Top Thema
Après-Kasper-Ski? Warnungen vor russischer Software
Die IT-Supply-Chain ist in den letzten Jahren nicht zuletzt dank internationaler Vorfälle wie Solarwinds oder Kaseya stark in den Fokus gerückt. Dabei geben wir schon seit Jahrzehnten gewissen Softwaretypen („Hilfs- oder Dienstprogramme“) tiefsten Einblick und Zugriff in bzw. auf unsere IT-Systeme.
Dass insbesondere Antiviren-Software aufgrund ihrer umfassenden Systemrechte besonders kritische Gäste in der eigenen Infrastruktur sind, die zudem funktionsbedingt einen Kanal zum Nach-Hause-Telefonieren benötigen, wurde ebenfalls immer wieder diskutiert. Und doch kommen nur ganz wenige Organisationen von ihnen los. Zu groß scheint der Nutzen in Bezug auf übliche Malware, zu groß das Compliance- und Haftungsrisiko, wenn man Antiviren-Software nicht nutzt.
Nun hat mit dem russischen Einmarsch in die Ukraine die Diskussion neuen Anschub erhalten: Der im Enterprise-Bereich beliebte Hersteller Kaspersky gilt potenziell als durch Moskau steuerbar. So blieb es diesmal nicht bei den üblichen abstrakten Aufrufen, Risikomanagement für die eigene Supply Chain zu betreiben. Das BSI nutzte vielmehr den bisher nur dreimal gezogenen § 7 des BSI-Gesetzes, um konkret vor dem Einsatz von Kaspersky-Produkten zu warnen.
Obwohl dies nicht mit einem Verbot gleichzusetzen ist, kommen deutsche Unternehmen und Behörden nun in Bedrängnis. Schließlich ist die Migration auf ein neues Antivirus-Produkt nicht mal nebenbei gemacht und außerdem mit erheblichen Kosten verbunden, von der Frage öffentlicher Mittel im Fall von Behörden ganz zu schweigen.
Wie ist das Ganze also einzuordnen? Zunächst hat das BSI völlig recht: Der Einsatz russischer Produkte in deutschen kritischen Infrastrukturen war vor dem 24. Februar ein Risiko – und ist es jetzt umso mehr. Niemand kann sicher vorhersagen, inwieweit und wann sich der Krieg doch noch stärker in den bisher erstaunlich ruhigen Cyberraum bewegen wird.
Auf der anderen Seite ist Ruhe bewahren das Gebot der Stunde. Natürlich versuchen Geheimdienste und andere „state-sponsored“-Akteure seit Jahren, in Infrastrukturen hierzulande einzudringen. Und es ist nicht auszuschließen, dass ihnen dafür bestimmte Software helfen kann, die schon einen Fuß in der Tür hat. Auf der anderen Seite haben bisherige Angriffskampagnen ganz andere Vektoren zu nutzen gewusst, von Phishing über RDP bis TeamViewer. Es gibt also viel mehr – und übrigens auch viel dringendere – Hausaufgaben zu erledigen, als sofort Kaspersky den Stecker zu ziehen. Und kritischen Playern wie der Rüstungsindustrie wäre mit solch einer Warnung des BSI eh nicht mehr zu helfen, wenn sie bisher auf derartige Produkte gesetzt hätten.
Allerdings ist es nützlich, den aktuellen Anlass für eine ehrliche Bestandsaufnahme zu nutzen, wie abhängig die eigene Infrastruktur von bestimmten Staaten ist. Im Fall von Russland hat sich die Einschätzung, was Vertrauen und Sicherheit betrifft, eben noch einmal eingedunkelt.
Am Ende könnte die Abkehr von Kaspersky zwar nicht mit dem Paukenschlag der BSI-Warnung, sondern mit den Füßen erfolgen: Wenn bei den nächsten Lizenzverlängerungen die Geopolitik als ein weiteres wichtiges Argument mit auf den Tisch kommt. Oder wenn aktuell die eine oder andere Cyberversicherung schreibt, dass ein Umstieg weg von Kaspersky zwar keine Voraussetzung für die Weiterführung der Police sei, im Schadensfall aber ggf. keine Deckung erfolge, falls das der Angriffsvektor wäre. Es ist also in der neuen Weltordnung ein Stück riskanter geworden, Kaspersky langfristig die Treue zu halten.
Fazit: Mit einer angemessenen Risikoanalyse und einem Lagebild der eigenen Situation im Zusammenspiel mit den konkreten Gefährdungen (Ransomware lässt grüßen) fährt man derzeit besser als mit hektischer Deinstallation von Schutzsoftware.
https://www.dw.com/de/warnstufe-orange-deutsche-unternehmen-im-visier-russischer-hacker/a-61232466
BSI-Warnung: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html (Seite offline)
Neuigkeiten
Kolossal schade: Kollateralschäden durch Cyberangriff auf Satelliten-Terminals
Zwar lässt der große Cyberwar noch auf sich warten, Das heißt aber nicht, dass nicht bereits Aktivitäten im Cyberraum stattfinden, die auch Auswirkungen auf uns haben.
So hat eine Cyberattacke das Satelliten-Breitband-Internet des Anbieters Viasat teilweise lahmgelegt. Die Angreifer konnten sogenannte Terminals – also Modems am Boden, die mit den Satelliten kommunizieren – permanent deaktivieren, sodass diese reprogrammiert oder gar ausgetauscht werden müssen. Viasat wird u. a. von ukrainischer Polizei und Militär genutzt, aber auch von NATO-Partnern wie den USA.
Lahmgelegt wurden durch den Angriff jedoch nicht nur Terminals in der Ukraine, sondern auch zehntausende in anderen Ländern. In Deutschland waren insbesondere Windkraftanlagen betroffen, deren Kommunikation und damit Überwachung nicht mehr verfügbar war.
https://www.reversemode.com/2022/03/satcom-terminals-under-attack-in-europe.html
DatenabflussTotal: VirusTotal teilt Uploads mit Kunden
VirusTotal ist ein beliebter Dienst von Google, der hochgeladene Dateien mit über 70 verschiedenen Antivirenprogrammen prüft. Was nicht alle Nutzer wissen: Abonnenten der Produkte VirusTotal Intelligence und VT Enterprise erhalten Zugriff auf alle hochgeladenen Dateien. Zu den Kunden dieser Services gehören neben IT-(Security-)Dienstleistern auch weitere Unternehmen, Geheimdienste, Forscher und Journalisten. Das BSI warnt daher zu Recht, dass jeder Upload von sensiblen Daten als Datenabfluss gewertet werden muss.
Eine Alternative stellt die Prüfung von Hashes dar, bei der die Datei selbst nicht hochgeladen wird. Hierbei wird lediglich der Besitz von Dateien geleakt, deren Hash anderen bereits bekannt ist, nicht die Inhalte von Dateien, die für das Unternehmen spezifisch sind.
This Went 2FA: NGOs trotz 2FA kompromittiert
Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) warnen in einer gemeinsamen Erklärung vor der Kompromittierung von Netzwerken von NGOs durch russische Akteure. Dabei wurde in mehreren Fällen insbesondere auch eine nicht ausreichend sicher konfigurierte Zweifaktorauthentifizierung ausgehebelt. Für bestimmte Nutzer der Lösung Cisco Duo waren Ausnahmen definiert, die den Angreifern erlaubten, neue Accounts mit höheren Rechten anzulegen.
Außerdem kam die kritische Drucker-Schwachstelle PrintNightmare (CVE-2021-34527) zum Einsatz, um Rechte auszuweiten. Am Ende erfolgte ein Ausleiten von E-Mails und Dokumenten aus der Cloud.
Team-Würg: Phishing mittels MS Teams
Je beliebter ein Dienst wird, desto mehr lohnen sich dort Phishing-Aktivitäten. Im Fall von Microsoft Teams lässt sich etwa seit Jahresbeginn ein starker Anstieg von Phishing-Angriffen beobachten. Immer häufiger werden im Chat schädliche oder irreführende Links bzw. Schadcode versandt.
Falls Teams im Unternehmen nicht ganz offen konfiguriert ist, können sich Angreifer trotzdem Zugriff verschaffen, indem sie das Netzwerk einer Organisation kompromittieren, etwa durch Sicherheitslücken. Oder es werden M365-Accounts kompromittiert und genutzt, die dann direkt den Zugriff zu Teams ermöglichen.
Würmling: Schadsoftware nutzt Log4j zur Fortpflanzung
Mit der Lücke Log4Shell in der Java-Bibliothek Log4j kam die Angst, dass ein Wurm auftauchen könnte, der sich über Log4Shell eigenständig und großflächig im Internet verbreitet – ähnlich wie 2017 WannaCry, welches die Lücke EternalBlue ausnutzte.
Nun wurde eine Schadsoftware namens „B1txor20“ entdeckt, welche zum Ziel hat, ein Linux-Botnetz aufzubauen. Sie nutzt DNS-Tunneling für die Steuerung (C&C) und zur Datenausleitung – und die Log4j-Schwachstelle zur Verbreitung. Da „B1txor20“ noch fehlerbehaftet ist und nur Linux infizieren kann, dürfte hier noch nicht die große Pandemie drohen. Der Fund sollte uns jedoch als Erinnerung dienen, dass die Gefahr eines nächsten großen Wurms alles andere als gebannt ist.
https://thehackernews.com/2022/03/new-b1txor20-linux-botnet-uses-dns.html
Wein, Wipe und Abgesang: NPM-Paket macht Cyberwar
Ein weitverbreitetes NPM-Paket wurde sabotiert, um russische und belarussische Systeme zu manipulieren.
Wohl um gegen die Invasion der Ukraine zu protestieren, haben Entwickler des Pakets Node-ipc den Code so modifiziert, dass bei Systemen mit in Russland oder Belarus zu verortenden IP-Adressen Dateien gelöscht (Wiper) und mit Herz-Emojis überschrieben werden.
Node-ipc ist ein beliebtes Modul für Inter-Prozess-Kommunikation (IPC) im Node.js-Ökosystem. Es wird über 1,1 Millionen Mal pro Woche heruntergeladen. Betroffen waren die Versionen 10.1.1 und 10.1.2.
https://thehackernews.com/2022/03/popular-npm-package-updated-to-wipe.html
Koreanjuwelen: Samsungs Security-Code gestohlen
Die in letzter Zeit extrem effizient und öffentlichkeitswirksam agierende Hackergruppe LAPSUS$ hat die IT-Infrastruktur des südkoreanischen Elektronikherstellers Samsung kompromittiert. Dabei wurden 190 GB sicherheitsrelevanter Daten erbeutet, die als Torrent geleakt wurden.
Darin enthalten ist der Quelltext diverser Softwareprodukte, etwa für Trusted Applets (Hardware-Encryption), biometrische Entsperrmechanismen und Bootloader für alle aktuellen Samsung-Geräte. Auch Samsungs Authentifizierungssystem dürfte nun als allgemein bekannt gelten.
Let's Do the AutoWarp Again – Kritische Schwachstelle in Azures Mandantentrennung
Neue Technologien bringen neue Angriffsvektoren mit sich, die nicht immer offensichtlich sind. Gerade im Cloud-Umfeld wird eine Vielzahl von Funktionen innerhalb kurzer Zeit eingeführt. Dabei droht gerade hier großer Schaden, wenn ein Zugriff auf andere Mandanten möglich ist.
AutoWarp ist eine solche Schwachstelle, mittels der auf die Cloud-Daten anderer Kunden von Microsoft Azure hätte zugegriffen werden können. Sicherheitsforscher von Orca Security benötigten nach eigenen Angaben lediglich zwei Stunden, um die Lücke zu entdecken. Der Fehler bestand in der Funktionsweise sogenannter Azure Automation Accounts. Diese sind zur Automatisierung von Cloud-Diensten gedacht, konnten aber auch zum Erschleichen von Rechten missbraucht werden. Microsoft hat das Problem inzwischen behoben.
https://orca.security/resources/blog/autowarp-microsoft-azure-automation-service-vulnerability/
Lesetipps
Vollständig
Die RegEx-Replace-Funktion des Editors Notepad++ ist offensichtlich Turing-complete. Natürlich musste jemand daraus eine visuell laufende Turing-Maschine basteln.
https://github.com/0xdanelia/regex_turing_machine
Vollmundig
Web3 ist der letzte Schrei – und mindestens genauso verschrien wie gehyped. Dieser Kommentar nimmt das Thema gnadenlos auseinander.
https://www.heise.de/meinung/Web3-Im-vollen-Galopp-vor-die-Wand-ein-Kommentar-6537611.html
Voll
Die Cloud Native Interactive Landscape der Cloud Native Computing Foundation lässt erahnen, wie umfangreich und komplex das Ökosystem „Cloud“ geworden ist.
Der nächste HiSolutions Cybersecurity Digest erscheint Ende April 2022.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!