Schwachstellen im BIOS von Lenovo-Laptops und MSMQ-Dienst von Microsoft, neue Details zum Sicherheitsvorfall von Western Digital, Cyberangriff auf Bremer Werft Lürssen, Cyberspionage-Kampagne zielt auf europäische NATO-Verbündete ab, Verbraucherzentrale warnt vor Phishing, Niederländische Polizeiaktion gegen Käufer von gestohlenen Daten und Festnahmen bei Europol Aktion gegen kriminelles Online-Investmentnetzwerk.
Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Lenovo-Laptops von BIOS-Schwachstellen betroffen
Im BIOS von Lenovo Laptops wurden mehrere Schwachstellen entdeckt, die ein Sicherheitsrisiko darstellen.
Eine der Schwachstellen kann zu unberechenbarem Verhalten des Systems führen, während eine andere Schwachstelle unzureichende Überprüfungen bei BIOS-Updates zulässt. Ein Angreifer kann mithilfe einer weiteren Schwachstelle Daten an eine von ihm kontrollierte Speicheradresse schreiben und das System so manipulieren oder übernehmen. Bei noch einer weiteren Schwachstelle besteht die Gefahr, dass das SMRAM beschädigt wird, was ebenfalls zu einem Sicherheitsrisiko führt. Zuletzt ist eine Schwachstelle bekannt, bei der ein Angreifer auf den IHISI-Befehlspuffer, einer Schnittstelle in BIOS und UEFIs der Firma Insyde, zugreifen und diesen manipulieren kann.
Aufgrund der zahlreichen Schwachstellen, hier nun eine Auflistung:
- CVE-2023-22612 erhielt einen Score von 8.1
- CVE-2023-22614 erhielt einen Score von 7.9
- CVE-2023-22613 erhielt einen Score von 7.3
- CVE-2023-22616 erhielt einen Score von 6.4
- CVE-2023-22615 erhielt einen Score von 6.4
- CVE-2022-24350 erhielt einen Score von 5.3
Insgesamt sind etwas mehr als 100 Produkte betroffen aus den IdeaPad, Legion 5, Legion 7, Lenovo Slim, ThinkBook, Yoga und Yoga Slim Serien. Eine genaue Auflistung ist ebenfalls in der Warnmeldung enthalten.
Lenovo hat in seinem Sicherheitshinweis bekannt gegeben, dass die Updates erst am 8. August 2023 verfügbar sein werden und auch BIOS Hersteller Insyde hat eine Übersicht der Schwachstellen gepostet. Leider haben die Unternehmen keine weiteren Informationen über die Sicherheitslücken oder mögliche Workarounds veröffentlicht. Auch der Grund für die Verzögerung der Updates ist unklar.
Kritische Schwachstelle im MSMQ-Dienst von Microsoft
Check Point Research hat kürzlich drei Schwachstellen im Microsoft Message Queuing-Dienst (MSMQ) entdeckt und Microsoft benachrichtigt.
Microsoft hat die Schwachstellen mit dem April Patch Tuesday Update am 11.04.2023 behoben.
Eine der Schwachstellen, die als QueueJumper unter CVE-2023-21554 geführt wird erhält einen Score von 9,8 und ist somit besonders kritisch. Diese Lücke ermöglicht es einem nicht authentifiziertem Angreifer, beliebigen Code aus der Ferne im Kontext des Windows-Dienstprozesses mqsvc.exe auszuführen.
Die zweite Lücke trägt die Kennung CVE-2023-21769 und erhält einen Score von 7.5, was einem hohen Schweregrad entspricht. Anhand dieser Schwachstelle kann ein nicht authentifizierter Angreifer eine Anwendung ausnutzen, um sie zum Absturz zu bringen damit der entsprechende Dienst unzugänglich gemacht wird.
Durch die Schwachstelle CVE-2023-28302 mit einem Schweregrad von 7.5, kann ein Angreifer ohne Authentifizierung Zugriff auf einen Computer erlangen und eine DoS-Attacke (Denial-of-Service) auf der Ebene des Kernels durchführen. Ein erfolgreicher Angriff kann das Betriebssystem zum Absturz bringen, was zu einem „Blue Screen of Death“ (BSOD) führt.
Laut einem Scan von Shadowserver sind in Deutschland circa 7700 Instanzen öffentlich über den Port 1801/tcp für das Internet erreichbar, um den MSMQ-Dienst auszuführen. Wer noch nicht gepatcht hat, sollte es jetzt dringend tun, um eine Ausnutzung zu vermeiden.
Hacker-Gruppen und Kampagnen
Neue Details zu Cyberangriff auf Western Digital
Am 26. März 2023 drangen Angreifer in eine Reihe von Systemen von Western Digital ein und führten einen Cyberangriff durch. Das Unternehmen veröffentlichte am 3. April eine Stellungnahme, in der es den Vorfall bestätigte. WD-Kunden hatten bis vor kurzem keinen Zugriff auf ihre Cloud-Speicher.
Nun berichtet TechCrunch über ein Gespräch mit einem der mutmaßlich verantwortlichen Hacker. Der Angreifer legte Beweise vor, darunter ein digital signiertes Codesignatur-Zertifikat von Western Digital. Dies zeigt, dass die Angreifer nun in der Lage sind, Dateien digital zu signieren, um sich als Western Digital auszugeben.
Zudem behauptet der Hacker, im Besitz von Screenshots eines Box-Kontos sowie von internen Mails und in privaten Ark-Instanzen gespeicherten Daten zu sein. Außerdem hat er einen Screenshot eines Gruppenanrufs mit der Teilnahme eines CISOs von Western Digital vorgelegt.
Die Cyberkriminellen sollen 10 Terabyte an Daten abgegriffen haben. Die Hacker verlangen nun ein Lösegeld in Höhe von achtstelligen Beträgen, damit die gestohlenen Daten nicht veröffentlicht werden.
Cyberangriff auf Bremer Werft Lürssen
Laut einem Bericht von butenunbinnen.de wurde die Bremer Werft Lürssen über die Osterfeiertage Opfer eines Ransomware-Angriffs.
Die Angreifer drangen mit einer Schadsoftware in das Computersystem des Unternehmens ein. Durch den Angriff sind Teile des Betriebs zum Erliegen gekommen. Nun beraten Cybercrime-Experten die Werft, um den Sicherheitsvorfall zu bewältigen.
Die Behörden wurden informiert und die Polizei hat strafrechtliche Ermittlungen eingeleitet. Weitere Informationen sind derzeit nicht bekannt.
Cyberspionage-Kampagne zielt auf europäische NATO-Verbündete ab
Sicherheitsbehörden haben eine Spionagekampagne beobachtet, die von russischen Geheimdiensten ausgeht.
Die Kampagne zielt darauf ab, Informationen von ausländischen Ministerien und diplomatischen Einrichtungen zu sammeln, vor allem in NATO-Mitgliedsstaaten, der Europäischen Union und Afrika.
Die Angreifer nutzen bekannte Techniken und Werkzeuge, wie „NOBELIUM“, „APT29“ und „SOLARWINDS“, aber auch neue Instrumente, um das operative Tempo zu erhöhen.
Der Angriff erfolgt über Spear-Phishing-Techniken und das Signaturskript „ENVYSCOUT“. Der Bericht empfiehlt den betroffenen Einrichtungen, ihre IT-Sicherheitssysteme zu verbessern, um Angriffe besser zu erkennen und zu verhindern.
Die Veröffentlichung der Empfehlung soll dazu beitragen, die laufende Spionagekampagne zu stoppen und die Aktivitäten aufzudecken und zu verfolgen.
Verbraucherschutzzentrale warnt vor Phishing
Die Verbraucherschutzzentrale warnt regelmäßig vor aktuellen Phishing Attacken. Aktuell sind 4 besonders interessante Angriffe im Umlauf.
- DKB-Kundschaft zu Verifizierungsprozess angehalten: In diesen Mails wird behauptet, dass das Online-Banking-Profil des Empfängers aufgrund einer fehlenden Bestätigung der aktuellen Angaben deaktiviert werden müsse, um die unbefugte Nutzung des Kontos und Geldwäsche zu verhindern. Den Kunden wird mit einer Schließung ihres Kontos und einer Sperrung ihrer Karte gedroht, wenn sie den Verifizierungsprozess nicht durchlaufen würden.
- Betrüger locken Consorsbank-Kundschaft mit KI-Programm-Schutz: In der E-Mail wird behauptet, dass ein neues KI-Programm entwickelt wurde, das verhindern soll, dass Kunden Opfer von Betrug werden. Empfänger der E-Mail sollten auf einen Link klicken und zustimmen, um von diesem Schutz zu profitieren.
- Aktualisierung für das Disney+-Konto erforderlich: Die E-Mail behauptet, dass es ein Problem mit der Zahlungsmethode gebe und dass das monatliche Abonnement nicht verlängert werden könne. Kunden werden aufgefordert, ihre sensiblen Daten über einen Link innerhalb der E-Mail preiszugeben.
- Aufforderung zur Kontoverifizierung nach ungewöhnlichen Anmeldeaktivitäten bei Amazon: Amazon-Kunden haben eine E-Mail erhalten, in der behauptet wird, dass ihr Konto aufgrund einer nicht autorisierten Anmeldeaktivität vorübergehend gesperrt wurde. Kunden werden aufgefordert, ihre Kontodaten einzugeben, um das Problem zu lösen.
Ihr könnt die Originalen dieser Phishing-Mails im Phishing-Radar der Verbraucherzentrale einsehen.
Phishing Attacken sind in letzter Zeit wieder verstärkt zu sehen und wie wir an den Angriffen gegen die Bremer Werft und Western Digital sehen können, spielen weder Standort noch Größe oder Branche des Unternehmens eine Rolle.
Wir beraten dich rund um das Thema Sicherheit, angefangen von technischen Schutzmaßnahmen bis hin zur Mitarbeiter Awareness Schulung.
Schreib uns einfach an kontakt@lastbreach.com oder ruf uns an unter 089 30 78 43 43 damit wir gemeinsam die passende Lösung finden und dein Unternehmen sicher bleibt.
Wirtschaft, Politik und Kultur
Niederländische Polizeiaktion gegen Käufer von gestohlenen Daten
Die niederländische Polizei hat Personen, die möglicherweise gestohlene Daten gekauft haben, über ihre Ermittlungen informiert. Diese Personen waren auf der mittlerweile geschlossenen Website raidforums.com aktiv, auf der mit persönlichen Daten gehandelt wurde. Die Polizei möchte die Käufer aus der Anonymität holen.
Drei Hauptverdächtige wurden Anfang 2023 verhaftet. Die Polizei sucht nun nach Tausenden weiteren Personen mit Zugang zu gestohlenen persönlichen Daten und pornografischem Material.
Mit dieser Maßnahme möchte die niederländische Polizei den potenziellen Käufern klarmachen, dass ihre Aktivitäten online sichtbar sind.
Je nach Aktivität in einem solchen Forum erhalten die Nutzer eine E-Mail oder ein Schreiben, in dem sie darüber informiert werden, dass sie Nutzer eines kürzlich vom Netz genommenen Forums sind, und in dem sie nachdrücklich aufgefordert werden, die Aktivität einzustellen, sowie eine Warnung, in der die möglichen Folgen der Beteiligung an Online-Kriminalität dargelegt werden.
Festnahmen bei Europol und Eurojust Aktion gegen kriminelles Online-Investmentnetzwerk
Fünf hochrangige Zielpersonen wurden im Rahmen einer neuen koordinierten Aktion gegen eine betrügerische Online-Investmentplattform festgenommen.
Das kriminelle Netzwerk warb über professionell gestaltete Websites und soziale Medien mit gefälschten Grafiken und Software für Investitionen zwischen 200 und 250 Euro. Persönliche Finanzberater versprachen höhere Gewinne bei größeren Investitionen, die jedoch verloren gingen. Die illegalen Gewinne landeten auf den Konten der Täter.
Diese Plattform hat bisher mindestens 33.000 Opfer um geschätzte 89 Millionen Euro betrogen.
Eurojust und Europol unterstützten die Aktion, bei der 15 Standorte in Bulgarien, Rumänien und Israel durchsucht wurden, darunter fünf illegale Callcenter.
Während der Maßnahmen wurden verschiedene wertvolle Vermögenswerte beschlagnahmt, darunter luxuriöse Uhren, elektronische Geräte, Bargeld, Bitcoins, Bankkarten sowie zahlreiche Dokumente und Datenträger.
Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!
