Security-Briefing März 2024: Phishing via QR-Code

Microsoft
Anfang des Jahres berichtete Microsoft über einen Vorfall, durch welchen staatliche Hacker:innen aus Russland Zugriff auf einige E-Mailaccounts von hohen Microsoft-Führungskräften erhielten. Wie nun bekannt wurde, hat die als «Nobelium» resp. «Midnight Blizzard» bezeichnete Gruppe bei diesem Angriff zusätzlich Quellcode von Microsoft gestohlen. Die erbeuteten Informationen werden nun unter anderem für weitere Angriffe missbraucht. Microsoft selbst hat die Untersuchung des Vorfalls noch nicht abgeschlossen.

Varta
Einen Monat nach dem Cybervorfall bei dem Batterienhersteller Varta konnte die Produktion wieder hochgefahren werden. Auch die Verwaltung war von dem Vorfall betroffen. Nun ist das Unternehmen dabei, die angestauten Aufträge abzuarbeiten. Während bisher kaum Details zum Vorfall bekannt sind, wird die Aufarbeitung des Angriffes noch einige Zeit andauern. Der Vorfall reiht sich laut Medien in den Trend ein, dass vermehrt auch produzierende Unternehmen von Cyberangriffen betroffen sind.

Hack the Hackers – Lockbit und Alphv
In der Welt der kriminellen Banden ist viel los: Nachdem diesen Februar ein grosser Schlag gegen die Ransomware-as-a-Service-Gruppe Lockbit bekannt gegeben wurde, meldete diese sich nur wenige Tage später zurück. Während die Gruppe behauptet, nicht signifikant getroffen worden zu sein, ist aktuell das effektive Ausmass von aussen nur schwer abschätzbar. Kurze Zeit später fand sich analog zu Lockbit auch bei der Seite von Alphv ein Banner, wonach die Seite von einer Behörde beschlagnahmt worden sei. Laut einer Meldung des Branchenmediums Inside IT wurde dies im Fall von Alphv mutmasslich lediglich inszeniert. Demnach könnte dieses Manöver als Zeichen gedeutet werden, dass die Gruppe nun versucht unterzutauchen.

Datenanalyse des BACS zu Hack
Nach einem Ransomware-Angriff der Hackergruppe «Play» auf einen IT-Dienstleister der öffentlichen Hand hat das Bundesamt für Cybersicherheit BACS (vormals NCSC) eine umfassende Analyse der veröffentlichten Objekte durchgeführt. Dabei enthielten rund 5 % der Daten, hauptsächlich des IT-Dienstleisters und der Bundesverwaltung, sensitive Informationen wie persönliche Daten und Passwörter. Eine Administrativuntersuchung soll die Ereignisse weiter aufarbeiten und bis Ende März veröffentlichen. Die vollständige Analyse der Daten kann auf der BACS-Seite eingesehen werden.

E-ID in Deutschland und der Schweiz
Eine Sicherheitslücke in der deutschen E-ID ermöglicht es, unter fremdem Namen zu agieren und beispielsweise Bankkonten zu eröffnen. Durch Man-in-the-Middle-Attacken und manipulierte Apps können laut Medien Identitäten gestohlen und für verschiedene digitale Vorgänge missbraucht werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI, Deutschland) sieht den Angriffspunkt bei den Endgeräten der Nutzer:innen und erwägt eine Anpassung. Laut Aussagen eines Experten bei Inside IT soll ein ähnliches Angriffsszenario auch für die in der Schweiz geplante E-ID denkbar sein.

Das Protokoll einer Krise: Der NZZ-Cyberangriff
Vor rund einem Jahr wurde die NZZ Opfer eines Cyberangriffs. Während viele Unternehmen nach einem Angriff zurückhaltend kommunizieren, hat sich die Neue Zürcher Zeitung für eine detaillierte Aufbereitung der Geschehnisse entschieden. Der Artikel wurde auf dem Onlineportal der NZZ veröffentlicht.

Schweizer Spital profitiert von seinem Bug-Bounty-Programm
Ethische Hacker entdeckten im Rahmen eines Bug-Bounty-Programms eines Spitals zwei kritische Sicherheitslücken, welche bei anderen Organisationen bereits für Ransomware-Angriffe genutzt wurden. Dank der Kollaboration mit den White-Hat-Hacker:innen konnte laut Medien das Spital die Lücken frühzeitig entdecken und schliessen. 

Abraxas hat 2022 das erste grosse Bug-Bounty-Programm für die öffentlich Hand als Pionierin lanciert. Die Hintergründe dazu

Hacken mit ChatGPT
Forschende der University of Illinois Urbana-Champaign haben gezeigt, dass Sprachmodelle wie GPT zur Erkennung und Ausnutzung von Website-Schwachstellen trainiert werden können. Mit einem angepassten KI-Agenten konnte GPT-4 in Tests 11 von 15 Sicherheitslücken aufspüren. Dies wirft Fragen bezüglich des Missbrauchspotenzials solcher Technologien auf, insbesondere da die Leistungsfähigkeit der Modelle mit ihrer Grösse zunimmt und der Einsatz einfacher und kostengünstiger wird. Der Bericht beim Fachmedium heise online.

Franz Carl Weber
Die Ransomware-Bande Black Basta hat laut eigenen Angaben mehr als 700 GB an Daten vom Spielwarenhändler Franz Carl Weber gestohlen, darunter sensible persönliche Informationen von Angestellten. Zu den entwendeten Informationen gehören Dokumente aus der Buchhaltung, HR-Dateien sowie Identifikationsdokumente. Black Basta droht mit der Veröffentlichung dieser Daten, sollte kein Lösegeld gezahlt werden. Der Mutterkonzern Müller hat laut einem Medienbericht den Vorfall umgehend den Behörden gemeldet und Schutzmassnahmen eingeleitet.

EasyPark
EasyPark erlitt im Dezember 2023 einen Cyberangriff, bei dem mutmasslich über 21 Millionen Datensätze mit Namen, Kontaktdaten und teilweise Zahlungsinformationen gestohlen wurden. Diese Daten werden nun für 39’995 USD in einem Hacking-Forum angeboten. Obwohl EasyPark die Daten als «nicht sensibel» einstuft, offenbart der Vorfall mögliche erhebliche Datenschutzrisiken für Betroffene. Diese müssen laut Born City nun vermehrt mit Phishing rechnen.

Die Schwachstellen-Übersicht zeigt aktuelle und relevante Sicherheitslücken der letzten Wochen. Administratoren betroffener Systeme wird empfohlen, umgehend gemäss Herstellerangaben zu reagieren.

Microsoft Exchange (CVE-2024-21410)
Nachdem eine kritische Kerberos-Lücke im Januar ausgenutzt wurde, steht seit Februar auch das Authentifizierungspaket NTLM im Zentrum. Die Schwachstelle mit einem Base-Rating von 9.8 wird laut Microsoft aktiv angegriffen und sollte umgehend gepatcht werden. Weitere Informationen hat Microsoft beim Update Guide geteilt.

Google Chrome (CVE-2024-2173, CVE-2024-2174, CVE-2024-2176 sowie weitere)
Erneut wurden diverse Lücken mit «hohem» Risiko bei Google Chrome bekannt. Nutzer:innen von Chrome wird geraten, allfällige Updates zügig einzuspielen. Weitere Informationen zu den Lücken veröffentlichte das Fachmedium heise online.

SAP
SAP schloss beim März-Patchday diverse Lücken. Davon gelten zwei Schwachstellen mit einem CVSS Rating von 9.4 respektive 9.1 als kritisch. Auch hier rät der Hersteller zu einer zügigen Aktualisierung der Systeme.

Apple
Mit den neusten Versionen der jeweiligen Apple-Betriebssystemen patcht das Unternehmen unter anderem zwei Zero-Day-Lücken, welche bereits vor dem Patch aktiv angegriffen wurden. Mit macOS 14.4 sowie den Äquivalenten anderer Apple-Betriebssystemen sollten die Lücken allesamt geschlossen sein. Die Übersicht für alle Geräte liefert die Apple Security-Release-Dokumentation.

VMWare (CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 und CVE-2024-22255)
Bei den Produkten ESXi, Workstation, Fusion und Cloud Foundation von VMWare wurden Schwachstellen veröffentlicht, welche ein CVSS-Rating von bis zu 9.3 erhalten haben. Durch diese Lücken ist mit Administratorrechten ein Ausbruch aus der VM möglich. Die dazugehörigen Patches sowie Umgehungsmassnahmen stellt VMWare zur Verfügung.

Fortinet (FortiOS / FortiProxy)
Auch im März veröffentlicht Fortinet wichtige Sicherheitsupdates zu den eigenen Systemen. Betroffen sind insbesondere FortiOS, FortiProxy, FortiClientEMS und FortiManager. Da einige der Systeme mit kritischen Lücken regelmässig von Cyberkriminellen missbraucht werden, wird laut heise online zu einem raschen Handeln geraten.

Solarwinds (CVE-2024-0692)
Der Solarwinds Secure Event Manager hat zur Behebung von Sicherheitslücken einen Patch erhalten. Nebst eigenen Lücken werden auch integrierte Bestandteile von Drittherstellern aktualisiert. Mit der Risikoeinstufung «hoch» gehört dieses Update ebenfalls zu den Aktualisierungen, welche zeitnah eingespielt werden sollten.

Ivanti
Im Zusammenhang mit mehreren Lücken der letzten Wochen und Monaten warnt die amerikanische Cyber-Defence-Behörde CISA, dass einige Ivanti-Gateways auch nach einem Reset auf Werkeinstellungen potenziell noch infiziert sein können. Weitere Informationen finden sich bei der Publikation der CISA und ihren Partnerbehörden.

Synology
Synology adressiert mit einem neuen Update kritische Sicherheitslücken in seinen Routern, die unter anderem das Einschleusen von Script-Code ermöglichen. Administratoren sollten aufgrund des schrittweisen Rollouts gegebenenfalls manuell aktualisieren, um weitere Risiken zu vermeiden, so der Hersteller.

Dell
Dell hat in seinen Fernzugriffslösungen iDRAC8 und Secure Connect Gateway sowie im Backuptool Data Protection Advisor mehrere Sicherheitslücken geschlossen, um Systeme vor potenziellen Angriffen zu schützen. Für alle Lücken sind aktuelle Patches verfügbar.

Adobe
Diverse Produkte von Adobe haben einen Patch erhalten. Betroffen sind unter anderem der Adobe Experience Manager, Premiere Pro und Lightroom. Laut Herstellerangaben sind zwar mehrere Sicherheitslücken als kritisch einzustufen, gehören aber nicht zu den Lücken mit erhöhter Dringlichkeit. Weitere Details sowie aktuelle Angaben liefert Adobe auf der Product Security-Seite.

HP (Bios, Printer, HPE Aruba)
Den Abschluss machen diesen Monat diverse Lücken bei Produkten aus dem Haus HP. Patches zu Sicherheitslücken bei zahlreichen HP-Geräten im BIOS werden bereits angeboten oder sollten in Kürze verfügbar sein. Für HP-Laserjet-Drucker wiederum existiert bereits ein Firmwareupdate, welches zwei mit «hoch» bewertete Sicherheitslücken schliessen sollte. Zuletzt informierte HP-Enterprise über mehrere Lücken in ArubaOS. Die vollständige Meldung kann auf deren Webseite eingesehen werden.