ISPIN Security Radar #29/19

/Security Radar

Das «schwächste Glied in der Kette» muss nicht weltbekannt sein, um ein Cyber-Opfer darzustellen! Zulieferanten sind oftmals viel interessantere und leider auch erfolgreichere Ziele.

Rekordstrafe wegen Data Breach: Wie Inside-IT diese Woche berichtete muss Equifax aufgrund eines schweren Datendiebstahl aus dem Jahr 2017 bis zu 700 Millionen Dollar Strafe zahlen. Wenn Sie der Meinung sind, dass Ihr Unternehmen nicht im Fokus von Cyberkriminellen steht, dann lesen Sie den Bericht in der NZZ über ein Schweizer Unternehmen, dass der gleichen Meinung war. Cyberattacken können heute jeden, jederzeit treffen. Um so wichtiger ist es über aktuelle Cyberbedrohungen auf dem Laufenden zu bleiben.

So berichten verschiedene Quellen, dass das BlueKeep Patching nur langsam voran schreitet und dies 2 Monate nach Bekanntwerden der Sicherheitslücke. Gemäss Microsoft sind immer noch mehr als 800'000 Systeme gefährdet. Unternehmen sollten BlueKeep nicht einfach als "Hype" abhaken. Dafür sei diese Sicherheitslücke zu gefährlich. Die Sorge ist riesig, dass bald ein Exploit mit "Remote-Code-Execution"-Fähigkeiten verfügbar wird und grossen Schaden anrichtet. Cyberkriminelle könnten sich damit z.B. durch eine Backdoor einen Zugang zum Computersystem schaffen, ohne die Anmeldedaten zu kennen. Die wurmartigen Fertigkeiten von BlueKeep ermöglichen es der Malware sich innerhalb wie ausserhalb eines Netzwerks zu verbreiten. Unsere Empfehlung: Patchen, patchen und nochmals patchen!
Microsofts Leitfaden zum patchen der BlueKeep-Sicherheitslücke findet man unter diesem Link.

Im letzten ISPIN Security Radar haben wir über einige Sicherheitslücken «in der Hosentasche» berichtet. Jetzt haben Sicherheitsforscher der Universität Boston eine weitere massive Schwachstelle entdeckt, nämlich im Kommunikationsprotokoll von Bluetooth, und in ihrem Bericht "Tracking Anonymized Bluetooth Devices" beschrieben. Durch einen Fehler in der Implementierung von "Bluetooth Low Energy" wird es dem Angreifer ermöglicht ein Gerät passiv zu verfolgen. Das Protokoll sendet zur Identifikation über öffentliche, unverschlüsselte Werbekanäle kontinuierlich Signale, mit einer sich regelmässig ändernden, zufällig generierten MAC Adresse. Neben der Zufalls-MAC-Adresse senden die Geräte jedoch noch weitere Informationen aus, die zu lange statisch bleiben. Angreifer können dadurch Muster erkennen und so trotz wechselnder MAC-Adresse ein einzelnes Gerät weiter verfolgen. Allerdings muss ein Angreifer dazu kontinuierlich in der Bluetooth-Reichweite seines Ziels sein, so dass praktische Angriffe eher schwierig sind. "Bluetooth Low Energy" ist eine Bluetooth-Variante die seit 2012 in die Geräte integriert wird. Sie ermöglicht es,  bei ähnlich hohen Kommunikationsreichweiten, den Stromverbrauch erheblich zu senken. Betroffen davon sind Geräte, die Windows 10, iOS und macOS nutzen, sowie Smartwatches von Apple und Fitbit. Android-Geräte sind von dieser Sicherheitslücke nicht betroffen, da dieses Betriebssystem seine Bluetooth-Verfügbarkeit nicht kontinuierlich kommuniziert.

Auch bei den Messenger WhatsApp und Telegram wurde eine weitere gravierende Sicherheitslücke von Forschern der Firma Symantec entdeckt, die es Angreifern ermöglicht auf Bilder, Videos und Sprachnachrichten zuzugreifen und zu manipulieren. In einem Blog-Artikel beschreiben sie das sogenannte «Media File Jacking», das die WhatsApp-Version für Android-Handys betrifft. WhatsApp benutzt für seinen Messenger-Dienst eine "Ende-zu-Ende-Verschlüsselung" wodurch die gesendeten Nachrichten nur vom Sender und Empfänger entschlüsselt und gelesen werden können. Dritte die darauf zugreifen wollen, haben keine Chance – denkt man, den die Verschlüsselung gilt nur für Text-Nachrichten und nicht für Bilder, Videos und Sprachnachrichten! Die meisten WhatsApp-Benutzer speichern ihre ankommenden Mediendateien an einem externen Speicherort, etwa in der Fotogalerie des Smartphones und nicht im internen Speicher der App. Der Unterschied dabei ist, dass die Medien im internen Speicher nur WhatsApp selbst den Zugriff erlauben, während auf den externen Speicher auch andere Apps darauf zugreifen können. Und das nutzen die Hacker aus. Mit speziell dafür entwickelten Apps, können die Hacker auf diese Medien zugreifen, bevor sie der Empfänger überhaupt gesehen hat, und gegebenenfalls in Echtzeit manipulieren. Der Empfänger würde also gar nichts davon merken. Zum Glück können sich die Android-Benutzer einfach davor schützen: Einfach in den WhatsApp-Einstellungen unter der Rubrik "Chats" den Schieber beim Punkt "Sichtbarkeit von Medien" ausschalten (erscheint dann grau).

Instagram ist eine der beliebtesten Social Media Plattformen überhaupt. Vor kurzem entdeckte der  indische Bug-Bounty-Hunter Laxman Muthiyah eine Schwachstelle in der Passwort-Wiederherstellung der mobilen Version von Instagram, wodurch unzählige Accounts gefährdet waren. Die Schwachstelle ging von der "Passwort zurücksetzen"-Funktion aus. Bei der Anfrage zum Zurücksetzen des Passworts muss ein sechsstelliger Code, der nach 10 Minuten abläuft, bestätigt werden, welchen Instagram an deren E-Mail oder Telefonnummer sendet. Instagram erlaubt nur eine strikt limitierte Anzahl an Anfragen. Laut Laxman kann die Limitierung von Instagram umgangen werden, indem eine grosse Anzahl von Anfragen von verschiedenen IP-Adressen gesendet und mehrere Anfragen gleichzeitig bearbeitet werden. Die Sicherheitslücke wurde vor kurzem gepatcht.

Es kann wirklich jeden treffen, so wurde der russischer Geheimdienst-Dienstleister SyTech gehackt. Die Hackergruppe 0v1ru$ gelangten über einen Active-Directory-Server ins interne Netz und erbeuten rund 7,5 GB interne und teils geheime Daten. Aus diesen geht unter anderem hervor, wie der russische Geheimdienst versucht, Nutzer des TOR-Netzwerks zu deanonymisieren. Ausserdem kaperten sie die Sytech Website und zeigten dort Bild eines breit grinsenden Yoba-Faces, ein in Russland beliebte Emoji, das für Trolling steht. Screenshots der Server wurden auf Twitter veröffentlicht und die gestohlen Daten übergaben sie einer als Digital Revolution bekannten Hackergruppe. Diese machten Ende vergangener Woche die gestohlenen Daten öffentlich und übergaben diese auch an Journalisten.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.
Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter