Top Thema
HAFNIUM: Das große Minenräumen
Stellen Sie sich vor, es ist Krieg und niemand kriegt’s mit: Weitgehend unbemerkt vom öffentlichen Leben, welches sich – zu Recht – um Corona und das Wahljahr 2021 dreht, kämpfen IT‘ler weltweit mit Überstunden und Wochenendschichten gegen einen unsichtbaren Feind. Um den dritten März, als der Software-Hersteller Microsoft außer der Reihe gleich mehrere kritische Updates für sein Flaggschiff-E-Mail-Produkt Exchange vorab veröffentlicht hat, war zunächst eine erste Welle von Angriffen durchs World Wide Web gefegt. Diese trafen auf hunderttausende verwundbare Systeme, alleine über 60.000 zu dem Zeitpunkt in Deutschland. Doch die negativen Effekte dieses Flächenbombardements durch mutmaßlich zum Teil von China gesponserte APT-Gruppen waren zunächst nur an ausgewählten Stellen zu bemerken: einige Spionageopfer im Rüstungsbereich in den USA, ein paar virologische Institute, Kanzleien, Think Tanks und NGOs – also die typischen Ziellisten von Nachrichtendiensten und anderen Cyberspionage-Akteuren. Auch in Deutschland gab und gibt es viele Fälle zu beklagen; Incident-Response-Dienstleister mussten sich strecken, um kurzfristig genügend Personal für die vielen Fälle freizumachen. Vor allem aber startete die große Suche, welche Installationen weltweit schnell noch mit sogenannten Webshells versehen worden waren: Hintertüren, über die die Angreifer oder andere Kundige jederzeit wiederkommen können, selbst wenn die eigentliche Sicherheitslücke schon behoben wurde.
Nun geht das große Zittern um, obwohl sich die fernöstlichen Nachrichtendienste und Militärs längst anderen Cybergebieten zugewandt haben. Niemand kann genau voraussagen, wie schnell organisierte kriminelle Banden die Ausnutzung der zurückgelassenen Sprengsätze soweit automatisiert bekommen, dass eine potenziell verheerende Welle der Zerstörung droht. Durch diese Hintertüren lassen sich Datenabgriffe wie der sämtlicher Unternehmens-E-Mails vornehmen, denn mit Exchange sitzt ein Angreifer ja auf der Datenquelle. Insbesondere lassen sich allerdings verschiedene Formen von Schadcode einschleusen, von den noch eher harmlosen Crypto-Minern, welche die Infrastruktur zwingen, nach Bitcoin und Co. zu schürfen, bis zur gefürchteten Ransomware-Erpressung, die Unternehmen bisweilen ins Verderben reißt.
2017 hatte der junge britische Computervirenentwickler und dann -erforscher Marcus Hutchins einen ähnlich großflächigen Erpresser-Angriff fast im Alleingang aufhalten können, indem er geistesgegenwärtig eine Domain übernahm, die der Fernsteuerung der WannaCry-Ransomware diente. Bei HAFNIUM 2021 gibt es keinen vergleichbaren „Kill Switch“ – die Lösung des Problems muss von den Fußtruppen durch Installation der Patches und Prüfung auf mögliche Kompromittierung erledigt werden, Server für Server. Und zwar schnell, bevor die zweite Welle über uns alle hereinbricht.
Hersteller wie Microsoft bemühen sich zwar, Werkzeuge zur Unterstützung bereitzustellen. Auch deutsche Unternehmen gehen ungewöhnliche Wege und stellen Informationen, Hilfsmittel und Zeit kostenlos zur Verfügung, um den Admins Schützenhilfe zu leisten. Es bleibt jedoch ein knappes Rennen, ob es in den nächsten Wochen gelingen wird, möglichst viele der verwanzten E-Mail-Server in Deutschland noch zu erkennen und zu sichern und vor allem diejenigen wachzurütteln, die auf ihren IT-Systemen noch nicht nach Zeitbomben gesucht haben.
https://research.hisolutions.com/category/hafnium/
Neuigkeiten
Oh weh, Asche… The Ruf Is On Fire
Ein Stück des Vertrauens in die europäische Fähigkeit, eine wettbewerbsfähige eigene Cloud aufzubauen, ist zuletzt in Rauch aufgegangen, als eben dieses mit dem Straßburger Rechenzentrum des französischen Cloud-Riesen OVH („Oh Ve Asch“) passierte. Ursache war offenbar eine defekte UPS. So etwas kann passieren, einerseits. Andererseits sollten im Normalfall mehrere Schichten von Maßnahmen verhindern, dass ein derart großer Schaden entstehen kann wie in diesem Fall. Vor allem aber mussten viele Cloud-Kunden schmerzhaft lernen, dass nicht jeder Aspekt von Backup und Notfallplanung bei Cloud-Angeboten automatisch oder gar kostenlos mit dabei ist. Hauptgeschädigter aber dürfte – berechtigt oder nicht – der Ruf der EU sein, in Sachen Digitalisierung (und Sicherheit) ganz vorne mitzuspielen.
https://godecrypt.com/news/latest/ovh-data-center-fire-likely-caused-by-faulty-ups-power-supply/
HISOLUTIONS
Besondere Zeiten erfordern besondere Maßnahmen
Wie Sie den Medien entnehmen konnten – oder in nicht wenigen Fällen auch in der eigenen Betroffenheit feststellen mussten – beherrscht das Thema der kritischen Microsoft-Exchange-Lücken zur Zeit die IT-Branche. Bei HiSolutions mussten wir aufgrund des sprunghaft gestiegenen Bedarfs an Incident Response und Forensik zum Teil Projekte in anderen Themenbereichen bremsen, sodass aktuell viele Kolleginnen und Kollegen die Überlast auffangen und betroffenen Unternehmen kurzfristig helfen konnten und können. Wir bitten daher um Verständnis, wenn der Zeitplan des einen oder anderen Projektes aktuell angepasst werden musste und danken vor allem im Sinne der teilweise sogar in der Existenz bedrohten Betroffenen für das große Verständnis – und dafür, dass wir alle gemeinsam an der Bewältigung dieser Krise arbeiten!
Aktuell können wir daher auch nicht wie gewohnt alle Consulting-Projektanfragen zügig annehmen und mit üblicher Personalstärke bearbeiten. Da sich die Lage für die akut Betroffenen etwas zu beruhigen scheint, werden wir Ihnen nun schrittweise auch wieder die gewohnte Unterstützung bereitstellen.
Alle auf Basis unserer Erfahrungen erarbeiteten Informationen und teilweise sogar tagesaktuell überarbeiteten Hilfsmittel zum Thema HAFNIUM stellen wir frei zur Verfügung. Darüber hinaus können Sie hier auch für anstehende Projektanfragen Ihr Interesse vormerken:
https://research.hisolutions.com/category/hafnium/
Roger, Federation, Game Over: HAFNIUM-Schwachstellen: Office 365/Microsoft 365/AD FS indirekt auch bedroht
Viele Institutionen konnten sich in der HAFNIUM-Krise damit beruhigen, dass sie ihr Exchange in der Cloud betreiben und damit, ganz hochoffiziell von Microsoft bestätigt, nicht für ProxyLogon und die anderen Schwachstellen unter der HAFNIUM-Überschrift anfällig sind. Einige sollten sich nicht zu sehr darauf ausruhen. Der folgende Blogbeitrag betrachtet, welche Gefahren zumindest bei hybriden Exchange-Infrastrukturen mit Installation On-Premises und den Cloud-Diensten ADFS und Exchange Online als Folge von HAFNIUM drohen können.
Hyperventilierer: Azure-Ausfall
Auch große Cloud-Anbieter, sogenannte Hyperscaler, mussten in diesem Monat einstecken und ein paar „Neunen“* verloren geben, als Microsofts zentraler Dienst Azure Active Directory in die Knie ging und dabei u. a. auch Teams, Office und Dynamics mit sich riss. Ein schneller Fix versagte, sodass erst nach etwa 16 Stunden die volle Verfügbarkeit wiederhergestellt werden konnte.
* In „Neunen“ wird die Verfügbarkeit von Cloud-Diensten gemessen (3 bzw. 5 nines = 99,9 % bzw. 99,999 % Verfügbarkeit).
Einmal mit Profils: TeleTrusT-Profile zur IEC 62443-4-2
Der TeleTrusT-Verband hat sich der komplexen Normenfamilie IEC 62443 angenommen und für den Teil 4-2, der die technischen Sicherheitsanforderungen an Komponenten der Automatisierungstechnik beschreibt, zwei Profile entwickelt. Diese beschreiben für die konkreten Komponententypen Industrial Firewall und Security Gateway, wie die Anforderungen der Norm umgesetzt werden können, und erleichtern damit Herstellung wie Auditierung.
https://www.teletrust.de/publikationen/teletrust-iec-62443-4-2/
Schnelltest auf der Datenautobahn: Corona-Daten geleakt
Die Begriffe Corona und Security liest man am liebsten nicht in einem Presseartikel. Leider kam es in dem folgend beschriebenen Fall doch genau so, als die personenbezogenen Daten von 130.000 Getesteten frei im Internet verfügbar waren. Schuld war wohl die Terminvergabesoftware – und mittelbar möglicherweise der Zeitdruck bei der Entwicklung.
Lesetipps
Blick in die Vergangenheit
Dieser hilft oft, die Gegenwart besser zu verstehen, wie das 2013er-Paper von Daniel Bilar, George Cybenko und John Murphy zu quantitativen Attack-Graphen und dem mess- und vorhersagbaren Katz- und Mausspiel zwischen Angreifern und Verteidigern.
https://www.researchgate.net/publication/302440461_Adversarial_Dynamics_The_Conficker_Case_Study
Blick in die Zukunft
Bare Metal und VMs haben wir alle verstanden, mehr oder weniger. Container auch so halbwegs, also vielleicht. Bei Serverless (aka FaaS – Function as a Service) und Edge Computing sind wir uns da selbst nicht mehr so sicher. Wenn jemand diese Begriffe nicht nur auf eine Folie bekommt, sondern durch die pure Darstellung gleich noch mit voraussagt, warum wir alle bei Lambda und Fastly landen werden, kann das nur Kelly Shortridge.
https://swagitda.com/blog/posts/spectrum-of-compute/
Blick in die Gegenwart
Wenn Sie diesen fördern wollen, teilen Sie doch – so er Ihnen gefällt – diesen Newsletter und empfehlen Sie uns weiter! Vielen Dank.
https://www.hisolutions.com/digest
Der nächste HiSolutions-Cybersecurity Digest erscheint Ende April 2021.
Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!