Sicherheitslücke bei Komponente log4j gefährdet eine Vielzahl von Systemen

Bei der weitverbreiteten Logging-Komponente log4j 2 ist am Freitag eine schwerwiegende Schwachstelle bekannt geworden, ein Zero-Day-Exploit. Das BSI hat am Wochenende die höchste Warnstufe rot dafür ausgerufen, da es vermehrt zu Angriffen kam.

Das log4j-Framework ist als Java-Bibliothek in viele Systeme integriert, insbesondere bei webbasierten Anwendungen, die dadurch angreifbar sein können.

Die Entwickler der Open Source Software haben umgehend einen Patch und Hinweise zur Abstellung der Schwachstelle veröffentlicht. Eine Anpassung der Systeme ist dringend geboten. An der TU wurden die zentralen Dienste bereits angepasst bzw. sind temporär nur eingeschränkt verfügbar.

Weitere Informationen

Nachtrag vom 15. Dezember

Es ist wohl schlimmer als gedacht: Letztlich handelt es sich um ein grundsätzliches Problem der Spezifikation der Programmiersprache, da diese zur Laufzeit ein (Nach)laden von Variablen und ihren Werten aus externen Quellen erlaubt. Daher sind solche problematische Schwachstellen auch schwer im Code zu erkennen. Überdiese Art von Schnittstellen verfügt nicht nur Java, es ist ein gängiges Konzept. Leider kein Sicherheitskonzept. Zumindest bleibt zu hoffen, dass die log4j-Schwachstelle ein Umdenken anregt.

SMS mit Links auf Schadsoftware-Webseiten

Leider werden viele Phishing-Mails oder Links auf Schadsoftware-Webseiten versandt, die nicht so offensichtlich sind.

Nun häufen sich aber auch SMS und andere Nachrichten, die versuchen uns auf infizierte Webseiten zu lenken:

Ob sie gezielt an adressiert sind oder nur zufällig gesandt werden macht dabei keinen grundsätzlichen Unterschied. Da SMS-Benachrichtigungen oft ein Mittel der Wahl sind, sollte mensch darin ggf. enthaltene Links nur nach genauer Überprüfung aufrufen.

Darum:

Augen auf!
Ein Link auf eine infizierte Webseite in einer SMS oder E-Mail ist schnell geklickt.

Dabei kann sich ein Trojaner einnisten, der nicht nur abhören, sondern auch Bankgeschäfte tätigen oder Erpressungszahlungen fordern könnte.

Und leider sind viele Smartphones technisch nicht mehr sicher, da ältere Modelle keine Updates mehr erhalten (wir sprechen hier teilweise von ein Jahr alten Geräten!).

In manchen Fällen hilft dann nur ein Zurücksetzen auf die Werkseinstellungen…

Weitere Informationen

 

 

 

Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner

Ein Länder-übergreifendes Recherchenetzwerk hat den Skandal um die Schadsoftware Pegasus der israelischen NSO Group aufgedeckt, mit der Smartphones infiziert werden können.

Der „Staatstrojaner als Service“ der NSO Group ähnelt den „Ransomware als Service“ Ansatz von Hackern, mit dem wesentlichen Unterschied, dass er legal von staatlichen Akteuren beauftragt wird.

Offiziell wird das Tool zur Terrorverfolgung lizenziert, letztlich steht es den Nutzern aber frei, ihre Ziele „Targets“ auszuwählen. Unter den gut zahlenden Kunden sind autoritäre Staaten, die damit auch Systemkritiker, Journalisten und Anwälte ausspionieren. Selbst bekannte Politiker wie Macron sollten ausgespäht werden.

Am Deutlichsten wird die Verbindung zwischen der Überwachung mit NSO’s Pegasus-Trojaner und physischer Gewalt beim ermordeten saudi-arabischen Journalisten Jamal Khashoggi, aber auch Menschenrechtsaktivisten in Mexiko und Indien sind massiv betroffen.

In diesem Beitrag geht es um die Funktionsweise der Spionagesoftware sowie das fragwürdige Geschäftsmodell der milliardenschweren NSO Group.

„Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner“ weiterlesen

SolarWinds SUNBURST – Massiver Cyber-Angriff auf US-Regierung und tausende Unternehmen weltweit

Es liest sich wie das Who-is-Who der amerikanischen Großunternehmen: Cisco, Dow Chemical, Ernst and Young, Ford, Lockheed Martin, MasterCard, Microsoft und viele andere sind betroffen, ebenso die US-amerikanische Energiebehörde, die NASA, das Pentagon, das US Militär und weitere Regierungseinrichtungen. Inwieweit europäische Unternehmen und Regierungen betroffen sind, ist noch nicht bekannt.

Von US-Seite wird geäußert, dass der Angriff aufgrund seiner Komplexität und Reichweite von einer fremden Macht (Russland) ausgeführt wurde, was seitens Russlands umgehend auf Facebook bestritten wurde.

Bereits im März ist es Hackern gelungen, administrativen Zugriff auf die Windows-Serverlandschaft vieler Unternehmen zu erlangen und sich dort dauerhaft einzunisten. Die Hacker haben nicht nur über lange Zeit und in großem Umfang Daten abgezogen „exfiltriert“ sondern es sogar geschafft, System-Accounts zu übernehmen. In einigen Fällen wird es nötig sein, sowohl die Server neu aufzusetzen als auch die eingebundenen Verzeichnisdienste zu bereinigen (d.h. die Accounts im Microsoft Active Directory).

Es scheint der erfolgreichste Hacker-Angriff aller Zeiten zu sein.

„SolarWinds SUNBURST – Massiver Cyber-Angriff auf US-Regierung und tausende Unternehmen weltweit“ weiterlesen

Hacker-Angriffe auf Remote Desktop Zugänge im TU Netz abgewehrt

Insbesondere beim Arbeiten im Homeoffice erfolgt der Zugriff auf den Dienstrechner durch einen sogenannten Remote Access (Fernzugriff).

Dieser Fernzugriff kann bei Windowsrechnern unter anderem über das Windows-eigene Remote Desktop Protokoll (RDP) erfolgen, welches bei nicht geeigneter Einstellung anfällig gegenüber von Hackerangriffen ist.

Aufgrund einer Reihe andauernder Angriffe hat die TU Berlin den Remote-Desktop-Service von außerhalb sperren müssen. Ein Fernzugriff mit RDP ist vom Homeoffice aus somit nur noch über das geschützte VPN (Virtuell Private Network) möglich.

„Hacker-Angriffe auf Remote Desktop Zugänge im TU Netz abgewehrt“ weiterlesen