Satnam Narang kommentiert Null-Klick-Schwachstelle in Microsoft Outlook

[datensicherheit.de, 17.03.2023] Die jüngste Berichterstattung über die „Outlook“-Schwachstelle „CVE-2023-23397“ hat Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, nach eigenen Angaben dazu veranlasst, dieses Thema nachfolgend etwas fundierter zu beleuchten.

Foto: Tenable

Satnam Narang: Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht!

Outlook-Terminerinnerung kann missbraucht werden

„Innerhalb von 24 Stunden nach Veröffentlichung haben Forscher von MDSec bereits einen funktionalen Proof-of-Concept-Exploit für ,CVE-2023-23397‘ entwickelt, der verdeutlicht, wie einfach es ist, ihn auszunutzen“, berichtet Narang.

In diesem Beispiel hätten sie die Schwachstelle durch eine „Outlook“-Terminerinnerung ausnutzen können – „die auf dem Bildschirm erschien, nachdem die speziell gestaltete Nachricht vom E-Mail-Server empfangen und vom ,Outlook’-Client heruntergeladen wurde“.

CVE-2023-23397 in Outlook eine der Top-Schwachstellen des Jahres 2023

Narang betont: „Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht.“ Darüber hinaus habe Microsoft bestätigt, dass dieser Fehler als „Zero Day“ im Rahmen begrenzter Angriffe eines in Russland ansässigen Bedrohungsakteurs auf Regierungs-, Transport-, Energie- und militärische Zielorganisationen in Europa ausgenutzt worden sei.

„Aufgrund der Einfachheit, mit der diese Schwachstelle ausgenutzt werden kann, glauben wir, dass es nur eine Frage der Zeit ist, bis sie in die Playbooks anderer Bedrohungsakteure, einschließlich Ransomware-Gruppen, aufgenommen wird“, so Narang. Bei Tenable gehen sie demnach davon aus, „dass ,CVE-2023-23397‘ eine der Top-Schwachstellen des Jahres 2023 wird“.

Outlook-Nutzer sollten das Patchen dieses Fehlers eher früher als später priorisieren

Wie in ihrem aktuellen „Threat Landscape Report 2022“ hervorgehoben, stellten bekannte Schwachstellen heute das größte Risiko für Unternehmen dar. Abschließend rät Narang:

„Jetzt, da ,CVE-2023-23397‘ von einem Zero-Day zu einer bekannten Schwachstelle geworden ist, empfehlen wir allen Organisationen, die Microsoft verwenden – vor allem ,Outlook’ – das Patchen dieses Fehlers eher früher als später zu priorisieren.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 16.03.2023
Aktive Ausnutzung einer Schwachstelle in Microsoft Outlook

Microsoft, 16.03.2023
Microsoft Outlook Elevation of Privilege Vulnerability / CVE-2023-23397 / Sicherheitsanfälligkeit

Altbekannte VMware-Schwachstelle jüngst für große Cyber-Angriffskampagne missbraucht – Unternehmen in Frankreich, Finnland und Italien am stärksten betroffenen

[datensicherheit.de, 07.02.2023] Laut einer aktuellen Meldung von Tenable sollen kürzlich Tausende von Computer-Servern Ziel eines weltweiten Ransomware-Hacking-Angriffs gewesen sein, welcher auf „VMware (VMW.N) ESXi-Server“ abgezielt habe – dies habe Italiens Nationale Agentur für Cybersicherheit (ACN) am 5. Februar 2023 mitgeteilt und Unternehmen gewarnt, um Maßnahmen zum Schutz ihrer Systeme zu ergreifen. Bei diesem Cyber-Angriff sei versucht worden, eine Software-Schwachstelle auszunutzen, habe Roberto Baldoni, „General Director“ bei der ACN, vermeldet und hinzugefügt, dass es sich um einen „massiven Angriff“ gehandelt habe.

Traurige Wahrheit: Bekannte Schwachstellen mit Exploit trotzdem von Unternehmen oft nicht gepatcht

Dieser erste Bericht habe sich mittlerweile bestätigt, denn weitere Regionen hätten ähnliche Warnungen ausgesprochen: Nach Angaben von „Politico“ seien Frankreich, Finnland und Italien die am stärksten betroffenen Länder in Europa, während die USA und Kanada ebenfalls eine hohe Zahl an Zielen aufwiesen.

„Die traurige Wahrheit ist, dass bekannte Schwachstellen, für die ein ,Exploit’ zur Verfügung steht, oft nicht gepatcht werden“, kommentiert Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, und warnt: „Dies bringt Unternehmen in eine unglaubliche Gefahr, erfolgreich infiltriert zu werden.“ In diesem Fall, bei der zwei Jahre alten „VMware“-Schwachstelle, sei die Bedrohung angesichts der aktiven Ausnutzung „immens“.

Foto: Tenable

Bernard Montel: Unternehmen müssten sich beim Patchen entscheiden – ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen…

Virtualisierung Herzstück der Cloud-Strategie der meisten Unternehmen

Virtualisierung sei das Herzstück der „Cloud“-Strategie der meisten Unternehmen – „ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das Rückgrat der IT bildet“. Angreifer wüssten, dass sie auf diese Ebene zielen könnten, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten. Montel führt aus: „Wenn sie in der Lage sind, sich Zugang zu verschaffen, können sie Malware einschleusen, um die Hypervisor-Ebene zu infiltrieren und eine Masseninfektion zu verursachen.“

Für viele Unternehmen stelle sich die Frage nach der Betriebszeit im Vergleich zur Frage, ob ein System zum Patchen offline genommen werden sollte. In diesem Fall könnte die Rechnung nicht einfacher sein – „ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen“.

Angreifer zielen auf Schwachstellen ab, um Administratorrechte zu missbrauchen und Unternehmens-Netzwerke zu durchdringen

Montel erläutert: „Wir wissen, dass Angreifer bekannte Schwachstellen, die beliebte Software betreffen, bevorzugen – einschließlich ,Open Source’, ,VMWare’, ,ManageEngine’, ,PrintNightmare’ und ,ProxyShell’. Die Angreifer zielen auf diese Schwachstellen ab, da sie wissen, dass sie Administratorrechte missbrauchen können, um das Netzwerk zu durchdringen und Schaden anzurichten oder sogar empfindliche Informationssysteme und Daten als Erpressung zu nutzen.“

Um die Kontinuität des Geschäftsbetriebs zu gewährleisten, müssten die Sicherheitsteams herausfinden, „wie sie ausgenutzte Schwachstellen beheben und gleichzeitig die Auswirkungen auf das Unternehmen minimieren können, anstatt bekannte Schwachstellen unbehandelt zu lassen“, so Montel abschließend.

Weitere Informationen zum Thema:

POLITICO, Elena Giordano, 05.02.2023
Ransomware hacking campaign targets Europe and North America, Italy warns / France, Finland and Italy are the most affected countries in Europe, while the US and Canada also have a high number of targets

heise online, Dirk Knop, 05.02.2023
Ransomware: Italiens Cyber-Sicherheitsbehörde warnt vor weltweiter Attacke / Die italienische Cyber-Sicherheitsbehörde ACN warnt vor einer aktuellen Ransomware-Attacke, die tausende Server weltweit betreffe

datensicherheit.de, 06.02.2023
Torsten George warnt: Angriffsfläche für Endgeräte wächst – die Schwachstellen bleiben / George erörtert, wie Unternehmen im Wettrennen um Mobile Security aufholen können

Hacker könnten Kontrolle über Apple-Geräte übernehmen

[datensicherheit.de, 22.08.2022] „Kürzlich warnte Apple alle Nutzerinnen und Nutzer vor einer Sicherheitslücke auf ,iPads’, ,iPhones’ und ,Macs’, bei der Hacker die Kontrolle über die Geräte übernehmen können“, berichtet Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme und rät allen, welche ein betroffenes Apple-Gerät besitzen, „so schnell wie möglich auf die neueste Software zu aktualisieren“.

Foto: CHECK POINT

Lothar Geuenich: Bedrohungslandschaft entwickelt sich rasant weiter!

Cyber-Kriminelle werden nach jedem nicht aktualisierten Apple-Gerät Ausschau halten

Cyber-Kriminelle würden nach jedem Gerät Ausschau halten, das nicht aktualisiert wurde, „um auf persönliche Daten zuzugreifen, Malware einzuschleusen oder Zugang zu Unternehmensnetzwerken zu erhalten“, warnt Geuenich.

Die Bedrohungslandschaft entwickele sich rasant weiter, und mobile Schwachstellen und Malware stellten eine erhebliche und oft übersehene Gefahr für die Sicherheit von Privatpersonen und Unternehmen dar.

Nicht nur für Apple: Installation von Sicherheitssoftware auf Basis von Echtzeit-Bedrohungsdaten empfohlen

Check Point Software empfiehlt demnach zusätzlich die Installation von Sicherheitssoftware, die Echtzeit-Bedrohungsdaten nutzt, um aktiv vor Zero-Day-Phishing-Kampagnen zu schützen, und URL-Filter, um den Zugriff auf bösartige Websites von jedem Browser aus zu blockieren.

Geuenich erläutert: „Diese Lösung sollte zusätzlich eine Zugangskontrolle enthalten, die sicherstellt, dass ein infiziertes Gerät nicht auf Unternehmensanwendungen und -daten zugreifen kann, ohne die Mitarbeiter zu stören oder ihre Produktivität zu beeinträchtigen.“

Weitere Informationen zum Thema:

tagesschau, 19.08.2022
Update empfohlen / Apple warnt vor Sicherheitslücke

WDR, 19.08.2022
Sicherheitslücke bei Apple: Fast alle Geräte betroffen

Avast bringt Schwachstelle mit Candiru in Verbindung

[datensicherheit.de, 25.07.2022] Am 22. Juli 2022 wurden mehrere Meldungen veröffentlicht, wonach eine sogenannte Zero-Day-Schwachstelle in „Google Chrome“ (und möglicherweise auch „Edge“ und „Safari“), ausgenutzt werden kann – und konkret auch wurde, um Journalisten im Nahen Osten anzugreifen. Das Sicherheitsunternehmen Avast habe diese Schwachstelle mit „Candiru“ in Verbindung gebracht. „Candiru“ habe in der Vergangenheit bereits zuvor unbekannte Schwachstellen ausgenutzt, um eine „Windows“-Malware namens „DevilsTongue“ zu installieren.

Schwachstelle über verschlüsselten Kanal gezielt an Rechner des Opfers übertragen

Mithilfe einer „Watering Hole“-Technik werde ein Profil des Browsers des Opfers erstellt, welches unter anderem Details wie Sprache, Zeitzone, Bildschirminformationen, Gerätetyp, Browser-Plugins, Referrer und Gerätespeicher enthalte.
Avast habe festgestellt, dass diese Informationen gesammelt worden seien, „um sicherzustellen, dass der ,Exploit‘ nur an die beabsichtigten Ziele übermittelt wird“.
Sollten die gesammelten Daten von den Hackern als wertvoll erachtet werden, werde der „Zero-Day Exploit“ über einen verschlüsselten Kanal an den Rechner des Opfers übertragen.

Entdeckte Schwachstellen definitiv ernstzunehmen

James Sebree, „Senior Staff Research Engineer“ bei Tenable, geht in seinem aktuellen Kommentar auf diese neuen Schwachstellen ein:
„Die hier entdeckten Schwachstellen sind definitiv ernstzunehmen, vor allem, weil sie so weitreichend sind, was die Anzahl der betroffenen Produkte angeht.“ Betroffen seien die meisten modernen Desktop-Browser, mobile Browser und alle anderen Produkte, „die anfällige WebRTC-Komponenten verwenden“.
Sebree warnt: „Bei erfolgreicher Ausnutzung könnte ein Angreifer seinen eigenen Schadcode auf dem Computer eines bestimmten Opfers ausführen und Malware installieren, das Opfer ausspionieren, Informationen stehlen oder eine beliebige andere kriminelle Aktion ausführen.“

Angriffe auf Basis dieser Schwachstelle offensichtlich sehr gezielt

Es sei jedoch „unwahrscheinlich, dass wir allgemeine oder öffentliche ,Exploits‘ für diese Schwachstelle sehen werden“.
Bei der Hauptschwachstelle „CVE-2022-2294“ handele es sich um einen „Heap Overflow“, welcher aufgrund der Sicherheitsfunktionen der meisten modernen Betriebssysteme in der Regel nur schwer ausgenutzt werden könne.
Alle Angriffe, welche diese Schwachstelle ausnutzen, seien offensichtlich sehr gezielt. Sebrees Fazit: „Es ist zwar unwahrscheinlich, dass es zu allgemeinen Angriffen kommt, die diese Schwachstelle ausnutzen, aber die Wahrscheinlichkeit ist nicht gleich null, und Unternehmen müssen entsprechende Patches bereitstellen.“

Weitere Informationen zum Thema:

ars TECHNICA, Dan Goodin, 21.07.2022
CANDIRU — 0-day used to infect Chrome users could pose threat to Edge and Safari users, too / After lying low, exploit seller Candiru rears its ugly head once more

DECODED avast.io, Jan Vojtěšek, 21.07.2022
The Return of Candiru: Zero-days in the Middle East

Tenable rät zur Vorsicht und warnt vor Missbrauch dieser Schwachstelle durch Cyber-Kriminelle

[datensicherheit.de, 04.06.2022] Am letzten Mai-Wochenende 2022 soll eine sogenannte Zero-Click-Schwachstelle in „Microsoft Office“ entdeckt worden sein. Diese Sicherheitslücke sei Microsoft bereits im April 2022 von einem Forscher gemeldet worden.

Foto: Tenable

Claire Tills: Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein!

Schwachstelle offenbar bereits im April 2022 ausgenutzt worden

„Am Wochenende begannen Security-Forscher, über eine Zero-Day-Schwachstelle für die Remote-Codeausführung (RCE) zu diskutieren, die über ,Microsoft Office‘-Dokumente ausgenutzt werden kann, einem bevorzugten Angriffsvektor“, berichtet Claire Tills, „Senior Research Engineer“ bei Tenable, in ihrer aktuellen Stellungnahme.

Am 30. Mai 2022 habe Microsoft einige offizielle Details zu „CVE-2022-30190“ veröffentlicht und darauf hingewiesen, dass diese RCE-Schwachstelle „Microsoft Windows Diagnostic Tools“ betreffe, habe aber keine Patches veröffentlicht. Indes habe Microsoft eine Empfehlung zur Schadensbegrenzung gegeben.

Diese RCE scheine bereits im April 2022 ausgenutzt worden zu sein und habe erst kürzlich breite öffentliche Aufmerksamkeit erlangt, nachdem ein Forscher begonnen habe, ein schädliches Sample auf „VirusTotal“ zu untersuchen.

Schwachstelle ein Zero-Click-Exploit – keine Benutzerinteraktion erforderlich

Tills führt aus: „Im Laufe des Wochenendes reproduzierten mehrere Forscher das Problem und stellten fest, dass es sich um einen ‚Zero-Click‘-Exploit handelt, was bedeutet, dass keine Benutzerinteraktion erforderlich ist.“

In Anbetracht der Ähnlichkeiten zwischen „CVE-2022-30190“ und „CVE-2021-40444“ sowie der Vermutung, dass auch andere „Protokoll-Handler“ anfällig sein könnten, erwarte man weitere Entwicklungen und Ausnutzungsversuche dieser Schwachstelle.

„Da es sich um einen ,Zero-Click‘-Exploit handelt, kann der einzelne Benutzer nicht viel tun, aber eine gesunde Portion Skepsis ist sehr hilfreich“, empfiehlt Tills. Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein, so ihr Rat.

Weitere Informationen zum Thema:

Microsoft
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability / CVE-2022-30190

Amit Yoran ruft zu dauerhafter Wachsamkeit insbesondere gegenüber Schwachstellen auf

[datensicherheit.de, 15.12.2021] Laut Meldungen von IT-Sicherheitsexperten am 14. Dezember 2021 sollen bereits erste Ransomware-Gruppe entdeckt worden sein, welche die Schwachstelle Log4Shell ausnutzen. Die dabei genutzte Ransomware mit dem Namen „Khonsari“ sei zwar „weit davon entfernt, sich zu einer großen Kampagne zu entwickeln“, da sie von Fachleuten als einfache „Skidware“ („Skript Kiddie Software“) eingeordnet werde, die leicht zu bekämpfen sei. Diese Ransomware sei indes funktionsfähig und könne durchaus – „wenn sie nicht rechtzeitig gestoppt wird“ – Dateien verschlüsseln.

Foto: Tenable

Amit Yoran: Die Schwachstelle verstehen und herauszufinden, wie sie sich im Laufe der Zeit verändert und weiterentwickelt!

Log4Shell-Schwachstelle bringt jetzt Unternehmen überall in Bedrängnis

„Genau wie wir gewarnt haben, bringt die ,Log4Shell‘-Schwachstelle jetzt Unternehmen überall in der Welt in Bedrängnis. Und das Schlimmste steht noch bevor, wenn die Unternehmen nicht sofort Maßnahmen ergreifen“, kommentiert Amit Yoran, „Chairman“ und „CEO“ von Tenable.
IT-Sicherheitsforscher beobachteten bereits Ransomware-Aktivitäten, bei denen Cyber-Kriminelle „Log4Shell“ in ihren „Playbooks“ einsetzten. Yoran möchte klarstellen, dass diese Ransomware-Aktivitäten „definitiv nicht verschwinden werden“. Sie würden wie ein „Lauffeuer“ zunehmen, auch dank dieser neuen, perfekten Gelegenheit in Form von „Log4Shell“.

Unternehmen müssen handeln, da Log4Shell-Schwachstelle bisherige Sicherheitsstrategie vollständig untergraben könnte

Unternehmen müssten nun schnell und entschieden handeln, fordert Yoran, da „Log4Shell“ ihre vorhandene Sicherheitsstrategie vollständig untergraben könne und werde. Kein Sicherheitsprodukt eines Anbieters sei ein Allheilmittel, um dieses Problem komplett zu lösen.
Die Beseitigung der von „Log4Shell“ ausgehenden Bedrohungen erfordere harte Arbeit und Zeit, um diese Schwachstelle zu verstehen und herauszufinden, „wie sie sich im Laufe der Zeit verändert und weiterentwickelt, um Schutzmaßnahmen zu umgehen“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

datensicherheit.de, 15.12.2021
Sicherheitslücke in Log4j: Schwachstelle bedroht Weihnachtsgeschäft / Schwachstelle könnte leicht ausgenutzt werden – Proof-of-Concept öffentlich verfügbar

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 14.12.2021
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security / Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

[datensicherheit.de, 15.12.2021] Der durch die „Pandemie“ sowieso schon stark in Mitleidenschaft gezogene Einzelhandel sehe sich gerade im Weihnachtsgeschäft 2021 einer neuen Bedrohung ausgesetzt: Die kritische Schwachstelle, genannt Log4Shell, in der „Java“-Bibliothek „Log4j“ beunruhige seit dem 3. Adventswochenende 2021 Unternehmen und Behörden weltweit. Chris Vaughan, „Area Vice President“, „Technical Account Management“ bei Tanium, führt in seiner Stellungnahme aus: „Auch das BSI schlug bereits Alarm und warnte am Samstag vor einer extrem kritischen Bedrohungslage. Die Behörde hatte schließlich seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe ,Rot‘ hochgestuft, mit der Begründung, dass das betroffene Produkt sehr weit verbreitet sei und somit auch eine Vielzahl weiterer Produkte betreffe.“ Auch habe es aus Bonn geheißen, die Sicherheitslücke könnte leicht ausgenutzt werden, ein „Proof-of-Concept“ sei öffentlich verfügbar. In solchen Fällen könnten Angreifer betroffene Systeme vollständig übernehmen, dem BSI seien weltweit Massen-Scans und versuchte Kompromittierungen bekannt.

Schwachstelle die schlimmste, die Vaughan in seiner bisherigen Laufbahn gesehen hat…

Vaughan betont: „Diese Schwachstelle ist die schlimmste, die ich in meiner bisherigen Laufbahn gesehen habe, was die Anzahl der betroffenen Personen und Organisationen sowie die Schwere der möglichen Auswirkungen angeht.“ In den kommenden Tagen und Stunden werde er mit vielen Unternehmen über die Herausforderungen sprechen, denen sie sich bei der Erkennung und Behebung der Sicherheitslücke gegenübersähen.
Der Online-Handel sei ein Sektor, „der aufgrund der hohen Geldbeträge, die über diese Websites fließen, besonders ins Visier von Angreifern geraten wird“. Der Zeitpunkt des Auftretens dieser Sicherheitslücke sei besonders für diese Unternehmen ungünstig, da sie gerade jetzt, in der geschäftigsten Zeit des Jahres, so kurz vor Weihnachten, dringende Änderungen an ihren IT-Umgebungen vornehmen müssten. „Um die Auswirkungen so gering wie möglich zu halten, sollten sie denselben Rat befolgen, den ich Unternehmen aller Branchen geben würde, nämlich die Sicherheitslücke so schnell wie möglich zu schließen.“ Hierbei sollten sie zuerst mit den nach außen gerichteten Teilen ihrer IT-Infrastruktur beginnen, wie zum Beispiel ihrer Website, „bevor sie sich auf die internen Systeme konzentrieren“, so Vaughan.

Schwachstellen-Management-Tools könnten Log4Shell eventuell übersehen

Ein Fehler, der sich bei der Behebung des Problems in Unternehmen habe beobachten lassen, „ist, dass diese sich zu sehr auf herkömmliche Tools zur Verwaltung von Sicherheitslücken verlassen“. Diese Tools scannten installierte Anwendungen auf Probleme, „aber wenn ein Framework wie ,Log4j‘ umbenannt oder in einem anderen als dem Standardpfad installiert wurde, ist es wahrscheinlich, dass die Schwachstellen-Management-Tools diese übersehen“.
Aus diesem Grund sei es besser, eine Lösung zu verwenden, „die Konfigurationsstrings in Dateien analysiert“. Der Einsatz eines solchen Tools sei eine Möglichkeit, die Bedrohung durch solche Schwachstellen in Zukunft zu minimieren. Eine andere Möglichkeit wäre seiner Meinung nach, „Open-Source-Projekte wie ,Log4j‘ genauer unter die Lupe zu nehmen.“

Open-Source-Tools stärker auf potenzielle Schwachstellen überprüfen!

Diese Frameworks und Tools würden von Tausenden von Unternehmen eingesetzt, aber oft von Menschen in ihrer Freizeit als Hobbyprojekt betrieben. In der Regel sei es unklar, „wie viele Ressourcen für die Aufrechterhaltung von Sicherheitsstandards aufgewendet werden“, aber er glaube, dass Unternehmen dies in Zukunft vor dem Einsatz von „Open Source“-Tools stärker überprüfen würden.
Diese bedauerliche Nachricht sei eine weitere Erinnerung daran, wie wichtig Cyber-Hygiene und Asset-Management seien. „Wenn Unternehmen diese Grundlagen bereitgestellt haben, bevor es zu einem Vorfall kommt, sind sie in einer viel besseren Position, um entweder Schaden zu verhindern oder die Auswirkungen zu minimieren“, sagt Vaughan abschließend.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

datensicherheit.de, 15.12.2021
Log4Shell: Erste Ransomware-Attacken nutzen Schwachstelle aus / Amit Yoran ruft zu dauerhafter Wachsamkeit insbesondere gegenüber Schwachstellen auf

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 14.12.2021
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security / Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

[datensicherheit.de, 14.12.2021] Auch der Deutschland sicher im Netz e.V. (DsiN) geht auf die Medienberichte ein, wonach am 3. Adventswochenende 2021 bekannt wurde, dass Hacker eine Schwachstelle des „Open Source“-Programms „Log4j“ ausnutzten und somit etliche Systeme, die dieses Programm nutzen, angreifen konnten. Die Besonderheit bei „Open Source“-Software bestehe darin, dass diese für jeden frei nutzbar und öffentlich einsehbar sei. Häufig würden die Codes von Programmierern bereitgestellt, welche in der Regel keine Bezahlung dafür erhielten. Zugleich nutzten viele große Unternehmen „Open Source“-Programme als Grundlage für ihre IT-Systeme. Für DsiN nimmt der Geschäftsführer, Dr. Michael Littger, Stellung.

Foto: DsiN e.V.

Dr. Michael Littger: DsiN bietet Unterstützungsinitiative wie die Transferstelle für IT-Sicherheit im Mittelstand (TISiM) an

Schwachstelle konnte kurz nach Bekanntwerden durch Updates geschlossen werden

Auch wenn diese Schwachstelle bereits kurz nach dem Bekanntwerden im Programm geschlossen worden sei und entsprechende Updates zur Verfügung stünden, sei das Risiko hoch, dass bereits angegriffene Systeme für kriminelle Zwecke genutzt würden.
Zudem sei davon auszugehen, „dass viele Systeme nach wie vor ungeschützt vor diesen Angriffe sind, weil das Update noch nicht durchgeführt wurde“.

Schutzvorkehrungen gegen Schwachstellen bereits im Vorfeld deutlich verstärken!

Dr. Littger führt aus: „Die aktuellen Hacker-Angriffe über ,Log4j‘ verdeutlichen den Nachholbedarf aller Beteiligten für IT-Sicherheit. Akut empfehlen wir allen Betrieben und Privatpersonen, sämtliche verfügbare Updates unmittelbar durchzuführen und auf ungewöhnliche Aktivitäten wie längere Rechnerzeiten zu achten.“
Vor allem gehe es künftig darum, die Schutzvorkehrungen von betroffenen Organisationen schon im Vorfeld solcher Ereignisse deutlich zu verstärken. Bundesweite DsiN-Unterstützungsinitiativen wie „TISiM – Transferstelle für IT-Sicherheit im Mittelstand“ böten dafür gute Anknüpfungspunkte. „Sie müssen deutlich ausgebaut und weiterentwickelt werden“, so Dr. Littger.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

DsiN Deutschland sicher im Netz
Transferstelle IT-Sicherheit im Mittelstand (TISiM)

datensicherheit.de, 14.12.2021
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security / Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden

[datensicherheit.de, 14.12.2021] „Log4Shell“, eine kritische Zero-Day-Sicherheitslücke der weitverbreiteten „Java“-Logging-Bibliothek „Log4j“, beschäftigt aktuell die IT-Sicherheitswelt, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu die höchste Warnstufe („Rot“) ausgerufen. IT-Sicherheitsexperten versuchen nun mit Hochdruck, ihre Systeme mithilfe der inzwischen bekannten Informationen und erster Updates abzusichern. Dieser über ein „Bug Bounty“-Programm aufgedeckte Softwarefehler sei bereits als „kritischste Sicherheitslücke des letzten Jahrzehnts“ eingestuft worden, denn diese Schwachstelle sei in einem Open-Source-Protokollierungstool aufgedeckt worden, welches in „Cloud“-Servern und Unternehmenssoftware allgegenwärtig sei, so Phil Leatham, „Senior Account Executive“ bei YesWeHack Deutschland, in seiner aktuellen Stellungnahme – darin ruft er gerade in diesen Zeiten zu mehr „Crowdsourced Security“ auf.

Foto: privat

Phil Leatham: Das größte Risiko kann auch von Komponenten ausgehen, bei denen man dies am wenigsten erwartet…

Schwachstelle Log4Shell erinnert daran, dass moderne Computersysteme aus Tausenden Komponenten bestehen

„Die Schwachstelle ,Log4Shell‘ erinnert uns daran, dass jedes moderne Computersystem aus Hunderten und Tausenden von Komponenten besteht. Das größte Risiko kann dabei auch von denjenigen Komponenten ausgehen, bei denen man dies am wenigsten erwartet hätte. Unabhängig davon, ob es sich um Open-Source- oder Closed-Source-Software handelt“, erläutert Leatham.
In diesem speziellen Fall erweise sich ausgerechnet eine Komponente, die von fast allen Systemen – oft ohne es zu wissen – für eine so harmlose und normalerweise „unangreifbare“ Funktion wie die Protokollierung verwendet werde, als „Achillesferse des Internets“.

Schnelle Mobilisierung der Sicherheitsgemeinschaft, um katastrophalen Auswirkungen der Schwachstelle zu begegnen

Doch wieder einmal habe die schnelle Mobilisierung der Sicherheitsgemeinschaft, um betroffene Systeme zu identifizieren und Lösungen zu finden, „uns in die glückliche Lage versetzt, die potenziell katastrophalen Auswirkungen einer solchen Schwachstelle zu verringern“.
Um das erneute Auftreten ähnlicher Risiken zu verhindern, wird es laut Leatham „immer notwendiger, diese Gemeinschaft und insbesondere die Community der ethischen Hacker stärker zu nutzen“. Dies könne Unternehmen dabei helfen, ihre Sicherheitsgrenzen zu schützen und, was noch wichtiger sei, „ihr Netzwerk in Echtzeit zu überwachen“. So könnten sie eventuelle Korrekturen vornehmen, „bevor ein böswilliger Akteur davon profitiert“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

[datensicherheit.de, 13.12.2021] Am 9. Dezember 2021 sei ein „Exploit“ für „CVE-2021-44228“, eine kritische Schwachstelle in „Apache Log4j“, einer beliebten Logging-Bibliothek, veröffentlicht worden. Diese Bibliothek werde von einer Reihe von Produkten und Diensten verwendet, welche „von allen Arten von Organisationen eingesetzt werden, einschließlich ,Steam‘, ,Apple iCloud‘, ,Tesla‘ und ,Minecraft‘“. Die Ausnutzung dieser Sicherheitsanfälligkeit sei so einfach, dass Benutzer von „Minecraft“ den Fehler durch Senden einer Nachricht innerhalb des „Minecraft“-Chats hätten auslösen können. Amit Yoran, „CEO“ beim IT-Sicherheitsanbieter Tenable, kommentiert diese Entdeckung in seiner aktuellen Stellungnahme.

Foto: Tenable

Amit Yoran: Apache Log4j – eine beliebte Logging-Bibliothek – wird von einer Reihe von Produkten und Diensten verwendet…

Größte einzelne Schwachstelle in der Geschichte des modernen Computings

Yoran führt aus: „Die ,Apache Log4j Remote Code Execution Vulnerability‘ ist die größte und kritischste Schwachstelle des letzten Jahrzehnts. Wenn alle Untersuchungen abgeschlossen sind, könnten wir tatsächlich feststellen, dass es sich um die größte einzelne Schwachstelle in der Geschichte des modernen Computings handelt.“
Diese Art von Schwachstelle erinnere daran, dass Unternehmen ausgereifte Cyber-Sicherheitsprogramme entwickeln und umsetzen müssten, um Cyber-Risiken besser zu verstehen und zu bewältigen.

Präzise Sicherheitschecks durchführen, um Auswirkungen der Schwachstelle auf eigene Organisation zu identifizieren!

„Während Details noch bekannt werden, ermutigen wir Unternehmen, ihre Sicherheitskontrollen zu aktualisieren und davon auszugehen, dass sie kompromittiert wurden, sowie bestehende Pläne zur Reaktion auf Vorfälle zu aktivieren“, so Yoran.
Die oberste Priorität bestehe jetzt darin, mit ihren internen Security- und Engineering-Teams oder mit einer externen Organisation zusammenzuarbeiten, „die präzise Sicherheitschecks durchführt, um die Auswirkungen auf ihre Organisation zu identifizieren“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 14.12.2021
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security / Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen