+43 (1) 812 32 30-0 office@purple-tec.at
Sicherheitslücken in Telefonanlagen! Mit uns sind Sie sicher!

Sicherheitslücken in Telefonanlagen! Mit uns sind Sie sicher!

von | Aug 29, 2019 | Sicherheit, Telekommunikation

Viele Telefonanlagen sind grundlegend unsicher!

 

Vor Kurzem veröffentlichte das Fraunhofer SIT (Institut für Sichere Informationstechnologie) einen Bericht über die beunruhigenden Ergebnisse betreffend mangelnder Sicherheit vieler sogenannter Voice-over-IP (VoIP) Telefonanlagen. Diese Anlagen werden in der Regel über das lokale Firmennetzwerk miteinander verbunden und über ein Web-Interface verwaltet. Die Untersuchung offenbarte, dass viele dieser Web-Interfaces fatale Sicherheitslücken haben. Angreifer können diese Lücken ausnutzen um etwa Schadcode ins Netzwerk zu spielen und ihren Angriff so auf weitere, sich im Netzwerk befindende,  Computer auszuweiten. Verschafft sich der Hacker eventuell sogar Zugriff auf das interne Netzwerk, ist auch das komplette Lahmlegen der Telefonsysteme möglich, was sich verheerend auf die Betriebsprozesse auswirken kann.

Wir setzen (wie immer) auf Sicherheit!
Von den 16 verschiedenen Sicherheitslücken sind laut dem Fraunhofer SIT insgesamt 33 verschiedene Geräte von 25 Herstellern betroffen.

Wie erwartet, fällt unsere Telefonanlage NICHT in die Liste der von Sicherheitslücken betroffenen 25 HerstellerDer von uns verwendete Mitel SMB Controller ist das neueste Produkt jahrzehntelanger Entwicklung der Firma Mitel (früher Aastra und noch früher Ascom) deren Produkte wir bereits seit 23 Jahren installieren

Unser Sicherheitskonzept stellt sicher, dass die Telefonanlagen weder gekapert, noch unberechtigte Gespräche geführt werden können (und Hacker so horrende Kosten verursachen könnten). Sowohl die Software unserer Telefonanlagen als auch die der Apparate werden per Security by Design entwickelt und die Art der Anbindung gewährleistet außerdem, dass keine Hacker von außen eindringen können.
Für eine ausführliche Beratung zum Thema Telefonanlagen, stehen wir jederzeit gerne zu Verfügung.
Quelle: https://heise.de/-4499202

 

Euer Klenner.at-Team :)

Neu: Schwachstellen beheben mit Bitdefender Risk Analytics!

Neu: Schwachstellen beheben mit Bitdefender Risk Analytics!

von | Jul 22, 2019 | Antiviren-Software, Bitdefender, Sicherheit

Neue Sicherheitsanalysen in Gravity Zone 

Die Endpunkt-Sicherheitslösung GravityZone von Bitdefender ist nun um ein cooles Sicherheits-Feature reicher! Die brandneuen Risk Analytics helfen dabei die Angriffsflächen von Endpunkten drastisch zu reduzieren. Die neue Funktion erkennt dabei etwaige Risiken aus Fehlkonfigurationen und behebt sie auch gleich.
Anwendungs- und Konfigurationsschwachstellen sind ein gefundenes Fressen für IT-Bedrohungen. Die Ransomware WannaCry beispielsweise sucht für ihre Angriffe gezielt nach risikoreichen Konfigurationen.

Das neue Risk Analytics Feature in GravitiyZone hilft Security-Operations-Teams dabei, mehr Sicherheit zu gewährleisten und einen der gefährdetsten Angriffswege zu sichern. Die erreichte Entlastung führt dazu, dass die SecOps-Teams die gewonnene Zeit für proaktive Risikominderung von Endpunkten aufwenden können.

30 Sicherheitsschichten, ein Agent, eine Konsole

Gravity Zone ist eine Lösung speziell für Unternehmen und bietet einen koordinierten und flexiblen Schutz von Endpunkten. IT-Sicherheitsteams mit wenig Ressourcen profitieren vor allem von der Automatisierung, der Effizienz und der Nutzerfreundlichkeit. Die Plattform bietet den umfassendsten Stack für Endpoint Prevention auf dem Markt. Er basiert auf der Threat Intelligence von über 500 Mio Sensoren weltweit und enthält mehr als 30 hochentwickelte Layer und eine vollintegrierte EDR-Schicht. So benötigen Kundenunternehmen nur einen Software-Agenten um alle Funktionen nutzen zu können. Um die Warnmeldungen mit nur einem Klick auswerten zu können und somit Zeit zu sparen, erhält der Anwender eine einheitliche Konsole.

Harish Agastya, Senior Vice President, zuständig für Enterprise Solutions bei Bitdefender sagt dazu folgendes:

„Um die hochentwickelten Bedrohungen von heute zu stoppen, bedarf es eines strategischen, ausgewogenen Ansatzes für die Endgerätesicherheit, es braucht erstens eine starke Prävention, zweitens schnelle Erkennung und Reaktion und drittens eine integrierte Risikoanalyse. So können Unternehmen Systeme stärken, die Angriffsfläche reduzieren und potenzielle Angriffe verhindern, stark eindämmen und Schäden vermeiden. Unser dreigliedriger Ansatz aus hocheffektiver Prävention, hocheffizientem EDR und vorbeugender Risikoanalyse ist eine Branchenneuheit. Sie ist zugleich ein wichtiger Baustein unserer Strategie zur umfassenden Vermeidung von Datenschutzvorfällen.“

Die neue Advanced Endpoint Risk Analytics ist kostenlos in der Cloudversion von Gravity Zone erhältlich. Die Einbindung in die On-Premise-Variante wird folgen. Mehr Infos gibt es unter https://www.bitdefender.de/business/.

Euer Klenner.at-Team

Achtung Virenfalle! Phishing-Mails immer perfekter.

Achtung Virenfalle! Phishing-Mails immer perfekter.

von | Jun 27, 2019 | Antiviren-Software, Cyber-Kriminalität, Datenklau, Ransomware, Sicherheit

Letzte Woche landete ein unliebsamer Zeitgenosse in unserem Postfach. Auf den ersten Blick wirkte die Email wie eine übliche Konversation aus einem unserer Projekte. Doch ein zu schneller Klick auf das im Anhang abgelegte PDF zeigte schnell, hinter dem vermeintlichen Dokument verbarg sich gar kein PDF, sondern eine Bilddatei mit einem dubiosen Link.

In unserem Fall konnten wir durch einen kühlen Kopf und ein schnelles Schließen des Browserfensters, Schlimmeres verhindern. Doch solche Klick-Fallen gibt es derzeit leider zu Hauf und sie sind alles andere als ein Bagatelldelikt.

Der Übeltäter 

Hinter derartigen Phishing-Mails, steckt oft die gefürchtete Schadsoftware „Emotet„. Ziel sind vor allem Firmen, Behörden und andere Institutionen sind, bei denen Geld zu holen ist.

Emotet knüpft dabei an zuvor gestohlene, existierende Kommunikationen an und schickt dem Opfer Emails, die sich von realen, eigenen Antworten kaum noch unterscheiden lassen. Ist die Kontamination erfolgreich, werden Verschlüsselungstrojaner platziert und Lösegeld erpresst. Der entstandene Schaden hat zumeist existenzgefährdendes Ausmaß und kann laut Emotet nur durch Zahlung hoher Geldbeträge rückgängig gemacht werden.

Leider muss man inzwischen davon ausgehen, dass selbst top geschulte Mitarbeiter früher oder später auf derartige Phishing-Mails reinfallen könnten.

Angriff auf Heise-Verlag

Am Beispiel Heise Verlag sieht man ganz klar, dass es selbst die Vorsichtigsten erwischen kann.

Beim konkreten Fall hat ein Mitarbeiter irrtümlich den kontaminierten Inhalt einer getarnten Emotet Phishing-Mail geöffnet. Daraufhin begann die Malware sofort mit der Ausbreitung im gesamten Heise-Netz. Nach kurzer Zeit eskalierte die Situation derart, dass die Admins sich für einen vollständigen Lock-Down entschieden. Dafür wurden sämtliche Internet-Verbindungen zu den betroffenen Netzwerken umgehend gekappt.

Seither arbeiten mehrere Forensiker und Incident-Response-Spezialisten gemeinsam mit der hauseigenen IT daran, die Vorgänge aufzuklären. Ziel ist es, in einen normalen IT-Betrieb überzugehen, ohne erneute Infektionen zu riskieren. Darüber hinaus wird laut Heise aktuell das gesamte Sicherheitskonzept hinterfragt und Konzepte erarbeitet, welche derartige Super-Gaus zukünftig verhindern sollen.

Heise dokumentiert den Fall äußerst transparent um anderen Firmen die Möglichkeit zu geben aus den eigenen Fehlern zu lernen.

→ Trojaner Befall bei Heise

Die Conclusio

Wie man sieht, reichen Standard-Viren Programme zumeist nicht aus um einen echten Schutz gegen Schadsoftware wie Emotet zu bieten. Unsere persönliche Empfehlung ist nach wie vor der Antivirenschutz von Bitdefender.

Bitdefender entwickelt laufend Updates um Kundensysteme fortwährend zu schützen. Der aktuelle Fall → GandCrab zeigt, dass diese Anstrengungen durchwegs von Erfolg gekrönt sind.

→ Hier erfahrt ihr mehr über den Antivirenschutz von Bitdefender.

 

Euer Klenner.at-Team

Update für Bitdefender Entschlüsselungstool „GandCrab“

Update für Bitdefender Entschlüsselungstool „GandCrab“

von | Jun 27, 2019 | Bitdefender, Cyber-Kriminalität, Datenklau, Sicherheit

Die, in Zusammenarbeit von Bitdefender und einiger Strafverfolgungsbehörden, entwickelte Entschlüsselungssoftware, wurde aktualisiert! Sie wirkt nun den neuesten Versionen von GandCrab entgegen.
Laut Schätzungen konnten dadurch bisher, über 30.000 Opfer vor Lösegeldzahlungen bewahrt werden. Dies entspricht einem Gesamtwert von etwa 50 Millionen US-Dollar.

GandCrab

Die Erpressersoftware arbeitet nach einem „Affiliate-Modell“ bei dem die Entwickler ihre Malware an Interessierte zu Verfügung stellen und im Gegenzug einen Teil des Gewinnes erhalten. Sie ist seit Beginn 2018 aktiv im Einsatz und erreichte bereits im August 2018 einen Ransomware-„Marktanteil“ von über 50 Prozent. Insgesamt konnten laut der Betreiber, bereits mehr als 2 Milliarden US-Dollar erpresst werden.

Neutralisierung durch Entschlüsselungstool

Die bisher entwickelten Decryption-Tools für GandCrab helfen dabei verschlüsselte Daten wiederherzustellen. Dadurch wird die Auszahlung von Lösegeldforderungen überflüssig was wiederum eine deutliche Verschlechterung der Marktposition von GandCrab zur Folge hatte. Kriminelle Partner fürchteten die Gegenmaßnahmen so sehr, dass sie den Betrieb der Malware lieber einstellten. 
„Unsere Anstrengungen, Entschlüsselungstools für die Opfer von GandCrab bereitzustellen, haben die kriminellen Betreiber dahingehend geschwächt, dass sie ihr Geldbeschaffungsmodell aufgaben“, so Bitdefender-Vertreter. „Damit schufen wir bei neuen Opfern ein Vertrauen, so dass sie lieber auf ein Entschlüsselungsupdate warten, als den Lösegeldforderungen von Kriminellen nachzugeben.“

Wie verhindere ich Infektionen?

Um Ransomware-Infektionen zu verhindern, sollten Benutzer eine Sicherheitslösung mit einer mehrschichtigen Anti-Ransomware-Abwehr implementieren und Daten in regelmäßigen Abständen, vollständig sichern. 
Das Entschlüsselungstool für GandCrab ist kostenfrei  auf den Webseiten der Bitdefender Labs oder des No More Ransom Project verfügbar.
Vor allem gilt wie immer: Verdächtige Anhänge keinesfalls öffnen!
Euer Klenner.at-Team

Durchbruch: Bitdefender Labs rekonstruiert Bankenattacke

Durchbruch: Bitdefender Labs rekonstruiert Bankenattacke

von | Jun 20, 2019 | Bitdefender, Cyber-Kriminalität, Datenklau, Sicherheit

Einem Experten-Team der Bitdefender-Labs ist es kürzlich gelungen, einen Angriff auf eine osteuropäische Bank zeitlich zu rekonstruieren. Der im Mai 2018 ausgeführte Angriff wird der Carbanak-Bande zugeschrieben und zeigt deutlich die zunehmende Relevanz von Endpoint-Security-Maßnahmen. 

Obwohl die Infiltrierung des Netzwerks schon nach 1,5 Stunden abgeschlossen war, bewegten sich die Angreifer mit Hilfe der Cobalt Strike Malware weitere 63 Tage durch die gesamte Infrastruktur des Systems, um es so auszuspähen und weitere Informationen für einen finalen Angriff sammeln. Eine erfolgreiche Attacke hätte den Kriminellen unbemerkten Zugriff auf das Geldautomatennetzwerk verschafft.

Die Täter

Die Infiltration erfolgte mit einer Spear-Phishing-Kampagne mit der URL swift-fraud[.]com/documents/94563784.doc. Der zusätzliche Einsatz der Cobalt Strike Malware deuten auf die Carbanak-Gruppe hin. Die Carbanak-Bande zählt leider viele Erfolge bei Angriffen auf Finanzinstitutionen. Ihre Strategie ist meist, illegale Transaktionen durchzuführen oder Geldautomateninfrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ geplündert werden.

Einge Spear-Phishing-Kampagnen zwischen März und Mai 2018 stattfanden und Carbanak zugeschrieben werden, wurden nun von Sicherheitsforschern analysiert. Die Kampagnen tarnten sich als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch als Cybersicherheitsunternehmen. Durch die Auswertung von Threat Intelligence Feeds und Logfileanalysen, ist es Experten von Bitdefender nun gelungen, den zeitlichen Ablauf des im Mai 2018 stattgefundenen Angriffs, detailliert rekonstruieren zu können. 

Das Angriffsprotokoll

Tag 0: Infiltration 

An einem regulären Arbeitstag um 16:48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen. Das angehängte Dokument nutzt die Remote Code Execution Exploits CVE-2017-8570, CVE-2017-11882 und CVE-2018-0802 von Microsoft Word. Darüber wird unbemerkt eine Verbindung zu einem C&C-Server über eine Backdoor hergestellt: Die Datei smrs.exe (d68351f754a508a386c06946c8e79088) initiiert einen Shell-Befehl, der wiederum den Cobalt Strike Beacon herunterlädt. 

Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18:20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.

 

Tag 1-28: Ausspähung 

In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten. An Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird. An Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Exfiltration vorbereitet. 

Tag 30-63: Informationssammlung und Vorbereitung des Diebstahls 

Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktikten für künftige Ziele mit vergleichbaren Systemen zu verfeinern. 

Ab Tag 33:

Die  Angreifer beginnen damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Der Cobalt Strike Beacon erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Bankeninfrastruktur angemeldet werden. Diese C&C-Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.

Tag 63:

Die Angreifer verwischen schließlich ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.  

Was wurde verhindert?

Wäre der Angriff nicht entdeckt worden, hätten die Hacker die Kontrolle über das Geldautomatennetzwerk der Bank erlangt und wären so in der Lage gewesen, das Auszahlungslimit an Geldautomaten zurückzusetzen. So hätten die vor Ort abgestellten Money Mules beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass die Transaktionen, verdächtig an die Bank gemeldet würden.

Infiltrationen per Spear-Phishing-Kampagnen sind leider nicht ungewöhnlich, da es solchen E-Mails meistens gelingt, Sicherheitsmaßnahmen auf Serverebene zu umgehen. Unternehmen können das Risiko einer Infiltration durch den Einsatz von Endpoint-Security-Lösungen minimieren, wenn sie über URL-Filter, verhaltensbasierte Analysen und Sandboxing verfügen. 

Hier findet ihr sowohl Quelle als auch den Untersuchungsbericht als Download, welcher die zeitliche Abfolge und die einzelnen Schritte der Attacke zusammenfasst. https://labs.bitdefender.com/2019/06/an-apt-blueprint-gaining-new-visibility-into-financial-threats/ 

Euer Klenner.at-Team

Update stopft neue Sicherheitslücke in WhatsApp!

Update stopft neue Sicherheitslücke in WhatsApp!

von | Mai 27, 2019 | Apps, Cyber-Kriminalität, Datenklau, Sicherheit

Die beliebte Instant-Messaging-Plattform Whats App wurde gehackt. Facebook gab eine dringende Empfehlung, sowohl an Android als auch an iOS Nutzer heraus, App und Betriebssystem umgehend upzudaten.

Die kritische Sicherheitslücke (CVE-2019-3568) ermöglicht es, per WhatsApp-Anruf, Spyware auf dem jeweiligen Gerät zu installieren und damit Fernzugriffe von Unbefugten zu ermöglichen. Wichtig: Auch wenn der Anruf nicht angenommen wird, funktioniert der Angriff. Zum Glück gibt es aber bereits einen Reparatur-Patch.

Nähere Informationen zur Sicherheitslücke:

Laut Facebook findet sich die Schwachstelle im VoIP-Stack der App. So wird es potenziellen Angreifern möglich präparierte SRTCP-Pakete an jede beliebige Rufnummer zu senden und damit einen „buffer overflow“ (Speicherfehler) provozieren. Dies ermöglicht es den Schadcode am Zielhandy auszuführen.

Folgende WhatsApp-Versionen sind laut Facebook nicht gefährdet:

  • iOS: v2.19.51
  • Business für iOS: v2.19.51
  • Android: v2.19.134
  • Business für Android: v2.19.44
  • Windows Phone: v2.18.348
  • Tizen: v2.18.15

Menschenrechtsanwalt wurde Opfer

Derzeit steht laut New York Times die israelische Firma NSO unter Verdacht die Spyware programmiert zu haben. Aufmerksam wurde man auf die Sicherheitslücke durch einen betroffenen Anwalt, welcher sich nach einiger verdächtiger Whats-App-Anrufe, an das Citizen Lab der Universität Toronto wandte.

Das Spionage-Opfer war an mehreren Klagen gegen NSO beteiligt. Die Firma wird beschuldigt Spyware verkauft zu haben mit deren Hilfe ein saudischer Dissidenten, ein Katari und einige mexikanische Journalisten angegriffen wurden. Laut eigenen Aussagen, lizenziert NSO ihre Produkte ausschließlich an Regierungen und hat mit der Wahl der Angriffsziele nichts zu tun weiter soll ein firmeninternes Ethikkomitee anhand der Menschenrechtslage des jeweiligen Landes entscheiden ob die Spyware verkauft wird oder nicht.

Um sich erfolgreich zu schützen ist es notwendig die handy eigene Software und WhatsApp selbst, auf den neuesten Stand zu bringen und die Sicherheitslücke dadurch zu schließen.

Oder noch besser: Man steigt um und nutzt ab sofort einen Alternativ-Messenger wie beispielsweise Signal, Telegram oder Threema . :)

Euer Klenner.at Team :)

1