02.03.2022

Was bisher geschah

[2021-12-09] Zero-Day Remote Code Execution Exploit für Log4j

Das Jahr 2021 hörte mit einem Knall auf: Ein Forscher des Alibaba Cloud Security Teams veröffentlichte eine Schwachstelle in der sehr populären Java-Bibliothek Log4j. Diese bietet Programmierern ein flexibles Framework zum Loggen von Anwendungsmeldungen und steht als Open-Source-Projekt der Apache Software Foundation unter der Apache-Lizenz 2.0 zur freien Verwendung.

Die “Log4Shell” genannte Schwachstelle (CVE-2021-44228) schaffte es noch in den letzten drei Wochen des Jahres, zum fünfthäufigsten Malware-Problem aufzusteigen, denn Log4j wird von vielen Open-Source- und auch kommerziellen Anwendungen und Diensten verwendet. Schätzungen des BSI zufolge dürften dadurch global mehrere Milliarden Computer verwundbar sein, falls das entsprechende Update noch nicht aufgespielt wurde.

Wie viele andere Java-Programme nutzt auch Log4j das Java Naming and Directory Interface (JNDI) - eine Programmierschnittstelle (API) für Namensdienste und Verzeichnisdienste – und erlaubte standardmäßig das Nachladen von Klassen für die Log4j-Konfiguration, in Log4j-Protokollnachrichten und Log4j-Parametern zur Laufzeit. Das kann zu einem Problem werden, falls ein Angreifer sowohl die LDAP- oder JNDI-Endpunkte als auch Protokollnachrichten oder Protokollnachrichtenparameter kontrolliert, wodurch er dann in der Lage ist, beliebigen Programmcode von entfernten LDAP-Servern auf das Zielsystem nachzuladen und im jeweiligen Anwendungskontext auszuführen – falls die entsprechende Namensauflösung für Nachrichten aktiviert ist.

Zwar sind uns noch keine konkreten Vorfälle in Deutschland bekannt, doch international wurden bereits Fälle beobachtet, in denen diese Lücke ausgenutzt wurde. Es wurde beobachtet, dass viele Angreifer den Exploit für Log4j in ihre bestehenden Malware-Kits und Taktiken einbauen, von Coin-Minern bis hin zu Angriffen über die Tastatur. So warnt beispielsweise die Cybersecurity-Forschungsgruppe Cryptolaemus, dass Log4j ausgenutzt wird, um Windows-Computer mit dem Trojaner Dridex und Linux-Computer mit Meterpreter zu infizieren. Anwender sollten Skripte und Scanning-Tools zu verwenden, um das Risiko und potenzielle Gefährdungen eigener Systeme zu bewerten, und entsprechende Updates installieren. Seit der Version 2.15.0 von Log4j soll die entsprechende JNDI-Funktion standardmäßig deaktiviert sein.

[2022-01-12] Erpressung des Medizin Campus Bodensee

Schon früh im neuen Jahr erwischte es den Klinikverbund Medizin Campus Bodensee (MCB). Dort mussten vorsorglich alle Server und Geräte heruntergefahren werden, um eine weitere Verbreitung von Schadsoftware zu verhindern. Getroffen habe es hauptsächlich Verwaltungsbereiche. Da die Behörden zwischenzeitlich wegen des Verdachts der versuchten Erpressung ermitteln, kann davon ausgegangen werden, dass es sich bei dem Vorfall um Ransomware (Erpressungs-Schadsoftware) handelte, welche Daten und Systeme verschlüsselt und so die gesamte IT-Infrastruktur einer Klinik lahmlegen kann.

[2022-01-04] Erpressung der Unfallkasse Thüringen

Auch die öffentliche Verwaltung blieb nicht verschont. Im Januar wurden die Versichertendaten der Unfallkasse Thüringen (UKT) unfreiwillig durch Ransomware verschlüsselt - davon waren immerhin rund 750.000 Versicherte betroffen. So war es der Unfallkasse vorübergehend nicht möglich, selbst auf die Versichertendaten zuzugreifen, ihre Mitgliedsunternehmen konnten keine Arbeitsunfälle digital melden, die telefonische Erreichbarkeit war eingeschränkt und Zahlungsanforderungen an Dienstleister konnte nicht bearbeitet werden. Es wurde versucht, ein Lösegeld zu erpressen.

[2022-01] Behörden-Festplatte auf eBay zum Kauf

Dass Cybersecurity-Vorfälle manchmal auch nichts mit Angriffen von außen zu tun haben, zeigt dieser Fall: Auf eBay tauchten gebrauchte Rechner des Ausländeramts der Hansestadt Lübeck zum Verkauf auf. Hierbei wurde übersehen, dass die Festplatten inklusive der darauf befindlichen Daten nicht, wie eigentlich vorgesehen, ausgebaut wurden. Dadurch gelangten teilweise höchst sensible Daten gemäß Art. 9 DSGVO in die Hände des heise c’t-Labors. Dort konnten aus den tausenden Mails, Einbürgerungsdaten, Fahndungsausschreibungen und Abschiebungen neben den Informationen zu bearbeiteten Fällen auch viele Hinweise zu Mitarbeitern und Interna der Behörde abgeleitet werden. Neben des nicht erfolgten Ausbaus der Festplatte oder Löschung der darauf gespeicherten Daten vor dem Verkauf, wurden als Hauptfehler lokal zwischengespeicherte Postfächer von MS Outlook und nicht gelöschte alte Benutzerkonten angeführt.

[2022-02] Angriff auf Oiltanking GmbH

Anfang Februar wurde die Oiltanking GmbH, ein Unternehmen der Marquard & Bahls AG, Opfer eines Angriffs mit Ransomware. Oiltanking betreibt unter anderem Tanklager für Kraftstoffe. In der Folge des Angriffs fielen deren Systeme zur vollautomatischen Befüllung von Tankwagen aus. Auswirkungen auf die Versorgungsketten (u.A. zu Shell) konnten aber über alternative Ladepunkte ausgeglichen werden. Der Angriff wurde durch die Gruppe ALPHV (BlackCat) ausgeführt, welche Ende 2021 erstmals in Erscheinung traten und Ransomware als Dienstleistungsmodell – Ransomware-as-a-Service-Anbieter (RaaS) – anbietet und dabei Gewinnbeteiligungen bis 90% verspricht. Die Gruppe rekrutiert aktiv neue Partner, insbesondere auch (ehemalige) Mitglieder anderer Banden wie REvil, BlackMatter und DarkSide. Neben Oiltanking fielen bereits viele andere große Unternehmen aus verschiedenen Branchen weltweit BlackCat zum Opfer – mit Lösegeldforderungen bis zu 3 Millionen US-Dollar. Dabei wird neben der Veröffentlichung der erbeuteten Daten zusätzlich mit DDoS-Angriffen (Distributed Denial of Service) gedroht. Die Angreifer dringen mittels bewährter Methoden über VPN-Gateways und ungeschützte RDP-Server in das Unternehmensnetzwerk ein. Diese Verbindungen benutzen sie, um über PowerShell die Konfiguration des Windows Defenders im Netzwerk zu ändern und mit PsExec die eigentliche Verschlüsselung zu starten. BlackCat läuft plattformunabhängig und kann sowohl Windows- als auch Linux-Systeme befallen.

[2022-02] Angriff auf WISAG GmbH

Mit dem Bodenverkehrsdienstleister WISAG GmbH, der u.a. die Gepäckabfertigung an mehreren großen deutschen Flughäfen abwickelt, wurde im Februar ein weiteres deutsches Unternehmen Ziel eines Hacker-Angriffs. Es handelte sich hierbei vermutlich ebenfalls um Ransomware, da das Unternehmen zwar erpresst wurde, sich aber nicht zu Lösegeldzahlungen zwingen ließ. Zu großen Störungen in den Betriebsabläufen soll es nicht gekommen sein, weil Backup-Systeme vorhanden und hochgefahren werden konnten.

[2022-02] Schwachstellen im Digitalen Schulzeugnis der Bundesdruckerei

Bereits während der Testphase des Projekts “Digitales Schulzeugnis”, welches gemeinsam von der Bundesdruckerei GmbH und der govdigital eG im Auftrag des Landes Sachsen-Anhalt entwickelt wird, haben IT-Sicherheitsforscherinnen und -forscher mehrere Schwachstellen entdeckt. Das Projekt soll eine Möglichkeit schaffen, Schulzeugnisse neben dem Papierformat auch digital auszustellen und zu übermitteln. Dazu müssen diese fälschungssicher, datenschutzkonform und leicht zu überprüfen sein. Das Projekt befindet sich derzeit im Testbetrieb, wobei Zeugnisse im PDF-Format signiert und mittels einer Blockchain verknüpft werden.

Der IT-Sicherheitsexpertin Lilith Wittmann zufolge konnte man sich leicht eigene Zeugnisse ausstellen, da Eingaben nicht auf Plausibilität geprüft wurden. Der entsprechende Code dazu wurde auf Github veröffentlicht. Weiterhin war auf der Zeugnis-Webseite der Bundesdruckerei ein XSS-Angriff möglich. Dies wurde durch Rickrolling eines Users demonstriert, der ein Zeugnis ansehen wollte. Die Seite des Projekts der Bundesdruckerei ist vorerst offline.

[2022-02] Instagram-Accounts gestohlen

Derzeit häufen sich Angriffe auf Instagram-Accounts von Kunstmuseen. Wie die Zeitschrift Monopol am 11.2.2022 berichtet, sind bislang bundesweit fünf Fälle bekannt geworden, in denen Instagram-Accounts solcher Einrichtungen durch Unbekannte übernommen oder sogar gelöscht wurden. Uns sind bislang zwei weitere Vorfälle dieser Art bekannt. Dies ist insofern für die betroffenen Institute ärgerlich, da die Arbeit für den Aufbau der Instagram-Profile mit mehreren tausend Followern über viele Jahre verloren zu gehen droht. Die Einfallsmethode für diese Profildiebstähle scheint bekannten und weit verbreiteten Phishing-Mustern zu folgen, bei denen Authentifizierungsaufforderungen der Plattformbetreiber imitiert werden, um die betroffenen Account-Besitzer zum "Verifizieren" ihrer Daten aufzufordern, in Wahrheit aber auf Phishing-Seiten zu locken und dort Authentifizierungsdaten abzugreifen. Sind die Angreifer auf diese Weise erst einmal in den Besitz eines fremden Accounts gelangt, können diese alle Daten des gekaperten Profils erbeuten und auch die Profilseiten verändern, um z.B. auch deren Follower wiederum mittels falscher Informationen oder falschen Links auf Phishing-Seiten zu lenken. In den dokumentierten Fällen haben die Hacker dies beispielsweise in Form einer Aufforderung, eine bestimmte WhatsApp-Nummer zu kontaktieren, und auch durch direkten Versand von Nachrichten mit Phishing-Links an die Follower versucht. Zur Verhinderung dieser Art von Profil-Diebstählen ist grundsätzlich die Aktivierung der sogenannten zweistufigen Authentifizierung zu empfehlen.

Zurück