Die Infosec News der Woche

Freitag 16. Dezember – Freitag 23. Dezember

BSI warnt bezüglich Update zu Zero-Day Exploits in Microsoft Exchange Server, LastPass meldet Datendiebstahl aus Kundentresor, Okta´s Quellcode von Cyberkriminellen abgegriffen, Social Blade bestätigt Datenpanne, kritische Sicherheitslücke gefährden Synology-Router, Cyberangriffe auf Thyssenkrupp's Werkstoffsparte, eine Firma in Niederbayern, IT-Systeme der Hamburger Friedhöfe und H-Hotels.com, fetnahmen von mutmaßlichen Mitgliedern einer EC-Karten-Betrügerbande und TikTok hat US-Journalisten überwacht – das sind die Infosec News der Woche.


Liebe Leser,

aufgrund der Feiertage möchten wir Euch nur die wichtigsten Infos aus allen sicherheitsrelevanten Meldungen zusammentragen. Die jeweiligen Sicherheitshinweise der Hersteller sind in jeder Zusammenfassung verlinkt, damit Ihr, die für Euch wichtigsten Details nachlesen könnt, ohne suchen zu müssen. Die wichtigsten Aussagen haben wir für Euch rausgesucht und übersetzt. Die übrigen Kategorien bleiben auch nicht leer und führen Euch zu den derzeitigen Berichten der Cybervorfälle.

Das gesamte Team von LastBreach wünscht Euch entspannte und schöne Feiertage!

Bis zum nächsten Jahr „Cheers“


Schwachstellen und Exploits

BSI warnt vor neuer Zero-Day Exploit in Microsoft Exchange Server

Crowdstrike veröffentlichte kürzlich einen Bericht, in dem eine neue Methode zur Ausnutzung der bereits unter dem Namen ProxyNotShell bekannten Schwachstellen vorgestellt wird. Die neue Technik bekam den Namen OWASSRF und wurde im Zuge einer Analyse von Ransomware Vorfällen entdeckt, bei denen Exchange als Einfallstor identifiziert wurde.

Es handele sich bei den Schwachstellen um eine serverseitige Request Forgery (CVE-2022-41040) und eine Remote Code Execution (CVE-2022-41082) mit einem CVSS Rating von 8.9, bzw. 6.3 von 10 Punkten. Voraussetzung für die Ausnutzung ist, dass ein Angreifer authentifiziert ist und über OWA Zugriff auf die Powershell des anfälligen Server hat. Die neue Technik umgeht dabei bisher bekannte Maßnahmen, die Angriffe zu blockieren.

Tools zur Ausführung des Angriffs kursieren bereits im Internet. Der Bericht des BSI enthält aktuelle Maßnahmen, um eine Ausnutzung zu unterbinden.

LastPass meldet Sicherheitsvorfall - Daten aus dem Kundentresor gestohlen

Neue Erkentnisse im LastPass Hack - Cyberkriminelle konnten Daten aus den Kundentresoren stehlen. Nachfolgend findet ihr die wichtigsten Auszüge aus dem Bericht.

In der Veröffentlichung heißt es: "Bisher haben wir festgestellt, dass der Bedrohungsakteur, sobald er den Zugriffsschlüssel für den Cloud-Speicher und die Entschlüsselungsschlüssel für die beiden Speichercontainer erlangt hatte, Informationen aus dem Backup kopiert hat, die grundlegende Kundenkontoinformationen und zugehörige Metadaten enthielten, darunter Firmennamen, Endbenutzernamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und die IP-Adressen, von denen aus die Kunden auf den LastPass-Dienst zugriffen."

Des Weiteren schreibt LastPass: "Der Angreifer war auch in der Lage, eine Sicherungskopie der Daten des Kundentresors aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und in Formulare eingegebene Daten enthält."

Damit ist genau das passiert, was man bei einem Cloud Dienst und erst recht bei einem Passwort-Manager nicht möchte, die Daten wurden von einer unberechtigten dritten Partei entwendet. Die sensiblen Datenfelder sind zwar verschlüsselt, jetzt hängt die Sicherheit der Daten allerdings an zwei Faktoren.

  1. Die gewählten Masterpassworter der betroffenen User sind stark genug, um Brute Force Attacken stand zu halten
  2. Die Verschlüsselungsmethode und das Masterpasswort halten dem Wandel der Zeit stand

Das bedeutet, selbst wenn eine Brute Force Attacke heute nicht erfolgreich ist, wird sich das in Zukunft mit hoher Warscheinlichkeit ändern. Auch schreibt LastPass, dass Phishing Attacken aufgrund der unverschlüsselten Daten sehr gezielt durchgeführt werden können. Das Risiko: da die Angreifer Wissen über die Zielpersonen haben, das "nicht öffentlich" ist (jetzt schon), können die Angriffe umso glaubhafter wirken.

Unsere Empfehlung: alle Passwörter ändern (ja, leider 😢) und bzgl. Phishing Attacken besonders auf der Hut sein. Gerade bei kritischen Seiten am besten 2-Faktor Authentifizierung aktivieren, wie z.B. über Yubikeys. Sofern die Webseite oder App es unterstützt, sollte FIDO2 als 2FA Verfahren genutzt werden, statt dem alten OTP - also das bekannte Verfahren mit der PIN in einer App - da FIDO2 besser gegen Phishing Attacken hilft.

Videos zu 2FA mit TOTP und FIDO2 findet ihr auf unserem Youtube Channel, z.B. diese hier.

Okta´s Quellcode von Cyberkriminellen abgegriffen

Das US-amerikanische Unternehmen für Zugriffsmanagement, schreibt auf seiner Seite: „Im Einklang mit unserem zentralen Wert der Transparenz teilen wir den Kontext und die Details zu einem kürzlich aufgetretenen Sicherheitsvorfall mit, der Okta Code Repositories betrifft. Es gibt keine Auswirkungen auf Kunden, auch nicht auf HIPAA-, FedRAMP- oder DoD-Kunden. Für die Kunden besteht kein Handlungsbedarf.“

Und: „Unsere Untersuchung ergab, dass es keinen unbefugten Zugriff auf den Okta-Service und keinen unbefugten Zugriff auf Kundendaten gab. Okta verlässt sich bei der Sicherheit seiner Dienste nicht auf die Vertraulichkeit seines Quellcodes. Der Okta-Dienst ist weiterhin voll funktionsfähig und sicher.“

Social Blade bestätigt Datenpanne

Der Analyse-Tools Anbieter für Social-Media Daten, gibt eine Datenpanne bekannt, allerdings nicht auf seiner Webseite sondern via Mail an seine Kunden. Zudem landeten die abgeriffenen Daten scheinbar auch im Darkweb. Deshalb hier der Link zu der geposteten Mail eines Anwenders auf Twitter.

In der originalen Mail heißt es: „Am 14. Dezember wurden wir über einen möglichen Datenschutzverstoß informiert, bei dem eine Person Exporte unserer Benutzerdatenbank erworben hatte und versuchte, diese in einem Hackerforum zu verkaufen. Es wurden Muster gepostet, und wir haben uns vergewissert, dass sie tatsächlich echt waren. Es scheint, dass diese Person eine Sicherheitslücke auf unserer Website ausgenutzt hat, um Zugang zu unserer Datenbank zu erhalten.“

Kreditkarteninformationen sollen laut Socialblade nicht enthalten. Der Datenklau beinhaltet wohl aber Daten wie E-Mail-Adressen, IP-Adressen, Passwort-Hashes, Client-IDs und Token für API-Benutzer in Unternehmen, Authentifizierungs-Tokens für verbundene Konten und viele andere nicht-personenbezogene und interne Daten. Eine sehr kleine Teilmenge der Daten enthielt auch Adressen.

Technisch gesehen, schreibt Socialblade, werden die Passwörter mit dem bcrypt-Algorithmus gehasht. Die Funktionsweise von bcrypt ist sehr rechenintensiv. Aufgrund der Komplexität von bcrypt haben wir beschlossen, dass es nicht notwendig ist, die Passwörter aller Nutzer zurückzusetzen. Um ganz sicher zu gehen, schadet es nicht, das Passwort zu ändern, auch wenn es nicht erforderlich ist.

Kritische Sicherheitslücke gefährden Synology-Router

In einer Warnmeldung von Synology heißt es: „Mehrere Schwachstellen erlauben entfernten Angreifern, beliebige Befehle auszuführen, Denial-of-Service-Attacken durchzuführen oder beliebige Dateien über eine anfällige Version des Synology Router Managers (SRM) zu lesen.“

Betroffene Produkte sind SRM 1.3 und SRM 1.2 und sollen schnellstmöglich gepatcht werden.


Hacker-Gruppen und Kampagnen

Nachfolgend findet Ihr die Links zu den Artikeln von derzeitigen Cyberangriffen in Deutschland:

Thyssenkrupp – Cyberattacke auf Werkstoffsparte

Cyberangriff auf Firma in Niederbayern

IT-Systeme der Hamburger Friedhöfe gehackt

Cyberangriff auf H-Hotels.com


Wirtschaft, Politik und Kultur

• Betrug mit digitalen EC-Karten – Festnahmen von mutmaßlichen Bandenmitgliedern in Lutherstadt Wittenberg und Berlin (Pressemitteilung der Generalstaatsanwaltschaft Bamberg)

TikTok hat US-Journalisten überwacht


Das wars für diese Woche, die Weekly News gibt es als Newsletter, auf unserem Youtube Channel oder als Podcast zu Abonnieren. Bis zum nächsten Mal, stay safe!