Archiv der Kategorie: Updates & Patches

Kampf der Linux Kryptowährungs-Miner um Ressourcen

Originalbeitrag von Alfredo Oliveira, David Fiser

Das Linux-Ökosystem steht in dem Ruf, sicherer und zuverlässiger als andere Betriebssysteme zu sein. Das erklärt möglicherweise auch, warum Google, die NASA und das US-Verteidigungsministerium Linux für ihre Online-Infrastrukturen und -Systeme nutzen. Leider ist die weite Verbreitung der Linux-Systeme auch für Cyberkriminelle sehr attraktiv. Mittlerweile wird ein rücksichtsloser Kampf um Rechenleistung zwischen den verschiedenen Kryptowährungs-Mining- Programmen, die auf Linux-Systeme abzielen, ausgetragen. Der Beitrag stellt die Angriffskette dar, einschliesslich der Verschiebung der Eintrittspunkte unter anderem auf Docker-Umgebungen und Anwendungen mit offenen APIs.

Kryptowährungs-Mining ist an sich nicht bösartig, doch nicht alle, die nach der profitablen Kryptowährung schürfen, tun dies legal. Und da der Markt für Kryptowährungen mehr als 350 Milliarden $ übersteigt, handelt es sich dabei um wahre digitale Schätze.

Cyberkriminelle missbrauchen Kryptowährungs-Mining, indem sie Mining-Malware auf den Geräten ahnungsloser Benutzer installieren und deren Verarbeitungskapazitäten ohne Autorisierung nutzen. Auf diese Weise können sie mühelos profitieren, ohne in die notwendige Kryptowährungs-Mining-Infrastruktur investieren zu müssen.

In den letzten Jahren hat es einen massiven Anstieg bei Mining Malware gegeben, vor allem solcher für Monero. Diese bietet vollständige transaktionale Anonymität und Vertraulichkeit und ist damit ideal für den Missbrauch bei illegalen Aktivitäten geeignet. Cyberkriminelle versuchen, ihre potenziellen Einkünfte zu maximieren, indem sie sich auf leistungsstarke Geräte mit beträchtlichen Rechenkapazitäten konzentrieren und dort weitere Mining-Malware vernichten, um so die Plattformen und Geräte, die sie infizieren können, zu erweitern.

Die Sicherheitsforscher von Trend Micro analysierten KORKERDS, eine Linux Malware-Variante, die ein Rootkit mitbringt, das bösartige Prozesse vor den Monitoring-Tools auf einem infizierten System verbirgt. Eine weitere Linux-Malware Skidmap kann die Sicherheitseinstellungen auf einem infizierten Gerät herabsetzen und liefert böswilligen Akteuren den Backdoor-Zugriff.

Beide Varianten nutzen komplexe Techniken zum Missbrauch der Ressourcen eines Opfers. Nun gibt es eine Charakteristik, die immer häufiger anzutreffen ist und die die Forscher in ihren Honeypots aber auch in der Praxis gefunden haben – nämlich Routinen, die andere ähnliche Malware in infizierten Geräten, Systemen und Umgebungen deaktivieren und entfernen.

Eine der Routinen dieser Mining Malware besteht darin, nach einer Infektion nach weiteren Mining-Konkurrenten zu suchen. Entdeckt sie eine solche Malware, schaltet sie die Prozesse ihrer Konkurrenten ab, löscht ihre Spuren aus dem System und sorgt dafür, dass diese Konkurrenten nicht mehr laufen können.

Diese Mining-Samples zielen nicht nur auf Linux-Host-Rechner ab, die als persönliche Geräte verwendet werden, sondern auch auf leistungsstarke Tools, die Unternehmen im Rahmen von DevOps nutzen, wie etwa Docker und Redis.

Die analysierten Samples suchen nicht nur nach ressourcenintensiven Prozessen auf dem Host-Rechner, sondern auch nach Docker-Containern, die für Mining genutzt werden. Mit diesem Verhalten soll gewährleistet werden, dass die zuletzt eingesetzte Malware die Rechenleistung des Hosts nutzen kann.

Auch Cyberkriminelle haben ihren Horizont erweitert und greifen die AWS-Infrastruktur an, auf der mit Mining-Malware infizierte Docker- sowie Kubernetes-Systeme laufen und stehlen AWS-Anmeldedaten.

Bild. Die Infektionskette von Kryptowährungs-Mining Malware in offenen APIs

Ein häufiger Trend oder eine Technik, die in der Vergangenheit von Malware-Akteuren eingesetzt wurde, bestand darin, eine Schwachstelle in einem öffentlich gehosteten Dienst auszunutzen, um Privilegien für die Codeausführung zu erlangen. Diese Technik ermöglichte es einem Angreifer, ein Botnet zu erstellen oder einen Coinminer im System zu installieren. Eine neuere Technik ist immer häufiger anzutreffen, bei der nach offenen APIs gesucht wird, die es ermöglichen, sich Zugriff auf Container oder Privilegien für die Codeausführung zu verschaffen. Auch hat sich die Mining Malware von On-Premise-Geräten hin zu Containern und in die Cloud verlagert. Technische Einzelheiten zum Ablauf liefert der Originalbeitrag.

Schutz vor Mining Malware

Um Systeme, Geräte und Umgebungen zu schützen, sollten IT- und Systemadministratoren Best Practices befolgen, so etwa die konsequente Anwendung des Prinzips der Mindestprivilegien, regelmässiges Patching und Aktualisieren von Systemen, Einsatz von Mehrfaktorauthentifizierung, Nutzen von verifizierten Sicherheits-Extensions sowie Aufstellen von Zugangskontrollrichtlinien. Auch ist es von Bedeutung, API-Konfigurationen zu überprüfen, um sicherzustellen, dass Anfragen von einem festgelegten Host oder internen Netzwerk kommen. Des Weiteren sind regelmässige Scans des Hosts nach offenen Ports wichtig sowie eingeschränkter SSH-Zugang.

Unternehmen können sich auch mithilfe von Lösungen schützen wie Trend Micro™ Hybrid Cloud Security, die mit einer schlanken, funktionsstarken und automatisierten Sicherheit die DevOps Pipeline sichern kann. Sie liefert mehrere XGen  Threat Defense-Techniken für die Sicherheit von physischen, virtuellen und Cloud Workloads zur Laufzeit. Unterstützt wird die Lösung durch die Cloud One™ Plattform, die ein einheitliches, zentrales Dashboard für die hybriden Cloud-Umgebungen liefert sowie Network Security, Workload Security, Container Security, Application Security, File Storage Security und Conformity-Services.

Für Organisationen, die Sicherheit als Software für Runtime-Workloads, Container-Images sowie Datei- und Objektspeicher suchen, scannt Deep Security™, Deep Security Smart Check Workloads und Container-Images in jedem beliebigen Intervall in der Entwicklungs-Pipeline auf Malware und Schwachstellen, um Bedrohungen zu verhindern, bevor die Assets eingesetzt werden.

Trend Micro Halbjahresbericht 2020: Sicherheit in pandemischen Zeiten

von Trend Micro

Die Covid-19-Pandemie hat die Cybersicherheitslandschaft in der ersten Hälfte 2020 stark geprägt. Während sich die Menschen an neue Arbeits- und Schulumgebungen anpassten, mussten Unternehmen für ihre Mitarbeiter Setups für die Arbeit zu Hause (Work-from-Home, WFH) schaffen und dabei dafür sorgen, dass deren Systeme auch sicher sind. Böswillige Akteure machten sich die Situation zunutze, indem sie das Thema Covid-19 für ihre Angriffe nutzten. Gruppen von Bedrohungsakteuren setzten ihre Kampagnen fort und dehnten ihre Reichweite auf neue Ziele und Plattformen aus, während sich die Betreiber von Ransomware weiterhin auf gezielte Angriffe konzentrierten. Trend Micro gibt in einer Zusammenfassung zur Jahresmitte 2020 den Überblick über die Trends und Ereignisse der ersten Jahreshälfte.

Böswillige Akteure haben schon immer gesellschaftlich relevante Ereignisse zur Durchsetzung ihrer Pläne genutzt, und bei Covid-19 ist das nicht anders. Die Sicherheitsforscher fanden eine Vielzahl von Vorfällen, in denen Cyberkriminelle pandemiebezogene Köder für ihre bösartigen Aktivitäten einsetzten, von relativ harmlosen Betrugsmaschen bis hin zu destruktiven Kampagnen, die fortgeschrittene Malware verbreiteten.

Der abrupte Wechsel auf WFH-Setups stellte Unternehmen vor zahlreiche Herausforderungen. Abgesehen von der Notwendigkeit, den Mitarbeitern die für die Aufrechterhaltung des Betriebs benötigten Werkzeuge zur Verfügung zu stellen, hatten Unternehmen mit Fragen der Kommunikation, Konnektivität und sogar der Zuweisung von IT-Ressourcen zu kämpfen.

Bild 1. Zahl und Verbreitung von Covid-19-Bedrohungen in der ersten Hälfte 2020

Ransomware-Betreiber konzentrieren sich auf ausgewählte Ziele

Ransomware hat sich von seinen opportunistischen Wurzeln, zu denen nicht personalisierte Spam-Kampagnen gehörten, zu einem gezielteren Ansatz entwickelt, bei dem oft der Diebstahl von Credentials und andere komplexe Techniken eingesetzt werden, um das Zielsystem zu kompromittieren. Die Hauptopfer dabei sind Organisationen, die viel zu verlieren haben und in der Lage sind, hohe Lösegeldforderungen zu erfüllen. Darüber hinaus stellten die Forscher auch einen wachsenden Trend fest, bei dem Betreiber von Ransomware ihren Opfern mit der Veröffentlichung ihrer Daten drohen, falls das Lösegeld nicht bezahlt wird.

Bild 2. Halbjahresvergleich der Anzahl der entdeckten Ransomware-bezogenen Komponenten (Dateien, Emails und URLs)

Schwachstellen sind weiterhin ein relevantes Problem

Mit der Verlagerung hin zur Remote-Arbeit ist das Patching wichtiger denn je. In der ersten Jahreshälfte wurde eine grosse Anzahl veröffentlichter und gepatchter Schwachstellen gemeldet, darunter mehrere kritische Fehler, die bereits in der Praxis ausgenutzt wurden. Für die Unternehmen könnte dies zu einer zusätzlichen Arbeitsbelastung ihres IT-Personals führen, das diese Updates implementieren und darüber hinaus sicherstellen muss, dass die IT-Infrastruktur des Unternehmens unter den neuen Arbeitsumgebungen so nahtlos wie möglich funktioniert.

Zwischen Ende 2019 und Anfang 2020 wurden zwei verschiedene Gruppen von Schwachstellen entdeckt, die Industrial Internet of Things (IIoT)-Geräte betreffen. Solche Sicherheitslücken könnten einen erheblich schädlichen Einfluss auf betroffene Branchen und Organisationen haben und zu möglichen zukünftigen Regelungen für das IIoT im Allgemeinen führen.

Bild 3. Halbjahresvergleich der Anzahl der Schwachstellen, die das ZDI-Programm veröffentlicht hat

Mehrschichtige Sicherheit als Verteidigung vor heutigen vielfältigen Bedrohungen

Die Herausforderungen im Bereich der Cybersicherheit, denen viele Organisationen in der ersten Hälfte des Jahres 2020 ausgesetzt waren, beweisen, dass eine mehrschichtige Lösung, die eine Mischung aus Fähigkeiten zur Bedrohungsabwehr bieten kann, am besten für eine umfassende Sicherheitsimplementierung geeignet ist, die sowohl in Büro- als auch in Privatumgebungen funktioniert.

Weitere Einzelheiten liefert der Report:

Happy Birthday: 15 Jahre Zero Day Initiative (ZDI)

Originalbeitrag von Brian Gorenc

In diesem Jahr wird die ZDI 15 Jahre alt. Alles begann 2005, als 3Com ein neues Programm namens Zero Day Initiative ankündigte. Geplant war, Forscher, die bisher unbekannte Software-Schwachstellen („Zero-Day-Schwachstellen“) entdecken und sie verantwortungsbewusst offenlegen, finanziell zu belohnen. Die Informationen über die Schwachstelle sollten genutzt werden, um Kunden frühzeitig mithilfe von TippingPoint IPS (Intrusion Prevention System)-Filtern zu schützen, während die ZDI mit dem Hersteller des betroffenen Produkts zusammenarbeitete, um die Schwachstelle zu beheben. In dem Jahr veröffentlichte die ZDI gerade mal ein Advisory zu Symantec VERITAS NetBackup. Fünfzehn Jahre später sind es mehr als 7.500 Advisories, und die ZDI hat sich zum weltweit grössten herstellerunabhängigen Bug-Bounty-Programm entwickelt.

Von einer 15-jährigen Reise zu sprechen, ist eine Untertreibung. Es gab einige Höhen und Tiefen, aber das Programm ist stärker denn je und befindet sich auf Kurs zum bislang erfolgreichsten Jahr des Bestehens. Daher ist es der richtige Zeitpunkt, um einen Blick zurück auf einige der bemerkenswerteren Ereignisse zu werfen.

2005 – 2010

2006 kaufte die ZDI nur zwei Apple-Bugs, 2010 waren es bereits 52. Java-Bugs, insbesondere Sandbox Escapes waren zu der Zeit ebenfalls beliebt. Es fühlt sich etwas merkwürdig an, auf den Wechsel vom Kauf von Bugs in dem, was man einfach „Java“ nannte, solchen in „Sun Microsystems Java“ und schliesslich zu Bugs in „Oracle Java“ zurück zu blicken.

In dieser Zeitspanne fiel auch der erste Pwn2Own-Wettbewerb 2007. Damals galten Apple-Geräte als unüberwindbar. Doch scharfsinnige Sicherheitsforscher wussten es besser, und Dino Dai Zovi bewies dies und gewann ein MacBook sowie 10.000 $. Seither ist der Wettbewerb exponentiell gewachsen. Inzwischen gibt es drei verschiedene Wettbewerbe: Pwn2Own Vancouver, der sich auf Unternehmenssoftware konzentriert; Pwn2Own Tokio, der sich auf Verbrauchergeräte konzentriert und Pwn2Own Miami, der dieses Jahr mit Schwerpunkt auf ICS-SCADA-Produkte eingeführt wurde. Pwn2Own diente auch als „Coming-out“ für viele hochkarätige Forscher, die nach dem Gewinn des Wettbewerbs in verschiedenen prestigeträchtigen Teams und Projekten arbeiten.

2010 – 2015

Dies war eine Übergangszeit für das Programm, da 3Com zusammen mit ZDI von Hewlett-Packard gekauft und später als Teil von Hewlett Packard Enterprise abgespalten wurde. Die Kernprinzipien des Programms damals sind jedoch nach wie vor dieselben wie heute:

  • Fördern der verantwortungsvollen Offenlegung von Zero-Day-Schwachstellen gegenüber den betroffenen Anbietern.
  • Gerechte Anrechnung und Vergütung der teilnehmenden Forscher, einschliesslich jährlicher Boni für Forscher, die innerhalb des Programms besonders produktiv sind.
  • Produktanbieter in die Verantwortung nehmen, indem sie eine angemessene Frist für die Behebung gemeldeter Schwachstellen erhalten.
  • Schutz der Kunden und des Ökosystems.

Mittlerweile war das ZDI gross genug, um einen Einfluss auf das gesamte Ökosystem zu haben. Zu dieser Zeit entwickelte sich die Initiative zum weltgrössten herstellerunabhängigen Bug-Bounty-Programm — sie ist es heute immer noch. 2011 kam es zur ersten öffentlichen Zero-Day-Offenlegung, als ein Anbieter die Patch-Frist nicht einhielt. Im Laufe der Zeit trug die Verpflichtung der Hersteller zur Behebung von Schwachstellen dazu bei, ihre Reaktionszeit von mehr als 180 Tagen auf weniger als 120 zu senken. Obwohl die ZDI die Zeitspanne für die Offenlegung verkürzt hat, ist die Rate der Zero Day-Offenlegung relativ konstant geblieben.

Eine weitere grosse Veränderung war die Zunahme der Forschungsarbeit der vom ZDI-Programm beschäftigten Schwachstellenforscher. Infolge einer Vergrösserung des Teams konnten Mitglieder des ZDI auch ihre eigenen Bugs melden. Sie veröffentlichten zunehmend die Ergebnisse ihrer Arbeit und hielten immer häufiger Vorträge auf hochkarätigen Konferenzen wie Black Hat und DEFCON.

Die Vergrösserung half auch, einige Trends in der bösartigen Ausnutzung zu erkennen. Auch gab es einen Anstieg bei den Reports von Java-Bugs. Nachdem die Browser Click-to-Play implementierten, wurde die praktische Ausnutzung schwieriger. Es gab auch viele Bugs, die Use-After-Free (UAF)-Bedingungen im Internet Explorer missbrauchten, bis Microsoft ohne Aufhebens Isolated Heap und MemGC-Mechanismen einführte. ZDI-Forscher fanden dennoch eine Möglichkeit, diese Mechanismen auszuhebeln und erhielten dafür 125.000 $ von Microsoft. Interessanterweise beschloss Microsoft, nicht alle gemeldeten Bugs zu fixen, sodass ein Teil des Reports als öffentlich gemachter Zero Day endete. Die Forscher spendeten das Geld an verschiedene STEM (Science, Technology, Engineering, Mathematics)-Wohltätigkeitsvereine.

Die Bug-Bounty-Landschaft normalisierte sich und weitete sich aus. Anbieter wie Microsoft und Google starteten ihre eigenen Bounty-Programme. Es entstanden Bug-Bounty-Plattformen, die es Firmen wie Starbucks und Uber ermöglichten, selbst Belohnungen anzubieten. Die Idee der Crowdsourcing-Forschung wurde zum Mainstream. Nicht jedes Programm war erfolgreich, da einige Anbieter plötzlich erkannten, dass das Angebot von Geld für Bug-Reports dazu führt, dass man Bug-Reports erhält. Dadurch hatten einige Unternehmen Mühe, nach dem Start ihres Programms  zu reagieren. Es war definitiv eine Zeit des Wachstums und des Lernens in der gesamten Branche.

2010 erlebte Pwn2Own den ersten erfolgreichen Mobilgerät-Angriff, durchgeführt von Ralf-Philipp Weinmann und Vincenzo Iozzo gegen Apple iPhone 3GS. Anbieter begannen umfangreiche Patches kurz vor dem Wettbewerb zu veröffentlichen. Da die Regeln für alle Angriffe die „neueste Version“ vorschreiben, wurden die Teilnehmer oft kurz vor dem Wettbewerb „aus-gepatcht“. Das bedeutete auch, dass die ZDI sich beeilen musste, um die Ziele mit den neuesten Patches auf den neuesten Stand zu bringen. I2012 kam ein zweiter Wettbewerb – Mobile Pwn2Own – hinzu, der sich auf Telefone und Tablets konzentrierte

2015 – bis heute

2015 kaufte Trend Micro das HP TippingPoint IPS zusammen mit dem ZDI-Programm. Dies eröffnete der ZDI neue Möglichkeiten, da die durch das ZDI-Programm gewonnenen Erkenntnisse über Schwachstellen nun nicht nur der Verbesserung des TippingPoint IPS zugute kamen, sondern auch für andere Produkte innerhalb der Sicherheitslösungen von Trend Micro genutzt werden konnten. Die Zusammenarbeit des ZDI mit Trend Micro führte auch zu einem massiven Anstieg des Interesses an Schwachstellen in den Trend Micro-Produkten selbst. Die Trend Micro-Produktteams scheuten nicht davor zurück, die von unabhängigen ZDI-Forschern eingereichten Fehler zu beheben, und ein gezieltes Targeted Initiative Program nur für ausgewählte Trend Micro-Produkte entstand.

Vor 2015 gab es nur selten eine Adobe Reader-Bug-Meldung ausserhalb von Pwn2Own. In dem Jahr aber waren es mehr als 100. Viele dieser Berichte stammten von ZDI-Forschern. Insgesamt machen interne Funde etwa 20% aller Fälle pro Jahr aus. Auch Deserialisierungs-Bugs und ICS/SCADA-Schwachstellen nahmen stark zu. Home-Router entwickelten sich zu einem beliebten Ziel, da sie massenhaft kompromittiert werden können, um in Botnets und DDoS-Angriffen verwendet zu werden. Infolgedessen passte sich die ZDI an und begann, hardwarebezogene Reports zu akzeptieren, insbesondere solche, die sich auf IoT-Geräte beziehen.

Die Einführung des Wassenaar-Arrangements brachte einige Herausforderungen mit sich – insbesondere beim Kauf von Bug Reports aus den Mitgliedsländern.

2016 wurde beim Pwn2Own die Kategorie Virtualisierung eingeführt. Zum 10. Geburtstag des Wettbewerbs 2017 konnte die ZDI während der drei Tage 51 Zero-Days erwerben. 2019 ging die ZDI eine Partnerschaft mit Tesla ein, sodass Forscher das Infotainment-System des Autos zum Ziel machen könnten. ZDI-Forscher zeigten auch ihren eigenen Einbruch ins Infotainment-System. Auch die Teilnehmer haben sich im Laufe der Jahre verändert. Anfangs nahmen hauptsächlich einzelne Forscher und nur wenige Teams teil. Später waren es in der Mehrheit Teams, die von ihren Arbeitgebern gesponsert wurden.  In den letzten paar Jahren ist dieser Trend wieder rückläufig.

2018 erreichte die ZDI ihren Höchststand von 1.450 veröffentlichten Advisories, und dieses Jahr werden noch mehr. Tatsächlich ist die ZDI seit 13 Jahren als weltweit führende Organisation für Schwachstellenforschung anerkannt. Laut Omdia war das ZDI 2019 für mehr als die Hälfte aller gemessenen Offenlegungen von Schwachstellen verantwortlich, das ist mehr als jeder andere Anbieter.

Patches für Sicherheitslücken von Adobe, Citrix, Intel und vBulletin

Originalartikel von Trend Micro

Schwachstellen setzen Unternehmenssysteme der Kompromittierung aus. Jetzt, da viele Mitarbeiter von zu Hause aus arbeiten und Geräte ausserhalb der sicheren Büroumgebungen betreiben, ist die Notwendigkeit, Schwachstellen zu beheben, sobald sie entdeckt werden, noch dringlicher geworden. Neben Microsoft haben kürzlich auch die folgenden Anbieter Patches veröffentlicht: Adobe, Citrix, Intel und vBulletin. Es folgt eine Zusammenfassung dieser kürzlich bekannt gewordenen Schwachstellen, und Organisationen sind gut beraten, sofort zu prüfen, ob die von ihnen verwendete Software von diesen Schwachstellen betroffen ist.

Adobe-Sicherheitslücken

26 Lücken in eigenen Produkten wie Adobe Acrobat und Adobe Reader hat der Anbieter Im Rahmen der aktuellen Veröffentlichungen von Fixes behoben. Elf davon sind als „kritisch“ eingestuft worden. Bei den beiden CVE-2020-9696 und CVE-2020-9712 handelt es sich um Security Bypass-Probleme, die die Ausführung beliebigen Codes ermöglichen. Die kompletten Einzelheiten zu den Schwachstellen werden noch veröffentlicht.

Verschiedene Sicherheitsforscher hatten Adobe von den Schwachstellen in Kenntnis gesetzt. Abdul-Aziz Hariri von der Trend Micro Zero Day Initiative (ZDI) entdeckte CVE-2020-9712 sowie vier weitere als „wichtig“ eingestufte Lücken (CVE-2020-9697CVE-2020-9706CVE-2020-9707CVE-2020-9710).

Citrix-Sicherheitslücken

Citrix veröffentlichte ein Security Bulletin, in dem der Anbieter die Entdeckung von fünf Sicherheitslücken in einigen Versionen von Citrix Endpoint Management (CEM), auch als XenMobile bekannt, ankündigte. Die beiden CVE-2020-8208 und CVE-2020-8209 gelten als „kritisch“.

Während über vier der Lücken nur wenige Informationen durchgedrungen sind, handelt es sich bei CVE-2020-8209 um einen Path Transversal-Fehler, der durch eine ungenügende Input-Validierung entsteht. Solche Schwachstellen ermöglichen es Angreifern, beliebige Dateien auf Servern zu lesen. Laut Andrew Menov, Experte bei Positive Technologies, können Bedrohungsakteure sie ausnutzen, indem sie eine URL erstellen und sie unter nichtsahnenden Benutzern verbreiten. Folgen diese der URL, könnten die Angreifer dann auf Dateien einschliesslich Konfigurationsdateien und Verschlüsselungs-Keys ausserhalb des Root-Verzeichnisses des Webservers zugreifen. Weitere Einzelheiten sollen noch folgen.

Intel-Sicherheitslücken

Intel veröffentlichte kürzlich Fixes für 22 Sicherheitslücken mit Bewertungen von „niedrig“ bis „kritisch“. Die kritische Lücke CVE-2020-8708 betrifft Intel Server Boards, Serversysteme und Rechenmodule vor der Version 1.59. Sie ermöglicht es nicht autorisierten Benutzern, die Authentifizierung zu umgehen und die Privilegien über angrenzende Zugriffe zu erhöhen.

Dmytro Oleksiuk, ein Informationssicherheitsforscher und -entwickler, der den Fehler entdeckte, erklärte gegenüber Threatpost, dass dieser Fehler in der Firmware von Emulex Pilot 3 sitzt. Emulex Pilot 3 wird von Motherboards verwendet und hilft dabei, Serverkomponenten in einem einzigen System zusammenzuhalten.

vBulletin-Sicherheitslücken

Eine im letzten Jahr bei der Internetforums-Software entdeckte Sicherheitslücke, die mittlerweile als geschlossen galt, scheint immer noch gefährlich zu sein. Das zeigten Proof-of-Concept Codes des Sicherheitsforschers Amir Etemadieh (Zenofex). Es geht um CVE-2019-16759, ein Fehler in vBulletin Versionen 5.x bis 5.5.4, der Remote Code Execution (RCE) ermöglicht über die Nutzung eines speziellen POST Requests. Zwar wurde schon seit langem ein Patch veröffentlicht, aber die Untersuchungen haben ergeben, dass Angreifer die Schwachstelle immer noch ausnutzen können, und es gibt PoCs in Bash, Python und Ruby. Bislang wurde noch kein offizieller neuer Patch veröffentlicht. Der Forscher hat einen temporären Workaround vorgestellt, den Administratoren anwenden können.

Schutz für Systeme

Folgende Massnahmen können zum Schutz vor Sicherheitslücken beitragen:

  • Systeme sofort patchen.
  • Regelmässige Updates von Software, Firmware und Anwendungen. Installieren der neuesten Versionen, denn diese enthalten auch die neuesten Fixes.
  • Einsatz von Sicherheitslösungen. Ein mehrschichtiger Sicherheitsansatz ist sinnvoll, vor allem in den Fällen, in denen Patches nicht sofort verfügbar sind.

Die folgenden Trend Micro-Lösungen erhöhen ebenfalls den Schutz vor Sicherheitslücken:

Trend Micro Deep Security und Vulnerability Protection schützen Nutzer vor der vBulletin-Sicherheitslücke mithilfe der folgenden aktualisierten Regel:

  • 1010366 – vBulletin ‚widgetConfig‘ Unauthenticated Remote Code Execution Vulnerability (CVE-2019-16759)

Das Rennen: Hase und Igel in der IT-Security

Von Richard Werner, Business Consultant bei Trend Micro

Quelle: Wikimedia Commons

Jeder kennt die alte Fabel von den Gebrüdern Grimm. Der Wettlauf zwischen Hase und Igel spielte sich angeblich in Buxtehude ab, in der auch obige schöne Skulptur steht, und die Realität in der IT-Security erinnert stark an diesen ungleichen, ja betrügerischen Wettlauf.

Alle Unternehmen haben bereits in Sicherheitsmassnahmen investiert, ihre Mitarbeiter trainiert und Prozesse optimiert. Dennoch gibt es immer wieder mehr oder weniger ernste Zwischenfälle. Die Lage wird auch dadurch erschwert, dass die IT selbst und mit ihr die Security ständig mit Neuerungen konfrontiert ist, wie z.B. Cloud-Computing und IoT (Internet of Things), oder es werden einfach nur Verfahren optimiert, beispielsweise mit Hilfe von künstlicher Intelligenz. Das bedeutet, alles ist ständig in Bewegung oder mit den Worten des BSI: „Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.“

Die Gegner in diesem Rennen um IT-Sicherheit sind nicht so sehr andere Firmen sondern vielmehr Leute, sprich Hacker, Cyberkriminelle oder andere Betrüger, die Firmen/Sicherheitsanbieter dazu zwingen, immer schneller zu werden. Diese Personengruppe misst sich nicht im fairen Wettkampf sondern versucht, die Sicherheit der Systeme mit unlauteren Mittel zu verletzen.

Merke: Wir befinden uns in einem Rennen!

Rollenverteilung

Der Tenor der Fabel selbst ist so gesetzt, dass der Leser sich mit dem vermeintlich schwächeren „klugen“ Igel und nicht mit dem „dummen, arroganten“ Hasen identifiziert. Lässt man allerdings die Attribute weg, so ist es eine Erzählung über einen Hasen, der mit Hilfe von übelstem Betrug gehetzt wird und den Wettlauf deshalb nicht gewinnen kann. Diese Beschreibung trifft auch auf die IT Security, also die Verteidigung der IT zu. Alle Anstrengungen führen letztlich dazu, dass wir, die Hasen, bestenfalls nicht verlieren. Gewinnen können wir jedoch nie. Denn das Gegenüber spielt nie fair, und es sind Betrüger im wahrsten Sinne des Wortes.

Merke: Unsere Rolle ist die des Hasen!

Wege aus der Situation

Bei Betrachtung der Situation aus Sicht des Hasen fällt eines auf. Der Hase stellt sich nie die Frage, wie es sein kann, dass ihn der Igel immer wieder besiegt, ohne ihn je zu überholen. Weil der geneigte Leser die Fabel kennt, weiss er auch, was dem Hasen geholfen hätte. Und vielleicht lassen sich diese Ideen auf reale Situation projizieren.

  1. Die erste Option wäre gewesen, ein neues Ziel zu definieren. Der Grund, warum der Igel gewinnen konnte, lag darin, dass der Hase immer zwischen Start und Ziel hin und her lief und damit den Betrug erst ermöglichte. Hätte der Hase nur einmal auf einem anderen Ziel bestanden, wäre der Wettlauf vorbei gewesen. Analog dazu: Auf die Frage, welches die Aufgabe der IT-Security im Unternehmen ist, kommt zumeist die Antwort, „das Unternehmen schützen“. Dies ist das Ziel, dem wir hinterher laufen und bei dem uns der Igel regelmässig sein berühmtes „Ich bin schon da“ entgegenruft. Die Frage ist, ob sich dieses Ziel ändern lässt. Hier ein Vorschlag: Das Ziel wäre, einen erfolgreichen Angriff rechtzeitig zu erkennen. Damit ist er wohlgemerkt nicht verhindert worden. Aber das betroffene Unternehmen hat dann die Möglichkeit, Gegenmassnahmen zu ergreifen, um Schaden abzuwenden. In der IT-Security sind solche Massnahmen unter dem Schlagwort Detection & Response bekannt.
  2. Die zweite Option für den Hasen wäre gewesen, dem Igel einen Vorsprung zu geben. Ihm sozusagen bis zum Ziel hinterher zu laufen, um zu sehen, wie er vorgeht. In diesem Fall hätte der Hase den ganzen Betrug aufdecken und auch die Betrüger entlarven können. Zudem wäre es der Igel gewesen, der plötzlich seine Ressourcen hätte einsetzen müssen. Auch dieses Verfahren kennt die IT-Security. Hier kommen ebenfalls Technologien aus dem Bereich Detection & Response zum Einsatz, mit deren Hilfe ein Angreifer verfolgt werden kann. Die „Gejagten“ versuchen, die Ziele der Angreifer und damit auch Hintergründe zu erforschen, um ggf. auch rechtliche Schritte gegen den/die menschlichen Täter einzuleiten. Das Verfahren birgt allerdings auch jede Menge Risiken und sollte deswegen nur durch Spezialisten und in Zusammenarbeit mit Strafverfolgungsbehörden durchgeführt werden.

Merke: Nur eine geänderte Vorgehensweise ändert auch die Situation.

Umdenken in der IT-Security

Bezüglich der reinen Schutzfunktionen sind die Grenzen in einigermassen gepflegten IT-Umgebungen längst erreicht. Unabhängig davon, ob ein Unternehmen die Security Tools eines oder mehrerer Hersteller für seine Sicherheit einsetzt, lässt sich lediglich ein Schutzniveau unter 100% erreichen. Dabei funktionieren die allermeisten IT Security-Umgebungen wesentlich besser als ihr Ruf. Der Grund, warum es dennoch immer wieder zu erfolgreichen Angriffen kommt und diese in den letzten Jahren sogar zugenommen haben, liegt vor allem darin, dass auch die Igel – pardon Angreifer — aufgerüstet haben. Attacken wie die der Kategorie Emotet verwenden mehrfache fortschrittliche Methoden um ihre Opfer zu kriegen. Hinzu kommt, dass Angriffsmethoden häufig nicht mehr allein von „gewöhnlichen“ Cyberkriminellen erdacht werden, sondern staatliche Institutionen viel Geld investieren, um solche Konzepte zu entwickeln. So lässt sich auch die heutige Emotet-Welle technisch wie auch methodisch auf das Vorgehen der angeblich staatlichen Malware-Varianten Wannacry und NotPetya zurückführen, deren „Vorfahren“ ihrerseits aus dem Leak technischer Informationen der NSA durch eine ominöse Hackergruppe namens Shadow Broker entstammen.

Die Lehre

Die Wahrscheinlichkeit, trotz guter Gegenmassnahmen infiziert zu werden, ist deshalb hoch. Hier ist es dringend geraten, anders als der Hase in der Fabel, die eigenen Ziele zu überdenken. Niemand bestreitet, dass Schutz wichtig ist. Aber das umfassende Erkennen von erfolgreichen Angriffen sowie die Möglichkeit, koordinierte Gegenmassnahmen mit oder ohne Beobachtung des Gegners zu treffen, werden immer essentieller. Es ist deshalb zunehmend wichtiger, Schutzmassnahmen mit Detection & Response-Methoden zu ergänzen. Je umfangreicher Sensoren ein Netzwerk durchleuchten können, desto genauer erkennen sie Methodik und Verbreitung (Detection), und können dadurch umso effektiver gegen die Bedrohung agieren (Response).

Trend Micro bietet daher seinen Kunden XDR an, das neben Standardvorgehen wie „Endpoint Detection und Response“ (EDR) auch die fortschrittliche Koordination von Verteidigungswerkzeugen auf anderen Ebenen eines Unternehmensnetzwerks wie Email, Server oder Cloud-basierte Workloads anbietet. Zusätzlich stellt Trend Micro auch Spezialisten zur Verfügung, die bei der Beurteilung und Auswertung von Erkenntnissen unterstützen können.

Zero Day Initiative: Harte Arbeit für eine sichere vernetzte Welt

Originalartikel von Jay Coley

Die Zero Day Initiative (ZDI) von Trend Micro steht seit 15 Jahren für die koordinierte Veröffentlichung von Schwachstellen und betreibt das weltweit umfassendste herstellerunabhängige Bug-Bounty-Programm. Ein Grossteil dieser Arbeit findet hinter den Kulissen statt, ohne viel Aufsehen zu erregen. Es ist eine sehr wichtige Arbeit, weil sie zur Sicherung der vernetzten Welt beiträgt und gleichzeitig einen frühzeitigen Schutz für Trend Micro/TippingPoint-Kunden bietet. Ein Beispiel dafür sind die zwei vom ZDI entdeckten Sicherheitslücken, die Microsoft in dieser Woche ausser der Reihe geschlossen hat.

Die beiden Schwachstellen wurden von Abdul-Aziz Hariri vom ZDI entdeckt und betreffen die Art und Weise, wie die Microsoft Windows Codecs Library mit Objekten im Speicher umgeht. Bei Ausnutzung der CVE-2020-1425-Lücke könnte ein Angreifer an Informationen herankommen, mit deren Hilfe er ein System weiter kompromittieren kann. CVE-2020-1457 wiederum eröffnet einem Angreifer die Möglichkeit, beliebigen Code auszuführen.

Es kommt nur selten vor, dass Microsoft still und unbemerkt Patches bei seinen Kunden installiert, doch dies schmälert die harte Arbeit der ZDI-Forscher keineswegs. Tatsächlich war das ZDI mit 38% der veröffentlichen Lücken im vergangenen Jahr die Nummer eins der externen Lieferanten von Schwachstellen an Microsoft.

Warum ZDI?

Die Arbeit des ZDI ist deshalb so wichtig, weil sich die Initiative für eine verantwortungsvolle Offenlegung einsetzt. Ohne Programme dieser Art würde sich der Grau- und Schwarzmarkthandel mit Schwachstellen ausbreiten, was zu weniger sicheren Produkten und letztendlich zu exponierteren Kunden führen würde.

Schwachstellen-Exploits sind heute eine wichtige Voraussetzung für viele Cyberangriffe. Durch die Mobilisierung der Forschungsgemeinschaft und die Schaffung von Anreizen zur verantwortungsvollen Offenlegung kann das ZDI dazu beitragen, die digitale Welt sicherer zu machen. Nicht nur das, damit können auch Kunden von Trend Micro und TippingPoint frühzeitig geschützt werden. In diesem Fall waren die Kunden über drei Monate lang sicher, bevor Anbieter-Patches verfügbar waren.

Wie Angreifer Gesichtserkennungsgeräte austricksen

Die Corona-Pandemie hat Unternehmen auf der ganzen Welt vor Fragen gestellt, wie sie die Arbeitsweise ihrer Büros ändern können, um auch im Zeitalter des Social Distancings eine sichere Zusammenarbeit zu gewährleisten. Eine Richtlinie dafür, die von vielen Unternehmen umgesetzt wird, ist die Installation von freihändigen Zugangskontrollen an den Firmeneingängen, um den Kontakt der Mitarbeiter mit unter Umständen kontaminierten Oberflächen zu reduzieren. Natürlich erfordert die Verwaltung der Zugangskontrollen leistungsfähige Werkzeuge, um die Authentifizierung schnell und effizient durchzuführen. Zu diesem Zweck greifen viele Unternehmen auf Edge-Computergeräte zurück.

Edge Computing ist ein relativ neuer Begriff und bedeutet, dass Ressourcen mit höherer Leistung näher an den Geräten am „Rand“ (Edge) des Netzwerks liegen (etwa IP-Kameras, die Bilder für die Zugangskontrolle aufnehmen), um Verzögerungen zu verringern und die Effizienz zu erhöhen. Im Gegensatz dazu sammeln in einem Cloud-orientierten Internet der Dinge (IoT)-System viele stromsparende Geräte am Edge des Netzwerks Daten und schicken sie an eine Cloud-Lösung, die die Daten verarbeitet und Befehle aufsetzt. Edge Computing-Geräte sind bereits in vielen verschiedenen Industriezweigen im Einsatz – Lastwagen sind mit Geräten ausgestattet, die Temperatur und Umgebung überwachen und aufrechterhalten, Automationssysteme in Fabriken beginnen, hochleistungsfähige Geräte einzusetzen, und sogar moderne Aufzüge haben Edge Computing-Lösungen installiert.

Wie sicher sind Zugangskontrollgeräte?

Zugangskontrollgeräte verwalten Ein- und Ausgänge für die Räumlichkeiten eines Unternehmens. Wie bereits erwähnt, suchen viele Unternehmen nach Lösungen für einen kontaktlosen Zutritt, vor allem Edge-Geräte für Gesichtserkennung oder kleine Geräte wie RFID-Karten. Diese Geräte dienen als erste Verteidigungslinie, um Eindringlinge von Büros fernzuhalten, die vielen verschiedenen Arten von Angriffen ausgesetzt sein können.

Doch es gibt verschiedene Möglichkeiten, wie ein Eindringling die Zugangskontrollgeräte mit Gesichtserkennung austricksen oder hacken kann:

Verwendung statischer Bilder. Einige dieser Zugangskontrollgeräte akzeptieren auch statische Aufnahmen, wie etwa ein Bild auf einem Handy. Dies ist eine kritische Schwäche, da persönliche Fotos in sozialen Medien verfügbar sind. Wenn ein Angreifer den Namen eines Mitarbeiters der anvisierten Firma kennt, kann er im Internet möglicherweise klare Fotos von dessen Gesicht finden.

Verwendung von Produktinformationen auf dem Gerät. Auf vielen Geräten sind wichtige Informationen direkt aufgedruckt, zum Beispiel Seriennummern oder Herstellerbezeichnungen. Hacker können diese Informationen nutzen, um sich weiteren Zugang zu den Geräten zu verschaffen, unter Umständen um das Passwort zu stehlen und die Türsteuerung zu manipulieren.

Nutzung exponierter Anschlüsse. Bei Zugangskontrollgeräten handelt es sich häufig um Tablets, die über Anschlüsse für die Übertragung von Informationen oder Strom verfügen. Viele haben solide Gehäuse, die die Geräte vor Eingriffen schützen, aber es gibt einige wenige, bei denen die Anschlüsse ungeschützt sind. Wenn ein USB-Port exponiert bleibt, könnten sich Hacker Zugang zu den Türkontrollen verschaffen. Sie wären auch in der Lage, tiefer in das Gerät einzudringen und Daten wie Bilder und Benutzernamen herunterzuladen oder einen neuen Benutzer zum Gerät hinzuzufügen und ihm Zugang zum Firmengelände zu gewähren.

Kommunikation belauschen. Die meisten Zugangskontrollgeräte werden über einen Server und kundenspezifische Software des Herstellers verbunden und verwaltet. Die Kommunikation zwischen Gerät und Server kann leicht abgefangen und manipuliert werden, wenn sie nicht verschlüsselt oder gesichert ist, so dass ein Bedrohungsakteur Daten wie Bilder und Informationen des Benutzers sammeln kann. Ausserdem kann sich ein Hacker als der Server ausgeben und Aktualisierungen auf den Geräten erzwingen und neue Benutzer hinzufügen oder neue Administratoren für das Gerät installieren.

Gerätesicherheit

Im Vergleich zu gewöhnlichen smarten Geräten sind Edge Computing-Geräte leistungsfähiger und können sogar wertvolle Daten enthalten. Vor allem Zugangskontrollgeräte spielen eine wichtige Rolle für die Unternehmenssicherheit, und ein erfolgreicher Angriff kann schwerwiegende Folgen haben. Um Unternehmen bei der Eindämmung solcher Angriffe zu unterstützen, hat Trend Micro einige Empfehlungen zur Sicherung dieser Geräte:

  • Prüfen, ob Anschlüsse exponiert sind, und darauf achten, dass die Kommunikation sicher abläuft. Die Cybersicherheit muss bei der Wahl eines Zugangskontrollgeräts im Vordergrund stehen.
  • Da viele dieser Geräte mit weit verbreiteter Hard- und Software ausgestattet sind, sollte ein Unternehmen die Schwachstellen, die ihre Geräte betreffen, immer im Griff haben und die neuesten Sicherheitsupdates installieren, sobald diese verfügbar sind.
  • Zugangskontrollgeräte werden normalerweise in öffentlichen Bereichen platziert. Es ist wichtig, das Gerät physisch zu sichern, um sicherzustellen, dass niemand auf Anschlüsse zugreifen oder sensible Informationen sehen kann, die auf dem Gerät aufgedruckt sind.
  • Unternehmen sollten auch Endpoint-Schutz auf Geräten installieren, um sie vor Schwachstellen und Cyberattacken zu schützen. Produkte mit Funktionen für Deep Packet Inspection wie Trend Micro Deep Discovery Inspector™ können verhindern, dass ein Angreifer versucht, sich als das Edge-Gerät oder Server auszugeben. Diese Netzwerk-Monitoring-Systeme können auch nicht autorisierten Netzwerkverkehr von unbekannten Netzwerkendpunkten erkennen und verhindern.

Smart doch angreifbar: Schwachstellen bei IoT-Geräten

Die Vielfalt der Funktionen von smarten Geräten bietet grossen Nutzen für Umgebungen zu Hause, in Unternehmen und im öffentlichen Bereich, doch gleichzeitig sind auch die Sicherheitsrisiken hoch, die sich durch Schwachstellen und Lücken darin ergeben. Angreifbare smarte Geräte setzen die Netzwerke Angriffen aus. IoT-Geräte sind vor allem deshalb gefährdet, weil ihnen die notwendige eingebaute Sicherheit fehlt, um Bedrohungen abzuwehren. Abgesehen von technischen Aspekten tragen aber auch die Nutzer zur Anfälligkeit der Geräte für Bedrohungen bei.

Einige der Gründe, warum diese smarten Geräte angreifbar sind:

  • Begrenzte rechnerische Fähigkeiten und Hardware-Beschränkungen: Die Geräte verfügen über spezifische Funktionen, die nur begrenzte Rechenfähigkeiten erfordern, so dass wenig Raum für robuste Sicherheitsmechanismen und Schutz der Daten bleibt.
  • Heterogene Übertragungstechnologie: Geräte verwenden häufig viele unterschiedliche Übertragungstechniken. Dadurch ist es schwierig, Standard-Schutzmethoden und -Protokolle festzulegen.
  • Angreifbare Komponenten der Geräte: Anfällige Basiskomponenten haben Auswirkungen auf Millionen eingesetzter smarter Geräte.
  • Nutzer mit mangelndem Sicherheitsbewusstsein: Infolge eines mangelhaften Sicherheitsdenken bei den Nutzern können vernetzte Geräte Schwachstellen und Lücken für Angreifer ausgesetzt werden.

Schwachstellen in Geräten ermöglichen es Cyberkriminellen, sie als Ausgangsbasis für ihre Angriffe zu nutzen. Dies hebt nochmals hervor, wie wichtig es ist, Sicherheit bereits in der Entwurfsphase mit einzubinden.

Auswirkungen der Sicherheitslücken auf Nutzer

Die Untersuchung von grösseren Angriffen auf IoT-Geräte zeigt, wie diese sich auf Nutzer auswirken können. Bedrohungsakteure können angreifbare Geräte für laterale Bewegungen nutzen, um so ihre Wunschziele zu erreichen. Auch lassen sich Sicherheitslücken dazu nutzen, um Geräte selbst ins Visier zu nehmen und sie für grössere Kampagnen zu missbrauchen oder um Malware ins Netzwerk zu bringen.

IoT Botnets zeigen die Auswirkungen von Geräte-Schwachstellen und wie Cyberkriminelle diese ausnutzen. 2016 geriet Mirai, eine der bekanntesten Arten von IoT-Botnet-Malware, in die Schlagzeilen, als das Botnet, bestehend aus Tausenden von kompromittierten IoT-Haushaltsgeräten, in einer Distributed Denial of Service (DDoS)-Kampagne namhafte Websites lahmlegte. Aus geschäftlicher Sicht lassen IoT-Geräte die Unterscheidung zwischen der notwendigen Sicherheit in Unternehmen und Privathaushalten weiter schwinden, insbesondere in Home Office-Szenarien. Die Einbindung von IoT-Geräten im Haushalt kann auch neue Einstiegspunkte in Umgebungen mit möglicherweise schwacher Sicherheit eröffnen und Mitarbeiter Malware und Angriffen aussetzen, über die Angreifer ins Unternehmensnetzwerk gelangen können. Dies ist ein wichtiger Aspekt bei der Entscheidung für die Implementierung von Bring Your Own Device (BYOD)– und Home Office-Szenarien.

Angreifer können IoT-Geräte mit bekannten Schwächen ebenso für das Eindringen in interne Netzwerke nutzen. Die Bedrohungen reichen von DNS Rebinding-Attacken, um aus internen Netzwerken Informationen zu sammeln und zu exfiltrieren, bis zu neuen Angriffen über Seitenkanäle wie Infrarotlaser für Attacken auf vernetzte Geräte.

Beispiele für Sicherheitslücken in IoT-Geräten

Es hat bereits viele Fälle gegeben, die die Auswirkungen von IoT-Schwachstellen vor Augen führen, einige davon in der Praxis andere im Rahmen eines Forschungsprojekts. Die Nonprofit-Organisation Open Web Application Security Project (OWASP) veröffentlicht jedes Jahr eine Liste der Top IoT-Schwachstellen. Zu den am weitesten verbreiteten Lücken gehören die folgenden:

  • Schwache, leicht zu erratende oder fest codierte Passwörter: Typischerweise nutzen dies neue Malware-Varianten aus. Beispielsweise fanden die Sicherheitsforscher von Trend Micro eine Mirai-Variante namens Mukashi, die CVE-2020-9054 missbrauchte und Brute Force-Angriffe mit Standard-Anmeldedaten, um sich in Zyxel NAS-Produkte einzuwählen.
  • Unsichere Ökosystem-Schnittstellen: Die Erforschung von komplexen IoT-Umgebungen zeigte exponierte Automatisierungsplattformen, die die Funktionen mehrerer Geräte verketten. Der exponierte Automatisierungsserver enthielt wichtige Informationen wie Geostandort des Haushalts und fest codierte Passwörter.
  • Unsichere Netzwerkdienste: Ein Forschungsprojekt von Trend Micro aus dem Jahr 2017 widmete sich der Sicherheit von Sonos smarten Lautsprechern. Die Studie zeigte, wie einfach offene Ports das Gerät für jedermann im Internet zugänglich machen.

Nutzer sollten diese allgemein vorhandenen Schwachstellen ernst nehmen und die nötigen Vorsichtsmassnahmen gegen Exploits treffen. Weitere Einzelheiten zu IoT-bezogenen Angriffen sowie Sicherheitsempfehlungen umfasst die IoT-Ressource-Seite von Trend Micro.

Verantwortlichkeiten bei Sicherheit von IoT-Geräten

Das Potential unvorhersehbarer kaskadenartiger Auswirkungen von Schwachstellen und mangelnder Sicherheit im IoT beeinflusst in hohem Masse die allgemeine Sicherheit des Internets. Die Gewährleistung der Sicherheit dieser Geräte liegt in der gemeinsamen Verantwortung aller Beteiligten.

Die Hersteller müssen bekannte Schwachstellen in Nachfolgeprodukten beheben, Patches für bestehende Produkte bereitstellen und das Ende des Supports für ältere Produkte melden. Hersteller von IoT-Geräten müssen zudem die Sicherheit bereits in der Entwurfsphase berücksichtigen und dann Penetrationstests durchführen, um sicherzustellen, dass es keine unvorhergesehenen Lücken in einem System und Gerät in der Produktion gibt. Und Unternehmen sollten auch über ein System verfügen, über das sie Schwachstellen-Reports von Dritten zu ihren eingesetzten Produkten empfangen können.

Die Benutzer müssen mehr Wissen über die Sicherheitsrisiken beim Anschluss dieser Geräte und über ihre Aufgabe bei der Sicherung dieser Geräte erlangen. Die Risiken lassen sich unter anderem durch die Änderung der Standardpasswörter, die Aktualisierung der Firmware und die Wahl sicherer Einstellungen mindern.

Eine vollständige und mehrschichtige Verteidigung erhalten Anwender mit Hilfe von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Sicherheitsfunktionen gegen Bedrohungen IoT-Geräte bieten, denn sie können Malware auf den Endpunkten erkennen. Vernetzte Geräte lassen sich über Lösungen schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internet-Verkehr zwischen Router und allen vernetzten Geräten überprüfen können. Die Netzwerk-Appliance Trend Micro™ Deep Discovery™ Inspector bietet Monitoring aller Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen und kann somit Unternehmen vor gezielten Angriffen schützen.

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Ungesicherte Redis-Instanzen werden für Remote Code Execution missbraucht

Originalartikel von David Fiser und Jaromir Horejsi, Threat Researcher

Die Sicherheitsforscher von Trend Micro hatten kürzlich mehr als 8.000 ungesicherte Redis-Instanzen (weit verbreiteter Open-Source In-Memory-Schlüsselwert-Datenstrukturspeicher) entdeckt, die in verschiedenen Teilen der Welt betrieben werden, sogar welche in öffentlichen Clouds. Cyberkriminelle können diese Instanzen für Remote Code Execution (RCE) missbrauchen. Die bösartigen Dateien wandeln sie in Kryptowährungs-Mining Bots um und können auch weitere angreifbare Instanzen über ihre „wurmartigen“ Verbreitungsfunktionen infizieren.

Redis war den Entwicklern zufolge ursprünglich allein auf den Einsatz in vertrauenswürdigen Umgebungen ausgerichtet und beinhaltet seit der Version 4.0 eine Protected Mode-Konfiguration. Der Speicher soll gerade auf die neue Version Redis 6.0 upgedatet werden. Diese bringt neue Sicherheitsfähigkeiten mit, wie etwa Access-Control Lists (ACLs).

Momentan jedoch sind Redis-Instanzen ohne TLS-Verschlüsselung (Transport Layer Security) oder Passwortschutz anfällig für Angriffe, wobei Cyberkriminellen über 200 Befehle zur Verfügung stehen, sobald sie in die Umgebung eindringen. Gegenwärtig ist bei Redis die Authentifizierung nicht standardmäßig eingestellt. Und selbst wenn ein Passwort gesetzt ist, ist es wichtig, sich vor Augen zu halten, dass das Passwort stark genug sein sollte, um gegen Brute-Force-Angriffe resistent zu sein.

Die Sicherheitsforscher setzten mögliche Szenarien in einem Honeypot ein, um Angreifer anzulocken und überwachen zu können. Dabei geht es um den Missbrauch des config-Befehls oder der slaveof-Fähigkeit. Die Forscher konnten auch einige bemerkenswerte Malware-Samples sammeln, die in exponierten Redis-Instanzen über eine der oben genannten Methoden verbreitet wurden: einen plattformübergreifenden Shell-basierten Wurm, der Kryptowährungs-Miner installiert, oder Kinsing-Malware, die sowohl Scanning- als auch Backdoor-Fähigkeiten besitzt. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Insbesondere im Umfeld der DevOps, sollten angemessene Sicherheitsmaßnahmen vorhanden sein. Dass exponierte Redis-Instanzen für Kryptowährungs-Mining eingesetzt werden können, ist möglicherweise nicht die einzige Art des Missbrauchs, da die Fähigkeit, Code auszuführen, sozusagen der „heilige Gral“ eines Angreifers ist.

Entwickler können die Umgebung über folgende Best Practices besser schützen:

  • Beim Betrieb von Software auf dem Server ist sicherzustellen, dass sie nicht unter root läuft. Auch beim Einsatz von Containern müssen Nutzer Best Practices befolgen und das Prinzip der Mindestprivilegien anwenden.
  • Die Software immer auf aktuellem Stand halten und starke Passwörter wählen. Keine Verbindung zum Internet ohne geeignete Sicherheitsmaßnahmen.
  • Die Überprüfung von Redis Logs zeigt gerade stattfindende Angriffe.

Cloud-Sicherheitslösungen von Trend Micro

Die Trend Micro Hybrid Cloud Security bietet in einer Lösung die Breite, Tiefe und Innovation, die für den Schutz der Cloud erforderlich sind und zusätzlich die benötigte Übersicht über führende Umgebungen wie Amazon Web ServicesMicrosoft AzureGoogle Cloud und Docker. Zu der Funktionalität zählen automatisierte Installation und Inbetriebnahme, breite API-Integration sowie Sicherheitstechnologie für betriebliche Effizienz und Compliance-Anforderungen.

Die Trend Micro Cloud One SaaS-Plattform Sicherheit für die Cloud-Infrastruktur in Echtzeit – mit optimalem Schutz und Unterstützung der Compliance für Workloads, Anwendungen, Container, serverlose Dateispeichersysteme und Netzwerke sowie die Übersicht über die hybriden Cloud-Umgebungen im Unternehmen. Deep Security und Deep Security Smart Check unterstützen Unternehmen durch das Scannen von Container-Images vor und während der Laufzeit.

Cloud One schließt auch Cloud One – Conformity mit ein. Die Lösung liefert automatische Kontrollmechanismen für AWS ElasticCache (einer In-Memory Datenspeicher-Technologie für Redis). Sie stellt sicher, dass Redis nicht über den Default Port läuft und bietet auch Datenverschlüsselugn in Transit und At-Rest.

Trend Micro™ Deep Security™ und Vulnerability Protection schützt Anwender über folgende Regeln:

  • 1010231 – Redis Cron Remote Code Execution Vulnerability
  • 1009967 – Redis Unauthenticated Code Execution Vulnerability