Diskussion über aktuelle Bedrohungen

[Tomba]

Router updaten: Bundesamt warnt vor Sicherheitslücken

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell die Bürger mit zwei technischen Sicherheitshinweisen der Risikostufe 3 und Risikostufe 4 vor Schwachstellen in WLAN-Routern des Herstellers D-Link. Die erste Schwachstelle ermögliche die Offenlegung von Informationen. Die zweite Lücke ermögliche das Ausführen von beliebigem Programmcode.

Betroffen sind eine Reihe von D-Link-Routern, wie diesem Sicherheitshinweis des Herstellers zu entnehmen ist. Für einige Modelle stehen bereits entsprechende Firmware-Updates zum Download bereit, mit denen die Lücken gestopft werden. Für andere Modelle ist die Veröffentlichung der Updates in den nächsten Tagen geplant. Wichtig dabei: Zur Schließung der Lücken müssen zwei Firmware-Updates installiert werden. Betroffen sind die D-Link-Router DIR-822 und DIR-823, die hauptsächlich bei Privatnutzern aber auch in Kleinunternehmen im Einsatz sind. Hinzu kommen einige US-Modelle.

Das Bürger-CERT des Bundesamt für Sicherheit in der Informationstechnik empfiehlt die zeitnahe Installation der von dem Hersteller bereitgestellten Sicherheitsupdates. Die Lücken waren im Oktober 2019 und November 2019 von Sicherheitsexperten von Telefónica Chile entdeckt und an D-Link gemeldet worden. Dort wurde die Existenz der Lücken dann bestätigt und mit der Entwicklung entsprechender Sicherheitsupdates begonnen, die zum Teil nun seit einigen Tagen verfügbar sind.

Quelle : https://www.pcwelt.de/news/Router-up...-10732250.html

[Tomba]

Vorsicht: Polizei warnt vor falschen Apple-Mails

Derzeit versuchen Online-Betrüger die Nutzer mit gefälschten Apple-Rechnungsmails hereinzulegen. Davor warnt die Polizei Niedersachsen am Dienstag in einer Mitteilung. Die Mails gaukeln den Nutzern vor, etwas über eine Apple-ID gekauft zu haben. Wer nichts bestellt hat und sich deshalb wundert und den Link "Melden Sie ein Problem" in der Mail anklickt, gerät in die Fälle der Betrüger. Erste Mails dieser Art kursierten bereits im Herbst 2019 und werden nun seit Weihnachten wieder verschickt. Vermutlich, so die Polizei, hoffen die Täter damit viele Apple-Neulinge hereinzulegen, die sich über Weihnachten beispielsweise eine neues iPhone oder iPad gekauft haben.

Die Betrüger-Mails enthalten oben rechts ein Apple-Logo und starten mit den Worten "Vielen Dank, dass Sie sich für den App Store entschieden haben - Ihre Bestellung wurde aufgegeben." Anschließend wird der Empfänger dann darüber informiert, dass über seine Apple-ID erfolgreich Inhalte bestellt wurden und er kann sich ein PDF mit der detaillierten Rechnung herunterladen. Sollte der Empfänger einen Kauf nicht getätigt haben, so wird er über einen Link im PDF darum gebeten, ein Problem zu melden und die Bestellung zu stornieren.

Der Link führt dann aber natürlich nicht zu einer Apple-Seite, sondern zu einer gefälschten Apple-Seite, auf der die Nutzer aufgefordert werden, sich mit ihrer Apple-ID und dem dazugehörigen Passwort anzumelden. Anschließend werden noch diverse persönliche Daten inklusive Kontodetails abgefragt. Zum Abschluss soll der Nutzer auch noch mit einer Kreditkarte in der Hand ein Selfie hochladen.

Wer auf diesen Trick hereinfällt, der liefert also den Betrügern seine sämtlichen persönlichen Informationen inklusive seiner Bankdaten.

So verhalten Sie sich, falls Sie auf den Trick hereingefallen sind!
Die Polizei Niedersachen empfiehlt die Betrüger-Mails zu löschen und nicht auf die im PDF enthaltenen Links zu klicken. Wer darauf hineingefallen ist, sollte unverzüglich in Kontakt mit dem Apple-Support treten und seine Apple-ID-Zugangsdaten sofort hier über die echte Apple-ID-Website ändern.

Anschließend sollte eine Anzeige bei der örtlichen Polizeidienststelle erstattet werden. Die Bank oder das Kreditinstitut sollten außerdem darüber informiert werden, dass man seine Zahlungsdaten inklusive eines Selfies hochgeladen hat. Dabei empfiehlt es sich auch, die Sperrung der Karte über die Rufnummer 116 116 zu veranlassen.

"Leider kann das hochgeladene Personalausweisdokument durch die Täter für diverse Zwecke im Netz missbraucht (Betrug, Konteneröffnung usw.) werden. Wichtig ist, dass Sie bei der Anzeigenerstattung unbedingt darauf hinweisen", erklärt die Polizei Niedersachsen. Mit den gestohlenen Apple-ID-Zugangsdaten könnten die Betrüger sich auch einen Zugriff auf die Daten und Geräte verschaffen. Denkbar wäre beispielsweise, dass ein Apple-Gerät von den Betrügern aus der Ferne gesperrt und die Besitzer erpresst werden.

Quelle : https://www.pcwelt.de/news/Vorsicht-...-10732381.html

[Tomba]

Polizei stoppt Online-Banking-Betrüger: mTAN-System ausgehebelt

Betrüger haben versucht, via eSim-Swapping Geld von fremden Bankkonten zu erbeuten. Die Zentralstelle Cybercrime Bayern (ZCB) und die Kriminalpolizei Würzburg konnten jedoch eingreifen und verhinderten Transaktionen in Höhe von knapp 200.000 Euro. Die Generalstaatsanwaltschaft Bamberg hat Anklage gegen ein Ehepaar erhoben, ein Mittäter ist noch unbekannt.

Die mutmaßlichen Täter hatten sich auf verschiedenen Wegen zunächst die Login-Daten von Kundenprofilen bei Telefonanbietern erschlichen, heißt es in der Mitteilung der ZCB. Beim SIM-Swapping nutzen Betrüger den Zugang zum Smartphone durch die eSIM – sie ist im Gerät eingebaut und wird in der Regel etwa durch das Abscannen eines QR-Codes beschrieben beziehungsweise aktiviert. Diese Codes stellt der Provider in einer E-Mail oder auf einer Webseite zur Verfügung.

Mit dem via eSIM erhaltenen Zugang zum Smartphone haben die Täter sich dann an den Bankkonten zu schaffen gemacht. Login-Daten für die Konten sollen aus dem Darknet stammen, daraufhin haben sie mTANs per SMS für Konto-Aktivitäten auf die gekaperten Telefone schicken lassen.

Smartphones funktionieren nicht mehr
Die Geschädigten konnten ihre Mobiltelefone nicht mehr selbst nutzen. Kurz darauf fielen die Transaktionen auf den Bankkonten auf. Die Ermittlungen führten bislang zu 27 Menschen, die betroffen sind. Transaktionen in Höhe von knapp 200.000 Euro konnten durch das Eingreifen der Polizei verhindert werden.

Daneben sollen die Eheleute Waren im Wert von 23.000 Euro im Internet bestellt und an Packstationen schicken lassen haben, zu denen sie sich ebenfalls auf betrügerischem Weg Zugang verschafft hatten. Die beiden sind mit einem weiteren Mann außerdem wegen des Handels mit Betäubungsmitteln im Internet angeklagt.

Für die mTAN gibt es schon länger etablierte Angriffsszenarien. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Nutzern daher, auf den Einsatz von mTAN ganz zu verzichten und andernfalls, bestimmte Sicherheitsempfehlungen zu beachten.

Quelle : https://www.heise.de/newsticker/meld...t-4638849.html

[Tomba]

Malware Emotet greift WLANs an

Emotet nutzt mehrere Methoden, sich nach einer Infektion weiter zu verbreiten. Neu ist, dass der Schädling offenbar gezielt WLANs attackiert, um Zugriff auf weitere potentielle Opfer zu erhalten. Dabei kommt offenbar eine interne Passwortliste zum Einsatz, wie die Sicherheitsforscher von Binary Search berichten.

Bislang beschränkte sich Emotet bei seinen Versuchen, weitere Opfer zu finden, auf die aktive Netzwerkverbindung der infizierten Rechner. Binary Search entdeckte jedoch bei einer Emotet-Analyse ein sich selbst auspackendes RAR-Archiv, dessen Programme worm.exe und service.exe bislang unbekannte Aktivitäten entfalten. Auf Rechnern mit WLAN erstellen sie eine Liste aller sichtbaren Funknetze. Anschließend versucht der Schädling, sich dort anzumelden und probiert dazu systematisch Passwörter aus einer Liste durch.

Alt aber bislang unbekannt
Im nächsten Schritt kommt dann das übliche Emotet-Programm zum Einsatz, um auch die im WLAN vorgefundenen Windows-Rechner zu infizieren. Dazu gehört insbesondere der Zugriff auf Dateifreigaben und Windows- beziehungsweise Actice-Directory-Konten. Alle Informationen und insbesondere die Namen der Funknetze und deren Passwörter meldet der Schädling seinem Command and Control Server (C2).

Gegenüber helpnet Security erklärt James Quinn von Binary Defense, dass dieses WLAN-Modul bereits fast zwei Jahre alt sei. Man selbst habe es allerdings erstmals am 23. Januar 2020 beobachtet. Auch in anderen Quellen war bislang nichts zu derartigen Aktivtäten berichtet worden. Leider hat Binary Defense bisher keine eindeutigen Informationen veröffentlicht, nach denen Forensiker suchen könnten (Indicators of Compromise, IoCs). Lediglich in einer Grafik sind zwei C2-IPs aufgeführt: 87.106.37.146 und 45.79.223.161. Es ist aber nicht klar, ob diese nicht auch bei gewöhnlichen Emotet-Aktivitäten genutzt wurden.

Gegen halbwegs brauchbare WLAN-Passwörter kann ein solcher Brute-Force-Angriff nichts ausrichten. Wer jedoch Standardpasswörter einsetzt, die auf einschlägigen Listen auftauchen, sollte das spätestens jetzt schleunigst ändern – nicht nur wegen Emotet.

Update 7.2.2020 16:00 : Binary Defense hat jetzt eine detaillierte Analyse des beobachteten Emotet-Angriffs auf WLAN-Netze veröffentlicht. Diese enthält neben den beiden bereits erwähnten IP-Adressen auch Hash-Werte der involvierten Dateien und Suricata-Regeln, mit denen das Open-Source-IPS den "Emotet Wi-Fi Spreader" erkennen kann.

Quelle : https://www.heise.de/security/meldun...n-4655284.html

[Tomba]

WLAN-Lücke Kr00k: Sicherheitsforschern zufolge 1 Milliarde Geräte gefährdet

Eine Sicherheitslücke in WLAN-Chips von Broadcom und Cypress macht unzählige Geräte angreifbar. Darunter finden sich beispielsweise iPhones, Nexus- und Galaxy-Geräte sowie Amazons Echo und Kindle. Klappt eine Attacke, könnten Angreifer Teile von mit WPA2 verschlüsseltem Datenverkehr entschlüsseln. Erste Updates sind bereits verfügbar.

Neben Clients sind einer Warnmeldung der Sicherheitsforscher von Eset zufolge auch Router von unter anderem Asus bedroht. Beispielsweise Apple hat iPhones und iPads bereits im Oktober 2019 mit iOS 13.2 und iPadOS 13.2 abgesichert. Auch macOS 10.15.1 ist gegen Kr00k gerüstet. Besitzer von Computern, Smartphones & Co. sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind und Ausschau nach Updates halten.

Wie gefährlich ist Kr00k?
Die Sicherheitsforscher haben die Lücke (CVE-2019-15126) auf den Namen Kr00k getauft. Mit dem Namen spielen sie darauf an, dass die Übermittlung von bestimmten Daten im Zuge einer erfolgreichen Attacke nicht mehr ausreichend verschlüsselt werden – dabei spielt ein "genullter" Schlüssel eine wichtige Rolle. Betroffen sind die Sicherheitsstandards WPA2 Personal und WPA2 Enterprise mit AES-CCMP-Verschlüsselung. Das WLAN-Passwort ist von Kr00k nicht gefährdet.

Eset spricht von einer "ernsten Sicherheitslücke", ordnet den Schweregrad und das Angriffsrisiko aber nicht konkret ein. Die derzeit verfügbaren Informationen lesen sich so, dass Attacken nur in Funkreichweite von gefährdeten Geräten und mit viel Know-how möglich sind.

Einer Übersichtsseite für Sicherheitslücken des Information Technology Laboratory vom NIST zufolge ist die Schwachstelle mit dem Schweregrad "niedrig" eingestuft. Damit eine Attacke klappt, muss ein Angreifer den Informationen zufolge präparierte Datenpakete mit dem richtigen Timing abschicken. Die vergleichsweise niedrige Einstufung ist dabei schon ein Hinweis darauf, dass dies wohl sehr aufwändig ist.

Angriff skizziert
Die Kr00k-Attacke setzt im Kontext des 4-Wege-Handshakes an, wenn Client und Router eine verschlüsselte Verbindung aushandeln. Nachdem Client und Router nicht mehr miteinander reden – beispielsweise wenn ein Nutzer WLAN deaktiviert -, verbleibt ein genullter Session Key im Speicher von betroffenen WLAN-Chips. Das ist ein gewolltes Verhalten, da nach der Trennung keine Datenübertragung mehr vorgesehen ist.

Doch die Sicherheitsforscher haben entdeckt, dass Daten aus dem Buffer des Chips mit dem genullten Schlüssel "verschlüsselt" werden. Diese Daten könnten Angreifer mitschneiden und zum Teil einsehen. Darin finden sich beispielsweise DNS- und HTTP-Anfragen. Der Traffic mit via HTTPS verschlüsselten Websites ist nicht im Klartext sichtbar, da die TLS-Verschlüsselung von Kr00k nicht betroffen ist. Das WPA2-Passwort müssen Angreifer Eset zufolge für eine Attacke nicht kennen.

Da Teile beim Verbindungsaufbau ohne Authentifizierung und unverschlüsselt ablaufen, könnten Angreifer auf eigene Faust eine Trennung auslösen und so den Grundstein für eine Attacke legen. Machen sie das immer wieder, könnten sie so immer mehr Daten abgreifen.

Die Kr00k-Lücke weist Parallelen zur KRACK-Attacke aus dem Jahr 2017 auf – unterscheidet sich in Teilen aber auch deutlich.

Quelle : https://www.heise.de/security/meldun...t-4669083.html

[Tomba]

Datendieb: Trojaner nutzt Corona-Angst, stiehlt sensible Nutzerdaten

Da die Angst vor dem Coronavirus in vollem Gange ist, machen sich die Malware-Verbreiter diese Angst zunutze. Nun ist eine Spam-Kampagne aufgetaucht, die einen Datendieb im Anhang hat. Ist der Trojaner erst einmal aktiviert, haben Betrüger nahezu freien Zugang zum PC.
Die Spam-Kampagne gibt dabei vor, dass es sich dabei um eine offizielle Informationen über den Coronavirus (COVID-19) der Weltgesundheitsorganisation (WHO) handelt. Da heißt es unter anderem, dass die WHO mit dieser Mailing-Aktion gegen Falschnachrichten vorgehen will und besorgte Bürger informieren möchte. Im Anhang dieser Mail befindet sich allerdings ein bekannter Malware-Downloader, verpackt als .zip, der mit einem Trojaner namens FormBook verknüpft ist.

Zip-Datei, die sich als PDF ausgibt
Das Online-Magazin Bleeping Computer hat eine solche Kampagne gezeigt. Die E-Mail stammt von "corona-virus@caramail.com", die auch für weitere Phishing-Zwecke verwendet wird. Die angehängte Datei heißt "MEIN-HEALTH.PDF" und soll eine Übersicht bieten, um "die einfachste und schnellste Möglichkeit zu finden, Ihre Gesundheit zu schützen und andere zu schützen". Es handelt sich dabei aber nicht um eine PDF-, sondern um eine Zip-Datei, die eine ausführbare Datei namens MyHealth.exe enthält.

E-Mail-Anhang mit Malware-Downloader
Laut dem MalwareHunterTeam, das diese Spam-Kampagne entdeckt hat, handelt es sich bei der ausführbaren Datei um GuLoader, ein Malware-Downloader. Sobald der aktiv ist, lädt er den FormBook-Diebstahl-Trojaner nach, der auf den Inhalt der Windows-Zwischenablage zugreifen kann und so Tastatureingaben protokolliert und Daten stehlen kann, während man zum Beispiel im Internet surft, Online-Banking macht oder Bestellungen aufgibt.

"Die Malware injiziert sich in verschiedene Prozesse und installiert Schnittstellen, um Tastatureingaben zu protokollieren, den Inhalt der Zwischenablage zu stehlen und Daten aus HTTP-Sitzungen zu extrahieren. Die Malware kann auch Befehle von einem Command-and-Control-Server (C2) ausführen. Zu den Befehlen gehört die Anweisung an die Malware, Dateien herunterzuladen und auszuführen, Prozesse zu starten, das System herunterzufahren und neu zu starten sowie Cookies und lokale Passwörter zu stehlen", erklärte FireEye bereits vor einigen Jahren zur Vorgehensweise des Trojaners.

"Mit dieser Malware können Angreifer Bankdaten, Anmeldeinformationen für Websites, Cookies, mit denen sie sich als Opfer auf Websites anmelden können, und den kompletten Inhalt der Windows-Zwischenablage stehlen. Das bedeutet, dass diejenigen, die mit dieser Malware infiziert sind, einem erheblichen Risiko für Identitätsdiebstahl, Online-Banking-Diebstahl und die Kompromittierung anderer Konten, bei denen sie sich normalerweise anmelden, ausgesetzt sind."

Die Weltgesundheitsorganisation WHO hat sich bereits dem Thema Corona-Spam angenommen und warnt selbst davor, das Kriminelle die Angst vor dem Virus ausnutzen wollen.

Quelle : https://winfuture.de/news,114541.html

[Chris]

Warnung vor gefälschten E-Mails im Namen des BAG
14.03.2020 - Seit Freitagmittag (13. März 2020) versuchen Cyberkriminelle die Verunsicherung der Bevölkerung aufgrund der Situation um das Coronavirus auszunutzen. Anhand von E-Mails mit gefälschtem Absender des BAG versuchen sie, Malware zu verbreiten. Die Melde- und Analysestelle Informationssicherung MELANI warnt die Bevölkerung. Diese E-Mails sind umgehend zu löschen.
Mittels gefälschten E-Mails und Posts zum Thema Coronavirus versuchen Cyberkriminelle zurzeit, Geräte zu infizieren und die Schadsoftware namens AgentTesla zu verbreiten. Als Absender der verschickten E-Mails wird das Bundesamt für Gesundheit (BAG) angegeben. MELANI ruft die Bevölkerung dringend dazu auf, solche E-Mails zu ignorieren, keine Anhänge zu öffnen und keinesfalls auf Links zu klicken. Werden dennoch Anhänge geöffnet oder Links angeklickt, so wird Malware platziert. Diese ermöglicht den Angreifern den vollen Fernzugriff auf den Computer und Passwörter können ausgelesen werden. Falls Sie versehentlich eine solche E-Mail geöffnet haben sollten, schalten Sie umgehend Ihren Computer aus. Setzen Sie wenn möglich den Computer neu auf oder kontaktieren Sie dazu zur Unterstützung Ihr Fachgeschäft. Wechseln Sie anschliessend umgehend Ihre Passwörter.
MELANI beobachtet die Situation und ist mit den betroffenen Stellen in engem Kontakt.

Beispiel: https://www.newsd.admin.ch/newsd/mes...ents/60657.pdf

[Tomba]

Achtung: Sicherheitspatch gegen kritische SMBv3-Lücke jetzt verfügbar

Microsoft hat außer der Reihe ein Sicherheitsupdate für Windows 10 und Server 1903 und 1909 veröffentlicht, dass die kritische Sicherheitslücke CVE-2020-0796 fixt. Die steckt im SMBv3-Protokoll und kann von entfernten Angreifern zur anschließenden Ausführung von Programmcode auf verwundbaren Systemen missbraucht werden. Admins sollten ihre Systeme jetzt zügig aktualisieren.

Besonders gefährlich an der Lücke ist, dass nicht nur aus dem Internet erreichbare Computer gefährdet sind. Durch die Möglichkeit der wurmartigen Ausbreitung könnten ganze Netzwerke "in einem Rutsch" befallen werden.

KB4551762 jetzt zügig einspielen
Wie heise Security vor ein paar Stunden berichtete, gab es zunächst lediglich einen Workaround, den sowohl Microsoft als auch das BSI dringend empfahlen. Jetzt steht das Update KB4551762 zum Download im Windows Update Catalog bereit. Bei aktiviertem Windows Update oder (je nach Konfiguration) WSUS wird es zudem auch automatisch ausgeliefert.

Quelle : https://www.heise.de/security/meldun...r-4681993.html

[Tomba]

Angreifer attackieren Windows über Zero-Day-Lücken

Derzeit haben Angreifer mehrere Schwachstellen in Windows 7, 8.1 und 10 im Visier. Davon sind auch unterschiedliche Server-Ausgaben bedroht. Microsoft spricht von "begrenzten, gezielten" Attacken. Das von den beiden Sicherheitslücken ausgehende Angriffsrisiko ist als "kritisch" eingestuft. Nach erfolgreichen Attacken könnten Angreifer Schadcode ausführen. Bislang gibt es nur Workarounds, um Computer abzusichern. Patches sollen folgen.

In einer Warnmeldung listet Microsoft die bedrohten Versionen im Detail auf. Am Ende der Meldung findet man auch Infos, wie man Computer bis zum Erscheinen der Sicherheitsupdates absichern kann. Wann die Updates erscheinen sollen, ist bislang unklar. Microsoft verweist an dieser Stelle auf den monatlichen Patchday. Der nächste findet am 14. April statt.

Da der Support für Windows 7, Windows Server 2008 und Server 2008 R2 seit Januar 2020 ausgelaufen ist, bekommen nur noch Kunden des kostenpflichtigen Support-Programms Extended Security Update (ESU) Sicherheitspatches.

Attacken vergleichsweise trivial
Die Schwachstellen finden sich in der Adobe-Type-Manger-Bibliothek von Windows. Bei der Verarbeitung von "multi-master Font - Adobe Type 1 PostScript format"-Dateien kann es zu Fehlern kommen.

Für eine erfolgreiche Attacke muss ein Angreifer einem Opfer eine präparierte Datei dieser Art unterschieben. Öffnet das Opfer diese, ist eine Attacke erfolgreich. Dabei soll die Darstellung in der Windows-Explorer-Vorschaufunktion ausreichen. Die Darstellung via Outlook-Preview-Funktion soll nicht gefährlich sein. Außerdem weist Microsoft darauf hin, dass die erweiterten Sicherheitseinstellungen von Windows Server an dieser Stelle nicht weiterhelfen.

Workarounds
Um Windows-Computer bis zum Erscheinen von Patches gegen Angriffe zu rüsten, hält Microsoft verschiedene Workarounds bereit. So sollten Nutzer beispielsweise die Vorschaufunktion des Windows Explorers deaktivieren oder den WebClient-Service deaktivieren.

Quelle : https://www.heise.de/security/meldun...n-4688631.html