Sicherheitsvorfälle (13. Juni 2023)

Kurzer Abriss diverser Sicherheitsmeldungen, die mich die letzten Stunden erreicht haben. In der Schweiz weitet sich der Cyberangriff auf einen IT-Dienstleister (XPlain) der für “Home-Security” zuständig war, aus. Daten der Polizei und des Zolls werden im Dark-Net weitergereicht. Und Black Basta hat die Schweizer Aviatik-Firma TAG Aviation angegriffen. Und die Internetseiten von Kaltennordheim und VG Hohe Rhön sind nach einem Cyberangriff offline. Zudem wurde eine Datei aus Microsofts Datenmarktplatz Xandr aufgespürt, die zeigt, wie Datenhändler die Nutzer kleinteilig kategorisieren.

Kaltennordheim und VG Hohe Rhön

Auf die Internetseite der der Stadt Kaltennordheim sowie der Verwaltungsgemeinschaft Hohe Rhön (Kreis Schmalkalden-Meiningen) gab es einen Cyberangriff und die Seiten sind offline. Nachfolgender Tweet verweist auf den Artikel des MDR mit einigen Details.

Kaltennordheims Bürgermeister Erik Thürmer (CDU) bestätigte, dass Unbekannte die Zugangsdaten für die Webserver abgegriffen und andere Inhalte auf die Seiten gebracht haben. Der Zugang wurde deswegen gesperrt: Aktuell sehen Nutzer auf allen Seiten und Unterseiten von kaltennordheim.de sowie von vghoherhoen.de nur den Hinweis: „Wir sind bald wieder für Sie da!!!“

Das Netzwerk der Stadtverwaltung und der Verwaltungsgemeinschaft ist laut Thürmer nicht betroffen, weil die Internetseiten über andere Server laufen. Schwein gehabt … die wollen jetzt die Sicherheitsmaßnahmen verbessern.

Daten von Polizei und Zoll im Darknet

Im Blog-Beitrag Ransomware-Infektionen, Datenabflüsse, Sicherheitslücken Ende Mai 2023 hatte ich Anfang Juni 2022 über einen Angriff (Supply Chain Attack) auf den IT-Dienstleister XPlain berichtet, von dem die Schweizer Armee und/oder das Bundesamt für Polizei (Fedpol) direkt betroffen sein sollen.

Patrick Breyer (Piratenpartei im EU-Parlament) weist in obigem Tweet auf diesen Computerworld-Beitrag hin. Laut diesem zirkulieren Daten vom Bundesamt für Polizei (Fedpol) und dem Bundesamt für Zoll und Grenzsicherheit (BAZG) im Darknet. Breyer weist in obigem Tweet auf die Implikationen hin – “der Staat” will immer mehr Daten erfassen und zentral speichern – im Tweet ist von anlassloser Vorratsdatenspeicherung die Rede. Aber auch elektronische Gesundheitsakte oder die Digitalisierung der Verwaltung samt Speicherung in “in der Cloud”, verwaltet durch IT-Dienstleister, sind für mich auf dem Radar.

Und dann hackt jemand diesen Dienstleister und bekommt die Daten frisch aus der Cloud serviert – wunderbar. Ich verweise in diesem Kontext auf meine beiden Blog-Beiträge Dienstleister Adesso verschwieg Bundesbehörden und Kunden Risiko durch Hack und Cyberangriffe auf Krankenkassen-IT-Dienstleister Bitmarck, Klinikum Hochsauerland GmbH. Wir werden in Zukunft noch viel Freude haben – speziell die “ich habe ja nichts zu verbergen Fraktion”.

Patrick Breyer weist in diesem Tweet auf das Ansinnen hin, dass Unternehmen aktuell nach Daten aus Patientenakten gieren. Er setzt sich beim geplanten Europäischen Raum für Gesundheitsdaten (EHDS) dafür ein, dass ohne Einwilligung der Patienten keine Daten weitergeben werden dürfen. Die EU will die Weitergabe an Unternehmen, ohne dass der Patient dem widersprechen kann. Diese sensiblen Daten aus Krankenakten gehen Unternehmen nichts an. Breyer hat die Petiton Kein Zugriff auf Patientenakten für Big Tech dazu aufgesetzt – Ziel sind 100.000 Unterschriften – knapp 70.000 sind erreicht. Also tragt euch in diese Petition ein.

Ergänzungen: Am 12. Juni gab es einen DDoS-Angriff auf diverse Webseiten der Schweizer Bundesverwaltung (siehe). Und vom Cyberangriff auf die Firma Xplain sind auch die Schweizer Bundesbahn (SBB) sowie der Kanton Aargau betroffen. Details finden sich in diesem Beitrag.

Ransomware bei TAG Aviation

Das am Genfer Flughafen angesiedelte Unternehmen TAG Aviation wurde von einer Ransomware-Attacke der Black Basta-Gruppe getroffen, Das Schweizer Medium Watson berichtet in diesem Beitrag über diesen Fall. TAG Aviation sei ein bekannter Name in der Geschäfts- und Luxusfliegerei. Bereits am 21. Mai 2023 gab es einen Alarm des Intrusion Detection System (IDS), der aber eine Teilverschlüsselung einiger IT-Systeme nicht verhindern konnte.

Analyse des Fortigate CVE-2023-27997

Gerade hatte ich im Beitrag Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023) berichtet, wo eine kritische RCE-Schwachstelle in FortiOS geschlossen wurde.

Obiger Tweet verlinkt auf diesen Artikel mit einer Analyse der Schwachstelle – falls es jemanden interessiert.

Exploit für MOVEit RCE-Bug bei Angriffen genutzt

Die Tage hatte ich über die RCE-Schwachstelle in der Software MOVEit Transfer berichtet (siehe die Links am Artikelende). Die Kollegen von Bleeping Computer beschreiben in diesem Beitrag ein Proof of Concept für einen Exploit für den MOVEit RCE-Bug, der von Sicherheitsforschern entwickelt wurde und bei Angriffen zum Datendiebstahl genutzt werden könnte.

Chinesische Hacker zielen auf VMware ESXi 0-day

Die Kollegen weisen in diesem Tweet und dem Artikel hier darauf hin, dass chinesische Hacker eine 0-day-Schwachstelle in VMware ESXi ausnutzen, um eine Backdoor in VMs zu installieren.

Google Chrome Passwörter hacken

Ein YouTube-Video von John Mammond zeigt, wie sich Google Chrome Passwörter im Klartext aus lokalen Browser-Profilen extrahieren lassen. Der folgende Tweet weist auf diesen Sachverhalt hin.

Datenleck: Microsofts Datenmarktplatz Xandr

Ein Sicherheitsforscher ist im Internet auf eine Datei gestoßen, die zum von Microsoft gekauften Datenmarktplatz Xandr gehört. Die Datei zeigt, wie die Datenhändler die Internetnutzer kategorisieren, von „arm“ und „geschieden“ über „fragile Senioren“ und „Moms who shop like crazy“ bis „spielsüchtig“, „depressiv“ und „Brustkrebs“. Die Datei enthält 650.000 Kategorien, in die die Werbeindustrie Internetnutzer einsortiert.

Das Dokument wurde von dem Wiener Tracking-Forscher Wolfie Christl Datei aufgestöbert. Er hat es mit netzpolitik.org sowie The Markup geteilt. Obiger Tweet von netzpolitik.org weist auf das Thema hin, welches auf der Seite in diesem Artikel aufbereitet wird.

Ergänzung: Der Vorfall schlägt nun Wellen. Laut diesem Bericht von heise leiten die deutschen Datenschutzbehörden von Berlin, Hamburg, Bayern und Baden-Württemberg eine Prüfung gegen Xandr ein. Das umfasst natürlich auch Microsoft (Bayern) als Käufer  sowie DataXTrade. netzpolitik.org hat den Sachverhalt in diesem Beitrag dokumentiert.

EU Vorratsdatenspeicherung und Verschlüsselung

Ein Dokument, welches netzpolitik.org vorliegt, enthüllt, wie EU-Regierungen mit dem Mythos des Missbrauchs EU bei der Durchsetzung von Vorratsdatenspeicherung und Verschlüsselung tricksen. Patrick Breyer weist in folgendem Tweet und diesem Artikel auf das Thema hin.

Microsoft Office Sicherheitssignaturen nutzlos

Microsoft kennt die Möglichkeit, Office-Dateien mit Office Open XML (OOXML)-Signaturen, ein Ecma/ISO-Standard, zu signieren. Der in Microsoft Office-Anwendungen und im Open-Source-Programm OnlyOffice verwendete Standard weist mehrere Sicherheitslücken auf. Daher können die Sicherheitssignaturen leicht gefälscht werden.Das bedeutet, dass auf diese Weise signierte Office-Dateien unbemerkt verändert oder mit einer gefälschten Signatur ausgezeichnet werden können. Das führt das Konzept von digitalen Signaturen ad-absurdum.

Fünf Computerforscher der Ruhr-Universität Bochum – Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Daniel Hirschberger und Jörg Schwenk – beschreiben diesen Sachverhalt im Dokument „Every Signature is Broken: On the Insecurity of Microsoft Office’s OOXML Signatures„. The Register hat es in diesem Artikel aufbereitet.

Ähnliche Artikel:
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?
MOVEit Transfer: Neue Schwachstelle; dringend patchen!