Release. Patch. Repeat.

Kerstin Stief

DRPR00011: Log4Ransom, mehr RATs und ein Internet Explorer

Mehr Schwachstellen, neuer alter böser Code und warum EDR allein nichts bringt

15.05.2023 30 min

Zusammenfassung & Show Notes

Die nicht ganz freiwilligen Mitwirkenden dieser Ausgabe sind immer noch ESXi, ein Internet Explorer (ja, den gibt’s noch), Netgear, Proxies und ein Linux. Außerdem gibt’s wieder Reports und ich sage wie letzte Woche versprochen was zur Detection- und Response-Buchstabensuppe.

Unpatched Schwachstellen gehören zu den beliebtesten Angriffspunkten. Tenable Research hat Daten von über 500 Millionen Assets untersucht: 72% der Organisationen sind weiterhin durch die Schwachstelle in Log4j (Log4Shell) gefährdet.

Auch in der ESXi-Welt sorgt die Schwachstelle weiterhin für Furore: Die Cyberforscher von SentinelOne haben neun weitere Ransomware-Familien entdeckt auf Basis des Codes der Babuk-Ransomware. Auch ESXiArgs basiert höchstwahrscheinlich auf dem 2021 leaked Babuk-Quellcode. TrustedSec hat einen ESXiArgs analysiert.
Von der CISA gibt’s Tipps und einen Recovery-Guide. Auch VMware selbst bietet alle Hilfe und Infos, die ihr braucht.

Akamai hat einen Bug in der Browser-Engine von Microsofts Internet Explorer gefunden. Über die Schwachstelle können Credential (also Logindaten) abgegriffen werden. Es gibt einen Patch. Ebenfalls gestreichelt werden möchte GitHub. Push-Protection soll verhindern, dass Entwickler versehentlich Schlüssel und andere Geheimnisse in ihrem Code über öffentliche Verzeichnisse preisgeben.

Eine neue Phishing-as-a-Service (PhaaS oder PaaS)-Plattform namens Greatness wird von Cyberkriminellen genutzt, um Geschäftsanwender des Cloud-Dienstes Microsoft 365 anzugreifen. Ciscos Talos Intelligence die hat Angriffe analysiert.

Über Schwachstellen in Netgear-Nighthawk-RAX30-Routern sind Anwender anfällig für Malware, Fernangriffen und Überwachung. Gefunden hat die Schwachstelle Clarotys Team82. Es hilft ein Upgrade.

Beim Proxy-Hijacking wird gestohlene Bandbreite weiterverkauft, wie Experten von AhnLab und Ciscos Talos Intelligence herausgefunden haben. Laut den Analysten von AhnLab kommt die Malware gern auch mal als Adware daher. Eine neue Variante nutzt laut sysdig die Log4j-Schwachstelle für den initialen Zugang. Wer vergessen hat, was Log4Shell ist, kann sich bei Dynatrace eine kleine Auffrischung abholen.

Also! 👉🏼 Nicht auf alles klicken, was Google findet und erst recht auf keine Ads! Und repariert endlich eure Java-Bibliotheken.

Last not least wurde eine neue Linux-Backdoor in freier Wildbahn gesichtet. Analysiert hat die Schwachstelle DeepInstict. Die über eine Malware verbreitete Linux-spezifische Backdoor dient dazu, in bereits angegriffenen Netzwerken und Umgebungen dauerhaft Fuß zu fassen. Ob man selbst betroffen ist, kann mit Hilfe erweiterter Detection & Response Lösungen und dem MITRE ATT&CK Framework herausgefunden werden. Danach hilft nur Neuinstallation und der Einsatz von Werkzeugen wie Buzzer zur Härtung des Linux-Kernels und die Verwendung des erweiterten Berkley Paketfilters.

Letzte Woche habe ich euch einen Vergleich von EDR, NDR und XDR versprochen. Je früher ein Angriff erkannt wird, desto besser. Lockheed Martin unterteilt Angriffe in sieben Stufen

MITRE hat mit ATT&CK® (Adversarial Tactics, Techniques, & Common Knowledge) eine frei zugängliche Wissensdatenbank für die einzelnen Phasen der Cyber Kill Chain etabliert. 

Mehr über die einzelnen Phasen eines Angriffes und welche Maßnahmen jeweils geeignet sind, haben wir in einem Artikel beschrieben.

Wie so ein Angriff konkret abläuft, haben die Cyberforscher von Talos Intelligence in einem Blogpost am Beispiel der zuvor erwähnten Proxyware beschrieben.

Wir haben EDR entmystifiziert und eine kleine Marktübersicht zu Extended, Endpoint oder Netzwerk Detection & Response Lösungen in einem Artikel zusammengefasst.
_________________________________________________________________

Artikel, News, Veranstaltungskalender und unsere anderen Podcasts findet ihr auf data-disrupted.de
Oder ihr folgt uns auf Twitter, Facebook, Mastodon bzw. LinkedIn für Content-Updates.
RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.

Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s mit meinem alter ego auf Twitter.



_________________________________________________________________________________

Artikel, News, Veranstaltungskalender und unsere anderen Podcasts findet ihr in unserem Online-Magazin; oder ihr folgt uns auf Bluesky, Facebook, Mastodon bzw. LinkedIn für Content-Updates. RSS-Feeds gibt’s auch. Zum Gucken gibt’s was auf YouTube.

Meine persönliche Sicht auf Enterprise-IT und noch mehr Schwachstellen, Tipps und News gibt’s mit meinem alter ego  FrauStief auf Bluesky.