[datensicherheit.de, 26.08.2025] „Viele IT- und Sicherheitsverantwortliche denken beim Thema E-Mail-Sicherheit vor allem an Phishing und ähnliche Gefahren in Verbindung mit dem Diebstahl von Zugangsdaten durch Cyberkriminelle. Aber zunehmend rücken auch bislang weniger beachtete Funktionen von E-Mail-Software wie ,Outlook’ in den Fokus der Diskussion“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Er warnt in diesem Zusammenhang: „E-Mail-Regeln, Formulare und Mailfluss-Konnektoren können manipuliert werden und bergen ein ernstzunehmendes Risiko für Unternehmen, die Dienste wie ,Microsoft 365‘ nutzen.“ Angreifer können demnach die genannten Funktionen, welche eigentlich für die legitime Automatisierung und Steuerung des E-Mail-Verkehrs gedacht seien, ausnutzen, um dauerhaft und unbemerkt auf kompromittierte Konten zuzugreifen. Fälle wie die kritische Sicherheitslücke im „Outlook“-Modul „OLE“ (Object Linking and Embedding), vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres 2025 warnte, häuften sich und zeigten die potenziellen Gefahren im „Microsoft-365-Ökosystem“ auf.

Foto: KnowBe4

Dr. Martin J. Krämer: Häufung kritischer Sicherheitslücken zeigt potenzielle Gefahren im „Microsoft-365-Ökosystem“ auf

Angreifer zielen auf Zugangsdaten für „Microsoft 365“-Konten

Krämer führt aus: „Erhält ein Angreifer die Zugangsdaten eines ,Microsoft 365‘-Kontos – etwa durch Phishing, ,Credential Stuffing’ oder das Abfangen eines Einmal-Passworts für die Multi-Faktor-Authentifizierung (MFA) – kann er Regeln in der E-Mail-Software, benutzerdefinierte ,Outlook’-Formulare oder Nachrichtenfluss-Konnektoren einrichten.“

• E-Mail-Regeln und Formulare ermöglichten es, in „Outlook“ Nachrichten automatisch weiterzuleiten, zu löschen oder zu verändern. Bei missbräuchlicher Nutzung könnten damit unter anderem betrügerische Aktivitäten verschleiert und Daten entwendet werden.

„Konnektoren, die serverseitig in ,Microsoft Exchange Online’ arbeiten, steuern den E-Mail-Verkehr zwischen ,Exchange Online’ und anderen Systemen. Angreifer können diese so konfigurieren, dass E-Mails über fremde Server umgeleitet, Absenderangaben verändert oder Antworten auf eigene Domains umgeleitet werden.“ Da diese Konfigurationen in der „Cloud“ gespeichert würden, blieben sie auch nach Passwortänderungen, einer Neueinrichtung der MFA oder einer Neuinstallation des E-Mail-Clients bestehen. „Sie werden nur entdeckt, wenn gezielt danach gesucht wird.“

Sicherheitsverantwortliche kennen oft ausnutzbare Funktionen in „Microsoft 365“ nicht

Angreifer durchsuchten nach der Anmeldung eines kompromittierten Kontos das Postfach nach geschäftlich relevanten Inhalten – beispielsweise offenen Rechnungen. Anschließend richteten sie Regeln oder „Connectors“ ein, um die betroffene Kommunikation abzufangen und zu manipulieren, etwa indem legitime Zahlungsanweisungen durch gefälschte ersetzt würden.

• „Antworten der Empfänger werden häufig so umgeleitet, dass sie den Kontoinhaber nicht erreichen. Dadurch kann der Angriff über Tage oder Wochen unbemerkt bleiben.“ Selbst ansonsten technisch gut geschützte Unternehmen und deren Sicherheitsverantwortliche könnten so hinters Licht geführt werden, was erhebliche finanziellen Schäden zur Folge haben könne.

Die zunehmende Ausnutzung von Mailfluss-Konnektoren durch Cyberkriminelle hänge auch damit zusammen, dass viele Organisationen sich der Gefahr schlicht nicht bewusst seien. „Sicherheitsverantwortliche wissen nicht immer, dass diese Funktionen standardmäßig in ,Microsoft 365‘ verfügbar sind“, erläutert Krämer. Besonders kritisch seien Fälle, in denen einzelne Mitarbeiter ohne die nötigen Sicherheitskenntnisse sowohl Nutzer- als auch Administratorrechte besitzen.

Gewissenhafte Überprüfung der „Microsoft 365“-Funktionen, kombiniert mit starker Authentifizierung und regelmäßigen Schulungen, empfohlen

Zunächst müssten Unternehmen und Sicherheitsteams ein Bewusstsein dafür entwickeln, dass diese Funktionen existieren und missbraucht werden könnten. Administratoren sollten regelmäßig sowohl „Outlook“-Regeln und -Formulare als auch Mailfluss-Konnektoren im „Microsoft 365 Admin Center“ prüfen und sicherstellen, „dass alle Einträge legitim und erforderlich sind“.

• Auch die eingesetzten Authentifizierungsmethoden sollten möglichst resistent gegen Phishing sein. Krämer regt an: „So sorgt zum Beispiel der Einsatz von ,FIDO2‘-Sicherheitsschlüsseln oder Passkeys anstelle leicht abfangbarer Einmal-Passwörter für mehr Sicherheit. Beim Einsatz von Security-Lösungen gilt, dass sie so eingerichtet werden sollten, dass bei der Erstellung oder Änderung von Regeln, Formularen und ,Connectors’ innerhalb der E-Mail-Software sofort eine Warnmeldung erfolgt.“

Neben der Notwendigkeit, Mitarbeiter zu schulen und über die Gefahren aufzuklären, gelte es für Sicherheitsteams auch, auffällige Muster im ausgehenden E-Mail-Verkehr oder Unstimmigkeiten bei Absenderinformationen zeitnah zu untersuchen. Krämers Fazit: „Die gewissenhafte Überprüfung der ,Microsoft 365‘-Funktionen, kombiniert mit dem Einsatz starker Authentifizierung und regelmäßigen Security-Schulungen für Mitarbeitende, kann das Risiko einer langfristigen und unbemerkten Kontoübernahme in ,Microsoft 365‘ deutlich reduzieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

Bundesamt für Sicherheit in der Informationstechnik, 14.01.2025
Version 1.0: Microsoft Windows – Kritische Schwachstelle in Windows OLE

t3n digital pioneers, Ann-Catherin Karg, 26.01.2025
Outlook-User aufgepasst: BSI warnt vor Schadsoftware, die beim Öffnen von E-Mails zuschlägt / Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer besonders gefährlichen Schadsoftware, die allein durch das Öffnen einer E-Mail aktiviert wird. Doch es gibt einen Schutz.

datensicherheit.de, 31.07.2025
Microsoft 365 im Visier: Cyberkriminelle knacken MFA / Online-Kriminalität entwickelt sich stetig fort. Angreifern ist es mittels raffinierten Täuschungsmanövern gelungen Multi-Faktor-Authentifizierungen auszuhebeln.

datensicherheit.de, 12.08.2021
Studie zum Sicherheitsniveau bei E-Mail-Kommunikation und Einsatz von Microsoft 365 / Laut Hornetsecurity-Umfrage eins von vier Unternehmen mit mindestens einer E-Mail-Sicherheitslücke

datensicherheit.de, 15.04.2019
https://www.datensicherheit.de/hackerangriff-outlook-com-schwachstelle-privileged-account

[datensicherheit.de, 13.08.2025] Nach aktuellen Erkenntnissen von Proofpoint-Cybersicherheitsexperten besteht eine Möglichkeit, die FIDO-Authentifizierung ( „Fast Identity Online“) zu umgehen. Bei FIDO handelt es sich um einen offenen Standard für sichere und benutzerfreundliche Authentifizierung im Internet. FIDO-basierte Passkeys sind laut Proofpoint grundsätzlich eine hochwirksame Methode zum Schutz vor Phishing und Konto-Übernahmen. Nun sei aber eine Methode entdeckt worden, um FIDO-basierte Authentifizierung durch einen „Downgrade“-Angriff zu umgehen.

Phishing-Angriffe mittels Standard-Phishlets scheitern an FIDO-gesicherten Konten

Die meisten Phishing-Bedrohungen, welche Standard-Phishlets verwenden, scheiterten an FIDO-gesicherten Konten. Ein sogenanntes Phishlet ist demnach eine Konfigurationsdatei, welche von Phishing-Kits verwendet wird, um die Nachahmung legitimer Websites und das Abfangen von Benutzeranmeldedaten und Sitzungstokens zu ermöglichen.

• Da die meisten Phishlets für die traditionelle Anmeldedaten-Erfassung über Verbindungen ohne FIDO-Absicherung konzipiert seien, produzierten sie Fehler, sobald sie auf die FIDO-Authentifizierung stoßen, wodurch die gesamte Angriffskette erfolglos bleibe.

Bestimmte Implementierungen der FIDO-Authentifizierung, insbesondere „Windows Hello for Business“ (WHfB), könnten nun aber anfällig für „Downgrade“-Angriffe sein. Diese Angriffe würden den Benutzer dazu zwingen, auf eine weniger sichere Authentifizierungsmethode zurückzugreifen. Proofpoint-Experten hätten einen FIDO-„Downgrade“-Angriff am Beispiel von „Microsoft Entra ID“ durchgespeilt – diese Art des Angriffs sei allerdings nicht auf diese Implementierung beschränkt.

Benutzeragent-Spoofing: Scheinbar unbedeutende Funktionslücke könnte missbraucht werden

Nicht alle Web-Browser unterstützten die Passkey-Authentifizierungsmethode (FIDO2) mit „Microsoft Entra ID“. Beispielsweise werde FIDO bei Verwendung von „Safari“ unter „Windows“ nicht unterstützt.

• Diese scheinbar unbedeutende Funktionslücke könne nun von Angreifern missbraucht werden. Ein Cyberkrimineller könne einen „Adversary-in-the-Middle“-Angriff (AiTM) anpassen, um einen nicht unterstützten Benutzeragenten vorzutäuschen, „der von einer FIDO-Implementierung nicht erkannt wird“.

Anschließend wäre der Benutzer gezwungen, sich über eine weniger sichere Methode zu authentifizieren. „Dieses Verhalten, das auf Microsoft-Plattformen zu beobachten ist, ist eine fehlende Sicherheitsmaßnahme.“

Opfer sollen gezwungen werden, ihre Authentifizierungsmethode auf eine weniger sichere herabzustufen

Proofpoint-Spezialisten hätten ein Phishlet für das „Evilginx AiTM“-Angriffsframework entwickelt, welche ein Ziel dazu zwinge, seine Authentifizierungsmassnahme auf eine weniger sichere Methode herabzustufen. Die Angriffssequenz basiere auf der Existenz einer alternativen Authentifizierungsmethode (normalerweise MFA) neben FIDO für das Konto des angegriffenen Nutzers. Dies sei bei FIDO-Implementierungen oft der Fall, weil die meisten Administratoren eine praktische Option zur Kontowiederherstellung bevorzugten.

Der Phishing-„Downgrade“-Angriff läuft laut Proofpoint wie folgt ab:

1. Erste Interaktion
   Ein Phishing-Link werde dem Ziel per E-Mail, SMS, OAuth-Zustimmungsanfrage oder einem anderen Kommunikationskanal zugesandt.
2. Authentifizierungs-„Downgrade“
   Sobald das Ziel auf den Phishing-Köder hereinfällt und auf die bösartige URL klickt, werde ihm eine Authentifizierungsfehlermeldung angezeigt, welche ihn auffordere, eine alternative Anmeldemethode auszuwählen.
3. Diebstahl von Anmeldedaten und MFA-Token
   Sobald sich das Opfer über die gefälschte Oberfläche authentifiziert, könne der Angreifer die Anmeldedaten und das Sitzungscookie abfangen und einsehen – wie bei einem Standard-„AiTM“-Phishing-Angriff.
4. Sitzungsübernahme und Kontoübernahme
   Schließlich könne der Angreifer die authentifizierte Sitzung kapern, „indem er das gestohlene Sitzungscookie in seinen eigenen Browser importiert, wodurch er Zugriff auf das Konto des Opfers erhält, ohne Anmeldedaten eingeben oder eine MFA-Authentifizierung durchführen zu müssen“.
   Der Angreifer könne dann eine Reihe von Aktionen nach der Kompromittierung ausführen, einschließlich Daten-Exfiltration und lateraler Bewegung innerhalb der betroffenen Umgebung.

Angreifer könnten FIDO-Authentifizierungs-„Downgrades“ in ihre „Kill Chains“ integrieren

Proofpoint-Experten hätten bisher noch keine Anwendung der beschriebenen Vorgehensweise durch Cyberkriminelle in der Praxis beobachten können. Indes handele es sich beim FIDO-Authentifizierungs-„Downgrade“-Angriff um eine signifikante aufkommende Bedrohung.

• Diese Art eines Angriffs könne von hochentwickelten Angreifern und APT-Angreifern (insbesondere staatlich gesponserten Akteuren) durchgeführt werden.

Weil immer mehr Organisationen „phishing-resistente“ Authentifizierungsmethoden wie FIDO einführten, könnten Angreifer sich gezwungen sehen, ihre Vorgehensweise weiterzuentwickeln, indem sie FIDO-Authentifizierungs-Downgrades in ihre „Kill Chains“ integrierten.

Weitere Informationen zum Thema:

proofpoint, Yaniv Miron, 12.08.2025
Don’t Phish-let Me Down: FIDO Authentication Downgrade / Key takeaways

datensicherheit.de, 13.02.2025
Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel / Bereitstellung von Passkeys in großen Unternehmen

datensicherheit.de, 31.03.2025
PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA / Neue Version des Standards in Kraft getreten

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 15.06.2025] Laut einer aktuellen Warnung von ESET macht eine Sicherheitslücke privat und gewerbliche verwendete Kameras angreifbar: „Ein Blick ins Wohnzimmer, in den Laden oder auf den Parkplatz – bequem per App von unterwegs. Was vielen Menschen ein Gefühl von Sicherheit gibt, kann in Wahrheit zum Risiko werden.“ Weltweit sind laut ESET rund 40.000 Überwachungskameras offen im Internet zugänglich – schlecht gesichert und manchmal sogar ohne Passwort. Auch in Deutschland sollen etwa 1.000 Geräte betroffen sein – „wie aktuelle Recherchen von ,Bitsight‘ zeigen“.

Kein tiefes technisches Verständnis oder spezielle Ausrüstung erforderlich, um Kameras zu kapern

„Viele Geräte werden ohne standardmäßige Datenschutz- und Sicherheitsfunktionen entwickelt, hergestellt und ausgeliefert“, so Christian Lueg, IT-Sicherheitsexperte bei ESET. Er betont: „Das macht sie hochgradig anfällig für Angriffe von außen. Das Schlimme daran ist: Es bedarf keines tiefen technischen Verständnisses oder spezieller Ausrüstung, um die Geräte zu übernehmen!“

• Bei den meisten Überwachungskameras in Deutschland dürfte es sich demnach um HTTPS- und RTSP-basierte Kameras handeln. „Das sind verschiedene Protokolle, die ein Streaming von Videodaten über das Internet ermöglichen.“ Beide Standards kämen in unterschiedlichen Einsatzbereichen zur Anwendung:
• „HTTPS hat sich als Standard für die breite Masse durchgesetzt und findet vor allem bei Überwachungskameras für den privaten Bereich und Kleinunternehmen Verwendung.
• RTSP wird vor allem in professionellen Bereichen verwendet, die weiträumige Echtzeitüberwachung erfordern, z.B. Flughäfen und Bahnhöfen.“

Offene Kameras können Kriminellen Bewegungsprofile liefern

Generell gelte HTTPS als sicherer als RTSP. „Letzterer verfügt über keine eingebaute Verschlüsselung und bedarf weiterer Lösungen, um Daten sicher zu übertragen.“ Im aktuellen Fall könnten Hacker auf Kameras mit beiden Standards zugreifen.

• Offene Kameras lieferten Kriminellen weit mehr als nur harmlose Einblicke. Sie könnten genutzt werden, um Bewegungsprofile zu erstellen, Objekte auszuspionieren oder sogar für gezielte Erpressung. In Unternehmen seien solche Geräte häufig Teil des IT-Netzwerks – „und werden so zur Einstiegslücke für größere Cyberangriffe“.

„Vor allem günstige Überwachungsgeräte werden mit Standardzugangsdaten ausgeliefert, die herstellerübergreifend gleich sind oder sich stark ähneln.“ Behalten Nutzer diese Zugangsdaten bei Inbetriebnahme bei, sei es für Hacker ein Leichtes, die Kamera zu übernehmen und sie für ihre eigenen Zwecke zu missbrauchen.

Unternehmen sollten beim Einsatz von Kameras u.a. auf verschlüsselte Übertragung setzen

Einige Modelle ließen sich sogar trotz geänderter Zugangsdaten auslesen – sie lieferten automatisch Livebilder, sobald eine bestimmte Webadresse (ein sogenannter „Uniform Resource Identifier“, kurz URI) aufgerufen wird. Dies funktioniere ähnlich wie bei einem direkten Link zu einer Datei im Netz. Folgende ESET-Tipps sollen dabei helfen, die eigene Überwachungskamera gegen Zugriffe von außen zu schützen:

• Standard-Benutzernamen und -Passwörter durch sichere, eindeutige Anmeldedaten ersetzen!
• Höherwertige Geräte bekannter Hersteller nutzen, welche meistens länger mit Sicherheitsupdates versorgt werden!
• Fernzugriff deaktivieren, sofern nicht unbedingt erforderlich, und Aufnahmen stattdessen lokal speichern!
• Firmware der Kamera regelmäßig aktualisieren, um bekannte Sicherheitslücken zu schließen!

„Unternehmen sollten beim Einsatz von Kameras auf verschlüsselte Übertragung setzen und Fernzugriffe nur über VPN-Verbindungen erlauben“, rät Lueg abschließend und unterstreicht: „Wer verdächtige Anmeldeversuche überwacht, kann viele Angriffe im Keim ersticken.“

Weitere Informationen zum Thema:

BITSIGHT, João Cruz, 10.06.2025
Bitsight Identifies Thousands of Security Cameras Openly Accessible on the Internet

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 18.02.2018
Computer und Smartphones: Jeder vierte Nutzer fürchtet Kamera-Spione / 27 Prozent der Befragten verdecken an ihren Geräten die Kamera

[datensicherheit.de, 14.03.2025] Forscher des europäischen IT-Sicherheitsherstellers ESET haben eine äußerst gefährliche Sicherheitslücke (CVE-2025-24983) in älteren Versionen von Microsoft Windows entdeckt. Eine Schwachstelle im Code erlaubte die Ausführung eines Zero-Day-Exploits. Darunter verstehen Experten ein Schadprogramm, das ungepatchte Sicherheitslücken ausnutzt. Für einen erfolgreichen Angriff musste der Computer des Opfers bereits mit einer Backdoor infiziert sein. Im Falle einer Kompromittierung erhielten Hacker weitreichende Zugriffsrechte auf das betroffene System. Microsoft hat die Lücke sofort nach Bekanntwerden geschlossen.

Ursache: Unsachgemäße Speichernutzung

„Die Schwachstelle hängt mit einer unsachgemäßen Speichernutzung während des Softwarebetriebs zusammen“, erklärt ESET-Forscher Filip Jurčacko, der den Zero-Day-Exploit entdeckt hat. „Auf kompromittierten Computern konnten Hacker hierdurch eigenen Code ausführen und verheerenden Schaden anrichten.“

Betroffene Windows-Versionen

• Vor allem Nutzer veralteter Windows-10-Versionen konnten betroffen sein: Die Sicherheitslücke, die der Exploit ausnutzte, kam in Versionen vor Windows 10 Build 1809 vor. Diese Version ist schon einige Jahre alt. Deshalb dürften vor allem Anwender mit älteren Computern in Gefahr gewesen sein, die zudem seit längerem nicht mehr aktualisiert wurden. Auch Nutzer des schon lange nicht mehr unterstützten Windows 8.1 gehörten zur betroffenen Gruppe.
• Da die Sicherheitslücke auch in Windows Server 2016 auftrat, konnte sie auch Unternehmen gefährden. Das Serverbetriebssystem wird von Microsoft noch bis Januar 2027 mit Sicherheitsupdates versorgt.

Experten empfehlen schnellstmöglichen Wechsel auf aktuelles Betriebssystem

Von der aktuellen Sicherheitslücke waren hauptsächlich ältere Versionen von Microsoft betroffen. Aber auch Nutzer, die eine aktuelle Windows-10-Version nutzen, sollten so schnell wie möglich auf Windows 11 wechseln oder sich nach alternativen, sicheren Betriebssystemen umschauen: Im Oktober endet der kostenlose Support für Windows 10. Das bedeutet, dass es keine weiteren kostenlosen Sicherheitsupdates mehr geben wird. Nutzer, die nicht auf Microsofts kostenpflichtigen erweiterten Update-Service zurückgreifen, laufen somit Gefahr, Opfer eines Cybervorfalls zu werden.

Weitere Informationen zum Thema:

Microsoft
Microsoft stellt einen Leitfaden zur Verfügung, der Nutzern betroffener Systeme hilfreiche Informationen zur Sicherheitslücke und dem Patch liefert

datensicherheit.de, 04.12.2020
Schwachstellenmanagement: Erkennung und Reaktion

[datensicherheit.de, 24.06.2024] Informatiker vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz warnen in einer aktuellen Stellungnahme davor, dass sich Online-Aktivitäten allein durch Latenzschwankungen der Internetverbindung detailliert ausspähen lassen – ein solcher Angriff funktioniert demnach.

Abbildung: IAIK – TU Graz

IAIK-Entdeckung: Der Sicherheitslücke „SnailLoad“ wäre nur umständlich zu begegnen

Zum Ausnutzen von „SnailLoad“ kein Schadcode notwendig

Internetnutzer hinterlassen bekanntlich viele Spuren auf Websites und bei Online-Diensten. Dagegen sollen Maßnahmen mittels Firewalls, VPN-Verbindungen oder Browser-Privatmodi helfen, um ein gewisses Maß an Datenschutz zu gewährleisten. Eine neu entdeckte Sicherheitslücke mache es nun aber möglich, sämtliche dieser Schutzmaßnahmen zu umgehen:

IAIK-Informatiker hätten die Online-Aktivitäten von Nutzern allein durch Geschwindigkeitsschwankungen ihrer Internetverbindung im Detail mitverfolgen können. Zum Ausnutzen dieser „SnailLoad“ genannten Sicherheitslücke sei kein Schadcode notwendig, und auch der Datenverkehr müsse dazu nicht abgefangen werden. „Betroffen sind sämtliche Arten von Endgeräten und Internetverbindungen!“

Das Opfer müsse lediglich ein einziges Mal direkten Kontakt zum Angreifer haben – etwa beim Besuch einer Website oder beim Schauen eines Werbevideos – und lade dabei unbemerkt eine im Grunde harmlose Datei herunter. „Weil diese Datei keinerlei Schadcode enthält, wird sie von Sicherheitssoftware nicht erkannt.“ Das Laden dieser Datei verlaufe extrem langsam und liefere dabei dem Angreifer laufend Informationen zu den Latenzzeiten der Internetverbindung des Opfers. Diese Informationen dienten in weiteren Schritten zur Rekonstruktion von dessen Online-Aktivität.

„SnailLoad“ kombiniert Latenzzeiten mit „Fingerabdruck“ von Online-Inhalten

„Wenn das Opfer nun eine Website aufruft, ein Online-Video schaut oder mit jemandem per Video spricht, schwankt die Latenz der Internetverbindung nach einem ganz bestimmten Muster, das abhängig ist von den genutzten Inhalten“, erläutert Stefan Gast vom IAIK. Denn alle Online-Inhalte hätten einen „Fingerabdruck“: Für den effizienten Versand seien diese in kleine Datenpakete aufgeteilt, welche nacheinander vom Server des Hosts an die Nutzer geschickt würden. „Das Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Online-Inhalt einzigartig – wie ein menschlicher Fingerabdruck.“

Die Forscher hatten für Testzwecke vorab die „Fingerabdrücke“ einer begrenzten Zahl von „YouTube“-Videos und populärer Websites erhoben. Nutzten die Testpersonen diese Videos und Websites, hätten die Forscher dies durch die korrespondierenden Latenzschwankungen erkennen können.

„Der Angriff würde aber auch andersherum funktionieren“, führt Daniel Gruss vom IAIK aus: „Angreifende messen zuerst das Muster der Latenzschwankungen, wenn ein Opfer im Internet aktiv ist, und suchen anschließend nach Online-Inhalten mit passendem Fingerabdruck.“

„SnailLoad“-Sicherheitslücke zu schließen sehr schwierig

Beim Ausspionieren von Videos schauenden Testpersonen hätten Forscher eine Trefferquote von bis zu 98 Prozent erreicht. „Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren“, berichtet Gruss. Daher sei die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf rund 63 Prozent gesunken. Er warnt: „Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen.“

Diese Sicherheitslücke zu schließen, sei schwierig. Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kunden nach einem zufälligen Muster künstlich verlangsamten. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen.

Das Team um Stefan Gast und Daniel Gruß hat eine Website zu „SnailLoad“ eingerichtet. Das wissenschaftliche Papier zu dieser Sicherheitslücke möchten die Forscher auf den Fachkonferenzen „Black Hat USA 2024“ und „USENIX Security Symposium“ präsentieren.

Weitere Informationen zum Thema:

SnailLoad
Remote Network Latency Measurements Leak User Activity

TU Graz
Überblick Information, Communication & Computing

[datensicherheit.de, 17.11.2022] Die CISA (CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY) und das FBI (Federal Bureau of Investigation) haben am 16. November 2022 einen gemeinsamen Bericht veröffentlicht, wonach vom Iran gesponserte Angreifer die IT einer US-Bundesbehörde erfolgreich attackiert haben sollen – eine „Log4Shell“-Schwachstelle in einem ungepatchten „VMware Horizon“-Server ausnutzend. Die Angreifer hätten dann Krypto-Mining-Software installiert und sich seitlich zum Domänen-Controller bewegt, um Anmeldeinformationen zu kompromittieren. Bob Huber, „Chief Security Officer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme den Vorfall:

Foto: Tenable

Bob Huber: Fast drei von vier Organisationen immer noch anfällig für Angriffe durch Log4Shell-Sicherheitslücke

Tenable wird Warnung veröffentlichen, in der Auswirkungen von Log4Shell untersucht werden

„Der Angriff gegen eine US-Regierungsbehörde ist realistischerweise einer der vielen Verstöße, die ans Licht kommen werden, wenn Kriminelle ,Log4Shell’ erfolgreich ausnutzen“, so Huber.

In den kommenden Tagen werde Tenable eine Warnung veröffentlichen, „in der die Auswirkungen von ,Log4Shell’ untersucht werden, in der wir festgestellt haben, dass fast drei von vier Organisationen immer noch anfällig für Angriffe durch diese Sicherheitslücke sind“.

Vollständige Behebung von Log4Shell schwierig zu erreichen

Die Realität sei, dass eine vollständige Behebung von „Log4Shell“ angesichts seiner Verbreitung und der Tatsache, dass jedes Mal, wenn ein Unternehmen neue Assets hinzufügt, es die Schwachstelle erneut einführen könnte, schwierig zu erreichen sei.

Abschließend betont Huber: „Der beste Weg, um Angreifer zu vereiteln ist es, bei den Sanierungsbemühungen fleißig und konsequent zu bleiben.“

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 16.11.2022
CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Compromising Federal Network

[datensicherheit.de, 22.08.2022] „Kürzlich warnte Apple alle Nutzerinnen und Nutzer vor einer Sicherheitslücke auf ,iPads’, ,iPhones’ und ,Macs’, bei der Hacker die Kontrolle über die Geräte übernehmen können“, berichtet Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme und rät allen, welche ein betroffenes Apple-Gerät besitzen, „so schnell wie möglich auf die neueste Software zu aktualisieren“.

Foto: CHECK POINT

Lothar Geuenich: Bedrohungslandschaft entwickelt sich rasant weiter!

Cyber-Kriminelle werden nach jedem nicht aktualisierten Apple-Gerät Ausschau halten

Cyber-Kriminelle würden nach jedem Gerät Ausschau halten, das nicht aktualisiert wurde, „um auf persönliche Daten zuzugreifen, Malware einzuschleusen oder Zugang zu Unternehmensnetzwerken zu erhalten“, warnt Geuenich.

Die Bedrohungslandschaft entwickele sich rasant weiter, und mobile Schwachstellen und Malware stellten eine erhebliche und oft übersehene Gefahr für die Sicherheit von Privatpersonen und Unternehmen dar.

Nicht nur für Apple: Installation von Sicherheitssoftware auf Basis von Echtzeit-Bedrohungsdaten empfohlen

Check Point Software empfiehlt demnach zusätzlich die Installation von Sicherheitssoftware, die Echtzeit-Bedrohungsdaten nutzt, um aktiv vor Zero-Day-Phishing-Kampagnen zu schützen, und URL-Filter, um den Zugriff auf bösartige Websites von jedem Browser aus zu blockieren.

Geuenich erläutert: „Diese Lösung sollte zusätzlich eine Zugangskontrolle enthalten, die sicherstellt, dass ein infiziertes Gerät nicht auf Unternehmensanwendungen und -daten zugreifen kann, ohne die Mitarbeiter zu stören oder ihre Produktivität zu beeinträchtigen.“

Weitere Informationen zum Thema:

tagesschau, 19.08.2022
Update empfohlen / Apple warnt vor Sicherheitslücke

WDR, 19.08.2022
Sicherheitslücke bei Apple: Fast alle Geräte betroffen

[datensicherheit.de, 10.01.2022] Laut einer aktuellen Stellungnahme von Tenable hat die US Federal Trade Commission (FTC) „in der vergangene Woche in einer Meldung die Unternehmen aufgefordert, die Sicherheitslücke in ,Log4j‘ zu schließen“ – andernfalls drohen demnach rechtliche Schritte! In einer energisch formulierten Erklärung habe die FTC erklärt, sie werde von ihrer „(…) vollen rechtlichen Befugnis Gebrauch machen, um Unternehmen zu verfolgen, die keine angemessenen Maßnahmen ergreifen, um Verbraucherdaten vor der Gefährdung durch ,Log4j‘ oder ähnliche bekannte Schwachstellen in der Zukunft zu schützen“.

Foto: Tenable

Amit Yoran: FTC-Warnung vor möglichen rechtlichen Konsequenzen für Unternehmen, welche die Sicherheitslücke in Log4j nicht schließen, längst überfällig!

Aktuelle FTC-Empfehlung verweist auf Sicherheitslücke bei Equifax

In dieser Empfehlung werde auf die Sicherheitslücke bei Equifax verwiesen, bei der durch das Versäumnis, eine bekannte Sicherheitslücke zu schließen, „die persönlichen Daten von 147 Millionen Verbrauchern unwiderruflich preisgegeben wurden“.

Equifax habe damals zugestimmt, 700 Millionen US-Dollar zu zahlen, um die Klagen der Federal Trade Commission, des Consumer Financial Protection Bureau und aller fünfzig US-Bundesstaaten beizulegen.

Nichtbehebung der Log4j-Sicherheitslücke schlimmer als daheim Türen und Fenster unverschlossen zu lassen…

„Das wurde auch Zeit! Die Warnung der FTC vor möglichen rechtlichen Konsequenzen für Unternehmen, die die Sicherheitslücke in ,Log4j‘ nicht schließen, ist längst überfällig“, kommentiert Amit Yoran, „CEO“ und „Chairman“ bei Tenable, das Vorgehen staatlicher Stellen zur Eindämmung der „Log4j“-Schwachstelle.

Die Nichtbehebung von „Log4j“ sei schlimmer, „als wenn Sie Ihre Türen und Fenster unverschlossen lassen und einen Eindringling einladen, Ihre Regale zu plündern“.

Log4j größte Sicherheitslücke der Geschichte

Dadurch würden nämlich auch die Daten, die so viele Unternehmen über Einzelpersonen sammelten, gefährdet. Yoran betont: „Insbesondere ,Log4j‘ ist die größte Sicherheitslücke der Geschichte.“

Diese sei nicht proaktiv zu beheben und sei geradezu die Definition von Fahrlässigkeit. Yorans Fazit: „Wenn die Androhung staatlicher Strafen die Verantwortlichen aus ihrer Selbstgefälligkeit aufrüttelt, ist das ein Gewinn für alle. Damit sollten wir jetzt sofort beginnen.”

Weitere Informationen zum Thema:

FEDERAL TRADE COMMISSION, 04.01.2022
FTC warns companies to remediate Log4j security vulnerability

FEDERAL TRADE COMMISSION, Januar 2020
Equifax Data Breach Settlement

cfpb Consumer Financial Protection Bureau
Equifax data breach settlement

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

[datensicherheit.de, 22.07.2021] Tenable warnt nach eigenen Angaben vor einer Zero-Day-Schwachstelle, welche in mehreren Versionen von „Windows 10“ identifiziert worden sei. Darüber sei es möglich, dass ein eigentlich nicht-privilegierter bzw. nicht-autorisierter Benutzer die Registry lesen und sein Berechtigungslevel erhöhen könne, um auf sensible Informationen zuzugreifen. Microsoft hat demnach einen Out-of-Band-Informationshinweis über diese Schwachstelle, aber noch keine Patches veröffentlicht.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Bestimmte Versionen von Windows 10 betroffen

VSS-Schattenkopie automatisch angelegt, wenn Systemlaufwerk größer 128 GB ist und Windows-Update oder MSI-Datei installiert wird

„Die ,Windows Elevation of Privilege‘-Schwachstelle (CVE-2021-36934), die von IT-Sicherheitsforschern als ,HiveNightmare‘ oder ,SeriousSAM‘ bezeichnet wird, ist ein Zero-Day, der bestimmte Versionen von ,Windows 10‘ betrifft“, erläutert Satnam Narang, „Staff Research Engineer“ bei Tenable, in seinem Kommentar zu dieser akuten IT-Sicherheitslücke.
Diese ermögliche es nicht-autorisierten Benutzern, „sensible Dateien zu lesen, die normalerweise nur für Administratoren zugänglich sind“. Um die Schwachstelle auszunutzen, müsse der „Volume Shadow Copy Service“ (VSS) verfügbar sein. Die Sicherheitsexperten hätten darauf hingewiesen, dass die VSS-Schattenkopie automatisch angelegt werde, „wenn das Systemlaufwerk größer als 128 Gigabyte ist und ein ,Windows‘-Update oder eine MSI-Datei installiert wurde“.

Windows-10-Sicherheitslücke: Schadensbegrenzung vorerst auf Änderung von Zugriffskontrolllisten beschränkt

Nutzer könnten überprüfen, „ob die VSS-Schattenkopien existieren oder nicht“, indem sie einen bestimmten Befehl auf ihren Systemen ausführten. Eine erfolgreiche Ausnutzung dieses Fehlers würde einem lokalen Angreifer die Möglichkeit geben, seine Privilegien zu erhöhen, Passwörter und Schlüssel zu sammeln sowie Zugriff auf ein Account zu erhalten, um einen „Silver Ticket“-Angriff durchzuführen.
Microsoft habe einen Out-of-Band-Informationshinweis zu dieser Sicherheitslücke veröffentlicht – aber noch keine Patches. Narang fasst abschließende zusammen: „Zum jetzigen Zeitpunkt beschränkt sich die Schadensbegrenzung auf die Änderung von Zugriffskontrolllisten, um Benutzer am Lesen bestimmter Dateien zu hindern, und auf das Entfernen von VSS-Schattenkopien vom System. Diese Abhilfemaßnahmen könnten aber bestimmte Funktionen des Systems beeinträchtigen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.04.2021
Tenable warnt vor weiterer Zero-Day-Schwachstelle in Google Chrome

Microsoft, 21.07.2021
Windows Elevation of Privilege Vulnerability / CVE-2021-36934

[datensicherheit.de, 02.07.2021] Laut einer aktuellen Meldung von Malwarebytes sollen Sicherheitsforscher „unabsichtlich eine kritische Sicherheitslücke im ,Windows‘-Betriebssystem veröffentlicht“ haben, welche auf den Namen „PrintNightmare“ höre. Für diese Schwachstelle werde es wohl frühestens am 12. Juli 2021 einen Patch geben. Malwarebytes fasst nach eigenen Angaben den Stand der Dinge nachfolgend zusammen und gibt Ratschläge zum Umgang mit diesem Problem.

Malwarebytes warnt vor Ausnutzung der Sicherheitslücke

In Anbetracht der großen Anzahl von Rechnern, welche für „PrintNightmare“ anfällig sein könnten, und der Tatsache, dass mehrere Methoden zum Ausnutzen dieser Sicherheitslücke veröffentlicht worden seien, sei es wahrscheinlich, dass es bald tatsächliche Attacken geben werde, „bei denen diese Sicherheitslücke ausgenutzt wird“.

Malwarebytes-Administratoren geben Hinweise für Gegenmaßnahmen

Ratschläge der Malwarebytes-Administratoren in aller Kürze:

• Deaktivieren Sie den Print-Spooler-Dienst auf Rechnern, die ihn nicht benötigen. Bitte beachten Sie, dass das Anhalten des Dienstes ohne Deaktivierung möglicherweise nicht ausreicht.
• Stellen Sie sicher, dass die Systeme, die den Print-Spooler-Dienst benötigen, nicht mit dem Internet verbunden sind.

Malwarebytes empfiehlt, Zugriffsereignisse und -berechtigungen sehr sorgfältig einzuschränken und zu überwachen

„Diese Maßnahmen werden nicht in jedem Fall einfach oder überhaupt umsetzbar sein. Bei den Endgeräten, die den Print-Spooler-Dienst benötigen und auch von außerhalb des LANs erreichbar sein müssen, sollten die Zugriffsereignisse und -berechtigungen sehr sorgfältig eingeschränkt und überwacht werden. Vermeiden Sie auch unbedingt, den Print-Spooler-Dienst auf irgendwelchen Domain-Controllern laufen zu lassen.“

Malwarebytes: Deny to modify als Regel erstellen!

Für weitere Maßnahmen sei es gut zu wissen, dass der Exploit funktioniere, indem er eine DLL-Datei in einem Unterverzeichnis von „Windows“ (unter C:\Windows\System32\spool\drivers) ablege, „so dass Sie eine ,Deny to modify‘-Regel für dieses Verzeichnis und seine Unterverzeichnisse erstellen können, und somit nicht einmal das SYSTEM-Konto eine neue DLL darin ablegen kann“.

Weitere Informationen zum Thema:

MalwarebytesLABS, Pieter Arntz, 01.07.2021
PrintNightmare 0-day can be used to take over Windows domain controllers

BLEEPINGCOMPUTER, Ionut Ilascu, 30.06.2021
Public Windows PrintNightmare 0-day exploit allows domain takeover