Patchen der OpenSSL-Schwachstellen CVE-2022-3786 und CVE-2022-3602: X.509 nur der Anfang

[datensicherheit.de, 02.11.2022] „Die Katze ist aus dem Sack“, so Kevin Bocek, „VP of Security Strategy & Threat Intelligence“ bei Venafi, in seinem aktuellen Kommentar: Der Patch sei verfügbar und anstatt einer kritischen Schwachstelle habe es zwei gegeben – welche allerdings nur noch „hoch“ und nicht mehr „kritisch“ bewertet würden. Doch für IT-Abteilungen heiße es dennoch, diese Schwachstellen zu beheben, denn das Patchen dieser „OpenSSL“-Schwachstellen mit den Bezeichnungen „CVE-2022-3786“ und „CVE-2022-3602: X.509“ sei nur der Anfang. Vielmehr zeigten diese wieder einmal auf, „wie unsicher Maschinenidentitäten sein können, wenn sich Bedrohungsakteure ihrer bemächtigen und sich als vertrauenswürdige Dienste ausgeben“. Bocek führt aus: „Egal, ob ein Unternehmen in der Cloud in Azure arbeitet, Kubernetes in Amazon AWS nutzt oder Apache in einem Rechenzentrum verwendet, das gesamte digitale Geschäft erfordert eine sichere Authentifizierung von Maschinenidentitäten.“ Die Schwachstellen in „OpenSSL“ zeigten, welche Auswirkungen ein mangelhaftes Management von Maschinenidentitäten – insbesondere die Authentifizierung von Maschinenidentitäten – habe und damit „Angreifern Tür und Tor öffnet“.

Foto: Venafi

Kevin Bocek: „Heartbleed“ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss – jetzt und in Zukunft!

OpenSSL-Schwachstellen zeigen: Mangel an Transparenz komplexer Cloud-Umgebungen lässt Unternehmen gefährlich offen für Angriffe

Der derzeitige Mangel an Transparenz komplexer „Cloud“-Umgebungen lasse Unternehmen gefährlich offen für Angriffe. Die „Cloud“ sei eine unerschlossene Angriffsfläche für Bedrohungsakteure und es lasse sich vermuten, dass es in den nächsten Monaten noch viel mehr Angriffe auf native „Cloud“-Umgebungen geben werde.

Bocek warnt: „Sowohl auf Seiten der Bedrohungsakteure als auch auf Seiten der Sicherheitsbehörden gibt es eine Wissenslücke, so dass die Auswirkungen auf die Sicherheit, die möglichen Angriffe und die Schwachstellen, die sie aufdecken könnten, noch nicht wirklich verstanden werden.“ Je besser Unternehmen diese komplexen Umgebungen verstehen, desto mehr kritische Schwachstellen und folgenschwere Angriffe würden aufgedeckt werden.

Wie bei Heartbleed müssen Unternehmen auch die von der OpenSSL-Schwachstelle betroffenen Maschinenidentitäten ersetzen

Jetzt, da die Sicherheitslücken bekannt geworden sind, sei es wahrscheinlich, dass Bedrohungsakteure bereits versuchten, diese auszunutzen. „Um sich zu schützen, müssen Unternehmen die Priorität auf Patches legen, und zwar schnell. Aber wie bei ,Heartbleed’ müssen Unternehmen auch die von der ,OpenSSL’-Schwachstelle betroffenen Maschinenidentitäten ersetzen.“

Unternehmen könnten nur dann erfolgreich sein, „wenn die vier Aufgaben des Maschinenidentitätsmanagements – Authentifizierung, Autorisierung, Lifecycle und Governance – korrekt funktionieren“. Abschließend unterstreicht Bocek: „,Heartbleed’ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss, jetzt und in Zukunft.“

Weitere Informationen zum Thema:

OpenSSL Blog, 01.11.2022
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows

datensicherheit.de, 31.10.2022
OpenSSL: Kritische Sicherheitslücke weckt Erinnerungen an Heartbleed / Der Angriffsvektor ist durch Virtualisierung viel größer geworden

Tenable rät, Windows Print Spooler im Auge zu behalten und zu patchen

[datensicherheit.de, 15.09.2021] „Die aktuelle ,Patch-Tuesday‘-Version enthält Patches für 61 CVEs, von denen vier als kritisch eingestuft werden. Im Jahr 2021 hat Microsoft in sieben der letzten neun Monate weniger als 100 CVEs gepatcht, was im krassen Gegensatz zu 2020 steht, in dem acht Monate über 100 CVEs gepatcht wurden“, kommentiert Satnam Narang, „Staff Research Engineer“ bei Tenable, den aktuellen „Patch Tuesday“.

Foto: Tenable

Satnam Narang: Aktuelle Patch-Tuesday-Version enthält Patches für 61 CVEs

Mit jetzt verfügbarem Patch sollten Unternehmen ihre Systeme so schnell wie möglich aktualisieren!

Die neue Version enthalte einen Fix für „CVE-2021-40444“ – eine kritische Schwachstelle in Microsofts „MSHTML (Trident)-Engine“. Diese Schwachstelle wurde demnach am 7. September 2021 aufgedeckt und Forscher hätten eine Reihe von „Exploits“ entwickelt, welche die Leichtigkeit und Zuverlässigkeit der Ausnutzung zeigten.
„Ein Angreifer müsste einen Benutzer dazu bringen, ein speziell gestaltetes ,Microsoft Office‘-Dokument zu öffnen, das den ,Exploit‘-Code enthält.“ Es habe Warnungen gegeben, dass diese Sicherheitsanfälligkeit in Malware-Nutzlasten integriert und zur Verbreitung von Ransomware verwendet werde. „Es gibt noch keine Anzeichen dafür, aber mit dem jetzt verfügbaren Patch sollten Unternehmen ihre Systeme so schnell wie möglich aktualisieren“, so Narang.

Im Juli 2021 stetigen Strom von Patches für Fehler im Windows Print Spooler…

Microsoft habe außerdem drei Sicherheitsanfälligkeiten bezüglich der Erhöhung von Berechtigungen im „Windows-Druckspooler“ (CVE-2021-38667, CVE-2021-38671 und CVE-2021-40447) gepatcht. Narang berichtet: „In den letzten Monaten haben wir nach der Veröffentlichung von ,PrintNightmare‘ im Juli einen stetigen Strom von Patches für Fehler im ,Windows Print Spooler‘ gesehen.“
Forscher hätten weiterhin Möglichkeiten entdeckt, „Print Spooler“ zu nutzen – „und wir erwarten weitere Erkenntnisse in diesem Bereich“. Eine (CVE-2021-38671) der drei Schwachstellen werde wahrscheinlich ausgenutzt. Narang rät: „Unternehmen sollten auch dem Patchen dieser Fehler Priorität einräumen, da sie für Angreifer äußerst wertvoll sind.“

Weitere Informationen zum Thema:

Microsoft MSRC, 14.09.2021
Sicherheitsanfälligkeit in Microsoft MSHTML bezüglich Remotecodeausführung / CVE-2021-40444

Microsoft MSRC, 14.09.2021
Sicherheitsanfälligkeit im Windows-Druckerspooler bezüglich Rechteerweiterungen / CVE-2021-38671

datensicherheit.de, 12.07.2021
PrintNightmare: Zielgerichtetes Handeln der Unternehmen erforderlich / PrintNightmare-Schwachstelle ermöglicht es Angreifern unter bestimmten Voraussetzungen, Schadcode mit Systemrechten auszuführen

datensicherheit.de, 02.07.2021
PrintNightmare: Malwarebytes nimmt Stellung zu Microsoft-Windows-Sicherheitslücke / Ratschläge der Malwarebytes-Administratoren in aller Kürze

Tenable rät zum schnelle Einspielen der Zoho-Patches

[datensicherheit.de, 13.09.2021] Laut einer aktuellen Meldung von Tenable warnt die CISA (Cybersecurity & Infrasctructure Security Agency), dass eine Schwachstelle, die „Zoho ManageEngine ADSelfService Plus Build 6113“ und niedriger (CVE-2021-40539) betreffend, bei „Exploits“ in der Praxis entdeckt und genutzt worden sei – Zoho habe diese Schwachstelle nun gepatcht.

Foto: Tenable

Satnam Narang: Nicht authentifizierter Remote-Angreifer könnte Sicherheitsanfälligkeit ausnutzen

Zoho hat Sicherheitsempfehlung veröffentlicht

Zoho hat demnach eine Sicherheitsempfehlung veröffentlicht, um eine kritische Sicherheitsanfälligkeit zur Umgehung der Authentifizierung in seiner Lösung „ADSelfService Plus“ zu beheben, welche in der Praxis als Zero-Day-Angriff ausgenutzt worden sei, berichtet Satnam Narang, „Staff Research Engineer“ bei Tenable, in seiner Stellungnahme.
Ein nicht authentifizierter Remote-Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, „indem er eine speziell gestaltete Anfrage an die anfällige REST-API- URL-Endpunkte sendet“. Eine erfolgreiche Ausnutzung würde zu einer Remote-Code-Ausführung führen.

Unternehmen sollten Zoho-Patch sofort anzuwenden

Da „ADSelfService Plus“ eine Self-Service-Passwortverwaltungs- und Single-Sign-On-Lösung für „Active Directory“ und „Cloud“-Apps sei, könne ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, um weiter in ein Unternehmen einzudringen.
„Derzeit deuten einige Untersuchungen zu ,ZoomEye‘ darauf hin, dass in den letzten Jahren über 2.000 ,ADSelfService Plus‘-Systeme öffentlich zugänglich waren, darunter über 700 in den USA, 251 in Großbritannien und viele mehr in anderen Ländern innerhalb und außerhalb Europas“, so Narang. Er betont: „Für Unternehmen ist es wichtig, den verfügbaren Patch sofort anzuwenden.“

Weitere Informationen zum Thema:

heige auf Twitter
ZoomEye Dork app:“ Zoho ManageEngine ADManager Plus“ About 2,127 results (Nearly year: 738 results)

ManageEngine
Security Advisory – CVE-2021-40539 ADSelfService Plus-Systeme

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 08.09.2021
Zoho Releases Security Update for ADSelfService Plus

CISA und Tenable warnen vor ungepatchten SAP-Systemen

[datensicherheit.de, 08.04.2021] Laut einer Meldung von Tenable hat die CISA (Cybersecurity and Infrastructure Security Agency), eine Behörde des US-Heimatschutzministeriums, am 6. April 2021 eine Meldung über Cyber-Kriminelle veröffentlicht, welche es auf kritische SAP-Anwendungen abgesehen hätten. Laut CISA seien SAP-Systeme mit veralteter oder falsch konfigurierter Software einem erhöhten Risiko durch Cyber-Angriffe ausgesetzt.

Foto: Tenable

Scott Caveza: Erhebliche Auswirkungen auf die betroffenen Unternehmen!

SAP-Software von Unternehmen zur Verwaltung kritischer Geschäftsfunktionen eingesetzt

„Ein aktuelles ,Advisory‘ der CISA warnt davor, dass ungepatchte oder falsch konfigurierte SAP-Systeme aktiv von Cyber-Kriminellen ins Visier genommen werden“, berichtet Scott Caveza, „Research Engineering Manager“ bei Tenable.
SAP-Software werde von Unternehmen zur Verwaltung kritischer Geschäftsfunktionen eingesetzt und diene oft zur Speicherung sensibler Daten. Auch Scott warnt: „Indem sie bekannte ungepatchte Schwachstellen ausnutzen, können Angreifer kritische Prozesse unterbrechen, finanzielle oder anderweitig sensible Daten stehlen oder schädlichen Code einsetzen.“ Dies könne zu erheblichen Auswirkungen auf die betroffenen Unternehmen führen.

SAP-Patches seit Monaten und sogar Jahren verfügbar

Im Laufe des letzten Jahres, 2020, hätten sie immer wieder solche Berichte von US-Regierungsbehörden gesehen. Die Behörden hätten mehrmals vor der Bedrohung durch ungepatchte Software und bekannte Schwachstellen gewarnt, „die Bedrohungsakteure ins Visier nehmen“.
Obwohl Patches seit Monaten und sogar Jahren verfügbar seien, fänden Angreifer immer noch ungepatchte SAP-Systeme und nutzten diese aus. „Dies ist eine Warnung an die Administratoren sensibler Daten und Applikationen. Die Anwendung von Patches, Migrationen oder Workarounds ist von größter Bedeutung, um Angriffe durch Kriminelle, die bekannte Schwachstellen ausnutzen wollen, zu vereiteln“, betont Caveza.

Weitere Informationen zum Thema:

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 06.04.2012
Malicious Cyber Activity Targeting Critical SAP Applications

[datensicherheit.de, 12.03.2021] „Die Anzahl der nicht-gepatchten ,Exchange‘-Server ging diese Woche stark zurück, als Microsoft-Kunden laut neuen Daten, die von der ,Palo Alto Networks Expanse-Plattform‘ gesammelt wurden, schnell Sicherheitsupdates installierten.“ Das schnelle Patchen folge Warnungen, dass Hacker vier „Zero-Day“-Schwachstellen in der weit verbreiteten E-Mail-Software ausnutzten. Matt Kraning, „Chief Technology Officer“ von Cortex bei Palo Alto Networks geht in seiner aktuellen Stellungnahme auf den Anfang März 2021 bekanntgewordenen Vorfall ein. Die Anzahl der anfälligen Server, auf denen alte Versionen von „Exchange“ ausgeführt werden, auf denen die kürzlich veröffentlichten Sicherheitspatches nicht direkt angewendet werden könnten, sei laut „Expanse-Internet“-Scans vom 8. und 11. März 2021 um über 30 Prozent von geschätzten 125.000 auf 80.000 gesunken.

Unternehmen, die Exchange ausführen, sollten davon auszugehen, kompromittiert zu sein

„Ich habe noch nie gesehen, dass die Sicherheitspatch-Raten für ein System so hoch sind, geschweige denn für ein System, das so weit verbreitet ist wie ,Microsoft Exchange‘“, berichtet Kraning und führt aus: „Wir fordern Unternehmen, die alle Versionen von ,Exchange‘ ausführen, dringend auf, davon auszugehen, dass sie kompromittiert wurden, bevor sie ihre Systeme gepatcht haben, da wir wissen, dass Angreifer diese ,Zero-Day‘-Sicherheitslücken mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. März veröffentlichte.“
Palo Alto Networks habe demnach die „Expanse“-Plattform verwendet, um im Internet exponierte Server zu identifizieren, auf denen alte Versionen von „Exchange“ ausgeführt werden, auf denen der kürzlich veröffentlichte Sicherheitspatch für die „Zero-Day“-Sicherheitslücken nicht direkt angewendet werden könne.

Die 12 Länder mit der größten Anzahl anfälliger Exchange-Server:

Hier sind laut Kraning die zwölf Länder mit der größten Anzahl bestätigter anfälliger „Exchange“-Server ab dem 11. März 2021:

• USA – 20.000
• Deutschland – 11.000
• Großbritannien – 4.900
• Frankreich – 4.000
• Italien – 3.700
• Russland – 2.900
• Kanada – 2.700
• Schweiz – 2.500
• Australien – 2.200
• China – 2.100
• Österreich – 1.700
• Niederlande – 1.600

Außerdem habe Palo Alto Networks den zeitlichen Ablauf der aktuell heiß diskutierten IT-Attacke rekonstruiert.

Palo Alto Networks rekonstruierte Zeitleiste der Cyber-Angriffe auf Microsoft Exchange Server…

Die „Unit 42“, das Bedrohungsforschungsteam von Palo Alto Networks, habe neue Erkenntnisse zu den jüngsten Cyber-Angriffen auf „Microsoft Exchange Server“ gewonnen. „Ein Blick zurück: Am 2. März wurden Sicherheitsexperten auf vier kritische ,Zero-Day‘-Schwachstellen in ,Microsoft Exchange Server‘ aufmerksam (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065).“
Gleichzeitig mit dem Bekanntwerden dieser Schwachstellen habe Microsoft Sicherheitsupdates und technische Anleitungen veröffentlicht, welche die Wichtigkeit des sofortigen Patchens betont hätten, und habe auf die aktive und laufende Ausnutzung durch eine „Advanced Persistent Threat“ (APT) namens „HAFNIUM“ hingewiesen. Seit den ersten Angriffen hätten die „Unit 42“ und eine Reihe anderer Threat-Intelligence-Teams festgestellt, dass mehrere Bedrohungsgruppen diese „Zero-Day“-Schwachstellen nun in freier Wildbahn ausnutzten.

Angreifer versuchen weiter, anfällige Exchange-Systeme vor dem Patchen zu kompromittieren

Sowohl die Schwachstellen selbst als auch der Zugriff, welcher durch deren Ausnutzung erreicht werden könne, seien erheblich. Es sei daher nicht überraschend, dass mehrere Angreifer versucht hätten und weiterhin versuchten, anfällige Systeme zu kompromittieren, bevor diese von Netzwerkadministratoren gepatcht werden. „Diese Angriffe geschahen in einem noch nie dagewesenen Ausmaß.“
Anhand der rekonstruierten Zeitachse sei nun klar, dass zwischen der ersten bekannten Ausnutzung dieser Schwachstelle am 3. Januar 2021 und der Veröffentlichung des Patches durch Microsoft am 2. März 2021 mindestens 58 Tage gelegen hätten. „Das Aufspielen des Patches ist ein notwendiger erster Schritt, aber nicht ausreichend, wenn man bedenkt, wie lange die Schwachstelle in der freien Wildbahn war.“ Das Aufspielen des Patches beseitige nicht den Zugang, den Angreifer möglicherweise bereits zu anfälligen Systemen erlangt haben. Unternehmen könnten sich im Leitfaden der „Unit 42“ für Abhilfemaßnahmen über die nötigen Schritte informieren, um sicherzustellen, dass sie ihre „Exchange Server“ ordnungsgemäß abgesichert haben.

Unit 42 bitte andere Forschungsteams, ihre Erkenntnisse zum Vorfall mit Exchange Server mitzuteilen

In der zweiten Woche nach Bekanntwerden der Schwachstellen gebe es erste Schätzungen, dass die Zahl der betroffenen Unternehmen in die Zehntausende gehe. Dies stelle damit die Auswirkungen des jüngsten „SolarStorm“-Angriffs auf die Lieferkette in Bezug auf die Zahl der Opfer und die geschätzten Kosten für die Beseitigung der Schwachstellen weltweit in den Schatten. Angesichts der Bedeutung dieses Ereignisses habe die „Unit 42“ eine Zeitleiste des Angriffs veröffentlicht, welche auf den umfangreichen Recherchen zu den derzeit verfügbaren Informationen und der direkten Erfahrung bei der Abwehr solcher Angriffe basiere. „Während sich die Situation weiterentwickelt, bittet ,Unit 42‘ auch andere Forschungsteams, ihre Erkenntnisse mitzuteilen, damit sich die Cyber-Sicherheitscommunity so schnell wie möglich ein vollständiges Bild machen kann.“

Nicht nur bei Exchange: Hochqualifizierte Angreifer nutzen neue Schwachstellen aus

Laufende Untersuchungen zeigten, dass diese Schwachstellen von mehreren Bedrohungsgruppen ausgenutzt würden. „Es ist nicht neu, dass hochqualifizierte Angreifer neue Schwachstellen in verschiedenen Produkt-Ökosystemen ausnutzen. Die Art und Weise, wie diese Angriffe durchgeführt werden, um die Authentifizierung zu umgehen und damit unberechtigten Zugriff auf E-Mails zu erhalten und ,Remote Code Execution‘ (RCE) zu ermöglichen, ist jedoch besonders perfide.“
Die „Unit 42“ geht davon aus, „dass die Angriffe, die diese Schwachstellen ausnutzen, sich nicht nur fortsetzen, sondern auch an Umfang zunehmen werden“. Dies werde sich wahrscheinlich auch in vielfältigeren Angriffen mit unterschiedlichen Motiven äußern, wie etwa die Infektion und/oder Verteilung von Ransomware. Aufgrund der Tatsache, dass aktive Angriffe verschiedener Bedrohungsgruppen, welche diese Schwachstellen ausnutzten, andauerten, sei es zwingend erforderlich, die betroffenen Systeme nicht nur zu patchen, sondern auch die Anleitungen zu befolgen, welche die „Unit 42“ in einem früheren „Remediation Blog“ beschrieben habe.

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2021
Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz / Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten

datensicherheit.de, 08.03.2021
Erfolgreicher Angriff: Mehr als zehntausend lokale Microsoft Exchange Server betroffen

datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage

paloalto NETWORKS, Unit 42, 11.03.2021
Microsoft Exchange Server Attack Timeline

paloalto NETWORKS, Unit 42, 09.03.2021
Remediation Steps for the Microsoft Exchange Server Vulnerabilities

Microsoft Security Response Center, 05.03.2021
Microsoft Exchange Server Vulnerabilities Mitigations – updated March 9,

Microsoft, 02.03.2021
New nation-state cyberattacks

Lokal installierte Versionen von Microsoft Exchange betroffen

[datensicherheit.de, 03.03.2021] Microsoft habe am Abend des 2. März 2021 Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in „Microsoft Exchange“ veröffentlicht. Diese Lücken würden derzeit von staatlichen Akteuren aktiv ausgenutzt.

Foto: G DATA

Tim Berghoff: Überstunden für IT-Admins!

Bereitgestellte Updates für Microsoft Exchange unverzüglich installieren!

G DATA warnt aktuell: Vier Zero-Day-Sicherheitslücken in lokal installierten Versionen von „Microsoft Exchange“ ermöglichten sowohl eine Authentisierung ohne Nutzerdaten, das Schreiben und Ausführen von beliebigem Code als auch die Ausleitung von Unternehmensdaten. Angreifer könnten sogar ganze Offline-Adressbücher und Mailboxen exfiltrieren.
Daher rate Microsoft, die bereitgestellten Updates unverzüglich zu installieren: Alle vier Zero-Day-Lücken hätten eine CVE zugewiesen bekommen (CVE-2021-26855,CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Betroffen seien lokale Installationen von „Microsoft Exchange“. Die Online-Versionen sind demnach von den Lücken „nach derzeitigen Erkenntnissen nicht betroffen“.

Gruppe „Hafnium“ nutzt Lücken in Microsoft Exchange derzeit aktiv

Es gebe eindeutige Anzeichen dafür, dass eine Gruppierung namens „Hafnium“ diese Lücken derzeit „aktiv nutzt“. Experten zufolge operiere diese Gruppe aus dem asiatischen Raum und im Auftrag einer Regierung.
„Auch wenn Unternehmen vermehrt Chat-Plattformen wie ,MS-Teams‘, ,Slack‘ oder andere nutzen, sind Mailserver nach wie vor das Herzstück vieler Unternehmen. Hier liegen extrem viele unternehmenskritische Daten“, erläutert Tim Berghoff, „Security Evangelist“ bei G DATA.
Notfall-Patches von Microsoft bedeuteten in der Regel vor allem eins: „Überstunden für IT-Admins“. Dass Angreifer die Sicherheitslücke bereits aktiv ausnutzten, zeige, wie wichtig zeitnahes Handeln in diesem Fall sei.

Angreifer geben sich als Microsoft Exchange-Server aus

Angreifer, welche die Lücken ausnutzen, gäben sich – vereinfacht gesagt – als „Exchange“-Server aus. Dadurch sei es möglich, die Zugänge zu kompromittieren, ohne selbst Kenntnis von Passwörtern zu haben. „Damit ist ein direkter Einblick in das Postfach des jeweiligen Nutzers möglich.“ Schon diese Sicherheitslücke allein wäre hochgradig kritisch.
Die übrigen Lücken würden unter anderem dafür genutzt, sogenannten Webshells auf dem Server einzurichten. Über diese könnten Angreifer dann jederzeit von außen auf Informationen zugreifen. Es gelte als gesichert, dass die Gruppierung hinter „Hafnium“ vor allem Forschungseinrichtungen (speziell solche, die in der Erforschung ansteckender Krankheiten aktiv seien), NGOs und Zulieferunternehmen für die Rüstungsindustrie ins Visier nehme.
„APT-Gruppen wie ,Hafnium‘ setzen in der Regel nicht auf kurzfristige und sichtbare Angriffe wie Ransomware – sondern versuchen über Zeit möglichst viele vertrauliche Daten zu sammeln. Fokus der Aktivitäten dürfte also in der Regel Industriespionage sein und nicht die klassische Verwertungskette organisierter Cybercrime-Gangs“, so Berghoff.

Täter haben bereits ganze Postfächer in Form der lokal gespeicherten Archivdatei von Microsoft Exchange ausgeleitet

Da die Täter auch bereits ganze Postfächer in Form der lokal gespeicherten Archivdatei ausgeleitet hätten, könne man die Kritikalität der entdeckten Sicherheitslücken nicht hoch genug bewerten. Es gebe jedoch eindeutige Anzeichen, „anhand derer sich klar erkennen lasse, ob sich derzeit jemand mit Hilfe dieser Kombination aus Zero-Day-Lücken Zugriff auf Unternehmensdaten verschafft hat“.
Eines dieser Anzeichen sei recht typisch für die Ausleitung von Daten. Beispielsweise speicherten die Täter Kopien der lokalen „Outlook“-Datei in einem ZIP-Archiv, welches in „%ProgramData%“ abgelegt werde. Ein regelmäßiger Blick könne sich also an dieser Stelle lohnen.
Typischerweise bereiteten die Täter die Ausleitung von Daten vor, indem sie die erbeuteten Informationen an einer Stelle sammelten und von dort aus dann nach außen sendeten. Im Falle von „Hafnium“ sei ein öffentlicher Online-Filesharing-Dienst namens „Mega“ verwendet wordem. Ein ebenfalls oft beobachtetes Anzeichen für verdächtige Aktivitäten in diesem Zusammenhang: „Prozess-Dumps, die in bestimmten Verzeichnissen wie c:\windows\temp abgelegt sind.“

Hinweise auf Ausnutzung von Microsoft Exchange durch „Hafnium“

Auf der Microsoft-Website sei eine sehr ausführliche Auflistung von Merkmalen und Kenndaten zu finden, die auf eine Ausnutzung durch „Hafnium“ hindeuteten.
Berghoff: „Darunter befinden sich bestimmte Aktivitäten, die sich in Log-Dateien wiederfinden. Ein Beispiel dafür wäre das automatisierte Herunterladen zusätzlicher Werkzeuge aus einem öffentlichen ,Github‘-Repository.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2021
Zerologon: Microsoft schloss kritische Schwachstelle

Microsoft, 02.03.2021
HAFNIUM targeting Exchange Servers with 0-day exploits

Satam Narang kommentiert aktuelle Microsoft-Patches zur Behebung der gefährlichen Zerologon-Sicherheitslücke

[datensicherheit.de, 14.02.2021] Satnam Narang von Tenable kommentiert die aktuellen Microsoft-Patches, mit denen eine gefährliche Sicherheitslücke nun geschlossen werden könne: „Microsoft hat seinen zweistufigen Ansatz zur Behebung von CVE-2020-1472, auch bekannt als ,Zerologon‘, einer kritischen Sicherheitsanfälligkeit für Privilegien-Erhöhung in ,Netlogon‘, abgeschlossen.“ Die Auswirkung dieser Schwachstelle lasse sich nicht einfach aus ihrem CVSSv3-Score oder dem Severity-Rating ableiten.

Foto: Tenable

Satam Narang: Unternehmen, die Zerologon noch nicht gepatcht haben, sollten dies sofort tun!

Zerologon vernlasste US-Regierung zu Notfallanweisung an alle Bundesbehörden

Narang führt aus: „Wenn man bedenkt, dass ,Zerologon‘ die US-Regierung dazu veranlasst hat, eine Notfallanweisung an alle Bundesbehörden herauszugeben, die Patches für diese Schwachstelle umgehend anzuwenden, beginnt man den Ernst der Lage zu verstehen.“ Demnach bietet „Zerologon“ Angreifern eine zuverlässige Möglichkeit, sich seitlich in einem Netzwerk zu bewegen, Systeme zu täuschen, Passwörter zu ändern und über den Domain-Controller selbst die Kontrolle über die sprichwörtlichen „Schlüssel zum Königreich“ zu erlangen.

Zerologon in die Playbooks der Angreifer aufgenommen

„Aus diesen Gründen wurde Zerologon in die Playbooks der Angreifer aufgenommen und ist zu einem guten Mittel für Aktivitäten nach der Kompromittierung avanciert“, berichtet Narang. Sie hätten auch Berichte gesehen, dass „Zerologon“ von Ransomware-Gruppen wie „Ryuk“ während ihrer Angriffe bevorzugt eingesetzt werde. Sein dringender Rat: „Da diese zweite Phase heute abgeschlossen wird, müssen Unternehmen, die ,Zerologon‘ noch nicht gepatcht haben, dies sofort tun.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

tenable, TENABLE BLOG, Satnam Narang, 09.02.2021
CVE-2020-1472: Microsoft Finalizes Patch for Zerologon to Enable Enforcement Mode by Default

tenable, TENABLE BLOG, Security Response Team, 09.02.2021
Microsoft’s February 2021 Patch Tuesday Addresses 56 CVEs (CVE-2021-24074, CVE-2021-24094, CVE-2021-24086)

Tenable warnt vor Patch-Müdigkeit

[datensicherheit.de, 22.01.2021] Aktuell tauchen Meldungen über eine schwerwiegende Schwachstelle in SAP Solution Manager auf, nachdem am 14. Januar ein Proof-of-Concept-Exploit-Skript auf GitHub veröffentlicht wurde. Die fehlende Sicherheitsmaßnahme bei der Authentifizierung mit einem CVSS-Wert von 10,0 ermöglicht es Angreifern, sich bei anfälligen Systemen zu authentifizieren indem sie einfach versuchen, eine Verbindung herzustellen. Die Forscher, die diese Schwachstelle offengelegt haben, sehen gegenwärtig aktive Versuche, nach anfälligen Systemen zu suchen, die nicht gepatcht wurden, obwohl seit März 2020 Patches verfügbar sind.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Dazu erläutert Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable:

„Die kürzliche Veröffentlichung eines Proof-of-Concept-Exploit-Skripts für eine kritische Schwachstelle im SAP Solution Manager stellt die Verantwortlichen für Cybersicherheit vor erhebliche Herausforderungen. Die als CVE-2020-6207 identifizierte Schwachstelle basiert auf einem Defizit im Bereich Authentifizierung. Dies bedeutet, dass sich ein Angreifer bei den anfälligen Systemen authentifizieren kann, indem er lediglich versucht, eine Verbindung herzustellen. Die Security-Forscher, welche die Sicherheitsschwachstelle offengelegt haben, beobachten verschiedene Aktivitäten, bei denen nach anfälligen Systemen zu gesucht wird, welche die Patches noch nicht eingespielt haben. Die Patches sind jedoch schon seit März 2020 verfügbar. Wie wir in unserer jüngsten Analyse zur IT-Bedrohungslage 2020 hervorheben, sind nicht gepatchte Schwachstellen für Cyberkriminelle viel wertvoller als Zero-Day-Sicherheitslücken. Es ist wichtig, dass Unternehmen, die den SAP Solution Manager in ihren Umgebungen verwenden, Patches so schnell wie möglich einspielen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.01.2021
Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

Schwachstelle für Remote-Code-Ausführung im Microsoft Defender bietet große Angriffsfläche

[datensicherheit.de, 14.01.2021] Gemäß einer aktuellen Meldung von Tenable hat Microsoft die ersten Updates des Jahres 2021 veröffentlicht. Nach eigenen Angaben hat Satnam Narang, „Staff Research Engineer“ bei Tenable, hat einen Blick darauf geworfen und eine Stellungnahme abgegeben.

Foto: Tenable

Satnam Narang: 83 Common Vulnerabilities and Exposures adressiert – zehn der CVE als kritisch eingestuft

1. Patch Tuesday 2021: Microsoft adressierte 83 CVE

„Am ersten ,Patch Tuesday‘ des Jahres 2021 hat Microsoft 83 CVE adressiert, von denen zehn als kritisch eingestuft wurden. Dies entspricht einem Anstieg von 69 Prozent bei der Anzahl der gepatchten CVEs im Vergleich zum Januar 2020“, berichtet Narang. Wenn das ein belastbares Indiz ist, bedeute dies, „dass 2021 erneut ein Jahr für die zunehmende Veröffentlichung von Sicherheitslücken am ,Patch Tuesday‘ markieren wird“.

Fix für CVE-2021-1647 – eine Schwachstelle im Microsoft Defender

Das Release dieses Monats enthalte einen Fix für „CVE-2021-1647“, eine Schwachstelle für Remote-Code-Ausführung in „Microsoft Defender“. Laut Microsoft sei diese Schwachstelle in der Praxis bereits als „Zero-Day“ ausgenutzt worden, obwohl keine weiteren Details bekannt gegeben worden seien. „Wenn man bedenkt, wie weit verbreitet ,Microsoft Defender‘ ist, bietet diese Schwachstelle Angreifern eine große Angriffsfläche“, warnt Narang.

Microsoft patcht zudem CVE-2021-1648 – eine Sicherheitslücke in einem Druckertreiber-Host

Microsoft habe außerdem CVE-2021-1648 gepatcht – eine Sicherheitslücke im Druckertreiber-Host „splwow64“, welche durch eine unsachgemäße Validierung der vom Benutzer bereitgestellten Daten entstehe. Die Schwachstelle sei von Experten des „Google Project Zero“ und durch die „Zero Day Initiative“ öffentlich bekannt gegeben worden. Narang: „Obwohl sie als Sicherheitsanfälligkeit infolge erhöhter Rechte gekennzeichnet ist, gibt Microsoft an, dass sie auch zur Offenlegung von Informationen genutzt werden kann.“

Weitere Informationen zum Thema:

datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark

Herkömmliche Patch-Management-Systeme sind in Zeiten von dezentralem Arbeiten deutlich veraltet / Patches müssen nicht über eine VPN-Verbindung versendet werden, sondern können direkt aus der Cloud heruntergeladen werden, bei bleibender zentraler Verwaltung.

Von unserem Gastautor Jörg Vollmer, General Manager, Field Operations, DACH bei Qualys

[datensicherheit.de, 31.07.2020] Ganz besonders in der heutigen Zeit ist Computerarbeit von zuhause in beinahe jeder Branche und jedem Unternehmen fester Bestandteil. Vor COVID-19 gab es einen geringeren Prozentsatz an Remotearbeitern. Nun ist davon auszugehen, dass auch in der Zukunft ein großer Anteil der Mitarbeiter an den verschiedensten Orten und nicht im eigenen Büro in der Firmenzentrale arbeiten wird. Doch gibt es ein Problem: Die meisten Organisationen verfügen über ein zentrales Patchmanagement-System. Natürlich war dies früher optimal, da ein Administrator die betroffenen Endpunkte sicher updaten konnte. Nun müssten die freigegebenen Patches jedoch via VPN versendet werden. Dadurch wird der gesamte Zugang zum Unternehmensnetzwerk stark belastet, eventuell sogar überlastet, war dieser in der Vergangenheit doch auf einen kleinen Anteil an externen Logins ausgelegt.

Eine Lösung wäre es, die Patchinformationen zentral auf einer Plattform zu verwalten und von dort aus zu entscheiden, welche Geräte zu welchem Zeitpunkt aktualisiert werden sollen. Die Patches selbst werden dann von dem mit dem Internet verbundenen Endpunkt selbst von der Herstellerseite heruntergeladen. Dazu ist kein Versenden großer Datenpakete nötig; ein simpler Befehl an einen auf dem Endpoint installierten Agenten reicht vollkommen aus.

Jörg Vollmer, General Manager Field Operations DACH, Bild: Qualys

Patching von Heimanwendern ohne VPN-Split-Tunneling

Eine Lösung zu finden, welche es ermöglicht, den plötzlichen Zustrom von Tele-Arbeit abzudecken, ohne das VPN zu überfordern, ist besonders in der Zeit von COVID-19 von zentraler Bedeutung. Als die ersten Artikel unter der Verwendung von CMG und Split-Tunneling erschienen, wirkte das für viele wie ein rettender Anker. Es wurden lediglich solche Verbindungen durch den VPN-Tunnel geleitet, die Systeme am anderen Ende des VPN-Tunnels als Ziel haben. Für alle anderen Verbindungen wird er ignoriert. Es liegt auf der Hand, dass diese Lösung lediglich eine kurzfristige war, bis zu dem Zeitpunkt, an dem auch diese eingeschränkte Kommunikation das VPN in ihrer Datenmenge überlastet. Dies ist nicht zuletzt mit Datenpaketen zum Patchen der Fall. Entweder es gibt sehr viele Geräte, welche auf der anderen Seite auf das Paket warten, oder aber der gesamte Vorgang braucht eine lange Zeit, sollten die Geräte nacheinander gepatcht werden. Office-365-Produkte zum Beispiel helfen bereits, bestimmte Vorgänge über einen Cloudzugang abzuwickeln. Dennoch ist auch dies keine langfristige Alternative. Doch auch, wenn man den Benutzern das Patchen direkt über Microsoft ermöglicht, wenngleich hier nicht alle Updates berücksichtigt werden, müssen diese die Berechtigung dazu über das VPN erfragen.

Lösungen zum Schutz von Remote-Benutzern

Krise hin oder her, das Patchen von Endpunkten gegen bekannte und neu auftretende Schwachstellen bleibt eine der größten Herausforderungen für IT-Administratoren. Mit der neuen „Work-from-Home“-Norm als Antwort auf COVID-19 klingt das Patch-Management für viele IT-Administratoren nahezu unmöglich. Wenn die Endpunkte nicht gepatcht werden, kann dies schwerwiegende Auswirkungen auf die Netzwerksicherheit haben, selbst wenn sich die Endpunkte innerhalb eines kontrollierten Unternehmensumfelds befinden. Nun, da die Remote-Benutzer bei der Remote-Arbeit auf das Internet angewiesen sind, ist das Patchen von Rechnern nicht so einfach, oder doch?

Zwangsläufig sollten sich Administratoren die folgenden Fragen stellen:

• Sind Sie in der Lage, einen vollständigen Überblick über eine über die ganze Welt verteilte Remote-Belegschaft zu behalten?
• Wie sieht die Strategie für das Scannen von Assets und Verteilen von Patches an entfernte Benutzer aus, die sich im Netzwerk an- und abmelden?
• Bietet das VPN genügend Bandbreite, um Patches an die Remote-Rechner zu verteilen?
• Was ist, wenn wichtige geschäftliche Anrufe und Besprechungen durch „zu frühe“ Patches behindert werden?
• Haben Sie sichergestellt, dass die Remote-Benutzererfahrung nicht durch wiederholte Warnmeldungen und zufällige Neustarts beeinträchtigt wird?
• Wie installieren Sie einen kritischen Patch, wenn ein Benutzer immer wieder Patch-Updates verweigert?
• Wie sicher ist Ihre Verbindung zwischen dem Patching-Server und Ihrem Remote-Client?

Das Remote-Patch-Management kann tatsächlich ein Kinderspiel sein, wenn die Organisation über die richtigen Werkzeuge verfügt.

Qualys bietet mit Vulnerability Management, Detection and Response (VMDR) eine Möglichkeit, Abhilfe zu schaffen.

Es handelt sich um einen Dienst, welcher in der Lage ist, den gesamten Patch-Management-Prozess von der Erkennung der Schwachstellen, über deren Priorisierung und dessen Patching abzuwickeln: Vom Scannen nach fehlenden Patches bis hin zum Herunterladen, Testen und Verteilen der Patches auf die Zielgeräte kann alles von einer zentralen Konsole aus orchestriert werden. Das Besondere ist, dass die Patches schlussendlich zwar über eine zentrale Plattform verwaltet, jedoch nicht auf den Endpunkt gespielt werden. Die Patches selber werden aus der Cloud durch den Agenten auf das Gerät geladen, sobald dieses eine Verbindung zum Internet besitzt.

Das hebt besonders Standortbeschränkungen auf. VMDR nutzt einen fortschrittlichen, vielseitig einsetzbaren Agenten und bietet die ununterbrochene Transparenz, welche für die Verwaltung von Remote-Laptops, Desktops, Servern und virtuellen Maschinen in der gesamten globalen hybriden IT-Umgebung benötigt wird. Vom Scannen bis zur Bereitstellung wird alles geräuschlos mit Hilfe des Agenten ausgeführt. Dies kann vollkommen automatisiert funktionieren, aber lässt jedoch auch manuelle Anpassungen zu. Die Priorisierung der zu patchenden Systeme könnte beispielsweise durch das Unternehmensziel beeinflusst sein. So sind beispielsweise Produktionsserver schneller zu patchen, als beispielsweise Druckernetzwerke. Durch den Cloud-Agenten stellt VMDR Patches überall dort zur Verfügung, wo dieser installiert wurde, einschließlich Remote-Systemen und öffentlichen Cloud-Ressourcen. Mit VMDR können Betriebssysteme und Anwendungen verschiedener Hersteller von einem zentralen Dashboard aus gepatcht werden. Auf diese Weise müssen die Patches nicht in Silos über mehrere herstellerspezifischen Konsolen verwaltet werden.

Eliminieren von VPN-Einschränkungen

Der Zugriff auf die begrenzte Bandbreite von VPN-Gateways für Remote-Patch-Management-Aktivitäten kann zu Engpässen führen. Stattdessen können Remote-Clients die wesentlichen Patches von vertrauenswürdigen Anbietern direkt herunterladen, unabhängig davon, wo sich das Endgerät befindet. Dies funktioniert rund um die Uhr. Das bedeutet, dass sich Remote-Arbeiter nicht innerhalb der gängigen Arbeitszeiten über VPN am Netzwerk anmelden müssen.

Weitere Informationen zum Thema:

datensicherheit.de, 17.02.2020
Industrie 4.0 braucht ganzheitliche IT-Sicherheit im Wertschöpfungsprozess