[datensicherheit.de, 13.08.2025] Nach aktuellen Erkenntnissen von Proofpoint-Cybersicherheitsexperten besteht eine Möglichkeit, die FIDO-Authentifizierung ( „Fast Identity Online“) zu umgehen. Bei FIDO handelt es sich um einen offenen Standard für sichere und benutzerfreundliche Authentifizierung im Internet. FIDO-basierte Passkeys sind laut Proofpoint grundsätzlich eine hochwirksame Methode zum Schutz vor Phishing und Konto-Übernahmen. Nun sei aber eine Methode entdeckt worden, um FIDO-basierte Authentifizierung durch einen „Downgrade“-Angriff zu umgehen.

Phishing-Angriffe mittels Standard-Phishlets scheitern an FIDO-gesicherten Konten

Die meisten Phishing-Bedrohungen, welche Standard-Phishlets verwenden, scheiterten an FIDO-gesicherten Konten. Ein sogenanntes Phishlet ist demnach eine Konfigurationsdatei, welche von Phishing-Kits verwendet wird, um die Nachahmung legitimer Websites und das Abfangen von Benutzeranmeldedaten und Sitzungstokens zu ermöglichen.

• Da die meisten Phishlets für die traditionelle Anmeldedaten-Erfassung über Verbindungen ohne FIDO-Absicherung konzipiert seien, produzierten sie Fehler, sobald sie auf die FIDO-Authentifizierung stoßen, wodurch die gesamte Angriffskette erfolglos bleibe.

Bestimmte Implementierungen der FIDO-Authentifizierung, insbesondere „Windows Hello for Business“ (WHfB), könnten nun aber anfällig für „Downgrade“-Angriffe sein. Diese Angriffe würden den Benutzer dazu zwingen, auf eine weniger sichere Authentifizierungsmethode zurückzugreifen. Proofpoint-Experten hätten einen FIDO-„Downgrade“-Angriff am Beispiel von „Microsoft Entra ID“ durchgespeilt – diese Art des Angriffs sei allerdings nicht auf diese Implementierung beschränkt.

Benutzeragent-Spoofing: Scheinbar unbedeutende Funktionslücke könnte missbraucht werden

Nicht alle Web-Browser unterstützten die Passkey-Authentifizierungsmethode (FIDO2) mit „Microsoft Entra ID“. Beispielsweise werde FIDO bei Verwendung von „Safari“ unter „Windows“ nicht unterstützt.

• Diese scheinbar unbedeutende Funktionslücke könne nun von Angreifern missbraucht werden. Ein Cyberkrimineller könne einen „Adversary-in-the-Middle“-Angriff (AiTM) anpassen, um einen nicht unterstützten Benutzeragenten vorzutäuschen, „der von einer FIDO-Implementierung nicht erkannt wird“.

Anschließend wäre der Benutzer gezwungen, sich über eine weniger sichere Methode zu authentifizieren. „Dieses Verhalten, das auf Microsoft-Plattformen zu beobachten ist, ist eine fehlende Sicherheitsmaßnahme.“

Opfer sollen gezwungen werden, ihre Authentifizierungsmethode auf eine weniger sichere herabzustufen

Proofpoint-Spezialisten hätten ein Phishlet für das „Evilginx AiTM“-Angriffsframework entwickelt, welche ein Ziel dazu zwinge, seine Authentifizierungsmassnahme auf eine weniger sichere Methode herabzustufen. Die Angriffssequenz basiere auf der Existenz einer alternativen Authentifizierungsmethode (normalerweise MFA) neben FIDO für das Konto des angegriffenen Nutzers. Dies sei bei FIDO-Implementierungen oft der Fall, weil die meisten Administratoren eine praktische Option zur Kontowiederherstellung bevorzugten.

Der Phishing-„Downgrade“-Angriff läuft laut Proofpoint wie folgt ab:

1. Erste Interaktion
   Ein Phishing-Link werde dem Ziel per E-Mail, SMS, OAuth-Zustimmungsanfrage oder einem anderen Kommunikationskanal zugesandt.
2. Authentifizierungs-„Downgrade“
   Sobald das Ziel auf den Phishing-Köder hereinfällt und auf die bösartige URL klickt, werde ihm eine Authentifizierungsfehlermeldung angezeigt, welche ihn auffordere, eine alternative Anmeldemethode auszuwählen.
3. Diebstahl von Anmeldedaten und MFA-Token
   Sobald sich das Opfer über die gefälschte Oberfläche authentifiziert, könne der Angreifer die Anmeldedaten und das Sitzungscookie abfangen und einsehen – wie bei einem Standard-„AiTM“-Phishing-Angriff.
4. Sitzungsübernahme und Kontoübernahme
   Schließlich könne der Angreifer die authentifizierte Sitzung kapern, „indem er das gestohlene Sitzungscookie in seinen eigenen Browser importiert, wodurch er Zugriff auf das Konto des Opfers erhält, ohne Anmeldedaten eingeben oder eine MFA-Authentifizierung durchführen zu müssen“.
   Der Angreifer könne dann eine Reihe von Aktionen nach der Kompromittierung ausführen, einschließlich Daten-Exfiltration und lateraler Bewegung innerhalb der betroffenen Umgebung.

Angreifer könnten FIDO-Authentifizierungs-„Downgrades“ in ihre „Kill Chains“ integrieren

Proofpoint-Experten hätten bisher noch keine Anwendung der beschriebenen Vorgehensweise durch Cyberkriminelle in der Praxis beobachten können. Indes handele es sich beim FIDO-Authentifizierungs-„Downgrade“-Angriff um eine signifikante aufkommende Bedrohung.

• Diese Art eines Angriffs könne von hochentwickelten Angreifern und APT-Angreifern (insbesondere staatlich gesponserten Akteuren) durchgeführt werden.

Weil immer mehr Organisationen „phishing-resistente“ Authentifizierungsmethoden wie FIDO einführten, könnten Angreifer sich gezwungen sehen, ihre Vorgehensweise weiterzuentwickeln, indem sie FIDO-Authentifizierungs-Downgrades in ihre „Kill Chains“ integrierten.

Weitere Informationen zum Thema:

proofpoint, Yaniv Miron, 12.08.2025
Don’t Phish-let Me Down: FIDO Authentication Downgrade / Key takeaways

datensicherheit.de, 13.02.2025
Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel / Bereitstellung von Passkeys in großen Unternehmen

datensicherheit.de, 31.03.2025
PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA / Neue Version des Standards in Kraft getreten

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 15.06.2025] Laut einer aktuellen Warnung von ESET macht eine Sicherheitslücke privat und gewerbliche verwendete Kameras angreifbar: „Ein Blick ins Wohnzimmer, in den Laden oder auf den Parkplatz – bequem per App von unterwegs. Was vielen Menschen ein Gefühl von Sicherheit gibt, kann in Wahrheit zum Risiko werden.“ Weltweit sind laut ESET rund 40.000 Überwachungskameras offen im Internet zugänglich – schlecht gesichert und manchmal sogar ohne Passwort. Auch in Deutschland sollen etwa 1.000 Geräte betroffen sein – „wie aktuelle Recherchen von ,Bitsight‘ zeigen“.

Kein tiefes technisches Verständnis oder spezielle Ausrüstung erforderlich, um Kameras zu kapern

„Viele Geräte werden ohne standardmäßige Datenschutz- und Sicherheitsfunktionen entwickelt, hergestellt und ausgeliefert“, so Christian Lueg, IT-Sicherheitsexperte bei ESET. Er betont: „Das macht sie hochgradig anfällig für Angriffe von außen. Das Schlimme daran ist: Es bedarf keines tiefen technischen Verständnisses oder spezieller Ausrüstung, um die Geräte zu übernehmen!“

• Bei den meisten Überwachungskameras in Deutschland dürfte es sich demnach um HTTPS- und RTSP-basierte Kameras handeln. „Das sind verschiedene Protokolle, die ein Streaming von Videodaten über das Internet ermöglichen.“ Beide Standards kämen in unterschiedlichen Einsatzbereichen zur Anwendung:
• „HTTPS hat sich als Standard für die breite Masse durchgesetzt und findet vor allem bei Überwachungskameras für den privaten Bereich und Kleinunternehmen Verwendung.
• RTSP wird vor allem in professionellen Bereichen verwendet, die weiträumige Echtzeitüberwachung erfordern, z.B. Flughäfen und Bahnhöfen.“

Offene Kameras können Kriminellen Bewegungsprofile liefern

Generell gelte HTTPS als sicherer als RTSP. „Letzterer verfügt über keine eingebaute Verschlüsselung und bedarf weiterer Lösungen, um Daten sicher zu übertragen.“ Im aktuellen Fall könnten Hacker auf Kameras mit beiden Standards zugreifen.

• Offene Kameras lieferten Kriminellen weit mehr als nur harmlose Einblicke. Sie könnten genutzt werden, um Bewegungsprofile zu erstellen, Objekte auszuspionieren oder sogar für gezielte Erpressung. In Unternehmen seien solche Geräte häufig Teil des IT-Netzwerks – „und werden so zur Einstiegslücke für größere Cyberangriffe“.

„Vor allem günstige Überwachungsgeräte werden mit Standardzugangsdaten ausgeliefert, die herstellerübergreifend gleich sind oder sich stark ähneln.“ Behalten Nutzer diese Zugangsdaten bei Inbetriebnahme bei, sei es für Hacker ein Leichtes, die Kamera zu übernehmen und sie für ihre eigenen Zwecke zu missbrauchen.

Unternehmen sollten beim Einsatz von Kameras u.a. auf verschlüsselte Übertragung setzen

Einige Modelle ließen sich sogar trotz geänderter Zugangsdaten auslesen – sie lieferten automatisch Livebilder, sobald eine bestimmte Webadresse (ein sogenannter „Uniform Resource Identifier“, kurz URI) aufgerufen wird. Dies funktioniere ähnlich wie bei einem direkten Link zu einer Datei im Netz. Folgende ESET-Tipps sollen dabei helfen, die eigene Überwachungskamera gegen Zugriffe von außen zu schützen:

• Standard-Benutzernamen und -Passwörter durch sichere, eindeutige Anmeldedaten ersetzen!
• Höherwertige Geräte bekannter Hersteller nutzen, welche meistens länger mit Sicherheitsupdates versorgt werden!
• Fernzugriff deaktivieren, sofern nicht unbedingt erforderlich, und Aufnahmen stattdessen lokal speichern!
• Firmware der Kamera regelmäßig aktualisieren, um bekannte Sicherheitslücken zu schließen!

„Unternehmen sollten beim Einsatz von Kameras auf verschlüsselte Übertragung setzen und Fernzugriffe nur über VPN-Verbindungen erlauben“, rät Lueg abschließend und unterstreicht: „Wer verdächtige Anmeldeversuche überwacht, kann viele Angriffe im Keim ersticken.“

Weitere Informationen zum Thema:

BITSIGHT, João Cruz, 10.06.2025
Bitsight Identifies Thousands of Security Cameras Openly Accessible on the Internet

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 18.02.2018
Computer und Smartphones: Jeder vierte Nutzer fürchtet Kamera-Spione / 27 Prozent der Befragten verdecken an ihren Geräten die Kamera

[datensicherheit.de, 14.03.2025] Forscher des europäischen IT-Sicherheitsherstellers ESET haben eine äußerst gefährliche Sicherheitslücke (CVE-2025-24983) in älteren Versionen von Microsoft Windows entdeckt. Eine Schwachstelle im Code erlaubte die Ausführung eines Zero-Day-Exploits. Darunter verstehen Experten ein Schadprogramm, das ungepatchte Sicherheitslücken ausnutzt. Für einen erfolgreichen Angriff musste der Computer des Opfers bereits mit einer Backdoor infiziert sein. Im Falle einer Kompromittierung erhielten Hacker weitreichende Zugriffsrechte auf das betroffene System. Microsoft hat die Lücke sofort nach Bekanntwerden geschlossen.

Ursache: Unsachgemäße Speichernutzung

„Die Schwachstelle hängt mit einer unsachgemäßen Speichernutzung während des Softwarebetriebs zusammen“, erklärt ESET-Forscher Filip Jurčacko, der den Zero-Day-Exploit entdeckt hat. „Auf kompromittierten Computern konnten Hacker hierdurch eigenen Code ausführen und verheerenden Schaden anrichten.“

Betroffene Windows-Versionen

• Vor allem Nutzer veralteter Windows-10-Versionen konnten betroffen sein: Die Sicherheitslücke, die der Exploit ausnutzte, kam in Versionen vor Windows 10 Build 1809 vor. Diese Version ist schon einige Jahre alt. Deshalb dürften vor allem Anwender mit älteren Computern in Gefahr gewesen sein, die zudem seit längerem nicht mehr aktualisiert wurden. Auch Nutzer des schon lange nicht mehr unterstützten Windows 8.1 gehörten zur betroffenen Gruppe.
• Da die Sicherheitslücke auch in Windows Server 2016 auftrat, konnte sie auch Unternehmen gefährden. Das Serverbetriebssystem wird von Microsoft noch bis Januar 2027 mit Sicherheitsupdates versorgt.

Experten empfehlen schnellstmöglichen Wechsel auf aktuelles Betriebssystem

Von der aktuellen Sicherheitslücke waren hauptsächlich ältere Versionen von Microsoft betroffen. Aber auch Nutzer, die eine aktuelle Windows-10-Version nutzen, sollten so schnell wie möglich auf Windows 11 wechseln oder sich nach alternativen, sicheren Betriebssystemen umschauen: Im Oktober endet der kostenlose Support für Windows 10. Das bedeutet, dass es keine weiteren kostenlosen Sicherheitsupdates mehr geben wird. Nutzer, die nicht auf Microsofts kostenpflichtigen erweiterten Update-Service zurückgreifen, laufen somit Gefahr, Opfer eines Cybervorfalls zu werden.

Weitere Informationen zum Thema:

Microsoft
Microsoft stellt einen Leitfaden zur Verfügung, der Nutzern betroffener Systeme hilfreiche Informationen zur Sicherheitslücke und dem Patch liefert

datensicherheit.de, 04.12.2020
Schwachstellenmanagement: Erkennung und Reaktion

[datensicherheit.de, 24.06.2024] Informatiker vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz warnen in einer aktuellen Stellungnahme davor, dass sich Online-Aktivitäten allein durch Latenzschwankungen der Internetverbindung detailliert ausspähen lassen – ein solcher Angriff funktioniert demnach.

Abbildung: IAIK – TU Graz

IAIK-Entdeckung: Der Sicherheitslücke „SnailLoad“ wäre nur umständlich zu begegnen

Zum Ausnutzen von „SnailLoad“ kein Schadcode notwendig

Internetnutzer hinterlassen bekanntlich viele Spuren auf Websites und bei Online-Diensten. Dagegen sollen Maßnahmen mittels Firewalls, VPN-Verbindungen oder Browser-Privatmodi helfen, um ein gewisses Maß an Datenschutz zu gewährleisten. Eine neu entdeckte Sicherheitslücke mache es nun aber möglich, sämtliche dieser Schutzmaßnahmen zu umgehen:

IAIK-Informatiker hätten die Online-Aktivitäten von Nutzern allein durch Geschwindigkeitsschwankungen ihrer Internetverbindung im Detail mitverfolgen können. Zum Ausnutzen dieser „SnailLoad“ genannten Sicherheitslücke sei kein Schadcode notwendig, und auch der Datenverkehr müsse dazu nicht abgefangen werden. „Betroffen sind sämtliche Arten von Endgeräten und Internetverbindungen!“

Das Opfer müsse lediglich ein einziges Mal direkten Kontakt zum Angreifer haben – etwa beim Besuch einer Website oder beim Schauen eines Werbevideos – und lade dabei unbemerkt eine im Grunde harmlose Datei herunter. „Weil diese Datei keinerlei Schadcode enthält, wird sie von Sicherheitssoftware nicht erkannt.“ Das Laden dieser Datei verlaufe extrem langsam und liefere dabei dem Angreifer laufend Informationen zu den Latenzzeiten der Internetverbindung des Opfers. Diese Informationen dienten in weiteren Schritten zur Rekonstruktion von dessen Online-Aktivität.

„SnailLoad“ kombiniert Latenzzeiten mit „Fingerabdruck“ von Online-Inhalten

„Wenn das Opfer nun eine Website aufruft, ein Online-Video schaut oder mit jemandem per Video spricht, schwankt die Latenz der Internetverbindung nach einem ganz bestimmten Muster, das abhängig ist von den genutzten Inhalten“, erläutert Stefan Gast vom IAIK. Denn alle Online-Inhalte hätten einen „Fingerabdruck“: Für den effizienten Versand seien diese in kleine Datenpakete aufgeteilt, welche nacheinander vom Server des Hosts an die Nutzer geschickt würden. „Das Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Online-Inhalt einzigartig – wie ein menschlicher Fingerabdruck.“

Die Forscher hatten für Testzwecke vorab die „Fingerabdrücke“ einer begrenzten Zahl von „YouTube“-Videos und populärer Websites erhoben. Nutzten die Testpersonen diese Videos und Websites, hätten die Forscher dies durch die korrespondierenden Latenzschwankungen erkennen können.

„Der Angriff würde aber auch andersherum funktionieren“, führt Daniel Gruss vom IAIK aus: „Angreifende messen zuerst das Muster der Latenzschwankungen, wenn ein Opfer im Internet aktiv ist, und suchen anschließend nach Online-Inhalten mit passendem Fingerabdruck.“

„SnailLoad“-Sicherheitslücke zu schließen sehr schwierig

Beim Ausspionieren von Videos schauenden Testpersonen hätten Forscher eine Trefferquote von bis zu 98 Prozent erreicht. „Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren“, berichtet Gruss. Daher sei die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf rund 63 Prozent gesunken. Er warnt: „Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen.“

Diese Sicherheitslücke zu schließen, sei schwierig. Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kunden nach einem zufälligen Muster künstlich verlangsamten. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen.

Das Team um Stefan Gast und Daniel Gruß hat eine Website zu „SnailLoad“ eingerichtet. Das wissenschaftliche Papier zu dieser Sicherheitslücke möchten die Forscher auf den Fachkonferenzen „Black Hat USA 2024“ und „USENIX Security Symposium“ präsentieren.

Weitere Informationen zum Thema:

SnailLoad
Remote Network Latency Measurements Leak User Activity

TU Graz
Überblick Information, Communication & Computing

[datensicherheit.de, 17.11.2022] Die CISA (CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY) und das FBI (Federal Bureau of Investigation) haben am 16. November 2022 einen gemeinsamen Bericht veröffentlicht, wonach vom Iran gesponserte Angreifer die IT einer US-Bundesbehörde erfolgreich attackiert haben sollen – eine „Log4Shell“-Schwachstelle in einem ungepatchten „VMware Horizon“-Server ausnutzend. Die Angreifer hätten dann Krypto-Mining-Software installiert und sich seitlich zum Domänen-Controller bewegt, um Anmeldeinformationen zu kompromittieren. Bob Huber, „Chief Security Officer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme den Vorfall:

Foto: Tenable

Bob Huber: Fast drei von vier Organisationen immer noch anfällig für Angriffe durch Log4Shell-Sicherheitslücke

Tenable wird Warnung veröffentlichen, in der Auswirkungen von Log4Shell untersucht werden

„Der Angriff gegen eine US-Regierungsbehörde ist realistischerweise einer der vielen Verstöße, die ans Licht kommen werden, wenn Kriminelle ,Log4Shell’ erfolgreich ausnutzen“, so Huber.

In den kommenden Tagen werde Tenable eine Warnung veröffentlichen, „in der die Auswirkungen von ,Log4Shell’ untersucht werden, in der wir festgestellt haben, dass fast drei von vier Organisationen immer noch anfällig für Angriffe durch diese Sicherheitslücke sind“.

Vollständige Behebung von Log4Shell schwierig zu erreichen

Die Realität sei, dass eine vollständige Behebung von „Log4Shell“ angesichts seiner Verbreitung und der Tatsache, dass jedes Mal, wenn ein Unternehmen neue Assets hinzufügt, es die Schwachstelle erneut einführen könnte, schwierig zu erreichen sei.

Abschließend betont Huber: „Der beste Weg, um Angreifer zu vereiteln ist es, bei den Sanierungsbemühungen fleißig und konsequent zu bleiben.“

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 16.11.2022
CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Compromising Federal Network

[datensicherheit.de, 22.08.2022] „Kürzlich warnte Apple alle Nutzerinnen und Nutzer vor einer Sicherheitslücke auf ,iPads’, ,iPhones’ und ,Macs’, bei der Hacker die Kontrolle über die Geräte übernehmen können“, berichtet Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme und rät allen, welche ein betroffenes Apple-Gerät besitzen, „so schnell wie möglich auf die neueste Software zu aktualisieren“.

Foto: CHECK POINT

Lothar Geuenich: Bedrohungslandschaft entwickelt sich rasant weiter!

Cyber-Kriminelle werden nach jedem nicht aktualisierten Apple-Gerät Ausschau halten

Cyber-Kriminelle würden nach jedem Gerät Ausschau halten, das nicht aktualisiert wurde, „um auf persönliche Daten zuzugreifen, Malware einzuschleusen oder Zugang zu Unternehmensnetzwerken zu erhalten“, warnt Geuenich.

Die Bedrohungslandschaft entwickele sich rasant weiter, und mobile Schwachstellen und Malware stellten eine erhebliche und oft übersehene Gefahr für die Sicherheit von Privatpersonen und Unternehmen dar.

Nicht nur für Apple: Installation von Sicherheitssoftware auf Basis von Echtzeit-Bedrohungsdaten empfohlen

Check Point Software empfiehlt demnach zusätzlich die Installation von Sicherheitssoftware, die Echtzeit-Bedrohungsdaten nutzt, um aktiv vor Zero-Day-Phishing-Kampagnen zu schützen, und URL-Filter, um den Zugriff auf bösartige Websites von jedem Browser aus zu blockieren.

Geuenich erläutert: „Diese Lösung sollte zusätzlich eine Zugangskontrolle enthalten, die sicherstellt, dass ein infiziertes Gerät nicht auf Unternehmensanwendungen und -daten zugreifen kann, ohne die Mitarbeiter zu stören oder ihre Produktivität zu beeinträchtigen.“

Weitere Informationen zum Thema:

tagesschau, 19.08.2022
Update empfohlen / Apple warnt vor Sicherheitslücke

WDR, 19.08.2022
Sicherheitslücke bei Apple: Fast alle Geräte betroffen

[datensicherheit.de, 10.01.2022] Laut einer aktuellen Stellungnahme von Tenable hat die US Federal Trade Commission (FTC) „in der vergangene Woche in einer Meldung die Unternehmen aufgefordert, die Sicherheitslücke in ,Log4j‘ zu schließen“ – andernfalls drohen demnach rechtliche Schritte! In einer energisch formulierten Erklärung habe die FTC erklärt, sie werde von ihrer „(…) vollen rechtlichen Befugnis Gebrauch machen, um Unternehmen zu verfolgen, die keine angemessenen Maßnahmen ergreifen, um Verbraucherdaten vor der Gefährdung durch ,Log4j‘ oder ähnliche bekannte Schwachstellen in der Zukunft zu schützen“.

Foto: Tenable

Amit Yoran: FTC-Warnung vor möglichen rechtlichen Konsequenzen für Unternehmen, welche die Sicherheitslücke in Log4j nicht schließen, längst überfällig!

Aktuelle FTC-Empfehlung verweist auf Sicherheitslücke bei Equifax

In dieser Empfehlung werde auf die Sicherheitslücke bei Equifax verwiesen, bei der durch das Versäumnis, eine bekannte Sicherheitslücke zu schließen, „die persönlichen Daten von 147 Millionen Verbrauchern unwiderruflich preisgegeben wurden“.

Equifax habe damals zugestimmt, 700 Millionen US-Dollar zu zahlen, um die Klagen der Federal Trade Commission, des Consumer Financial Protection Bureau und aller fünfzig US-Bundesstaaten beizulegen.

Nichtbehebung der Log4j-Sicherheitslücke schlimmer als daheim Türen und Fenster unverschlossen zu lassen…

„Das wurde auch Zeit! Die Warnung der FTC vor möglichen rechtlichen Konsequenzen für Unternehmen, die die Sicherheitslücke in ,Log4j‘ nicht schließen, ist längst überfällig“, kommentiert Amit Yoran, „CEO“ und „Chairman“ bei Tenable, das Vorgehen staatlicher Stellen zur Eindämmung der „Log4j“-Schwachstelle.

Die Nichtbehebung von „Log4j“ sei schlimmer, „als wenn Sie Ihre Türen und Fenster unverschlossen lassen und einen Eindringling einladen, Ihre Regale zu plündern“.

Log4j größte Sicherheitslücke der Geschichte

Dadurch würden nämlich auch die Daten, die so viele Unternehmen über Einzelpersonen sammelten, gefährdet. Yoran betont: „Insbesondere ,Log4j‘ ist die größte Sicherheitslücke der Geschichte.“

Diese sei nicht proaktiv zu beheben und sei geradezu die Definition von Fahrlässigkeit. Yorans Fazit: „Wenn die Androhung staatlicher Strafen die Verantwortlichen aus ihrer Selbstgefälligkeit aufrüttelt, ist das ein Gewinn für alle. Damit sollten wir jetzt sofort beginnen.”

Weitere Informationen zum Thema:

FEDERAL TRADE COMMISSION, 04.01.2022
FTC warns companies to remediate Log4j security vulnerability

FEDERAL TRADE COMMISSION, Januar 2020
Equifax Data Breach Settlement

cfpb Consumer Financial Protection Bureau
Equifax data breach settlement

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

[datensicherheit.de, 22.07.2021] Tenable warnt nach eigenen Angaben vor einer Zero-Day-Schwachstelle, welche in mehreren Versionen von „Windows 10“ identifiziert worden sei. Darüber sei es möglich, dass ein eigentlich nicht-privilegierter bzw. nicht-autorisierter Benutzer die Registry lesen und sein Berechtigungslevel erhöhen könne, um auf sensible Informationen zuzugreifen. Microsoft hat demnach einen Out-of-Band-Informationshinweis über diese Schwachstelle, aber noch keine Patches veröffentlicht.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Bestimmte Versionen von Windows 10 betroffen

VSS-Schattenkopie automatisch angelegt, wenn Systemlaufwerk größer 128 GB ist und Windows-Update oder MSI-Datei installiert wird

„Die ,Windows Elevation of Privilege‘-Schwachstelle (CVE-2021-36934), die von IT-Sicherheitsforschern als ,HiveNightmare‘ oder ,SeriousSAM‘ bezeichnet wird, ist ein Zero-Day, der bestimmte Versionen von ,Windows 10‘ betrifft“, erläutert Satnam Narang, „Staff Research Engineer“ bei Tenable, in seinem Kommentar zu dieser akuten IT-Sicherheitslücke.
Diese ermögliche es nicht-autorisierten Benutzern, „sensible Dateien zu lesen, die normalerweise nur für Administratoren zugänglich sind“. Um die Schwachstelle auszunutzen, müsse der „Volume Shadow Copy Service“ (VSS) verfügbar sein. Die Sicherheitsexperten hätten darauf hingewiesen, dass die VSS-Schattenkopie automatisch angelegt werde, „wenn das Systemlaufwerk größer als 128 Gigabyte ist und ein ,Windows‘-Update oder eine MSI-Datei installiert wurde“.

Windows-10-Sicherheitslücke: Schadensbegrenzung vorerst auf Änderung von Zugriffskontrolllisten beschränkt

Nutzer könnten überprüfen, „ob die VSS-Schattenkopien existieren oder nicht“, indem sie einen bestimmten Befehl auf ihren Systemen ausführten. Eine erfolgreiche Ausnutzung dieses Fehlers würde einem lokalen Angreifer die Möglichkeit geben, seine Privilegien zu erhöhen, Passwörter und Schlüssel zu sammeln sowie Zugriff auf ein Account zu erhalten, um einen „Silver Ticket“-Angriff durchzuführen.
Microsoft habe einen Out-of-Band-Informationshinweis zu dieser Sicherheitslücke veröffentlicht – aber noch keine Patches. Narang fasst abschließende zusammen: „Zum jetzigen Zeitpunkt beschränkt sich die Schadensbegrenzung auf die Änderung von Zugriffskontrolllisten, um Benutzer am Lesen bestimmter Dateien zu hindern, und auf das Entfernen von VSS-Schattenkopien vom System. Diese Abhilfemaßnahmen könnten aber bestimmte Funktionen des Systems beeinträchtigen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.04.2021
Tenable warnt vor weiterer Zero-Day-Schwachstelle in Google Chrome

Microsoft, 21.07.2021
Windows Elevation of Privilege Vulnerability / CVE-2021-36934

[datensicherheit.de, 02.07.2021] Laut einer aktuellen Meldung von Malwarebytes sollen Sicherheitsforscher „unabsichtlich eine kritische Sicherheitslücke im ,Windows‘-Betriebssystem veröffentlicht“ haben, welche auf den Namen „PrintNightmare“ höre. Für diese Schwachstelle werde es wohl frühestens am 12. Juli 2021 einen Patch geben. Malwarebytes fasst nach eigenen Angaben den Stand der Dinge nachfolgend zusammen und gibt Ratschläge zum Umgang mit diesem Problem.

Malwarebytes warnt vor Ausnutzung der Sicherheitslücke

In Anbetracht der großen Anzahl von Rechnern, welche für „PrintNightmare“ anfällig sein könnten, und der Tatsache, dass mehrere Methoden zum Ausnutzen dieser Sicherheitslücke veröffentlicht worden seien, sei es wahrscheinlich, dass es bald tatsächliche Attacken geben werde, „bei denen diese Sicherheitslücke ausgenutzt wird“.

Malwarebytes-Administratoren geben Hinweise für Gegenmaßnahmen

Ratschläge der Malwarebytes-Administratoren in aller Kürze:

• Deaktivieren Sie den Print-Spooler-Dienst auf Rechnern, die ihn nicht benötigen. Bitte beachten Sie, dass das Anhalten des Dienstes ohne Deaktivierung möglicherweise nicht ausreicht.
• Stellen Sie sicher, dass die Systeme, die den Print-Spooler-Dienst benötigen, nicht mit dem Internet verbunden sind.

Malwarebytes empfiehlt, Zugriffsereignisse und -berechtigungen sehr sorgfältig einzuschränken und zu überwachen

„Diese Maßnahmen werden nicht in jedem Fall einfach oder überhaupt umsetzbar sein. Bei den Endgeräten, die den Print-Spooler-Dienst benötigen und auch von außerhalb des LANs erreichbar sein müssen, sollten die Zugriffsereignisse und -berechtigungen sehr sorgfältig eingeschränkt und überwacht werden. Vermeiden Sie auch unbedingt, den Print-Spooler-Dienst auf irgendwelchen Domain-Controllern laufen zu lassen.“

Malwarebytes: Deny to modify als Regel erstellen!

Für weitere Maßnahmen sei es gut zu wissen, dass der Exploit funktioniere, indem er eine DLL-Datei in einem Unterverzeichnis von „Windows“ (unter C:\Windows\System32\spool\drivers) ablege, „so dass Sie eine ,Deny to modify‘-Regel für dieses Verzeichnis und seine Unterverzeichnisse erstellen können, und somit nicht einmal das SYSTEM-Konto eine neue DLL darin ablegen kann“.

Weitere Informationen zum Thema:

MalwarebytesLABS, Pieter Arntz, 01.07.2021
PrintNightmare 0-day can be used to take over Windows domain controllers

BLEEPINGCOMPUTER, Ionut Ilascu, 30.06.2021
Public Windows PrintNightmare 0-day exploit allows domain takeover

[datensicherheit.de, 21.06.2021] Am vergangenen Donnerstag veröffentlichte Google einen Blogpost, in dem der Tech-Riese auf eine kritische Lücke in seinem Chrome-Browser hinweist.  Darüber hinaus bestätigt Google, dass die Sicherheitslücke von Hackern bereits aktiv ausgenutzt wird.

Für Nutzer des Browsers bedeutet dies ein erhebliches Risiko, da diese Lücke dazu ausgenutzt werden kann, sein System – und danach unter Umständen das Netzwerk, in dem er sich befindet – zu kompromittieren. Alle Chrome-User sollten deshalb so schnell wie möglich überprüfen, welche Version des Browsers auf ihren Geräten installiert ist. Sollte diese nicht 91.0.4472.114 (oder höher) sein, besteht dringender Handlungsbedarf und die Anwendung sollte schnellstmöglich aktualisiert werden.

Überblick über IT-Strukturen notwendig

Für Unternehmen, die Google Chrome nutzen, gilt das gleiche: Sie müssen einen Überblick darüber haben, welche Versionen ihre Browser (und andere Anwendungen) haben, um sicher zu bleiben. Organisationen stellen sich bei solchen Vorfällen Fragen wie „Sind wir betroffen?“ und „Müssen wir uns um diese Sicherheitslücke kümmern?“ und um sie so schnell wie möglich zu beantworten bedarf es eines tiefen Einblicks in ihre Umgebung. Dazu zählt ein zentrales Repository, in dem aktuelle Informationen über die gesamte IT-Umgebung hinterlegt sind. Hier kommt es darauf an, nicht Tage oder gar Wochen warten zu müssen, bis die Software-Version jeder installierten Anwendung bekannt ist. Idealerweise dauert es nur Augenblicke bis diese kritischen Informationen vorliegen.

Ist dies bekannt, geht es im nächsten Schritt darum, notwendige Software-Updates an alle Endpunkte zu verteilen; und das, ohne den Netzwerkverkehr zu stark zu belasten – unabhängig ihres Standorts oder der Qualität des Internetanschlusses.

Stefan Molls,  RVP, Risk and Security bei Tanium

„Für Unternehmen kann die aktuelle Sicherheitslücke ein guter Zeitpunkt dafür sein, eigene Benchmarks in Bezug auf ihre Update-Praktiken aufzustellen“, gibt  Stefan Molls,  RVP, Risk and Security bei Tanium, zu bedenken. „Messen Sie doch mal, wie schnell Sie Endpunkte mit Google Chrome identifizieren können und wie schnell Sie diese Schwachstelle beheben können. Dazu sollten Sie sich auch fragen, wie zuversichtlich Sie sind, ob die Daten auch aktuell und vollständig sind.“

Angreifer sind immer auf der Suche nach Möglichkeiten, ein Zielnetzwerk zu kompromittieren. Dazu gehören etwa Phishing-E-Mails, verwundbare Server mit Internetzugang oder, wie im aktuellen Fall, ungepatchte Anwendungen. Mit der richtigen Strategie können Organisationen diesen Gefahren begegnen und die Sicherheit ihrer IT-Umgebungen gewährleisten.