Cisco warnt vor Schwachstelle (CVE-2023-20185)

Cisco Logo

Cisco warnt seine Benutzer vor einem ernsthaften Sicherheitsproblem, das bestimmte Modelle von Switches für Rechenzentren betrifft. Es besteht die Gefahr, dass Angreifer auf verschlüsselten Datenverkehr zugreifen und diesen verändern können.

Die Sicherheitslücke mit der Kennung CVE-2023-20185 wurde bei internen Sicherheitstests der ACI Multi-Site CloudSec Verschlüsselungsfunktion in Cisco-Switches entdeckt. Die Sicherheitslücke betrifft die Modelle Cisco Nexus 9332C, 9364C und 9500 Spine. Voraussetzung ist, dass diese im ACI-Modus betrieben werden, Teil einer Multi-Site-Topologie sind, die Verschlüsselungsfunktion CloudSec aktiviert haben und die Firmware 14.0 oder höher verwenden.

Eine erfolgreiche Ausnutzung dieser Sicherheitslücke ermöglicht es Unbefugten, verschlüsselten Datenverkehr zwischen verschiedenen Standorten aus der Ferne zu lesen oder zu manipulieren.

Bislang hat Cisco noch kein Software-Update zur Behebung der Sicherheitslücke veröffentlicht. Kunden, die die betroffenen Switches einsetzen, werden gebeten, die betroffene Funktion zu deaktivieren und sich mit dem Support in Verbindung zu setzen, um alternative Lösungen zu finden.

Das Product Security Incident Response Team (PSIRT) von Cisco hat bisher keine Hinweise darauf gefunden, dass öffentlicher Exploit-Code existiert, der diese Schwachstelle ausnutzt.

Es ist nicht das erste Mal, dass Cisco mit Sicherheitsproblemen zu kämpfen hat. Erst im Mai wurden vier kritische Remote-Execution-Schwachstellen behoben, die mehrere Switches der Small Business Series betrafen.

Android Sicherheitsupdates beheben drei aktiv ausgenutzte Sicherheitslücken

Google hat Sicherheitsupdates für sein Betriebssystem Android veröffentlicht, um insgesamt 46 Sicherheitslücken zu schließen. Es wird vermutet, dass einige dieser Schwachstellen (CVE-2023-26083, CVE-2021-29256 und CVE-2023-2136) bereits aktiv ausgenutzt werden.

Die Sicherheitslücke CVE-2023-26083, ein Speicherleck mittleren Ausmaßes, befindet sich im Arm Mali-GPU-Treiber für die Bifrost-, Avalon- und Valhall-Chipsätze. Diese Schwachstelle wurde bereits in einer Angriffskette ausgenutzt, die im Dezember 2022 zur Installation von Spionagesoftware auf Samsung-Geräten führte. Aufgrund der potenziellen Schwere dieser Sicherheitslücke ordnete die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) im April 2023 die sofortige Schließung der Sicherheitslücke an.

Eine weitere Sicherheitslücke ist CVE-2021-29256, die als hochriskant eingestuft wurde und die unautorisierte Offenlegung von Informationen sowie die Ausweitung von Root-Privilegien ermöglicht. Sie betrifft auch bestimmte Versionen der Bifrost- und Midgard Arm Mali-GPU-Kerntreiber.

Die Sicherheitslücke CVE-2023-2136 wird mit 9,6 von 10 Punkten als kritisch eingestuft. Sie resultiert aus einem Integer-Überlauf-Fehler in Skia, Googles Open-Source-2D-Grafikbibliothek, die auch in Chrome verwendet wird. Für Chrome wurde der Fehler bereits im April behoben.

Im Rahmen der Sicherheitsupdates hat Google auch die kritische Schwachstelle CVE-2023-21250 behoben. Eine Ausnutzung dieser Schwachstelle könnte zur Remote-Ausführung von Code ohne Benutzerinteraktion oder zusätzliche Ausführungsrechte führen, warnt Google.

Der Update-Prozess folgt einem standardisierten System, das Patches in zwei Schritten bereitstellt – einen für grundlegende Android-Komponenten und einen für Kernel und herstellerspezifische Komponenten. Dies ermöglicht den Geräteherstellern eine gezielte Aktualisierung.

Die aktuellen Sicherheitsupdates betreffen die Android-Versionen 11, 12 und 13. Ältere Betriebssystemversionen, die nicht mehr unterstützt werden, können jedoch ebenfalls von den genannten Sicherheitslücken betroffen sein. Nutzer dieser Systeme sollten den Umstieg auf ein neueres Gerätemodell in Erwägung ziehen oder eine Android-Distribution eines Drittanbieters installieren, die Sicherheitsupdates für ältere Geräte bereitstellt – wenn auch mit einer gewissen zeitlichen Verzögerung.

Über 130.000 Photovoltaik-Überwachungssysteme über das Internet zugänglich

Sicherheitsexperten warnen vor einer wachsenden Gefahr für Photovoltaik (PV)-Überwachungs- und Diagnosesysteme. Zehntausende solcher Systeme, die unter anderem zur Fernüberwachung der Leistung, zur Fehlerdiagnose und zur Systemoptimierung eingesetzt werden, sind über das Internet zugänglich und damit potenzielle Ziele für Cyber-Angriffe.

Die Bedrohungsanalysten von Cyble haben eine umfassende Internetrecherche durchgeführt und dabei über 134.000 exponierte PV-Systeme verschiedener Anbieter identifiziert. Darunter befinden sich Produkte von Firmen wie Solar-Log, Danfoss Solar Web Server, SolarView Contec und anderen.

Es ist jedoch zu beachten, dass die bloße Präsenz dieser Systeme im Internet nicht zwangsläufig eine Gefährdung darstellt. Eine unsachgemäße Konfiguration oder Schwachstellen, die es Angreifern ermöglichen, mit den Systemen zu interagieren, sind nicht zwangsläufig vorhanden.

Die Untersuchungen von Cyble haben jedoch gezeigt, dass unbefugte Benutzer in der Lage sind, Informationen und Einstellungen zu sammeln, die potenziell für einen Angriff genutzt werden können. Zudem wurde festgestellt, dass für mehrere der identifizierten Produkte Schwachstellen existieren und bereits gemeldet wurden. Für einige dieser Produkte gibt es sogar Hinweise darauf, dass sie bereits ausgenutzt wurden. Diese Erkenntnis erhöht das Risiko von Angriffen auf Systeme mit veralteter Firmware.

Darüber hinaus weist Cyble auf die Gefahr von Malware hin, die darauf abzielt, Zugangsdaten zu PV-Steuerungssystemen zu stehlen. Selbst wenn diese Systeme ausreichend gesichert sind, bleibt dieses Risiko bestehen.

Jüngste Fälle zeigen, dass Hacker aktiv nach verwundbaren Geräten suchen, um diese in Botnetze zu integrieren. Untersuchungen von Cyble haben ergeben, dass insbesondere SolarView-Geräte weltweit betroffen sind. VulnCheck hat im gleichen Produkt eine Remote Code Execution Schwachstelle mit der Kennung CVE-2023-23333 entdeckt, für die bereits mehrere Exploits existieren.

Ein wichtiger Aspekt in diesem Zusammenhang ist die mangelnde Wartung und Aktualisierung dieser Systeme. Eine Vernachlässigung in diesen Bereichen eröffnet Angreifern gute Erfolgschancen, insbesondere wenn sie relativ neue Schwachstellen ausnutzen.

Die Experten raten daher, bei der Fernverwaltung solcher PV-Systeme strenge Sicherheitsmaßnahmen zu ergreifen. Starke, eindeutige Anmeldeinformationen und die Aktivierung der Multi-Faktor-Authentifizierung, sofern verfügbar, sind nur einige der empfohlenen Maßnahmen. Darüber hinaus sollte auf eine aktuelle Systemwartung und die Trennung der Geräte in separate Netzwerke geachtet werden, um eine zusätzliche Sicherheitsebene zu schaffen.

Microsoft behebt Fehler, der zu LSA-Warnungen führt

Microsoft hat ein neues Update für sein Antivirenprogramm Defender veröffentlicht, um ein anhaltendes Problem zu beheben, bei dem Benutzer unnötigerweise gewarnt werden, dass der lokale Sicherheitsdienst (Local Security Service, LSA) deaktiviert ist. Das Software-Update wurde ursprünglich im April veröffentlicht und im Mai zurückgezogen, steht nun aber wieder zum Download bereit.

Microsoft Logo

Microsoft hat mitgeteilt, dass der Fehler vor allem Nutzerinnen und Nutzer der Windows 11-Versionen 21H2 und 22H2 betrifft. In zahlreichen Nutzerberichten wurde darauf hingewiesen, dass der LSA-Schutz deaktiviert und das Gerät dadurch angreifbar sein könnte, obwohl der Schutz aktiviert war.

Der LSA-Schutz ist eine wichtige Sicherheitsmaßnahme für Windows-Benutzer. Er blockiert das Einschleusen von nicht vertrauenswürdigem Code in den LSASS.exe-Prozess und verhindert so, dass Angreifer sensible Informationen extrahieren können.

Das Update trägt die Bezeichnung KB5007651 (Version 1.0.2306.10002).

Microsoft hat das Update KB5007651 für den Defender erstmals im April veröffentlicht, um das lästige Problem zu beheben. Doch bereits einen Monat später, im Mai, wurde die Auslieferung dieses Updates aufgrund von Komplikationen gestoppt. Betroffene Nutzer berichteten von Bluescreens oder unerwarteten Systemneustarts nach der Installation des Updates, insbesondere beim Spielen unter Windows 11.

Für Benutzerinnen und Benutzer, die das Update KB5007651 nicht sofort installieren können, bietet Microsoft eine vorübergehende Lösung an: Sie sollen die ständigen Neustartaufforderungen einfach ignorieren. Microsoft warnt jedoch ausdrücklich davor, andere Lösungsansätze für dieses Problem zu verfolgen.

Microsoft dementiert Diebstahl von 30 Millionen Kundenkonten

Microsoft hat kürzlich Behauptungen der Hacktivistengruppe „Anonymous Sudan“ entschieden zurückgewiesen, sie sei erfolgreich in die Server des Technologieunternehmens eingedrungen und habe Anmeldeinformationen von rund 30 Millionen Kundenkonten erbeutet.

Microsoft Logo

Die Gruppe Anonymous Sudan, eine selbsternannte Verbündete von pro-russischen Hacktivisten wie Killnet, ist für ihre verheerenden DDoS-Angriffe auf westliche Einrichtungen bekannt. Im vergangenen Monat verursachte die Gruppe mehrere Ausfälle und Störungen bei Microsoft. Betroffen waren unter anderem Azure, Outlook und OneDrive.

In ihrer neuesten Behauptung gab Anonymous Sudan an, Microsoft erfolgreich gehackt und Zugang zu einer umfangreichen Datenbank mit über 30 Millionen Microsoft-Konten inklusive E-Mails und Passwörtern erhalten zu haben. Die Hacktivisten bieten diese Datenbank angeblich für 50.000 Dollar zum Verkauf an und fordern potenzielle Käufer auf, sich über ihren Telegram-Bot mit ihnen in Verbindung zu setzen.

Als angeblichen Beweis für den erfolgreichen Hack stellte die Gruppe 100 Login-Daten zur Verfügung. Die Herkunft dieser Daten konnte bisher jedoch nicht verifiziert werden. Es ist unklar, ob es sich um alte Daten, das Ergebnis eines Hacks durch Dritte oder tatsächlich um aktuell gestohlene Daten aus Microsoft-Systemen handelt.

Auf Nachfrage von BleepingComputer wies ein Microsoft-Sprecher die Behauptungen von Anonymous Sudan zurück: „Wir haben keine Anzeichen dafür gefunden, dass unsere Kundendaten abgegriffen oder kompromittiert wurden.“

Ob die Untersuchungen von Microsoft bereits abgeschlossen sind oder noch andauern, ist unklar.

Edge Secure Network jetzt mit 5 GB Datenvolumen

Edge Logo

Microsoft hat die VPN-Funktion „Secure Network“ im Edge-Browser erheblich verbessert und bietet nun ein monatliches Datenlimit von 5 GB an, eine deutliche Steigerung gegenüber dem bisherigen Limit von 1 GB.

Das Edge Secure Network, das die Routing-Dienste von Cloudflare nutzt, verschlüsselt die Internetverbindung der Nutzerinnen und Nutzer und bietet so einen Schutzschild gegen Online-Bedrohungen wie Hackerangriffe. Um diesen erweiterten Service nutzen zu können, müssen die Nutzerinnen und Nutzer mit ihrem Microsoft-Konto eingeloggt sein – damit Microsoft erkennt, wann das Datenlimit erreicht ist.

Microsoft garantiert, dass die Identität der Nutzerinnen und Nutzer während der sicheren Verbindung nicht mit dem Dienstanbieter Cloudflare geteilt wird.

Das Edge Secure Network, das sich seit fast einem Jahr in der Entwicklung befindet, wird in der stabilen Version von Edge immer mehr Nutzern zur Verfügung gestellt.

Zwar kann das Secure Network von Edge nicht alle Funktionen eines VPN-Dienstes ersetzen – wie etwa die Standortwahl oder die Umgehung regionaler Beschränkungen von Streaming-Plattformen wie Netflix – es ermöglicht aber beispielsweise den Zugriff auf Websites, die von Internet Service Providern blockiert werden.

→ weiterlesen

BlackCat Ransomware hinter Fake WinSCP

Kriminelle Aktivitäten im Internet nehmen weiter zu. Cyberkriminelle nutzen zunehmend Anzeigen in Suchergebnissen, um schädliche Tools zu verbreiten, darunter die Ransomware BlackCat (auch bekannt als ALPHV), die Windows-Systeme angreift.

Trend Micro Logo

Die IT-Sicherheitsexperten von Trend Micro haben in den Suchmaschinen Bing und Google so genannte Malvertising-Anzeigen für den Open-Source-FTP-Client WinSCP entdeckt. Statt auf die legitime Seite winscp.net führen die betrügerischen Anzeigen auf die gefälschte Seite winsccp.com. Ein Klick auf den dortigen Download-Link führt zum Herunterladen einer ISO-Datei mit einer Setup- und einer DLL-Datei auf den Rechner des Nutzers. Während durch Ausführen der Setup-Datei das gewünschte WinSCP installiert wird, wird gleichzeitig Schadcode auf dem Rechner abgelegt.

Dadurch erhalten die Täter Zugriff auf den Computer und können mit ihren Command-and-Control-Servern kommunizieren und weitere Schadsoftware installieren. Mit Hilfe des Tools AdFind werden Informationen aus Active Directory Umgebungen extrahiert. Mit diesen erbeuteten Informationen können die Angreifer weitreichenden Zugriff auf das Active Directory erlangen. Mit Hilfe von AnyDesk richten die Kriminellen dann einen Fernzugriff ein. Im weiteren Verlauf laden die Angreifer ihre Ransomware BlackCat auf den kompromittierten PC.

→ weiterlesen

Entschlüsselungstool für die Akira Ransomware

Die Sicherheitsexperten von Avast haben ein kostenloses Tool zur Entschlüsselung der Akira-Ransomware für Windows-Systeme zur Verfügung gestellt.

Zu beachten ist jedoch, dass dieses Tool nur mit der im März 2023 aufgetauchten Variante der Akira-Ransomware kompatibel ist. Ältere Versionen wie die aus dem Jahr 2017 lassen sich damit nicht entschlüsseln.

Screenshot der Akira-Ransomware.

Die Akira-Ransomware, die sowohl Windows- als auch Linux-PCs befällt, kennzeichnet ihre infizierten Dateien mit der Endung .akira und fordert für deren Freigabe in der Regel ein Lösegeld. Die Ransomware scheint es vor allem auf Unternehmensnetzwerke abgesehen zu haben.

Zur Verschlüsselung der Dateien greift Akira auf unterschiedliche Ressourcen zurück: Unter Windows verwendet Akira die Windows CryptoAPI, unter Linux die Bibliothek Crypto++.

Das jetzt veröffentlichte Entschlüsselungstool ist sehr speicherintensiv, weshalb Experten empfehlen, die 64-Bit-Version für Windows zu verwenden. Für eine erfolgreiche Entschlüsselung muss mindestens eine verschlüsselte Datei sowie die unverschlüsselte Originalversion zur Verfügung stehen.

→ weiterlesen