Top Thema
OMIGOD: Cloud Supply Chain Pain
Kann es etwas Gutes bedeuten, wenn zwei der brummendsten Schlagworte gemeinsam im Titel des Top-Themas dieses Digests vorkommen? Nicht, wenn es sich um einen Security-Newsletter handelt!
Von Cloud-Risiken berichten wir immer häufiger an dieser Stelle – und Supply Chain Security war das Buzzword des letzten Jahres. Und jetzt auch noch beides auf einmal!?
Die Cloud ist bekanntlich "someone else's computer" und damit auch nur maximal so sicher, wie dieser Jemand seine Rechner im Griff hat. Das kann insbesondere dann tricky werden, wenn dieser Jemand hunderttausende Computer besonders effizient unter der Fuchtel haben möchte.
So geschehen im Fall von Azure, bei dem die Hosts bestimmter Azure-Dienste automatisch OMI installiert bekamen – ein nützliches kleines Tool, das beim Management der Maschinen hilft und welches hätte gepflegt werden müssen.
Nun klafften gleich vier kritische Schwachstellen in OMI – zusammengenommen OMIGOD getauft –, die konservativen Schätzungen zufolge die Kompromittierung zigtausender Azure-Services in tausenden von Tenants erlaubten.
Nach einigen Tagen gelang es Microsoft, das Problem an einigen Stellen zu fixen. Das Abdichten der Azure-Infrastruktur dauert an..
https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution
Neuigkeiten
2FA Too Far Away: Wo die Zweifaktorauthentifizierung nicht hin scheint
Mit Zwei- oder Mehrfaktorauthentifizierung (2FA/MFA) steht ein sehr starkes Werkzeug bereit, um Log-ins zusätzlich zu geeigneten Passwörtern noch stärker abzusichern.
Das Problem: Nicht alle Technologien können mit einem zweiten Faktor umgehen. Insbesondere ältere Protokolle wie SMPT, IMAP, POP oder MAPI müssen hier passen – und werden dadurch zum schwächsten Glied der Kette. Wie aktuelle Forschung von Microsoft zeigt, konzentriert sich inzwischen der Bärenanteil von Password-Spraying- und Credential-Stuffing-Attacken auf diese Einstiegspunkte. Es gilt also, möglichst viele der Protokolle zu deaktivieren oder anderweitig protokollfremd abzusichern.
HiSolutions
Welche Schwachstellen tauchen in der Praxis besonders häufig auf, und welche stellen besonders schwerwiegende Lücken dar? Einen Einblick in den aktuellen Trend der Sicherheitslage bietet der HiSolutions Schwachstellenreport 2021.
https://www.hisolutions.com/detail/hisolutions-schwachstellenreport-2021
Krumme Signa-Tour: Schadsoftware tarnt sich geschickt
Normalerweise würden Schadsoftware-Entwickler die eigene Großmutter verkaufen, um ein korrektes Softwarezertifikat vorweisen zu können, dem das Opfersystem vertraut. Denn dadurch erfolgt die Erkennung des Schädlings ggf. verzögert. Nicht so die "unerwünschte Anwendung" OpenSUpdater: Hier wurde absichtlich ein Fehler ins ansonsten gültige Zertifikat eingebaut, um den überprüfenden Parser zum Straucheln zu bringen. Der Effekt war zunächst derselbe – kein Flaggen des Programms –, allerdings nachhaltiger, denn auch ein fehlerhaftes oder gesperrtes Zertifikat konnte so nicht auffallen.
Faxen satt: Erste Datenschutzbeauftragte gegen Fax
Ein Wunder, dass es so lange sakrosankt war: Das gute alte Fax, immer noch vielfach eine rechtssichere Alternative zur Wahrung der Schriftform, wird nun vom hessischen Datenschutzbeauftragten angegriffen.
Fachlich macht es Sinn, denn natürlich ist es technisch etwa ein Leichtes, Inhalte eines Faxes unterwegs zu verfälschen oder abzuhören. Interessant bleibt allerdings, wie sich diese Interpretation zukünftig auf andere Medientypen auswirkt, denn selbstverständlich sind auch Telefonate nicht ideal vor unbefugten Ohren geschützt.
Passt nicht: DoS-Angriff auf niederländischen Corona-Pass
Der verpflichtende niederländische Corona-Pass zum Nachweis des eigenen 3G-Status konnte aufgrund eines Denial-of-Service-Angriffes nicht wie geplant starten. Angreifer hatten die Serverkapazitäten gezielt überlastet, sodass zeitweise die notwendigen QR-Codes nicht heruntergeladen werden konnten.
Wählt doch: DoS-Angriff auf Bundeswahlleiter
Auch die offizielle Website bundeswahlleiter.de musste Ende August eine DoS-Attacke unbekannten Ursprungs erdulden. Der Angriff konnte durch das Team des Bundeswahlleiters selbstständig gestoppt werden, indem die Seite angepasst wurde. Wahlrelevante Systeme waren nicht betroffen.
Jailbreak mit Windows 7: Videos aus dem Foltergefängnis
Politische Aktivisten konnten mehrere Gigabyte Daten, darunter auch Videoaufzeichnungen, aus dem berüchtigten Evin-Gefängnis im Iran entwenden und veröffentlichen. Die Systeme der Anstalt liefen wohl noch auf einem veralteten Windows 7. Der Iran war in den letzten Monaten immer wieder Ziel von Angriffen auf öffentliche und kritische Infrastrukturen.
https://www.heise.de/news/Hacker-veroeffentlichen-Bilder-aus-Irans-Folterknast-6173537.html
Tragic CI: DevOps-Tool verteilt Geheimnisse
Die weitverbreitete Continuous-Integration-(CI)-Lösung Travis CI hat für einen Aufschrei gesorgt. Nicht nur hat das Tool durch einen Fehler private Geheimnisse, die den Zugriff auf Code und Infrastrukturen steuern können, an Unbefugte verteilt. Die Entwickler haben auch noch äußerst unprofessionell auf die Meldung der kritischen Schwachstelle reagiert. Erst lauter Protest der Community führte dazu, dass der Bug gefixt und ein kleines Advisory veröffentlicht wurden.
Lesetipps
Nicht das volle, aber ein volles Bild
.. zeichnet diese Seite mit bekannten Ransomware-Angriffen – geografisch.
Nicht voll-, aber ständig
… listet dieses Spreadsheet bekannte, „in the wild“ ausgenutzte 0days auf.
Voll spannend:
Zur 100. Folge hat sich der Podcast "Darknet Diaries" ein besonders interessantes Thema vorgeknöpft: die berüchtigte NSO Group und ihre Smartphone Spyware Pegasus.
https://darknetdiaries.com/episode/100/
Der nächste HiSolutions-Cybersecurity Digest erscheint Ende Oktober 2021.
Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!