HiSolutions Cybersecurity Digest Januar 2023

Doch lieber Zettel unter der Tastatur? Sicherheitslücken in Passwortmanagern

Natürlich ist das berühmte (und leider auch in einigen unserer Audits anzutreffende) Post-it am Monitor oder unter der Tastatur keine Lösung zum Speichern von Passwörtern. Passwortmanager sind angetreten, um das Problem zu lösen, dass sich Menschen nur wenige technisch sichere Passwörter merken können. Auch wir empfehlen die Nutzung regelmäßig, da so für jeden Dienst und jedes System ein individuelles, und vor allem auch bei Brute-Force-Angriffen sicheres Passwort leicht erzeugt werden kann. Gleichzeitig wird der Passwortmanager damit zu einem Generalschlüssel und lohnenden Ziel für Angreifer – ein neues Risiko, das man berücksichtigen muss.

Mehrere Vorfälle in der Vorweihnachtszeit haben gezeigt, wie real dieses Risiko werden kann. Die meiste Beachtung fand der Sicherheitsvorfall beim Anbieter LastPass. LastPass informierte die Nutzer bereits im August über den Vorfall. Zum damaligen Zeitpunkt ging man aber davon aus, dass die Angreifer zwar Zugriff auf Entwicklersysteme hatten, Nutzerdaten und gespeicherte Passwörter aber nicht betroffen waren. Im Dezember musste LastPass nun auch Zugriffe auf Back-ups von Kundendaten einräumen. Die Passwortdatenbanken lassen sich zwar nur mit Kenntnis des Master-Passworts des jeweiligen Nutzers öffnen. Aber damit sind wir wieder beim initialen Problem: Menschen sind meist nicht gut im Ausdenken und Merken von technisch sicheren Passwörtern.

Das Risiko besteht nicht nur bei Online-Passwortmanagern: Die Kollegen von ModZero fanden bei der OnPremise-Lösung PasswordState gleich mehrere Lücken. Kombinierte ein Angreifer ohne Zugangsdaten diese geschickt, konnte er beliebige Zugangsdaten auslesen und auch überschreiben. Die Lücken sind bereits behoben – wenn man das Update von Anfang November eingespielt hat.

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

https://www.modzero.com/modlog/archives/2022/12/19/better_make_sure_your_password_manager_is_secure

 

Mehr als nur ein Versionsupdate: Die ISO/IEC 27001:2022

Im Oktober 2022 wurde die zentrale ISO-Norm zur Informationssicherheit aktualisiert. Die meisten Betroffenen haben sich vermutlich schon davor mit den Neuerungen beschäftigt. Aber nach einem Quartal in der Praxis ist eine erste Zwischenbilanz möglich. Zwei Neuerungen kristallisieren sich als typische Herausforderungen heraus: zum einen die Anforderung, die Bedrohungsentwicklung aktiv zu beobachten (Threat Intelligence), um auf strategischer, taktischer wie operativer Ebene reagieren zu können. Zum anderen bildet die jetzt nachzuweisende Cloud-Strategie für viele ebenfalls eine neue Challenge.

Die wichtigsten Änderungen: https://www.youtube.com/watch?v=53uwJY-mrIg

Cloud-Strategie: https://www.youtube.com/watch?v=nVlppw4EDuc

 

Chancen und Risiken liegen manchmal nur einen Fingerabdruck auseinander – wie bei der Biometrie

Während in der aktuellen <kes> verschiedene Experten den Einsatz von Biometrie im beruflichen Kontext diskutieren, wurde parallel bei der Konferenz „Hacking in Parallel“ die damit verbundene Gefahr am Beispiel eines militärischen Biometriegeräts gezeigt.

Mehrere Geräte zur biometrischen Identifikation von Personen konnten über Onlineauktionshäuser beschafft werden. Die untersuchten Geräte waren zuvor in Afghanistan im Einsatz und enthielten noch Daten. Das Missbrauchspotenzial ist bereits erschreckend groß, wenn diese Geräte durch die aktuellen Machthaber zur Identifikation von damaligen Unterstützern – etwa Ortskräfte des US-Militärs –  verwendet werden. Zudem zeigten die Forscher, dass sich die vermeintlichen Hightech-Geräte bei der biometrischen Erkennung leicht austricksen ließen und über Sicherheitslücken Zugriff auf interne Daten ermöglichten.

Die in der <kes> unabhängig davon befragten Experten hatten ähnliche Risiken auf dem Schirm. Biometrie ist im beruflichen Kontext recht wenig verbreitet, hält aber über die auf Mobiltelefonen und Tablets bei der Privatnutzung bereits etablierte Entsperrung mit Fingerabdruck oder Gesicht immer stärkere Verbreitung in Unternehmen. Während die Biometrie für Privatnutzer meist ein deutlicher Sicherheitsgewinn gegenüber der vierstelligen PIN ist, trifft sie im Unternehmenskontext auf etablierte Sicherheitsmechanismen – und das tatsächliche Schutzniveau und Missbrauchspotenzial muss individuell bewertet werden. 

https://pretalx.c3voc.de/hip-berlin-2022/talk/V7UFTL/

https://www.kes.info/archiv/heft-archiv/jahrgang-2022/ausgabe-20226/

 

Vom Berater bis zum Angreifer: Computer übernehmen die Jobs

Ende November gab die Firma OpenAI den Prototypen ihres Chatbots ChatGPT zum Ausprobieren durch die Community frei und die nutzte die Adventszeit für viele spannende und teils erschreckende Experimente. Was ist ChatGPT eigentlich? Tatsächlich, wie der Name sagt, ein Chatbot, den man mit Fragen zu recht komplexen Antworten bringen kann. Wie in einem Fachgespräch üblich, kann man ihn durch weitere Fragen oder Änderungswünsche die Antworten ergänzen und verbessern lassen. Der Chatbot kann nicht nur Texte schreiben, sondern auch einfache Programme entwickeln.

Vorsicht ist jedoch angesagt, damit der Bot seine Ergebnisse nicht zu sehr nach den vermeintlichen Wünschen des Fragestellers ausrichtet. Bei Tests mit typischen Beratungsfragen, also den Fragen, die ohne Kontext immer mit „Es kommt darauf an“ beantwortet werden, konnte ChatPGT sehr überzeugend beide Sichten begründen – allerdings ohne auf die jeweils andere Option einzugehen. Fragt man beispielsweise, wie mit schwachen SSL-Cipher-Einstellungen umgegangen werden soll, bekommt man je nach Fragestellung diese Antworten: 

Für die Einordnung der Ergebnisse der künstlichen Intelligenz ist dann doch wieder Fachwissen nötig.

ChatGPT kann aus einer kurzen Beschreibung heraus auch ein passendes Programm entwickeln. Das interessiert natürlich auch potenzielle Malware-Autoren. Die Kollegen von Check-Point haben in Foren erste Hinweise in Foren gefunden, dass mit Malware aus ChatGPT-generiertem Code experimentiert wurde. Ob sich das Entwicklungsmodell bei den Malware-Autoren durchsetzt oder diese Malware am Ende sogar leichter erkennbar sind, wird die Zukunft zeigen. 

https://www.heise.de/news/ChatGPT-Maechtige-Waffe-in-Haenden-von-Skriptkiddies-7452741.html

 

"Tschüss" Windows 8 und Windows Server 2012

Diesen Dienstag endete der Support für die letzte Version von Windows 8. Viele werden jetzt aufatmen, da sich diese Betriebssystem-Version kaum in professionellen Netzen durchsetzen konnte. Aber haben Sie schon den letzten Windows-7-Client aus Ihrem Netzwerk entfernen können – oder warten Sie noch auf das Update der einen Fachanwendung? Bei Windows 7 lief vorgestern auch die allerletzte Verlängerungsmöglichkeit mit dem kostenpflichtigen ESU (Extended Security Update) aus.

Unser Incident-Response-Team findet regelmäßig bei betroffenen Kunden stark veraltete Systeme (seltener Windows 8 auf den Clients, häufiger noch Windows Server 2008), die entweder selbst den Angriff begünstigt haben oder durch nötige Abwärtskompatibilitäten Härtungsmaßnahmen behindern.

Die korrespondierende Serverversion zu Windows 8 – Windows Server 2012 – wird auch in diesem Jahr, genauer im Oktober, ihr Support-Ende erreichen. Um rechtzeitig die Migration einplanen zu können, helfen Übersichtsseiten wie https://endoflife.date/.

 

Manchmal lauert der Angreifer auch schon drinnen

Angriffe durch Innentäter sind nicht ohne Grund der Schrecken jedes Sicherheitsverantwortlichen. Steckt doch inhärent der Konflikt darin, die richtige Balance zwischen vertrauensvoller Zusammenarbeit und kritischer Beobachtung von möglichen Missbräuchen zu finden. Daher werden Innentäter in Risikoanalysen immer gern kleingeredet. Auch wenn es keine schöne Vorstellung ist: es gibt sie doch.

Sehr drastisch ist der aktuell öffentlich diskutierte Fall, in dem ein BND-Mitarbeiter verdächtigt wird, vertrauliche Informationen an einen russischen Geheimdienst weitergegeben zu haben. Etwas kleiner, aber nicht weniger erschreckend ist ein ähnlicher Fall in den Niederlanden. Dort wurde ein Finanzbeamter angeklagt, da er verdächtigt wird, gegen Geld nach Nummernschildern, Adressen und sogar familiären Beziehungen gesucht zu haben.

Ähnliche Fälle gab es in der Vergangenheit auch bereits mit Support-Mitarbeitern, die Kundenkonten unberechtigt sperrten. Eine häufige Gemeinsamkeit ist, dass meist die regulären Zugriffsrechte und keine technische Schwachstelle ausgenutzt wird. Daher sind die Erkennung und auch die Aufklärung nur mit einem guten Konzept für Protokollierung und Monitoring möglich.

https://www.tagesschau.de/investigativ/ndr-wdr/bnd-russland-mutmasslicher-landesverrat-101.html

https://www.om.nl/actueel/nieuws/2023/01/03/eis-drie-jaar-cel-tegen-medewerker-belastingsdienst

 

Eine andere Art von Jahresrückblick: die am häufigsten ausgenutzten Sicherheitslücken 2022. Über die Reihenfolge kann man wie bei jedem Jahresrückblick streiten, aber unsere Forensiker hatten auch einen großen Wiedererkennungsanteil: https://medium.com/@wintersoldiersmtr/top-11-exploited-vulnerabilities-for-initial-access-and-compromise-in-22-e9770fe98975

 

Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Februar 2023

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: