Die Infosec-News der Woche

Freitag 16. September – Freitag 23. September

Sicherheitslücke in Oracle Cloud Infrastructure aufgedeckt, 15 Jahre alte Python-Sicherheitslücke gefährdet Projekte, FIN11 Ransomware-Gruppe gibt sich als Zoom aus, 75 % des Bankbetrugs durch Push Zahlungen, Uber vermutet Lapsus$-Gruppe hinter Angriff, Kostenlose Entschlüsselung für Ransomware „LockerGoga“ verfügbar und iranische Angreifer blieben über ein Jahr unentdeckt – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Sicherheitslücke in Oracle Cloud-Infrastruktur entdeckt

Forscher haben eine neue, schwerwiegende Schwachstelle in der Oracle Cloud Infrastructure (OCI) aufgedeckt. Über diese wäre es möglich gewesen auf die virtuellen Laufwerke anderer Oracle-Kunden Zugriff zu bekommen.[1]

Shir Tamari, Forschungsleiter des Cloud Security Unternehmens Wiz, erklärte in einer Reihe von Tweets, dass "jede virtuelle Festplatte in Oracles Cloud eine eindeutige Identifikationskennung namens Oracle Cloud Identifier (OCID) hat."

Tamari zufolge könnte ein Angreifer der im Besitz der sogenannten OCID Kennung, die nicht als geheim gilt in den Unternehmen, sich an die Festplatte eines Opfers, die nicht mit einem aktiven Server verbunden oder als gemeinsam nutzbar eingerichtet ist, "anhängen" um Lese- und Schreibzugriff zu erhalten.

Nur die Information über die OCID Kennung des Ziellaufwerks reiche für den Angriff nicht aus, eine weitere Voraussetzung war, dass sich der Angreifer mit seiner Instanz in der selben Availability Domain befinden muss.

Die Tenant-Isolation-Schwachstelle, die von dem Cloud-Sicherheitsunternehmen als "AttachMe" benannt wurde, erhielt innerhalb von 24 Stunden nach bekannt werden am 9.Juni 2022 einen Sicherheitspatch.

Ein Angreifer hätte bei Ausnutzung der Schwachstelle auf ein Speichervolumen seiner Wahl zugreifen können. Dies hätte zur Folge gehabt, dass Daten offengelegt werden könnten um sie anschließend auszulagern. Schwerwiegender war jedoch, dass durch die Änderung des Boot-Volumen, Code hätte ausgeführt werden können.

Laut Shir Tamaris Kollegen Elad Gabay, ist "die unzureichende Kontrolle von Benutzerrechten ein weit verbreitetes Problem bei Cloud-Service-Anbietern." Es wird empfohlen strenge Code-Reviews und umfangreiche Tests für alle sensiblen API in der Phase der Entwicklung durchzuführen, um solche Probleme zu erkennen.

Über 350.000 Projekte von 15 Jahre alter Sicherheitslücke in Python Modul gefährdet

Forscher des Cybersicherheitsunternehmens Trellix haben eine 15 Jahre alte, ungepatchte Schwachstelle in einem Python-Modul entdeckt, die mehr als 350.000 Open- und Closed-Source-Projekte potenziell betrifft. [2]

Die Sicherheitslücke CVE-2007-4559 betrifft das Python-Modul "tarfile". Ein Angreifer kann durch sie, beliebige Dateien überschreiben indem er die Zeichenfolge „..“ an Dateinamen in einem TAR-Archiv anhängt. Nachdem erkannt wurde, dass das tarfile-Modul nach wie vor verwundbar ist, stellten die Forscher ein Script namens Creosote zur Überprüfung von Repositories auf Verwundbarkeit, auf GitHub zur Verfügung.

Obwohl Python in seiner Dokumentation vor den Gefahren bei der Verwendung der tarfile-Funktion warnt "Archive aus nicht vertrauenswürdigen Quellen ohne vorherige Prüfung zu extrahieren", wurde die Schwachstelle bis heute nicht behoben.


Hacker-Gruppen und Kampagnen

FIN11 Ransomware-Gruppe gibt sich in Phishing-Attacken als Zoom aus

Die als FIN11 bekannte Finanzverbrechergruppe, hat sich laut Beobachtungen und Anlyse des Sicherheitsunternehmens Cyfirma als Zoom ausgegeben um Download-Seiten der Videokonferenzanwendung für Phishing-Zwecke zu imitieren. [3]

Die bösartige „Zoom.exe“ Datei, die über gefälschten URLs angeboten wird, sorgt dafür, dass die Downloader-Malware „Decoder.exe“ abgelegt wird. Da Zoom von Nutzern in der Regel als legitim angesehen wird, kann „Decoder.exe“ im Anschluss zusätzliche für die Angreifer nötigen Payloads, unauffällig in das System einschleusen, mit dem Ziel die Opfer anhand von Ransomware zu erpressen.

In dem, am Mittwoch 21. September rausgegebenem Bericht, schreiben die Experten: "Wir sind uns ziemlich sicher, dass FIN11 hinter dieser Kampagne steckt. Diese Gruppe ist dafür bekannt, dass sie groß angelegte Kampagnen mit imitierten Webanwendungen durchführen.“

In der Schlussfolgerung der Forscher heißt es: "Die Taktik von imitierten Downloadseiten für beliebte Webanwendungen zum Zwecke eines Angriffs sei nicht neu. Es ist jedoch sehr beunruhigend, dass die kompromittierten Systeme, potenzielle Ransomware-Opfer sein können. Es ist ein gefährlicher Schachzug der Cyberkriminellen, die ihre Absicht verdeutlichen, eine große Anzahl von Systemen weltweit zu infizieren.


Wissen Sie und Ihre Mitarbeiter auf was Sie achten müssen bevor sie Dateien runterladen und installieren, um sich vor Malware zu schützen?

Oder brauchen Sie Unterstützung bei der Schulung Ihrer Kollegen in Form von gut verständlichen, interessanten und leicht zugänglichen Sicherheitsschulungen?

Profitieren Sie von unserem KnowHow und holen Sie Ihre Mitarbeiter ab. Hier erreichen Sie unser Team.


Analyse: 75% der Bankbetrugfälle betrifft autorisierte Push-Zahlungen

Laut einer neuen Analyse des ersten Halbjahres 2022 von Outseer, einem Anbieter von Authentifizierungs- und Kontoüberwachungslösungen für den Zahlungsverkehr, macht "Authorized Push Payment (APP*) Fraud", also Betrug über autorisierte Push-Zahlungen, inzwischen 75% des gesamten digitalen Bankbetrugs aus. [4]

Social Engineering** ist laut Mark Crichton, dem Produktchef des Unternehmens, ein "wesentliches Werkzeug im Inventar der Betrüger", wenn es um solche Angriffe geht.

Wir alle kennen die Nachrichtenberichte über APP-Betrug, aber die Tatsache, dass diese Angriffe immer häufiger und raffinierter werden und gleichzeitig drei Viertel aller betrügerischen Transaktionen ausmachen, sollte den Banken Angst machen, so Crichton weiter. "KI und maschinelle Lerntechnologien helfen dabei, anomale Zahlungstrends zu erkennen und Betrug an der Quelle zu stoppen".

Im Vereinigten Königreich blenden Kreditgeber jetzt eine Betrugswarnung ein, bevor Verbraucher neue Zahlungsempfänger hinzufügen, und informieren die Nutzer auch, wenn Name und Bankdaten des Zahlungsempfängers nicht übereinstimmen. Das ist das Ergebnis, jahrelanger Lobbyarbeit von Verbraucherrechtsgruppen.

Nach Angaben von UK Finance gab es jedoch im Jahr 2021, über 195.000 APP-Betrugsfälle, die einen Schaden von mehr als 583 Millionen Pfund verursachten.

Die Nachahmung von Marken ist dabei eine wichtige Betrugsstrategie und ist für 65% der Angriffe verantwortlich, die in der ersten Jahreshälfte von Outseer entdeckt wurden.

* APP (Authorized Push Payment) Fraud, auf Deutsch Autorisierter Push-Zahlungsbetrug, bei dieser Art von Betrug wird das Opfer typischerweise durch Social-Engineering so manipuliert, das Echtzeitzahlungen an die Betrüger geleistet werden, das Opfer wird zur Autorisierung einer Überweisung bewegt

** Social Engineering ist die Manipulation von Menschen, um bestimmte Verhaltensweisen hervorzurufen z.B. mit dem Ziel sensible Informationen zu bekommen.


Uber vermutet hinter letztem Angriff eine Verbindung zu Lapsus$

Laut einem Newsroom Beitrag am 16 September von Uber, dem Online-Vermittlungsdienst zur Personenbeförderung , soll der Angreifer, der letzte Woche in die Systeme des Unternehmens eindrang, in Verbindung mit der kriminellen Lapsus$-Bande stehen. [5]

Die südamerikanische Erpresserbande hat im vergangenen Jahr mehrere große Technologieunternehmen angegriffen, darunter auch Microsoft und Samsung.

Uber konzentriert sich auf die Feststellung, wesentlicher Auswirkungen. Auch wenn die Untersuchungen noch andauern, konnte das Unternehmen bisher nicht erkennen, dass der Angreifer auf sensible Daten wie Datenbanken, Benutzerkonten, Bankkontodaten, Kreditkartennummern oder Fahrtenverläufe zugreifen konnte. Auch die Kunden- und Benutzerdaten bei dem Cloud-Anbieter seien nicht entwendet worden. Einige interne Slack Nachrichten konnten dem Anschein nach jedoch, heruntergeladen werden. Die Downloads werden derzeit noch von Uber analysiert.

Laut eigener Aussage konnte Uber durch die Außerbetriebnahme einiger interner Tools, alle öffentlichen Dienste reibungslos weiter betreiben.

Es wird weiterhin von einem führenden Unternehmen für digitale Forensik ermittelt. Um sich für die Zukunft vor erneuten Angriffen zu schützen, will das Unternehmen, seine Praktiken, Richtlinien und Technologien optimieren.

Kostenlose Entschlüsselungssoftware für Ransomware „LockerGoga“ veröffentlicht

Durch eine groß angelegte internationale Aktion verschiedener Strafverfolgungsbehörden, der Unterstützung von Europol und dem bekannten rumänischen Hersteller von Antiviren-Programmpaketen „Bitdefender“, konnte eine große Anzahl an Private Keys der Ransomware Gruppen LockerGoga und Megacortex veröffentlicht werden. [6]

LockerGoga wurde 2019 durch den Angriff auf den Aluminiumhersteller Norsk Hydro aus Norwegen bekannt. Insgesamt sind weltweit mehr als 1.800 Opfer aus 71 Ländern betroffen. Die Ransomware hat einen geschätzten Schaden in Höhe von 104 Millionen US-Dollar verursacht.

Europol und Bitdefender stellen mit dem Projekt „No more Ransom“ ein kostenloses Tool mit Anleitung zur Verfügung, um die Opfer bei der Entschlüsselung von LockerGoga zu unterstützen. Zu einem späteren Zeitpunkt, soll für die Entschlüsselung der Ransomware MegaCortex, ein Tool folgen.


Das Projekt „No more ransom“ wurde 2016 ins Leben gerufen und bietet auf der Seite www.nomoreransom.org auch weitere Entschlüsselungsprogramme an.

Die folgenden Must-Haves helfen Ihnen beim Schutz gegen Ransomware

✔️ Regelmäßige Prüfung der Backups

✔️ Security Awareness Training für Mitarbeiter

✔️ Zeitnahe Installation von Sicherheitsupdates

✔️ Interne Prüfungen der Netze auf Schwachstellen

✔️ Vermeidung und Management von Sicherheitsvorfällen

Noch Fragen? Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.


Wirtschaft, Politik und Kultur

Iranische Angreifer blieben über ein Jahr unentdeckt in albanischen Netzwerken

Laut einem aktuellen Bericht des FBI und der Cybersecurity and Infrastructure Security Agency (CISA) konnte die iranische Gruppe „HomeLand Justice“ 14 Monate lang unbemerkt im Netzwerk der albanischen Regierung verbleiben, bevor sie im Juli 2022 Ransomware ähnliche Malware einschleusten. Die Angreifer hatten während dieser Zeit, ununterbrochen Zugang zum Netzwerk. Sie griffen auf E-Mail-Inhalte zu, um diese anschließend zu stehlen. Laut Untersuchungen der CISA, erfolgte der erste Zugriff durch Ausnutzung einer Sicherheitslücke in SharePoint (CVE-2019-0604) über die Remote Code ausgeführt werden konnte.[7]

Albanien brach daraufhin die diplomatischen Beziehungen zum Iran ab, was der erste Fall ist, in dem ein Cybervorfall zu einer solch schwerwiegenden politischen Konsequenz führt.


Das wars für diese Woche, wir sehen uns nächste Woche wieder mit den Weekly Infosec News.

Abonniere die Weekly News als Newsletter, auf unserem Youtube Channel oder als Podcast.