HiSolutions Cybersecurity Digest Oktober 2023

Es ist nicht immer MFA, wenn MFA draufsteht.

 

Liebe Leserinnen, liebe Leser,

In Vertretung für Herrn Dr. Schneider habe ich diesen Monat die Ehre, Ihnen unseren Digest zu präsentieren. Mein Name ist Ronny Dobra und bin seit über 10 Jahren als Penetrationstester im Bereich Web- und Infrastruktur sowie als Social Engineer tätig.

Oft liegt die größte Schwachstelle der IT-Sicherheit auf Höhe des sogenannten „Layer 8“, dem Menschen. Wir möchten Ihren Fokus deshalb gern auf die Gefahren von fehlendem Patch-Management und die des Social Engineering lenken – und wie die Unaufmerksamkeit eines einzelnen Mitarbeitenden als Sprungbrett für die Kompromittierung der gesamten Unternehmensinfrastruktur genutzt werden kann. Die Themen des Monats sind:

  • Es ist nicht immer MFA, wenn MFA draufsteht
  • Die Suche nach dem großen Glück
  • Spam ist tot – es lebe der Spam!
  • Preisgekrönt: Microsoft-Sharepoint unauthenticated Code-Execution

Wir wünschen Ihnen viel Spaß beim Lesen – Ihr Feedback ist wie immer herzlich willkommen!

Mit besten Grüßen
Ronny Dobra

 

Es ist nicht immer MFA, wenn MFA draufsteht.

Am 27. August wurde die Firma Retool, der Anbieter einer Low-Code-Entwicklungsplattform, Opfer eines Social-Engineering-Angriffs. Dank der im April eingeführten Synchronisationsfunktion der Google-Authenticator-App konnten Angreifer die Multi-Faktor-Authentifizierung (MFA) zu einer Single-Faktor-Authentifizierung downgraden und sich so Zugriff zum Retool-Netzwerk verschaffen.

Der initiale Eindringvektor der Angreifer war ein Smishing-Angriff (Phishing über SMS-Textnachrichten) an mehrere Retool-Mitarbeiter. Ein Mitarbeiter ist dem Aufruf der Nachricht gefolgt und hat seine Zugangsdaten auf einem gefälschten Log-in-Portal eingegeben. Da Retool MFA verwendet, erhielten die Angreifer mit den Zugangsdaten allein jedoch noch keinen Zugriff zu den Accounts oder dem Retool-Netzwerk. Daher starteten sie einen gut vorbereiteten Vishing-Anruf (Phishing über Telefon) gegen den Mitarbeiter und konnten diesem auch einen Code für die Multi-Faktor-Authentifizierung entlocken. 

Die Angreifer verwendeten die Zugangsdaten und den MFA-Code, um ihr Gerät mit dem SSO-Konto des Mitarbeiters zu verbinden und u. a. Zugriff zu seinem Google-Konto zu erhalten. Dies erwies sich als verheerend, da Google seine in der Google-Authenticator-App generierten MFA-Codes seit April 2023 automatisch mit dem Google-Konto synchronisiert. Die Angreifer konnten nun die MFA-Codes, welche z. B. bei der Verbindung mit dem Retool-VPN oder den Verwaltungssystemen benötigt wurden, einfach aus dem Google-Konto des kompromittierten Mitarbeiters auslesen. Effektiv wurde die Multi-Faktor-Authentifizierung (MFA) dadurch zu einer Single-Faktor-Authentifizierung herabgestuft.

Unternehmen, welche auf die Google-Authenticator-App setzen, sollten sich bewusst sein, dass die Synchronisationsfunktion standardmäßig aktiv ist. Das Deaktivieren der Funktion ist nur möglich, indem das Google-Konto vollständig von der App entkoppelt wird.

Immer wieder überrascht die Kreativität der Angreifer, mit welcher versucht wird, MFA zu umgehen. Seit Jahren werden bspw. SIM-Swapping-Angriffe dazu genutzt, um über SMS versendete MFA-Codes abzufangen. 

Mittels sogenannten MFA-Bombing- oder MFA-Fatigue-Angriffen ist es der Hackergruppe "Lapsus$" Anfang 2022 gelungen, die MFA von Microsoft und anderen Unternehmen zu umgehen. Bei diesem Angriff werden die betroffene Personen mit MFA-Anfragen überflutet, z. B. um 1 Uhr nachts, in der Hoffnung, dass sie in der Stress-Situation oder versehentlich eine davon akzeptieren. 

Einen Phishing-resistenteren MFA-Schutz bieten Sticks oder Android-Smartphones mit Fido bzw. WebAuthn. Der Nachteil dieser Lösung ist, dass der zu schützende Dienst diese unterstützen muss.

https://retool.com/blog/mfa-isnt-mfa/
https://security.googleblog.com/2023/04/google-authenticator-now-supports.html
https://www.golem.de/news/retool-kritisiert-google-authenticator-macht-cyberangriff-erst-richtig-effektiv-2309-177706.html#
https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-trick-2203-164236.html

 

Die Suche nach dem großen Glück

Manche setzen sich ins Casino, um das große Geld zu machen. Anderen reicht ein zehnminütiger Anruf beim Casino-Helpdesk, um dem finanziellen Glück auf die Sprünge zu helfen. 

Diesen Weg nutzte eine Hacker-Gruppe, um in das Netzwerk der amerikanischen Hotel- und Casino-Kette "MGM Ressort" einzubrechen. Laut eigener Angaben benötigten sie dazu lediglich ein zehnminütiges, mit Sicherheit gut vorbereitetes Gespräch mit einem Helpdesk-Mitarbeiter. In der Folge des Angriffs waren zahlreiche Systeme wie beispielsweise digitale Türverriegelungen, Kassensysteme sowie Geldautomaten und einige Spielautomaten gestört.

Selbst ohne die Zahlung eines Lösegelds kostete der Angriff den MGM-Konzern rund 100 Millionen US-Dollar. Der Großteil davon ist auf ausgefallene Zimmerbuchung aufgrund nicht erreichbarer Buchungsseiten und -schnittstellen zurückzuführen.

https://edition.cnn.com/2023/10/05/business/mgm-100-million-hit-data-breach/index.html
https://www.heise.de/news/l-f-Zehnminuten-Telefonat-ermoeglicht-MGM-Hack-9305196.html
https://www.golem.de/news/mgm-und-caesars-jugendliche-hacker-legten-kasinos-in-las-vegas-lahm-2309-177940.html
https://www.heise.de/news/Casino-Hacker-kosten-MGM-Resorts-rund-100-Millionen-US-Dollar-9326420.html

 

Spam ist tot - es lebe der Spam!

Vor fast 20 Jahren sagte der Erfinder des Personal Computers, Bill Gates, einmal: "In zwei Jahren wird das Spam-Problem gelöst sein."

Ein Blick auf die Auswertungen von Kaspersky zeichnet ein ernüchternd anderes Bild. Laut der Studie lag der Anteil von Spam-E-Mails am weltweiten E-Mail-Verkehr im Jahr 2022 bei 48,6 %. Für Phishing-Versuche im vergangenen Jahr wurde als Aufhänger besonders gern die Fußballweltmeisterschaft verwendet, bei der die Opfer mit vermeintlichen Gewinnspielen gelockt wurden.

Besonders dreist waren Phishing-Kampagnen mit gefälschten Spenden-Portalen für den Ukraine-Krieg oder Registrierungsseiten für vermeintliche COVID-Impfungen. Dass Spam sich nicht allein auf E-Mail begrenzt, zeigt beispielsweise die Verdreifachung von Phishing-Angriffen über die Messenger-App Telegram im Vergleich zum Vorjahr. 

Man kann also davon ausgehen, dass Spam auf absehbare Zeit ein ungelöstes Problem bleibt. Dabei passen sich die Spammer an neue "Vertriebswege", wie z. B. App-bezogenen Spam an. Schade Bill Gates, auch Visionäre können irren.

https://securelist.com/spam-phishing-scam-report-2022/108692/

 

Preisgekrönt: Microsoft-Sharepoint unauthenticated Code-Execution

Aktuell kursieren Fragmente einer Exploit-Chain, die es unauthentifizierten Angreifern ermöglicht, über eine Lücke in Microsoft Sharepoint Administratorrechte auf einem Server zu erlangen. 

Ein Teilnehmer des bekannten Pwn2Own-Wettbewerbs hatte die Exploit-Chain bei der Veranstaltung im März 2023 live demonstriert und dafür ein Preisgeld von 100.000 US-Dollar erhalten. Ende September veröffentlichte er eine sehr lesenswerte Analyse der Exploit-Entwicklungsgeschichte, ohne dabei jedoch den vollständigen Exploit-Code bereitzustellen.

Doch bereits einen Tag nach der Veröffentlichung tauchte ein GitHub-Repository auf, welches den Proof-of-Concept-Code für die zweite Hälfte der Exploit-Chain enthielt. Es ist nur eine Frage der Zeit, bis Angreifer den PoC ausbauen, um einen vollständigen Exploit zu erhalten. 

Administratoren wird daher geraten, die Microsoft-Sharepoint-Patches zur Schließung der Sicherheitslücken CVE-2023-24955 und CVE-2023-29357 einzuspielen. 

https://www.golem.de/news/jetzt-patchen-exploit-fuer-kritische-sharepoint-schwachstelle-aufgetaucht-2309-178119.html
https://starlabs.sg/blog/2023/09-sharepoint-pre-auth-rce-chain/
https://github.com/Chocapikk/CVE-2023-29357

 

 

Der nächste HiSolutions Cybersecurity Digest erscheint Mitte November 2023.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: