KW5: CSOC-Event der Woche – SMB-Schwachstelle „EternalBlue“

KW5: CSOC-Event der Woche – EternalBlue-SMB Schwachstelle

Durchschnittliche CSOC-Gesamtevents pro Tag: 35.648
Detektionshäufigkeit:     1

Eventbeschreibung: SMB-Schwachstelle  / Kritikalität = hoch (8 / 10)

In dieser Woche berichten wir über eine SMB Schwachstelle, die mithilfe einiger Exploits ausgenutzt werden kann. Die beschriebene Schwachstelle wurde im März 2017 geschlossen, findet sich jedoch trotzdem häufig in Umgebungen mit Produktivsystemen vor.

Bei den Exploits „EternalBlue“, „EternalRomance“ sowie „EternalChampion“ handelt es sich um Exploits zum Missbrauch einer Sicherheitslücke in der SMB-Implementierung von Windows, welche mit dem Sicherheitsbulletin „MS17-010“ von Microsoft geschlossen wurde.
Ursprünglich wurde die Schwachstelle vom US-amerikanischen Geheimdienst NSA über einen Zeitraum von länger als 5 Jahren genutzt, um sich Zugang zu Systemen zu beschaffen. Kurz nach Bekanntgabe der Schwachstellen wurden die entsprechenden Exploits veröffentlicht.
In unserem Fall handelt es sich um einen Server, welcher bereits vorher entsprechend befallen war. Durch die Aufschaltung im CSOC konnte der auffällige Netzwerkverkehr erkannt werden: Detektiert werden konnte er, weil die Schadsoftware versuchte, sich auf weitere Systeme auszubreiten. Da die beschriebene Sicherheitslücke durch bereits veröffentlichte Windows Updates geschlossen wird, empfehlen wir dringend, immer die aktuellsten Sicherheitsupdates zu installieren.

Technische Beschreibung SMB Schwachstelle EternalBlue

Wie der AV-Hersteller Avira berichtet, finden sich allerdings nach wie vor mehr als 300.000 Rechner, die über ungepatchte Varianten der SMB1-Schnittstelle angreifbar sind. Die Dunkelziffer ist wahrscheinlich viel höher. Die verwundbaren Rechner werden immer wieder neu über die Lücke infiziert, obwohl Anti-Viren-Programme und auch die Trojaner immer wieder Schadcode entfernen. Da die zugrundeliegende Lücke allerdings ohne ein entsprechendes Windows-Update weiter klafft, stecken diese Geräte in einem nicht enden wollenden Infektionskreislauf fest.

KW4: CSOC-Event der Woche – Gefälschte vCard Dateien

KW4: CSOC-Event der Woche  - Gefälschte vCard Dateien

In dieser Woche berichten wir über die „elektronische Visitenkarte“ und wie sie manipuliert werden kann, um Schadcode auf ein System einzuschleusen.

vCards sind Dateien, welche Kontaktdaten jeglicher Art enthalten können. Ein User kann die Inhalte einer vCard per Mausklick zu seinen bestehenden Kontakten z.B. in einer E-Mail Software hinzufügen. Dateien des Typs .vcf lassen sich mithilfe eines Texteditors öffnen und beliebig bearbeiten. Diese Möglichkeit eröffnet einem potenziellen Angreifer einen Angriffsvektor, welcher durch seinen aktuell noch niedrigen Bekanntheitsgrad, oft nicht als solcher erkannt wird.

Die Bearbeitung durch einen Texteditor ermöglicht den Austausch eines möglicherweise enthaltenen Links zu einer Website, gegen einen Aufruf zur Ausführung einer anbei liegenden Datei. Diese kann Schadcode in jeglicher Form enthalten, welcher ohne einen für den User sichtbaren Hinweis und mit seinen aktuellen Rechten ausgeführt wird.

Zwar ist bei dieser Angriffsmethode eine Interaktion des vermeintlichen Opfers notwendig, jedoch werden .vcf-Dateien nur selten als mögliche Bedrohung anerkannt und stellen somit ein erhöhtes Risiko dar. Wir empfehlen daher stets, den Empfang einer vCard auf Plausibilität zu prüfen. Sollten sich dabei Unklarheiten ergeben, ist es ratsam, den Absender zu kontaktieren und zu klären, ob die empfangene vCard tatsächlich vom vermeintlichen Absender stammt.

Technische Beschreibung gefälschter vCard Dateien:

A zero-day vulnerability has been discovered and reported in the Microsoft's Windows operating system that, under a certain scenario, could allow a remote attacker to execute arbitrary code on Windows machine.

KW3: CSOC-Event der Woche – Ende der öffentlichen Updates für Java SE 8

KW3: CSOC-Event der Woche – Ende der öffentlichen Updates für Java SE 8

In dieser Woche berichten wir über das bevorstehende Ende der öffentlichen Java Updates für kommerzielle Nutzer, zunächst für Java SE 8.

Seit dem 15. Januar 2019 hat Oracle die Versorgung von Java SE 8 Installationen mit Updates eingestellt, die ohne eine kommerzielle Lizenz betrieben werden. Aufgrund des geänderten Lizenzmodells von Oracle empfehlen wir Unternehmen, nun eine Übersicht der genutzten und zukünftig lizenzpflichtigen Anwendungen zu erstellen, um das Risiko unerwarteter Softwarekosten zu vermeiden.

Zur leichteren Suche nach Installationen kann der „Java Usage Tracker“ genutzt werden: Das Tool ist im Installationspaket der kostenlosen Komponenten enthalten, kann jedoch nur mit einer kommerziellen Lizenz verwendet werden. Identifiziert werden unter anderem Java Versionen, Anwendungsnamen, der Typ der Anwendung (Applet, Befehlszeile etc.) und der Installationsort.

Alternativ zur Lizenzierung der bestehenden Java Installationen bietet sich auch die Option, auf OpenJDK umzusteigen. Bei OpenJDK handelt es sich um eine kostenfreie Implementierung der Java Platform Standard Edition.

Technische Beschreibung:

Java SE 8 is going through the End of Public Updates process for legacy releases.  Oracle will continue to provide free public updates and auto updates of Java SE 8, until at least the end of December 2020 for Personal Users, and January 2019 for Commercial Users.

Hackerangriff Datenleak: Das lernen Sie daraus

Hackerangriff Datenleak: Das lernen Sie daraus

Seit Freitag ist ein neuer Hackerangriff bekannt geworden, in dessen Zuge Dokumente und teilweise auch private Daten von Politikern, YouTubern und Prominenten veröffentlicht worden sind. Die Angriffe haben sich dabei überwiegend gegen private und persönliche Accounts gerichtet. Bei der Mehrzahl der veröffentlichten Informationen handelt es sich um Kontaktdaten der Personen. Nur in einem Bruchteil der rund 1000 Fälle wurden weitere Informationen online gestellt. 

Bei den meisten Informationen handelt es sich wohl um bereits länger bekannte und auch schon veraltete Informationen aus früheren Hackerangriffen. Andere geleakte Informationen sind ohnehin öffentlich zugänglich. Bekannt geworden ist der Angriff durch eine, im Stile eines Adventskalenders vorgenommene, Veröffentlichung auf Twitter. Dabei wurde der Account des ursprünglichen Inhabers durch auf dem Schwarzmarkt erlangte Zugangsdaten übernommen. 

Zurückzuführen ist die Übernahme des Twitter-Accounts wohl aufgrund eines schlecht gesicherten Accounts. Dabei war das Passwort zu schwach gewählt oder ein und dasselbe Passwort wurde für mehrere Accounts verwendet. 

Daher lautet unsere Empfehlung: Machen Sie es Angreifern so schwer wie möglich, an ihre Daten zu gelangen!

Sichere Passwörter: Komplexe Kombinationen, stete Wechsel

Dazu gehört – auch wenn es mühsam klingen mag – für jeden Account ein eigenes starkes und sicheres Passwort zu erzeugen. Beispielsweise kann man sich einen Satz aussuchen und erstellt sich sein Passwort durch die Aneinanderreihung der ersten Buchstaben jeden Wortes. Anschließend tauscht man noch ein paar Buchstaben durch Sonderzeichen und Zahlen aus und gelangt so an ein sicheres Passwort. Wer Gefahr läuft, seine eigenen Passwörter zu vergessen, dem kann ein Passwort Safe helfen: Darin werden die Zugangsdaten abgelegt. So braucht man sich nur ein sicheres Passwort zu merken – und zwar das für den Zugang zum Safe. Trotzdem gilt: Ändern Sie Ihre Passwörter regelmäßig. 

Wie sollten Sie es auf keinen Fall machen? Schlechte – und sehr beliebte – Beispiele für Passwörter sind: 

  • 123456 
  • qwertz 
  • das Geburtsdatum (egal ob das eigene oder das einer bekannten Person) 

Da möglicherweise selbst das sicherste Passwort einmal geknackt wird, empfehlen wir Ihnen als zusätzliche Sicherung des Accounts eine Multi-Faktor-Authentifizierung (MFA). Dabei wird neben dem Passwort noch ein zweiter Faktor abgefragt, der sich im Besitz des Account-Inhabers befindet: Das kann beispielsweise über einen Telefonanruf oder eine SMS erfolgen. Alternativ wird eine App als zweiter Faktor zur Authentifizierung genutzt. Eine Multi-Faktor-Authentifizierung wird heute in immer mehr Diensten angeboten und kann häufig sehr einfach aktiviert werden. Teilweise ist sie sogar Pflicht. 

Zusätzliche sollte man seine E-Mail-Accounts durch sichere Passwörter schützen und E-Mails und möglicherweise darin enthaltene Links zuerst genau prüfen, bevor man diese anklickt. Andernfalls können Trojaner und sonstige Malware auf das Computersystem gelangen und Daten erhalten. Auch eine verbreitete Falle: Man wird auf Webseiten umgeleitet, die den echten täuschend ähnlichsehen, sodass man unbedarft seine Zugangsdaten hinterlegt. So gelangt der Angreifer schnell an die persönlichen Informationen. 

Ein weiterer Punkt ist die Aktualität des Computersystems als Ganzes und der darauf eingesetzten Software – je aktueller, desto sicherer. Bekannte Sicherheitslücken können einfacher geschlossen werden und erschweren es Angreifern, an Ihre Informationen und empfindliche Daten zu gelangen.

KW2: CSOC-Event der Woche – MS Word 2016 Online Video Abuse

KW2: CSOC-Event der Woche – MS Word 2016 Online Video Abuse

Durchschnittliche CSOC-Gesamtevents pro Tag:     33.627
Detektionshäufigkeit:     5

Eventbeschreibung: MS Word 2016 Online Video Abuse / Kritikalität = hoch (8 / 10)

In dieser Woche handelt unser Bericht von einem Missbrauch der „Online Video-Funktion“ in Microsoft Word 2016 und älteren Versionen. Mithilfe dieser Verwundbarkeit wird einem potenziellen Angreifer ermöglicht, HTML- oder Javascript-Code auf dem Zielsystem auszuführen.

In vielen Versionen von Microsoft Word, so auch den aktuell meist verwendeten Versionen 2013 und 2016, ist es möglich, ein aktives Video im Textfluss einzubetten. Hierfür wird die „Online Video-Funktion“ genutzt. Das mithilfe eines direkten Links eingefügte Video wird beim Start geladen und innerhalb des Dokuments abgespielt. Da es sich bei Word-Dateien um eine gepackte Datei handelt, welche unter anderem Konfigurationsdateien mit Einstellungen und Formatierungen der Word-Datei beinhaltet, ist es möglich, diese Datei zu entpacken. Durch die Extraktion der darin befindlichen Konfigurationsdatei ist eine direkte Bearbeitung des aufgerufenen iframes möglich, welcher den hinterlegten HTML- oder Javascript-Code zur Ausführung bringt. An dieser Stelle kann der Angreifer Schadcode hinterlegen, der ausgeführt wird, sobald das Video gestartet wird.

Wir empfehlen, Word-Dokumente mit eingebetteten Videos gründlich auf Plausibilität zu überprüfen. Um jedoch die Gefahr eines Missgeschicks auszuschließen, ist die Sperrung von Word-Dateien, welche per E-Mail eingehen, in jedem Fall die bessere Wahl.

Technische Beschreibung:

This attack is carried out by embedding a video inside a Word document, editing the XML file named document.xml, replacing the video link with a crafted payload created by the attacker which opens Internet Explorer Download Manager with the embedded code execution file.