zurück zur Übersicht

Low Five: Top Hacks im November

Es ist Herbstzeit. Während Bäume ihre Blätter abwerfen und Windböen an unseren Dächern rütteln, rüstet sich Europa für den Sturm auf die Einzelhändler im Dezember. Nehmen wir eine heiße Tasse Kakao und werfen einen Blick auf die aktuellen Nachrichten zu Cyber Bedrohungen.

Schwachstellen in Hülle und Fülle!

Es wird immer Schwachstellen geben, wie Gezeiten im Meer. Das Wort „Zero-Day“ erschreckt uns nicht mehr ganz so wie vor einigen Jahren, weil es so viele davon gibt.

Daran gewöhnt man sich.

Diesen November indess gab es eine ganze Menge davon:
Mitte November entdeckte das Forschungsteam, das die Schwachstellen im Bereich Meltdown und Spectre Anfang 2018 entdeckt hatte, ganze sieben neue Angriffsmethoden, die Prozessoren von Intel, AMD und ARM betreffen. Von diesen sieben Schwachstellen sind zwei Meltdown-Varianten und fünf Varianten von Spectre. Die Frage ist wie immer: Panik oder Achselzucken? Was auch immer Sie tun: wir raten prinzipiell von Panik ab, aus Gründen, die wir bereits im Januar erwähnt haben.

Es gab einen Zero-Day in VirtualBox (einer beliebten, größtenteils kostenlosen Virtualisierungssoftware). Dadurch können Angreifer aus der virtualisierten Umgebung ausbrechen und Code auf dem Host ausführen, also genau das, was Virtualisierung in jedem Fall verhindern sollte. Die Sicherheitslücke ist nicht vom Betriebssystem abhängig und betrifft alle Versionen von VirtualBox (5.2.20 und älter). Probleme mit VM-Flucht treten häufig auf, daher besteht auch hier kein Grund, sich gleich in Deckung zu werfen. Aber man sollte auf jeden Fall schleunigst patchen.

Fehler in Google Mail

Darüber hinaus verursachte ein Fehler in der UX in Google Mail die Möglichkeit, den Header von Mails zu manipulieren und das Feld „Von“ zu ändern, wodurch vollständig anonyme E-Mails möglich wurden. Angreifer könnten dies zum Beispiel leicht für Phishing-Angriffe nutzen. Die Sicherheitslücke wurde als „Ghost“ bezeichnet und war möglich, weil die E-Mail-Adresse des Empfängers in den „Von“ -Header eingegeben und mit einem beliebigen Tag, beispielsweise <object>, <script> oder <img>, gekoppelt werden konnte. Nachdem ein Angreifer so z.B. fehlerhafte Bilddaten in das vordere Feld eingefügt hatte, wurde der E-Mail-Absender in ein Leerzeichen umgewandelt. Dies war eine weitere Gelegenheit für Phisher, zusätzlich zu der, über die Sie weiter unten lesen werden.

MFA-Ausfall bei O365 und Azure

Auch Microsoft hat natürlich seinen Beitrag zum November geleistet. Am 19. November wurden unsere Twitter-Timelines von Personen überrannt, die sich ganze 8 Stunden lang nicht in ihre O365- und Azure-Umgebungen einloggen konnten. Ein Fehler bei der Multi-Faktor-Authentifizierung (MFA) von Microsoft Office 365 und Azure Active Directory führte dazu, dass Benutzer und Administratoren gesperrt wurden. Die Ursache für diesen Ausfall war ein MFA-Update. Zehn Tage später stürzte das MFA-System erneut ab, diesmal für drei Stunden.

Offensichtlich ein Ärgernis für jedermann und, für diejenigen, die eine kritische Aufgabe unter Einhaltung von Fristen erfüllen mussten, eine Katastrophe.

Fast die Hälfte der Phishing-Sites sieht echt aus

Phishing-Untersuchungen zeigen, dass Phisher zunehmend SSL-Zertifikate verwenden. Fast die Hälfte der untersuchten Phishing-Sites (49%) verwendeten „https: //“ und zeigten das vermeintlich sichere „Vorhängeschloss“-Icon. Vor einem Jahr betrug die Anzahl der Phishing-Sites mit https: // nur 25%. Opfer von Bankbetrug wissen das schon seit Jahren. Es gibt Banking-Malware, die beispielsweise zusätzlichen Code in den Browser einfügen kann, während das Vorhängeschloss weiterhin angezeigt wird.

Das „grüne Schloss“ teilt dem Benutzer eigentlich aber nur mit, dass die zwischen dem Browser und der Site übertragenen Daten verschlüsselt sind. Es sagt nichts über den Inhalt der Seite oder die Integrität des Betreibers aus. Der Ratschlag „Suche nach dem Schloss“ ist längst veraltet.

Ironie: Das WordPress-Plugin für die DSGVO-Konformität ermöglicht die vollständige Kontrolle der Site

Der Titel sagt alles. Während viele Websites mit GDPR unterschiedlich umgehen, von der Sperrung des Zugangs zum EU-IP-Bereich bis hin zu eleganteren Dingen, bewirkt dieses Plug-in für die Einhaltung der GDPR-Richtlinien, dass die Website für den administrativen Zugriff geöffnet ist, sodass Angreifer beliebige (schädliche) Plugins hochladen können.

Die neueste Version des Plugins löst dieses Problem. Die Ironie des Falles bleibt jedoch unverändert bestehen.

Fröhliche digitale Transformationsbemühungen für alle, bleiben Sie sicher und lassen Sie uns im nächsten Monat aufholen.

Beachten Sie bitte auch unseren Threatbuster-Podcast, in dem Eward die Low-Five mit Experten aus der Security-Branche diskutiert. Sie finden die bisher erschienen Podcasts auf der Threatbuster Seite!

 


Links:

https://thehackernews.com/2018/11/meltdown-spectre-vulnerabilities.html

https://securelink.net/resources/trending/flaws-in-almost-all-cpus-what-now/

https://www.researchgate.net/publication/328938946_A_Systematic_Evaluation_of_Transient_Execution_Attacks_and_Defenses

https://thehackernews.com/2018/11/virtualbox-zero-day-exploit.html

https://nakedsecurity.sophos.com/2018/11/21/microsofts-mfa-is-so-strong-it-locked-out-users-for-8-hours/

https://nakedsecurity.sophos.com/2018/11/29/microsofts-office-365-mfa-security-crashes-for-second-time/

https://krebsonsecurity.com/2018/11/half-of-all-phishing-sites-now-have-the-padlock/

https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/

https://www.theverge.com/2018/11/28/18116213/iranian-hackers-samsam-ransomware-indictment-bitcoin-sanctions-wallet-atlanta

https://www.wired.co.uk/article/samsam-ransomware

https://blog.sucuri.net/2018/11/erealitatea-net-hack-corrupts-websites-with-wp-gdpr-compliance-plugin-vulnerability.html

Bild: ©iStock/RyanJLane/517360575

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer