ISPIN Security Radar #39/19

/Security Radar

Ein gutes Passwort zu finden, ist schwer - und wird immer anspruchsvoller. Leider gehören Passwörter wie 123456, 12345 und 123456789 weiterhin zu den beliebtesten Passwörtern im vergangenen Jahr. Nicht nur dadurch erhalten Cyberkriminelle kinderleicht Zugang zu Benutzerkonten oder Services.

Online-Banking, Shopping, Spiele, Social Media: Für jedes Konto im Internet braucht man ein eigenes Passwort. Da kann man schon mal schnell eines vergessen. Mehr Registrierungen schaffen grössere Angriffsflächen. Die Gefahr potenziert sich sogar, wenn man bei vielen oder gar allen Konten dieselben Zugangsdaten verwendet. Die Ergebnisse des dritten Global Password Security Reports von LastPass zeigen, dass zwar mehr Unternehmen in Sicherheitsmassnahmen wie Multifaktor-Authentifizierung (MFA) investieren, die Mitarbeiter aber weiterhin schlechte Gewohnheiten im Umgang mit Passwörtern haben. Gestohlene und wiederverwendete Anmeldeinformationen sind bei 80 Prozent für erfolgreichen Hackerangriffe verantwortlich. Passwörter gemeinsam zu nutzen oder wiederzuverwenden, ist in den meisten Unternehmen nach wie vor üblich. Mitarbeiter verwenden ein einzelnes Passwort durchschnittlich 13 Mal. Sicherheit beginnt also bereits bei einem neuen und sicheren Passwort pro Registrierung – mindestens 8 Zeichen lang oder besser länger sowie bestehend aus Buchstaben, Zahlen und Sonderzeichen! Aber aufgepasst: selbst Passwörter, die auf dem Papier den meisten IT-Regeln entsprechen, können unsicher sein. Beispiel gefällig: "fckgw rhqq2" kommt mehr als 4000 Mal in der Datenbank von "Have I Been Pwned?" vor und "ji32k7au4a83" taucht auch fast 150 Mal auf. Für die einfachere Verwaltung von sicheren Passwörtern eignen sich beispielsweise Password Manager und deren Plug-Ins für Web Browser.

Digitec-Galaxus-Konten wurden angegriffen

Wie Digitec-Galaxus gegenüber dem SRF-Konsumentenmagazin «Espresso» bestätigte wurden hunderttausende Konten von Hackern angegriffen. Der Angriff fand vermutlich aus dem Ausland statt. Die Cyberkriminellen kauften dafür wahrscheinlich E-Mail-Adressen und Passwortkombinationen im Darknet und versuchten sich damit in Kundenkonten anzumelden. Bei 40 Kunden wurden die Guthaben für Softwarenlizenzen aufgebraucht. Der Schaden belaufe sich auf 3’200 Franken, welche von Digitec Galaxus übernommen werden. Zum betroffenen Bereich gehört nach Angaben der Stiftung für Konsumentenschutz auch die Shop-Datenbank. Ein Diebstahl etwa von Namen, Wohn- und E-Mail-Adressen oder Passwörtern kann nicht ausgeschlossen werden. Mit diesen Daten könnten die Cyberkriminellen wiederum auf Kundenkonten von Shops wie Digitec Galaxus abzielen. Ein unbefugter Zugriff auf Zahlungsinformationen habe jedoch nicht stattgefunden.

PDF-Reader anfällig für Schwachstellen

PDF ist eines der weltweit am häufigsten eingesetzten Dateiformate. Deutsche IT-Forscher testeten vor kurzem 27 gängige PDF-Reader für Windows, MacOS und Linux, darunter Adobe Acrobat und Foxit. Die Forscher fanden heraus, dass sich dank zweier Schwachstellen verschlüsselte PDFs knacken lassen, wenn sie per E-Mail verschickt werden. Die einzige Voraussetzung ist, dass ein einziger Block von einfachem Plaintext vorhanden ist – und das ist vom Grundprinzip des PDFs her immer der Fall. Cyberkriminelle können nachdem sie das PDF abgefangen haben, den zugänglichen Bereich manipulieren und versteckte Befehle für spätere Aktionen einfügen. Gibt der Empfänger danach das Passwort ein, um das PDF zu öffnen und zu entschlüsseln, wird der versteckte Befehl ausgeführt und der nun entschlüsselte Inhalt kann beispielsweise automatisch an den Angreifer weitergeleitet werden. Das Ergebnis ist ernüchternd: Alle PDF-Reader waren zumindest für mindestens einen dieser Angriffe anfällig. Die PDF-Verschlüsselung ist somit weniger sicher als angenommen.

Aber dies sind nicht die einzigen Schwachstellen, so hat Foxit acht Sicherheitslücken mit der Version 9.7 behoben. Der schwerste dieser Fehler (CVE-2019-5031) besteht in der Art und Weise, wie Foxit Reader mit der JavaScript-Engine (dem Programm, das JavaScript-Code ausführt) interagiert. JavaScript kann von Foxit Reader für interaktive Dokumente und dynamische Formulare unterstützt werden. Wenn ein Benutzer beispielsweise ein Dokument öffnet, kann dies zu einer beliebigen Code-Ausführung und Denial-of-Service führen. Das Update sollte über die Software selber kommen, wenn nicht unbedingt schnell manuell installieren!

Weitere schwere Sicherheitslücke bei WhatsApp

Der Nutzer Awakened hat einen Fehler, die sogenannte „Doublefree“-Lücke, in der Android-Version von WhatsApp entdeckt, mit der sich GIF-Bilder in kleine Trojaner verwandeln und so versenden lassen. Wer eine infizierte GIF-Datei zugesendet bekommt, ist automatisch gefährdet. Sobald der Empfänger das GIF herunterlädt und öffnet, ist die Malware aktiviert. Damit wird Cyberkriminellen unbemerkt Zugang zu privaten Fotos, Videos und auf Chatverläufe des Smartphones gewährt. Es ist damit auch möglich bösartige Software zu installieren oder das Gerät sogar unbemerkt „kapern“, um weitere Ziele zu infizieren. WhatsApp konnte die Lücke inzwischen mit einem Update schliessen - ältere Versionen bleiben aber nach wie vor gefährdet und sollten unbedingt aktualisiert werden.

Sicherheitslücken auf UPC-Routern

Der Sicherheitsforscher Xitan entdeckte auf den Standard UPC-Routern, der sogenannten Connect-Box, eine kritische Sicherheitslücke. Die Schwachstelle erlaubt das Einschleusen von Befehlen auf dem Router – der Angreifer muss sich lediglich im selben lokalen Netzwerk befinden. Noch schlimmer: Ist die Fernwartung des Gerätes aktiv, kann der Angriff sogar auch über das Internet erfolgen. Die Box ist bei einer halben Million Schweizer UPC-Kunden im Einsatz, in Deutschland sind 2.2 Millionen Kunden der UPC-Mutter Liberty Global betroffen. Gemäss UPC wurde die Lücke bereits geschlossen, allerdings erst einige Tage vor Ablauf der Frist für die vollständige Offenlegung. Die Benutzer wurden von UPC allerdings nicht informiert, das Ganze lief ohne Kundeninteraktion ab.

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr zu unseren Cyber Defense Services.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter