Kategorien
Alle Sicherheit Teams (Microsoft)

Gefährlicher Gast: So nutzen Angreifer Microsoft Teams für Malware-Angriffe

Auch intern genutzte Plattformen wie Microsoft Teams können für Malware-Angriffe missbraucht werden. Eine Schwachstelle ist der standardmäßig aktivierte Gastzugriff, der es externen Nutzern ermöglicht, an Chats teilzunehmen.

Angreifer können über diesen Zugang Dateien mit „doppelter Dateierweiterung“ einschleusen – z. B. vermeintliche PDF-Dateien, die in Wahrheit schädliche „MSI“-Dateien sind, welche Malware wie Darkgate installieren. Die verseuchten Dateien stellen sich dem gutgläubigen Anwender als PDF-Datei dar, weil das Dateisystem „MSI“-Dateien normalerweise vor dem Anwender versteckt.

Um das Risiko zu minimieren, sollte der Gastzugriff deaktiviert werden, wenn er nicht benötigt wird. Dies schützt sowohl vor Malware als auch vor unbeabsichtigtem Teilen sensibler Informationen mit externen Nutzern.

Kategorien
365 (Microsoft) Alle Cloud Datenschutz Sicherheit

Erneute Zero-Click-Sicherheitslücke in Outlook

Erneut ist eine Sicherheitslücke in Microsoft Outlook bekannt geworden, die es Angreifern ermöglicht, auch ohne Benutzerinteraktion Schadcode aus der Ferne auszuführen. Wie schon die Schwachstelle CVE-2024-30103 wurde auch die jetzt veröffentlichte von den Sicherheitsforschern von Morphisec entdeckt. Die als CVE-2024-38021 registrierte Sicherheitslücke wird von Microsoft als weniger kritisch eingestuft, da sie angeblich nur bei geblockten Inhalten ausnutzbar ist.

Morphisec widerspricht und betont, dass bei vertrauenswürdigen Absendern keinerlei Nutzerinteraktion notwendig sei. Die Forscher fordern daher eine Neubewertung der Bedrohung durch Microsoft. Outlook-Nutzer sollten dringend die bereitgestellten Patches installieren, um Datenabflüsse und unbefugte Zugriffe zu verhindern. Technische Details zu dieser und einer weiteren kürzlich entdeckten Schwachstelle werden auf der Defcon 32 im August präsentiert.

Kategorien
Alle Sicherheit Systemtechnik

Einfallstor Cisco-Switch: Hackergruppe Velvet Ant schlägt zu

Cisco hat eine Sicherheitslücke in der NX-OS-Software mehrerer Switch-Modellreihen bekannt gegeben, die seit mindestens April von Hackern ausgenutzt wird. Die Schwachstelle – registriert als CVE-2024-20399 – ermöglicht es authentifizierten Angreifern, auf betroffenen Switches mit Root-Rechten beliebige Befehle auszuführen.

Ursache ist eine unzureichende Validierung von Argumenten in bestimmten Konfigurations-CLI-Befehlen. Ein Admin-Zugang ist notwendig, um die Lücke auszunutzen, was die Erkennung von Angriffen erschwert. Betroffene Switches sind unter anderem aus den Serien MDS 9000, Nexus 3000 und Nexus 9000.

Cisco hat einen Patch bereitgestellt und Administratoren wird dringend empfohlen, diesen zu installieren. Die US-amerikanische Cybersicherheitsbehörde CISA und das Cybersicherheitsunternehmen Sygnia haben ebenfalls vor der Schwachstelle gewarnt und Angriffe mit der Velvet Ant Hackergruppe in Verbindung gebracht.

Kategorien
365 (Microsoft) Alle Datenschutz Sicherheit Systemtechnik

Bloßes Öffnen genügt: Sicherheitslücke in Outlook

Das Cybersicherheitsunternehmen Morphisec warnt vor einer gefährlichen Schwachstelle in Microsoft Outlook, die sog. Remote Code Execution (das ausführen von Schadcode von einem entfernten Standort) ermöglicht. Diese Schwachstelle (registriert als CVE-2024-30103 mit einem Schweregrad von 8,8) kann durch das bloße Öffnen einer speziell gestalteten E-Mail ausgenutzt werden, ohne dass Nutzerinteraktion erforderlich ist. Besonders gefährdet sind Konten, die E-Mails automatisch öffnen. Dies könnte zu Datenlecks, unbefugten Zugriffen oder anderen böswilligen Aktivitäten führen. Microsoft hält eine aktive Ausnutzung für weniger wahrscheinlich, während Morphisec die Gefahr höher einschätzt. Ein Patch ist seit dem 11. Juni verfügbar, und Anwender sollten ihre Outlook-Clients umgehend aktualisieren.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Cisco Firepower: Kritische Sicherheitslücke

Am 1. November 2023 entdeckte Cisco eine ernstzunehmende Sicherheitslücke in seiner Firepower Management Center (FMC) Software, die unter der Bezeichnung CVE-2023-20048 geführt wird. Diese Schwachstelle erhielt eine Bewertung von 9,9 im Common Vulnerability Scoring System (CVSS), was sie zu einer der schwerwiegendsten bisher entdeckten Sicherheitslücken macht.

Die Ursache der Sicherheitslücke liegt in der Webschnittstelle der FMC-Software. Ein authentifizierter, remote auftretender Angreifer kann bestimmte nicht autorisierte Konfigurationsbefehle auf einem von der FMC-Software verwalteten Firepower Threat Defense (FTD) Gerät ausführen. Der Fehler tritt aufgrund einer unzureichenden Autorisierung von über die Webschnittstelle gesendeten Konfigurationsbefehlen auf. Diese ernsthafte Sicherheitslücke drängt tief in die Kernfunktionalität der FMC-Software und bedroht die Integrität der Netzwerkverteidigungen.

Cisco hat auf diese Entdeckung reagiert und Patches bereitgestellt, um die Sicherheitslücke zu schließen und die Netzwerksicherheit seiner Kunden zu gewährleisten. Nutzer und Administratoren werden dringend empfohlen, die bereitgestellten Patches zu installieren, um ihre Netzwerkinfrastruktur vor möglichen Angriffen zu schützen.

Kategorien
365 (Microsoft) Alle Sicherheit Systemtechnik Unternehmen

Kritische Sicherheitslücken in Exchange

In Microsoft Exchange sind vergangenes Wochenende die kritischen Sicherheitslücken CVE-2022-41040 und CVE-2022-41082 bekannt geworden. Betroffen sind die Versionen Microsoft Exchange Server 2013, 2016 und 2019. Gegenwärtig existiert noch kein Softwarepatch.

Wir haben am Wochenende die Sicherheitslücke analysiert und die Exchange-Installationen unserer Rechenzentrumskunden bearbeitet, um diese Sicherheitslücke behelfsweise zu schließen. Zugleich haben wir geprüft, ob diese Sicherheitslücke bereits ausgenutzt worden ist. Wenn Sie Ihre Exchange-Installation on premise eigenständig betreuen, so sollten Sie sich zeitnah mit Ihrem Systembetreuer in Verbindung setzen, um einen Schadcodebefall Ihres Systems zu vermeiden.

Die Sicherheitslücke begünstigt eine sog. Remote Code Execution – bei der ein Angreifer remote bzw. aus der Ferne potentiell schädlichen Code ausführen können. Die aktuelle Sicherheitslücke weist große Überschneidungen mit den ProxyShell-Schwachstellen aus dem vergangenen Jahr auf, was unweigerlich die Frage aufwirft, ob der Softwareanbieter aus Redmond in Washington in Interesse seiner Kunden von einer adäquaten geeigneten Sicherheitskultur geleitet wird.

Kategorien
Alle Sicherheit Systemtechnik

Kritische Sicherheitslücke in MS Exchange-Servern

Mit den kürzlich bekannt gewordenen Sicherheitslücken für Microsoft Exchange 2010, 2013, 2016 und 2019 Server ist wieder einmal ein Worst-Case-Szenario eingetreten, welches unmittelbaren Handlungsbedarf hervorruft.

Der Ablauf eines durch diese Schwachstellen möglichen Angriffs erfolgt in folgender Reihenfolge:

1.       Zunächst wird eine als CVE-2021-26855 dokumentierte SSRF-Schwachstelle (Server-Side Request Forgery) ausgenutzt, um beliebige HTTP-Anfragen zu senden und sich als Microsoft Exchange-Server zu authentifizieren.

2.       Unter Verwendung der unter 1. erfolgten Authentifizierung auf SYSTEM-Ebene werden SOAP-Payloads gesendet, die vom Unified Messaging Service unsicher deserialisiert werden, wie in CVE-2021-26857 dokumentiert. 

3.       Zusätzlich werden CVE-2021-26858 und CVE-2021-27065 ausgenutzt, um beliebige Dateien wie z. B. Webshells hochzuladen, die eine weitere Exploitation des Systems ermöglichen. Das kompromittierte System wird dann genutzt um weitere Systeme im Netzwerk zu kompromittieren. Für das Schreiben der Dateien ist eine Authentifizierung erforderlich, die jedoch mit CVE-2021-26855 umgangen werden kann.

Im Vergleich zu bislang bekannt gewordenen Exploits werden die o.g. Exploits bereits aktiv ausgenutzt und stellen so Administratoren weltweit vor das große Problem der Beseitigung der Lücken und dem gleichzeitigen Aufspüren möglicher Verbreitungen von Backdoors und Schadsoftware im kompromittierten Netz.

Unmittelbar nach Bekanntwerden der Schwachstellen begannen bei der Arconda Systems AG die erforderlichen Prozesse zur Benachrichtigung unserer Kunden, sowie die Mitigation der Bedrohung durch schnelles Patchen und weiterer diagnositischer Scans in unserem Rechenzentrum für unsere Hosted Exchange Lösungen. Unsere umfangreichen Vorsorgen zur Identifizierung von Eindringlingen (Intrusion Detection), sowie State-of-the-Art Virenscanner ermöglichten es uns schnellstmöglich festzustellen, daß die bei uns gehosteten Kundensysteme zu keiner Zeit kompromittiert worden sind.

Für alle Exchange-System gilt:

  1. Systeme aktualisieren und die Sicherheitslücke ab sofort schließen
  2. Alle aktualisierten Systeme müssen auf einen möglicherweise bereits in der letzten Zeit erlittenen Befall kontrolliert werden

Wenden Sie sich bitte für weitere Informationen direkt an unsere Systemtechnik und verfolgen Sie bitte die Veröffentlichungen auf unserer Website.

Kategorien
Alle Teams (Microsoft) VoIP und 3CX

Zusätzlicher Schutz für Microsoft Teams und SharePoint

Office 365 verfügt bereits über einen eingebauten Virenschutz – die Microsoft Exchange Online Protection (EOP). Dieses Produkt ist in allen Microsoft 365 Plänen enthalten, die Exchange Online umfassen. EOP bietet Spamfilter, Virenschutz, Transportregeln und Berichte/Protokolle. Leider bietet EOP keinen Schutz vor Zero-Day-Exploit-Attacks, bei denen Schwachstellen ausgenutzt werden, bevor diese durch einen Fix/Patch des Softwareherstellers geschlossen werden können.

Aus diesem Grund wird konzeptionell eine Sandboxing Strategie benötigt, bei welcher die als bedrohlich eingestufte E-Mails erst einmal in einem geschützten Bereich eines Rechenzentrums geöffnet und geprüft werden. Nur wenn sich dann kein Bedrohungspotential zeigt, bekommen Sie die E-Mail zugestellt.

Microsoft bietet dafür die sog. Advanced Threat Protection (ATP), die im „großen“ Office E5-Plan (28.05.20: 34,40 € pro Benutzer im Jahresabonnement) enthalten ist. Zu anderen Plänen kann es als Office 365 Advanced Threat Protection (Plan 1) für 1,69 € pro Benutzer im Jahresabonnement oder für 4,20 € in der Vollversion (Plan 2) zugekauft werden.

An dieser Stelle setzt Kaspersky Security for Microsoft Office 365 an. Zum sportlichen Preis von 2,08 € pro Benutzer im Jahresabonnement bietet das Produkt ein umfangreiches Bündel an Schutzmaßnahmen, wobei die Erkennungsrate dem Microsoft Produkt ebenbürtig oder gar überlegen ist:

Stoppt Phishing und Business Email Compromise

Mittels Phishing kann Malware und Ransomware in Ihr Netzwerk eingeschleust werden.

Kaspersky Security for Microsoft Office 365 nutzt eine Reihe bewährter Methoden:

  • SPF, DKIM und DMARC
  • Threat Intelligence aus dem Kaspersky Security Network
  • Fortschrittliches Anti-Spoofing und maschinelles Lernen, um selbst die Angriffe zu entdecken, die am schwierigsten zu identifizieren sind.

Schneller, fortschrittlicher Bedrohungsschutz

Malware findet ihren Weg in Unternehmen häufig per E-Mail und wird in der Cloud gehostet.

Die Anti-Malware-Engine von Kaspersky kombiniert:

  • Fortschrittliche heuristische und verhaltensbasierte Analysen
  • Signaturbasierten Schutz
  • Threat Intelligence aus dem Kaspersky Security Network um umgehend hoch entwickelte Bedrohungen in allen Anwendungen zu identifizieren, einschließlich Microsoft Exchange Online, OneDrive, SharePoint Online und Teams.

Einfache Bereitstellung und Bedienung

Die Nahtlose Integration in Microsoft Office 365 und Azure ist dank nativer Kontrolle gewährleistet.

Ihre derzeitige Filterungslösung muss nicht deinstalliert werden: Eine gemeinsame Verwendung mit jeder anderen Lösung ist möglich.