Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) haben Ende vergangener Woche in einem gemeinsamen Alert vor aktuellen Cyberangriffen in den USA gewarnt, die sich überwiegend auf Regierungsnetzwerke konzentrierten. Offenbar kombinierten die Angreifer hierbei die kritische “Zerologon”-Sicherheitslücke in Windows Server mit weiteren Lücken zu einer Exploit-Chain – und das teils mit Erfolg.

Die Behörden raten dringend zum Einspielen der längst verfügbaren Updates und verweisen auf weitere Exploit-Kombinationen, auf die die Angreifer in naher Zukunft ausweichen könnten.

Um initialen Zugriff auf das jeweillige Netzwerk zu erlangen, hätten die Angreifer in mehreren Fällen die FortiOS-Sicherheitslücke CVE-2018-13379 missbraucht. Die hatte Fortinet bereits Ende Mai 2019 aus dem SSL-VPN-Webportal des FortiOS-Betriebsystems entfernt. In einigen, allerdings deutlich weniger Fällen sei stattdessen eine kritische Remote-Code-Execution-Lücke jüngeren Datums in MobileIron Core & Connector (CVE-2020-15505, betrifft Versionen bis inkl. 10.3) zum Einsatz gekommen.

Im zweiten Schritt hätten die Angreifer dann auf Zerologon (CVE-2020-1472) gesetzt, um sich Domänen-Admin-Rechte zu verschaffen. Microsoft hatte die kritische Lücke in Windows Server im August dieses Jahres gepatcht. Bereits seit Mitte September ist Exploit-Code für Zerologon verfügbar, kurze Zeit später warnte Microsoft vor ersten aktiven Angriffen in freier Wildbahn.

Notfall-Richtlinie nicht berücksichtigt

In Bezug auf Hintergrund und Zweck der Angriffe liest sich der Alert von FBI und CISA eher vage. In einigen Fällen sei es den Angreifern gelungen, sich Zugang zu Wahlunterstützungssysteme zu verschaffen, allerdings gebe es bislang keine handfesten Anhaltspunkte dafür, dass die Wahlintegrität kompromittiert wurde. Auch sei völlig offen, ob die Verfügbarkeit von Wahldaten überhaupt ein Angriffskriterium dargestellt habe.

Dass der Zugriff überhaupt – und offenbar vielfach – gelang, ist vor allem vor dem Hintergrund bedenklich, dass die CISA bereits am 18. September 2020 eine Notfall-Richtlinie für US-Regierungs-Admins veröffentlicht hatte. Diese gab ihnen bis zum 21. September Zeit, Systeme gegen Zerologon abzusichern. Passiert ist das offensichtlich längst nicht in allen Fällen.


(ovw)



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884