… Emotet ist zurück, DNS-Implementierungen teilweise unsicher und Exchange-Server waren angreifbar!
Ein alter Bekannter – Emotet – ist wieder aktiv.
Wohl eine der erfolgreichsten Schadsoftwareprodukte hat einige Jahre die Experten für IT-Sicherheit auf Trab gehalten. 2021 wurde es dann ruhig, nachdem es Europol und dem BKA gelungen war, die Infrastruktur hinter der Schadsoftware zu zerschlagen. Seit Februar ist der Schädling nun aber wieder im Dienst und es ist aktuell eine starke Zunahme an Spam-Mails aus dem Emotet-Botnetz zu verzeichnen.
Da Microsoft das Standardverhalten in Bezug auf VBA-Makros verändert und diese deaktiviert, sucht die Hackergruppe rund um Emotet nun scheinbar nach neuen Wegen zur Infektion. Dabei sind beispielsweise bereits OneDrive-Links aufgefallen, die den Schädling zum Download bereitgestellt haben.
Handlungsempfehlung:
Bleiben Sie wachsam und achten Sie bei eingehenden E-Mails auch weiterhin auf die üblichen Anzeichen von Spam- oder Phishing-Mails und auf seltsame Dateianhänge. Zudem sollten Sie auch immer vorhandene Downloadlinks genau prüfen und hinterfragen.
uCLibc – DNS-Implementierung in vielen Routern scheinbar unsicher.
Eine bereits seit vielen Jahren für ausgestorben geltende Schwachstelle lebt in vielen Routern weiter.
Ach wenn heute die Transaktions-ID bei der Abfrage von DNS-Servern im Internet in der Regel per Zugallsgenerator erzeugt werden, ist dies bei dieser Implementierung nicht der Fall. Bei uCLibc wird die Transaktions-ID einfach hochgezählt. Damit wird die Transaktions-ID in der Theorie erratbar und entsprechende DNS-Anfragen könnten somit manipuliert werden.
Verbindungen zu Webservern könnten damit umgeleitet werden, was dem Angreifer das Mitlesen der Kommunikation ermöglichen würde. Allerdings weisen wir bereits seit Jahren darauf hin, dass die Übermittlung von Daten über eine TLS-Verschlüsselung(!) abgesichert werden soll. Sie erkennen dies im Browser an dem kleinen Vorhängeschloss vor der Adresszeile.
Wird eine solche verschlüsselte Verbindung umgeleitet, erhalten Sie in der Regel eine Fehlermeldung, dass das Zertifikat der Webseite nicht stimmt, da der Angreifer dies normalerweise nicht nachbauen kann.
Handlungsempfehlung:
Im Unternehmen sollte die DNS-Abfrage ohnehin nicht von einem einfachen Router übernommen werden. Trotzdem raten wir Ihnen auch weiterhin dazu, auf die Nutzung verschlüsselter Webseiten zu achten. Ignorieren Sie keine Zertifikatsfehler, sondern prüfen Sie entsprechende Fehler genau und sprechen mit Ihrer IT-Abteilung oder Ihrem IT-Dienstleister!
Zudem wurden im März von Microsoft Patches für die Exchange-Server 2013, 2016 und 2019 veröffentlicht.
Die geschlossene Lücke konnte ausgenutzt werden, um fremden und ggf. schadhaften Programmcode auf den Server auszuführen. Daher handelt es sich um eine als kritisch einzustufende Sicherheitslücke und erinnert an die reihenweise Infektion von Exchange-Servern im Rahmen der HAFNIUM-Sicherheitslücke in 2021.
Handlungsempfehung:
Wenn Sie der IT-Verantwortliche sind, oder in der IT-Abteilung arbeiten: Kontrollieren Sie daher umgehend, ob auf Ihren Exchange-Server die aktuellen Patches installiert worden sind.
Für alle Mitarbeiter gilt der Hinweis: Gerade nicht gepatchte Mailserver ermöglichen es Spammern und Phishern ihre Nachrichten zu verschicken. Die Flut der Spam- und Phishing-Mails ist ungebrochen. Bleiben Sie wachsam, denn auch der beste Spamfilter kann keine 100% garantieren.
Handlungsempfehlung für alle Unternehmen:
Bitte geben Sie diese Information auch an Ihre Mitarbeiter weiter, damit Ihr Team – gerade auch in Bezug auf Emotet – gewarnt ist. Schulen Sie Ihre Mitarbeiter bezüglich der möglichen Gefahren und wie Spam-Mails von Emotet erkannt werden können.
Unser Angebot: Wir können Sie bei den Schulungen gerne unterstützen und bieten eine Schulung für IT-Anwender und eine Schulung für IT-Administratoren an. Während wir in der Schulung den Anwendern erklären, warum Schadsoftware so kritisch ist und wie Spam-Mails erkannt werden können, richtet sich die Schulung für IT-Administratoren an diejenigen, die dafür verantwortlich sind, Angriffe möglichst zu vermeiden oder wirkungslos werden zu lassen. |
Quellen:
Emotet testet neue Verbreitungswege (thehackernews.com)
Emotet-Angriffe im März verdreifacht (kaspersky.de)
CVE-Informationen zur Lücke in Microsoft Exchange
DNS-Lücke in uCLibc (golem.de)