Achtung: Unerwünschte Ostergeschenke!
Gerade an Ostern lieben wir es, versteckte Schätze zu finden und genüsslich zu verspeisen. In der IT sind die Osternester aber meist unwillkommene Geschenke! Leider gelingt es jüngst den «bösen Hasen» den «guten Anwendern» immer mal wieder ein faules Ei in deren IT-Umgebung zu legen.
Wenn nicht gerade Millionen von Facebook-Accounts oder WiFi-Passwörtern auftauchen, ist die mediale Verbreitung von IT-Sicherheitshinweisen eher mager. Doch der Schein trügt. Aktuell sind einige sehr perfide Aktionen im Gang. Diese richten sich nicht an die grosse Masse, sondern direkt an einzelne Unternehmen. Mittels legal verfügbaren Informationen und durch bereits bekannte Leaks wird versucht, via E-Mail Schadsoftware in die Unternehmens-IT einzuschleusen. Diese Malware, meist Ransomware, verschlüsselt dann Dateien und die Hintermänner fordern Lösegeld.
E-Mail-Anhänge sind nicht dein Freund
Wer gut vorbereitet ist, der kann den Schaden meist selbst beheben. Dies bedingt aber immer wieder Downtime und unproduktive Arbeit für die IT. Deshalb ist es viel wichtiger, die Schadsoftware gar nicht erst in die eigenen vier Wände eintreten zu lassen. Das ist aber nicht immer ganz zu verhindern, denn noch immer gibt es Geschäftsprozesse oder privaten E-Mailaustausch von z.B. Office-Dateien. Daher gilt nach wie vor: «Vorsicht beim Öffnen von E-Mail Anhängen!». Auch wenn diese aus vermeintlich bekannten Quellen kommen, sicherheitshalber das IT-Department anfragen, ob dieses E-Mail wirklich von der angegebenen Person kommt, oder allenfalls nur so aussieht!
Interne Wikis im Internet sind keine gute Idee
Doch nicht nur die Anwender selber sind gefordert, die IT Abteilungen bleiben es auch. Die letzten Tage wurde eine Lücke im weit verbreiteten Confluence von Atlassian bekannt. Wurde Confluence anfangs nur in Intranets verwendet, trifft man dieses immer mehr auch als Dokumentationsplattform im Internet an. Die Lücke ermöglicht es einem «normalen» Confluence-Benutzer zum «Administrator» der Installation zu werden. Dies ermöglicht einerseits dem Benutzer Zugriff auf alle Inhalte und andererseits die Installation von Schadsoftware auf dem Server. Diese nistet sich dann im schlimmsten Fall in der internen IT ein und treibt ihr Unwesen.
Things to do!
Um es den «bösen Hasen» möglichst schwierig zu machen, hier einige Massnahmen (Quelle unter anderem MELANI):
- Das Ausführen von unsignierten Office-Makros technisch unterbinden.
- Den Empfang von Office-Dokumenten, welche Makros enthalten, auf dem E-Mail Gateway bzw. Spam-Filter technisch unterbinden.
- Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie einer externen Festplatte oder einem Tape gespeichert werden.
- Sowohl Betriebssysteme als auch alle auf den Computern und Servern installierten Applikationen (z. B. Adobe Reader, Adobe Flash, Oracle Java etc.) müssen konsequent auf den neuesten Stand gebracht werden.
- Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration).
- Einhalten des Prinzips der minimalen Rechtevergabe besonders auch bei Netzwerklaufwerken.
- Anwendungen die im Internet verfügbar sind, mittels WAF (Web Application Firewall) und IAM (Identity Access Mangement) schützen.
Weiterführende Informationen:
Ransomware/E-Mail/Office-Dokumente
- Severe Ransomware Attacks Against Swiss SMEs (Blogpost über den neusten Ransomware-Angriffen auf CH-KMUs, MELANI 09.05.2019.)
- Trojaner Emotet greift Unternehmensnetzwerke an
- BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen
- Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter
Confluence
- Confluence Security Advisory - 2019-04-17
- Jetzt patchen! Erpressungstrojaner Gandcrab frisst sich durch Confluence-Lücke