Outlaw greift mit aktualisiertem Kit ältere Miner und mehr Systeme an

Originalbeitrag von Jindrich Karasek, Threat Researcher

Hört man eine Weile nichts von einer cyberkriminellen Gruppe, so bedeutet das nicht unbedingt Inaktivität. So geschehen bei der Hacker-Gruppe Outlaw, die während der letzten Monate anscheinend in Ruhe ihr Toolkit weiter entwickelt hat. Ende letzten Jahres nun stellten die Sicherheitsforscher von Trend Micro über einen Honeypot einen Anstieg in deren Aktivitäten fest. Die Fähigkeiten der Kits im Vergleich waren im Vergleich zu den letzten Angriffen aktualisiert worden. Dazu gehören erweiterte Scanner-Parameter und Ziele, die Ausführung von Dateien in Schleifen durch Fehlermeldungen, verbesserte Vermeidungstechniken für Scan-Aktivitäten und mehr Mining-Gewinn durch Ausschalten sowohl der Konkurrenz als auch der eigenen vorher genutzten Miner.

Die Forscher analysierten die Kits, deren Design auf Informationsdiebstahl in der Automotive- und Finanzbranche, den Start weiterer Angriffe auf bereits kompromittierten Systemen und den möglichen Verkauf der gestohlenen Informationen zugeschnitten sind. Der Vergleich mit den früheren Angriffen der Gruppe lässt die Forscher annehmen, dass Outlaw plant, in den USA und in Europa Unternehmen ins Visier zu nehmen, die ihre Systeme noch nicht upgedatet haben oder auch solche mit Internet-orientierten Systemen und schwacher bis keiner Überwachung des Verkehrs und der Aktivitäten. Neben alten Zielen sind sie auch auf neue Ziele aus, um ihre Updates in der Praxis zu testen. Die Experten gehen glauben, dass die Gruppe in den nächsten Monaten aktiver vorgehen wird.

Routinen

Die neuen Samples zielen auf Linux- und Unix-basierte Betriebssysteme, angreifbare Server sowie Internet-of-Things (IoT)-Geräte und nutzen für die Angriffe bekannte Schwachstellen mit vorhandenen Exploits. Als Angriffsvektoren setzt die Gruppe auf nicht gepatchte Systeme, die für CVE-2016-8655 und Dirty COW-Exploit (CVE-2016-5195) anfällig sind. Auch Dateien mit einfachen PHP-basierten Web Shells kamen zum Einsatz bei Systemen mit schwachen SSH- und Telnet-Zugangsdaten. Die Forscher fanden in der aktuellen Kampagne zwar keine Phishing- oder Social Engineering-Routinen, doch gab es mehrere „laute“ Angriffe über das Netzwerk. Beteiligt waren groß angelegte Scanning-Aktivitäten über IPs, die vom C&C-Server gestartet wurden. Die technischen Einzelheiten finden Sie im Originalbeitrag.

Fazit

Seit ihrer Entdeckung 2018 verwendet Outlaw immer wieder Skripts, Codes und Befehle, die sie schon zuvor eingesetzt hatten. Diese Routinen sind bezeichnend für das Ziel der Gruppe, über verschiedene cyberkriminelle Profitflüsse hohe Erträge zu erzielen.

Angesicht der vielen erforderlichen Ressourcen, um alle notwendigen Patches im Unternehmen zu installieren (z.B. Qualitätstests und Betriebsausrichtung), und kostspieligen Ausfallzeiten für den Betrieb, zögern viele Organisationen Patches sofort aufzuspielen. So kann Outlaw jedes Mal, wenn ein Patch veröffentlicht wird und auf das Ausrollen wartet, noch mehr Ziele und Opfer für ihre aktualisierten Botnets finden.

Inzwischen verwendet die Gruppe eine breite Palette von IP-Adressen als Input für Scan-Aktivitäten, die nach Ländern gruppiert sind und es ihnen ermöglicht, bestimmte Regionen oder Gebiete innerhalb bestimmter Zeiträume des Jahres anzugreifen. Durch die Ausrichtung des Angriffs kann die Gruppe möglicherweise Nischen im Untergrund schaffen, die den spezifischen Bedürfnissen ihrer Kunden entsprechen. Auch sind sie sich der bestehenden Gesetze in Europa bewusst und können sich in bestimmten Ländern der Strafverfolgung entziehen, solange sie dort nicht angreifen.

Unternehmen sollten ihre Systeme daher regelmäßig aktualisieren und Anwender von Altsystemen die virtuellen Patches ihrer Anbieter nutzen. Auch sind Unternehmen gut beraten, nicht genutzte Ports zu schließen und Internet-orientierte Geräte, die Systemadministratoren unterstützen, entsprechend zu sichern. Schutz bietet auch eine mehrschichtige Sicherheitslösung, die Systeme vom Gateway bis zum Endpunkt schützt und bösartige URLs blockieren kann.

Trend Micro-Lösungen

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Internet Safety for Kids – Trend Micro Workshop-Reihe erobert Österreich

Kinder wachsen in einer Welt auf, in der das Online-Sein ein normaler Teil des täglichen Lebens ist. Um sich auch sicher im Netz zu bewegen, veranstaltet Trend Micro seit 2008 Aufklärungs- und Awareness-Workshops. Vor kurzem waren die Trend Micro Experten erstmals in einer Wiener Schule zu Besuch und zeigten den Schülerinnen und Schülern, wie verantwortungsvolles Verhalten im Internet aussieht. 

Das Aufwachsen in der digitalen Welt geht nicht nur mit neuen Möglichkeiten einher, sondern stellt Kinder auch vor die Herausforderung, mit Risiken kompetent umgehen zu lernen. Es mag zwar häufig so aussehen, dass gerade Kinder Technologieexperten sind, aber in Wirklichkeit sind sie besonders anfällig für Gefahren im Netz, von Malware und Ransomware bis zu Bedrohungen in Social Media, gefälschten Informationen und Cybermobbing. Diesen Themen widmet sich Trend Micro mit seinem Programm „Internet Safety for Kids“. Seit 2008 vermitteln Trend Micro Experten weltweit Informationen dazu, wie Kinder und Jugendliche Online-Risiken vermeiden und bewältigen können. Seit heuer schafft Trend Micro auch an Österreichs Schulen, und damit dem 20. Land,  Bewusstsein für digitale Sicherheit. Der erste Workshop fand an der Neuen Mittelschule Roda-Roda-Gasse im 21. Bezirk in Wien statt.

„Unser Ziel ist es, Kinder und Jugendliche über die Initiative von Trend Micro darauf vorzubereiten, sich sicher in der digitalen Welt zu bewegen. Bisher haben wir mit unserem Programm weltweit mehr als 2,68 Millionen Kinder, Studenten und Pädagogen erreicht, einen Grossteil davon dank unseres Netzwerks aus über 900 Freiwilligen auf der ganzen Welt. Es freut uns sehr, dass der Workshop auch in Österreich auf grosses Interesse gestossen ist und von den Kindern interessiert angenommen wurde“, so Michael Unterschweiger, Regional Director ALPS bei Trend Micro.

Digitale Kompetenz lernen

Wie können sich Kinder und Jugendliche sicher im Web bewegen? Welche Fertigkeiten müssen sie erlernen, um das digitalisierte Leben zu meistern? Welche Konsequenzen hat ihr Handeln von heute für das digitale Gedächtnis von morgen? Diese und weitere wichtige Fragestellungen diskutierten die Trend Micro Experten mit den Schülerinnen und Schülern. Durch den interaktiven Charakter des Workshops, praktische Beispiele und die einfache und verständliche Erklärung von aktuellen und relevanten Themen wurde den Kindern vermittelt, sich aufmerksam mit Online-Inhalten auseinanderzusetzen und diese kritisch zu hinterfragen. 

Die Vermittlung von digitaler Kompetenz befürwortet auch Dipl.-Päd. Martin Szlama, Direktor der NMS Roda-Roda-Gasse: „Ein gemeinschaftlicher Ansatz, der Kindern beibringt, selbst kritisch darüber nachzudenken, was sie online sagen, tun und austauschen, ist wichtiger denn je. Klar ist, dass das ‚www‘ heutzutage genauso wesentlich ist wie das ‚ABC‘. Daher haben wir das Angebot des kostenlosen Workshops von Trend Micro gerne angenommen, um unsere Schülerinnen und Schüler auf mögliche Online-Risiken zu sensibilisieren.“

Pwn2Own: Deutsche erfolgreich beim Hacken industrieller Kontrollsysteme

Beim ersten Pwn2Own in Miami ging es um das Hacking von ausschließlich Industrial Control Systems (ICS). Der Wettbewerb, veranstaltet von der Zero Day initiative (ZDI) von Trend Micro, umfasste acht zu testende Ziele in fünf Kategorien (Control Server, OPC Unified Architecture (OPC UA) Server, DNP3 Gateway, Human Machine Interface (HMI)/Operator Workstation und Engineering Workstation Software). Mehr als 250.000 $ an Preisgeldern wurden bereitgestellt. Die deutschen Teilnehmer Tobias Scharnowski, Niklas Breitfeld und Ali Abbasi aus Bochum konnten sich den zweiten Platz in der Endwertung gegen starke Konkurrenz sichern.

Dem Team vom Horst Görtz Institut für IT-Sicherheit an der Ruhr-Universität Bochum gelang es zuerst in der HMI-Kategorie, mit einem Out-of-Bounds (OOB) Zugriffs-Exploit Code auszuführen auf Rockwell Automation FactoryTalk View SE. Auch in der Control Server-Kategorie waren sie erfolgreich Schließlich gelang ihnen auch die Ausführung von Code auf dem Triangle Microworks SCADA Data Gateway. Diese Lösungsansätze brachten dem Team 87,5 Punkte für den zweiten Platz mit insgesamt 75.000 Dollar Preisgeld.

Den ersten Platz belegte das Incite Team von Steven Seeley und Chris Anastasio. Ihnen gelang in der DNP3-Gateway-Kategorie über einen Stack-basierten Overflow ein DoS auf dem Triangle Microworks SCADA Data Gateway sowie in der Control Server-Kategorie die Code-Ausführung aus der Ferne auf Systemebene auf der Inductive Automation Ignition. Auch in der EWS-Kategorie konnten sie einen Erfolg verbuchen. Nach weiteren zwei gelungenen Hacking-Tests stand das Incite Team mit 92,5 Punkten und 80.000 $ Preisgeld als Sieger fest.

Weitere Einzelheiten zum Hacking-Wettbewerb umfasst der Blog des ZDI.

Data Protection Day: the 2020s can be the decade of privacy-by-design everywhere

Internet trends come and go. But one concept that has steadily gathered momentum over the past decade is that of data protection and privacy. It’s now enshrined in EU law thanks to the GDPR, and today consumers and businesses are far more aware than they’ve ever been about their rights and responsibilities online. That’s why the coming decade offers a fantastic opportunity to embed privacy-by-design principles into every single organisation. But there’s still much to do, to raise awareness and change behaviours, especially among corporates.

That’s why Trend Micro is a proud sponsor and champion of the annual Data Privacy Day initiative, which is celebrated around the world on 28 January.

Back to the beginning

It was on this day way back in 1981 that the Council of Europe opened for signature Convention 108, the first legally binding international treaty dealing with privacy and data protection. The first European Data Protection Day was held in January 2007 to drive greater engagement with online privacy issues, and the rest is history. 

Over the past 13 years, countless organisations have come unstuck in a very public manner. From a now-infamous HMRC blunder in 2007 to 2018’s Cambridge Analytica scandal, each incident has highlighted the potentially catastrophic impact of negligent data protection programmes. Yet these incidents have also raised public awareness and galvanised lawmakers. Thanks to the GDPR, European citizens are more in control of their personal data than they have ever been, while businesses must clear a high bar to prove they are responsible custodians of that data.  

Still work to do

But there’s still much to do. Highly sensitive personal browsing data is still shared across the adtech digital supply chain billions of times a day without any consent from consumers. Social media companies continue to harvest vast troves of customer data, IoT devices and smart assistants listen to our most intimate conversations, and the growing pervasiveness of digital technology continues to raise concerns among worried parents. 

There are also concerns for businesses. GDPR compliance is no easy thing: its vague references to “state of the art” technology and focus on broad principles rather than prescriptive controls, mean there’s no simple tick-box solution here. For many, there’ll be no 100% way of knowing whether they’re compliant until an incident occurs and the company waits for an official verdict.

There have already been over 160,000 breach notifications across Europe since the regulation landed nearly two years ago, leading to fines of €114m (£94m). These will certainly ramp up, as regulators across the region sharpen their knives. The ICO has already stated its intent to fine Marriott International and BA a combined £282m for serious breaches at the companies.

What happens next?

For now, this means that organisations must ensure their data protection policies are aligned with the GDPR, even in post-Brexit Britain. They must focus on best practice approaches and frameworks like those produced by NIST, Cyber Essentials and ISO. And they must look to partner with the right security experts: vendors that can offer multi-layered protection across all parts of the IT infrastructure, from endpoint to servers, networks to web and email gateways. The end goal is privacy-by-design: a commitment to embedding data protection into everything an organisation does.

At Trend Micro, we sit on both sides of the data privacy debate. Our Internet Safety for Kids and Families (ISKF) programme has offered vital resources for concerned parents for over a decade. But we also provide expert advice and support for organisations struggling to navigate a complex regulatory landscape while ensuring they do right by their customers. 

As a Data Privacy Day Champion, we’re working hard on both fronts — to ensure consumers know their rights, and have the tools and knowledge to stay safe online, and that businesses have the right controls and processes in place to meet their data protection responsibilities. As we travel through a new decade, there’s still plenty of work to do.

Microsoft veröffentlicht Advisory zu Zero-Day-Lücke, einschließlich Workaround

Originalbeitrag von Trend Micro

Vor ein paar Tagen veröffentlichte Microsoft ein Advisory (ADV200001) als Warnung vor CVE-2020-0674. Es geht um eine Remote Code Execution (RCE)-Schwachstelle im Zusammenhang mit dem Internet Explorer (IE). Einen Patch gibt es derzeit noch nicht, wobei Microsoft zugegebenermaßen um die Angriffe über diese Lücke weiß. Der Fehler betrifft alle Windows Desktop- und Serverversionen.

Bei CVE-2020-0674 geht es um die Art, wie die Scripting Engine mit Objekten im Hauptspeicher in IE umgeht. Angreifer können die Schwachstelle ausnutzen, um die Memory zu beschädigen, sodass sie beliebigen Code in der Umgebung des aktuellen Nutzers ausführen können. Dies wiederum kann dazu führen, dass der Cyberkriminelle administrative Rechte erlangt, wenn der Nutzer als Admin angemeldet ist. So kann er potenziell neue Konten einrichten, Daten modifizieren oder gar Anwendungen installieren.

Bei einem Angriff kann ein Bedrohungsakteur eine spezielle Website erstellen, um die Schwachstelle auszunutzen. Benutzer können dann über Social Engineering-Techniken wie z.B. Email mit eingebetteten Links zum Besuch dieser Website verleitet werden.

Empfehlungen für einen Workaround

Microsoft hat einen Workaround veröffentlicht, der den Zugang zu Jscript.dll einschränkt:

Die Anwender von 32-Bit-Systemen sollten als Administrator den folgenden Befehl eingeben:

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Die Anwender von 64-Bit-Systemen wiederum geben den folgenden Befehl ein:

takeown /f %windir%\syswow64\jscript.dll

    cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Microsoft merkt aber auch an, dass der Workaround zu möglicherweise zu einer reduzierten Funktionalität für die Komponenten und Fähigkeiten bezüglich jscript.dll führen kann. Deshalb ist es ratsam, den Workaround wieder rückgängig zu machen, sobald der Patch vorhanden ist und aufgespielt werden soll. Die folgenden Befehle sind dafür nötig:

Für 32-Bit-Systeme

    cacls %windir%\system32\jscript.dll /E /R everyone   

Für 64-32-Bit-Systeme

cacls %windir%\system32\jscript.dll /E /R everyone   

    cacls %windir%\syswow64\jscript.dll /E /R everyone

Empfehlungen

Da CVE-2020-0674 bereits aktiv ausgenutzt wird, empfiehlt es sich, den Patch zur Behebung des Fehlers anzuwenden, sobald er verfügbar ist. Darüber hinaus kann die Umsetzung des Workarounds während des Wartens auf das Update Angreifer daran hindern, auf anfällige Systeme zu zielen. Eine andere Möglichkeit besteht darin, die den IE über Netzwerkverkehrsblockierung oder Gruppenrichtlinien auszuschalten, bis ein Update kommt. Bei dieser Option gilt es zu bedenken, dass einige Anwendungen oder Websites den Internet Explorer integriert haben könnten und dass diese möglicherweise nicht funktionieren, wenn der Internet Explorer blockiert wird.

Angesichts des Einsatzes bösartiger Websites als Teil der Ausbeutungsroutine der Schwachstelle sollten Unternehmen sicherstellen, dass ihre Mitarbeiter über Phishing-Angriffe ausreichend aufgeklärt werden, während einzelne Benutzer zur Vorsicht beim Anklicken von Links, insbesondere von solchen, die in einer verdächtigen Email-Nachricht eingebettet sind, ermahnt werden.

Smart Factory Honeypot zeigt mögliche ICS-Angriffe

Originalbeitrag von Ian Heritage

Die Welt wird immer smarter, und dazu gehören auch Fabriken und Industrieanlagen, die mit Internet-of-Things (IoT)-Systemen vernetzt werden, um so die Geschäftsprozesse zu verschlanken und die Produktivität zu steigern. Aber dieses Rennen um Innovation hat seinen Preis. Infolge der Konvergenz der Betriebstechnik (Operational Technology, OT) mit der IT entstehen Bedrohungen durch veraltete Kommunikationsprotokolle, IT-Silos und Hardware, die nicht für regelmäßiges Patching ausgelegt ist. Geht es um Bedrohungen der Industrie 4.0, so spricht man oft von ausgeklügelten, von Nationalstaaten unterstützten Versuchen, die Stromversorgung zu unterbrechen oder Produktionslinien zu sabotieren. Doch in der Praxis sind „alltägliche“ Angriffe ein größeres, unmittelbares Problem. Doch neben den Schutzmaßnahmen dagegen sollten Unternehmen den defensiven Maßnahmen Vorrang einräumen. Trend Micro hat mithilfe eines Honeypots die Bedrohungen für Smart Factories untersucht.

Honeypots stellen für Sicherheitsforscher eine bewährte Methode dar, um entscheidend wichtige Erkenntnisse über die Gegner zu erhalten. Doch auch die Angreifer sind zu solchen Taktiken fähig, und die White Hats müssen sich besonders anstrengen, um ihre Systeme so zu tarnen, dass sie legitim wirken. Trend Micro präsentierte sich in dem Projekt als kleine industrielle Prototyping-„Boutique“-Beratung, mit sensiblen Projekten für hochspezialisierte Kunden. Zu diesem Zweck erstellten die Forscher eine komplette Website und Social-Media-Profile für die „Mitarbeiter“ der Firma.

Um den Honeypot authentischer erscheinen zu lassen, verwendete das Forscherteam reelle Industrial Control System (ICS)-Hardware und eine Mischung aus physischen Hosts und VMs. Mehrere Programmable Logic Controller (PLCs), Human Machine Interfaces (HMIs), getrennte Roboter- und Engineering-Arbeitsplätze sowie ein Dateiserver vervollständigten die Installation. Als Köder für die Angreifer wurden bestimmte Ports ohne Passwörter offen gelassen, um Dienste wie VNC zu ermöglichen, und Informationen wurden in Pastebin veröffentlicht, um die gefälschte Firma leichter aufzufinden.

Ergebnisse

Der Honeypot wurde in einem Kryptojacking-Angriff kompromittiert, zwei separate Ransomware-Läufe zielten darauf, und der Honeypot wurde für Betrugstricks genutzt – vor allem für das Upgrading von Handykonten der Opfer für den Kauf neuer iPhones und Einlösen von Flugmeilen für Geschenkkarten. Dies gibt einige interessante Einblicke in die Sicherheit der Smart Factory.

Erstens geht es nicht nur um ausgeklügelte, mehrstufige Versuche, Prozesse zu stören und/oder hochsensible Unternehmensinformationen zu stehlen. Diese Angriffe waren ziemlich banal, aber immer noch ausreichend, um vor allem kleineren Organisationen einige bedeutende Probleme zu bereiten.

Zweitens ist klar, dass bewährte Sicherheitsmaßnahmen funktionieren. Selbst die grundlegendsten Sicherheitsmaßnahmen, die die Forscher eingerichtet hatten, hielten Angreifer zunächst davon ab, den Honeypot zu infiltrieren. Erst als sie etwa den VNC-Port öffneten, wurde er mit Kryptowährungs-Malware infiziert.

Daher sind IT-Sicherheitsleiter, die Smart Factory-Umgebungen zu managen haben, gut beraten sicherzustellen, dass sie die Anzahl der von ihnen geöffneten Ports begrenzen und strenge Zugangskontrollrichtlinien nach dem „Prinzip der geringsten Privilegien“ befolgen.

Doch dies ist lediglich der Anfang. Diese Richtlinien sollten mithilfe zuverlässiger Sicherheitslösungen, die speziell für diese Art von Umgebungen entwickelt wurden, verbessert werden. Diese Lösungen schützen vor der Ausnutzung von Schwachstellen und ungesicherter Kommunikationskanäle und bieten zudem Einsichten in OT-Ressourcen.

CurveBall: Öffentlicher PoC für kritischen Microsoft-NSA Fehler

Die Sicherheitsforscher Saleem RashidKudelski Security und Ollypwn haben Proof-of-Concept Code veröffentlicht für die Ausnutzug von CurveBall (CVE-2020-0601). Es ist die erste Sicherheitslücke, die die National Security Agency (NSA) gemeldet hatte. Die Lücke ist im ersten Zyklus 2020 der Patch Tuesday-Updates berücksichtigt worden und betrifft die Validierung des CryptoAPIs der Elliptic Curve Cryptography (ECC)-Zertifikate sowie die Public Key Infrastructure (PKI) in Windows. Unternehmen und Nutzern wird das sofortige Patchen ihrer Systeme empfohlen, um den Missbrauch dieser Sicherheitslücke zu verhindern.

Der Machbarkeitsbeweis zeigt, wie sich der Fehler auf eine der kryptografischen Implementierungen der Windows CryptoAPI (Crypt32.dll)-Bibliotheksfunktion auswirken kann. Die Forscher warnen vor den möglicherweise ernsten Folgen, denn jede Software, die sich auf die Windows  CertGetCertificateChain()-Funktion verlässt, um die Gültigkeit eines ECC X.509-Zertifikat zu prüfen, kann fälschlicherweise einer bösartigen Zertifikatskette (einschließlich solcher von Drittanbietern) die Vertrauenswürdigkeit bescheinigen. Zu den betroffenen Microsoft-Versionen gehören Windows 10 und Windows Servers 2016 sowie 2019.

Nutzt ein Angreifer den Fehler aus, kann er die Gültigkeit des ECC für Dateien, Anwendungen, Netzwerkverbindungen, Emails und ausführbaren Dateien fälschen und sie als vertrauenswürdig, von einem legitimen Anbieter abstammend darstellen. Die gefälschte Gültigkeit ermöglicht unter anderem den Zugriff auf die Entschlüsselung von vertraulichen Informationen über Benutzerverbindungen, Man-in-the-Middle-Angriffe und die Ausnutzung aus der Ferne.

Microsoft stellt in dem Security Advisory fest, dass die Ausnutzung des Fehlers wahrscheinlich ist, vor allem, da öffentliche Demo-Codes verfügbar sind. Die NSA erklärt in ihrem Cybersecurity Advisory, dass die verfügbaren Patches lediglich der Minderung der Bedrohung dienen, obwohl einige Forscher bereits festgestellt haben, dass ein Update für Windows Defender veröffentlicht wurde, um aktive Exploit-Versuche zu erkennen und Benutzer zu warnen. Anwendern wird empfohlen, die Patches so schnell wie möglich herunterzuladen.

Trend Micro-Lösungen

Trend Micro-Anwender sind vor der Bedrohung über folgende Regeln geschützt:

Detailliertere Informationen dazu gibt es auf der Business Support-Seite.

Schutz für Unternehmens-IT nach dem Aus für Windows 7

Originalartikel von Bharat Mistry

Cyberkriminelle sind immer auf der Suche nach Schwachstellen in Unternehmenssystemen. In diesem Zusammenhang stellt natürlich die Abkündigung von wichtiger Software oder von einer Betriebssystemversion eine Riesenchance für sie dar. IT-Sicherheitsteams müssen deshalb gut vorbereitet sein auf das endgültige Aus für Windows 7 und Server 2008/Server 2008 R2 am 14. Januar. Für diejenigen Unternehmen, die ein Upgrade nicht durchführen wollen oder können, gibt es dennoch Hilfe.

Patching-Prioritäten

Das schnelle Patching ist aus gutem Grund eine Best Practice für die Cybersicherheit. IT-Systeme werden schließlich von Menschen entworfen, und das bedeutet unweigerlich, dass sich auch Fehler im Code einschleichen. Diese aber werden von den Cyberkriminellen massiv ausgebeutet, wobei die Gruppen Bedrohungswissen und Angriffs-Tools sowie -techniken untereinander austauschen. Häufig stellt das Ausnutzen der Softwarefehler den ersten Schritt für einen ausgeklügelten Angriff dar, mit dem Ziel des Informationsdiebstahls, einer ernsten Ransomware-Infektion, Cryptojacking oder einer anderen Bedrohung. Die Mehrheit der vom Zero Day Initiative (ZDI) Programm in der ersten Hälfte 2019 entdeckten Schwachstellen wurden als „High Severity“ bewertet.

Umso wichtiger ist es, dass IT-Admins jeden Fehler patchen, um das Unternehmensrisiko möglichst gering zu halten. Doch wenn ein Produkt das Supportende erreicht, wie eben Windows 7 und Server 2008, so bedeutet dies, dass der Anbieter keine Patches mehr dafür veröffentlicht. Unternehmen sollten in erster Linie ein Upgrade in Betracht ziehen, um seine Daten nicht zum Ziel der Hacker zu machen.

Wenn Upgrades nicht in Betracht kommen

Für viele Unternehmen aber sind die Dinge nicht so einfach. Solch große Upgrades für tausende von Unternehmensmaschinen sind teuer und zeitaufwändig, und ein verlängerter Support durch Microsoft ist mit sehr hohen Kosten verbunden. Einige Organisationen können aufgrund von Inkompatibilitäten mit unternehmenskritischen Anwendungen nicht upgraden, denn diese würden mit einer neueren Betriebssystemversion gar nicht laufen. In Operational Technology (OT)-Umgebungen wie Fabriken oder Krankenhäusern ist Windows 7 möglicherweise in ein Gerät oder einen Controller eingebettet, und das bedeutet, dass ein Upgrade die Garantie durch den Hersteller zunichte macht.

Schutz für die wichtigsten Bestände

Hier können Sicherheits-Tools von Drittanbietern Abhilfe schaffen. Trend Micro hat eine Next-Generation Intrusion Prevention-Technologie entwickelt und in die eigenen Produkte integriert, auch als „virtual Patching“ bekannt, die nicht gepatchte Server und Endpunkte schützt. Die Technologie erkennt und blockt Versuche, Software- und Betriebssystemlücken auszunutzen, auch wenn keine Updates von Microsoft vorhanden sind.

Mit dem Einsatz von virtuellem Patching können Unternehmen in einer sicheren Umgebung ihre wertvollen Assets weiter nutzen, um Altbetriebssysteme oder Anwendungen zu betreiben. Diese Funktionalität stellt außerdem sicher, dass keine unnötigen IT-Ausfallzeiten entstehen, während die Patches für die unterstützten Systeme getestet werden, und bedeutet, dass Sie keine Notfall-Patches ausrollen müssen, falls ein größerer Fehler entdeckt wird.

Sicherheit für die Cloud-vernetzte Welt im Jahr 2020

Originalbeitrag von Ross Baker

Für CISOs war 2019 ein hartes Jahr. Die letzten zwölf Monate fuhren einen neuen Rekord ein bei Datenschutzverletzungen, Cloud-Fehlkonfigurationen und Sicherheitsbedrohungen auf DevOps-Ebene. Angriffe durch Ransomware, dateilose Malware und auch die Bedrohungen durch Business Email Compromise (BEC) nahmen weiterhin zu. Allein Trend Micro blockte in der ersten Hälfte 2019 mehr als 26,8 Mrd. einzigartige Bedrohungen. Die Situation wird sich in diesem Jahr nicht verbessern, und die Verantwortlichen für Cybersicherheit müssen sicherstellen, dass sie mit vertrauenswürdigen Partnern zusammenarbeiten – Anbietern mit einer klaren Zukunftsvision. Während des letzten Jahres hat eine überzeugende Mischung aus Produktinnovation, Übernahmen und die Anerkennung durch unabhängige Branchengremien Trend Micro als einen solchen Partner qualifiziert.

Risiken durch digitale Medien

Wenn es heute um digitale Transformation geht, so heißt das zumeist Cloud-Computing-Systeme. Die Investitionen in Plattformen wie AWS, Azure und andere haben den Unternehmen enorme Vorteile gebracht, denn sie unterstützen Organisationen dabei, skalierbarer, effizienter und agiler zu werden. Cloud-Plattformen geben Entwicklern die Flexibilität, die sie benötigen, um DevOps und Infrastructure-as-Code (IaC)-Initiativen voranzutreiben, um innovative Kundenerlebnisse zu bieten, und die Plattformen mit wenigen Klicks an die Marktanforderungen anzupassen.

Die Kehrseite davon bedeutet aber, dass diese IT-Transformation die Organisationen einer Reihe neuer Risiken ausgesetzt hat. Bei so vielen potenziell lukrativen Kundeninformationen, die in Cloud-Datenbanken liegen, sind sie zu einem Hauptziel für Hacker geworden. Trend Micro prognostiziert für 2020 eine Flut von Angriffen gegen Cloud-Anbieter über das Einschleusen von Code. Des Weiteren werden Schwachstellen in Container- und Microservices-Architekturen auftauchen, viele davon durch die Wiederverwendung von quelloffenen Komponenten. Fast 9 Prozent der 2018 weltweit heruntergeladenen Komponenten enthielten einen Fehler. Recherchen ergaben, dass 30 Prozent davon kritisch waren.

Die Komplexität von Multi- und hybriden Cloud-Systemen erhöht den Druck auf IT-Admins. Wenn so viel auf dem Spiel steht, ist es unvermeidlich, dass dies zu menschlichen Fehlern führt. Fehlkonfigurationen sind im Jahr 2019 zu einer der Hauptnachrichten geworden. Die Untersuchungen von Trend Micro im vergangenen Jahr ergaben auch, dass über die Hälfte der DevOps Teams in globalen Organisationen nicht über die geeigneten Werkzeuge verfügen, um ihre Arbeit richtig machen zu können.

Sicherheit einfach gestalten

Trend Micro will die Kunden bei ihrem Weg durch diese instabile Landschaft zur Seite stehen. Nur ein paar Beispiele dessen, was der japanische Anbieter zum Schutz der Kunden unternimmt:

Cloud Conformity: Die Übernahme dieses führenden Anbieters von Managementlösungen für Cloud-Sicherheit bietet globalen Anwendern dringend benötigte Fähigkeiten für die permanente Überprüfung. Am auffälligsten ist die Fähigkeit von Cloud Conformity, komplexe Cloud-Umgebungen zu durchleuchten und aufzuzeigen, wo Fehlkonfigurationen existieren und einfache Schritte zur Abhilfe zu ergreifen.

SnykTrend Micro arbeitet mit diesem entwicklerorientierten Open-Source-Sicherheitsanbieter zusammen mit dem Ziel, die Risiken von DevOps zu verringern, die sich aus gemeinsam genutztem Code ergeben. Trend Micro Container-Image-Scans zeigen Schwachstellen und Malware in der Software-Build-Pipeline auf, und virtuelles Patching schützt gegen deren Ausnutzung zur Laufzeit. Mit Snyk Applications Security Management können Entwickler diese Fehler in ihrem Code schnell und einfach beheben.

CloudOne: Trend Micro kombiniert alle Cloud-Sicherheitsfähigkeiten in einer schlanken Plattform, und deckt damit CSPM, Anwendungssicherheit, Container-, Workload-, Cloud-Netzwerk- und Dateispeicher-Sicherheit ab. Die Plattform stellt eine automatisierte, flexible, einheitliche Lösung dar, die die Komplexität von modernen hybriden und Multi-Cloud-Umgebungen vereinfacht.

Anerkennung durch Analysten: Kürzlich hat etwa IDC Trend Micro im neuesten „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominanten Leader“ aufgeführt. Trend Micro hält mehr als zwei Fünftel der Marktanteile im SDC Workload-Sicherheitsmarkt, nahezu dreimal so viele wie der nächste Mitbewerber.

Bösartige Apps in Google Play mutmaßlich von SideWinder APT Gruppe

Die Sicherheitsforscher von Trend Micro haben drei bösartige Apps im Google Play Store gefunden, die zusammenarbeiten, um das Gerät ihres Opfers zu infizieren und Nutzerinformationen zu sammeln. Eine der Apps, Camero, nutzt CVE-2019-2215 aus, eine Schwachstelle in Binder (wichtigstes Interprozesskommunikationssystem in Android). Es ist der erste bekannt gewordene aktive Angriff, der die Use-after-Free-Sicherheitslücke missbraucht. Nach weiterer Recherche stellten die Forscher fest, dass die drei Apps wahrscheinlich zum Arsenal der SideWinder-Gruppe gehören. Diese Gruppe ist seit 2012 aktiv und hat bereits Windows-Maschinen in Militäreinrichtungen anvisiert.

Die drei bösartigen Apps geben sich als Foto- und Dateimanager-Tools aus. Zertifikatsinformationen in einer der drei Apps lassen darauf schließen, dass sie seit Mai vergangenen Jahres aktiv sind. Mittlerweile wurden sie aus Google Play entfernt.

Die drei bösartigen Apps

Weitere technische Details liefert der Originalbeitrag.

Schutzlösungen

Trend Micro-Lösungen wie Mobile Security for Android™ (auch in Google Play erhältlich) sind in der Lage, diese Art von Bedrohungen zu erkennen. Nutzer können auch von den mehrschichtigen Sicherheitsfähigkeiten profitieren, die die Daten und die Privatsphäre vor Ransomware, betrügerischen Websites und Identitätsdiebstahl schützen.

Mobile Security for Enterprise wiederum liefert Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites. Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Anwendungssicherheitslücken. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.