Archiv der Kategorie: Updates & Patches

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Ungesicherte Redis-Instanzen werden für Remote Code Execution missbraucht

Originalartikel von David Fiser und Jaromir Horejsi, Threat Researcher

Die Sicherheitsforscher von Trend Micro hatten kürzlich mehr als 8.000 ungesicherte Redis-Instanzen (weit verbreiteter Open-Source In-Memory-Schlüsselwert-Datenstrukturspeicher) entdeckt, die in verschiedenen Teilen der Welt betrieben werden, sogar welche in öffentlichen Clouds. Cyberkriminelle können diese Instanzen für Remote Code Execution (RCE) missbrauchen. Die bösartigen Dateien wandeln sie in Kryptowährungs-Mining Bots um und können auch weitere angreifbare Instanzen über ihre „wurmartigen“ Verbreitungsfunktionen infizieren.

Redis war den Entwicklern zufolge ursprünglich allein auf den Einsatz in vertrauenswürdigen Umgebungen ausgerichtet und beinhaltet seit der Version 4.0 eine Protected Mode-Konfiguration. Der Speicher soll gerade auf die neue Version Redis 6.0 upgedatet werden. Diese bringt neue Sicherheitsfähigkeiten mit, wie etwa Access-Control Lists (ACLs).

Momentan jedoch sind Redis-Instanzen ohne TLS-Verschlüsselung (Transport Layer Security) oder Passwortschutz anfällig für Angriffe, wobei Cyberkriminellen über 200 Befehle zur Verfügung stehen, sobald sie in die Umgebung eindringen. Gegenwärtig ist bei Redis die Authentifizierung nicht standardmäßig eingestellt. Und selbst wenn ein Passwort gesetzt ist, ist es wichtig, sich vor Augen zu halten, dass das Passwort stark genug sein sollte, um gegen Brute-Force-Angriffe resistent zu sein.

Die Sicherheitsforscher setzten mögliche Szenarien in einem Honeypot ein, um Angreifer anzulocken und überwachen zu können. Dabei geht es um den Missbrauch des config-Befehls oder der slaveof-Fähigkeit. Die Forscher konnten auch einige bemerkenswerte Malware-Samples sammeln, die in exponierten Redis-Instanzen über eine der oben genannten Methoden verbreitet wurden: einen plattformübergreifenden Shell-basierten Wurm, der Kryptowährungs-Miner installiert, oder Kinsing-Malware, die sowohl Scanning- als auch Backdoor-Fähigkeiten besitzt. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Insbesondere im Umfeld der DevOps, sollten angemessene Sicherheitsmaßnahmen vorhanden sein. Dass exponierte Redis-Instanzen für Kryptowährungs-Mining eingesetzt werden können, ist möglicherweise nicht die einzige Art des Missbrauchs, da die Fähigkeit, Code auszuführen, sozusagen der „heilige Gral“ eines Angreifers ist.

Entwickler können die Umgebung über folgende Best Practices besser schützen:

  • Beim Betrieb von Software auf dem Server ist sicherzustellen, dass sie nicht unter root läuft. Auch beim Einsatz von Containern müssen Nutzer Best Practices befolgen und das Prinzip der Mindestprivilegien anwenden.
  • Die Software immer auf aktuellem Stand halten und starke Passwörter wählen. Keine Verbindung zum Internet ohne geeignete Sicherheitsmaßnahmen.
  • Die Überprüfung von Redis Logs zeigt gerade stattfindende Angriffe.

Cloud-Sicherheitslösungen von Trend Micro

Die Trend Micro Hybrid Cloud Security bietet in einer Lösung die Breite, Tiefe und Innovation, die für den Schutz der Cloud erforderlich sind und zusätzlich die benötigte Übersicht über führende Umgebungen wie Amazon Web ServicesMicrosoft AzureGoogle Cloud und Docker. Zu der Funktionalität zählen automatisierte Installation und Inbetriebnahme, breite API-Integration sowie Sicherheitstechnologie für betriebliche Effizienz und Compliance-Anforderungen.

Die Trend Micro Cloud One SaaS-Plattform Sicherheit für die Cloud-Infrastruktur in Echtzeit – mit optimalem Schutz und Unterstützung der Compliance für Workloads, Anwendungen, Container, serverlose Dateispeichersysteme und Netzwerke sowie die Übersicht über die hybriden Cloud-Umgebungen im Unternehmen. Deep Security und Deep Security Smart Check unterstützen Unternehmen durch das Scannen von Container-Images vor und während der Laufzeit.

Cloud One schließt auch Cloud One – Conformity mit ein. Die Lösung liefert automatische Kontrollmechanismen für AWS ElasticCache (einer In-Memory Datenspeicher-Technologie für Redis). Sie stellt sicher, dass Redis nicht über den Default Port läuft und bietet auch Datenverschlüsselugn in Transit und At-Rest.

Trend Micro™ Deep Security™ und Vulnerability Protection schützt Anwender über folgende Regeln:

  • 1010231 – Redis Cron Remote Code Execution Vulnerability
  • 1009967 – Redis Unauthenticated Code Execution Vulnerability

Umfassend geschützt im Home Office

von Martin Rösler, Trend Micro Research

Um ihre Mitarbeiter vor einer möglichen Ansteckung mit dem neuartigen Coronavirus zu schützen, ermöglichen immer mehr Unternehmen das Arbeiten von zu Hause aus – oder ordnen dies sogar an. Als Folge meldet sich eine Vielzahl von Mitarbeitern nun remote an Unternehmensnetzwerken und Cloud-basierten Anwendungen an, und damit vergrößert sich gerade für Unternehmen, die eine solche Regelung erstmalig einführen, auch die Angriffsoberfläche für Cyber-Attacken. Trend Micro warnte bereits in seinen Sicherheitsvorhersagen für das Jahr 2019 vor der wachsenden Gefahr durch Home-Office-Modelle. Damit der Schutz vor biologischen Gefahren nicht durch erhöhte Anfälligkeit für digitale Bedrohungen erkauft wird, sollten Unternehmen eine Reihe von Vorsichtsmaßnahmen ergreifen.

Checkliste für Unternehmen

  • Aufsetzen einer Zweifaktor-Authentifizierung: Viele Websites und Services implementieren Zweifaktor-Authentifizierung (2FA). Unternehmen müssen sicherstellen, dass sich die Sicherheit von Logins nicht allein auf Passwörter beschränkt, sondern beispielsweise auch mobilen Authentifizierungs-Apps oder Biometrie genutzt werden.
  • Vorkonfigurierte Home-Office-Szenarien: Organisationen müssen ihre Sicherheitsstrategie überprüfen und klare Richtlinien für das Arbeiten von zu Hause aufsetzen. Es sollte Intrusion Prevention und ein Schutz vor Datendiebstahl vorhanden sein, am besten über IT-bewilligte Laptops.
  • Regelmäßiges Backup der Daten: Das Backup sollte der 3-2-1-Regel folgen: d.h. mindestens drei Kopien der Daten in zwei unterschiedlichen Speicherformaten, wobei mindestens eine Kopie Off-Site liegen muss (etwa auf externen SSD- oder HD-Laufwerken).
  • Ausreichend VPN-Lizenzen bereitstellen: Die Zunahme mobiler Mitarbeiter erfordert auch mehr Lizenzen für VPNs sowie ausreichend Netzwerk-Bandbreite für den Zugang.
  • Nutzung von VPNs limitieren: Arbeitgeber müssen den Zugang zu VPNs regeln und periodische Neuanmeldung erforderlich machen, etwa alle 12 Stunden oder jeden Tag.

Sicherheitsteams können sich bezüglich Unternehmensrichtlinien auch über den Guide des SANS Institutes informieren.

Checkliste für Mitarbeiter

Nicht nur das Unternehmen allein trägt die Verantwortung für das sichere Arbeiten von zu Hause. Auch die Mitarbeiter müssen einige Regeln beachten:

  • Nutzen eines Unternehmens-Laptops, wenn möglich: Den eigenen persönlichen Laptop für das Home Office zu nutzen, kann gefährlich sein, weil dieser unter Umständen weniger Sicherheitsmechanismen umfasst als die Firmen-Hardware. Den Unternehmens-Laptop sollte wiederum ausschließlich der Mitarbeiter nutzen, kein anderes Familienmitglied darf darauf zugreifen können. Muss ein Mitarbeiter dennoch den eigenen, persönlichen Computer für sein Home Office einsetzen, ist das Installieren einer vom Arbeitgeber gelieferten Sicherheitslösung unabdingbar. Auch alle vom Unternehmen geforderten Schutzmaßnahmen müssen getroffen werden.
  • Verwenden von VPNs, die das Unternehmen zur Verfügung stellt: Das bedeutet im Umkehrschluss das Vermeiden von kostenlosen, öffentlichen WLANs. Mobile Mitarbeiter sollten die dedizierten Unternehmens-VPN-Server für Netzwerkverbindungen von zu Hause nutzen — doch lediglich vom Arbeits-Laptop aus. Dennoch, Vorsicht vor Phishing-Angriffen, die VPN-bezogene Kontozugangsdaten stehlen wollen.
  • Netzwerke aufteilen: „Home Worker“ müssen ein Gast-Netzwerk nutzen, um den Unternehmens-Laptop oder -Desktop zu isolieren. Ist ein Router oder Switch mit Virtual Local Area Network (VLAN)-Funktionalität vorhanden, sollte dieses aktiviert werden und ein VLAN lediglich für die Office-Arbeit zugeteilt sein.
  • Backup-Lösung auch zu Hause einsetzen: Backup-Optionen mit Hardware wie USB-Laufwerke sind sehr nützlich, wenn etwas schiefläuft (Verbindungsverlust oder Server-Absturz). macOS-Nutzer können Time Machine für Backups aktivieren.
  • Vorsicht vor Online-Betrug: Kriminelle nutzen die aktuelle Situation und die Angst vor COVID-19 weidlich für ihre betrügerischen Aktivitäten Die Angriffe kommen über Email, bösartige Domänen, gefälschte Apps oder soziale Medien. Nutzer sollten auf verräterische Anzeichen von Phishing-Betrug achten: unbekannter Absender, eklatante Grammatikfehler, nicht übereinstimmende URLs und seltsam anmutende Geschichten. Keine identifizierbaren Informationen wie persönliche Daten und Bankkontoinformationen angeben! Stattdessen sollte das Unternehmen sofort benachrichtigt werden, wenn jemand solche Versuche feststellt.

Basissicherheit für das Netzwerk zu Hause

  • Sichern des Gateways: Der Router ist das Gateway zu allen mit dem Internet verbundenen Geräten im Home-Netzwerk. Angreifer sind dafür bekannt, dass sie Heimrouter mit Standard-Anmeldeinformationen kompromittieren. Wichtig! das Passwort für den Router regelmäßig ändern, da es möglicherweise vorher mit anderen Benutzern geteilt wurde. Empfohlen werden Passwörter, die nicht anfällig für „Wörterbuch“-Angriffe sind, d.h. solche mit mehr als 12 Zeichen und einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Ebenso ist es wichtig, die Firmware des Routers immer auf die neueste Version zu aktualisieren. Router, die von Internetdienstanbietern (ISPs) kommen, verfügen in der Regel über automatische Aktualisierungen, doch zusätzliche Sorgfalt lässt sich über die Web-Konsole des Routers üben, die über seine IP-Adresse zugänglich ist.
  • Nutzerkonten auf dem Router auf zwei reduzieren: Ein Superuser-Konto sollte lediglich für Setup und Konfiguration (lokales Konto statt remote) dienen, und ein persönliches Konto erlaubt die Verwaltung des Routers (lokales Konto statt remote). Technisch Versierte könnten auch einen Port Scan auf der IP-Adresse des Routers durchführen, oder falls dies nicht möglich ist, die eigene IP-Adresse auf Shodan überprüfen. Viele Router erlauben auch das automatische Hinzufügen neuer Geräte, allerdings sollte diese Funktion deaktiviert und unbekannte angeschlossene Geräte aus der Router-Konfiguration entfernt werden. Als Zusatzsicherheit lässt sich auch eine Backup-Internetverbindung über einen Router in Betracht ziehen, der LTE unterstützt, für den Fall, dass die normale ISP-Leitung ausfällt. Die Tethering- oder persönliche Hotspot-Funktion des Smartphones kann ebenfalls als Verbindungssicherung dienen.
  • Fortgeschrittene Nutzer können mit einem Proxy arbeiten: Gibt es im Home Office einen Raspberry Pi- oder einen alten Linux-Rechner, so ließe sich dieser als PI-„Enklave“ nutzen, um die Geräte vor Adware oder sonstigen unerwünschten Inhalten zu schützen. Alternativ ließen sich Network-Attached Storage (NAS)-Systeme konfigurieren, um solche Inhalte fernzuhalten.
  • Software immer auf aktuellem Stand halten: Jegliche Software im Betrieb muss durch regelmäßige Updates und Patches auf dem aktuellen Stand gehalten werden, um die Gefahr einer Malware-Infizierung möglichst gering zu halten.

Weitere Empfehlungen für die Sicherheit bei virtuellen Meetings gibt Udo Schneider, Security Evangelist in „Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer“.

2019 blockiert Trend Micro 52 Milliarden Bedrohungen: Hacker erweitern ihr Repertoire

von Trend Micro

Abwechslung ist in den meisten Lebensbereichen willkommen, doch nicht in der Bedrohungslandschaft. Leider müssen sich Sicherheitsexperten heutzutage aber genau damit auseinandersetzen. Der Jahresbericht 2019 von Trend Micro zeigt, dass Hackern mittlerweile eine beispiellose Vielfalt an Tools, Techniken und Verfahren zur Verfügung steht. Bei 52 Milliarden einzigartigen Bedrohungen, die allein von den Trend Micro-Filtern erkannt wurden, könnte dies zu einer übermächtigen Herausforderung für viele IT-Sicherheitsabteilungen werden. Als Reaktion darauf überprüfen zu Recht viele CISOs ihren Ansatz für die Bedrohungsabwehr. Bei vielen von ihnen setzt sich die Erkenntnis durch, dass es sinnvoller ist, sich auf einen Anbieter zu konzentrieren, der den gesamten Schutz liefern kann, statt durch Investitionen in Best-of-Breed-Lösungen unter Umständen Sicherheitslücken zu schaffen und Budgetengpässe zu riskieren.

Zustandsaufnahme

Der Bericht liefert ein alarmierendes Bild einer von Volatilität und Chaos geprägten Bedrohungslandschaft. Finanziell motivierte Cyberkriminelle kooperieren und konkurrieren miteinander, um aus Attacken Profit zu schlagen. Leider gibt es eine Menge Betroffener, denn aufgrund gestiegener Investitionen in Cloud- und digitale Plattformen hat sich die Angriffsfläche im Unternehmen erheblich vergrößert.

Der Bericht hebt vor allem drei Trends hervor:

Ransomware ist auf dem Vormarsch: Obzwar die Anzahl der neuen Familien zurückgegangen ist,  ist die Zahl der entdeckten Ransomware-Komponenten im Laufe der Jahres um 10% auf 61 Millionen gestiegen. Im letzten Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Eine aktuelle Umfrage des TÜV-Verbands zeigte, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Dabei spielte der Bankentrojaner Emotet häufig eine unrühmliche Rolle.

Phishing entwickelt sich weiterWie immer entfielen die meisten Bedrohungen (91%), die Trend Micro im vergangenen Jahr blockierte, auf Email-Angriffe, und ab 2018 stieg das Volumen um 15%. Das bedeutet, dass Phishing nach wie vor der Hauptvektor bei Angriffen auf Unternehmen ist. Obwohl insgesamt ein Rückgang der Gesamtzahl der Versuche, Phishing-Websites zu besuchen, zu verzeichnen war, gab es einige Spitzenwerte. Betrüger scheinen Office 365 im Visier zu haben und versuchen, Sicherheitsfilter zu umgehen. Die Zahl der eindeutigen Phishing-URLs, die die Microsoft-Cloud-Plattform fälschten, ist im Vergleich zum Vorjahr um 100% gestiegen. Die BEC-Angriffe, die nach Angaben des FBI im vergangenen Jahr höhere Kosten als jede andere Art von Cyberkriminalität verursachten, nahmen um 5% zu.

Die Supply Chain ist in Gefahr: Die digitale Supply Chain hat sich in den letzten Jahren rapide erweitert und setzt damit mehr Unternehmen einem Risiko aus. Besonders deutlich wurde dies im Bereich des elektronischen Handels im vergangenen Jahr, als es der Magecart Hacking-Gruppe gelang, schätzungsweise zwei Millionen Websites zu kompromittieren. Viele dieser Attacken konzentrierten sich auf Partner der Supply Chain. Auch beobachteten die Sicherheitsforscher einen Anstieg bei Angriffen, die sich auf die Kompromittierung von DevOps-Tools und -Deployments konzentrieren, wie z.B. fehlkonfigurierte Versionen der Docker Engine und ungesicherte Docker-Hosts.

Fazit

Dies ist aber nur die Spitze des Eisbergs. Die Forscher von Trend Micro stellten auch einen Anstieg bei mobiler Malware (6%), IoT-Anmeldungen über Brute-Force (189%) und vieles mehr fest. Um angesichts einer so breit gefächerten Palette von Bedrohungen die Kontrolle zu behalten, sollten CISOs den Ansatz der „Connected Threat Defense“ in Erwägung ziehen. Diese Strategie konsolidiert den Schutz über Gateways, Netzwerke, Server und Endpunkte hinweg auf einen einzigen Anbieter, der die Verteidigung auf jeder Ebene mit einem Fundament aus intelligentem Bedrohungswissen optimiert.

Die folgende Checkliste ist eine Überlegung wert:

  • Netzwerksegmentierung, regelmäßige Backups und kontinuierliche Netzwerküberwachung zur Bekämpfung von Ransomware,
  • Verbesserte Programme für das Sicherheitsverständnis, hilft Nutzern BEC- und Phishing-Versuche besser zu erkennen,
  • Monitoring von Schwachstellen und falschen Konfigurationen der Systeme der Supply Chain-Partner als Schutz vor Magecart-Angriffen,
  • Scannen von Container Images auf Malware und Sicherheitslücken während Build und Laufzeit,
  • Systeme und Software immer auf aktuellem Stand halten sowie
  • Richtlinien für Zweifaktor-Authentifizierung und dem Prinzip der geringsten Privilegien verhindern den Missbrauch von Tools, die über Admin-Logins zugänglich sind, etwa RDP und Entwickler-Tools.

Der gesamte 2019-Sicherheitsbericht steht online zur Verfügung.

IT-Security 2020 – das Wettrennen geht weiter

Von Richard Werner, Business Consultant bei Trend Micro

Das Jahr 2020 ist kaum zwei Monate alt und schon wieder häufen sich die Nachrichten zu Cybervorfällen. Auf der einen Seite gehen Daten im Internet „verloren“, auf der anderen gibt es die üblichen Cyberattacken, bei denen Unternehmen oder Behörden angegriffen werden – oftmals mit schwerwiegenden Folgen. Dabei kommt oftmals modernste Technologie zum Einsatz. Was wir im Cyberbereich erleben, ist im Grunde die Fortsetzung des jahrhundertealten Wettlaufs von Angriff und Verteidigung, nur mit digitalen Mitteln.

Den Zyklus kennen

Eine der wichtigsten Motivationen für die menschliche Weiterentwicklung war schon immer der Wunsch, einen Gegner zu übertrumpfen. So arbeiten auch in der digitalen Welt im Prinzip zwei gegnerische Parteien daran, sich beständig zu optimieren. Auf Seiten der Verteidigung stehen IT-Sicherheitsabteilungen von Unternehmen, die Security-Branche und diverse staatliche Organe wie beispielsweise das BSI. Diese Seite versucht Angriffe und Angriffsmethoden frühzeitig zu erkennen, zu bewerten und abzuwehren. Dies geschieht durch Forschung, Technologieentwicklung sowie Aufklärung und den Einsatz von Abwehrmaßnahmen.

Auf der anderen Seite stehen verschiedene Angreifer. Es handelt sich zum überwiegenden Teil um Cyberkriminelle, jedoch leider finden sich hier auch staatliche Organisationen, die den jeweiligen Feind zu beeinträchtigen suchen. Die Angreifer arbeiten gezielt daran, Sicherheitstechnologien zu umgehen, Angriffe zu verstecken und Schwachstellen in der Architektur und in den Prozessen ihrer Opfer zu finden.

Die Betrachtung der beiden Seiten im Allgemeinen ergibt, dass es im Schnitt eine Art Gleichgewicht der Mächte gibt. Bei genauerer Analyse treten aber Spitzen zutage, wo der Angriff erfolgreicher ist und Schlagzeilen vom Untergang der IT sprechen. Und andererseits gibt es Zeiten, in denen alles ruhig bleibt und IT-Sicherheit nicht mehr im Fokus steht. Dieser Zyklus scheint etwa alle drei bis vier Jahre durchlaufen zu werden und richtet sich tatsächlich danach, in wie weit es den Verteidigern gelingt, erfolgreiche Techniken zu implementieren und damit die Angriffsmodelle zu torpedieren.

Bild 1: Angriffs- und Verteidigungszyklus in der IT-Security

Da es schwierig ist, die Schritte der Gegenseite vorherzusehen, sollte der Zyklus gewissermaßen zweigeteilt betrachtet werden. Beide Teile haben eines gemeinsam: Die Maßnahmen starten in der Regel klein und werden dann immer umfassender. Ein Beispiel der Security-Seite: Besonders innovative Firmen entwickeln eine neue Technik, mit der Angriffe erkannt und verhindert werden können, einige „Early Adopter“ testen diese Technologie, wobei sich ein mehr oder weniger großer Nutzen herausstellt. Natürlich ist dies das Zeichen für die gesamte Branche, die Funktion nachzubauen und zu verbessern oder anzupassen. Zudem setzt in der Regel ein entsprechender Marketing-Hype ein, sodass Nutzer über die neue Technologie bei den Analysten lesen können und auch viele Hersteller gefragt oder ungefragt über die eigene Technologie erzählen. Dann gibt es noch die Newcomer, die nach eigener Meinung genau diese Technologie als Einzige wirklich beherrschen und damit alles andere überflüssig machen. Der Begriff „Next Generation“ ist in diesem Zusammenhang bereits häufig gebraucht worden.

Der positive Effekt dabei: Security-Fachleute und erste Anwender sprechen viel über die neue Technik, sodass immer mehr Unternehmen sich dafür entscheiden (zusätzlich zu bestehender Technik) und dann auch tatsächlich geschützt sind. Als Folge aber stellen Angreifer vermehrt fest, dass ihre bisherigen Methoden nicht mehr wirken und sogar hoch spezialisierte, ausgeklügelte Angriffe fehlschlagen, weil plötzlich die Verteidiger in der Lage sind, diese zu identifizieren.

Schwenk auf die „dunkle Seite“…

Auch unter den Angreifer gibt es Technologieexperten und in einigen Bereichen ein organisiertes Vorgehen. Diese arbeiten dann mit Hochdruck daran, Methoden zu finden, um neue Verteidigungsmechanismen zu umgehen oder die noch ungeschützten Opfer zu identifizieren. Manchen Angreifern stehen dabei nahezu unbegrenzte finanzielle und personelle Mittel zur Verfügung. Die Bösen erarbeiten zunächst neue Angriffsschemen und testen diese vereinzelt, um Mängel auszumerzen und die Qualität zu verbessern. Anschließend starten die ersten Angriffswellen, und in der Regel finden sich recht schnell Nachahmer, oder die Technik wird sogar verkauft und verbreitet. Neben der Möglichkeit, damit Geld zu verdienen, ist es auch taktisch interessant, wenn viele Angreifer gleichzeitig agieren. Dies kann die Verteidiger überlasten und dafür sorgen, dass hochgradig gezielte Taten sozusagen im Strom untergehen und unerkannt bleiben.

Den Kreislauf durchbrechen oder verzögern

Verteidiger müssen sich über ihre Ziele im Klaren sein: Geht es darum, durch den Einsatz von Schutztechnologie alle Angriffe zu verhindern, so müssen sie immer die „Cutting Edge“ Security-Technologie identifizieren und einsetzen. Das ist äußerst aufwändig und teuer, und es besteht trotzdem noch immer die Möglichkeit, dass die Technologie etwas übersieht.

Die zweite Alternative ist sich bewusst zu machen, dass fast unweigerlich manche Angriffe erfolgreich sein werden. In der Risikobetrachtung jedes Unternehmens sollte dieses Szenario bereits berücksichtigt und Maßnahmen zur Minimierung eines eventuellen Schadens definiert sein. Die Herausforderung besteht darin, dass sowohl die Eintrittswahrscheinlichkeit als auch das Schadenspotenzial eines Cyberangriffs selten neu berechnet wird, da sie im Laufe der Zeit tatsächlich stark schwanken. In Compliance-Anforderungen aber auch durch Versicherungen wird jedoch zunehmend Druck ausgeübt, sich in dieser Hinsicht vorzubereiten — zum einen, weil bei Datenverlust nicht nur die betroffene Firma, sondern auch viele andere Individuen oder Organisationen Schaden erleiden, zum anderen, weil durch die Digitalisierung in Unternehmen die relative Anzahl der Vorfälle stetig zunimmt und auch Versicherungen Fahrlässigkeit nicht belohnen wollen.

Technische Optionen

Bleibt die Frage, wie sich technisch mit der Tatsache umgehen lässt, dass immer mehr Angriffe erfolgreich sind. Die Antwort der Analysten auf diese Frage lautete den letzten zwei Jahren: „Detection & Response“.

Eine logische Abfolge: Versagt der Schutz, wollen Betroffene schnell darüber Bescheid wissen und dann entsprechende Gegenmaßnahmen in die Wege leiten. Doch was einfach klingt, ist in der Realität vieler Unternehmen wesentlich komplexer. Der Einsatz unterschiedlicher Security-Tools und -Teams will koordiniert und abgestimmt sein, die schiere Masse an Einzel-Events interpretiert und bewertet werden. Detection & Response ist deshalb nicht nur eine Ergänzung zu einem bestehenden Konzept, es ist ein neues Konzept, in dem bestehende Strukturen weitergeführt werden können, wenn sie dazu passen.

Lange galt die Devise, je komplexer die Verteidigung eines Unternehmens, desto schwerer haben es die Angreifer. Leider ist mittlerweile das Gegenteil der Fall. Denn hohe Komplexität erschwert es vor allem Verteidigern, Zusammenhänge zu erkennen. Angreifern hingegen reicht ein einzelner Schwachpunkt, der fast immer irgendwo zu finden ist. Für erfolgreiche Detection & Response ist es deshalb wichtig, alle vorhandenen Informationen zu einem Vorfall zu koordinieren, sowohl um zu erkennen, dass es tatsächlich einen Vorfall gegeben hat, als auch zur Durchführung von Gegenmaßnahmen. Je mehr Security-Tools in der Lage sind zusammenzuarbeiten, desto schneller und effektiver kann auf Vorfälle reagiert werden, lassen sich Angriffe eindämmen und zukünftige Attacken verhindern.

Ansatz von Trend Micro

Als Security-Anbieter mit über 30-jähriger Erfahrung ist Trend Micro das Konzept der raschen Reaktion auch auf erfolgreiche Angriffe bekannt. Vor knapp zehn Jahren wurde dazu die „Connected Threat Defense“ (CTD)-Strategie definiert, mit der es gelang, erfolgreiche Angriffe zu erkennen und aufzuhalten. Wie in der IT-Security üblich, entwickelt sich die Technik rasant weiter und so ändern sich auch die Erfordernisse. Die vormals netzwerkzentrierte CTD muss heute vor allem Endpoints genauer überwachen, da vielfach das Kabel als Medium schlicht wegfällt und im Zusammenspiel zwischen Client und Server eine immer geringere Rolle spielt.

In der Industrie ist das Konzept der Detection & Response zum viel zitierten Schlagwort geworden und wegen des aktuell größten Bedrohungspotenzials eng mit dem Begriff Endpoint verknüpft. Trend Micro erwartet, dass auch Angreifer sich darauf einstellen werden und deshalb andere Bereiche eines Unternehmens für ihre Zwecke ausnutzen können. Hierzu zählen beispielsweise ungeschützte und nicht beachtete IoT-Geräte wie Smart TVs oder Drucker sowie bei einigen Unternehmen auch vernetzte Produktionsanlagen. Auch moderne Workloads wie Container und Serverless Computing werden früher oder später mit einzurechnen sein.

Detection & Response wird sich deshalb dahingehend wandeln, dass auch diese Bereiche bzw. solche, die wir heute noch nicht sehen, zu analysieren sind. Dies wird eng mit der Entwicklung der IT in Unternehmen und den zur Verfügung stehenden Werkzeugen zusammenhängen. Betrachten wir deshalb die obige Schleife aus dem Blickwinkel der aktuellen Security-Landschaft unter Berücksichtigung der in Trend Micros Bedrohungsvorhersagen diskutierten Angreiferaktivitäten:

Bild 2: Neue Angriffsvektoren erfordern flächendeckende Verteidigungsmaßnahmen

XDR

Es lässt sich unschwer feststellen, dass 2020 neue Angriffsvektoren eine Rolle spielen werden, die über ein reines EDR-Szenario nicht abzudecken sind. Die Verteidigungswerkzeuge stehen zwar schon zur Verfügung, es wird jedoch noch dauern, bis sie flächendeckend eingesetzt werden. Trend Micro ist hier einen Schritt voraus und will alle Bereiche möglichst umfassend integrieren. Wir verwenden dafür den Begriff XDR, wobei das X für „Cross“, also bereichsübergreifende Detection & Response-Maßnahmen steht, ebenso wie als Platzhalter für Maßnahmen in allen Bereichen, nicht nur am Endpunkt. Darunter fällt beispielsweise auch Email als aktuell häufigster Angriffsvektor.

Managed Security Services

Klar ist auch, dass Unternehmen trotz aller Technik menschliche Expertise benötigen, um Angriffe zu analysieren und die Effizienz der Technik ständig zu verbessern. Dazu bietet Trend Micro die direkte Unterstützung durch seinen Dienst „Managed XDR“ an. Kunden erhalten dadurch Zugriff auf Spezialisten, die in der Lage sind, Vorfälle zu erkennen und zu bewerten. Im Ernstfall beraten diese Experten Kunden über Gegenmaßnahmen.

Nicht zuletzt gilt, was bereits eingangs genannt wurde: Auch wenn durch XDR momentan ein Vorsprung erzeugt werden kann, so wird es vermutlich auch der anderen Seite gelingen, früher oder später dieses Konzept zu umgehen. Durch den Einsatz von Forschungsteams und die Zusammenarbeit mit anderen Verteidigern versucht Trend Micro, diese Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen zu entwickeln. Wir klären darüber in unseren Blogs und Forschungsergebnissen auf, bieten Kunden aber auch die Möglichkeit proaktiv auf die eigenen Bedürfnisse abgestimmte Beratung zu erhalten.

Zwei Mirai-Varianten zielen auf Videoüberwachungs-Speichersysteme

Sicherheitsforscher von Trend Micro haben zwei Varianten der Internet of Things (IoT)-Malware, Mirai, gefunden. Die beiden Varianten, SORA (IoT.Linux.MIRAI.DLEU) und UNSTABLE (IoT.Linux.MIRAI.DLEV) nutzen neue Verbreitungsmethoden und verschaffen sich Zugang über die Schwachstelle CVE-2020-6756 in Rasilient PixelStor5000-Videoüberwachungs-Speichersystemen.

Mirai ist eine Malware, die aktiv nach IoT-Geräten mit Schwachstellen sucht, sie infiziert und in Bots umwandelt. Die Bots wiederum finden dann weitere Geräte, die sie infizieren können. Im Laufe der Jahre gab es bereits einige Varianten, etwa solche, die Router und Smart TVs infizierten. Die Mirai-Botnets lassen sich für Distributed Denial of Service (DDoS)-Angriffe einsetzen, die von vielen Cyberkriminellen als Dienstleistung angeboten werden. Dafür benötigen sie eine Vielzahl von Bots, und deshalb müssen sie ihre Botnets immer weiter vergrößern.

Die gerade entdeckten Varianten nutzen die Schwachstelle (CVE-2020-6756) in Videoüberwachungs-Speichersystemgeräten. Darüber können sie Code aus der Ferne ausführen. Ähnlich wie bei früheren Varianten laden die Angreifer ein Shell Script vom Command-and-Control (C&C)-Server herunter und führen dies aus. Das Shell Script wiederum lädt die Payload, die SORA oder UNSTABLE enthält, herunter und führt sie aus. Technische Einzelheiten zu den entsprechenden Angriffen beinhaltet der Originaleintrag.

Sicherheit für IoT-Geräte

Die Ausnutzung der neuen Schwachstelle verdeutlicht, wie Cyberkriminelle ständig nach unsicheren und angreifbaren IoT-Systemen suchen. Anwender können ihre IoT-Geräte schützen, wenn sie unter anderem folgende Best Practices beachten:

  • Ändern des Standard-Passworts auf Routern und anderen IoT-Geräten,
  • Sicherheitseinstellungen korrekt aufsetzen und nicht genutzte Funktionen des Geräts deaktivieren,
  • Netzwerkverkehr auf zunehmende Verbindungsversuche zu unbekannten Domänen streng überwachen,
  • Patches und Updates ausrollen, um Schwachstellen zu schließen und einen Schutz vor alten und neuen Bedrohungen aufzubauen.

Trend Micro™ Home Network Security unterstützt das Monitoring von Internetverkehr zwischen dem Router und den vernetzten Geräten. Die Lösung bietet über die folgenden Regeln Schutz für einige Schwachstellen, die Mirai ausnutzt:

  • 1134610 – WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561)
  • 1134611 – WEB Dasan GPON Routers Command Injection -1.2 (CVE-2018-10561)
  • 1134891 – WEB Dasan GPON Routers Command Injection -1.3 (CVE-2018-10561)
  • 1134892 – WEB Dasan GPON Routers Command Injection -1.4 (CVE-2018-10561)
  • 1134287 – WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)
  • 1135215 – WEB ThinkPHP Remote Code Execution

Für den Schutz von Endpoints können Nutzer Trend Micro™ Security und Trend Micro™ Internet Security einsetzen. Trend Micro™ Deep Discovery™ Inspector kann Unternehmen vor gezielten Angriffen schützen, denn die Lösung überwachst Ports und Netzwerkprotokollen, um fortgeschrittene Bedrohungen zu erkennen.

LokiBot gibt sich als bekannter Game Launcher aus

Originalbeitrag von Augusto Remillano II, Mohammed Malubay und Arvin Roi Macaraeg, Threat Analysts

Der Trojaner LokiBot, der vertrauliche Daten wie Passwörter und auch Kryptowährungsinformationen stehlen kann, wird von seinen Hintermännern offenbar weiter entwickelt. Bereits in der Vergangenheit gab es eine Kampagne, die eine Remote Code-Execution-Schwachstelle missbrauchte, um LokiBot über den Windows Installer-Service zu verbreiten. Dabei ging es um eine Lokibot-Variante, die ISO Images einsetzt, sowie eine mit verbessertem Persistenz-Mechanismus via Steganographie. Nun entdeckten die Sicherheitsforscher von Trend Micro, dass LokiBot (Trojan.Win32.LOKI) sich als ein beliebter Game Launcher tarnt, um Nutzer zu überlisten, den Schädling auf ihren Maschinen auszuführen. Die Analyse eines Samples dieser Variante zeigte, dass sie eine seltsame Installationsroutine einsetzt, die eine compilierte C#-Codedatei ablegt. Diese ungewöhnliche Variante mit einer „Compile after Delivery“-Technik zur Vermeidung seiner Entdeckung wurde mithilfe der maschinellen Lernfähigkeiten in den Trend Micro-Lösungen proaktiv erkannt und geblockt.

Die Infektion startet mit einer Datei, die vorgibt, der Installer im Epic Games-Store (Entwicklungsfirma von Spielen wie Fortnite) zu sein. Am Ende der Infektionskette wird die LokiBot-Payload ausgeführt. Wie die meisten aktiven Infostealer zeigen die Weiterentwicklungen bei den Installations- und Verschleierungsmechanismen, dass LokiBot seine Aktivitäten nicht so bald einstellen wird. Technische Einzelheiten des Angriffs sowie die Indicators of Compromise umfasst der Originalbeitrag.

Trend Micro-Lösungen

Trend Micro™ Deep Discovery™ bietet Erkennung, tiefgehende Analyse und proaktive Reaktionen auf Angriffe mit Exploits und ähnlichen Bedrohungen. Dafür setzt die Lösung spezielle Engines, nutzerkonfiguriertes Sandboxing und eine nahtlose Korrelation-über den gesamten Lebenszyklus des Angriffs ein. Unterstützt wird sie durch Trend Micro XGen™ Security mit einer generationsübergreifenden Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Outlaw greift mit aktualisiertem Kit ältere Miner und mehr Systeme an

Originalbeitrag von Jindrich Karasek, Threat Researcher

Hört man eine Weile nichts von einer cyberkriminellen Gruppe, so bedeutet das nicht unbedingt Inaktivität. So geschehen bei der Hacker-Gruppe Outlaw, die während der letzten Monate anscheinend in Ruhe ihr Toolkit weiter entwickelt hat. Ende letzten Jahres nun stellten die Sicherheitsforscher von Trend Micro über einen Honeypot einen Anstieg in deren Aktivitäten fest. Die Fähigkeiten der Kits im Vergleich waren im Vergleich zu den letzten Angriffen aktualisiert worden. Dazu gehören erweiterte Scanner-Parameter und Ziele, die Ausführung von Dateien in Schleifen durch Fehlermeldungen, verbesserte Vermeidungstechniken für Scan-Aktivitäten und mehr Mining-Gewinn durch Ausschalten sowohl der Konkurrenz als auch der eigenen vorher genutzten Miner.

Die Forscher analysierten die Kits, deren Design auf Informationsdiebstahl in der Automotive- und Finanzbranche, den Start weiterer Angriffe auf bereits kompromittierten Systemen und den möglichen Verkauf der gestohlenen Informationen zugeschnitten sind. Der Vergleich mit den früheren Angriffen der Gruppe lässt die Forscher annehmen, dass Outlaw plant, in den USA und in Europa Unternehmen ins Visier zu nehmen, die ihre Systeme noch nicht upgedatet haben oder auch solche mit Internet-orientierten Systemen und schwacher bis keiner Überwachung des Verkehrs und der Aktivitäten. Neben alten Zielen sind sie auch auf neue Ziele aus, um ihre Updates in der Praxis zu testen. Die Experten gehen glauben, dass die Gruppe in den nächsten Monaten aktiver vorgehen wird.

Routinen

Die neuen Samples zielen auf Linux- und Unix-basierte Betriebssysteme, angreifbare Server sowie Internet-of-Things (IoT)-Geräte und nutzen für die Angriffe bekannte Schwachstellen mit vorhandenen Exploits. Als Angriffsvektoren setzt die Gruppe auf nicht gepatchte Systeme, die für CVE-2016-8655 und Dirty COW-Exploit (CVE-2016-5195) anfällig sind. Auch Dateien mit einfachen PHP-basierten Web Shells kamen zum Einsatz bei Systemen mit schwachen SSH- und Telnet-Zugangsdaten. Die Forscher fanden in der aktuellen Kampagne zwar keine Phishing- oder Social Engineering-Routinen, doch gab es mehrere „laute“ Angriffe über das Netzwerk. Beteiligt waren groß angelegte Scanning-Aktivitäten über IPs, die vom C&C-Server gestartet wurden. Die technischen Einzelheiten finden Sie im Originalbeitrag.

Fazit

Seit ihrer Entdeckung 2018 verwendet Outlaw immer wieder Skripts, Codes und Befehle, die sie schon zuvor eingesetzt hatten. Diese Routinen sind bezeichnend für das Ziel der Gruppe, über verschiedene cyberkriminelle Profitflüsse hohe Erträge zu erzielen.

Angesicht der vielen erforderlichen Ressourcen, um alle notwendigen Patches im Unternehmen zu installieren (z.B. Qualitätstests und Betriebsausrichtung), und kostspieligen Ausfallzeiten für den Betrieb, zögern viele Organisationen Patches sofort aufzuspielen. So kann Outlaw jedes Mal, wenn ein Patch veröffentlicht wird und auf das Ausrollen wartet, noch mehr Ziele und Opfer für ihre aktualisierten Botnets finden.

Inzwischen verwendet die Gruppe eine breite Palette von IP-Adressen als Input für Scan-Aktivitäten, die nach Ländern gruppiert sind und es ihnen ermöglicht, bestimmte Regionen oder Gebiete innerhalb bestimmter Zeiträume des Jahres anzugreifen. Durch die Ausrichtung des Angriffs kann die Gruppe möglicherweise Nischen im Untergrund schaffen, die den spezifischen Bedürfnissen ihrer Kunden entsprechen. Auch sind sie sich der bestehenden Gesetze in Europa bewusst und können sich in bestimmten Ländern der Strafverfolgung entziehen, solange sie dort nicht angreifen.

Unternehmen sollten ihre Systeme daher regelmäßig aktualisieren und Anwender von Altsystemen die virtuellen Patches ihrer Anbieter nutzen. Auch sind Unternehmen gut beraten, nicht genutzte Ports zu schließen und Internet-orientierte Geräte, die Systemadministratoren unterstützen, entsprechend zu sichern. Schutz bietet auch eine mehrschichtige Sicherheitslösung, die Systeme vom Gateway bis zum Endpunkt schützt und bösartige URLs blockieren kann.

Trend Micro-Lösungen

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Microsoft veröffentlicht Advisory zu Zero-Day-Lücke, einschließlich Workaround

Originalbeitrag von Trend Micro

Vor ein paar Tagen veröffentlichte Microsoft ein Advisory (ADV200001) als Warnung vor CVE-2020-0674. Es geht um eine Remote Code Execution (RCE)-Schwachstelle im Zusammenhang mit dem Internet Explorer (IE). Einen Patch gibt es derzeit noch nicht, wobei Microsoft zugegebenermaßen um die Angriffe über diese Lücke weiß. Der Fehler betrifft alle Windows Desktop- und Serverversionen.

Bei CVE-2020-0674 geht es um die Art, wie die Scripting Engine mit Objekten im Hauptspeicher in IE umgeht. Angreifer können die Schwachstelle ausnutzen, um die Memory zu beschädigen, sodass sie beliebigen Code in der Umgebung des aktuellen Nutzers ausführen können. Dies wiederum kann dazu führen, dass der Cyberkriminelle administrative Rechte erlangt, wenn der Nutzer als Admin angemeldet ist. So kann er potenziell neue Konten einrichten, Daten modifizieren oder gar Anwendungen installieren.

Bei einem Angriff kann ein Bedrohungsakteur eine spezielle Website erstellen, um die Schwachstelle auszunutzen. Benutzer können dann über Social Engineering-Techniken wie z.B. Email mit eingebetteten Links zum Besuch dieser Website verleitet werden.

Empfehlungen für einen Workaround

Microsoft hat einen Workaround veröffentlicht, der den Zugang zu Jscript.dll einschränkt:

Die Anwender von 32-Bit-Systemen sollten als Administrator den folgenden Befehl eingeben:

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Die Anwender von 64-Bit-Systemen wiederum geben den folgenden Befehl ein:

takeown /f %windir%\syswow64\jscript.dll

    cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Microsoft merkt aber auch an, dass der Workaround zu möglicherweise zu einer reduzierten Funktionalität für die Komponenten und Fähigkeiten bezüglich jscript.dll führen kann. Deshalb ist es ratsam, den Workaround wieder rückgängig zu machen, sobald der Patch vorhanden ist und aufgespielt werden soll. Die folgenden Befehle sind dafür nötig:

Für 32-Bit-Systeme

    cacls %windir%\system32\jscript.dll /E /R everyone   

Für 64-32-Bit-Systeme

cacls %windir%\system32\jscript.dll /E /R everyone   

    cacls %windir%\syswow64\jscript.dll /E /R everyone

Empfehlungen

Da CVE-2020-0674 bereits aktiv ausgenutzt wird, empfiehlt es sich, den Patch zur Behebung des Fehlers anzuwenden, sobald er verfügbar ist. Darüber hinaus kann die Umsetzung des Workarounds während des Wartens auf das Update Angreifer daran hindern, auf anfällige Systeme zu zielen. Eine andere Möglichkeit besteht darin, die den IE über Netzwerkverkehrsblockierung oder Gruppenrichtlinien auszuschalten, bis ein Update kommt. Bei dieser Option gilt es zu bedenken, dass einige Anwendungen oder Websites den Internet Explorer integriert haben könnten und dass diese möglicherweise nicht funktionieren, wenn der Internet Explorer blockiert wird.

Angesichts des Einsatzes bösartiger Websites als Teil der Ausbeutungsroutine der Schwachstelle sollten Unternehmen sicherstellen, dass ihre Mitarbeiter über Phishing-Angriffe ausreichend aufgeklärt werden, während einzelne Benutzer zur Vorsicht beim Anklicken von Links, insbesondere von solchen, die in einer verdächtigen Email-Nachricht eingebettet sind, ermahnt werden.

CurveBall: Öffentlicher PoC für kritischen Microsoft-NSA Fehler

Die Sicherheitsforscher Saleem RashidKudelski Security und Ollypwn haben Proof-of-Concept Code veröffentlicht für die Ausnutzug von CurveBall (CVE-2020-0601). Es ist die erste Sicherheitslücke, die die National Security Agency (NSA) gemeldet hatte. Die Lücke ist im ersten Zyklus 2020 der Patch Tuesday-Updates berücksichtigt worden und betrifft die Validierung des CryptoAPIs der Elliptic Curve Cryptography (ECC)-Zertifikate sowie die Public Key Infrastructure (PKI) in Windows. Unternehmen und Nutzern wird das sofortige Patchen ihrer Systeme empfohlen, um den Missbrauch dieser Sicherheitslücke zu verhindern.

Der Machbarkeitsbeweis zeigt, wie sich der Fehler auf eine der kryptografischen Implementierungen der Windows CryptoAPI (Crypt32.dll)-Bibliotheksfunktion auswirken kann. Die Forscher warnen vor den möglicherweise ernsten Folgen, denn jede Software, die sich auf die Windows  CertGetCertificateChain()-Funktion verlässt, um die Gültigkeit eines ECC X.509-Zertifikat zu prüfen, kann fälschlicherweise einer bösartigen Zertifikatskette (einschließlich solcher von Drittanbietern) die Vertrauenswürdigkeit bescheinigen. Zu den betroffenen Microsoft-Versionen gehören Windows 10 und Windows Servers 2016 sowie 2019.

Nutzt ein Angreifer den Fehler aus, kann er die Gültigkeit des ECC für Dateien, Anwendungen, Netzwerkverbindungen, Emails und ausführbaren Dateien fälschen und sie als vertrauenswürdig, von einem legitimen Anbieter abstammend darstellen. Die gefälschte Gültigkeit ermöglicht unter anderem den Zugriff auf die Entschlüsselung von vertraulichen Informationen über Benutzerverbindungen, Man-in-the-Middle-Angriffe und die Ausnutzung aus der Ferne.

Microsoft stellt in dem Security Advisory fest, dass die Ausnutzung des Fehlers wahrscheinlich ist, vor allem, da öffentliche Demo-Codes verfügbar sind. Die NSA erklärt in ihrem Cybersecurity Advisory, dass die verfügbaren Patches lediglich der Minderung der Bedrohung dienen, obwohl einige Forscher bereits festgestellt haben, dass ein Update für Windows Defender veröffentlicht wurde, um aktive Exploit-Versuche zu erkennen und Benutzer zu warnen. Anwendern wird empfohlen, die Patches so schnell wie möglich herunterzuladen.

Trend Micro-Lösungen

Trend Micro-Anwender sind vor der Bedrohung über folgende Regeln geschützt:

Detailliertere Informationen dazu gibt es auf der Business Support-Seite.