05.01.18 // CPU Sicherheitslücke ermöglicht Spectre und Meltdown Angriffe

Vor einigen Wochen machten Gerüchte über eine Sicherheitslücke in gleich mehreren weitverbreiteten Prozessoren verschiedener Hersteller darunter Intel, AMD und ARM die Runde. Das betrifft Prozessoren wie sie auf allen Rechnersystemen vom Virtualisierungshost über gewöhnliche Desktops/Laptops bis hin in mobilen Geräten verbaut sind. Somit sind im Grunde große Rechenzentren genauso von dem Sicherheitsproblem betroffen wie die Smartphone Nutzer nur mit deutlich unterschiedlichen Auswirkungen. Die Hersteller der Prozessoren arbeiten wohl auch schon seit einiger Zeit an der Lösung des Problems.

Um allen Spekulationen entgegenzuwirken haben sich vor allem Intel und Google noch vor der ursprünglich geplanten Bekanntgabe des Problems kommende Woche also bereits diese Woche öffentlich geäußert. Die möglichen Angriffe auf die endeckten Schwachstellen in den CPUs wurden als „Spectre“ und „Meltdown“ getauft. Diese zielen auf die im Prozessor bereitgehaltenen Informationen, über die wohl auch auf Informationen im Zwischenspeicher zugegriffen werden kann, ab. Gerade auf Serversystemen wäre das eine wahre Goldgrube für Datendiebe.

Bedeutung für Unternehmen und Organisationen

Diese Sicherheitslücke wurde in Technologien entdeckt, wie sie seit etwa 20 Jahren in Prozessoren jeglicher Hersteller eingesetzt wird. Folglich dürfte es auch diese Sicherheitslücke seit etwa 20 Jahren geben. Angriffe auf diese Schwachstelle werden nicht protokolliert und hinterlassen keine Spuren in gewöhnlichen Trace- und Logdateien. Niemand weiß, ob und wenn ja, in welchem Umfang diese Lücke bereits ausgenutzt wurde. Um einen Angriff auf diese Sicherheitslücke ausführen zu können muss das betroffene System nach den aktuellen Erkenntnissen mit Schadsoftware infiziert sein. Natürlich soll dies keine Entwarnung sein und das Problem keineswegs verharmlosen. Jedoch darf der Aufschrei mit Worten wie „gravierend“, „massiv“ und „gefährlich“ nicht zu irgendwelchen überstürzten und unüberlegten Handlungen führen.

Aktueller Stand der Dinge

In den letzten Tagen wurde eine erhöhte Updateaktivität bei Cloud-Providern, aber auch auf vielen Betriebssystemen beobachtet, was die Spekulationen weiter anheizte. In der Tat haben viele Hersteller wie Google, Apple, Microsoft aber auch die Linux-Welt für Ihre Betriebssysteme entweder Updates bereitgestellt oder arbeiten mit Hochdruck an eben solchen. Browserhersteller wie Chrome und Mozilla haben ebenfalls Updates angekündigt. Darüber hinaus haben Intel und ARM mittlerweile Listen betroffener Prozessoren veröffentlicht.

Ich persönlich bin der Meinung, dass gerade die Updates auf der Anwendungsebene wie z.B. Updates für Browser eher ein „Workaround“ als die Lösung des Problems darstellen. Stellt man sich die Rechnerarchitektur als ein mehrstöckiges Gebäude vor, so besteht das Problem eher im Fundament, also direkt an der Hardware. Ein Sicherheitsupdate im Erdgeschoss also des Betriebssystems löst zwar auch nicht die Ursache ist aber immerhin näher an der Hardware dran. Anwendungen im 1. Obergeschoss tragen dazu bei die Angriffsflächen zu reduzieren lösen jedoch keineswegs das Problem.

Besonderheiten bei einem Windows Sicherheitsupdate

Microsoft veröffentlichte zu diesem Thema bereits ein Sicherheitsupdate inkl. eines Supportartikels, welches jedoch in Kombination mit einigen Antivirus-Produkten zu Problemen führen kann. Somit wird das Update nicht flächendeckend auf alle MS Betriebssysteme ausgerollt. AV Hersteller müssen bestätigen, dass es mit ihrer jeweiligen AV Software keine Probleme gibt und durch das Setzen eines Registry-Keys den Weg für das MS Sicherheitsupdate frei machen. Einige Sicherheitshersteller haben schon mitgeteilt, dass es mit ihren AV Produkten keine Probleme gibt und für die nächste Woche ein entsprechendes Update angekündigt.

Maßnahmen und Empfehlungen
  • Nach den aktuellen Erkenntnissen sind die Angriffe sehr komplex. Ein Rechner muss sich mit einer Schadsoftware infizieren damit die Sicherheitslücke ausgenutzt werden kann. Überprüfen und verstärken Sie daher Ihre bestehenden Sicherheitsmechanismen und sensibilisieren Sie Ihre Mitarbeiter für ein besonders vorsichtiges Verhalten
  • Informieren Sie sich, ob es mit Ihrer aktuellen AV-Lösung in Kombination mit dem verfügbaren Microsoft Sicherheitsupdate zu Problemen kommen kann. Egal, ob die Frage mit "Ja" oder "Nein" beantwortet wird, in beiden Fällen muss es vom AV-Hersteller ein entsprechendes Update geben. Installieren Sie dieses Update so schnell wie möglich.
  • Sorgen Sie dafür, dass all Ihre AV-Signaturen immer auf dem neusten Stand sind. Die Aktualisierung der AV-Signaturen einmal täglich ist nicht ausreichend.
  • Spielen Sie zeitnah das Sicherheitsupdate von Microsoft ein.
  • Denken Sie in heterogenen Netzwerken auch an Ihre MacOS- und Linux-Systeme. Auch hier sind bereits einige Updates verfügbar.
  • Vergessen Sie nicht Ihre dedizierten Linux-Server die bei Ihrem Hosting-Provider befinden. Oftmals sind Sie für die Sicherheit dieser Systeme selbst verantwortlich.
  • Trotz sorgfälltigster Recherchen und Vorbereitungen birgt jede Systemaktualisierung ein gewisses Risiko. Denken Sie daher stets an eine vollumfängliche System- und Datensicherung vor der Installation der Updates.
  • Sicherlich werden auch die Chip-Hersteller wie Intel, AMD und ARM ihre Hardware und Firmware einem "Re-Design" unterziehen. Achten Sie bei künftigen Anschaffungen von Rechnersystemen auf solche Faktoren.
  • Kümmern Sie sich regelmäßig, proaktiv und ganzheitlich um die Sicherheit Ihrer Prozesse, Daten, Anwendungen und Systeme.

25.10.17 // Bad Rabbit - Ransomware getarnt als Adobe Flash Installer

Ransomware - jetzt also Bad Rabbit! Die Angreifer werden nicht müde immer neue Varianten und Angriffsszenarien zu entwickeln, um auf unsere Systeme zu gelangen und die uns so teuren Daten zu verschlüsseln.

Seit gestern melden mehrere Organisationen aus Europa und den USA Angriffsfälle einer neuen Ransomware mit dem Namen Bad Rabbit. Wie jetzt bereits bekannt ist, weist diese Ähnlichkeiten zu dem im Juni entdeckten Verschlüsselungstrojaner NotPetya auf.

Die russische Nachrichtenagentur Interfaxx hat mitgeteilt, dass nach der Infektion einige ihrer Systeme ausgefallen waren und sie nur noch über Ihre Facebook-Seite Nachrichten verbreiten konnten. Ebenso war eine anerkannte Klinik für plastische Chirurgie in London betroffen.

Angriffsmuster

Der Angriff zielt wiedermal per Social Engineering auf die Leichtgläubigkeit bzw. Unwissenheit der Benutzer ab. Dabei tarnt sich Bad Rabbit als Adobe Flash Installer. Sobald dieser installiert ist, werden die Daten auf dem Rechner verschlüsselt und anschließend der MBR - Master Boot Record - überschrieben. Danach wird der Benutzer aufgefordert 0.05 Bitcoins bzw. 275 US-Dollar zu überweisen, wobei nicht klar ist, ob die Dateien und das System danach wieder entschlüsselt werden.

Nach Informationen verschiedener Analysten - ESET, Emisoft und Fox-IT - bedient sich Bad Rabbit des Mimikatz-Tools, um Zugangsdaten aus dem Speicher des betroffenen Systems auszulesen. Danach versucht es auf Server- und Client-Systeme im selben Netzwerk per SMB und WebDAV zuzugreifen. Für den Zugriff auf diese Systeme bedient sich Bad Rabbit auch eigens mitgebrachter Benutzernamen wie z.B. root, guest und administrator sowie einer entsprechenden Passwortliste.

Maßnahmen

Wir haben schon in älteren Beiträgen recht ausführlich über Ransomware und effektive Schutzmaßnahmen berichtet und diese gelten auch wieder in diesem Fall. Hierzu zählen u.a.:

  • Mitarbeitersensibilisierung - Regelmäßige Sensibilisierung und Schulung der Mitarbeiter in Bezug auf verschiedene Sicherheitsthemen wie z.B. Social Engineering Angriffe und Co. Denn leider ist der Faktor Mensch immer noch das schwächste Glied in der gesamten Sicherheitskette.
  • Organisatorische Maßnahmen - Netzwerksegmentierung, Berechtigungs-/Zugriffsmanagement und Co. sind essentielle Bausteine der IT-Sicherheit.
  • Mehrschichtiger Schutz - Technische Lösungen zum Schutz des Netzwerks, der Server und Clients - inkl. mobiler Geräte wie Notebooks, Tablets und Smartphones.
  • Patch-Management - Überwachung und rechtzeitige Installation von Updates, um bekannt gewordene Sicherheitslücken schnellstmöglich zu schließen.
  • Security Audits - Regelmäßige Überprüfung des aktuellen Sicherheitsstands in Bezug auf die aktuelle Bedrohungslage. Die daraus resultierenden Maßnahmen helfen dabei, die Sicherheit ihres Unternehmens weiter zu verbessern.

Hinweis - Laden Sie sich den Adobe Flash Installer ausschließlich von der Herstellerseite zur Installation herunter, um auf Nummer sicher zu gehen!

Wollen auch Sie einen Überblick über das aktuelle Sicherheitsniveau Ihrer IT-Infrastruktur gewinnen? Wollen Sie sich gegen Krypto-Angriffe wie GoldenEye, WannCry, Petya, NotPetya, BadRabbit und Co. möglichst effektiv schützen? Dann fordern Sie unsere Unterstützung auf Ihrem Weg zur mehr Sicherheit an. Kontaktieren Sie uns über unser Kontaktformular oder rufen Sie uns an unter der 07251/39 17 11 0.

08.06.17 // Kritische Sicherheitslücke im Linux "sudo" Befehl!

Sicherheitsforscher von Qualys haben eine kritische Schwachstelle im sudo Kommando mit SELinux-Unterstützung entdeckt. Betroffen sind verschiedene Linux-Distributionen.

Mittels des sudo Befehls werden unter Linux Aufgaben mit administrativen Rechten (Root) ausgeführt, ohne dabei den Benutzer zu wechseln. Das Ganze ist mit dem „Ausführen als Administrator“ Befehl unter Windows vergleichbar.

Ein Fehler in der get_process_ttyname() Funktion erlaubt es einem Angreifer Daten auf einem Opfer-System zu manipulieren, auch wenn diese erhöhte Root-Rechte erfordern bzw. nur vom Root-Benutzer geändert werden dürfen. Dadurch wird es möglich, dass sich ein Angreifer volle Administrationsrechte verschafft. Details zur Sicherheitslücke sind unter der CVE-ID - CVE-2017-1000367 - aufgeführt.

Die Sicherheitsforscher von Qualys haben mittlerweile auch ein Proof-of-Concept zu der Sicherheitslücke veröffentlicht. Somit ist es nur noch eine Frage der Zeit bis entsprechende Tools und Angriffe folgen.

Die nachfolgenden Hersteller haben bereits reagiert und entsprechende Updates veröffentlicht. Administratoren sollten daher schnellst möglichst Ihre (Linux)-Systeme auf den neusten Stand bringen:

  • Red Hat/Fedora/CentOS
  • Debian/Ubuntu
  • Suse

Für eine vollständige Erläuterung der Updateschritte für Ihre Distribution nehmen Sie sich bitte die Dokumentation Ihrer eingesetzten Systeme zur Hilfe. Benötigen Sie Unterstützung bei der Umsetzung, dann nehmen Sie Kontakt zu uns auf - per Kontaktformular oder telefonisch unter der 07251/3917110.

15.05.17 // Warnung - Erste Angriffswelle mit NSA-Hackertools!

Im Newsletter vom 20.04.2017 - Die smarte Zukunft (zum Newsletter anmelden) sowie im Beitrag Kriminelle Hacker im Besitz der NSA-Hackertools! vom 05.05.2017 haben wir ausführlich darüber berichtet, dass in jüngster Vergangenheit sowohl der CIA als auch der NSA unzählige Hackertools und Anleitungen gestohlen wurden. In beiden Beiträgen warnten wir davor, dass diese Tools nun in falschen Händen ein extrem großes Schadenspotential haben.

Anfang Mai hat die Hackergruppe Shadow Brocker einen Teil des Hacking-Arsenals der NSA veröffentlicht. Es hat nicht lange gedauert, bis das geschah, was im Grunde vorhersehbar war. Schnell fanden sich solche, die dieses Wissen sofort umgesetzt haben.

Am Freitag, den 12. Mai begann eine große Angriffswelle bei der hunderttausende Rechnersysteme in über 90 Ländern infiziert wurden. Besonders hart traf es gesundheitliche Einrichtungen, Regierungsorganisationen und Konzerne weltweit. Dabei ist der angerichtete Schaden sehr viel höher als die Summe des geforderten Lösegelds aller infizierten Rechner. Man kann sich sicher sein, dass die Dunkelziffer der Opfer riesengroß ist, denn es wurde öffentlich nur über bekannte Institutionen berichtet die bei Sicherheitsvorfällen u.a. auch einer Meldepflicht unterliegen. Von Unternehmen und Organisationen die ihre Sicherheitsvorfälle (noch) nicht melden müssen bekommt die Öffentlichkeit erstmal nichts mit. Dass ist verständlich, denn Sicherheitsvorfälle sind nichts was man gerne und freiwillig an die „große Glocke“ hängt. Man kann nun davon ausgehen, dass

  1. in der nächsten Zeit nach und nach immer mehr Vorfälle bekannt werden,
  2. viele Unternehmen derzeit mit großen Nachwirkungen zu kämpfen haben und
  3. dass weitere, vielleicht sogar größere, Angriffe noch folgen werden.

Zeitgleich zu dem ganzen Chaos tauchen immer mehr „Versicherungsmails“ und „Kreditmails“ mit gefährlichen Anhängen und Links auf, die eben solche Gefahren wie Locky, GoldenEye und WannaCry bergen. Was ist zu tun?

Sofortmaßnahmen

Bei der letzten Angriffswelle haben sich die Angreifer eine Sicherheitslücke im Microsofts SMB-Protokoll zu Nutze gemacht, um die Rechner zu infizieren. Daher sollten Sie Ihren aktuellen Patch-Stand überprüfen und falls die aufgeführten Updates (KB-Nr.) nicht installiert sind, diese sofort aktualisieren! Nachfolgendend eine Auflistung der relevanten Updates zu den unterschiedlichen Betriebssystemen:

Die Auflistung enthält nicht alle MS Betriebssysteme. Sollten Sie Unterstützung für ein anderes Betriebssystem benötigen nehmen Sie gerne Kontakt zu uns auf.

Aktualisieren Sie außerdem Ihre AV-Signaturen falls nicht bereits geschehen. Die meisten Sicherheitshersteller haben zumindest für diesen Schädling bereits Signaturen bereitgestellt.

Kurzfristige Maßnahmen

In unserem Blogbeitrag GoldenEye finden Sie weitere nützliche Tipps, die Sie zum Schutz Ihrer IT-Infrastruktur umsetzen können. Handeln Sie vorausschauend und lassen Sie Ihre IT-Infrastruktur auf Sicherheitslücken überprüfen. Überprüfen und aktualisieren Sie regelmäßig Ihr schriftliches Sicherheitskonzept und seien Sie konsequent in der Umsetzung der erforderlichen Sicherheitsmaßnahmen.

Benötigen Sie hierbei professionelle Unterstützung? Dann nehmen Sie Kontakt zu uns auf – nutzen Sie hierfür unser Kontaktformular oder rufen Sie uns an unter 07251/391711 0.

05.05.17 // Kriminelle Hacker im Besitz der NSA-Hackertools!

Die Hackergruppe Shadow Brocker hat seiner Ankündigung Taten folgen lassen und ein äußerst sensibles Paket veröffentlicht. Inhalt der Veröffentlichung sind die erbeuteten NSA-Hackertools, Zero-Day-Exploits und Dokumentationen. Daher ist es nicht verwunderlich, dass dieses Paket in Windeseile an Popularität unter den (kriminellen) Hackern gewonnen hat.

WikiLeaks hat im Gegensatz zu Shadow Broker wenigstens vor der Veröffentlichung der CIA-Daten den Kontakt zu den Herstellern gesucht. Diese wurden über die Schwachstellen informiert und hatten somit die Möglichkeit entsprechende Patches anzufertigen, um die Schwachstellen zu schließen. Außerdem enthält die WikiLeaks-Veröffentlichung lediglich Beschreibungen und Dokumente jedoch keine Tools an sich.

Der Inhalt des NSA-Pakets ist so brisant, dass Sicherheitsexperten aktuell noch an Gegenmaßnahmen arbeiten. D.h. durch Bekanntwerden der vielen neuen Schwachstellen sind uns die Angreifer wieder einmal voraus. Hier stellt sich auch die Frage nach der Verantwortungspflicht dieser US-Behörde. Die gefundenen Schwachstellen wurden bewusst nicht an die Hersteller kommuniziert. Grund war es, diese für eigene Spionageangriffe zu nutzen. Nun verfügen jedoch auch kriminelle Hacker über dieses Knowhow und wissen wie sie diesen Trumpf zum eigenen Vorteil nutzen können.

Besondere Bekanntheit im Zusammenhang mit der Veröffentlichung hat das Hackertool DoublePulsar erlangt. So hatte das Tool Ende April bereits weit über 420.000 Rechner infiziert, die somit unter der Kontrolle der Hacker standen. DoublePulsar ist grob formuliert eine Schadsoftware, die im Hintergrund weitere noch gefährlichere Anwendungen (Malware) nachlädt. Dabei arbeitet diese Malware dateilos. Für die Infektion eines Systems wird eine SMB-Schwachstelle (Server Message Block) die über den Port 445 kommuniziert ausgenutzt. Als Angriffsziele stehen in erster Linie Microsoft Serversysteme im Fokus.

Dadurch, dass die Schadsoftware dateilos arbeitet, kann diese mit einem einfachen Systemneustart beseitigt werden. Soweit die gute Nachricht. Was bei Clientsystemen relativ schnell vollzogen werden kann sieht bei Serversystemen jedoch schon ganz anders aus. Was auch dazu führt, dass DoublePulsar in vielen Fällen freie Fahrt hat.

Fazit - die NSA trägt eine nicht unwesentliche (Mit)-Schuld an der aktuellen Angriffswelle. Schließlich wusste die Behörde bereits über viele Jahre hinweg, welche Systeme über welche Schwachstellen verfügen, hat aber aus Eigeninteresse nicht mit den Herstellern zusammengearbeitet. Betroffene Produkte sind u.a. Cisco, Lotus Domino und das Zahlungssystem SWIFT. Bei diesen Produkten und Systemen existieren Zero-Day-Exploits, Schwachstellen und Hintertüren. Hintertüren erlauben es Angreifern immer wieder ohne Kenntnis des Systembesitzers auf ein infiziertes System zurück zu kehren und sich in diesem frei zu bewegen- eine Horrorvorstellung für jeden Administrator! Egal, ob sich nun eine Behörde oder ein Hacker diese Hintertür zu Nutze macht.

Tipps - bereits mit dem Auszug der nachfolgenden Maßnahmen können Sie Ihr Sicherheitsniveau deutlich erhöhen:

  • Patch-Management - halten Sie Ihre Systeme und Anwendungen immer auf dem neusten Stand. Laut Microsoft soll die SMB-Schwachstelle in der neusten Version bereits geschlossen sein. Systeme mit einem aktuellen Patchstand bieten weniger Angriffsfläche.
  • Mehrschichtiger Schutz - stellen Sie sich den Angreifern auf allen Ebenen Ihrer IT-Infrastruktur mit effektiven Sicherheitslösungen. Im Netzwerkbereich sollten neben der Firewall auch Mechanismen wie - IPS/IDS, WAF, Anti-Spoofing, Anti-DoS, Anti-Portscan, Anti-Malware, Webfilter, Anti-Malware, Anti-Spam, Sandboxing und Co. zur Verfügung stehen. Im Endgerätebereich Mechanismen wie - Client-Firewall, Anti-Malware (signatur- und verhaltensbasiert/signaturlos), Webfilter, App- sowie Device-Control und nicht zuletzt die Datei-/Festplattenverschlüsselung.
  • Mitarbeitersensibilisierung - Schwachstelle Nr.1 in jedem Unternehmen sind die eigenen Mitarbeiter. Investieren Sie in Sensibilisierungsmaßnahmen für Ihre Mitarbeiter um auch in diesem Bereich die Angriffsflächen so klein wie möglich zu halten.
  • Security-Audits - überprüfen Sie Ihre Sicherheitsstrategie in regelmäßigen Abständen. Erfahren Sie wo Ihre Schwachstellen liegen und beseitigen Sie diese. Entwickeln Sie Ihre Strategie stetig weiter, die Angreifer machen es auch.

In unserem letzten Beitrag GoldenEye - Ransomware haben wir für Sie effektive Sicherheitsmaßnahmen beschrieben.

Möchten auch Sie wissen, wie es um Ihre IT-Sicherheit im Unternehmen steht? Ob Sie mit „DoublePulsar“ oder einer anderen Schadsoftware infiziert sind oder infiziert werden könnten? Haben Sie Fragen zum Thema IT-Sicherheit im Allgemeinen? Dann nehmen Sie Kontakt zu uns auf - per Kontaktformular oder unter der 07251/391711 0.