Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Cyber Security Challenge 2019
17. Mai 2019

Auch heuer veranstaltet der Verein Cyber Security Austria gemeinsam mit dem Abwehramt die Austria Cyber Security Challenge, quasi das Äquivalent zu den Mathe/Chemie/Latein/... - Olympiaden für Cyber Security.

Über das Jahr hinweg werden einerseits die Staatsmeister ermittelt, aber auch das österreichische Team für den Europäischen Wettbewerb ausgesucht.

Aus der Pressemeldung:

Die Cyber Security Challenge wurde ins Leben gerufen um junge Talente frühzeitig zu erkennen und zu fördern. Damit sollen den Jugendlichen berufliche Perspektiven aufgezeigt und gleichzeitig für die österreichische Wirtschaft jene Cyber Security Experten herangebildet werden, die sie so dringend braucht. Doch die Cyber Security Challenge ist nicht nur ein Wettbewerb sondern auch eine Plattform, in der sich fähige Jugendliche und zukünftige Arbeitgeber treffen bzw. wo sich ein tragfähiges Netzwerk für Österreichs Sicherheit im Cyberspace heranbildet.

Dabei können nicht nur Jugendliche sondern auch die besten Österreichs ihr Können bei zahlreichen Herausforderungen in den Kategorien Web, Crypto, Reverse Engineering, Exploitation und Forensik und anderen unter Beweis stellen.

Alle Infos gibt es unter www.verbotengut.at.

Autor: Otmar Lendl

Der Teufel steckt im Detail - und sollte trotzdem nicht ignoriert werden!
15. Mai 2019

Es ist erst Mittwoch, und schon jetzt hat sich diese Woche in der Securitywelt einiges getan.

Eine kritische Sicherheitslücke in WhatsApp wurde öffentlich (was Bloomberg dazu verleitet fälschlicherweise zu behaupten, Ende-zu-Ende Verschlüsselung sei "pointless"), im Hardwaredesign von Cisco gibt es eine Schwachstelle (die erste Schwachstelle, deren Name aus Emojis besteht .. die Woche ist wirklich nicht gut für meinen Blutdruck) und neue Angriffe auf (hauptsächlich) Intel-CPUs wurden bekannt.

Das sind die Dinge, die bis jetzt den Grossteil der medialen Aufmerksamkeit in dem Bereich auf sich gezogen haben, und das ist nicht falsch, das sind Dinge über die es sich - in jeder Hinsicht - zu berichten lohnt. Jedoch möchte ich ein wenig Aufmerksamkeit auf ein Event lenken, welchem normalerweise aufgrund seiner Regelmässigkeit relativ wenig Beachtung geschenkt wird - dem Microsoft Patch Day.

Genauer gesagt einer der Schwachstellen, die mit diesem gepatcht wird: CVE 2019-0708. Kurz und knapp:

  • Remote Code Execution in RDP
  • Präsent in allen Versionen von Windows bis inklusive Windows 7 / Windows Server 2008R2
  • Keine Authentifizierung notwendig
  • Keine bekannte Ausnutzung "in the wild", erster PoC-Code kursiert bereits
Auch wenn es wohl offensichtlich ist: RDP ist kein unpopuläres Protokoll. Die Zahlen variieren, je nachdem welchen der vielen Internetscanner man befragt, aber alleine in Österreich sind zwischen 5.000 und rund 30.000 Geräte zu finden, die auf Port 3389 erreichbar sind. Nicht eingerechnet sind die vielen Geräte, deren einzige Sicherheitsmassnahme zu sein scheint, RDP auf Port 3388 lauschen zu lassen.

Weltweit geht die Zahl der Geräte in die Millionen, und selbst wenn nur ein Bruchteil davon verwundbar sein sollte kann eine Schadsoftware mit Wurmcharakter hier massiven Schaden anrichten. Auch wenn, wie in sozialen Medien diskutiert, der existierende PoC-Code (der gerne für die erste Zeit von Malwareautoren 1:1 kopiert wird) instabil ist und eher zu Bluescreens als Remote Code Execution führt.

Das Ausnutzen der Schwachstelle in WhatsApp hingegen ist, Gerüchten zufolge, alles andere als trivial. Die Ende-zu-Ende Verschlüsselung in WhatsApp schützt die Nutzer sehr effektiv vor Massenüberwachung, und mehr kann man in dem Fall nicht erwarten. Ein Angreifer mit den Mitteln eines Staates ist ein Gegner, vor dem man sich nicht einfach durch die Verwendung einer vermeintlich sicheren Chat-App schützt. Für die breite Masse also etwas, wovor man sich nicht notwendigerweise fürchten muss.

Ich bin in dem Fall, so sehr ich die Forschungsarbeit in dem Bereich für wichtig halte & so sehr ich mir Sorgen um die Sicherheit der im Geschäftsbereich populärsten Architektur mache, jemand der sagt: "RIDL" und "Fallout" sind für den Moment noch theoretische Angriffe, also nichts worum wir uns immanent Sorgen machen müssen.

Selbiges gilt, aus anderen Gründen, für die Schwachstelle in Cisco-Geräten. Das ist sehr wohl etwas, dass Sorge hervorrufen sollte, nachdem es momentan noch keine bekannten Massnahmen zur Mitigation (oder gar Patches) gibt - hier gilt es zu beobachten und die Vorgehensweise an die Möglichkeiten der eigenen Organisation anzupassen.

Persönlich sehe ich die Gefahr auch hier eher noch abstrakt. Es wird, wie mit UEFI-Malware, noch etwas dauern, bis solche Schwachstellen aktiv von nichtstaatlichen Akteuren ausgenutzt werden.

Die aufmerksamkeitstechnisch etwas ignorierte RDP-Schwachstelle hingegen könnte uns sehr bald Kopfschmerzen bereiten. Auch wenn es nicht ganz so cool ist: Sofern irgendwie möglich patchen. Jetzt.

Post Scriptum: Wer sich nicht sicher sein sollte, ob der eigene RDP-Server im Netz hängt, der braucht nur in seine Inbox zu schauen - CERT.at informiert Netzbetreiber bereits seit einiger Zeit täglich per Mail genau darüber.

Autor: Alexander Riepl

Klarstellungen zu Passwörtern von Politiker*innen im Internet
9. Mai 2019

Heute (2019-05-09) veröffentlichte die Rechercheplattform Addendum einen Artikel über Passwörter von Politiker*innen die frei im Internet zugänglich sind (zum Artikel), der auch von anderen Medien schnell aufgenommen wurde. Darin wird angegeben, dass sich in einem Anfang diesen Jahres veröffentlichen Leak, den sog. Collections #1 - #5, E-Mailadressen und Passwörter von Politiker*innen sowie Angestellten von Ministerien befinden. Insgesamt handelt es sich um Zugangsdaten von 2.2 Milliarden Accounts, die aus vielen Quellen zusammengetragen wurden. Manche der Daten waren bereits mehrere Jahre alt. Für mehr Informationen zu diesen Collections vergleiche z.B. diesen Artikel auf Heise.de. Derartige Sammlungen sind leider nicht ungewöhnlich und werden häufig z.B. in Erpressungsmails genutzt, in denen Kriminelle Passwörter von Opfern als "Beweis" verwenden, dass sie deren Accounts übernommen haben, obwohl sie die Daten in Wirklichkeit nur aus einem solchen Leak kopiert haben.

Woher genau die Daten in diesem Fall stammen, ist unseres Wissens nicht bekannt, es kann aber davon ausgegangen werden, dass die überwiegende Mehrheit aus Leaks von Privatunternehmen stammt. Das bedeutet, dass es sich bei den veröffentlichten Passwörtern in den allermeisten Fällen um Accounts handelt, die betroffene Personen mit ihren beruflichen E-Mail-Adressen bei privaten Anbietern (Social Media, Online-Shopping, etc.) angelegt haben und nicht um die Passwörter, die sie für ihre beruflichen Mailboxen verwenden. Eine echte Gefahr stellt dabei vor allem Password-Reuse, also das Verwenden gleicher Passwörter bei verschiedenen Diensten dar.

Also: Ja, es sind E-Mailadressen und Passwörter von Politiker*innen und Angestellten mancher Ministerien in diesen Daten vorhanden, aber es handelt sich dabei aller Wahrscheinlichkeit nach nicht um deren dienstliche Zugangsdaten.

Um sichere und unterschiedliche Passwörter mühelos zu verwalten, empfiehlt CERT.at die Verwendung von Passwort-Managern. Außerdem empfehlen wir Zwei- oder Mehr-Faktorauthentisierung zu verwenden, sofern sie angeboten wird.


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl

Update: Aktuelle Malspam Kampagne
9. April 2019

CERT.at möchte auf eine aktuelle Malspam-Kampagne hinweisen zu der wir aus ganz Österreich Anfragen erhalten haben.

Update: 11. April 2019: Wir möchten uns bei allen bedanken, die uns Vorfälle gemeldet und bei der Sammlung von Informationen zu der Malspam-Welle mitgeholfen haben.

Die Welle scheint nicht auf Österreich beschränkt zu sein, wie dieser Tweet vom deutschen CERT Bund nahelegt.

Beschreibung

Der Betreff der E-Mails enhält einen Hinweis darauf, dass es sich um eine Rechnung oder einen Scan handelt. Der From-Header ist gefälscht und enthält als angezeigten Namen den lokalen Part der Domäne an die die E-Mail geht. Der Linktext scheint auf ein internes .doc-Dokument zu verweisen, de facto führt er aber auf eine externe Seite, die Malware hostet. Beispiel:

Die Kampagne liefert mehrere unterschiedliche Payloads aus; es gibt aber Hinweise darauf, dass es sich zumindest bei einem um Emotet handelt.

Update: 10. April 2019: Wir haben mehrere Meldungen erhalten, die besagen, dass die Schadsoftware, sobald sie einen Client übernommen hat und Zugriff auf einen E-Mail-Account bekommt, Mailverläufe "kapert". Dabei erstellt sie eine Antwort auf einen echten Verlauf und baut in diese Antwort Links zu Malware-auslieferenden Webseiten ein.

Update: 11. April 2019: Einer der Gründe zum Erfolg der aktuellen Kampagne sind ohne Zweifel die im Update vom 10. April erwähnten gekaperten Mailverläufe. Einem Artikel von Cofense zufolge verwendet Emotet seit 09. April 2019 hochgradig personalisierte E-Mails. Dies deckt sich mit Berichten die wir von Betroffenen erhalten haben. Bisher ist unseres Wissens nach noch nicht klar, wie genau Emotet die personalisierten Mails erstellt. Viele Mails enthalten im From-Header den String "<FRIEND.EMAIL>".

IoCs

Bisher sind uns folgende IP-Adressen, URLs und Hashes bekannt, die in der Kampagne benutzt werden/wurden:

Update: 11. April 2019: Täglich von Researcher*innen aktualisierte IoCs und aktuelle Entwicklungen zu Emotet finden sich hier und hier. Um doppelte Arbeit zu vermeiden werden die unten gelisteten IPs, URLs und Hashes nicht mehr aktualisiert.

URLs

  • hXXp://ssrai[.]org/wp-admin/I_M/
  • hXXp://stylishlab.webpixabyte[.]com/hrpel37lgd/0_o/
  • hXXp://iran-gold[.]com/BzCYu-9u_ldXkubCA-K4/75ulao-6l63pw-ebca/
  • hXXp://houstonroselimo[.]com/wp-includes/b1jq-scfsdo-qegs/
  • hXXps://45.79.72[.]132:443/cone/splash/
  • hXXps://45.79.72[.]132:443/acquire/scripts/sess/merge/
  • hXXp://www.goldenholiday[.]vn/App_Data_/xxn8sb-ennvz-sqngcn/
  • hXXp://vimbr[.]com/wp-includes/qk98ajj-nralgm-dmrjgic/
  • hXXp://ardapan[.]com/wp-snapshots/h_k/
  • hXXp://markelliotson[.]com/css/z92gg-bgxb7b-qxac/
  • hXXp://mangaml[.]com/jdownloader/scripts/pyload_stop/6dgvf9-siwn2k-brvbri/
  • hXXp://kirstenbijlsma[.]com/webmail/16fnbwz-fxffhc-mszndw/
  • hXXp://www.lecombava[.]com/Surlenet/z6i00pt-alrk88-rixthw/

Update 10. April 2019: Folgende weitere URLs sind uns mitgeteilt worden:

  • hXXp://www.courchevel-chalet[.]ovh/fbmyql7/v8woyl-k6efvoz-tlns/
  • hXXp://drjamalformula[.]com/cgi-bin/4i6n-ecb8z3-aulvckq/
  • hXXp://mihoko[.]com/_vti_bin/d93yvm-q5lmc5r-qttig/
  • hXXps://wildheifer[.]de/mzrpn/hs3en5-k2zj4g5-rqgs/
  • hXXp://patmanunggal[.]com/wp-admin/kfds-du0l9-yriyxfg/

IPs:

Update 10. April 2019: Das A1-CERT hat uns darauf hingewiesen, dass sie mittlerweile mehrere hundert IP-Adressen in der Kampagne gesehen haben. Es handelt sich daher mit hoher Wahrscheinlichkeit um ein Botnetz. IP-Adressen als IoCs sind daher leider nicht sehr nützlich.

  • 62[.]77.153[.]120
  • 109[.]158.205[.]99
  • 188[.]221.112[.]91
  • 45[.]79.72[.]132
  • 88[.]156.97[.]210
  • 103[.]224.243[.]39
  • 198[.]20.177[.]35
  • 104[.]24.125[.]32
  • 94[.]130.52[.]106
  • 112[.]78.2[.]154

Hashes

MD5
1e859b707b768effd247919ec539757d
SHA-1
0613c8c10efd4df07ec5e227d85310c1c8165f9e


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates verfügbar
16. Mai 2019 | Beschreibung | Microsoft ...
Update: ASUS Live Update verbreitete Schadsoftware
25. März 2019 | Update: ...
mehr ...
Cyber Security Challenge 2019
17. Mai 2019 | Auch heuer ...
Der Teufel steckt im Detail - und sollte trotzdem nicht ignoriert werden!
15. Mai 2019 | Es ist ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/5/17 - 10:19:51
Haftungsausschluss / Datenschutzerklärung