Update zur Zero-Day-Sicherheitslücke in Confluence, Rapid Reset Zero-Day-Schwachstelle führt zu rekordverdächtigen DDoS-Angriffen, DarkGate-Malware: Cyberangriffe über Skype und Teams, Malware versteckt in Blockchain-Smart Contracts und neue Windows Funktion: Isolierung für gehackte oder unverwaltete Geräte.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Update zur Zero-Day-Sicherheitslücke in Confluence
Vor einer Woche haben wir über die Zero-Day-Sicherheitslücke CVE-2023-22515 in Confluence berichtet, die von Atlassian als kritisch eingestuft wurde.
Hier sind die neuesten Entwicklungen:
Die Schwachstelle, ursprünglich als Privilegien-Ausweitung betrachtet, betrifft lokale Confluence Server und Data Center-Instanzen in den Versionen 8.0.0 bis 8.5.1.
Aktuelle Berichte des Bundesamts für Sicherheit in der Informationstechnik (BSI) und Microsoft Threat Intelligence bestätigen, dass die APT-Gruppe Storm-0062 (auch als DarkShadow oder Oro0lxy bekannt) die Schwachstelle seit dem 14. September 2023 aktiv ausnutzt.
Diese Schwachstelle ermöglicht es Angreifenden, unautorisierte Administrator-Konten zu erstellen und auf Confluence-Instanzen zuzugreifen. Dies stellt eine erhebliche Gefahr dar, insbesondere für öffentlich erreichbare Confluence-Instanzen.
Atlassian hat sofortige Mitigationsmaßnahmen und Updates veröffentlicht. Die Empfehlung ist, dringend Confluence-Instanzen auf behobene Versionen (8.3.3 oder höher, 8.4.3 oder höher, 8.5.2 oder höher) zu aktualisieren.
HTTP/2 Rapid Reset Zero-Day-Schwachstelle führt zu rekordverdächtigen DDoS-Angriffen
Amazon Web Services (AWS), Cloudflare und Google haben angekündigt, gemeinsame Maßnahmen gegen beispiellose Distributed-Denial-of-Service (DDoS)-Angriffe zu ergreifen, die eine neuartige Technik namens „HTTP/2 Rapid Reset“ ausnutzten. Diese Angriffe wurden Ende August 2023 identifiziert und sind unter der Schwachstellenbezeichnung CVE-2023-44487 bekannt.
Während Google von den Angriffen mit erstaunlichen 398 Millionen Anfragen pro Sekunde betroffen war, bewältigten AWS und Cloudflare immerhin 155 Millionen bzw. 201 Millionen RPS (Requests per Second). Die „HTTP/2 Rapid Reset“-Schwachstelle betrifft das HTTP/2-Protokoll, das es Angreifern ermöglicht, mehrere Anfragen über eine einzige Verbindung gleichzeitig zu senden, was als gleichzeitige „Streams“ bezeichnet wird.
Die Rapid-Reset-Methode ermöglicht das schnelle Senden und Abbrechen von Anfragen, um die Server-Stream-Begrenzung zu umgehen und die Server zu überlasten, ohne die Schwelle zu erreichen. Diese Technik kann Websites effektiv zum Erliegen bringen und erfordert lediglich ein vergleichsweise kleines Botnetz von etwa 20.000 kompromittierten Computern, wie von Cloudflare beobachtet.
Angesichts der weit verbreiteten Verwendung von HTTP/2 auf 35,6 % aller Websites und einem Anteil von 77 % bei den HTTP/2-Anfragen stellt diese Schwachstelle eine ernsthafte Bedrohung dar.
Hacker-Gruppen und Kampagnen
DarkGate-Malware: Cyberangriffe über Skype und Teams
Eine vor kurzem entdeckte Cyberkampagne nutzt die Messaging-Plattformen Skype und Microsoft Teams, um die gefährliche DarkGate-Malware zu verbreiten. Sicherheits-Forscher identifizierten die Kampagne von Juli bis September 2023. DarkGate ist ein gefährlicher Trojaner mit vielfältigen Funktionen, darunter Kryptowährungs-Mining und Keylogging.
Die Angreifer tarnen ihre Angriffe, indem sie schädliche VBA-Loader-Skripte als harmlose Dateien verschicken. Diese Skripte führen nach der Ausführung den DarkGate-Schadcode aus. Obwohl der genaue Angriffspunkt unbekannt ist, wird vermutet, dass gestohlene Anmeldeinformationen oder die Kompromittierung der Mutterorganisation die Angriffe ermöglichten.
Diese Bedrohung trat in den USA am häufigsten auf, gefolgt von Asien, dem Nahen Osten und Afrika. Die Angreifer setzten unterschiedliche Taktiken ein, darunter das Versenden betrügerischer VBS-Skripte in Skype und das Verstecken von LNK-Dateien in Microsoft Teams. Nach der Infektion wurden zusätzliche schädliche Payloads abgelegt.
Malware versteckt in Blockchain-Smart Contracts
Die Blockchain-Technologie, die ursprünglich für Kryptowährungen und dezentrale Anwendungen entwickelt wurde, erlebt eine besorgniserregende Zunahme ihrer Nutzung durch Cyberkriminelle zur Verbreitung von Schadsoftware.
Kürzlich wurde eine neuartige Methode namens „EtherHiding“ entdeckt, die speziell auf die Binance Smart Chain (BSC) abzielt, um Schadcode in sogenannten „Smart Contracts“ zu verbergen. Diese Bedrohung ist eng mit der „ClearFake“ Malware-Kampagne verknüpft, bei der Cyberkriminelle WordPress-Websites attackieren und gefälschte Browser-Updates einschleusen.
Die beunruhigende Tatsache dabei ist, dass diese Schadprogramme innerhalb der Blockchain selbst agieren, was ihre Bekämpfung erheblich erschwert. Im Gegensatz zu herkömmlichen Viren oder Malware sind solche Bedrohungen wesentlich widerstandsfähiger und weniger anfällig für herkömmliche Abwehrmechanismen.
Wirtschaft, Politik und Kultur
Neue Windows Funktion: Isolierung für gehackte oder unverwaltete Geräte
Microsoft Defender for Endpoint hat eine neue Funktion, mit der Unternehmen nicht verwaltete Windows-Geräte, die gehackt wurden oder verdächtigt werden, gehackt zu sein, isolieren können.
Dies verhindert, dass Angreifer sich innerhalb des Netzwerks bewegen und weiteren Schaden anrichten. Die Funktion funktioniert jedoch nur mit Windows 10 und höher sowie Windows Server 2019 und höher. Administratoren können gefährdete Geräte einschließen und deren Kommunikation blockieren. Wenn sich die IP-Adresse eines abgeschotteten Geräts ändert, blockieren die anderen abgeschotteten Geräte die Kommunikation mit der neuen IP-Adresse.
Das wars für diese Woche. Danke fürs lesen und bis zum nächsten Mal. Stay safe