Die Infosec-News der Woche

Freitag 4.November – Freitag 11. November

BSI warnt vor kritischen Schwachstellen in Kryptobibliothek OpenSSL, Sicherheitsforscher bekommt 70.000 $ Belohnung von Google, Kreisverwaltung in Rheinland-Pfalz ist Opfer eines Hackerangriffs, Cyberspionage-Gruppe Worok versteckt Malware in PNG-Bildern, Über 50.000 Bitcoins aus Silk Road Plattform beschlagnahmt und Mann wegen Teilnahme an der LockBit-Ransomware-Kampagne festgenommen – das sind die Infosec News der Woche.



Schwachstellen und Exploits

BSI warnt vor zwei kritischen Schwachstellen in OpenSSL 3.0

Die freie Software OpenSSL wird für die Transportschichtsicherheit der Datenübertragung im Internet verwendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf seiner Webseite vor zwei kritischen Schwachstellen in der Kryptobibliothek.

Die Schwachstellen CVE-2022-3602 und CVE-2022-3786 könnten einen Buffer-Overflow-Angriff ermöglichen. Bei dieser Art von Angriff, werden Schwachstellen in der Speicherbelegung ausgenutzt, um beispielsweise an Anwenderinformationen zu kommen. Darüber hinaus bieten die Sicherheitslücken, einem Cyberkriminellen die Möglichkeiten zu einem Denial of Service- und einem Remote Code Execution-Angriff.

OpenSSL.org schreibt in seinem Sicherheitshinweis, dass die Versionen 3.0.0 bis 3.0.6 anfällig für diese Sicherheitslücken sind. Alle Benutzer von OpenSSL 3.0 sollen ein Upgrade auf OpenSSL 3.0.7 durchführen.

Sicherheitsforscher bekommt 70.000 $ Belohnung von Google

Der Sicherheitsforscher David Schütz berichtet auf seiner Webseite, wie er durch Zufall eine schwerwiegende Sicherheitslücke entdeckt hat, die offenbar alle Google Pixel Telefone betrifft. Er bekommt für seine Meldung eine Belohnung in Höhe von 70.000 Dollar von Google.

Die Entdeckung der Lücke nahm seinen Lauf, als der Sicherheitsexperte sich nicht mehr an seinen PIN erinnern konnte. Nach der Falscheingabe der PIN gab er den PUK und eine neue PIN Nummer ein. Er stellte beim Versuch das Telefon neu zu starten fest, dass es nicht wie sonst üblich den PIN verlangt sondern einfach den Fingerabdruck akzeptierte. Das war nicht der Ablauf wie es sein sollte um die Sicherheit zu gewährleisten.

Nun probierte der Forscher verschiedene Verfahren aus, um den Schutz des Sperrbildschirms vollständig zu umgehen.

Auf seiner Seite beschreibt Schütz die Abfolge, die er brauchte, um unberechtigt auf das Telefon zuzugreifen. Das Gerät muss gesperrt werden, das SIM-Fach wird entfernt, eine Angreifer SIM-Karte mit eingerichtetem PIN-Code wird eingelegt, der SIM-Code wird dreimal falsch eingegeben um die SIM-Karte zu deaktivieren und die Aufforderung zur Eingabe des PUK´s zu bekommen. Dann gibt man den gültigen PUK der Angreifer SIM-Karte ein und legt einen neuen PIN fest. Nun hat man unerlaubten Zugriff auf das Telefon und seinen Inhalt. Er zeigt die Vorgehensweise außerdem noch in einem YouTube Video.

Die Schwachstelle mit der Bezeichnung CVE-2022-20465 wurde mit dem monatlichen Update von Google im November 2022 geschlossen.


Hacker-Gruppen und Kampagnen

Kreisverwaltung in Rheinland-Pfalz ist Opfer eines Hackerangriffs

Der Landrat Clemens Körner wendet sich auf der Webseite der Kreisverwaltung Rhein-Pfalz-Kreis mit einem offenen Brief an die Bevölkerung. Er schreibt darin, dass die Verwaltung Opfer eines Hackerangriffs geworden ist. Wenn man derzeit die Seite www.rhein-pfalz-kreis.de besucht, sieht man erstmal nur ein gelbes Warndreieck auf rotem Hintergrund mit der Überschrift „Störung nach Cyber-Angriff".

Eine Ransomware-Gruppe hat die Daten auf den Servern verschlüsselt, wodurch nun kein Zugriff auf Daten und Programme mehr möglich ist. Sogar die Telefonanlage ist außer Betrieb. Die Cyberkriminellen fordern Lösegeld für eine Entschlüsselungssoftware. Falls nicht gezahlt wird, soll es wochen- oder monatelange Ausfälle geben, die hohe Kosten mit sich tragen.

Clemens Körner weist auch darauf hin, dass es bei Vergleichsfällen anderer Stadt- und Kreisverwaltungen trotz Lösegeldzahlungen zu Veröffentlichungen von sensiblen Daten im Darknet kam. Er schreibt auch: „Es ist zu befürchten, dass dies auch bei uns geschieht – oder bereits geschehen ist!“ Die Mitarbeiter arbeiten mit Hochdruck daran die Funktionsfähigkeit der Kreisverwaltung wieder herzustellen, es könnte dennoch Monate dauern, schreibt der Landrat.

Die Verwaltung keinen Einfluss darauf, was mit den gestohlenen Daten passiert und wozu sie missbraucht werden könnten, und bittet um Entschuldigung und Verständnis.

Cyberspionage-Gruppe Worok versteckt Malware in PNG-Bildern

Sicherheitsexperten von ESET und Avast analysieren die Vorgehensweise der Worok-Angreifer und wie sie die Computer ihrer Opfer kompromittieren.

Die Cyberspionage-Gruppe hat es mit ihren Kampagnen auf Regierungseinrichtungen und Firmen in Asien und Nordamerika abgesehen. Mexiko, Vietnam und Kambodscha sind am stärksten betroffen laut der Studie. Das Ziel der Cyberkriminellen ist es Daten zu sammeln, beispielsweise aus Word, Excel, Powerpoint, PDF Dokumenten.

Der genaue anfängliche Angriffsvektor ist noch ungeklärt. Laut den Forschern verwendet Worok jedoch als einer der ersten Schritte vermutlich DLL-Sideloading um den Malware Loader namens CLRLoader¹ im Speicher auszuführen. Sie fanden auf den betroffenen Computern, Code von CLR Loadern in den dynamischen Bibliotheken (DLL).

Als Nächstes lädt der CLRLoader die DLL der zweiten Stufe den PNGLoader. Dieser ist dafür zuständig die eingebetteten Bytes aus den PNG-Dateien zu entpacken und daraus zwei ausführbare Dateien zu bilden.

Die PNG-Datei ist der endgültige Payload für den Angriff um die Malware mittels steganographischer Technik zu verbergen.

Eigentlich wird die Steganografie dafür genutzt, um vertrauliche Information so zu verbergen, dass sie ein Dritter bei Betrachtung nicht erkennt und keinen Verdacht schöpft. Dabei handelt es sich bei Weitem um keine neue Erfindung und natürlich haben auch Kriminelle die Vorteile schon lange für sich entdeckt.

¹ CLR = Eine Certificate Revocation List enthält die Identitäten von nicht vertrauenswürdigen Zertifikate


Wie wir in der letzten Meldung gesehen haben, entwickeln sich Angreifer und deren Methoden laufend fort. Aus diesem Grund ist eine fortlaufende Weiterbildung der Mitarbeiter wichtig, um auch gegen aktuelle Bedrohungen eine Chance zu haben.

In unserer Sicherheitsschulung gehen wir auf gängige Angriffe und Tricks ein, die Kriminelle verwenden, um Unternehmen anzugreifen. Dadurch helfen wir unseren Kunden, auf Angriffe vorbereitet zu sein und diese schneller zu erkennen. Ganz gleich, ob es sich um Phishing, Social Engineering oder technische Angriffe handelt.

Mehr Informationen dazu findest du auf learn.lastbreach.com


Wirtschaft, Politik und Kultur

Über 50.000 Bitcoins aus Silk Road Plattform beschlagnahmt

Die U.S. Staatanwaltschaft beschlagnahmt über 50.000 Bitcoins mit einem derzeitigen Wert von 3,36 Milliarden Dollar. Der Angeklagte James Zhong versteckte die unrechtmäßig erworbene Kryptowährung in Haushaltsgeräten. Sie stammen aus der sogenannten Silk Road, einem ehemanligen Hidden Service im Tor-Netzwerk, auch Darknet genannt.

Laut der Pressemitteilung vom 7. November 2022, bekannte sich Zhong für schuldig, im September 2012 die Bitcoins illegal auf dem virtuellen Schwarzmarkt besorgt zu haben. Fast 10 Jahre war der Verbleib der enormen Menge Bitcoins ein Rätsel. Scheinbar waren die Bitcoins in einem unterirdischen Bodentresor und auf einem Einplatinencomputer in einer Popcorn-Dose versteckt.

Die Ermittler fanden außerdem 661.900 Dollar Bargeld, 25 Casascius-Münzen (physische Bitcoin) mit einem Wert von 174 Bitcoin, nochmals etwas über 11 Bitcoins, Silberbarren, Goldbarren und eine Goldmünze.

James Zhong ist 32 Jahre alt, kommt aus Georgia und muss nun mit einer Höchsstrafe von 20 Jahren Gefängnis rechnen.

Mann wegen Teilnahme an LockBit-Ransomware-Kampagnen festgenommen

Ein russisch-kanadischer Staatsbürger wurde wegen seiner mutmaßlichen Beteiligung an den globalen LockBit-Ransomware-Kampagnen angeklagt. Der 33 jährige Mikhail Vasiliev sitzt derzeit in Kanada in Haft und wartet darauf an die USA ausgeliefert zu werden.

Seit über zweieinhalb Jahre wird nun gegen die Ransomware-Gruppe ermittelt. Die Lockbit-Gruppe zählt über 1000 Opfer weltweit und forderte mindestens 100 Millionen Dollar Lösegeldzahlungen.

Dem Angeklagten Vasiliev wird die vorsätzliche Beschädigung geschützter Computer und die Übermittlung von Lösegeldforderungen zur Last gelegt. Im Falle einer Verurteilung erwarten ihn bis zu fünf Jahre Freiheitsentzug.


Das wars für diese Woche, wir sehen uns nächste Woche wieder mit den Weekly Infosec News. Abonniere die Weekly News als Newsletter, auf unserem Youtube Channel oder als Podcast.