Patchnews Nov 16

Aktuelle News:

  • Tesco Bank in England wurde gehackt. Dabei wurden auf  Konten von 20’000 Kunden betrügerische Abbuchungen vorgenommen. Weitere Details folgen.
  • Wichtiger Patchday von Microsoft. Darunter wurden auch zwei Zero Day Lücken geschlossen.
  • Wichtiger Pach auch für den Adobe Flashplayer
  • Ausserdem sind Lücken bei MySQL vorhanden, die auch MariaDB und  Percona betreffen. Patches der verschiedenen Versionen sind vorhanden oder in Kürze erhältlich.
  • Immer noch sind verseuchte Word-Dateien im Umlauf. Nichts im Word anklicken oder aktivieren! Sofort löschen!

DDoS Attacke auf Dyn

Zur Primetime am Freitag Abend fiel Netflix sowie Twitter, Amazon oder Spotify aus und war nicht erreichbar. Grund war eine DDoS-Überlastungsattacke auf den Internet-Dienstleister Dyn. Die Malware Mirai kaperte für diese Attacke internetfähige Geräte wie IP-Kameras, Drucker oder Babyphones, bei denen Benutzername und Passwort nicht geändert wurden.

Swiss Cyber Storm 2016

Auch in diesem Jahr war ich am 19. Oktober in Luzern am Swiss Cyber Storm Fachvortrag über Cybercrime. Folgende Themen haben mich beeindruckt:

  • Troy Hunt  mit Hintergrund-Wissen zu Hacker und Datenklau -> Lessons of Billions of Breached Records
  • Herbert Bos mit Hacks/Sicherheitslücken mittels Side Channels (Memory deduplication) und Hardware Vulnerabilities (Rawhammer)
  • Scott Helm zu allgemeiner Sicherheit von IT-Protokollen
  • Mazin Ahmed mit seinen Erfahrungen als Bug Bounty Hunter
  • Marc Ruef mit seinem Insider-Wissen zum Darknet

Yahoo gehackt / Wada gehackt / Royals gehackt

  • Letzte Woche bestätigte Yahoo, dass bei einem Hackerangriff 2014 (!) Daten von mindestens 500 Millionen Nutzern gestohlen wurden. Dies ist einer der grössten Datendiebstähle aller Zeiten!
  • Ebenfalls gehackt wurde die Welt-Doping-Agentur von der Hackergruppe Fancy Bears. Despot Putin wollte sich wohl rächen, weil seine gedopten Athleten teilweise (!) nicht bei Olympia antreten durften. Zur Anwendung kam wohl ein Trojaner per Email.
  • Zu guter Letzt hat’s auch Pippa Middleton, die Schwester von Herzogin Kate erwischt. Da hat sie wohl ein zu simples Passwort bei Apples iCloud eingesetzt und so wurden mehrere hundert private Photos entwendet.

Cyberattacke auf Ruag

‚Sicherheit ist relativ.
Die Frage ist nicht, ob es möglich ist,
sondern wie lange es dauert, ein System zu hacken…’
(Zitat Stephan Hegner)

Eindrücklich wird mit diesem Angriff auf die Ruag einmal mehr diese Aussage untermauert. Obwohl die Ruag selbst in der IT Sicherheit tätig ist, gelang es vermutlich russischen Hacker, in das Netzwerk der Ruag und des Verteidigungsdepartements einzudringen. Wer allerdings denkt, dies geschah in Hollywood Manier innert weniger Minuten, irrt sich. Cyberattacke auf Ruag weiterlesen

20 Minuten gehackt

Wie das Melani meldete, wurde die Webseite von 20 Minuten am 07. April gehackt und die Webseite mit dem Trojaner ‚Gozi‘ infiziert. Dieser Trojaner hat es aufs E-Banking abgesehen. Wer zum besagten Zeitpunkt mit einem veralteten PC-System mit aktivierten Flash-Player auf 20 Minuten gesurft hat, wurde mit dem Trojaner infiziert.

Weiter wurde im April die Badlock Sicherheitslücke in Windows und Samba bekannt. Seit dem 12. April sind Patches dazu erhältlich. Die Sicherheitslücke wurde übrigens schon vor vielen Monaten entdeckt. Grob gesagt werden RPC-Aufrufe so manipuliert, dass diese unverschlüsselt den Inhalt übertragen.
Am Patchday im April sichert Microsoft .NET Framework, Edge, Internet Explorer, Office Windows (Client und Server) und XML Core Services 3.0 ab. Dafür stellen sie insgesamt 13 Patches für sechs als kritisch und sieben als wichtig eingestufte Lücken bereit.
Natürlich hat auch Adobe den Flash Player gepatcht 😉

DDoS Attacke auf Digitec

In der letzten Woche gab es konzentrierte Angriffe auf die Webseiten von Digitec, Microspot oder die SBB. Die Angriffe geschahen mittels Distributed Denial of Service (DDoS). Die Server wurden also mit Webanfragen massiv überlastet, so dass diese nicht mehr erreichbar waren. Dazu wird bei diesen Angriffen auf Bot-Netze zurückgegriffen. Bot-Netze bestehen aus gekaperten PC’s, die zu einem grossen Netzwerk zusammengefasst werden. In den Medien wird zwar verbreitet, das DDoS Angriffe günstig im Darknet erhältich seien, aber bei diesem massiven Angriff musste eine Menge Geld bezahlt worden sein. Dementsprechend ist ein Erpressungsversuch nicht unwahrscheinlich.
Weitere Infos in einem guten Artikel der NZZ am Sonntag vom 20.03.2016.

Ausserdem gab’s im Monat März noch folgendes zu berichten:

  • Verschlüsselungstrojaner sind immer noch aktiv. Nachdem diese im letzten Monat in Deutschland zugeschlagen haben, sind nun auch Fälle in der Schweiz gemeldet worden. Keinesfalls Email-Anhänge mit .zip, .js oder .doc öffnen.
  • Wichtige Sicherheits-Updates für Adobe und Microsoft

Facebook Porno Computerwurm


Nicht neu, aber diesmal speziell auf die Schweiz zugeschnitten. Im Facebook kursieren Mitteilungen wie zum Beispiel «Bisch du das uf dem Bild?» und der Aufforderung, den darunter stehenden Link zu klicken. Tut man dies, wird im Browser eine Erweiterung installiert und an alle Facebook-Kontakte wird der Porno-Link weiter gesendet. Weitere Infos findet man z.B. bei SRF 3.

Ausgewählte Sicherheitsnachrichten im Februar

  • Die Meldestelle des Bundes (Melani) meldet im Februar vermehrte betrügerische Telefonanrufe gegen KMUs im Zusammenhang mit Email-Attacken und dem Banking Trojaner ,Retefe‘.
  • Weiter zur Melani-Information.

  • Heise meldet unter anderem den bösartigen Verschlüsslungstrojaner TeslaCrypt 3. Diese Version chiffriert Dateien und verlangt Lösegeld von den Betroffenen. Geknackt ist diese Verschlüsselung noch nicht. Ausserdem hat gestern der Verschlüsslungstrojaner Locky koordiniert zugeschlagen.
  • Eine kritische Lücke in Cisco ASA Firewalls betrifft die VPN-Funktionalität. Angriffe auf den Port 500 nehmen zu.
  • Patchday für Microsoft (unter anderem Lücken in PDF und Office Dokumenten sowie Webbrowsern, wobei alte IE Versionen kein Update erhalten) und natürlich Patchday für Adobe.
  • Aktuell und dringend! Schwere Sicherheitslücke in Linux. Unbedingt ein Update durchführen, damit glibc auf die neuste Version gebracht wird. Der Linux Befehl ‚ldd –version‘ zeigt die Version von glibc an.