Im Überblick
Microsoft hat Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in Microsoft Exchange veröffentlicht. Die Lücken werden derzeit von staatlichen Akteuren aktiv ausgenutzt. Vier Zero-Day-Sicherheitslücken in lokal installierten Versionen von Microsoft Exchange ermöglichen sowohl eine Authentisierung ohne Nutzerdaten, das Schreiben und Ausführen von beliebigem Code als auch die Ausleitung von Unternehmensdaten. Angreifer könnten sogar ganze Offline-Adressbücher und Mailboxen exfiltrieren. Daher rät Microsoft, die bereitgestellten Updates unverzüglich zu installieren. Alle vier Zero-Day-Lücken haben eine CVE zugewiesen bekommen (CVE-2021-26855,CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Betroffen sind lokale Installationen von Microsoft Exchange. Die Online-Versionen von Exchange sind von den Lücken nach derzeitigen Erkenntnissen nicht betroffen.
Im Überblick
Die Sicherheitsforscher von Check Point Software Technologies warnen vor einer neuen Schwachstelle in der TikTok-App. Hackern war es möglich über eine Sicherheitslücke in der Funktion Find Friends die Schutzfunktionen zu umgehen und auf die Profile von Nutzern zuzugreifen. Auf diese Weise konnten alle personenbezogenen Informationen, wie die einmalige Nutzer-ID, gestohlen werden – einschließlich der Telefonnummer – um eine Datenbank aufzubauen, die für Malware-Attacken genutzt werden kann. Bereits im Januar 2020 fanden die Experten von Check Point mehrere kritische Schwachstellen in der Applikation. Check Point meldete die Lücke umgehend an TikTok und sie wurde bereits durch einen Fix geschlossen, der daher umgehend installiert werden sollte. Bis dahin aber war die Schwachstelle ausnutzbar und es ist wahrscheinlich, dass einige Nutzer bereits unbemerkt das Opfer von Hackern wurden.
Meldungen: Sicherheitslecks
Auch in diesem Jahr wird jeder Deutsche im Durchschnitt 280 Euro für Weihnachtsgeschenke ausgeben. Gerne landen dabei technische Gadgets wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik unter dem Weihnachtsbaum. IoT Inspector hat deshalb beliebte Artikel namhafter Hersteller (u.a. aus den USA und Deutschland) untersucht und kam zu erschreckenden Ergebnissen: Jedes dieser Produkte verfügt über Hunderte von Schwachstellen, die Angreifern im schlimmsten Fall Zugang zu den Geräten ermöglichen. Die Angreifer sind dann in der Lage, auf private Netzwerke zuzugreifen, Daten zu stehlen, Geräte zu manipulieren oder gekaperte Geräte in ihre Botnets einzugliedern.
Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird. Mittels dieser Schwachstellen ist es Angreifern möglich, MFA zu umgehen und auf Cloud-Anwendungen zuzugreifen, die das betreffende Protokoll verwenden. Unter Umständen betrifft dies auch Microsoft 365. Im Falle eines erfolgreichen Angriffs könnte ein Hacker vollen Zugang zum Konto des Opfers erhalten (einschließlich E-Mails, Dateien, Kontakten, sensiblen Daten etc.). Darüber hinaus bieten auch andere von Microsoft bereitgestellte Cloud-Dienste, darunter Produktions- und Entwicklungsumgebungen wie Azure und Visual Studio, ein lukratives Einfallstor.
VMware hat eine gefährliche Sicherheitslücke in der Management-Software für virtuelle Umgebungen vCenter Server bekanntgegeben. Die Schwachstelle findet sich im VMware Directory Service (vmdir) und wird mit dem höchstmöglichen CVSS v3 Score 10 von 10 bewertet. In einem Blogbeitrag hat Guardicore Labs die Schwachstelle CVE-2020-3952 detailliert analysiert. Dabei haben die Sicherheitsforscher festgestellt, dass sich die Authentifizierung weiterhin umgehen lässt. Hauptursache für die Sicherheitsanfälligkeit ist ein Fehler in einer Funktion, die sich mit Berechtigungsprüfungen befasst, und ein zweiter Fehler, der einer LDAP-Sitzung ohne Authentifizierungst-Token Root-Berechtigungen gewährt. Die Kombination dieser beiden Probleme führte zu der äußerst kritischen Anfälligkeit.
Eine Schwachstelle im Microsoft-Produkt Windows ermöglicht Schadprogrammen neben gezielten Angriffen auch die selbstständige wurmartige Ausbreitung in betroffenen IT-Netzwerken. Da derzeit kein Patch zur Schließung der Sicherheitslücke zur Verfügung steht, schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie als kritisch ein. Microsoft konnte bislang nur einen Workaround zur Verfügung stellen, mit dem die Ausnutzung der Schwachstelle auf SMB-Servern verhindert werden kann. Für einzelne SMB-Clients ist der Workaround nicht geeignet, daher sollte bei betroffenen SMB-Clients eine vollständige Deaktivierung von SMB erwogen werden (s.u.). Ein ähnliches Szenario hatte 2017 zu den IT-Sicherheitsvorfällen "WannaCry" und "NotPetya" geführt.
Verschiedene Forscherteams haben eine weitere gravierende Schwachstelle in aktuellen Prozessoren identifiziert und in Whitepapers beschrieben, die heute veröffentlicht worden sind: Mittels einer neuen Angriffsmethode namens "Load Value Injection in the Line Fill Buffers" (LVI-LFB) können versierte Hacker gezielt Daten in Rechenzentren stehlen, ohne Spuren zu hinterlassen. Möglich wird die LVI-LFB-Attacke – wie auch die 2018 und 2019 entdeckten Seitenkanalattacken Meltdown, Spectre und MDS (Microarchitectural Data Sampling) – durch die Manipulation leistungssteigernder Hardware-Funktionen der Prozessoren. Im Gegensatz zu den genannten Sicherheitslücken erlaubt LVI-LFB jedoch erstmals einen gezielten Zugang zu Daten.
