Warnmeldungen

04.04.2022 spring4shell - Schwachstelle in Javaframework ermöglicht das Ausführen beliebigen Programmcodes

Wie das Computer Emergency Response Team des Bundes und des Landes Sachsen berichten, ermöglicht eine Schwachstelle in der Java-Entwicklungs- und Anwendungsumgebung Spring Framework entfernten, anonymen Angreifern das Ausführen beliebigen Programmcodes.
Laut letzter Updatemeldung des CERT-Bund sind mehrere verwundbare Anwendungen identifiziert.
Das Schadenspotenzial (Risiko) wird mit HOCH eingestuft (Stufe 4 von 5).

Es wird empfohlen, verfügbare Updates unverzüglich einzuspielen.
Sollten eingesetzte Anwendungen auf Java basieren, sind die Hersteller zu befragen, ob ihre Produkte angreifbar sind und welche Abhilfe getroffen werden kann.
Zusätzlich sollten die Update-Meldungen des CERT-Bund verfolgt werden.

15.03. / 25.02.2022 Aktuelle Entwicklungen zur Ukraine-Krise - Sonderlagebericht des Nationalen IT-Krisenreaktionszentrums

Das nationale IT-Krisenreaktionszentrum des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geht in einem Sonderbericht auf die aktuellen Entwicklungen zur Ukraine-Krise ein und bewertet die damit verbundene Bedrohungslage mit der zweithöchsten Stufe Orange (Die Bedrohungslage ist geschäftskritisch. Eine massive Beeinträchtigung des Regelbetriebs ist möglich).

Für die Bundesrepublik Deutschland wurden demnach bisher keine Auffälligkeiten festgestellt.
Vorbeugend empfiehlt das BSI die Verfügbarkeit der IT-Betreuung zu erhöhen und sich auf eine Schadensbewältigung auch ohne IT-Dienstleister vorzubereiten.

Die Allianz für Cybersicherheit hat auf einer Sonderseite Maßnahmen zur Abwehr von Gefahren in dieser besonderen Lage zusammen gefasst.
Auf ohnehin obligatorische Maßnahmen sei verwiesen.

Ergänzung vom 15.03.2022
Das BSI empfiehlt den Ersatz der Virenschutzsoftware des russischen Herstellers Kaspersky durch Alternativen. Für Windows 11/10 bietet sich die im Betriebssystem enthaltene Anwendung Defender an. Größere Organisationen, bei denen Kaspersky-Software Teil einer IT-Sicherheitsinfrastruktur sollen einen Ersatz sorgfältig planen und durchführen.
Gemäß BSI kann "ein russischer IT-Hersteller ... selbst offensive Operationen durchführen, gegen seinen eigenen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden."
Die deutsche Tochter von Kaspersky verweist in einer Stellungnahme auf ihre Unabhängigkeit und die Maßnahmen zur Schaffung von Transparenz und Vertrauen.

13.12.2021 Sicherheitslücke in Java-Bibliothek log4j - extrem kritische Bedrohungslage

Das Bundesamt für Informationssicherheit (BSI) warnt aktuell vor der böswilligen Ausnutzung einer kürzlich bekannt gewordenen Sicherheitslücke in mehreren häufig eingesetzten Softwareanwendungen.

Bei Ausnutzung der Lücke kann Schadcode nachgeladen werden. Dieser Code bedroht in Abhängigkeit der schon umgesetzten Sicherheitsmaßnahmen potentiell alle erreichbaren Komponenten der IT-Systeme.

Das BSI hat die Bedrohungslage mit der Stufe "rot" bewertet.
Die Definition für diese Stufe lautet: "Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden."

Die ursächliche Java-Programbibliothek log4j befindet sich laut Meldung in vielen Produkten. Bekannt sind bis jetzt Produkte der Firmen

  • VMWare
  • Apache
  • Unify
  • F-Secure
  • McAfee
  • Sophos
  • Broadcom/Symantec
  • TrendMicro

Weitere Einsatzgebiete der Bibliothek werden sukzessive durch die Hersteller von IT-Produkten bekannt gemacht.
Die Herausforderung besteht in diesem Fall also darin, erst einmal herauszufinden, ob die Bibliothek im Einsatz ist.

Betroffene Hersteller stellen Anleitungen zur Beseitigung der Sicherheitslücke zur Verfügung (siehe https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf).

Das BSI hat am 14.12.21 ein Arbeitspapier zur Detektion von und Reaktion auf die Log4j-Schwachstelle veröffentlicht.

 

16.11.2021 Erneuter Versand von Emotet-Spam

Das BSI warnt vor einem erneuten Versand von Emotet-Spam:
"Nach dem erfolgreichen Takedown von Emotet im Januar 2021 sind die Täter mit einem neuen Botnetz zurück. Derzeit werden mit den Spam-Mails schädliche .doc(m)- und .xls(m)-Dateien versendet bzw. passwortgeschützte ZIP-Archive, welche diese Dateien enthalten.

Es muss davon ausgegangen werden, dass es in Kürze erneut zu umfangreichen Emotet-Spam-Wellen kommen wird, wie sie 2019 und 2020 häufig beobachtet werden konnten. Durch von Emotet nachgeladene weitere Schadsoftware könnte es wieder zu zahlreichen Kompromittierungen von Netzwerken von Behörden und Unternehmen kommen, bei denen von den Tätern nachfolgend Ransomware zur Verschlüsselung von Daten ausgerollt wird."

Link zur BSI-Meldung: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-269890-1032.pdf

11.11.2021 Kompromittierte Exchange-Server - Zunahme von Angriffen per Mail

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilt, wird "derzeit eine signifikante Zunahme von Angriffen per E-Mail beobachtet. Wie schon in der Vergangenheit bei Emotet nutzen die Angreifenden vermeintliche Antworten auf tatsächlich getätigte E-Mail-Konversationen der Betroffenen, um Schadsoftware-Links zu verteilen. Neu ist allerdings, dass die gefälschten E-Mails dabei über die legitimen Mailserver der Absender selbst verschickt werden, sodass technische Detektion und Erkennung durch den Leser deutlich erschwert werden. Es ist also davon auszugehen, dass die Angreifenden Zugriff auf den Mailserver haben, welcher dann selbst "ordnungsgemäß" als Absender fungiert."
Link zur BSI-Meldung

Zur Absicherung von MS-Exchange-Servern sei auch auf den mit dem September-Update von Microsoft ausgelieferten Emergency-Mitigation-Dienst (EM) verwiesen. Dieser wird mit dem Update automatisch aktiviert und es werden die nötigen Voraussetzungen geprüft. Trotzdem sollte die Funktionsfähigkeit von Zeit zu Zeit geprüft werden.

18.08.2021 Schwachstelle in älteren Cisco Small Business Routern ermöglicht das Ausführen von beliebigem Programmcode

Durch Ausnutzung einer Schwachstelle in älteren Cisco Small Business Routern ist es einem entfernten anonymen Angreifer möglich in Zusammenhang mit dem Universal Plug-and-Play (UPnP) Dienst beliebigen Code auszuführen.

Details zu der Schwachstelle veröffentlicht Cisco unter
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-sb-rv-overflow-htpymMB5 .

Cisco wird keine Updates zur Beseitigung der Schwachstelle zur Verfügung stellen, da die betroffenen Geräte den End-of-Live-Status erreicht haben.
Empfohlen wird die Abschaltung des UPnP-Dienstes oder die Migration zu einem nicht betroffenen Nachfolgegerät.

08.08.2021 Unauthentifizierter Zugriff auf MS-Exchange-Server durch kombinierte Ausnutzung mehrerer Schwachstellen möglich

Wie der Heise-Verlag unter https://www.heise.de/news/Exchange-Server-jetzt-patchen-Angreifer-suchen-aktiv-nach-neuer-Luecke-6158190.html meldet, ist es einem unauthentifizierten Nutzer möglich, durch die kombinierte Ausnutzung mehrerer Schwachstellen in unzureichend gepatchten MS-Exchange-Servern erweiterte Rechte zu erlangen.

Nachdem das dafür nötige Szenario von einem Sicherheitsforscher auf einer Konferenz Anfang August beschrieben wurde, werden erste diesbezügliche Angriffe registriert.

Die von Microsoft schon im Mai zur Verfügung gestellten Patche sollten also unverzüglich eingespielt werden.

 

 

07.07.2021 Kritische Schwachstelle in Druckerspooler auf Microsoft-Systemen

Microsoft berichtet über eine Schwachstelle der Warteschlange (Spooler) von Windows-Systemen (zahlreiche Client- und Serverversionen).
Das BSI bewertet die Schwachstelle als kritisch. "Da insbesondere auf Domänencontrollern der Spooler-Dienst ohne weitere Härtungsmaßnahmen standardmäßig aktiviert und authentisiert erreichbar ist, besteht hier ein besonderes Risiko. Mittels eines kompromittierten Arbeitsplatzrechners kann dadurch letztlich die Kontrolle über bspw. die Druckserver oder Domänencontroller im NT-Authorität\System Kontext und folglich potentiell das gesamte Netzwerk erlangt werden."
Da eine Ausnutzung der Schwachstelle sehr wahrscheinlich ist, wird empfohlen, die zur Verfügung gestellten Updates schnellstmöglich einzuspielen. Darüber hinaus sollte die Warteschlange, insbesondere auf Domänencontrollern, wenn möglich abgeschaltet werden. Ergänzend werden Hinweise zu weiteren Maßnahmen mittels Gruppen-Richtlinien und Registry-Keys gegeben.

03.03.2021 MS Exchange Server

Das BSI empfiehlt dringend eine Aktualisierung des Microsoft-Exchange-Servers. Das Update schließt „vier Schwachstellen, die in Kombination bereits für zielgerichtete Angriffe verwendet werden und Tätern die Möglichkeit bieten, Daten abzugreifen oder weitere Schadsoftware zu installieren.“ (zur Meldung beim BSI).

„Das Risiko erfolgreicher Angriffe besteht insbesondere für alle aus dem Internet erreichbaren Exchange Server (z.B.im Falle einer Erreichbarkeit via Outlook Web Access (OWA)), wenn die Verbindung nicht ausschließlich mittels VPN erfolgt.“

Die Bedrohungslage wird vom BSI mit Stufe 4 (rot - Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden.) eingeschätzt.

Das BSI verweist in seiner Warnmeldung auf eine Handreichung zur Detektion und Reaktion. Das Dokument ist mit TLP White eingestuft (urheberrechtlich geschützt, unbegrenzte Weitergabe).

SAX.CERT-Dienst Vulnerability Advisory Service (VAS - Schwachstellenwarnung)

Das Sicherheitsnotfallteam (Computer Emergency Response Team) des Freistaates Sachsen - SAX.CERT stellt allen sächsischen Behörden Dienste zur Verbesserung der Informationssicherheit kostenlos zur Verfügung.
Der Dienst Vulnerability Advisory Service übermittelt Warnmeldungen zu Schwachstellen in zuvor vom Abonnenten ausgewählten Anwendungen. Die Auswahl der Anwendungen kann jederzeit über eine Weboberfläche angepasst werden.
Aufgrund der Möglichkeit dieser Selektion ist der VAS-Dienst die erste Wahl, um anwendungsbezogene Meldungen zu erhalten.

Meldungen des SAX.CERT an benannte Beauftragte für Informationssicherheit

Bei besonderen Gefährdungslagen sendet das SAX.CERT separate Meldungen an benannte Beauftragte für Informationssicherheit (§8 SächsISichG).

Diese Meldungen können sich auf Anwendungen beziehen, insbesondere sehr häufig Eingesetzte, als auch auf besondere Situationen, wie z.B. erwartete SPAM-Wellen mit Malwareverdacht.

Sicherheitswarnungen der Allianz für Cybersicherheit

Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) getragene Allianz für Cybersicherheit veröffentlicht regelmäßig Sicherheitswarnungen aus aktuellem Anlass. Diese lassen sich filtern nach Bedrohungsstufe, Bereich und Erscheinungsjahr.

Meldungen über RSS-Feeds beziehen

Sowohl die Meldungen der Allianz für Cybersicherheit als auch des BSI selbst lassen sich über RSS-Feeds beziehen.
RSS steht für Really Simple Syndication. Ein Server stellt einen Feed (Liste von Neuigkeiten als XML- oder RSS-Datei) zur Verfügung, welcher von einem Client ausgelesen wird ohne das der Benutzer die Website besuchen muss. Neue Informationen werden besonders gekennzeichnet und verweisen mit einer Schlagzeile auf die originale Informationsquelle.
RSS-Clients stehen als Browsererweiterung oder separate Anwendungen kostenlos zur Verfügung.