Sicherheitslücken in Microsoft Exchange aufgedeckt, HelloKitty-Ransomware nutzt Sicherheitslücke in Apache ActiveMQ aus, Okta-Sicherheitsvorfall: Unbefugter Zugriff auf 134 Kunden, Sicherheitsforscher stoppen Mozi-Botnetz und Warnung vor EU’s Digitaler Identität: Forscher und NGOs befürchten massive Überwachung.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Sicherheitslücken in Microsoft Exchange aufgedeckt
Microsoft Exchange ist von vier Zero-Day-Sicherheitslücken betroffen. Diese wurden von Trend Micro mit eigenen Bezeichnungen veröffentlicht, da Microsoft selbst nicht in dem Maße aktiv wurde, wie es die Schwere der Lücken erfordert hätte. Die Forscher wollten daher die Aufmerksamkeit auf diese Lücken lenken und Exchange-Administratoren warnen.
Exchange Schwachstellen nach Auswirkungsgrad
Quelle: https://www.cvedetails.com/product/194/Microsoft-Exchange-Server.html?vendor_id=26
Die erste Schwachstelle (ZDI-23-1578), ermöglicht Angreifern die Ausführung von Remotecode. Diese Sicherheitslücke tritt in der ‚ChainedSerializationBinder‘-Klasse auf, in der Benutzerdaten nicht ausreichend validiert werden. Im Erfolgsfall kann ein Angreifer beliebigen Code mit den höchsten Privilegien auf Windows-Systemen (SYSTEM) ausführen.
ZDI-23-1579, die zweite kritische Lücke, befindet sich in der Methode ‚DownloadDataFromUri‘. Diese Schwachstelle resultiert aus unzureichender Validierung von URIs vor dem Zugriff auf Ressourcen, was Angreifern die Möglichkeit bietet, auf sensible Informationen von Exchange- Servern zuzugreifen.
Die dritte potenziell gefährliche Lücke (ZDI-23-1580), wurde in der Methode ‚DownloadDataFromOfficeMarketPlace‘ entdeckt. Diese Schwachstelle resultiert ebenfalls aus mangelnder URI-Validierung, was potenziell zur unbefugten Offenlegung von Informationen führen kann.
Schließlich gibt es auch die Sicherheitslücke ZDI-23-1581, die in der Methode ‚CreateAttachmentFromUri‘ präsent ist. Ähnlich wie die zuvor genannten Schwachstellen beruht auch diese auf unzureichender URI-Validierung, was erneut das Risiko der Offenlegung sensibler Daten birgt.
Obwohl diese Sicherheitslücken alle eine Authentifizierung erfordern, ist es wichtig, angemessene Schutzmaßnahmen zu ergreifen, darunter die Einschränkung der Exchange-Nutzung und die dringend empfohlene Implementierung der Zwei-Faktor-Authentifizierung, um den Zugriff auf Exchange-Systeme zu sichern. Microsoft hat angekündigt, die Sicherheitslücken in zukünftigen Updates zu beheben, bis dahin ist erhöhte Wachsamkeit angebracht.
Hacker-Gruppen und Kampagnen
HelloKitty-Ransomware nutzt Sicherheitslücke in Apache ActiveMQ aus
Am 27. Oktober stellten Sicherheitsforscher in zwei Kundenumgebungen verdächtige Aktivitäten in Bezug auf Apache ActiveMQ fest. In beiden Fällen versuchten Angreifer, Ransomware zu installieren und Organisationen zu erpressen.
Die Sicherheitslücke CVE-2023-46604, die es Angreifern ermöglicht, beliebigen Code auszuführen, wurde am 25. Oktober 2023 von Apache veröffentlicht. Betroffene Produkte umfassen verschiedene Versionen von Apache ActiveMQ und des Legacy OpenWire Module.
Die Angreifer hatten Schwierigkeiten bei ihren Ransomware-Versuchen, was zu mehreren erfolglosen Angriffen führte. Analysierte MSI-Dateien enthielten eine 32-Bit .NET-Ausführbare Datei namens „dllloader“ und eine 32-Bit .NET-DLL namens „EncDLL“. Diese verschlüsselten Dateien und kommunizierten mit einem Remote-Server über die E-Mail-Adresse „service@hellokittycat[.]online“.
Rapid7 identifizierte auch Anzeichen für Kompromittierung, darunter Log-Einträge und URLs. Um Ransomware-Angriffe zu verhindern, wird Organisationen geraten, auf Updates für Apache ActiveMQ zu achten und auf mögliche Kompromittierungsanzeichen zu reagieren.
Okta-Sicherheitsvorfall: Unbefugter Zugriff auf 134 Kunden
Okta entschuldigt sich bei betroffenen Kunden und informiert über einen kürzlichen Sicherheitsvorfall. Zwischen dem 28. September und dem 17. Oktober 2023 hatte ein Bedrohungsakteur unbefugten Zugriff auf das Support-System von Okta, das mit 134 von Oktas Kunden in Verbindung stand.
Sensible HAR-Dateien mit Sitzungstoken wurden kompromittiert, was auf mögliche Sitzungshijacking-Angriffe hinweist. Der Zugriff erfolgte über ein im System gespeichertes Servicekonto, dessen Anmeldeinformationen wahrscheinlich über ein persönliches Google-Konto eines Mitarbeiters exponiert wurden. Zusätzlich gab es Verzögerungen bei der Identifizierung von Dateidownloads in den Logdateien von Okta.
Weitere Untersuchungen sind im Gange, um die genauen Ursachen und Maßnahmen zur Behebung zu klären.
Sicherheitsforscher stoppen Mozi-Botnetz
Im August 2023 erlebte das berüchtigte Mozi-Botnetz, das für die Ausnutzung von Schwachstellen in Hunderttausenden von IoT-Geräten pro Jahr bekannt ist, einen plötzlichen Absturz seiner Aktivität. Die Ermittlungen führten zu einer bahnbrechenden Entdeckung am 27. September 2023, als Sicherheitsforscher einen sogenannten Kill-Switch identifizierten, der das Mozi-Botnetz zum Schweigen brachte. Der Kill-Switch, der in einer UDP-Nachricht entdeckt wurde, führte mehrere Aktionen aus, darunter das Beenden des Mozi-Malware-Prozesses, die Deaktivierung von Systemdiensten, das Ersetzen der ursprünglichen Mozi-Datei und das Sperren des Zugriffs auf Ports.
Die genauen Hintergründe dieser Aktion bleiben rätselhaft, doch zwei mögliche Verdächtige stehen im Raum: die Schöpfer des Botnetzes oder chinesische Strafverfolgungsbehörden.
Wirtschaft, Politik und Kultur
Warnung vor EU’s Digitaler Identität: Forscher und NGOs befürchten massive Überwachung
Laut netzpolitik.org haben mehr als 400 Forscher und 30 Nichtregierungsorganisationen in einem offenen Brief Alarm geschlagen. Sie warnen vor den Plänen der EU zur Einführung der „European Digital Identity Wallet“ (ID-Wallet), die es allen EU-Bürgern ermöglichen soll, sich online auszuweisen.
Die Kritik konzentriert sich vor allem auf zwei Punkte: Artikel 45 und Artikel 6 der geplanten Verordnung. Artikel 45 betrifft die Sicherheit im Internet, da er den EU-Mitgliedsstaaten erlauben würde, Zertifikate bereitzustellen, die von Webbrowsern akzeptiert werden müssen. Kritiker befürchten, dass staatliche Behörden diese Zertifikate missbrauchen könnten, um die Internetkommunikation der Bürger zu überwachen.
Artikel 6 wiederum behandelt die Verknüpfung von Personendaten, was die Privatsphäre der Menschen gefährden könnte. Die Unterzeichner des offenen Briefes fordern daher, diese Punkte zu überdenken und sicherzustellen, dass die Privatsphäre der EU-Bürger geschützt wird.
Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!
