Top Thema
Log4Shell4Ever – Die größte Schwachstelle aller Zeiten?
Bei der Beschreibung der kritischen Schwachstelle „Log4Shell“ – bzw. Schwachstellen, wie man inzwischen sagen muss – in der Java-Logging-Library Log4j überschlagen sich die Kommentatorinnen und Kommentatoren in Superlativen: Größte! Kritischste! In der Geschichte! Dabei sind heute noch weniger Schäden aufgetreten als etwa durch die Hafnium-Lücke im Frühjahr oder gar durch NotPetya 2017. Trotzdem schießen die Charakterisierungen nicht übers Ziel hinaus – aus drei Gründen:
Zum einen ist da die Einfachheit der Ausnutzung. Es ist richtig, eine RCE (Remote Code Execution) bedeutet nicht gleich die Ausführung von Code in einem interessanten Kontext, und ein Ausbruch aus einer Java-Laufzeitumgebung will auch erst einmal geschafft sein. Fähigen Akteuren stellt dies jedoch keine unüberbrückbaren Hindernisse in den Weg – und die Exfiltration kritischer Informationen ist in bestimmten Fällen sogar trivial, genauso wie ein Denial of Service.
Zum zweiten ist das Problem zwar theoretisch leicht behoben – zumindest, wenn wir das Katz-und-Maus-Spiel zwischen Patches und neuen Schwachstellen als „Beheben“ bezeichnen wollen. Aber in der Praxis gestaltet es sich doch als komplex und aufwändig, allein die verschiedenen Instanzen der verwundbaren Klassen in Systemen, Appliances, Bytecode-Binaries und mehrfach verschachtelten Java-Archiven zu finden. Ganz zu schweigen von Herstellern, denen man hinterherlaufen muss, erlöschenden Gewährleistungen und gefährdeten Zulassungen.
Entscheidend ist jedoch drittens der Faktor Zeit: Bisher sind besonders schmerzhafte Angriffe vor allem deshalb noch kaum zu verzeichnen, weil diese Vorbereitung und Ressourcen benötigen. Ein Krypto-Miner ist schnell abgeworfen und kostet (jedenfalls die Angreifer!) nichts im Betrieb. Ganz anders eine Ransomware-Betriebsorganisation. Hier wird es noch eine kleine Weile dauern, bis die industrielle „Verarbeitung“ von Log4j-Schwachstellen angelaufen ist.
Wir sollten uns daher auf einen heißen Winter einstellen.
Hier finden Sie immer unsere aktuelle Hilfe zur Selbsthilfe Log4j:
https://research.hisolutions.com/log4shell
Neuigkeiten
Es emotet wieder: Trickbot reanimiert Emotet
Groß war die Freude, als Anfang dieses Jahres die Infrastruktur der gefürchteten Schadsoftware Emotet zerschlagen worden war. Seither war es ruhig geworden um die Kampagne – bzw. hatten andere Gruppierungen die Lücke gefüllt.
Nun haucht ein alter Kumpel Emotet neues Leben ein: Trickbot und Emotet sind früher schon als teuflisches Duo aufgetreten, die sich gegenseitig huckepack nahmen. Aktuell sorgt Trickbot nun für eine neuerliche Verbreitung von Emotet, welches in der Rangliste der „beliebtesten“ Malwares der Welt schon wieder auf Rang sieben aufgestiegen ist.
https://www.infopoint-security.de/trickbot-erweckt-emotet-wieder-zum-leben/a29792/
HiSolutions
BCM-Kampfansage an Omikron
Auch die bereits erwähnte Omikron-Welle hält uns in Atem. Der Expertenrat der Bundesregierung sieht Personalausfälle – unter anderem in kritischen Infrastrukturen – als eine reelle Gefahr, auf die Institutionen vorbereitet sein sollten. HiSolutions sagt Omikron mit einer Sonderausgabe der BCM-News den Kampf an:
Mit 10 Leitfragen können Unternehmen ihr Business Continuity Management überprüfen und die Basis für eine solide Vorbereitung auf mögliche Auswirkungen der neuen Corona-Variante schaffen.
https://www.hisolutions.com/detail/hisolutions-sonder-bcm-news-dezember-2021-kampfansage-an-omikron
Nix da-tei – Fileless Malware DarkWatchmen
Unter dem Namen „DarkWatchmen“ ist eine neuartige Malware im Umlauf. Besonders an ihr ist die Nutzung der Windows Registry als Speicherort, um Antivirensoftware zu umgehen. Gespeichert werden die gesammelten Daten des eingebauten Keyloggers. Sehr wahrscheinlich dient die Malware zudem als Dropper, um weiteren Schadcode nachzuladen.
https://thehackernews.com/2021/12/new-fileless-malware-uses-windows.html
Geklaute Cloud klaut: Missbrauch unsicherer Cloudinstanzen
Nicht ausreichend abgesicherte Cloudinstanzen werden zunehmend missbraucht, um als Basis für Angriffe durch Krypto-Miner, Ransomware oder Phishing-Angriffe zu dienen. Ebenfalls beliebt ist das Erzeugen von YouTube-Traffic zu Betrugszwecken.
In den meisten Fällen kommen die Angreifer dabei über schwache oder gar fehlende Passwörter ans Ziel, gefolgt von Schwachstellen in installierter Third-Party-Software.
https://thehackernews.com/2021/11/hackers-using-compromised-google-cloud.html
Von hinten durch die Brust ins Knie: Supply-Chain-Angriff über npm gegen Discord
Kriminelle haben versucht, Pakete im Node.js-Paketmanager npm zu infizieren, um so an Authentisierungscodes für Discord-Server (sogenannte Discord Tokens) zu gelangen. Sollte dies gelingen, können die gestohlenen Premium-Accounts verkauft, die Server als C&C-Server missbraucht oder Malware über die Server verbreitet werden.
Ex-no-change: 30 % verwundbare OWAs
Das CERT Bund berichtet, dass rund 30 % (12.000) der ihnen bekannten Exchange-Server 2013/2016/2019 mit frei erreichbarem OWA in Deutschland aktuell durch mindestens eine kritische Schwachstelle verwundbar sind, da sie mit einem veralteten Cumulative-Update-Stand laufen, für den keine Patches verfügbar sind.
https://twitter.com/certbund/status/1465705906880991247
SMS von Vater Staat? Social Engineering gegen Iraner
Viele iranische Bürger fielen zuletzt einem Social-Engineering-Angriff zum Opfer. Die Übeltäter verschickten SMS im Namen der iranischen Regierung mit der Aufforderung, Android-Apps herunterzuladen. Auf den ersten Blick wirken diese wie offizielle Apps der Regierung. Tatsächlich kompromittieren sie jedoch das Smartphone. Insgesamt wird vermutet, dass umgerechnet mehrere Millionen Euro durch die infizierten Geräte gestohlen wurden.
1, 2, Spy – Vorbei? NoSO Group
Die NSO Gruppe, bekannt für die umstrittene Spyware Pegasus, sucht Investoren oder einen möglichen Käufer. Dies könnte das Ende von Pegasus bedeuten. Bestimmte Staaten müssten sich somit in Zukunft eine andere Spyware zulegen.
Leider ist zu befürchten, dass Wissen und Expertise aus dem NSO-Vermächtnis weiterbestehen werden und auch in Zukunft dunklen Mächten mit genügend Kleingeld zur Verfügung stehen.
https://www.heise.de/news/Spyware-Ausverkauf-bei-NSO-Group-das-Ende-von-Pegasus-6294818.html
Can you hear the Gates FerNANDo – Atemberaubender iMessage-Exploit
Wäre die NSO Group nicht berüchtigt für ihre Dienste zum Zweck der Menschen- und Bürgerrechtsverletzung, fast könnte man ihr Ableben bedauern. Denn technisch genial war ihre Arbeit immer wieder. Das mussten auch die ihrerseits in der Regel genialen Mitarbeiterinnen und Mitarbeiter in Googles Project Zero erfahren, als sie einen „atemberaubenden“ Exploit von NSO für Apples iMessage-Dienst fanden.
Der Exploit benutzt einen Integer-Overflow, um ein logisches Gatter (NAND) zu basteln. Aus vielen dieser Gatter wiederum lässt sich ein kompletter virtueller Computer konstruieren. Der Zero-Klick-Exploit ermöglicht das Überwachen der betroffenen Smartphones. Es wird vermutet, dass ähnliche Exploits auch für Android existieren.
Medientipps
Datenentgiftung über die Feiertage
Data Detox x Youth ist ein Projekt, das jungen Menschen hilft, Kontrolle über ihre Technik zu erlangen. Mit einfachen Aufgaben zum Nachdenken und Spielen unterstützt das interaktive Handbuch Jugendliche dabei, sich Gedanken über verschiedene Aspekte ihres digitalen Lebens zu machen – von Social-Media-Profilen bis hin zu sicheren Passwörtern.
https://datadetoxkit.org/de/families/datadetox-x-youth
Datenspuren und Doppelgänger
Ein eindrucksvolles Multimediaprojekt zeigt, wie unser Innerstes aus unseren Datenspuren rekonstruiert werden kann. Geheimtipp für Erwachsene und Jugendliche.
https://www.madetomeasure.online/
Der nächste HiSolutions Cybersecurity Digest erscheint Ende Januar 2022.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!