Top Thema
BlueKeep of Death – Kommt der nächste Wurm?
Aktuell werden wieder Wetten angenommen, wann wir mit der nächsten wirklich großen Infektionswelle rechnen können. „BlueKeep“ – so der umgangssprachliche Name für die Schwachstelle CVE-2019-0708 vom Typ „nicht authentifizierte Remote Code Execution“ unter Windows 7, Windows Server 2008 und Windows Server 2008 R2 – hat Microsoft bereits am 14. Mai gepatcht. Aber noch, das war nicht anders zu erwarten, sind viele Systeme weltweit verwundbar. In den letzten vier Wochen haben Angreifer nun mit der systematischen Ausnutzung begonnen. Bisher produzieren sie meist Abstürze (Blue Screen). Außerdem scheinen die Angriffe bislang noch größtenteils manuell, also per Clicki-Bunti-Oberfläche oder Metasploit-Modul, durchgeführt zu werden und sind dementsprechend langsam und an übliche Arbeitszeiten gebunden. Das könnte sich jedoch ändern, sobald stabilere Exploits entwickelt werden, welche automatisiert ausgeführt werden können.
Möglicherweise könnte dann der nächste große Wurm drohen, der ähnlich wie WannaCry innerhalb von Minuten Netzwerke auf der ganzen Welt befällt. Für BlueKeep kommen zwar nicht ganz so viele Ziele infrage – im Gegensatz zu WannaCry, welcher das verwundbare SMBv1-Protokoll auf einer großen Anzahl von Windows Server- und Clientsystemen ausnutzte, ist BlueKeep eine Lücke in den RDS (Remote Desktop Services), welche auf Clientbetriebssystemen standardmäßig deaktiviert sind. Allerdings stellen natürlich gerade die Server häufig Assets mit hohem Wert dar, zumal wenn sie intern mit vielen weiteren Systemen vernetzt sind. Die aktuellen Angriffe versuchen momentan nur, mittelmäßig schädliche Crypto-Miner unterzubringen. Aber auch das wird sich wohl ändern, sobald es sich von der Masse lohnt.
Das von den RDS verwendete RDP-Protokoll sollte niemals ungeschützt im Internet erreichbar sein. Scans des Internets, wie sie auch die Angreifer aktuell vornehmen, zeigen jedoch, dass dies an vielen Stellen trotzdem der Fall ist. Insbesondere bei Industrieanlagen wird RDP nicht selten zur Fernwartung eingesetzt.
Es mag sein, dass – anders als bei WannaCry – ein Wurm am Ende gar nicht notwendig ist. Vielleicht genügt es (aus Angreifersicht), mit einem stabilen Exploit das Internet zu scannen und alle verwundbaren Systeme direkt anzugreifen. Höchste Zeit also, nicht nur die Patches einzuspielen, sondern die eigene (RDP-)Exponierung im Internet zu überprüfen und zu reduzieren. Zumal mit DejaBlue im August schon die nächste RDP-Schwachstelle entdeckt wurde, die weitere, auch neuere Windows-Versionen betraf.
Neuigkeiten
Bitte warten Sie nicht länger! Untote und Wiedergänger
In vielen Unternehmen sind noch „Legacy“-Systeme im Einsatz. Bei Audits finden wir immer wieder Systeme, welchen aktuelle Patches fehlen, Server unter Windows Server 2008 oder Clients unter Windows XP. Das ist problematisch, da diese schwer ausreichend abzusichern sind, auch wenn es prinzipiell möglich ist.
Allzu bunt hat es in den letzten Jahren, um nicht zu sagen Jahrzehnten, die Berliner Justiz getrieben. Nach einer Emotet-Attacke auf das Kammergericht der Hauptstadt musste nun der Berliner Justizsenator höchstpersönlich Fehler einräumen. Das Haus sei "sicherheitstechnisch nicht auf dem Stand" gewesen, "auf dem wir sein müssten". Es sei ein schwerfälliger Prozess, ein neues Fachverfahren für das Gericht einzuführen und damit das gesamte dortige Computersystem weniger angriffsanfällig zu machen. Am Geld werde es aber nicht scheitern: Es stünden nun erhebliche Mittel im IT-Haushalt bereit.
Dies ist dringend notwendig, ist im Kammergericht doch noch Word 95 im Einsatz. Schon 2017 fanden sich in einem Auditbericht ungewöhnlich eindringliche Worte: „Nicht supportete Software und Betriebssysteme sind ein ernst zu nehmendes Sicherheitsrisiko." "Bitte warten Sie nicht länger! Budgetieren und unterstützen Sie ein umfassendes Transformationsprogramm."
Das IT-Dienstleistungszentrum des Landes Berlin (ITDZ) wird das bisher IT-mäßig unabhängige Kammergericht nun "künftig unter seinen Schutzschirm nehmen".
HiSolutions
Ausbildung zum IT-Grundschutz-Praktiker | IT-Grundschutz-Berater
Bei der viertägigen IT-Grundschutz-Praktiker Schulung vom 26.-29. November in Berlin wird ein genauer Überblick über die Inhalte und die Umsetzung der IT-Grundschutz-Methodik des BSI vermittelt. Im Kern der Schulung stehen dabei die BSI-Standards 200-x und die IT-Grundschutz-Methodik. Die Inhalte richten sich konform am BSI-Curriculum aus.
Schulung Notfallplanung und Notfallübung
Die Gefahr, dass Schwachstellen schneller aufgedeckt und breitflächiger durch Cyberkriminelle ausgenutzt werden, nimmt zu.
In diesem Seminar am 28. und 29. November erarbeiten Sie kompakt und praxisnah Schritt für Schritt Ihren Leitfaden für eine professionelle IT-Notfallplanung inklusive der zur Überprüfung notwendigen IT-Notfallübungen.
https://www.hisolutions.com/security-consulting/academy/#c2081
Schulung First Response
Das am 16.12.2019 in Bochum stattfindende Seminar vermittelt die notwendigen Kenntnisse, damit Ihre verantwortlichen Mitarbeiter bei einem Einbruch oder einem Manipulationsverdacht richtig reagieren. Dabei steht im Vordergrund, wie die Informationsgewinnung über den Vorfall und die Einleitung von Sofortmaßnahmen so erfolgen können, dass elektronische Beweise erhalten und gesichert werden.
https://www.hisolutions.com/security-consulting/academy/#c1958
Fairsichert – Cyberversicherung soll reguliert werden
Der Markt für Cyberversicherungen wächst in den letzten Jahren rasant. Das lässt sich u. a. auch daran ablesen, dass die Regulierung sich nun das Thema vornimmt: Die Aufsichtsbehörde BaFin will sich im kommenden Jahr mit dem Einstieg der Versicherer ins Geschäft mit dem Schutz vor Hacker-Angriffen und Computer-Kriminalität beschäftigen. Der Umgang der Branche mit Cyber-Policen sei einer der Schwerpunkte der Aufsicht 2020.
Insbesondere wird dabei spannend zu beobachten, welche Normen die Versicherer für Versicherte etablieren werden. Gerade im KMU-Bereich – in dem ISO 27001 oder IT-Grundschutz noch keine Selbstverständlichkeit sind – gibt es noch keine einheitlichen Kriterien.
Verzer(r)tifiziert – Schwachstelle in elliptischen Kurven
Wenn Implementierungen von kryptografischen Signaturen mit elliptischen Kurven nicht vor Timing-Angriffen geschützt werden, kann ein Angreifer unter Umständen den privaten Schlüssel berechnen. Das zeigte ein tschechisches Forscherteam am Beispiel eines Krypto-Chips namens Athena. Auch mehrere Open-Source-Bibliotheken sind verwundbar. Die verwundbaren Chipkarten wurden nach FIPS und Common Criteria zertifiziert. Den Angriff nennen die Forscher Minerva.
Am selben Forschungsinstitut wurde 2017 die Sicherheitslücke ROCA in der RSA-Implementierung von Infineon-Chips gefunden. Auch Letztere waren zertifiziert, unter anderem vom BSI.
Dies zeigt wieder einmal, dass Zertifizierungen nicht alle Aufgaben erfüllen können, die ihnen zugeschrieben werden.
I got the sPower – Cyberattacke auf Ökostrom
sPower ist der erste Erzeuger von regenerativen Energien, der bekanntermaßen von einer Cyberattacke getroffen wurde. Das Unternehmen aus Utah betreibt Stromnetze im Bereich der erneuerbaren Energien und wurde nach eigenen Angaben bereits im März Opfer eines Cyberangriffs, welcher Erzeuger und Netz voneinander trennte. Damit wird zum ersten Mal öffentlich, dass eine Cyberattacke eine Unterbrechung der Kommunikation mit Wind- und Solaranlagen bewirkte. Die Erzeugung selbst war nach Unternehmensangaben nicht beeinträchtigt. Bekannt wurde der Vorfall durch eine Anfrage auf Grundlage des Informationsfreiheitsgesetzes (Freedom of Information Act, FOIA).
https://securityaffairs.co/wordpress/93271/hacking/spower-cyber-attack.html
HUNTER2 genügt nicht – Angriffe auf BitLocker
Die Windows-eigene Funktion BitLocker zur Festplattenverschlüsselung (FDE, Full Disk Encryption) gilt als ausgereift und – je nach Bedrohungsmodell – in Kombination mit anderen Maßnahmen wie Mehrfaktorauthentifizierung als ausreichend sicher. Insbesondere sind hier Funktionen implementiert, die die Ansprüche an das Passwort reduzieren. Bei naiver Implementierung einer Verschlüsselungssoftware müssen Passwörter mindestens 20 Zeichen lang sein. Bei BitLocker und Co. genügen ggf. auch 6-8 Zeichen – wenn diese zufällig genug sind. Dass man es mit Letzterem nicht zu locker nehmen sollte, zeigen neue Forschungsarbeiten. Durch die erste Open-Source-Implementierung für effiziente Wörterbuch-Attacken auf BitLocker wurden die Grenzen dessen, was mit Brute Force möglich ist, deutlich nach oben verschoben.
Mit einer einzigen High End GPU können immerhin 122 Millionen Passwörter pro Tag durchprobiert werden. Damit kommen Crack-Erfolge in greifbare Nähe, sobald Passwörter aus Zusammensetzungen oder leichten Abwandlungen von Wörterbucheinträgen bestehen. HUNTER2, iloveyou! oder P455W0RT69 sind hiermit auch für BitLocker gestorben.
http://www.sicherheitsforschung-magdeburg.de/uploads/journal/MJS_068_Agostini_Bitlocker.pdf
Lesetipps
Skandal um ROSI
„You can’t control what you can’t measure“ ist ein beliebter Glaubenssatz. Gleichzeitig ist Messen in der Informationssicherheit ein schweres Problem, an dem schon viele gescheitert oder aber zumindest wahnsinnig geworden sind. Eine Galerie der ehrenwertesten Versuche rund um Frameworks, Scorecards, ROI und ROSI (Return On Security Investment) findet sich hier auf 24 Seiten PDF.
https://www.rstreet.org/wp-content/uploads/2019/10/Final-Cyberbibliography-2019.pdf
hacker:HUNTER – WannaCry: The Marcus Hutchins Story
Nun ist sie endlich verfilmt: Die Geschichte von Marcus Hutchins aka MalwareTech, der – wir berichteten hier schon öfter darüber – wesentlich dazu beitrug, dass WannaCry nicht die ganze Welt in Ransom genommen hat, in seinen eigenen Worten.
https://www.youtube.com/watch?v=vveLaA-z3-o
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Dezember 2019.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!