Die Infosec-News der Woche

Freitag 23. September – Freitag 30. September

Kritische Zero-Day-Schwachstellen in Microsoft Exchange Servern, Sophos Firewall Patch per Hotfix, Kryptomining Hacks schaden Opfern enorm, Anstieg von Ransomware festgestellt, iranische Demonstranten bekommen Hilfe durch Hacker-Gruppen und Verdächtiger im Rockstar Hack gefasst – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Neue Zero-Day-Schwachstellen in Microsoft Exchange Servern wird bereits aktiv ausgenutzt

Das Security Operations Center-Team (SOC) des vietnamesischen Cybersicherheitsunternehmens GTSC, hat eine kritische Schwachstelle entdeckt, die Microsoft Exchange Server 2013, 2016 und 2019 betreffen.

Während einer Sicherheitsüberwachung haben die Experten aufgedeckt, dass die bereits aktiv ausgenutzte Schwachstelle Remote Code Execution auf einem kompromittierten Server ermöglicht. Es handelt sich um eine "Zero-Day"-Schwachstelle, also eine Schwachstelle, die ausgenutzt wurde bevor sie dem Hersteller bekannt wurde und bevor ein Patch entwickelt werden konnte.

Das SOC-Team meldete seine Entdeckung sofort an an die Zero Day Initiative (ZDI) um die Zusammenarbeit mit Microsoft so schnell wie möglich zu realisieren, damit ein Patch zum Schließen der Schwachstellen mit den Nummern CVE-2022-41040 und CVE-2022-41082 erarbeitet werden kann.

Microsoft bietet eine vorübergehende Abhilfe, bis der offizielle Patch zur Verfügung steht, um Angriffe zu verringern. Sie empfehlen allen Nutzern von den betroffenen Microsoft Exchange Servern den Leitfaden in ihrem Beitrag zu befolgen und das Scanner Tool zur Überprüfung der IIS-Protokolldateien zu nutzen, das auf der Plattform Github zum Download bereit steht. Auch Microsoft veröffentlichte ein Update Guide für die gemeldeten Zero-Day-Schwachstellen.

Dieser Angriff erinnert stark an den Hafnium-Hack letzten Jahres, ausgeführt von den chinesischen Cyberkriminellen der Hafnium-Gruppe. Die Schwachstellen aus dem Jahr 2021 ermöglichten es den Angreifern, auf die E-Mails, Exchange Server und Kalender der betroffenen Unternehmen zuzugreifen.


Die neuen Exchange Angriffe erinnern schmerzlich an die Hafnium-Welle und an dieser Stelle kann ich nur unsere Empfehlung wiederholen, Exchange Server nicht direkt im Internet zugänglich zu machen. Ja, es ist bequem aber wie wir einmal mehr sehen, sind Produkte nicht automatisch sicher, nur weil sie von großen Herstellern sind.

Wie immer stehen wir für Fragen und Beratung zur Verfügung.


Aktiv ausgenutzte Remote Code Execution Schwachstelle in Sophos Firewall behoben

Die Code-Injection-Schwachstelle im Benutzerportal und Webadmin der Sophos Firewall (Versionen sind v19.0 MR1, 19.0.1 und ältere), welche Remote Code Execution ermöglichte und bereits aktiv von Angreifern ausgenutzt wurde, erhielt einen Patch. Kunden, die das Produkt mit der Funktion „Automatische Installation von Hotfixes zulassen.“ nutzen, haben keinen weiteren Handlungsbedarf, sie bekommen den Patch dadurch automatisch ausgeliefert.

Um zu überprüfen, ob der Hotfix für die Schwachstelle CVE-2022-3236 angewendet wurde, sollen Administratoren in der Konsole den Befehl „systemdiagnose show version-info“ ausführen. Wird dort der Wert HF092122.1 oder ein späteres Datum angezeigt, wurde der Hotfix angewendet.

Die Kompromittierung durch die Sicherheitslücken in CVE-2022-3236 wurden bei ungenannten Unternehmen festgestellt. Sophos gab an, dass die Unternehmen direkt informiert wurden.


Hacker-Gruppen und Kampagnen

Wieviel Kosten verursachen Kryptomining-Angriffe?

Laut einem aktuellen Bericht des Sicherheitsanbieters Sysdig, müssen Opfer durch das illegale Minen von Kryptowährungen in ihrer Cloud 53 Dollar zahlen, während es den Angreifern nur 1 Dollar Gewinn beschert.

Der bekannteste Kryptomining-Angreifer ist TeamTNT, der seit Jahren aktiv ist. Beim illegalen Minen in der Cloud Infrastruktur seiner Opfer, hat er mindestens 8.100 Dollar in direkt zugeordneten Kryptowährungen eingenommen, während seiner Opfer auf 430.000 Dollar Schaden sitzen blieben. Scheinbar handelt es sich bei TeamTNT um eine Einzelperson, die mit skriptgesteuerten Angriffen, unter anderem, ungepatchte Schwachstellen ausnutzt.

NCC Group beobachtet verstärkte Angriffe durch Ransomware-Banden

Laut einer Analyse des Global Threat Intelligence-Teams der NCC Group weist sich eine Zunahme neuer und fortentwickelnder Ransomware-Angreifer aus. Die Gruppe IceFire tritt zum ersten mal in Erscheinung, zeitgleich steigen die Aktivitäten der kriminellen Lockbit 3.0-Gruppe.

Die Ransomware-Gruppe Lockbit 3.0 führt mit 64 Opfern im August und ist somit der aktivste Angreifer und für 40% aller Attacken verantwortlich, was die Gruppe aktuell zum bedrohlichsten Angreifer macht. Die Cyberkriminellen verkündeten die Umsetzung eines Triple-Erpressungsmodells an, das zu den bereits bestehenden Erpressungsmethoden - der Verschlüsselung von Daten und das Androhen einer Veröffentlichung der gestohlenen Daten - auch noch DDoS Attacken hinzu fügt. LockBit möchte damit zukünftig den Druck auf betroffene Unternehmen erhöhen und diese zur Zahlung der Forderungen bewegen.

BlackBasta nimmt Platz 2 mit 18 Vorfällen ein, gefolgt von der neu erschienen IceFire-Gruppe mit 10 Opfern. Auch die Zielgruppen veränderten sich, es wurde vermehrt der zyklische Konsumgütersektor von den Kriminellen ins Visier genommen.

Ice-Fire war im August ein unerwarteter Neuzugang unter den Top 3 Ransomware-Gruppen, aufgrund der reduzierten Aktivitäten von ALPHV und Hiveleak. Derzeit liegen nur sehr wenige Informationen über IceFire vor, jedoch kann man aus den Aktivitäten darauf schließen, dass die Mitglieder bereits Erfahrung haben.

Auch zur Verteilung der Angriffe äußerte sich NCC Group in der Analyse. 90% der gesamten Angriffe zielten auf den Technologiesektor ab, während 80% der Geschädigten aus der Software- und IT-Dienstleistung kamen. Nordamerika war mit 45% am meisten betroffen, dicht dahinter folgt Europa mit 40% und schlussendlich Asien mit 9%.


Wirtschaft, Politik und Kultur

Iran bekommt Hilfe durch Hacker-Gruppen

Check Point Research veröffentlichte einen Blogeintrag, über die virtuelle Unterstützung, die die Protestierenden im Iran von Hacker-Gruppen bekommen.

Um die Beschränkungen im Iran zu umgehen, werden die beliebte Messenger Dienste wie Telegram und Signal, sowie das Darknet genutzt, um vor allem regierungskritischen Demonstranten zu helfen. Die Mitgliederanzahl in den Telegram-Gruppen beläuft sich auf 900 bis 12.000 Personen. In den Gruppen werden Auflistungen mit Proxys und VPNs gepostet und für alle Mitglieder frei gegeben. Der Ursprung der Proteste liegt in dem Todesfall einer jungen Frau, namens Mahsa Amini.

Manche der Hacker-Gruppen profilieren sich in dieser Situation, indem sie ausgespähte Informationen des Regimes verkaufen. Die sensiblen Daten von Beamten sind hierbei besonders interessant.

Ein Beispiel ist die Telegram Gruppe namens "Official Atlas Intelligence Group channel" mit ca. 900 Mitglieder, in der sensible Daten veröffentlicht oder zum Verkauf angeboten werden. Der Beitrag von Check Point weist sowohl Beispiele von hilfreichen Gruppen, als auch von Gruppierungen auf, die Profit aus dieser Situation schlagen wollen.

Uber und Rockstar Games Hacker gefasst?

Ein 17 jähriger Verdächtiger wurde in Oxfordshire, Großbritannien von der London Police verhaftet. Er soll hinter den Hacks der Unternehmen Uber und Rockstar Games stecken und steht diesbezüglich vor dem Jugendgericht.

Es wird vermutet, dass der Verdächtige Teil der bekannten Lapsus$ Gruppe ist. Unklar ist, ob er alleine gehandelt hat oder ob er Unterstützung hatte.


Das wars für diese Woche, wir sehen uns nächste Woche wieder mit den Weekly Infosec News.

Abonniere die Weekly News als Newsletter, auf unserem Youtube Channel oder als Podcast.