Claire Tills von Tenable kommentiert Ransomware-Attacke

[datensicherheit.de, 21.09.2022] Nach Medienberichten über einen Ransomware-Angriff auf Rockstar Games nimmt Claire Tills, „Senior Research Engineer“ bei Tenable, Stellung zu dem Vorfall:

Foto: Tenable

Claire Tills: Angreifer versuchen jede Taktik, um das Opfer unter Druck zu setzen zu zahlen…

Relativ einfache Attacken – keine sehr überzeugende Verbindung zu LAPSUS$

„Es liegen noch nicht genügend Informationen vor, um den Schluss zu ziehen, dass ,LAPSUS$‘ hinter dem Leak bei Rockstar Games steckt. Die Angriffe, die mit ,LAPSUS$‘ in Verbindung gebracht werden, und der Vorfall bei Rockstar haben zwar eine gemeinsame Taktik, aber es sind relativ einfache Angriffe, was keine sehr überzeugende Verbindung darstellt“, so Tills.

Die Nachahmung von Taktiken sei unter Angreifern relativ üblich. Nach dem rasanten Aufstieg von „LAPSUS$“ und der plötzlichen Ruhephase hätten Ransomware-Betreiber und Erpresser versucht, ihre Taktik zu imitieren, „weil sie – offen gesagt – funktioniert hat“.

Attacken getrieben von opportunistischem Datendiebstahl und Drohungen

Angreifer konzentrierten sich auf opportunistischen Datendiebstahl und Drohungen, um gestohlene Daten öffentlich zu machen. „Dabei versuchen sie jede Taktik, die sie für notwendig erachten, um das Opfer unter Druck zu setzen, damit es zahlt“, berichtet Tills. Hierzu zählten z.B. die Bedrohung von Kunden, Partnern, Versicherern, Investoren und das Werben um Aufmerksamkeit in den Nachrichten und Sozialen Medien.
Im Fall von Rockstar Games drohe der Angreifer damit, weitere Inhalte von „Grand Theft Auto“ zu veröffentlichen, „was Rockstar angeblich nur verhindern kann, wenn es die Erpresser zahlt“.

Weitere Informationen zum Thema:

The Register, Thomas Claburn, 19.09.2022
Grand Theft Auto 6 maker confirms source code, vids stolen in cyber-heist / So is that three or four stars?

Tenable rät zur Vorsicht und warnt vor Missbrauch dieser Schwachstelle durch Cyber-Kriminelle

[datensicherheit.de, 04.06.2022] Am letzten Mai-Wochenende 2022 soll eine sogenannte Zero-Click-Schwachstelle in „Microsoft Office“ entdeckt worden sein. Diese Sicherheitslücke sei Microsoft bereits im April 2022 von einem Forscher gemeldet worden.

Foto: Tenable

Claire Tills: Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein!

Schwachstelle offenbar bereits im April 2022 ausgenutzt worden

„Am Wochenende begannen Security-Forscher, über eine Zero-Day-Schwachstelle für die Remote-Codeausführung (RCE) zu diskutieren, die über ,Microsoft Office‘-Dokumente ausgenutzt werden kann, einem bevorzugten Angriffsvektor“, berichtet Claire Tills, „Senior Research Engineer“ bei Tenable, in ihrer aktuellen Stellungnahme.

Am 30. Mai 2022 habe Microsoft einige offizielle Details zu „CVE-2022-30190“ veröffentlicht und darauf hingewiesen, dass diese RCE-Schwachstelle „Microsoft Windows Diagnostic Tools“ betreffe, habe aber keine Patches veröffentlicht. Indes habe Microsoft eine Empfehlung zur Schadensbegrenzung gegeben.

Diese RCE scheine bereits im April 2022 ausgenutzt worden zu sein und habe erst kürzlich breite öffentliche Aufmerksamkeit erlangt, nachdem ein Forscher begonnen habe, ein schädliches Sample auf „VirusTotal“ zu untersuchen.

Schwachstelle ein Zero-Click-Exploit – keine Benutzerinteraktion erforderlich

Tills führt aus: „Im Laufe des Wochenendes reproduzierten mehrere Forscher das Problem und stellten fest, dass es sich um einen ‚Zero-Click‘-Exploit handelt, was bedeutet, dass keine Benutzerinteraktion erforderlich ist.“

In Anbetracht der Ähnlichkeiten zwischen „CVE-2022-30190“ und „CVE-2021-40444“ sowie der Vermutung, dass auch andere „Protokoll-Handler“ anfällig sein könnten, erwarte man weitere Entwicklungen und Ausnutzungsversuche dieser Schwachstelle.

„Da es sich um einen ,Zero-Click‘-Exploit handelt, kann der einzelne Benutzer nicht viel tun, aber eine gesunde Portion Skepsis ist sehr hilfreich“, empfiehlt Tills. Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein, so ihr Rat.

Weitere Informationen zum Thema:

Microsoft
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability / CVE-2022-30190

Tenable kommentiert neue Schwachstellen in VMwares „vCenter Server“

[datensicherheit.de, 28.05.2021] Am 26. Mai 2021 sei bekanntgeworden, „dass zwei Schwachstellen in VMwares ,vCenter Server‘ gefunden wurden“: CVE-2021-21985 sei eine Schwachstelle für Remote-Codeausführung im „vSphere-Client“ über das Plug-in „Virtual SAN (vSAN) Health Check“, welches standardmäßig aktiviert sei. CVE-2021-21986 sei ein Problem mit dem Authentifizierungsmechanismus in verschiedenen „vCenter Server“-Plug-ins. In einem seltenen Schritt habe VMware nun einen Blogpost veröffentlicht, in welchem Ransomware-Gruppen als geschickt darin bezeichnet würden, Schwachstellen wie diese nach der Kompromittierung auszunutzen, nachdem sie sich über andere Wege wie „Spearphishing“ Zugang zu einem Netzwerk verschafft hätten.

Foto: Tenable

Claire Tills warnt: Schwachstellen wie diese nach Kompromittierung auszunutzen, nachdem z.B. über Spearphishing Zugang zum Netzwerk verschafft wurde

VMware meldet zwei Schwachstellen, die vCenter Server betreffen

„VMware hat zwei Schwachstellen bekanntgegeben, die ,vCenter Server‘ betreffen, eine zentrale Management-Software für ,VMware vSphere‘-Systeme. Bei der schwerwiegendsten Schwachstelle, ,CVE-2021-21985‘, handelt es sich um eine Schwachstelle für Remote-Codeausführung in ,vSphere Client‘, die mit einem ,CVSSv3‘-Score von 9,8 bewertet wurde“, berichtet Claire Tills, „Senior Research Engineer“ bei Tenable in ihrem aktuellen Kommentar zu diesen neu entdeckten Schwachstellen.
Um diese Schwachstelle auszunutzen, müsste ein Angreifer in der Lage sein, über Port 443 in der Firewall auf „vCenter Server“ zuzugreifen. Selbst wenn ein Unternehmen „vCenter Server“ nicht von außen zugänglich gemacht hat, könnten Angreifer diese Schwachstelle ausnutzen, sobald sie sich in einem Netzwerk befinden.

VMware hat aus aktuellem Anlass Blog-Beitrag veröffentlicht

In einem seltenen Schritt habe VMware einen Blog-Beitrag veröffentlicht, in dem Ransomware-Gruppen darauf hingewiesen würden, dass sie geschickt darin seien, Schwachstellen wie diese nach der Kompromittierung auszunutzen, „nachdem sie sich über andere Wege wie ,Spearphishing‘ Zugang zu einem Netzwerk verschafft haben“.
Angesichts der Tatsache, dass Ransomware die Nachrichten dominiere, sei dieser Kontext wichtig und unterstreiche die Aussage von VMware, dass das Patchen dieser Schwachstellen höchste Priorität haben sollte. Eine erfolgreiche Ausnutzung würde es einem Angreifer ermöglichen, beliebige Befehle auf dem zugrundeliegenden „vCenter“-Host auszuführen.

VMware hat für beide Schwachstellen Patches zur Verfügung gestellt

VMware habe außerdem Patching für „CVE-2021-21986“ bereitgestellt, bei dem es sich um ein Problem mit dem Authentifizierungsmechanismus handele, welches in mehreren „vCenter Server“-Plug-ins gefunden worden sei. „Dieses wurde mit einem ,CVSSv3‘-Score von 6,5 als mittelschwer eingestuft.“
Tills ergänzt abschließend: „VMware hat für beide Schwachstellen Patches zur Verfügung gestellt und Unternehmen, die ,vCenter Server‘ einsetzen, wird empfohlen, sofort zu handeln.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.04.2020
Kritische Sicherheitslücke im VMware Directory Service

VMware vSphere Blog, Bob Plankers, 25.05.2021
VMSA-2021-0010: What You Need to Know