zurück zur Übersicht

Low Five: Top Hacks im Oktober

Give me „Low Five“!

In dieser neuen Artikelreihe möchten wir aktuelle Top Hacks der vergangenen Wochen vorstellen.

Jeden Monat informieren wir Sie über aktuelle Angriffe, Hacks und Gefahren!

Deloitte

Ein unzureichend gesicherter Admin Account soll Grund für einen unbemerkten, monatelangen Hack auf Kundendaten sein. Wichtige Accounts wurden anscheinend nicht mit der Zwei-Faktor-Authentifizierung abgesichert und ermöglichten den Angreifern Zugriff auf mehrere Millionen E-Mails mit privaten Kundendaten. Unter den erbeuteten Informationen sollen IP-Adressen, Benutzernamen und Passwörter sein. Zu den Betroffenen sollen große, börsennotierte Unternehmen gehören. Die Verwendung des Admin Account ermöglicht den Angreifern unlimitierten Zugriff auf alle Bereiche. Zudem sollen in einem öffentlich zugänglichen GitHub-Repository eine Liste mit VPN-Zugangsdaten und unternehmensinternen Daten gefunden worden sein. Sicherheitsexperten berichteten 7000 bis 12.000 Deloitte-Hosts gefunden zu haben, die mittels Remote Desktop Protocol (RDP) und Server Message Block (SMB, Port 445) frei übers Internet zugänglich gewesen seien.

KRACK

Es gab viele Schlagzeilen zu dem – sogenannten KRACK ( = key reinstallation attacks) – WPA2 Hack. Sicherheitsforscher zeigen, wie sie einen Fehler im WPA2 Protokoll ausnutzen um einen Man-in-the-Middle Angriff zu starten. Sie können den Datenverkehr mitlesen und sogar manipulieren. Diese Schwachstelle betrifft vor allem Unternehmen, für Privatanwender ist die konkrete Gefahr vergleichsweise gering. Der Angriff nutzt den 4-Way-Handshake des WPA2 Protokolls aus, bei dem der Schlüssel zur Verschlüsselung des nachfolgenden Datenverkehrs übergeben wird. Jedoch muss sich der Angreifer in unmittelbarer Nähe befinden, um die Funksignale empfangen zu können.

Einen Kommentar mit ausführlicheren Information zur Vorgehensweise von KRACK finden Sie hier.

NSA Tools in den Händen russischer Hacker

Hackern der russischen Regierung soll es gelungen sein, Spionage Tools der NSA in ihren Besitz zu bringen. Dies gelang über Kaspersky-Software und die Verwendung der gestohlen Tools auf dem Privat Computer einer Externen Mitarbeiters der NSA. Wie das Wall Street Journal berichtet, handelt es sich bei dem Datendiebstahl um streng geheime Daten der NSA. Der Mitarbeiter verwendete, verbotenerweise, die Software auf seinem privaten Computer, auf dem das AV von Kaspersky installiert war. Kaspersky AV soll den Code dann als malicious interpretiert haben. Sicherheitsforscher sowie der israelische Geheimdienst behaupten jedoch, dass die Software die russischen Hacker über die Existenz vermutlicher NSA Software alarmiert hat. Kaspersky wehrt sich gegen die Vorwürfe einer Regierung bei der Spionage zu helfen.

Accenture

Auf vier Cloudservern stand eine riesige Menge an privaten Daten der Öffentlichkeit aus Versehen zur Verfügung. Ein Sicherheitsforscher fand auf den, von Amazon gehosteten, Servern interne E-Mails, Passwörter und Kundendaten. Zudem fanden die Forscher den Master Key für das Key Management System  von Accenture, welches den Angreifern die volle Kontrolle über die verschlüsselten Daten geben könnte.

ROCA Attack

Die Schwachstelle ROCA („The Return of Coppersmith’s Attack“) in Infineon TPM führt zur Erzeugung unsicherer RSA Keys. In den Trusted Platform Modules (TPM) des Baujahres 2012 verbirgt sich eine Schwachstelle mit der der private Key mittels des öffentlichen Keys errechnet werden kann. Der Chip wird nicht nur in Notebooks, Embedded Systems oder mobilen Endgeräten verbaut, sondern auch in elektronischen Reisepässen und Personalausweisen. Der durchschnittlich benötigte Zeit- und Rechenaufwand hängt von der zugrundeliegenden Schlüssellänge ab. Die Schwachstelle kann Identitätsdiebstahl, Entschlüsselung von privaten, sensiblen Daten oder auch das Einschleusen von Malware zur Konsequenz haben.

Bonus-Hack aus der Smartphone-Ecke: DoubleLocker

Wie der Software Hersteller ESET berichtet, kursiert eine Ransomware für Android, die nicht nur die Datenverschlüsselt sondern auch den PIN zur Entsperrung des Handys ändert. Ein Neustart des Gerätes führt somit zum Verlust des Zugriffes. Um die Daten zu entsperren soll innerhalb von 24 Stunden ein Lösegeld von umgerechnet 63 Euro gezahlt werden, ansonsten blieben die Daten dauerhaft verschlüsselt. Der neue Geräte-PIN wird allerdings nicht an die Angreifer übertragen oder gespeichert, daher ist es nicht direkt möglich den Vorgang rückgängig zu machen. Das Zurücksetzen in den Werkszustand soll den Schadcode laut ESET beseitigen, allerdings gehen damit alle Daten verloren. Es hilft in beiden Fällen also nur ein regelmäßiges Backup! Die Ransomware wurde bisher noch nicht im PlayStore gesichtet.

 

 


 

Quellen:

https://www.heise.de/security/meldung/Hunderttausende-Infineon-Sicherheits-Chips-weisen-RSA-Schwachstelle-auf-3864691.html

http://wccftech.com/mega-leak-accenture-exposes-keys-to-the-kingdom/

https://gbhackers.com/nsa-hacking-tools/

https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails?CMP=Share_iOSApp_Other

https://www.golem.de/news/big-four-kundendaten-von-deloitte-offenbar-gehackt-1709-130241.html

https://www.heise.de/security/meldung/Nach-Deloitte-Hack-Neue-Informationen-offenbaren-fragwuerdige-Sicherheitspraktiken-3848505.html

https://www.heise.de/newsticker/meldung/Kaspersky-gehackt-Israelische-Agenten-sollen-russischen-NSA-Hack-entdeckt-haben-3856403.html

https://www.heise.de/newsticker/meldung/Kaspersky-Gruender-wehrt-sich-gegen-US-Vorwuerfe-3865803.html

https://www.heise.de/security/meldung/Die-KRACK-Attacke-Gefahr-und-Schutz-eine-Einschaetzung-3863943.html

https://www.heise.de/security/meldung/Ransomware-DoubleLocker-sperrt-Android-Nutzer-doppelt-aus-3862604.html

Bild: ©iStockphoto.com/RyanJLane/517360575

 

 

Schreibe einen Kommentar