Nord Nord Sec #10

Moin, Hallo und Herzlich Willkommen zur zehnten Ausgabe von Nord-Nord-Sec.

Die Woche wieder mit einer bunten Mischung an Themen - von alten Bekannten wie Solarwinds und Exchange, aber auch Katastrophale Security Programme in Unternehmen oder einem Open Source KI-Tool von Google.

Und so will Ich auch gar nicht weiter aufhalten - direkt rein in die Themen:

Breaches und Schwachstellen

⚡️☁️Exchange Server Schwachstelle CVE-2024-21410 wird aktiv ausgenutzt Ein kritischer Sicherheitsfehler in Exchange Server, bekannt als CVE-2024-21410 mit einem CVSS-Score von 9.8, wird aktiv ausgenutzt. Dieser Fehler ermöglicht eine Privilegienerweiterung, indem NTLM-Anmeldeinformationen durch gezielte Angriffe auf NTLM-Clients wie Outlook geleakt und anschließend gegen den Exchange Server ausgespielt werden können, um sich als der betroffene Benutzer zu authentifizieren und Operationen in dessen Namen durchzuführen. Microsoft hat diesen Fehler zusammen mit zwei weiteren kritischen Schwachstellen, einschließlich CVE-2024-21413 in Outlook, die remote code execution ermöglichen könnten, mit einem Update behoben. Die genaue Art der Ausnutzung und die Identität der Angreifer sind unbekannt, jedoch haben russische, staatlich unterstützte Hackergruppen in der Vergangenheit ähnliche Schwachstellen ausgenutzt. Oder sonst jeder im Internet - also spielt eure Updates ein oder bereitet euch auf einen längere, unangenehmer Forensik vor.

⚡️ 📉 Microsoft 0-Days gegen Trader eingesetzt Microsoft hat letzten Dienstag die Behebung von über 70 Sicherheitslücken bekannt gegeben, darunter drei Schwachstellen, die als Zero-Day-Exploits in Angriffen ausgenutzt wurden. Zwei dieser Zero-Days, CVE-2024-21412 und CVE-2024-21351, ermöglichen das Umgehen von Sicherheitsfunktionen. Die Schwachstelle CVE-2024-21412 wurde von Trend Micro während der Analyse einer von der Gruppe Water Hydra durchgeführten Kampagne entdeckt. Diese Angreifer nutzten CVE-2024-21412, um den Microsoft Defender SmartScreen zu umgehen um die DarkMe Malware bei Finanzmarkt-Tradern zu platzieren. Trend Micro stieß auf diese Schwachstelle bei der Untersuchung der Water Hydra-Kampagne, die seit mindestens 2021 aktiv ist und hauptsächlich die Finanzbranche ins Visier nimmt. Also: Auch für Trader gilt der gleiche Tipp wie (fast) immer: Systeme auf aktuellem Stand halten!

⚡️🌞 Solarwinds: Update Verfügbar für kritische CVEs Solarwinds hat kürzlich Sicherheitsupdates für den Access Rights Manager und die Orion Platform veröffentlicht. Diese Updates beheben mehrere schwerwiegende Sicherheitslücken, die das Potenzial bieten, Schadcode in betroffene Systeme einzuschleusen. Unter den geschlossenen Schwachstellen befinden sich Directory-Traversal- und Deserialisierungsprobleme sowie SQL-Injection-Schwachstellen. Insgesamt wurden fünf Sicherheitslücken adressiert, von denen drei als kritisch und zwei als hochriskant eingestuft werden. Die kritischsten unter ihnen betreffen Directory-Traversal und Deserialisierung nicht vertrauenswürdiger Daten. Die SQL-Injection-Schwachstellen, die beide als hoch mit einem CVSS-Wert von 8.0 bewertet wurden, könnten von authentifizierten Angreifern ausgenutzt werden. Angesichts der Schwere dieser Sicherheitslücken und der Tatsache, dass Nation State APTs in der Vergangenheit Schwachstellen bei Solarwinds bereits ausgenutzt haben, sollte schnell gepatcht werden.

⚡️🪆 Russische Hacker greifen Roundcube an Russland-Nahe Hackergruppen haben angefangen, gezielt Schwachstellen in Roundcube-Webmail-Servern auszunutzen. Diese befinden sich hauptsächlich in Georgien, Polen und der Ukraine. Die Kampagne wurde einer Bedrohungsgruppe zugeordnet, die als Winter Vivern, auch bekannt als TA473 und UAC0114 bekannt ist. Diese Hackergruppe, die seit mindestens Dezember 2020 aktiv ist, ist darauf spezialisiert, Social-Engineering-Taktiken und XSS-Schwachstellen zu nutzen, um in Regierungs- und Militärorganisationen einzudringen. Recorded Future entdeckte die Kampagne, die darauf abzielt, Informationen über europäische politische und militärische Aktivitäten zu sammeln, mit Beweisen für das Ziel iranischer Botschaften und georgischer Regierungseinrichtungen, was breitere geopolitische Interessen widerspiegelt.

⚡️🇷🇺 Tiny-Turla vs Polnische NGOs Die russische Hackergruppe Turla, die auch unter anderen Namen wie Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos und Venomous Bear bekannt ist und eine Verbindung zum russischen Bundesnachrichtendienst FSB hat, hat eine neue Cyberangriffskampagne gegen polnische Nichtregierungsorganisationen (NGOs) gestartet. Diese Kampagne, die im Dezember 2023 begann und möglicherweise bereits im November desselben Jahres ihren Anfang nahm, nutzt eine neuartige Backdoor mit dem Namen TinyTurla-NG. Diese Backdoor dient als Notfallzugang für die Angreifer, sollte der reguläre unautorisierte Zugriff scheitern oder entdeckt werden.

TinyTurla-NG, das über kompromittierte WordPress-Websites verteilt wird, ähnelt einem anderen von Turla verwendeten Implantat und dient als Mittel zur Exfiltration von Schlüsselmaterial aus Passwortverwaltungssoftware. Diese jüngsten Aktivitäten stehen im Einklang mit Turlas fortgesetzten Bemühungen, den Verteidigungssektor in der Ukraine und Osteuropa anzugreifen, einschließlich der Verwendung eines neuen .NET-basierten Backdoors namens DeliveryCheck und der Aktualisierung ihres Kazuar-Backdoors, das seit mindestens 2017 im Einsatz ist.

Text

🐧 Linux ist jetzt eine CNA Das Linux-Kernel-Projekt wurde als CVE-Numbering-Authority (CNA) für in Linux gefundene Schwachstellen akzeptiert. Das ist ein weiteres großes Open Source Projekt, das mit diesem Schritt mehr Kontrolle über die gefundenen und gemeldeten Schwachstellen bekommt. Das Linux-Projekt erhielt dabei Unterstützung vom Python-Projekt und OpenSSF. Der genaue Prozess für den Kernel könnte sich aufgrund seiner einzigartigen Position und breiten Nutzerbasis von anderen CNAs unterscheiden. Zugeteilte CVEs können in einer Mailingliste und einem Git-Repository gefunden werden.

🚜 🚀 John Deere geht Strategische Partnerschaft mit SpaceX ein Landwirten soll durch Satellitenkommunikationsdienste verbesserte Konnektivität geboten werden. Diese Zusammenarbeit, die als erstes ihrer Art in der Branche gilt, soll die Produktivität, Rentabilität und Nachhaltigkeit der Betriebe von John Deere Kunden steigern, indem sie ihnen ermöglicht, Präzisionslandwirtschaftstechnologien voll auszuschöpfen. Die Lösung nutzt das Starlink-Netzwerk, um neue und bestehende Maschinen durch Satelliteninternetdienste und robuste Satellitenterminals zu verbinden. Dies fördert die Autonomie, den Echtzeit-Datenaustausch, die Fernwartung und die Kommunikation zwischen Maschinen. Aaron Wetzel, Vizepräsident bei John Deere, betont die Bedeutung der Konnektivität für Landwirte, da sie es ermöglicht, präzise Produktionsschritte effizient und effektiv innerhalb kurzer Zeitfenster auszuführen. Ich frage mich ja, wo das Vorurteil vieler Menschen kommt, das Landwirte bzw. die Landwirtschaft generell so “rückständig” wäre. Aber das muss wohl damit zusammen hängen, das man Lebensmittel nur aus Supermarktregalen kennt. Ich bin mir ziemlich sicher, ich würde einen modernen Traktor nicht einmal gestartet bekommen 🤓 
Unten bei den Videos findet ihr einen DEF CON Talk, wie die Dinger dann gehackt wurden - und was da alles dran hängt.

🧑‍💼 🙃 Architecture Drift - What It Is and How It Leads to Breaches Interessante und kompakte Zusammenfassung von Crowdstrike, wie in der digitalen Welt Änderungen oft zu Schwachstellen führen können. Die Einführung von kontinuierlicher Integration und kontinuierlicher Bereitstellung (CI/CD) sowie Infrastruktur-als-Code (IaC) bedeutet, dass Apps und Umgebunge ständig Veränderungen unterliegen. Diese Veränderungen können zu einer Architekturdrift führen, wenn eine App, ein Mikroservice oder eine Infrastruktur von ihrer vorgesehenen Konfiguration oder den genehmigten Betriebsgrenzen abweicht. Insbesondere kann die Architekturdrift die Infrastruktur betreffen, wenn IaC-Skripte wie Terraform oder CloudFormation nicht mehr mit dem übereinstimmen, was in den Umgebungen tatsächlich ausgeführt wird.
Code, Geschäftslogik, Datenflüsse und die Anwendungsarchitektur können sich also stündlich ändern. Eine einzige Codeänderung kann neue Dienste, APIs, Abhängigkeiten, Bibliotheken, Drittanbieterdienstaufrufe, Datenbankverbindungen und Datenflüsse einführen. Und genau deshalb, sollten Entwicklungsteams Lösungen finden, wie das erkannt und verhindert werden kann.

💩 Your Security Program is shit It’s funny cuz it’s true, passt wohl bei diesem wundervollen Rant am besten. Ich würde die Punchlines auch einfach komplett zerstören, wenn ich das versuche zusammen zu fassen - aber: Ein grosser Teil des Problems ist, wenn Compliance, Compliance Audits und externe Berater:innen wichtiger werden als die Kund:innen und die eigentliche Informationssicherheit.

🔐 Cybersecurity Checkliste für kleine und mittelgrosse Betriebe Bei fractionalciso.com ist eine Übersichtliche - und gut erklärte Liste erschienen, mit den wichtigsten Punkten für kleinere Betriebe, um sicher bleiben können. Hier sind die wichtigsten Punkte zusammengefasst:
Kleine und mittlere Unternehmen (KMU) sind besonders anfällig für Cyberangriffe, da sie oft nicht über die notwendigen Ressourcen verfügen, um sich von schweren Angriffen zu erholen. Zu den häufigsten Cyberbedrohungen für KMUs gehören Phishing und Credential Stuffing. Um sich effektiv zu schützen, sollten Unternehmen eine Reihe von Maßnahmen ergreifen:

1. Cybersecurity Awareness Training: Es ist essentiell, dass alle Mitarbeiter geschult werden, um gängige Cyberangriffe erkennen und melden zu können.

2. Gute Backups inklusiver Tests: Dies hilft, Datenverlust im Falle eines Angriffs zu verhindern oder zu minimieren.

3. Einführung einer starken Passwortrichtlinie: Durch die Verhinderung der Wiederverwendung von Passwörtern über verschiedene Konten hinweg und die Unterstützung durch einen Passwortmanager kann das Risiko von Credential Stuffing verringert werden.

4. Patch Management: Regelmäßige Aktualisierungen von Systemen und Software sind entscheidend, um bekannte Sicherheitslücken zu schließen.

5. Richtige Konfiguration von Sicherheitseinstellungen: Es ist wichtig, dass alle Hauptsysteme so konfiguriert sind, dass sie mit dem Risikomodell einer Organisation übereinstimmen.

6. Implementierung von universellen Cybersecurity-Kontrollen: Dazu gehören Multi-Faktor-Authentifizierung (MFA), Cybersecurity-Training für Mitarbeiter und regelmäßiges Patch Management.

Zudem sollte jede Organisation ein Cybersecurity-Programm haben, das mit der Bildung eines Cybersecurity-Teams beginnt, welches regelmäßig zusammenkommt, um die Dringlichkeit und Umsetzung des Programms zu gewährleisten. Wichtige Rollen im Team sind ein Executive Sponsor, der Projektmanager und der technische Leiter. Diese Maßnahmen zusammen können KMUs dabei helfen, sich effektiv gegen Cyberangriffe zu schützen.

Video

🧑‍🏫 Cybersecurity Architecture: Five Principles to Follow (and One to Avoid) Der erste Teil eines 10-Teilers von Jeff Crume, die sich mit Cyber Security beschäftigt. Eine schön kompakte Einführung in Konzepte wie Defense in Depth, Least Privilege, Seperation of Duties, Security by Design und KISS.

🚜 Hacking the Farm = Breaking Badly into Agricultural Devices Sick Codes mit seinem Talk auf der DEF CON 30, wie er die Software von John Deere gehackt hat.

🦄 Pegasus - Der Feind liest mit Dokumentation zur Pegasus-Enthüllung des journalisitischen Netzwerks Forbidden Stories. Ein absolut sehenswerter Deep Dive in die Welt von Geheimdiensten und die Möglichkeiten, die ihne eine Malware wie Pegasus bietet.

Tools und Co.

☁️ dirkjanm/ROADtools Toolkit zur Überprüfung von Informationen in Azure AD - sowohl aus der Perspektive von Red- als auch von Blue Teams.

🖋️ WithSecureLabs/lolcerts Eine Sammlung von bekannt bösartigen Code-Signing Zertifikaten und geleakten Zertifikaten. Das Repository enthält ebenfalls ein Skript zur Generierung von YARA-Rules, um die Zertifikate zu identifizieren.

💡 google/Magika Googles frisch veröffentlichtes AI-powered Malware Detection Tool. Google nutzt das Tool selbst zur Malware-Erkennung in gmail. Sehr cool: Es gibt eine Demo Umgebung.

📜 Textualize/toolong Ihr kennt das sicher, wenn ihr mal wieder beim debuggen einer Applikation auf Logs starrt. Je nach Komplexität (und Verzweiflung) kommt zu tail dann noch sed, grep oder ähnliche Tools zum Einsatz. Aber verzweifelt nicht länger, sondern testet bei der nächsten Debug-Session toolong!

Das Zitat der Woche stammt aus dem neuen Buch von David Goggins, Never Finished. Der Nachfolger zu Can’t Hurt Me führt die Leser weiter im Leben von David Goggins, nachdem er bereits Elite-Soldat, Weltrekord-Klimmzugausführer und Ultraläufer ist.

Auch wenn ich die Grundsätzliche “Hustle & Grind” Einstellung für extrem kritisch halte, die in dem Buch vermittelt wird - und die für David scheinbar gut funktioniert hat - ist das ein Zitat, was mir einfach hängen geblieben ist. Weil es etwas ist, was jedem und jeder helfen kann, wenn es Probleme und Herausforderungen im Leben zu Bewältigen gilt. Nein, es ist nicht immer schön. Ja, es ist sehr gut möglich dass das gerade hart, unangenehm und schmerzhaft ist. Aber wenn wir uns selbst nicht ernst nehmen und selbst versuchen zu helfen - dann tut es niemand.

Schlagt euch weiter durch, arbeitet an euch und euren System - passt auf euch auf und wir lesen uns nächste Woche wieder!

Cheers,

Martin