Kategorie: Sicherheit

Kategorien
Artikel Datenschutz Sicherheit Systemtechnik

Verschlechterte Risikoeinschätzung für Kaspersky Virenschutz

Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), führt am 23.06.2022 auf der Potsdamer Konferenz für Nationale Cybersicherheit aus, dass er den Einsatz des russischen Virenschutzproduktes Kaspersky als fahrlässige Handlung bewertet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert zunehmend Aktivitäten im Cyberraum und schätzt die abstrakte Gefährdungslage als erhöht ein.

Die Verlautbarung von Herrn Schönbohm dürfte insbesondere bei der Bewertung von Haftung und Verantwortung bei Schadcodebefall von Interesse sein – wie kann ein IT-Verantwortlicher bei einem Schadcodebefall auf das ordnungsgemäße Patchlevel seines Kaspersky-Virenschutzproduktes verweisen, wenn der Einsatz dieses Produktes vom Bundesamt als „fahrlässig“ eingestuft wird.

Wir raten dringend auf ein Wechsel auf alternative Produkte wie Bitdefender Antivirus an. Nehmen Sie mit uns Kontakt auf.

Kategorien
Artikel Datenschutz Sicherheit Systemtechnik

Malware-Angriff auf Teams

Sicherheitsforscher berichten von einer Häufung an Angriffen über Microsoft Teams. Über kompromittierte Teams-Accounts werden Nachrichten verfasst, an die eine schädliche ausführbare Datei angehängt wird. Um an die Accounts zu kommen, nutzen Angreifer ein breites Repertoire an Phishing-Angriffen.

Der Angriffsweg über eine ausführbare Datei ist zwar nicht neu und von Mailangriffen bekannt, wird aber vom Endanwender (noch) nicht innerhalb Microsoft Teams erwartet. Den Vertrauensvorschuss, der Inhalten innerhalb Microsoft-Teams entgegengebracht wird, machen sich die Angreifer so zunutze.

Neben der allgemeinen Mitarbeitersensibilisierung schlagen die Sicherheitsforscher präventive Maßnahmen der IT-Abteilung vor, wie die standardmäßige Analyse von Downloads in einer Sandbox sowie den Einsatz von umfänglicher Schutzsoftware.

Kategorien
Artikel Datenschutz Sicherheit Systemtechnik

SMB-Lücke „Ghost“

Hinter dem Namen „SMB Ghost“ verbirgt sich eine kritische Sicherheitslücke in Windows 10 und Windows Server, die aktiv von Kriminellen ausgenutzt wird. Betroffen ist das Netzwerksystem SMB in der aktuellen Version 3.0 – sowohl auf Seite des Clients, als auch in der Serverimplementierung.

SMB Ghost – genauer „CVE-2020-0796“ ist zwar bereits seit Jahren bekannt, wird aber laut US-Behörde CISA noch immer aktiv genutzt, da viele Betroffene den am 12.05.2020 von Microsoft veröffentlichten Patch noch immer nicht eingespielt haben. SMB Ghost reiht sich damit in 14 weitere Sicherheitslücken ein, um welche die CISA ihren Sicherheitskatalog ergänzt hat und die auf ihrer Seite unter diesem Link einsehbar sind.

Kategorien
Artikel Sicherheit Systemtechnik

Emotet ist zurück

Derzeit kommt es zu einem vermehrten Aufkommen von täuschend authentisch formulierten Spam-E-Mails mit dem bereits seit längerem bekannten Trojaner „Emotet“ im Anhang.

Neu ist die noch authentischer wirkende Fälschung der Nachrichten von scheinbar bekannten Absendern. So „kapert“ Emotet auf infizierten Rechnern vergangene E-Mail-Konversationen und Anhänge und nutzt sie zur eigenen Verbreitung an die gespeicherten Kontakte. Die Spam-E-Mails sehen aus, als seien es Antworten auf früher verschickte Nachrichten.

Da die schadhaften E-Mails zunehmend authentischer scheinen, ist es umso wichtiger, auch die potenziellen Einfallstore auf Firmenrechnern zu schließen. Dazu gehört die Deaktivierung von Makro-Funktionen in Microsoft Office Produkten und die Einschränkung der Benutzerrechte.

Unser Infoblatt „6-Regeln“ zeigt die wichtigsten Regeln zur Prävention auf. Sie finden das Infoblatt in unserem Dokumente-Bereich oder direkt hier als PDF.

Kategorien
Artikel Datenschutz Sicherheit Systemtechnik

Log4j – Updates dringend geboten

Die Ende vergangenen Jahres bekannt gewordene Sicherheitslücke Log4j wird von einer wachsenden Zahl Angreifer ausgenutzt. In den USA drohen Firmen kostspielige Klagen, falls Verbraucherdaten aufgrund nicht geschlossener Log4j  Sicherheitslücken abfliessen.

Neben dem Verlust wertvoller Kundendaten besteht zusätzlich die Gefahr, dass sich Kriminelle Zugang zum Firmennetzwerk verschaffen. Nicht selten folgen Erpressungen nach dem Ransomware-Prinzip: Wer an seine Daten will, muss zahlen. Dazu werden häufig Verschlüsselungsalgorithmen verwendet.  Zuletzt teilte das BSI mit, das Potenzial der Schwachstelle werde zunehmend ausgereizt. Prominenter Fall in Deutschland war der Bundesfinanzhof, der nach einem Angriff seine Webseite vom Netz nahm.

Kategorien
Artikel Sicherheit Systemtechnik

Exchange-Bug zum Jahreswechsel

Zu Beginn des neuen Jahres hat ein schwerwiegendes Problem in der Datumskonvertierung von Microsoft Exchange Servern dazu geführt, dass E-Mails nicht mehr verschickt werden konnten.

Anfang dieser Woche hat Microsoft reagiert und ein automatisches Script zum Zurücksetzen der für das Problem verantwortlichen Scan-Engine veröffentlicht. Einen Link zur vom Microsoft Exchange-Team veröffentlichten Problembehandlung finden Sie unter diesem Link.

Mithilfe dieses Beitrags können die Nutzer Schritt für Schritt nachvollziehen, wie der Y2K22-Bug entweder über das Script oder über eine manuelle Implementierung zu beheben ist. Zusätzlich Fragen werden in einer FAQ beantwortet.

Kategorien
Artikel Cloud Sicherheit Systemtechnik

Kritische Schwachstelle in log4j

Vor wenigen Stunden wurde eine kritische Schwachstelle in log4j von einem Dienstleister für IT-Sicherheit veröffentlich. Log4j ist eine geläufige Protokollierungsbibliothek für Java-Anwendungen und dient der Protokollierung von Aktivitäten. Die Schwachstelle CVE-2021-44228 in log4j in den Versionen 2.0 bis 2.14.1 ermöglicht Angreifern deren eigenen Programmcode auf ausgewählten Zielservern auszuführen. Auf diese Weise können sie den Zielserver vollständig kompromittieren.

Die wirklichen Ausmaße der Schwachstelle sind bislang nicht realisierbar, weshalb das BSI  das aktuelle Risiko auf der CVSS Skala mit dem Höchstwert von 10 einstuft. Auch die IT-Bedrohungslage ist auf 4/Rot geschätzt.Aus mehreren CERT-Quellen wurden bereits weltweite Massenscans und versuchte Kompromittierungen festgestellt.

Wer ist betroffen?

Das BSI sieht eine zunehmende IT-Bedrohung für Geschäftsprozesse und Anwendungen. Zahlreiche Produkthersteller haben Ihre Produkte bereits öffentlich geprüft.

Von der Schwachstelle betroffene Hersteller sind bislang: VMWare, Apache, UniFi. Laut Medienberichten sind auch bekannte Produkte wie Apple Speicherdienst iCloud, Onlinespiel „Minecraft“ und ein System des Herstellers Tesla betroffen. Möglicherweise sind ebenso alle aus dem Internet erreichbaren Java-Anwendungen, die log4j für einen Teil der Protokollierung der Nutzeranfragen nutzen, betroffen.

Ebenso scheint die kritische Schwachstelle für interne Systeme ausnutzbar, sobald diese externen Daten entgegennehmen oder verarbeiten. 

Erste Hinweise deuten darauf hin, dass CVE-2021-44228 von Botnetzen ausgenutzt werden. Die Folgen scheinen katastrophal.

Liste mit möglicherweise betroffenen Produkten: Link 

Welche Maßnahmen können ergriffen werden?

Eine Standardmaßnahme ist das Update auf die aktuelle Version 2.15.0 von log4j in allen Anwendungen. Kann das Update nicht realisiert werden, so finden sich hier weitere Empfehlungen: Link

Kategorien
Artikel Datenschutz Sicherheit Systemtechnik

Spionagesoftware Pegasus

Eine israelische Spionagesoftware, die unter Experten als das leistungsfähigste Spähprogramm für Smartphones bekannt ist und ebenfalls als Cyberwaffe eingestuft wurde, macht zurzeit erneute Schlagzeilen.

Es handelt sich hierbei um die Spionagesoftware „Pegasus“ der israelischen Sicherheitsfirma NSO Group Technologies, mit welcher ein Kunde uneingeschränkten Zugang zu dem Smartphone seiner Zielperson genießt. Jegliche Chat-Nachrichten können mitgelesen werden, jede App kann geöffnet werden und das Mikrofon, wie auch die Kamera kann nach Belieben aktiviert werden.

Laut NSO Group wurde diese Spionagesoftware zum Zwecke der Fernüberwachung der Smartphones von Terroristen und Kriminellen entwickelt. Des Weiteren wurde die Software angeblich nur an ausgewählte Staaten verkauft, wobei zwingend die Zustimmung des Verteidigungsministerium vorhanden war.

Jüngste Ergebnisse der internationalen Recherchegruppe erwiesen jedoch das Gegenteil.

Auf der Liste der Zielpersonen befanden sich forensisch nachgewiesen Journalisten meinungsbildender Publikationen, hochrangige Politiker, Oppositionelle, wie auch Menschenrechtsaktivisten. 

Es kam verteilt auf 40 Ländern seit 2016 zu ca. 50’000 nachgewiesenen Zielpersonen. 

Zu den Clients der NSO Group zählen unter anderem Mexiko, Marokko, Indien und Ungarn (als einziges Land Europas) – Länder, die häufig für mangelnde Meinungs- und Medienvielfalt kritisiert werden.

Wie kommt Pegasus aufs Smartphone?

Die Spionagesoftware kommt überwiegend über eine fingierte Nachricht inkl. eines korrumpierten Links auf das Smartphone. Allerdings ist es auch möglich das Schadprogramm unbemerkt auf das ausgewählte Smartphone zu laden –  vorausgesetzt es ist eingeschaltet und mit dem Internet verbunden.

Wie überprüft man ob man ein Teil der Pegasus-Attacke ist?

Bislang haben IOS-User einen gewissen Vorsprung im Kampf gegen Pegasus, da hier bereits ein Programm entwickelt wurde, welches Pegasus und andere Schadsoftware aufspüren soll.

Es handelt sich um die kostenlose App Lookout. Ist dies der Fall soll persönlicher Kontakt zu Lookout aufgenommen werden.

Kategorien
Artikel Datenschutz Senioreneinrichtungen Sicherheit Systemtechnik

IT-Sicherheit im Gesundheitssektor ab 2022 verpflichtend

Betreiber sog. kritischer Infrastruktur (KRITIS) wie größerer Kliniken die mindestens 30.000 stationäre Patienten im Jahr behandeln sind bereits seit 2017 durch das IT-SIcherheitsgesetz (§ 8 BSI-Gesetz) verpflichtet, ihre IT-Systeme nach dem “Stand der Technik” abzusichern.

Im Oktober 2020 wurden die gesetzlichen Rahmenbedingungen erneut verschärft. Nach Sozialgesetzbuch (§ 75c SGB V) sind ab 01. Januar 2022 auch kleinere Kliniken in Deutschland verpflichtet, ihre IT-Sicherheit auf ein angemessenes Schutzniveau anzuheben. Der Gesetzgeber verpflichtet die Krankenhäuser nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. 

Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Kategorien
Artikel Sicherheit Systemtechnik

Kritische Sicherheitslücke in MS Exchange-Servern

Mit den kürzlich bekannt gewordenen Sicherheitslücken für Microsoft Exchange 2010, 2013, 2016 und 2019 Server ist wieder einmal ein Worst-Case-Szenario eingetreten, welches unmittelbaren Handlungsbedarf hervorruft.

Der Ablauf eines durch diese Schwachstellen möglichen Angriffs erfolgt in folgender Reihenfolge:

1.       Zunächst wird eine als CVE-2021-26855 dokumentierte SSRF-Schwachstelle (Server-Side Request Forgery) ausgenutzt, um beliebige HTTP-Anfragen zu senden und sich als Microsoft Exchange-Server zu authentifizieren.

2.       Unter Verwendung der unter 1. erfolgten Authentifizierung auf SYSTEM-Ebene werden SOAP-Payloads gesendet, die vom Unified Messaging Service unsicher deserialisiert werden, wie in CVE-2021-26857 dokumentiert. 

3.       Zusätzlich werden CVE-2021-26858 und CVE-2021-27065 ausgenutzt, um beliebige Dateien wie z. B. Webshells hochzuladen, die eine weitere Exploitation des Systems ermöglichen. Das kompromittierte System wird dann genutzt um weitere Systeme im Netzwerk zu kompromittieren. Für das Schreiben der Dateien ist eine Authentifizierung erforderlich, die jedoch mit CVE-2021-26855 umgangen werden kann.

Im Vergleich zu bislang bekannt gewordenen Exploits werden die o.g. Exploits bereits aktiv ausgenutzt und stellen so Administratoren weltweit vor das große Problem der Beseitigung der Lücken und dem gleichzeitigen Aufspüren möglicher Verbreitungen von Backdoors und Schadsoftware im kompromittierten Netz.

Unmittelbar nach Bekanntwerden der Schwachstellen begannen bei der Arconda Systems AG die erforderlichen Prozesse zur Benachrichtigung unserer Kunden, sowie die Mitigation der Bedrohung durch schnelles Patchen und weiterer diagnositischer Scans in unserem Rechenzentrum für unsere Hosted Exchange Lösungen. Unsere umfangreichen Vorsorgen zur Identifizierung von Eindringlingen (Intrusion Detection), sowie State-of-the-Art Virenscanner ermöglichten es uns schnellstmöglich festzustellen, daß die bei uns gehosteten Kundensysteme zu keiner Zeit kompromittiert worden sind.

Für alle Exchange-System gilt:

  1. Systeme aktualisieren und die Sicherheitslücke ab sofort schließen
  2. Alle aktualisierten Systeme müssen auf einen möglicherweise bereits in der letzten Zeit erlittenen Befall kontrolliert werden

Wenden Sie sich bitte für weitere Informationen direkt an unsere Systemtechnik und verfolgen Sie bitte die Veröffentlichungen auf unserer Website.