+43 (1) 812 32 30-0 office@purple-tec.at
Microsofts Problem mit bösartigen Treibern ist viel größer als gedacht

Microsofts Problem mit bösartigen Treibern ist viel größer als gedacht

Microsofts Problem mit bösartigen Treibern dürfte weitaus größer sein. Vor zwei Wochen wurde schon ein Artikel darüber veröffentlicht, dass Microsoft eine ganze Reihe von Treibern sperren musste, denn diese wurden missbräuchlich in Umlauf gebracht, um Malware tief in angegriffene Systeme zu pflanzen.

Nun ist das Problem schlimmer als angenommen, denn in der Sicherheitsarchitektur der Windows-Betriebssysteme gibt es Ausnahmeregelungen, die Angreifer geradezu einladen, Schadcodes in die Systeme zu schieben. Es wurden hunderte Treiber gesperrt, weil sich bösartige Akteure Zugang zu digitalen Signaturen erschlichen hatten, um ihre Malware zu platzieren.

Beginnend mit Windows10, Version 1607, verlangt Microsoft, dass Kernel-Mode-Treiber von seinem Entwicklerportal signiert werden. „Dieser Prozess soll sicherstellen, dass die Treiber die Anforderungen und Sicherheitsstandards Microsofts erfĂĽllen“, erklärte der Forscher Chris Neal. Dennoch gibt es Ausnahmen – vor allem eine fĂĽr Treiber, die mit Zertifikaten signiert sind, die vor dem 29. Juli 2015 abgelaufen sind oder ausgestellt wurden.

Wenn also ein neu kompilierter Treiber mit nicht widerrufenen Zertifikaten signiert ist, die vor diesem Datum ausgestellt wurden, wird er nicht blockiert. Inzwischen sind in der Malware-Szene verschiedene Tools im Umlauf, mit denen sich diese LĂĽcke in der Sicherheitsarchitektur ausnutzen lässt – die beiden meistgenutzten heiĂźen FuckCertVerifyTimeValidity und HookSignTool.

Der ganze Bericht ist unter folgendem Link zu finden:

https://winfuture.de/news,137430.html

 

Dein Team von Purple-Tec

Achtung – Phishing Warnung!!

Achtung – Phishing Warnung!!

Wir haben gestern, von einem uns bekannten Absender, eine Mail bekommen. Wir wussten, dass er Sharepoint nutzt. Deshalb haben wir uns nichts dabei gedacht, auch wenn wir gerade kein Thema am Laufen haben. Beim Anklicken geht wirklich sein Sharepoint auf. Er hat ein Dokument geteilt. Als wir mit der Maus dann ĂĽber den Link gefahren sind und gerade klicken wollten, hats uns grissn sealed:

Gut, da klick ma lieber nicht drauf. yell

Was ist passiert: Das Passwort des Mitarbeiters dürfte entweder selbst durch eine Phishing Attacke oder durch die mehrfache Verwendung auf unterschiedlichen Seiten abhanden gekommen sein. Weiters war die 2 Faktoren Authentifizierung nicht aktiviert, sodass er sich in der Cloud anmelden konnte. Danach platzierte der Angreifer den Link auf einer Sharepoint Seite und verschickt eine Einladung an Empfänger, mit denen das Opfer Kontakt hatte. Und natürlich hat er auch Zugriff auf alle Mails. Dort wird dann gerne nach dem Suchbegriff „Password“ oder „Passwort“ gesucht. Mit ein Grund, warum wir never ever Passwörter im Klartext per Mail verschicken.

Da sowohl der Absender, als auch das erste Ziel – die Sharepoint Seite – original und authentisch sind, klickt man gerne drauf. Auf den 2. Link ist man dann natürlich verleitet ebenfalls draufzuklicken – die Achtsamkeit ist hier schon unten.

Wir haben den Link dann in einer sicheren Umgebung ausprobiert und festgestellt, man kommt auf eine Seite mit einer russischen Domainendung und dort ist ein exakter Nachbau einer Office365 Anmeldung. Wer also dort seinen Office365 Usernamen und Passwort eintippt, ist dann gleich das nächste Opfer. 

Und wenn so jemand vielleicht sogar Office365 Administrator ist, kann auch gleich der ganze Tenant übernommen werden. So vor einigen Monaten passiert. Die Kunden-eigenen Admins wurden ausgesperrt, neue Admins angelegt und dann im ersten Schwung am Freitag, 15 Minuten nach offiziellem Geschäftsschluss 80.000 Spammails verschickt. Gottseidank konnten wir diesen Kunden durch ein Hintertürdel schnell wieder bereinigen und auch gleich die 2 Faktoren Authentifizierung aktivieren.

Conclusio:

1. Verwende niemals Passwörter mehrfach. Auch wenn sich nur ein Zeichen unterscheidet, hilft es schon.

2. Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen und nichts, was in irgendeinem Wörterbuch steht. Ausnahme: 4 oder mehr Wörter aneinandergereiht (Passphrase) – ist aber eher unpraktisch. Die Anfangsbuchstaben eines Lieblingssatzes nehmen, Sonderzeichen einbauen, Hinweis auf die verwendete Website.
„Ich kann mir null Passwörter merken, drum schreib ich sie auf“ = Ikm0Pm,dsisa
Amazon = Ikm0Pm,dsisa#ama
Zalando = Ikm0Pm,dsisa#zal

3. Schütze unter allen Umständen deine Mailzugänge. Wer Zugriff auf die Mailbox hat, kann sich über die „Passwort vergessen“ Funktion gängiger Webseiten auch dort Zugriff verschaffen.

4. Aktivere die 2 Faktoren Authentifizierung, wo immer das geht. Ja, es ist mĂĽhsam, aber die Alternative ist noch viel mĂĽhsamer.

5. Sei vorsichtig, wenn du Links anklickst – auch in der 2. oder 3. Ebene

 

So seid ihr sicher! cool

Euer Purple-Tec Team

Haben Sie eine Sophos Firewall?

Haben Sie eine Sophos Firewall?

In den Medien geht es rund – rund um Sophos.

Sicherheitsforscher haben das Internet auf verwundbare Sophos-Firewalls gescannt und sind fĂĽndig geworden. Sicherheitspatches gibt es seit Dezember 2022.

Offensichtlich haben weltweit viele Netzwerk-Admins ihre Firewalls von Sophos noch nicht auf den aktuellen Stand gebracht. Sicherheitsforscher von VulnCheck sind auf rund 88.000 ĂĽber das Internet erreichbare Firewalls gestoĂźen, von denen Tausende ĂĽber eine kritische SicherheitslĂĽcke attackierbar sind. FĂĽr den GroĂźteil sind seit September 2022 ein Hotfix und seit Dezember Sicherheitspatches verfĂĽgbar.

Hier fĂĽhrt Sophos aus, wie man prĂĽfen kann, ob der Hotfix installiert ist:

https://support.sophos.com/support/s/article/KB-000044539?language=en_US

Auf rund 4500 Firewalls sollen aber veraltete Versionen laufen, die mit dem Hotfix inkompatibel sind. Admins sollten also neben dem Versionsstand auch die Logdateien prüfen, um einer möglichen Kompromittierung auf die Spur zu kommen.

Weitere Informationen dazu gibt es auf folgenden Seiten:

https://www.heise.de/news/Jetzt-patchen-Tausende-Firewalls-von-Sophos-angreifbar-7462565.html

https://www.bleepingcomputer.com/news/security/over-4-000-sophos-firewall-devices-vulnerable-to-rce-attacks/

Vielleicht ist das aktuell eine gute Möglichkeit, die IT Security zu überdenken/zu überprüfen und Gegenangebote einzuholen, damit die Sicherheit Ihres Unternehmens weiterhin gewährleistet ist, ohne Stunden mit der Problemlösung zu verbringen. Bei so einer Firewall wäre es gut, wenn die 2nd Line of Defense einfach nur saugut ist. coollaughing Vor allem, wenn die Endpoint Protection dann so übersichtlich aufgeräumt ist, wie die von der GravityZone. 

Als Gold-Partner von Bitdefender können wir Ihnen gerne Unterstützung anbieten, Teststellungen planen und Ihnen helfen sich wieder sicher zu fühlen. 

Melden Sie sich bei uns. 

Ihr Purple-Tec Team  laughing

Fünf Schritte zur besseren Ransomware-Prävention

Fünf Schritte zur besseren Ransomware-Prävention

Ransomware ist unter allen Cyberbedrohungen immer noch die beliebteste Methode, um Unternehmen unter Druck zu setzen und schnelles Geld zu verdienen. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.

Bitdefender startet mit 5 Tipps in das Jahr, mit der sich die Auswirkungen einer Ransomeware-Infektion abfangen lassen. Diese möchten wir sehr gerne mit euch teilen:

1) Isoliere deine Backups

Der beste Schutz ist, die Sicherungskopien auf verschiedene Medien zu verteilen. (Cloud-Dienste und Offline-Speicheroptionen)

2) Mitarbeiter richtig einschulen und Inhalte steuern

Sensibilisiere die Mitarbeiter für Phishing-Verfahren und den richtigen Umgang mit Anhängen, Links, Makros und zweifelhaften Websites, denn die Mitarbeiter mit dem täglichen Geschäft sind die erste Verteidigungslinie.

3) Rechtevergaben richtig einschränken

Reduziere die Benutzerrechte auf das erforderliche Minimum, so wird verhindert, dass Malware ausgefĂĽhrt wird oder sich im gesamten Netzwerk ausbreitet.

4) Ăśberwachen des Netzwerkes auf Fehlkonfigurationen und riskantes Nutzerverhalten

Mit regelmäßigen Netzwerk-Scans kommt man den Fehlkonfigurationen in den Systemen auf die Spur. Weiters sollten die Endpoints auf ausreichend sichere Passwörter überprüft werden und den Zugriff auf zweifelhafte Websites verhindern.

5) Anwendungen und Windows-Betriebssysteme patchen

Ungepachte Anwendungen sind für Angreifer leichte Ziele. Eine gute Patch-Compliance reduziert die Zahl der Exploits, die Angreifer ausnutzen könnten, um ein Vielfaches.

 

Falls du mehr ĂĽber Bitdefender – die GravityZone und Patch Management – wissen möchtest, kannst du dich gerne an uns wenden. wink

Euer Team von Purple-Tec

ACHTUNG – Betrugsmail ist unterwegs – getarnt als Mail von der WKO!!

ACHTUNG – Betrugsmail ist unterwegs – getarnt als Mail von der WKO!!

Woran erkennt man, dass das eine Falle ist:

Erstmal ein Skandal, dass Microsoft in den Standardeinstellungen das Mail überhaupt zustellt. Hier läuten alle Alarmglocken, die es gibt:

  • Die IP-Adresse des eigentlichen Absenders ist auf einer Blacklist.
  • Die IP Adresse darf keine Mails der Domain @wko.at versenden (SPF Record)
  • DMARC und DKIM, zwei weitere Schutzmechanismen vor SPAM und Malware werden nicht erfĂĽllt

Trotzdem wurde mir das Mail in den Junk-Email Folder zugestellt. Für mich ist das natürlich eigentlich schon Grund genug, das Mail gar nicht mehr weiter zu beachten. Aber die 95% der anderen WKO-Mitglieder da draußen, der Beruf nicht Cybersecurity ist, könnte sich schon denken „Das ist ein false positive“ und in den Posteingang zurück ziehen.

 Noch mehr Hinweise ergeben sich aus dem Text selber:

  • Das Layout ist fĂĽr die WKO untypisch, es ist zu gedrängt
  • Man muss sich natĂĽrlich nicht per Mail oder Webformular bei der WKO identifizieren (weiĂź aber vielleicht nicht jeder)
  • Kein native German Speaker „Sie mĂĽssen unsere BĂĽro nicht besuchen“ ist eher eine englische Phrase „You don’t have to visit our office“, wĂĽrde wir in AT so eher nicht schreiben.
  • Und natĂĽrlich die Key-Elemente: Druck aufbauen: „Sie haben 4 Tage Zeit“ und die Androhung einer Konsequenz.
  • Und wenn man dann – misstrauisch – mit der Maus ĂĽber den Link fährt, erkennt man die Falle
  • Wenn man dort jetzt noch eine bessere URL gewählt hätte, sowas wie https://datenkontrolle.wko.at.ll-915.ir/… wären vielleicht noch mehr Leute darauf hereingefallen.

Ja, natĂĽrlich kann man den Defender 365, oder wie das Teil von Microsoft jetzt gerade heiĂźt, nachjustieren, damit solche Mails erst gar nicht mehr angenommen werden, aber wer hat die Zeit, das KnowHow und/oder den passenden IT Betreuer, um das permanent nachjustieren zu lassen?

Aber ein Tool – insbesondere ein Security Tool – ist nur so brauchbar, wie klar und strukturiert seine Bedienung ist. Natürlich ist auch die Bitdefender GravityZone nicht intuitiv zu bedienen, wenn man mit IT so gar nichts am Hut hat. Aber es ist auch für uns Profis wichtig, dass die Funktionen und Bedienstruktur möglichst gleich bleibt oder sanft evolutioniert. Eine permanente Umbenennung, Umstrukturierung, neue Admin-Centers, neue Lizenzen, Pakete und das alle paar Wochen, ist ein Supergau für jeden, der das bedienen muss.

Das kann höchsten jemand, der sich ausschließlich und rund um die Uhr um diese Lösung kümmert. Haben Sie so jemanden im Team? Inkl. Vertretung?

Euer Team von klenner.at

 

Wir starten die Woche mit zwei weiteren Opfern der Cyberkriminalität!

Wir starten die Woche mit zwei weiteren Opfern der Cyberkriminalität!

Es vergeht kaum noch ein Wochenstart ohne „gestohlene Daten“, „gehackte Passwörter“, „Schäden von tausenden Euros“, „Ausfälle oder Verzögerungen“ bei eigentlich normalen Tagesabläufen. Cyberattacken werden immer mehr und mehr, Artikel mit Warnungen oder bereits entstandenen Schäden, nehmen seit Monaten immer mehr zu. 

Darum möchten wir diese Meldungen nun wieder zum Anlass nehmen, um darauf aufmerksam zu machen, wie wichtig es ist, sich um seine IT zu kümmern, sich um seine Passwörter zu kümmern und regelmäßig zu hinterfragen, ob der Stand der IT Security noch sicher genug ist. Wir unterstützen hier gerne bei jedem Schritt, der notwendig ist. laughing

Bei JĂ– hat man versucht sich in Kundenkonten einzuloggen – man geht davon aus, dass die Jö-Kundinnen und -Kunden fĂĽr ihren Zugang ein Passwort gewählt haben, das sie mehrfach nutzen und das an anderer Stelle gestohlen worden sein dĂĽrfte. Mehr unter folgendem Link:

https://www.derstandard.at/story/2000140242612/cyberattacke-auf-mitglieder-des-joe-bonus-club

Bei Metro fiel die IT-Infrastruktur aus – nach eingehender Untersuchung konnte ein Cyberangriff bestätigt werden. Artikel dazu unter folgendem Link:

https://www.heise.de/news/Grosshandel-Metro-wurde-Opfer-einer-Cyber-Attacke-7315514.html

 

PrĂĽfe vielleicht gleich, ob e noch alles sicher ist, bevor du weiter arbeitest wink.

Euer Team von klenner.at

1