Archiv der Kategorie: Allgemein

News und Aktuelles: IT-Blog rund um Cyber Security & IT-Sicherheit

Aktuelle News, brisante Neuerungen und Erkenntnisse aus dem Bereich IT-Sicherheit, Wissenswertes rund um Cyber Security: Darüber bloggt für Sie unser Autor Martin Graf. Mit der zunehmenden Digitalisierung und Vernetzung nehmen auch Schnelllebigkeit und Aktualisierungsbedarf stetig zu. Versäumte Updates und veraltete Software bieten Hackern und Cyberkriminellen eine willkommene Angriffsfläche. Die Folgen: Datenverschlüsselung oder -verlust, Geld- und Imageschaden. Ist Ihr Wissensstand jedoch aktuell, so ist es meist automatisch auch Ihre IT-Infrastruktur. Bleiben Sie daher informiert!

BSI: Die Lage der IT-Sicherheit in Deutschland 2020

BSI: Die Lage der IT-Sicherheit in Deutschland 2020

#bsi #homeoffice #kritis #emotet #covid19 #malware

Zu den größten Cyberbedrohungen im Zeitraum zwischen dem 1. Juni 2019 und dem 31. Mai 2020 zählten laut Lagebericht des BSI Angriffe durch Ransomware, die sich gegen „Unternehmen, Behörden und andere Institutionen sowie [] Privatanwender“ richteten. Auch Banking-Trojaner Emotet schaffte es wie schon im vorausgehenden Jahresbericht des BSI erneut an die Spitze gefährlicher Schadprogramme; diese verzeichneten teilweise einen „überdurchschnittlich“ hohen Zuwachs von knapp 470.000 Varianten pro Tag.

Hinzu kamen in diesem Jahr Corona-bedingt auftretende Sicherheitslücken, die der Umzug ins Homeoffice bedingte. Der spontane Umzug an den Heimarbeitsplatz entbehrte häufig eines soliden Sicherheitskonzeptes und barg neue Angriffsflächen. Zudem nutzten Hacker vor dem Hintergrund der Pandemie komplex angelegte Phishing-Kampagnen oder den CEO-Fraud, indem sie mit den Unsicherheiten der Menschen spielten.

Auch die Angriffe auf Betreiber kritischer Infrastrukturen (KRITIS), also Dienstleister im Bereich medizinischer Versorgung, Strom, Wasser etc., haben zugenommen: Waren es im Jahr 2018 noch 145, wurden zuletzt 419 Meldungen verzeichnet. Schätzungen zufolge kursieren zudem rund 24,3 Millionen Patientendatensätze im Netz.

Die Gefahrenlage hat sich daher drastisch verschärft und verlangt volle Aufmerksamkeit seitens Politik, Behörden, Unternehmen wie Privatpersonen.

Windows im Visier: Der Zerologon-Angriff

Windows im Visier: Der Zerologon-Angriff

Der Angriff durch Zerologon nutzt eine Schwachstelle des Netlogon Remote Protokolls (NRPC) bei der Client- und Server-Domainauthentifizierung. Diese erfolgt mittels einer modifizierten AES-Verschlüsselung.

Der Prozess für den Aufbau einer Netlogon-Session geschieht in den folgenden Schritten:

      1. Sowohl der Client als auch der Server berechnen und erzeugen einen 8-stelligen zufällig generierten Schlüssel, eine sogenannte Challenge.
      2.  Beide Challenges werden zwischen Client und Server ausgetauscht, daraus generieren Client und Server jeweils einen Sessionschlüssel. Hierfür werden beide Challenges mit dem shared-secret kombiniert, anschließend mittels Schlüsselableitung der Sessionschlüssel erzeugt.
      3. Der Client nutzt den Sessionschlüssel, um einen client credential zu berechnen.
      4. Der Server berechnet den gleichen credential-Wert erneut und vergleicht diese. Sofern beide credentials übereinstimmen, ist die Vertrauenswürdigkeit gewährleistet.

Während des Handshakes wird ausgehandelt, ob der nachfolgende Datenverkehr verschlüsselt wird.

Um den client credential zu berechnen wird eine protokoll-spezifizierte Funktion namens ComputeNetlogonCredential genutzt. Diese Funktion nimmt einen 8-Byte großen Input entgegen und führt eine Transformation mit dem shared-secret aus. Es entsteht ein gleich großer Output.

Es bestehen zwei Versionen dieser Funktion, von denen die eine auf 2DE (gilt als unsicher) und die andere auf AES basiert (als sicher geltend).

Die AES-Variante wird bei der Authentifizierung verwendet, enthält jedoch die Schwachstelle, die Zerologon ein Einfallstor bietet.

Weiterhin verschlüsselt AES mittels CFB8 (8-Bit cipher Feedback) jedes Byte des Klartextes, sodass ein 16 Byte großer Initialisierungvektor (IV) dem Klartext vorangestellt wird. Dann werden auf die ersten 16 Bytes des IVs+Klartext AES angewandt.

Die Schwachstelle entsteht, weil der IV fix ist und immer 16 Nullbytes hat. Das spricht gegen die AES-CFB8 Sicherheitsvorschrift, die besagt, dass der IV Wert zufällig generiert sein muss.

Der Angreifer kann den Klartext des Passwortes auf 8 Nullen setzen. Hierbei ergibt sich eine Besonderheit: In einem von 256 Fällen, in denen die ersten 8-Bytes Nullen enthalten und mittels AES-CFB8 verschlüsselt werden, entsteht ein Produkt, das lediglich aus Nullen besteht. Dieser genullte Ciphertext ermöglicht also in einem von 256 Fällen eine erfolgreiche Authentifizierung.

Es werden der Netlogon Protocol Passwortstruktur entsprechend 516-Bytes, die aus Nullen bestehen, an den Server übertragen. Hierdurch lässt sich das Passwort für jeden Computer in der Domain auf 0 stellen und somit auf diese zuzugreifen.

Auf diese Weise geschieht die Änderung im Active Directory (AD), d.h das Zielsystem behält sein ursprüngliches lokales Passwort.

Wie wirkt sich das auf den Windows Administrator aus?

Der betroffene Computer kann sich nicht mehr im AD authentifizieren und nur manuell erneut synchronisiert werden, was in einer Denial of Service Attacke (DDoS) resultiert. Dennoch hat der Hacker Privilegien innerhalb der Domain.

Dem Angreifer ist es mittels öffentlich verfügbaren Tools möglich, alle NTLM-Hashes (inklusive Domainadmin Hashes) von Benutzern in der Domain zu extrahieren. Demzufolge kann er sich damit am Domain Controller (DC) authentifizieren und diesen übernehmen. Der Angreifer hat jetzt volle Kontrolle über die Domäne. Potenzielle Konsequenzen sind nicht einzugrenzen.

Wer ist von dieser Schwachstelle betroffen?

Betroffen sind Windows Server, die seit August 2020 nicht mehr gepatcht wurden.

Proof of Concept

Für die beschriebene Schwachstelle haben wir innerhalb unserer Red-Team-Testumgebung ein Testszenario erstellt. Wir konnten den im Testszenario erzeugten Datenverkehr untersuchen und die gewonnen Erkenntnisse in die SOC-Erkennungsalgorithmen integrieren.

Im nächsten Schritt wurde in der Testumgebung mit dem Skript https://github.com/zer010bs/zeroscan/blob/master/zerologon_tester-mod.py eine gefälschte Authentifizierung durchgeführt. Durch eine erfolgreiche Authentifizierung im AD konnten wir die Systempasswörter innerhalb dieser Domäne ändern.

Die entsprechenden Hashes konnten wir mit dem secretdump-Skript extrahieren und im AD der Domäne das Domänenpasswort ändern, das sich im lokalen Register des DCs befand.

Nach Abschluss des Testszenarios wurden die durch das SOC erlangten Informationen verifiziert und es konnte eine mehrfache Detektion bestätigt werden.

Malware Emotet: Was tun?

Trojaner Emotet ist zurück

Eine neue Angriffswelle durch die Schadsoftware Emotet verbreitet sich aktuell und hat im ersten Schritt die USA und Großbritannien erreicht. In E-Mails werden Links oder Anhänge übermittelt, die die Betroffenen durch Social Engineering zum Aktivieren der Word-Makros verleiten. Die Schwachstelle Mensch spielt eine entscheidende Rolle, da die Schadsoftware auch in der Lage ist, sich in bestehende Konversationen einzuklinken und folglich Antworten zu senden.

Über die auf dem Zielrechner installierte Schadsoftware werden Informationen gesammelt und eine Ausbreitung im Netzwerk eingeleitet. Erst nach einigen Tagen wird eine Ransomware wie Ryuk nachgeladen, über welche die Systeme verschlüsseln werden. Die Erpresser fordern zumeist hohe Geldsummen in Form von Kryptowährung für die Freigabe der Dateien.

Medienberichten zufolge steht hinter den Angriffen die Hackergruppe „TA542“, auch genannt „Mummy Spider“, die es vorwiegend auf Industrieunternehmen in den USA und Großbritannien abgesehen hat.

Großen Schaden hatte Emotet in der Vergangenheit auch bei Behörden, staatlichen Einrichtungen und Unternehmen in Deutschland angerichtet. Bekannte Fälle wie die Universität Gießen und das Berliner Kammergericht konnten über Tage nur eingeschränkt agieren und mussten Systeme teilweise komplett austauschen.

Was tun im Verdachts- oder Angriffsfall?

Sollten Sie den Verdacht haben (etwa nach dem Klick auf eine unseriöse Mail oder bei der Ausweitung eines Schadcodes im Netzwerk), dass Ihr Unternehmen vom Trojaner Emotet angegriffen wurde oder sollte sich dies bereits bestätigt haben, nehmen Sie unverzüglich Kontakt mit uns auf. Unsere CSOC-Mitarbeiter haben die aktuellen Vorgänge im Blick und sind für den Trojaner und seine Anzeichen sensibilisiert.  Denn das Tückische bei Emotet ist ja: Um möglichst hohen Schaden anzurichten verhält sich der Trojaner zunächst ruhig und kaum bemerkbar. Erst, wenn er sich strategisch verteilt hat, um ein breites Feld zu infizieren, beginnt er mit der Verschlüsselung.

Die systematische Früherkennung im SOC as a Service schließt auch neue Angriffsszenarien wie die von Emotet mit ein, die anhand spezifischer, auf Basis von Phishingmails initiierter Angriffsmuster erkannt werden können. Die frühzeitige Detektion einer solchen Cyberbedrohung verhilft Ihnen zur zeitnahen Reaktion, welche alle bekannten Folgeschäden wie Datenklau oder Verschlüsselung erheblich verringern kann.

Manipulierte Wahlen, zahlungsunwillige Versicherungen, Datenleaks und Black Hats

Manipulierte Wahlen, zahlungsunwillige Versicherungen, Datenleaks und Black Hats

Über die Dimensionen von Hackerangriffen

#phishing #socialengineering #politiker

Wer glaubt, dass Hacker mit ihren Methoden immer nur Geld scheffeln wollen, der täuscht sich. Auch politische oder private Motive bringen Hacker dazu, Schwachstellen in Systemen zu knacken. Die Sueddeutsche hat ein paar brisante Paradefälle der letzten Jahre zusammengefasst, die das Ausmaß von Cyberangriffen deutlich machen sowie ihre Auswirkungen auf Politik und Versicherungen.

Geleaked: 15 Milliarden Zugangsdaten im Netz

#datenleak #passwörter #nutzerdaten

Gerade im Dark Web kursieren einem Bericht von digital shadows zufolge ganze 15 Milliarden Zugangsdaten (Passwort und Benutzername) von überwiegend privaten Nutzern und werden dort von Cyberkriminellen zum Verkauf angeboten. Die Ergebnisse des Reports entstammen einer 18-monatigen Analyse durch das Digital Shadows Photon Research Team und legen die Tücken einer sicheren Accountverwaltung offen.

White Hat versus Black Hat: Rassismusdebatte um Bezeichnungen für Hacker

#blackhats #whitehats

Die aktuelle Rassismusdebatte schließt auch die Welt der Computerhacker nicht aus. Sie entfacht eine Diskussion um die Unterscheidung in Gut und Böse, genauer die „guten“ White Hats, welche IT-Schwachstellen lediglich aufdecken wollen, und die Black Hats, welche die Sicherheitslücken ausnutzen.

  • Weitere Informationen zur Diskussion auf heise.de

Datenschutzkonforme Nutzung von Tools für Videokonferenzen

Datenschutzkonforme Nutzung von Tools für Videokonferenzen

Gastbeitrag von Dr. Christian Lenz (dhpg) auf datensicherheit.de

#dsgvo #videocall #videotools

Covid-19 zwingt Unternehmen in puncto Kommunikation zum Umdenken. Videocalls rücken an die Stelle der Face-to-Face-Konferenzen und müssen einwandfrei funktionieren, aber dabei ebenso rechtskonform sein. Welche Kriterien Sie bei der Tool-Wahl beachten sollten und wie Sie die  datenschutzkonforme Verwendung gelingt erfahren Sie auf datensicherheit.de.