Comretix Blog

Auf dem Portal Polizei-Praevention.de warnt das LKA Niedersachsen aktuell vor der Betrugsmasche mit Erpresser-E-Mails, bei denen die Täter behaupten, angeblich kompromittierende Aufnahmen des Opfers zu besitzen. Sie drohen damit, diese vermeintlichen Aufnahmen zu veröffentlichen und verlangen ein Lösegeld.

Anzeige

Die Kriminalbeamten erklären in der Warnung, dass diese Betrugsmasche seit 2018 ständig auftritt. In diesen Spam-artig versendeten Mails behaupten die Täter meist, den Mailaccount der angeblichen Opfer oder sogar ihre Rechner mit Spyware infiziert zu haben. Dadurch hätten sie die Opfer insbesondere beim Besuch pornografischer Webseiten beobachtet und dabei aufgezeichnet. In einigen Fällen stehen in den Erpresser-Mails sogar korrekte Passwörter oder postalische Anschriften. Und laut LKA Niedersachsen ist die Variante, dass die Betrüger Bilder aus der konkreten Umgebung der Opfer mitschicken, nicht mehr nur auf die USA beschränkt.

"Diese Maßnahmen treffen die Täter, damit Sie als Empfänger die Behauptungen aus der Mail glauben, Angst bekommen und den geforderten Betrag in Bitcoins oder anderen Cryptowerten bezahlen", erklären die Beamten. Solche Daten stammten jedoch in der Regel aus kopierten Datenbanken etwa bei Onlineshops oder anderen Firmen, ergänzen die Niedersachsen. Auch das Abgreifen solcher Informationen etwa durch Fake-SMS wie gefälschten Paket- oder Zoll-Benachrichtigungen und der daraus erfolgten Eingabe von Echtdaten durch Empfänger könne eine Quelle sein.

Aufhänger für die jetzige Warnung ist eine konkrete betrügerische E-Mail, die die Strafverfolger erhalten haben. Allerdings gehe es nicht um die Warnung vor einer konkreten neuen Welle, sondern darum, dass diese Betrugsmasche beständig auftritt. Die Beamten raten Empfängern dieser Mails dazu, nicht darauf zu antworten und auch kein Geld zu zahlen. Auch dann nicht, wenn die Mail persönliche Daten enthält. Sofern genannte Daten wie Passwörter konkreten Konten zuzuordnen sind, sollen Empfänger dort das Kennwort ändern und idealerweise Zwei-Faktor-Authentifizierung aktivieren, oder gar auf Passkeys umstellen. Ob das eigene E-Mail-Konto in solchen Datenlecks auftaucht und daher Zeil von solchem Spam ist, lässt sich mit dem Identity Leak Checker des Hasso-Plattner-Instituts oder beim Have-I-been-Pwned-Projekt überprüfen.

Wenn Windows sich seltsam verhält und der Verdacht auf Virenbefall besteht, liegen die Nerven verständlicherweise blank. Doch keine Panik: Mit dem neuen c't-Sicherheitstool Desinfec't 2024/25 machen Sie Trojanern den Garaus und kopieren Ihre wichtigsten Daten von einem nicht mehr startenden PC auf einen USB-Stick. Die aktuelle Ausgabe von Desinfec't ist ab sofort erhältlich.

Anzeige

Nach dem Kauf laden Sie das Sicherheitstool herunter und installieren es auf einem USB-Stick. Das ist gar nicht schwer und im Heft hilft Ihnen dabei eine bebilderte Schritt-für-Schritt-Anleitung. Weil Desinfec't auf dem Live-Linux-System Ubuntu 22.04.5 LTS basiert, starten Sie Ihren Computer direkt vom Stick. Das bringt den großen Vorteil mit sich, dass mögliche Trojaner in einem inaktiven Windows stillgelegt sind. Demzufolge scannen Sie das System ohne Risiko.

Schlagen die integrierten Scanner von etwa Eset und WithSecure Alarm, können Sie die Funde in der Ergebnisliste begutachten und zur Prüfung von möglichen Fehlalarmen zum Onlineanalysedienst Virustotal hochladen. Damit aktuelle Viren nicht durchrutschen, sind ein Jahr lang gratis Signaturupdates inklusive. Natürlich können Sie Trojaner auch mit wenigen Mausklicks unschädlich machen.

Wer sich nicht so gut mit Computern auskennt, nutzt einfach den Easy Scan. In diesem Modus startet Desinfec't ohne Umwege einen Scan mit Eset und nichts lenkt davon ab. Wer gar nicht weiterkommt, ruft über den integrierten Fernwartungsclient den Familienadmin zu Hilfe.

Dass Programmiersprachen wie Rust dazu beitragen, speicherbezogene Schwachstellen zu reduzieren, ist keine neue Idee. Google stellt in einem neuen Bericht vor, wie der Ansatz aber selbst in komplexen Projekten wie Android einen Mehrwert bringt, und nennt Safe Coding als strategisches Programmier-Paradigma.

Anzeige

Im aktuellen Bericht zu seiner Safe-Coding-Strategie hebt das Unternehmen hervor, dass der Anteil der Sicherheitslücken durch Speicherprobleme stark von der verwendeten Programmiersprache abhängt. Bei Android machten diese 2019 noch 76 Prozent aller Schwachstellen aus, sind aber bis 2024 auf 24 Prozent gesunken – deutlich unter dem Branchendurchschnitt von 70 Prozent.

Bekannt ist, dass Speicherfehler oft schwerwiegendere Folgen haben als andere Fehlerkategorien. Typischerweise adressieren Entwickler diese Fehler mit reaktiven Maßnahmen, also mit einer Fehlerbehebung nach Bekanntwerden einer Schwachstelle. Die nächste Stufe zur Fehlervermeidung sind proaktive Abwehrmaßnahmen, wie Exploit Mitigations, die Angriffe erschweren, aber Performanceeinbußen mit sich bringen können. Schließlich setzen Entwicklungsteams noch auf proaktive Maßnahmen, zum Beispiel per Fuzzing oder Code-Analyse, was jedoch meist nur die Symptome von Schwachstellen lindert.

Doch diese Ansätze beantworten noch nicht die Frage, wie sich Maßnahmen bezahlbar skalieren und in große, wachsende Projekte integrieren lassen, deren Codebasen kontinuierlich anwachsen.

Podcast-Host Sylvester konstatiert "schwärende Eiterbeulen der IT-Security", und derer gleich mehrere. Was den c't-Redakteur zu dieser blumigen Formulierung verleitete (Spoiler: Es hat mit einem Softwarekonzern aus Redmond zu tun), erfahren Hörer in der News-Episode 15 des Podcasts von heise Security. Aber auch die Gefahren bei der Übermittlung konspirativer Nachrichten und Seitenkanal-belauschbare Sicherheitsschlüssel kommen nicht zu kurz.

Anzeige

In der Groupware Zimbra klafft eine Sicherheitslücke, die das Einschleusen und Ausführen von Schadcode ermöglicht. Angreifer missbrauchen die Schwachstelle bereits in freier Wildbahn. IT-Verantwortliche mit Zimbra-Installationen sollten die bereitstehenden Aktualisierungen zügig installieren.

Anzeige

Die IT-Sicherheitsforscher von Proofpoint haben Informationen auf X zu den Angriffen auf die Zimbra-Lücke veröffentlicht. Demnach haben die Angriffe auf die Schwachstelle mit der CVE-Nummer CVE-2024-45519 bereits am 28. September begonnen. Angreifer haben dabei E-Mails mit gefälschter Gmail-Absenderadresse an gefälschte E-Mail-Adressen im CC:-Feld geschickt und so versucht, Zimbra sie verarbeiten und als Befehle ausführen zu lassen. Die Adressen enthielten Base64-kodierte Zeichenketten, die mit sh an der Shell ausgeführt werden. Der eigentliche Schadcode stammt von demselben Server, von dem auch die Exploit-E-Mails stammen. Die Ursache dafür hat Proofpoint noch nicht herausgefunden. Die Zuordnung der Angreifer zu bekannten kriminellen Gruppierungen ist derzeit ebenfalls noch unklar.

Einige E-Mails vom gleichen Versender haben eine Reihe von CC:-Adressen genutzt und versucht, damit eine Webshell auf verwundbaren Zimbra-Servern einzurichten. Die komplette CC:-Liste ist in einen String verpackt. Sofern man die Base64-Blobs verbindet, dekodieren sie in einen Befehl, der eine Webshell in die Datei /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp schreibt. Die Webshel selbst hört auf eingehende Verbindungen mit einem bestimmten JSESSIONID-Cookie-Feld. Sofern das vorhanden ist, verarbeitet die Webshell das JACTION-Cookie und sucht nach Base64-kodierten Befehlen.

Die Webshell kann Befehle mittels exec ausführen oder Dateien über eine Socket-Verbindung herunterladen und ausführen, schließt die Proofpoint-Analyse. Interessierte finden mehr Details bei Projectdiscovery. Die IT-Forscher analysieren in einem Blog-Beitrag die Sicherheitslücke in Zimbra und stellen anhand der Funde die Entwicklung eines Exploits vor. Der funktioniert erst, nachdem die IT-Analytiker die Option "postjournal" aktiviert haben, was standardmäßig offenbar nicht der Fall ist.

Die Ermittlergruppe Cronos rund um die britische NCA und das US-Justizministerium meldet erneut Erfolge im Kampf gegen die Ransomware-Bande Lockbit. Die Strafverfolger veröffentlichten mittels Pressemitteilung und Darknet-Leaksite Details zu Festnahmen, Beschlagnahmungen und Sanktionen. An mehreren Orten nahmen Fahnder Lockbit-Affiliates fest, also selbstständige Kriminelle, die die Software und Infrastruktur der Bande gegen einen Anteil an Lösegeldern nutzen durften.

Anzeige

In Frankreich ging den Fahndern ein, so die Mitteilung, "großer Lockbit-Akteur" ins Netz. Der Person, deren persönliche Daten die französischen Behörden nicht veröffentlichten, wurde offenbar ein Urlaub außerhalb Russlands zum Verhängnis, ihr droht nun die Auslieferung nach Frankreich. Es soll sich um einen der Entwickler der Ransomware handeln.

Zwei Festnahmen im Zusammenhang mit der Ransomware-Bande meldet die britische NCA aus ihrem Heimatland. Den Verdächtigen wird vorgeworfen, an Erpressung und Geldwäsche für die Lockbit-Bande mitgewirkt zu haben – die Ermittler geben an, durch die im Februar erbeuteten Lockbit-Daten auf die Spur der Männer gekommen zu sein.

Die spanische Guardia Civil griff unterdessen am Flughafen Madrid zu: Sie nahm den Betreiber eines "Bullet Proof Hosters", der den Betrieb von Lockbit-Servern in seinem Rechenzentrum ermöglicht hatte, fest. Insgesamt neun Server beschlagnahmte die Guardia Civil und erlangte so Informationen über die Bande und ihr Vorgehen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Nutzung von Passkeys und hat zur Erlangung eines Lagebilds eine Umfrage unter Verbrauchern zum Thema Passkeys in Auftrag gegeben. Sie zeige eine positive Nutzerresonanz, allerdings auch Nachholbedarf bezüglich der Bekanntheit.

Anzeige

Deutschlands oberste IT-Sicherheitsbehörde erörtert, dass gestohlene oder erratene Passwörter Identitätsdiebstahl von Verbraucherinnen und Verbrauchern oder sogar Zugang zu Unternehmensnetzwerken ermöglichen. Nutzernamen-Passwort-Kombinationen gelten daher inzwischen als unsicher, während Zwei-Faktor-Authentifizierung etwas Milderung verschaffen könne, aber von vielen als umständlich empfunden werde. Das BSI sieht in Passkeys die Lösung für das Problem, sie bieten ein deutlich höheres Sicherheitsniveau als herkömmliche Verfahren.

Von den Befragten kannten immerhin 38 Prozent den Begriff Passkeys. Lediglich 18 Prozent setzen sie jedoch auch ein. Diejenigen, die Passkeys bereits einsetzen, haben zu 72 Prozent ein hohes oder sehr hohes Vertrauen in das Verfahren. Wer es nutzt, mag es auch: Die unkomplizierte Einrichtung, die schnelle Anmeldung und die hohe Nutzungsfreundlichkeit werten sie positiv, fasst das BSI auf der Webseite mit den Umfrageergebnissen zusammen.

Die Option für die Nutzung von Passkeys ist der Umfrage zufolge "für Verbraucherinnen und Verbraucher schwer zu erkennen und wird deshalb oft mit anderen Verfahren verwechselt", schreibt das BSI. Daher müssten Anbieter hierüber besser informieren und aufklären.

Der iX-Workshop IT-Sicherheit: Aktuelle Angriffstechniken und ihre Abwehr beschäftigt sich mit aktuellen Angriffstechniken und den sich daraus ergebenden notwendigen Schutzmaßnahmen für Ihre IT-Systeme vor potenziellen Angriffen. Ausgehend von der aktuellen Bedrohungslage im Bereich der IT-Sicherheit lernen Sie praktische Strategien und Techniken zur Abwehr häufig auftretender Angriffe kennen. In einer Laborumgebung demonstriert Referent Oliver Ripka typische Angriffstechniken und stellt nützliche Tools vor, mit denen Sie selbst Angriffe erkennen und abwehren können.

Anzeige

Am Ende des Workshops haben Sie ein Verständnis dafür entwickelt, wie Angreifer vorgehen und welche konkreten Schutzmaßnahmen Sie ergreifen können, um Ihre Systeme sicher zu machen. Auf Basis dieses Wissens lernen Sie, die Schwachstellen und Angriffsmöglichkeiten Ihrer eigenen IT-Infrastruktur zu bewerten und die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen einzuschätzen.

Oliver Ripka ist ein erfahrener Sicherheitsberater und Trainer bei Söldner Consult. Als Experte für Netzwerksicherheit liegen seine fachlichen Schwerpunkte in den Bereichen offensive Sicherheit und Netzwerkanalyse.

Der nächste Sicherheitsworkshop findet am 11. und 12. November 2024 online statt und richtet sich an IT-Administratoren, die ihren Blick für IT-Sicherheit schärfen wollen, sowie an Interessierte, die einen Überblick über die Funktionsweise von Cyberangriffen erhalten möchten.

Gezielte Angriffe auf kritische Bereiche von Produktionsanlagen werden immer häufiger. „Die Risiken haben in den letzten Jahren deutlich zugenommen und die zusätzliche europäische Regulierung stellen zusätzliche Anforderungen an die OT-Security“, betont Dozent Prof. Dr. Karl-Heinz Niemann von der Hochschule Hannover. Er vertritt das Lehrgebiet Prozessinformatik und Automatisierungstechnik und blickt auf eine langjährige Industrietätigkeit in der Entwicklung von Automatisierungssystemen zurück.

Anzeige

Gerade jetzt ist es daher wichtiger denn je, sich umfassend über IT-Sicherheit zu informieren und weiterzubilden. Und genau hier setzt der Zertifikatskurs IT-Sicherheit in Produktionsanlagen der HsH-Akademie in Kooperation mit iX an: Mit dem Schwerpunkt Operational Technology richtet sich die Weiterbildung an Personen, die direkt für den Schutz von Produktionsanlagen zuständig sind oder Schnittstellen zur OT-Security im Arbeitsalltag haben. Grundkenntnisse in der Automatisierungstechnik sind Voraussetzung.

In 24 Unterrichtseinheiten werden die Teilnehmenden an drei Wochenenden durch umfassende Inhalte in Theorie und Praxis geführt, die sich an den Empfehlungen für Fortbildungs- und Qualifizierungsmaßnahmen im ICS-Umfeld des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientieren.

Im Mittelpunkt des Kurses steht die OT-Security, ein zunehmend kritischer Bereich für Produktionsanlagen. Ein Highlight des Kurses ist die umfassende Betrachtung der OT-Security-Norm IEC 62443, die besonders für Personen von Interesse ist, die sich mit Betrieb und Planung von Produktionsanlagen sowie der Herstellung von Automatisierungskomponenten befassen.

Microsoft bringt den VPN-Dienst für Microsoft Defender jetzt auch nach Deutschland. Der Dienst soll das Surfen in unsicheren, offenen WLANs absichern, werben die Redmonder.

Anzeige

In einem Techcommunity-Beitrag schreibt ein Microsoft-Mitarbeiter, dass Microsoft Defender for Individuals, das ein Microsoft 365 Family- oder Personal-Abonnement voraussetzt, nun in mehr Ländern die VPN-Funktion erhält. Das Microsoft-VPN soll die Privatsphäre schützen, auch, wenn Benutzerinnen und Benutzer in unsicheren, offenen WLANs unterwegs sind.

In den vergangenen Monaten habe Microsoft daran gearbeitet, den Privatsphärenschutz zu vereinfachen. Eine automatische Erkennung und Benachrichtigung über unsichere WLAN-Verbindungen soll dazu beitragen. Der Hinweis soll in der Defender-App das umgehende Aktivieren der VPN-Verbindung ermöglichen.

Der Privatsphärenschutz (VPN) steht nun auf allen Geräteplattformen bereit, erklärt Microsoft, sowohl unter Android als auch in iOS, macOS und Windows. Die Funktion ist ab sofort in Deutschland, Großbritannien, Kanada und den USA verfügbar. In Kürze sollen zehn weitere Länder in Asien, Europa und Lateinamerika hinzukommen.

Das Web-Interface zahlreicher Drucker, Scanner und Netzwerk-Schnittstellen-Produkte aus dem Hause Seiko-Epson ermöglicht Angreifern, diese zu übernehmen. IT-Verantwortliche sollten den Workaround auf betroffenen Geräten umgehend umsetzen.

Anzeige

Epson warnt in einer Mitteilung vor der Sicherheitslücke. Sie betrifft das Web-Interface der verwundbaren Geräte, mit dem sich der Status einsehen oder Einstellungen ändern lassen. Auf einigen Geräten kann das Web-Interface auch "Remote Manager" heißen, erörtern die Entwickler. Sofern das Administrator-Kennwort nicht gesetzt wurde und leer ist, können Angreifer darauf zugreifen und ein eigenes Passwort vergeben. Dadurch können sie die Kontrolle über verwundbare Geräte übernehmen und sie aus der Ferne steuern (CVE-2024-47295, CVSS 8.1, Risiko "hoch").

Beim ersten Aufruf des Web-Interfaces betroffener Geräte fragt es üblicherweise an, das Admin-Passwort zu setzen. Als Gegenmaßnahme empfiehlt der Hersteller, dass IT-Verantwortliche das Web-Interface der verwundbaren Geräte aufrufen. Dort sollen sie dann einfach das Administrator-Passwort setzen, um Angreifern keine Chance zu geben, das vor ihnen zu tun.

Lässt man den Webbrowser die Mitteilung von Epson etwa auf Deutsch oder Englisch übersetzen, findet sich darin eine umfangreiche Liste von verwundbaren Geräten. Sie reicht von Tintenstrahldruckern, Laserdruckern, Nadeldruckern oder Großformatdruckern über Bon-Drucker und Scanner hin zu Netzwerk-Schnittstellen-Produkten. Andere als die gelisteten Produkte seien nicht betroffen, da diese ab Werk ein Administrator-Passwort vergeben hätten.

IT-Sicherheitsbehörden der sogenannten Five-Eyes-Staaten Australien, Großbritannien, Kanada, Neuseeland und den USA haben einen Ratgeber veröffentlicht, der Organisationen bei der Absicherung ihrer Active Directories (AD) helfen soll. Insgesamt 17 übliche Techniken, die Angreifer zum Kompromittieren von ADs einsetzen, stellen sie unter anderem auf 68 Seiten vor.

Anzeige

Das englischsprachige PDF stellt dabei die einzelnen Angriffe vor, wie bösartige Akteure sie einsetzen, und empfiehlt Strategien, diese Attacken abzuwehren. Die Umsetzung der empfohlenen Maßnahmen helfe Organisationen, ihre AD-Sicherheit signifikant zu verbessern und Einbrüche durch Cyberkriminelle zu verhindern.

Die Autoren führen aus, dass Microsofts Active Directory die weit verbreitetste Lösung zur Authentifizierung und Autorisierung in der Enterprise-IT ist, und das global. AD bietet mehrere Dienste, einschließlich Active Directory Domain Services (AD DS), Active Directory Federation Services (AD FS) und Active Directory Certificate Services (AD CS). Diese böten wiederum mehrere Authentifizierungsoptionen wie Smart-Card-Log-ins oder Single Sign-on mit On-Premises- oder cloudbasierten Diensten. Aufgrund dieser herausragenden Rolle in der Authentifizierung und Autorisierung sind ADs ein wertvolles Ziel für bösartige Akteure. Sie greifen ADs routinemäßig im Rahmen bösartiger Aktivitäten in Unternehmensnetzen an.

Active Directory ist aufgrund seiner laxen Standardeinstellungen, komplexen Beziehungen und Berechtigungen, der Unterstützung von veralteten Protokollen und dem Mangel von Werkzeigen zur Erkennung von AD-Sicherheitsproblemen anfällig für Kompromittierung, stellen die IT-Experten aus dem internationalen Zusammenschluss fest. Da jeder Nutzer im AD ausreichend Rechte zum Erkennen und Ausnutzen von Schwachstellen innehat, ist die Angriffsfläche von ADs immens groß und sie lasse sich schwer verteidigen. Das begünstigen die Komplexität und Undurchsichtigkeit der Beziehungen zusätzlich, die in einem AD zwischen unterschiedlichen Nutzern und Systemen bestehen. Oftmals würden diese versteckten Beziehungen von Organisationen übersehen und von Angreifern missbraucht, um vollständige Kontrolle über das Netzwerk einer Organisation zu erhalten.