Feuer  Sicherheitswarnungen Gefahr

In diesem Blog möchten wir Kurzinformationen zu aktuellen Sicherheitsrisiken geben,

die vor allem für alle Privatpersonen und Kleinbetriebe interessant sind.

In den jeweiligen Beiträgen finden Sie auch Links zu weiterführenden Informationen zu den jeweiligen Lücken und - soweit verfügbar - auch zu Testseiten.

 

 

   Seit 27. Juni 2017, gibt es eine massive Welle von

   Ransomware-Vorfällen durch eine neue Ransomware, die Ähnlichkeit mit

   den bereits länger bekannten "Petya"/"Pet(r)Wrap" hat.

   Durch das Ausnutzen mehrerer Schwachstellen in Windows-Systemen - für

   die bereits seit längerem Updates zur Verfügung stehen - sowie durch

   veraltete Einstellungen kann die Malware sich im lokalen (Windows-)

   Netzwerk weiterverbreiten.

Beschreibung

   Ransomware (siehe https://cert.at/warnings/specials/20160325.html )

   ist kein neues Phänomen, dieses "Geschäftsmodell" wird schon seit

   Jahren erfolgreich benutzt, um Geld zu erpressen. Die Liste der

   bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky,

   CryptoLocker, TeslaCrypt, Samsam oder Reveton.

   Computer-Würmer sind auch nichts Neues, darunter versteht man

   Programme, die sich selbstständig weiterverbreiten. Dazu enthalten

   sie eine Komponente, die aktiv nach einer Schwachstelle (oder in

   diesem Fall auch veralteten Einstellungen) in anderen Computern

   sucht und diese ausnutzt, um sich selber dorthin zu kopieren und zu

   starten.

   Beispiele für Würmer sind ILOVEYOU, Code Red, Nimda, SQL Slammer,

   Conficker oder Mirai - und noch recht "frisch": WannaCry (siehe

   https://cert.at/warnings/all/20170513.html ).

   Das "innovative" an dieser Wurm-Ransomware ist, dass sie sich nicht

   exklusiv über eine einzige Schwachstelle weiter verbreitet, sondern

   über mehrere sowie über nicht mehr zeitgemässe

   Konfigurationen/Einstellungen.

Auswirkungen

   Durch die Wurm-Funktionalität kommt es zu deutlich schwereren

   Schadensfällen als im Vergleich zu klassischer Ransomware. Je

   nachdem, welche Rechte die Schadsoftware auf einem betroffenem

   System erlangen kann, unterscheidet sich das Verhalten, was genau

   verschlüsselt wird, im Detail.

Betroffene Systeme

   Durch die Wurm-Funktionalität sind alle Windows-Systeme gefährdet,

   die den MS17-010 Patch aus März/April 2017 noch immer nicht

   eingespielt haben (und auch neu gestartet wurden).

   Weiters sind alle (Windows-) Netzwerke akut gefährdet, die es

   erlauben, dass sich Benutzer mit lokalen Admin-Rechten am System

   anmelden, und auch Netzwerke, die über mehrere (bzw. alle) Maschinen

   hinweg gleiche Admin-Accounts verwenden. Dies ermöglicht es der

   Schadsoftware, sich mit legitimen Methoden im Netzwerk auszubreiten.

Abhilfe

     * Betroffene Systeme abschalten: je nach lokalen Gegebenheiten und

       "Fortschritt" der Schadsoftware kann es sein, dass noch nicht

       alle Daten wirklich verschlüsselt sind, und diese (mit Experten-

       Hilfe) wiederhergestellt werden können.

     * Nicht zahlen. Wir empfehlen generell, bei Ransomware-Angriffen

       nicht zu zahlen, um das Geschäftsmodell der Angreifer nicht noch

       zu unterstützen. Im aktuellen Fall ist auch nach Zahlung keine

       Kontaktaufnahme mit den Angreifern zur ܜbermittlung eines

       Entschlüsselungscodes möglich, da die angegebene Email-Adresse

       bereits gesperrt wurde.

     * Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere

       Systeme (Windows XP, Windows Server 2003) die Patches

       freigegeben. Diese sollten dringend auf allen Systemen

       eingespielt, und diese Systeme dann auch neu gestartet, werden.

     * Generische Ransomware Abwehr. Da der initiale Vektor noch nicht

       bekannt ist, sollte die Abwehrstrategie gegen jegliche

       Infektionen überprüft und nachgeschärft werden. Insbesondere

       aktive (Macros, Scripte, ...) Inhalte in eingehenden Mails

       sollten gefiltert werden. Funktionierende und aktuelle Backups

       sind ein essentieller Teil der Ransomware-Abwehr: Dies ist ein

       guter Anlass, dieses Thema zu überprüfen. Auch eine

       Einschränkung der Ausführung von nicht zentral geprüften und

       freigegebenen Prorgrammen könnte helfen.

     * Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls

       sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base

       Artikel 2696547.

     * Erreichbarkeit von SMB Servern von aussen verhindern. Windows

       Fileserver sollten nicht aus dem Internet erreichbar sein.

       Eingehende Anfragen auf Port 445 sollten daher von der Firewall

       unterbunden werden.

     * Isolieren von unpatchbaren Systemen. Falls ein Windows-System

       nicht gegen die SMB-Lücke gepatcht werden kann, so muss dieses

       System vom Rest des internen Netzes isoliert werden.

     * Isolieren von Windows-Clients: von Client zu Client ist im

       Normalfall keine Kommunikation notwendig. Microsoft regt auch

       an, anzudenken ob man WMI und File Sharing nicht generell

       abdrehen könnte. Da dies potentiell gravierende Auswirkungen auf

       den normalen IT-Betrieb haben kann, können wir dies nicht

       allgemein empfehlen.

     * Restriktive Benutzer-Rechte: Benutzer sollten nie mit lokalen

       Admin-Rechten ausgestattet sein.

     * Unterschiedliche Admin-Accounts je Client-Rechner: es sollte für

       jeden Client-Rechner einen eigenen lokalen Admin-Account geben.

       Microsoft stellt dazu ein eigenes Tool (LAPS) bereit.

     * "Pass-the-hash"-Mitigation: siehe

       https://www.microsoft.com/passthehash.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches

   Update"-Features von Software zu nutzen, für alle Arten von

   Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-

   Funktionalitäten von Internet-Browsern zurückzugreifen, sowie

   parallel Firewall-Software aktiv und den Virenschutz aktuell zu

   halten.

     __________________________________________________________________

   Informationsquelle(n):

   * Hinweise von Microsoft (englisch)

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

   * MS17-010 (englisch)

   https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

   * Artikel bei Heise Security

https://www.heise.de/security/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html

--

// CERT Austria - Robert Waldner <Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!> // http://www.cert.at/

 

Diesen Beitrag teilen

0

Nach aktuellen Informationen werden zwar nur die Versionen 9 bis 11 derzeit angegriffen, es sind aber auch die Versionen 6 bis 8 betroffen.

Über diese Schwachstelle kann beliebiger Code auf dem Browser PC ausgeführt werden.

Ein Update von Microsoft ist derzeit NICHT verfügbar.

An der Lösung wird gearbeitert.

Abhilfe:

  • Bis ein Update, oder Patch von Microsoft bereitgestellt wird, wird empfohlen auf andere Webbrowser (Chrome, Firefox,..) auszuweichen.
  • Halten Sie Ihr System immer auf dem neuesten Stand und installieren Sie die letzten Sicherheitsupdates!

 

Weitere Infos:

Diesen Beitrag teilen

0

Wie Anfang April bekannt wurde, wurden durch die Lücke in OpenSSL bereits sehr viele vertrauliche Daten, wie Benutzernamen, EMail und Passwörter aufgezeichnet und auch missbräuclich verwendet.

Davon betroffen kann JEDER sein, der auf einer kompromittierten Webseite sich mit seinen Daten eingeloggt hat.

Aber auch Webmaildienste wie GMX, Web.de und viele Provider mit EMail-Diensten sind /waren betroffen.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat einen Sicherheitstest eingerichtet, der einen möglichen Diebstahl von EMail Zugangsdaten überprüft.

Abhilfe:

  • Ändern der Passwörter / Zugangsdaten

Ein sicheres Passwort besteht aus mind. 8, besser 12 Zeichen! ("3 aus 4" --> Großbuchstaben, Kleinbuchstaben, Zahlen oder Sonderzeichen)

 Tipps für Passwörter

Weitere Infos:

auf Heise:

auf Cert:

 

 

Diesen Beitrag teilen

0

Bereits im Februar wurde bekannt, dass durch eine Lücke in den meisten Fritz!Boxen Passwörter ausgespäht werden können und dadurch auch schon ein massiver Schaden entstanden ist (Unbefugte VoIP Telefonate)

Aktuelle Scans zeigen, dass noch immer 34% der Router ungeschützt und verwundbar sind.

Details und weiter Checks finden Sie auf Heise Security

Abhilfe schafft nur ein aktuelles Update der Firmeware und das Ändern sämtlicher Router Passwörter, da diese bereits seit längerer Zeit in kriminellen Händen sein könne.

Abhilfe:

  • Update Check
  • Fernzugriff abschalten und
  • Passwörter ändern

 

 

 

Diesen Beitrag teilen

0
   
© Ing. Harald Lehr