Die Infosec-News der Woche

Freitag 12.August – Freitag 19. August

Kritische Sicherheitslücken in Realtek Chips und Domain Controller Diensten, Angriffe mit Bumblebee-Malware und DDoS-Botnets steigen und ein Crypto Crime Geldwäsche Prozess startet - hier wie immer die Zusammenfassung der Infosec-News der Woche.


Schwachstellen & Exploits

Kritische Sicherheitslücke in Realtek Netzwerkgeräten – Exploit veröffentlicht

CVE-2022-27255 mit dem Schweregrad 9.8 ist ein Buffer-Overflow, der bösartige SDP-Daten* in speziell konstruierten SIP-Paketen** verwendet, um Code aus der Ferne auszuführen. [1]

Der taiwanesische Halbleiterhersteller Realtek veröffentlichte im März einen Patch, um den eCos SDK-Bug zu beheben. Realtek hat das Problem behoben, das die Serien rtl819x-eCos-v0.x und rtl819x-eCos-v1.x betraf und über eine WAN-Schnittstelle missbraucht werden konnte.

Forscher von Faraday Security haben letzte Woche auf der DEFCON-Hackerkonferenz technische Details zu der Sicherheitslücke vorgestellt. Sie haben einen Nexxt Nebula 300 Plus-kompatiblen Proof-of-Concept (POC)-Exploit-Code für die Schwachstelle entwickelt.

Die Forscher behaupten, dass Router, die ihre Standardeinstellungen verwenden, anfällig für Angriffe sind und daher aus der Ferne über diese Schwachstelle und das Internet ausgenutzt werden können. Die Benutzer müssen für eine erfolgreiche Ausnutzung nicht eingreifen. Ein Angreifer benötigt lediglich die externe IP-Adresse des betroffenen Geräts, um diese Schwachstelle auszunutzen.

* Als Session Description Protocol, kurz SDP, bezeichnet man ein Format für die Beschreibung von Multimedia-Sitzungen, das zur Aushandlung von Streaming-Media-Parametern (wie Codecs und Transportprotokolle) zwischen zwei Endpunkten beiträgt.

** Die Abkürzung SIP bedeutet Session Initiation Protocol. Damit ist jenes Netzwerkprotokoll gemeint, das sowohl zum Auf- und Abbau als auch zur Steuerung einer VoIP-Kommunikationssitzung angewendet wird.

Sicherheitslücke in Windows: DC-Server-Anmeldeinformationen können geknackt werden

Forscher haben einen Fehler in den Remoteprozeduraufrufen (RpcSs) des Windows Server-Dienstes gefunden, der es einem Angreifer ermöglichen könnte, die Kontrolle über den Domänencontroller (DC) in einer bestimmten Netzwerkkonfiguration zu übernehmen und Remotecode auszuführen. [2]

Darüber hinaus könnten Angreifer die Schwachstelle nutzen, um die Zertifikatszuordnung eines Servers zu ändern und auch durch Server-Spoofing* den Datenverkehr an andere IP Adressen weiterleiten.

Der Juli-Patch Tuesday behebt die Sicherheitslücke CVE-2022-30216 die ungepatchte Versionen von Windows 11 und Windows Server 2022 betrifft. Die Studie des Akamai-Forschers Ben Barnea liefert weitere technische Informationen über die Schwachstelle.

Der Domänencontroller, die Dienste und die Daten sind beim gesamten Angriffsablauf vollständig unter Kontrolle der Kriminellen.

* Spoofing nennt man in der Informationstechnik verschiedene Täuschungsmethoden in Computernetzwerken zur Verschleierung bzw. Fälschung der eigenen Identität.

Cyberkriminelle nutzen Bumblebee Loader zum Einbruch in Netzwerke

Der als Bumblebee bekannte Loader* wird derzeit von Angreifern verwendet, die hinter den Malware-Programmen IcedID, TrickBot und BazarLoader stehen, um gezielt in Netzwerke einzudringen um diese anschließend auszunutzen. [3]

Das Cybereason Global Security Operations Center (GSOC)-Team, das am Donnerstag einen neuen Hinweis zu Bumblebee veröffentlicht hat, verfügt über die neuesten Informationen.

Zum Hintergrund: Das Google Threat Evaluation Team entdeckte den Bumblebee Malware Loader zum ersten Mal im März 2022. Seinen Namen verdankt er dem User-Agent "Bumblebee", mit dem er bei der Kommunikation mit dem Command-and-Control-Server (C2) interagiert.

Die Zunahme von Bumblebee-Angriffen und die Art und Weise, wie der Malware-Loader sich verändert, insbesondere der BazarLoader, wurde nicht nur von Cybereason bemerkt. Tatsächlich veröffentlichte Proofpoint im April eine Warnung vor Bumblebee.

* Als Loader bezeichnet man eigentlich den sehr grundlegenden Dienst eines Betriebssystems, der ausführbare Programme in den Arbeitsspeicher lädt. Im Kontext von Malware bezeichnet der Begriff aber die Möglichkeit, weitere Funktionen nachträglich von einem Server herunterzuladen und so die initial sehr schlanke Malware je nach Bedarf an die vorgefundene Infrastruktur anzupassen. Dadurch kann die Malware bei der Verteilung klein bleiben und dennoch flexibel agieren.


Hacker-Gruppen und Kampagnen

Laut Analyse Zunahme von DDoS Angriffen auf Glücksspielseiten

Laut einer aktuellen Analyse des Cybersicherheitsunternehmens Imperva wurden im Juni diesen Jahres, ein Viertel der Glücksspiel-Webseiten von DDoS-Angriffen (Distributed Denial of Service) betroffen, die von Botnets gestartet wurden. [4]

Den Statistiken zufolge eskalierten die DDoS-Angriffe und betrafen 10 % der Glücksspiel-Websites um die Zeit, als die Wimbledon-Tennismeisterschaft begann.

Laut Imperva werden DDoS-Angriffe häufig zeitlich auf kritische Sportereignisse abgestimmt, da sie Kunden dazu veranlassen, auf konkurrierende Webseiten zu wechseln, was die Wahrscheinlichkeit von Geldverlusten erhöht.

Mehr als die Hälfte (55 %) der befragten Unternehmen gab an, in den letzten drei Monaten mehrere DDoS-Angriffe erlebt zu haben. Die Gesamtzahl der Angriffe auf alle Unternehmen war im zweiten Quartal 2022 mehr als dreimal so hoch wie im ersten Quartal 2022.

Tatsache ist, dass Cyberangriffe auch in Zukunft eines der größten Sicherheitsprobleme für Verbraucher und Unternehmen darstellen werden. Und solange dies der Fall ist, müssen die Verbraucher wachsam bleiben und ihre Daten sorgfältig schützen.


Haben Sie einen Notfallplan, falls es zu einem Sicherheitsvorfall kommt? Kennen Sie die Techniken der Angreifer, um sich davor zu schützen? Fragen Sie uns. 🤙🏼


Wirtschaft, Politik und Kultur

Mutmaßlicher russischer Geldwäscher an die USA ausgeliefert

Ein russischer Staatsbürger, der verdächtigt wird, Ransomware-Zahlungen für Cyberkriminelle, die es auf eine Vielzahl von Branchen abzielen, in Kryptowährung zu waschen, wurde von den Niederlanden an die Vereinigten Staaten ausgeliefert. [5]

In einer am Mittwoch veröffentlichten Erklärung beschuldigte das US-Justizministerium Denis Mihaqlovic Dubnikov, mehr als 400.000 Dollar an Lösegelderlösen aus Ryuk-Ransomware-Angriffen als Teil eines 70-Millionen-Dollar-Betrugs gewaschen zu haben.

Die Ransomware-Software ist erstmals im August 2018 in Erscheinung getreten. Seitdem wurden weltweit Tausende Opfer aus vielen Branchen angegriffen.

Die Ruyk Angriffe wurden dann im Oktober 2020 von den Strafverfolgungsbehörden der USA, auch als eine unmittelbare und zunehmende Bedrohung für Krankenhäuser und Gesundheitsdienstleister identifiziert.

Bevor der mutmaßliche Geldwäscher Dubnikov im November letzten Jahres in Amsterdam festgenommen wurde, soll er drei Jahre lang in illegale Aktivitäten verwickelt gewesen sein.

Am 4. Oktober wird voraussichtlich ein fünftägiger Geschworenenprozess beginnen. Wird er für schuldig befunden, droht ihm eine Höchststrafe von 20 Jahren Haft.


Das war's für diese Woche. Wir melden uns nächsten Freitag mit weiteren Nachrichten zurück. 👩‍💻