13.05.2020 16:31

Was geht aktuell um?

Was beschäftigt uns oder macht uns zurzeit Sorgen?

• Wordpress. Da werden sowohl alte Schwachstellen, als auch ein Fehler im Page Builder Plugin massenweise ausgenutzt.
• Thunderspy sehe ich als eher akademisch: wenn das Bedrohungsmodell das Flashen von neuer Firmware per SPI direkt auf die Chips inkludiert, dann ist der Thunderbolt-Anschluss nicht mein Hauptproblem.
• Einen Fehlalarm gab es am 8. Mai: uns wurden von mehreren Seiten her ein breitflächiger DDoS-Angriff gemeldet. Das dürfte aber nur ein sehr aggressiver Scan gewesen sein, der Bugs, Designschwächen und Konfigurationsprobleme auf (primär) Firewalls getriggert hat.

AA20-133A von der US Cybersecurity and Infrastructure Security Agency (CISA) beschreibt, welche Schwachstellen in den Jahren 2016 bis 2019 oft ausgenutzt wurden:

• CVE-2017-11882: Microsoft Office Memory Corruption Vulnerability
• CVE-2017-0199: Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API
• CVE-2017-5638: Apache Struts RCE via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header
• CVE-2012-0158: MSCOMCTL.OCX RCE Vulnerability
• CVE-2019-0604: Microsoft SharePoint Remote Code Execution Vulnerability
• CVE-2017-0143ff: Windows SMB Remote Code Execution Vulnerability (EternalBlue)
• CVE-2018-4878: Adobe Flash Player before 28.0.0.161
• CVE-2017-8759: .NET Framework Remote Code Execution Vulnerability
• CVE-2015-1641: Microsoft Office Memory Corruption Vulnerability
• CVE-2018-7600: Drupal RCE affecting multiple subsystems with default or common module configurations

Für 2020 werden im gleichen Dokument die Probleme mit Citrix und PulseSecure VPN Lösungen genannt. Keine Schwachstellen in Software, aber genau so oft kritisch sind Fehler, die beim Umstieg auf flächiges Teleworking (insb. O365 Konfigurationen) gemacht werden, sowie mangelndes BCM, was sich vor allem bei Ransomware-Angriffen rächen kann.