen sollten und vorsichtshalber den Anruf abblocken sollten: Wenn ein Anruf, der angeblich von einer Behörde oder einer Bank stammt, mit einem Handy getätigt wird, handelt es sich höchstwahrscheinlich um Vishing. Stammt die Nummer aus einem anderen Land oder einer anderen Gegend wird es wohl auch nicht legitim sein. Dennoch sind die Telefonnummern keine sichere Anzeichen, denn diese können über Call-ID-Spoofing auch gefälscht werden. Wenn jemand Sie dazu drängt Zahlungen zu tätigen und außerdem eine Frist angibt, ist es definitiv ein Betrugsversuch. Sollte ein Anrufer Sie dazu überreden, eine bestimmte Software auf Ihrem Computer zu installieren, um ein Problem zu lösen, dessen Sie sich gar nicht bewusst waren, kann das nicht gut ausgehen. Wenn Anrufer vertrauliche Informationen erhalten möchten und das versucht mit Drohungen zu erreichen, ist das auch ein Anzeichen von Vishing. Jeglicher Versuch an private Informationen heranzukommen, ist ein Warnhinweis für Betrug. Wenn Sie auch nur einen der oben genannten Anzeichen entdecken, legen Sie am besten direkt auf. Rufen Sie danach direkt das Unternehmen oder die Behörde an, die Sie angeblich gerade kontaktiert hat, um den Vorfall zu melden: Je mehr Informationen zur Betrugsmasche zur Verfügung stehen, umso wahrscheinlicher ist es, dass der Betrüger erwischt wird oder wenigstens der Betrug weitgehend verhindert werden kann. Verwenden Sie außerdem zuverlässige Sicherheitslösungen, die gefährliche Anwendungen rechtzeitig erkennen können.

Ransomware-Angriffe sind teuer
Bedrohung

Ransomware-Angriffe sind teuer

Ransomware-Angriffe sind teuer – Jedes Unternehmen welches bereits Opfer eines Angriffs wurde konnte das feststellen. Ransomware-Angriffe kosten im Durchschnitt 570.000 US-Dollar. Ein neuer Ransomware-Report gibt Informationen zu den Zahlen und Fakten. Ransomware-Angriffe sind teuer Seit 2020 steigen die durchschnittlichen Lösegeldzahlungen bei Ransomware-Angriffen stetig an. Im ersten Halbjahr 2021 steigt der Wert auf die Rekordsumme von 570.000 US-Dollar. Das ist eine Anstieg um 82% Prozent im Gegensatz zum Jahr 2020. Die Lösegeldforderungen sind sogar um 518 Prozent an und betrug im Durchschnitt 5,3 Millionen US-Dollar. Diese Daten gehen aus dem letzten Ransomware-Report des IT-Sicherheitsunternehmen Palo Alto hervor. Kriminelle werden immer aggressiver Immer aggressivere Taktiken von Cyberkriminellen sind zu beobachten. Viele IT-Sicherheitsexperten gehen davon aus, dass Kriminellen weiterhin aggressivere Taktiken anwenden werden, um Unternehmen zur Zahlung von größeren Lösegeldforderungen zu zwingen. Oftmals wird ein Angriff mit mehreren Techniken durchgeführt wie beispielsweise Verschlüsselung von Daten, Datendiebstahl, DoS-Attacken (Denial-Of-Service) und auch Belästigungen. Die Angreifer sind dabei sehr hartnäckig und geben nicht so schnell auf. Teilweise werden bei Betrugsmasche von falschen Rechnungen bis zu 10 Mahnungen nachgereicht. Man versucht auf diese Art die Unternehmen einzuschüchtern oder hat die Hoffnung, dass neue Mitarbeiter in der Finanzabteilung, die angeblich offene Rechnung bezahlen. Viele kombinierte Angriffe führen bei den Angreifern immer häufiger zum Ziel. Die bisher größte bestätigte Lösegeldzahlung sind 11 Millionen US-Dollar von dem Fleischkonezern JBS S.A aus Brasilien, der nach Angriffen im Juni zeitweise sogar fünf Fabriken schließen musste. Auch IT-Unternehmen selbst betroffen Auch IT-Unternehmen sind hiervon betroffen und müssen sich gegen die Gefahren der Cyberkriminellen schützen. So traf es vor kurzem den Hardware Hersteller Gigabyte. Hinter dem Angriff vermutet man eine Gruppe die unter dem Namen RansomEXX agiert. Die Angreifer sollen Daten verschlüsselt und auch entwendet haben. Die Support-Seite des Herstellers war davon ebenfalls betroffen und zeitweise nicht mehr erreichbar. Für alle Unternehmen ist es wichtig, ein kombiniertes Sicherheitskonzept zu erstellen um die eigenen Infrastrukturen zu schützen. Dabei kommen viele Tools und Anwendungen zum Einsatz die Ihr Unternehmen vor Angriffen aus dem Cyberspace schützen können. Möchten Sie mehr erfahren? Gerne unterstützen wir Sie bei der Ausarbeitung eines Sicherheitskonzeptes für Ihr Unternehmen. Sprechen Sie uns an.

Kaspersky Security Center 13.1
Kaspersky Labs

Kaspersky Security Center 13.1 veröffentlicht

Kaspersky Security Center 13.1 veröffentlicht – Kaspersky hat die neue Version des Security Centers offiziell veröffentlicht. In der neuen Version 13.1.0.8324 wurden vor allem Neuerungen und Änderungen im Bereich der Web-Konsole vorgenommen. Anbei die Übersicht über die Erneuerungen des KSC: Kaspersky Security Center 13.1 veröffentlicht Verbesserungen: Kaspersky Security Center 13.1 enthält eine Reihe neuer Funktionen und Verbesserungen: Die Integration in SIEM-Systeme wurde verbessert. Sie können jetzt Ereignisse über einen verschlüsselten Kanal (TLS) in SIEM-Systeme exportieren. Die Funktion ist für die KSC 13.1 Web Console und die MMC-basierte Verwaltungskonsole verfügbar. Sie können jetzt die Patches für den Administrationsserver als Programmpaket abrufen, welches Sie bei zukünftigen Upgrades auf höhere Versionen verwenden können. Der neue Abschnitt Alarme wurde für Kaspersky Endpoint Detection and Response Optimum zur KSC 13.1 Web Console hinzugefügt. Außerdem wurden mehrere neue Widgets hinzugefügt, um mit den von Kaspersky Endpoint Detection and Response Optimum erkannten Bedrohungen umzugehen. In KSC 13.1 Web Console können Sie Benachrichtigungen über ablaufende Lizenzen für Kaspersky-Programme erhalten. Die Reaktionszeit von Kaspersky Security Center 13.1 Web Console wurde reduziert. Bekannte Probleme Die Liste mit bekannten Problemen finden Sie in der Benutzerdokumentation So aktualisieren Sie das Programm 1) Lesen Sie sich dieses Dokument sorgfältig durch und entscheiden Sie, ob Sie dieses Upgrade benötigen.2) Erstellen Sie ein Backup der Daten des Administrationsservers mit Hilfe des Dienstprogramms „klbackup.exe“ oder der Aufgaben zur Erstellung eines Administrationsserver-Backups.3) Führen Sie die Installation von Kaspersky Security Center 13.1 auf einem Gerät aus, auf dem die vorherige Version des Administrationsservers installiert ist, und führen Sie das Upgrade des Administrationsservers durch. Die Abwärtskompatibilität mit älteren Versionen wird unterstützt. Nach dem Upgrade werden Daten, die sich auf die vorherige Version des Administrationsservers beziehen, gespeichert.4) Erstellen Sie eine Aufgabe zur Remote-Installation des Administrationsagenten (Version 13.1) auf den Geräten Ihres Unternehmens. Verwenden Sie dazu entweder eine Gruppenaufgabe oder eine Aufgabe für eine ausgewählte Reihe von Geräten. Führen Sie die Aufgabe manuell oder entsprechend eines Zeitplans aus. Nach Abschluss der Aufgabe wird der Administrationsagent auf den Client-Geräten aktualisiert. Um die Installation im Silent-Modus durchzuführen (z. B. für die Verteilung über Kaspersky Security Center) starten Sie die ausführbare Datei mit dem Parameter „-s“. So überprüfen Sie, das KSC 13.1 installiert wurde: Erstellen Sie den Bericht über die Versionen der Kaspersky-Programme und stellen Sie sicher, dass in dessen Feld „Versionsnummer“ die Version 13.1 angezeigt wird. Weitere Informationen zum Kaspersky Security Center 13.1 finden Sie auch die der Online-Hilfe von Kaspersky. Haben Sie Fragen oder benötigen Unterstützung beim Update, können Sie uns gerne kontaktieren. Unsere Techniker unterstützen Sie beim Update Ihrer Umgebung. Gerne übernehmen wir auch die komplette Wartung Ihrer Kaspersky Umgebung. Einen kleinen Info-Flyer zu unserem Kaspersky Hosting Angebot finden Sie hier. Sprechen Sie uns an!

Exchange Server Lücken jetzt patchen
Bedrohung

Exchange Server Lücken jetzt patchen

Exchange Server Lücken jetzt patchen – Angreifer suchen aktiv nach neuer Lücke. Der Exchange Server ist immer wieder ein beliebtes Ziel von Cyberkriminellen. Die meisten Angriffe werden per E-Mails durchgeführt und dabei werden auch oft die E-Mail Server als Angriffsziel ausgewählt. Microsoft Exchange Server bietet hier ein beliebtes Ziel, da der Marktführer Microsoft und das Produkt Exchange extrem oft zum Einsatz kommt. Exchange Server Lücken jetzt patchen Auf der Black Hat 2021 Konferenz in der vergangenen Woche stellt der Sicherheitsforscher Orange Tsai neue Angriffe auf das System Exchange Server vor. Nur wenige Tage nach der Vorstellung auf der Konferenz konnten Honeypot-Betreiber feststellen, dass genau diese Lücken gesucht werden um diese ausnutzen zu können. Administratoren sollten also schnell die aktuellen Exchange Patches einspielen. Microsoft stellt die Patches bereits seit April bereit. Demnach hat Microsoft schon vorher von diesen Sicherheitslücken erfahren. Gleich drei CVE-Nummern sind für die Problematik beschrieben worden. (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) Unter dem Namen ProxyShell wurden die Angriffe bereits dokumentiert. In den KBs KB5001779 und KB5003435 macht Microsoft auf die Sicherheitslücken aufmerksam bzw. stellt die Patches bereit. Was ist das Problem? Mehrere Probleme musste Orange Tsai kombinieren um als unauthentifizierter Benutzer von außen mehr Rechte zu erhalten. Die Schwachstelle liegt im Client Access Service (CAS) von Exchange. Hier wickeln verschiedenen Protokolle den eingehenden Verkehr ab. Das Problem liegt in der Autodiscover-Funktion. Die Funktion soll dem Benutzer helfen bzw. es ihm ersparen Serveradresse, Port und weitere Details einzutippen. Genau hier wurde die Schwachstelle gefunden und ausgenutzt. Hacker informieren sich Der Sicherheitsforscher Kevin Beaumont beobachtet bereits kurze Zeit nach der Konferenz und Veröffentlichung der Sicherheitslücken, Einträge im Log, in denen genau diese Lücke ausspioniert wurde. Damit ist relativ wahrscheinlich das Angreifer, Hacker sich gut informieren und auch die IT-Sicherheitskonferenzen verfolgen. Sicherheitsforscher Orange Tsai kann nicht auf eine Belohnung aus dem Microsofts Bug-Bounty-Programm hoffen. Der Exchange Server ist von dem Programm ausgeschlossen. Keine Lust mehr auf ständige Updates des eigenen Exchange Servers? Sehen Sie sich jetzt die Vorteile von Microsoft 365 an.

Nach oben scrollen