Schwachstellen in Windows, Citrix, Cisco und Ivanti, Risiko für Datenzentren und Kritis, Cloud Panne bei Microsoft, Erfolge beim LKA und Interpol und mehr.
Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Privilege Escalation in Windows
Die Sicherheitsforscher von Deep Instinct beschreiben in ihrem Blogpost ihren „NoFilter“-Angriff, eine raffinierte Methode zur Privilege Escalation, welche die Windows Filtering Platform (WFP) ausnutzt. Dabei wird die WFP manipuliert, um höhere Systemzugriffsrechte zu erlangen.
Die Technik ermöglicht es Angreifern, legitime Prozesse umzuleiten und somit höhere Berechtigungen zu erlangen, ohne dabei verdächtig zu wirken. Der Angriff umgeht herkömmliche Sicherheitsmaßnahmen, indem er auf subtile Weise Schwachstellen in der WFP ausnutzt.
Ein guter technischer Blogpost, den jeder lesen sollte, der gerne tiefer in die Funktionsweise von Schwachstellen eintaucht.
CISA nimmt Citrix Lücke in KEV-Liste auf
Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine Schwachstelle in Citrix ShareFile zur Known Exploited Vulnerabilities (KEV) Liste hinzugefügt. Die Schwachstelle CVE-2023-24489 betrifft laut Citrix alle ShareFile Storage Zone Controller vor Version 5.11.24 und könnte es Angreifern ermöglichen, beliebige Dateien hochzuladen und so schädlichen Code auszuführen.
Die erste Ausnutzung der Schwachstelle, durch die bekannte Ransomware Gruppe Cl0p, wurde Ende Juli 2023 festgestellt. Seitdem wurden laut einem Bericht von GreyNoise über 75 IP-Adressen in Bezug auf Ausnutzungsversuche registriert.
Zusätzlich hat die Citrix NetScaler Schwachstelle CVE-2023-3519, über die wir kürzlich berichtet haben, für Aufregung gesorgt. Laut einem Bericht der NCC Group, sollen fast 2000 Geräte mit Backdoors infiziert worden sein. Citrix Admins sollten also aktuell besonders aufmerksam sein und ihre Systeme zeitnah patchen.
Kritische Schwachstelle in IBM Security Guardium
Eine kritische Sicherheitslücke (CVE-2023-35893) wurde in der IT-Sicherheitslösung IBM Security Guardium entdeckt, die Angreifern als Einfallstor dienen kann. Obwohl ein authentifizierter entfernter Angreifer für die Ausnutzung erforderlich ist, kann nach dem Versenden einer manipulierten Anfrage die Ausführung von Befehlen auf dem System erfolgen. IBM hat Sicherheitspatches für verschiedene Ausgaben von Security Guardium veröffentlicht. Admins werden aufgefordert, ihre Systeme zügig zu aktualisieren.
Sicherheitslücken in Cisco Produkten
Diverse von mittel bis hoch eingestufte Schwachstellen bedrohen verschiedene Cisco Geräte und Anwendungen, unter anderem den Unified Communications Manager, Cisco Produkte die ClamAV verwenden, Duo Device Health Appliance für Windows und durch die Kombination verschiedener Schwachstellen ist Intersight Private Virtual Appliance für Root Angriffe anfällig.
Eine gute Zusammenfassung und eine Übersicht der Schwachstellen gibt es im heise-Artikel dazu.
Schwachstellen gefährden Datenzentren
Laut einem Blogpost von Trellix sind mehrere Sicherheitslücken in den Softwareprodukten CyberPower PowerPanel Enterprise und Dataprobe iBoot PDU eine Gefährdung für Datenzentren. Die Schwachstellen erlauben Angreifern unter anderem das Umgehen der Authentifizierung und das Ausführen von Aktionen mit Admin-Rechten. Dies könnte zu Datenzentrum-Ausfällen und Malware-Verbreitung führen.
RCE in Ivanti EMM
Sicherheitslücken in Ivanti Enterprise Mobility Management (EMM) erlauben Angreifern das Einschleusen und Ausführen von Schadcode. Eine kritische Lücke (CVE-2023-32560) erlaubt Code-Ausführung durch Buffer Overflows. Eine abgesicherte Version (6.4.1) wurde veröffentlicht, die auch weitere kritische Lücken schließt. Schwachstellen in Ivanti Endpoint Manager wurden ebenfalls entdeckt, die Angreifern Code-Ausführung ermöglichten.
KRITISche Schwachstellen in CODESYS V3
Microsofts Cyberphysical Research Team hat schwerwiegende Sicherheitslücken im CODESYS V3 SDK 15 entdeckt. Das Software Development Kit wird häufig verwendet, um PLCs zu erstellen. Die Schwachstellen, welche alle Versionen vor 3.5.19.0 betreffen, könnten zu RCE oder DoS Attacken in kritische Infrastrukturen in Deutschland und Europa und führen.
Angreifer könnten dadurch potenziell Kraftwerke stilllegen, Hintertüren in Systemen einrichten oder Daten abziehen. Die Schwachstellen erfordern eine Authentifizierung sowie spezifische Kenntnisse des CODESYS V3-Protokolls. Die Sicherheitslücken wurden im September 2022 gemeldet, und eine gepatchte Version (3.5.19.0) steht seit März 2023 zur Verfügung. Die Sicherheitsforscher haben Tools zur Angriffserkennung auf GitHub veröffentlicht. Mehr Details zu den Schwachstellen stellt das Team in ihrem Blogpost bereit.
Hacker-Gruppen und Kampagnen
Da diese Woche die Menge an Schwachstellen und Exploits bereits nahezu den Rahmen sprengen, begnügen wir uns in den folgenden Meldungen mit den absolut wichtigsten Details. Die Quellen gibt es wie immer auf unserem Blog, für alle, die tiefer in die Materie eindringen wollen.
Microsofts Cloud Panne
Inzwischen dürfte den meisten bekannt sein, dass eine chinesische Spionagegruppe einen Signing Key von Microsoft ergattert hatte. Microsoft versuchte den Vorfall initial etwas herunterzuspielen, kürzlich stellte sich jedoch heraus, dass mit diesem Key weit mehr möglich war, als ursprünglich vom Software-Riesen angegeben wurde. Inzwischen gibt es auch einen detaillierten Artikel von Microsoft zu dem Vorfall.
Microsoft Bashing mal beiseite, das Thema sollte jeder genau im Auge behalten. Die Zeit wird zeigen, ob sich dieser Vorfall darauf auswirken wird, wie wir dem Thema Cloud Security in Zukunft gegenüberstehen oder ob der Vorfall wie so viele News bald Schnee von gestern ist.
LKA verhindert Cyberangriff
Das LKA Nordrhein-Westfalen hat durch Durchsuchungen in Köln und Aachen einen möglichen bevorstehenden Cyberangriff verhindert. Ein 20-jähriger Kölner wird verdächtigt, illegale Handelsplattformen betrieben und Hackerangriffe unterstützt zu haben. Die Polizei stellte Beweismaterial sicher und erlangte Zugriff auf verschlüsselte Systeme. Der Verdacht drehte sich um bevorstehende Ransomware-Angriffe, deren Ziele jedoch noch nicht bekannt gegeben wurden.
Weitere Erfolge für Interpol
Die Interpol, die bereits öfter in unseren News vertreten waren, hat in einer internationalen Operation namens ‚Africa Cyber Surge II‚ 14 mutmaßliche Cyberkriminelle verhaftet, die in 25 afrikanischen Ländern aktiv waren. Die viermonatige Operation hat über 20.000 Cybercrime-Netzwerke gestört, die für finanzielle Verluste von über 40 Millionen US-Dollar verantwortlich waren. Die Verdächtigen waren in verschiedene Formen von Cyberkriminalität wie Erpressung, Phishing und Online-Betrug involviert. Die Operation führte auch zur Abschaltung von bösartigen IP-Adressen und anderen schädlichen Infrastrukturen. Interpol hat in den letzten Monaten verstärkt gegen Cyberkriminalität vorgegangen und mehrere erfolgreiche Operationen durchgeführt.
Auktionshaus Zugänge in Hacker Forum
Hacker haben angeblich das Netzwerk eines großen Auktionshauses gehackt und bieten den Zugang zum Verkauf an, für den sie 120.000 US-Dollar verlangen. Die Anzeige wurde auf einem Hackerforum gefunden, das als Marktplatz für „Initial Access Brokers“ (IABs) bekannt ist. Die Hacker haben angeblich privilegierten Zugriff auf hochwertige Auktionen wie Stradivarius-Violinen oder Sammlerautos. Die meisten Angebote für Zugang bewegen sich im Bereich von 150 bis 1.000 US-Dollar.
Wirtschaft, Politik und Kultur
Datenschutz Erfolg gegen Meta
Tutanota schreiben in ihrem Blog über einen Datenschutz-Erfolg, den Norwegen gegen Meta errungen hat. Ab heute muss Facebook täglich 100.000 US-Dollar an Norwegen zahlen, weil es das Recht auf Privatsphäre verletzt hat. Norwegen erklärt, dass personalisierte Werbung auf Facebook und Instagram illegal ist und greift damit gezielt das Geschäftsmodell von Meta an. Norwegen könnte die Strafe auf ganz Europa ausdehnen, es bleibt auf jeden Fall spannend zu sehen, welche Folgen dieser Erfolg haben wird.
Das war’s für diese Woche. Die Weekly Hacker News gibt es auf unserem Youtube Channel Channel und als reine Audioversion auf rss.com sowie diversen Podcast-Plattformen zum Abonnieren oder als monatliche Zusammenfassung in unserem Newsletter. Danke für’s lesen und bis zum nächsten Mal – stay safe!
