Google
hat am 31. Oktober
ein Chrome-Browser-Update veröffentlicht, bei dem zwei schwerwiegende Sicherheitslücken geschlossen wurden. Einer von ihnen (CVE-2019-13720) wurde für echte Angriffe verwendet und von Kaspersky-Lab-Experten entdeckt (
Nachrichten ,
Untersuchungen ). Eine Use-After-Free-Sicherheitsanfälligkeit (CVE-2019-13720) ermöglicht die Ausführung von beliebigem Code auf Systemen mit 64-Bit-Windows- und Chrome-Browserversionen 76 und 77.
Das Problem wurde mithilfe des automatischen Exploit Prevention-Systems erkannt, das Teil der Sicherheitslösungen von Kaspersky Lab ist und auf die Identifizierung bisher unbekannter Angriffe abzielt. Der bösartige Javascript-Code, der den Angriff startet, wurde in die koreanische Nachrichten-Website eingefügt. Forscher haben diese Kampagne Operation WizardOpium genannt, und bisher gibt es keine Anzeichen dafür, dass diese böswillige Aktivität mit anderen Cyber-kriminellen Operationen kombiniert werden kann. Der Exploit-Code weist auf einen größeren Vorgang hin, bei dem andere Schwachstellen in gängiger Software ausgenutzt werden.
Dies ist nicht der einzige "Live" -Angriff, der letzte Woche entdeckt wurde. Am 3. November wurde im Kryptos Logic-Blog
eine interessante Beschreibung eines Angriffs auf Computer mit der
BlueKeep- Sicherheitsanfälligkeit
veröffentlicht . Dieses Problem in der Remotedesktopdienstfunktion in Windows 7 und Windows 2008 Server wurde im Mai entdeckt. Trotz der Tatsache, dass der Patch nicht nur für diese (relativ) modernen Betriebssysteme, sondern auch für nicht unterstützte Windows XP- und 2003-Server veröffentlicht wurde,
gab es zum Zeitpunkt der Veröffentlichung des Patches etwa eine Million anfälliger Systeme. Im September wurde ein Exploit für BlueKeep als Teil des Metasploit-Pakets veröffentlicht. Selbst auf einem nicht gepatchten System können Sie die Einstellungen ändern, um die Ausnutzung der Sicherheitsanfälligkeit unmöglich zu machen. Dennoch gingen die Forscher von der hohen Wahrscheinlichkeit aus, dass viele Systeme nicht korrekt aktualisiert und konfiguriert werden. Wie kann man dann bestimmen, wann sie anfangen werden, wirklich anzugreifen?
Mit Hilfe von Hanipots - absichtlich schlecht konfigurierte Systeme, auf denen aufgrund der Sicherheitsanfälligkeit beliebiger Code remote und ohne Autorisierung ausgeführt werden kann. Am 2. November gab der Forscher Kevin Bumon bekannt (seine Version der Ereignisse ist
hier ), dass die ihm gehörenden Chanipots spontan „in den blauen Bildschirm“ fielen. Die Analyse der Abstürze ergab, dass tatsächlich Angriffe auf Remotedesktopdienste ausgeführt werden und dass ihre Art den Funktionen des Codes entspricht, der im Rahmen von Metasploit veröffentlicht wurde. Nach dem erfolgreichen Eindringen vom Server des Angreifers werden die PowerShell-Befehle nacheinander geladen und ausgeführt, bis schließlich die Nutzdaten heruntergeladen sind - der Cryptominer. Natürlich waren solche „Streiche“ nach der Veröffentlichung des Exploits unvermeidlich, aber in diesem Fall haben wir auch ein interessantes Beispiel für eine Angriffsanalyse, die als die üblichen Kopfschmerzen des Administrators beginnt - das System stürzt ab und niemand weiß warum. Es ist (lange Zeit) Zeit für ein Update, aber die Anzahl der Systeme mit der BlueKeep-Sicherheitsanfälligkeit hat sich in fünf Monaten kaum verringert und wird jetzt auf über 700.000 geschätzt.
Was ist noch passiert:Ungefähr 7,5 Millionen Abonnenten der Adobe Creative Cloud
waren eine Woche lang gemeinfrei. Die falsch konfigurierte Datenbank enthielt detaillierte Informationen zu Kunden, es gab jedoch keine Passwörter und Kreditkartennummern. Der Kundenstamm des Web.com-Registrars ist ebenfalls
durchgesickert .
Der 30. Jahrestag des Cascade-Virus. Dies ist das erste Malware-Programm, das 1989 von Eugene Kaspersky untersucht wurde. Hier wird ein Beitrag mit einem Exkurs in die Geschichte und detaillierten Infografiken zur Entwicklung der Bedrohungen über drei Jahrzehnte veröffentlicht.
Laut Akamai
leben 90% der Phishing-Sites nicht länger als einen Tag. Zu den Top-Phishern zählen Microsoft, Paypal und LinkedIn.