25.01.2021 08:00

Rückblick auf das letzte Drittel 2020

September

Vorfälle und Aussendungen

ZeroLogon

CVE-2020-1472 a.k.a. ZeroLogon ist eine Schwachstelle in Microsofts Remote Netlogon Protokoll, die vor allem für die Post-Exploitation-Phase eines Angriffs nützlich ist. Mithilfe von ZeroLogon kann das Computerpasswort eines beliebigen Computers in der Active Directory Domäne auf ein leeres Passwort gesetzt werden. AngreiferInnen können z.B. das Computerpasswort des Domain-Controllers löschen und sich dann mit dem Computer-Account, der über weitreichende Rechte verfügt, anmelden und die ntds.dit-Datei, die unter anderem die gehashten Passwörter aller Accounts in der Domäne enthält, stehlen.

Ein erster Patch, um diese Schwachstelle zu beheben, wurde zwar bereits im Zuge von Microsofts Patchday im August veröffentlicht, allerdings gab Microsoft an, dass dieser nicht sämtliche Angriffsszenarien abdeckte und vertröstete auf einen vollständigen Patch im Februar 2021.

Exploits für die Lücke ließen allerdings nicht so lange auf sich warten und bereits Mitte September waren mehrere auf GitHub verfügbar.

CERT.at bekam von einer externen Quelle eine Liste von potentiell verwundbaren Servern in Österreich und kontaktierte die Betroffenen. Außerdem berichteten wir zweimal in unseres Kategorie "Aktuelles" über die Entwicklungen.1

Emotet

Nicht fehlen durfte natürlich auch im September Emotet, zu dem wir ebenfalls eine Aussendung machten.

Projekte und Konferenzen

Shodan Verified Vulnerabilities

Im September 2020 haben wir damit begonnen, einmal pro Monat Statistiken zu jenen Schwachstellen zu veröffentlichen, die Shodan in Österreich findet und die jeweiligen Entwicklungen dabei zu verfolgen.2 Bislang hat sich herausgestellt, dass SSL/TLS-Schwachstellen die Liste mit großem Vorsprung anführen und das Gesamtbild insgesamt relativ stabil ist. Ersteres kann aber dem Umstand geschuldet sein, dass solche Lücken leichter von außen zu verifizieren sind.

Oktober

Vorfälle und Aussendungen

Insgesamt stand der Oktober, was Aussendungen anging, im Zeichen der Untoten – konkret ging es um stark veraltete Windows Versionen sowie eine ältere Exchange-Schwachstelle.

Microsoft Exchange CVE-2020-0688

Diese bereits im Zuge des Microsoft Patchday im Februar 2020 geschlossene Lücke ermöglicht RCE mit NT Authority\SYSTEM Rechten, sofern die AngreiferInnen die Zugangsdaten für einen beliebigen Mailaccount kennen. Wir hatten im April 2020 nach ungepatchten Systemen in Österreich gesucht und die Betroffenen informiert,3 aber da das deutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) im Oktober in einer Presseaussendung verlautbarte, dass das Update im Deutschland nach wie vor vielfach nicht eingespielt worden war, wollten wir noch einmal einen Blick auf die Situation in Österreich werfen. Das ernüchternde Ergebnis: Auch in Österreich hat sich seit April kaum etwas geändert.4

Dementsprechend informierten wir wiederum die Betroffenen. Ein weiterer Scan im ersten Drittel 2021 ist ebenfalls geplant.

Windows Server ohne Support

Rapid7 veröffentlichte im Oktober einen Blogpost, laut dem weltweit über 50% der öffentlich erreichbaren Windows Server Instanzen auf nicht mehr unterstützten Versionen (Windows Server 2008 R2 und darunter) laufen. Wir haben uns daraufhin die Situation in Österreich angesehen und festgestellt, dass sie zwar etwas, aber nicht viel besser ist.

Jedenfalls haben wir die Betroffenen informiert und ihnen dringend zum Updaten geraten. Auch hier ist noch eine Wiederholung des Scans ausständig, die wir im ersten Drittel 2021 durchführen werden.

Ungepatchte Sophos Firewall XG Instanzen

Im Juli 2020 hatte Sophos eine schwere Lücke in ihrem Firewall XG Produkt geschlossen. Dabei handelte es sich um eine SQL Injection Schwachstelle, die in weiterer Folge potentiell zu einer Remote Code Execution (RCE) führen konnte. Obwohl Firewall XG per Default so eingestellt ist, dass neue Updates automatisch eingespielt werden, dürfte diese Feature vielfach deaktiviert worden sein, denn wir erhielten im Oktober eine Liste nach wie vor anfälliger Instanzen in Österreich und informierten umgehend die BetreiberInnen.

SonicOS DoS und RCE

In der ersten Oktoberhälfte wurde eine Buffer Overflow Schwachstelle in SonicOS bekannt (CVE-2020-5135), über die ein Denial of Service Angriff durchgeführt werden konnte. Zusätzlich bestand lt. Advisory auch die Gefahr, dass diese zu einer RCE ausgebaut werden konnte. Da das Problem im HTTP/HTTPS-Service liegt und dieser unter anderem für den Aufbau von SSL VPN Verbindungen zuständig ist, sind diese Geräte im Normalfall aus dem offenen Internet erreichbar.

CERT.at suchte via Shodan nach Instanzen in Österreich und informierte die Betroffenen.

Projekte und Konferenzen

IT-Security Stammtisch goes online

Nach einer längeren Pause unseres sonst monatlich durchgeführten IT-Security Stammtisches, haben wir ihn im Oktober 2020 erstmals online durchgeführt. Als großer Vorteil der virtuellen Variante hat sich v.a. die wesentlich breitere Teilnahme von Personen außerhalb (Nord-)Ost-Österreichs herausgestellt, weshalb wir überlegen, auch nach COVID-19 eine Remote-Teilnahme zu ermöglichen.

Neue Mitarbeiter für MeliCERTes 2

Über das MeliCERTes 2 Projekt konnten ab 1. Oktober mit Sebastian Waldbauer und Birger Schacht zwei neue Mitarbeiter finanziert werden, die sich vornehmlich um die Betreuung und Weiterentwicklung von IntelMQ kümmern.

“Enhancing Cybersecurity in Austria” (2018-AT-IA-0111)

Im Zuge dieses CEF (Connecting Europe Facilities) Projekts wurde im Oktober die Entwicklung eines neuen Constituency-Portals gestartet, um unsere Kontaktadressen besser zu verwalten (siehe Blogpost auf Deutsch und Englisch).

Außerdem erschien mit IntelMQ 2.2.2 ein Release, der einige Fehler korrigierte.

November

Vorfälle und Aussendungen

cit0day Leak

Anfang November wurde ein großer Leak bekannt: Die Plattform cit0day[.]in, auf der (vornehmlich) Kriminelle andere Leaks kaufen konnten wurde im September 2020 vom Netz genommen. Angezeigt wurde ein Banner, das behauptete, die Seite sei von der amerikanischen Exekutive beschlagnahmt worden, allerdings wurde dies nie bestätigt und es kam auch zu keinen öffentlich bekannten Festnahmen in diesem Zusammenhang, weshalb die Vermutung naheliegt, dass der Takedown von den Verantwortlichen hinter der Plattform selbst inszeniert war.5

Wie dem auch sei, im November wurden das Leak-Archive von cit0day[.]in auf der File-Sharing-Plattform MEGA öffentlich verfügbar gemacht. Etwas später erschienen die Daten noch einmal in einem anderen Format.

Wir konnten die Daten aller betroffenen gv.at Adressen feststellen und informierten die jeweiligen MX-BetreiberInnen. Aus den Rückmeldungen ergab sich, dass die gestohlenen Daten zum Großteil schon ziemlich alt (z.T. mehr als zehn Jahre) waren, also kaum eine unmittelbare und große Gefahr darstellten.

Alte und neue CVEs

Im November erhielten wir Informationen zur Verbreitung einiger CVEs in Österreich und informierten Betroffene von CVE-2014-3398 (Cisco ASA), CVE-2019-1653 (Cisco RV320/RV325 Router) und CVE-2020-3452 (Cisco ASA und Cisco FTD).

Projekte und Konferenzen

Im November nahm L. Aaron Kaplan, Mitarbeiter #4 bei CERT.at, Abschied und machte sich zu neuen Herausforderungen auf, für die wir ihm alles Gute wünschen.

Außerdem bekam CERT.at in diesem Monat mit Wolfgang Rosenkranz einen neuen Teamleiter. Otmar Lendl, der diese Funktion seit der Gründung innehatte, kann sich nun voll auf die nationale und internationale Vernetzung konzentrieren.

“Enhancing Cybersecurity in Austria” (2018-AT-IA-0111)

IntelMQs Dokumentation zog in diesem Monat auf intelmq.readthedocs.io (und damit auf Sphinx) um, und erhielt dadurch einige neue Features.

Dezember

Vorfälle und Aussendungen

Ein Leak kommt selten allein

Kaum war der Cit0day-Leak vom November verarbeitet, tauchte ein neuer auf: Diesmal waren Zugangsdaten zu VPN-Servern von FortiOS betroffen. Es dürfte sich dabei um Daten handeln, die mithilfe einer im Mai 2020 geschlossenen Lücke gestohlen wurden. Auch hier wurden die Patches leider vielfach nicht eingespielt, obwohl seit August 2020 öffentliche Exploits verfügbar waren.6

Der Leak wurde zwar bereits Ende November bekannt, wir erhielten die relevanten Daten allerdings erst Anfang Dezember und informierten die Betroffenen dann so schnell wie möglich.

D-Link Router unauthenticated RCE

D-Link veröffentliche Anfang Dezember ein Advisory zu einer Reihe von Schwachstellen, deren schlimmste wohl CVE-2020-25757, eine unauthenticated RCE mit Root-Rechten, ist. Diese betrafen mehrere Router-Modelle, von denen einige bereits nicht mehr unterstützt wurden und daher auch keine Updates erhielten.

Mithilfe von Shodan konnten wir betroffene Geräte identifizieren und informierten deren BetreiberInnen.

SolarWinds Orion

Am 12. Dezember veröffentlichte FireEye einen Blogpost über einen erfolgreichen Angriff auf ihre Infrastruktur, bei dem interne Red-Teaming Tools gestohlen worden waren. Zwei Tage später folgte ein weiterer Blogpost, der den initialen Angriffsvektor bekanntgab: SolarWinds Orion, eine IT-Infrastruktur Management Software. Es stellte sich heraus, dass eine hochprofessionelle, mit hoher Wahrscheinlichkeit staatlich finanzierte Gruppe, in die Produktivsysteme von SolarWinds eingedrungen war und es geschafft hatte, Hintertüren in den Code der Orion Software einzubauen, die über einen Zeitraum von sechs Monaten in allen Updates ausgeliefert wurden. Eingespielt hatten diese "Updates" etwa 18000 KundInnen von SolarWinds – bei wievielen davon die AngreiferInnen im Anschluss auch tatsächlich aktiv wurden, ist nach wie vor unklar und auch die Untersuchungen zu den verwendeten TTPs (Tactics, Techniques, and Procedures) dauern noch an. Eine laufend aktualisierte Liste der Ereignisse und dazu veröffentlichter Artikel findet sich in einem Whitepaper des ThaiCERTs.

Natürlich setzten auch wir uns mit dem Thema auseinander, Hinweise zu Angriffszielen in Österreich gab es jedoch keine.

Projekte und Konferenzen

 MeliCERTes 2

Im Rahmen des MeliCERTes 2 Projektes wurde im Herbst 2020 die Erhebung der Anforderungen an den Werkzeugkasten der CERT und des CSIRTs Networks finalisiert. Die Hauptpunkte sind:

  • Die bestehenden zentralen Services sollen ein gemeinsames Identity and Access Management (IAM) System erhalten, das durch ein Verzeichnis der Teams und deren MitarbeiterInnen provisioniert wird.
    Die Rolle des Directories soll Cerebrate übernehmen, eine Open Source Lösung, die von CIRCL, dem nationalen CERT von Luxemburg, entwickelt wird. Welche Software als Identity Provider fungieren wird, und wie der Übergang zur neuen Lösung aussehen soll, wird aktuell in enger Kooperation mit der ENISA ausgearbeitet.
  • In Bezug auf Videokonferenzen für das CSIRTs Network wurde gemeinsam mit der ENISA eine Studie erstellt, die die Features der verfügbaren Lösungen den Anforderungen einiger Nutzungsszenarien gegenüberstellt. Die Veröffentlichung einer [TLP:WHITE] Version dieser Untersuchung soll demnächst erfolgen.
  • Weiters wurde erhoben, welche Tools sinnvollerweise Teil des MeliCERTes Projektes sein könnten, und wie diese (im Falle von lokal eingesetzten) am besten an die einzelnen Teams verteilt werden, damit sie sich gut in deren lokale IT Landschaft einfügen.

Neben diesem Requirements-Prozess wurde auch an IntelMQ gearbeitet: Die Paketierung wurde verbessert und der erste Release als Docker-Image zur Verfügung gestellt.

“Enhancing Cybersecurity in Austria” (2018-AT-IA-0111)

Im Dezember fand ein (virtuelles) CSIRTs Network Meeting statt, an dem Otmar Lendl, Wolfgang Rosenkranz und Sebastian Wagner teilnahmen. Im Zuge des Treffens gab es auch eine "Capture the Flag" (CTF) Herausforderung bei der zwei Teams den ersten Platz belegten, wobei Otmar Lendl im einen und Sebastian Wagner im anderen war.

Mit IntelMQ 2.2.3 gab es einen weiteren Bug-Fix Release und in diesem Monat erschien erstmals ein rpm Paket zur einfachen Installation auf CentOS 8.

Außerdem wurde die Entwicklung von IntelMQ 3.0 fortgesetzt. Dazu gab es einen auf UserInnenfeedback basierenden, ersten großen Änderungsvorschlag bei der Konfiguration.


  1. Siehe https://cert.at/de/aktuelles/2020/9/domain-controller-ubernahme-aus-dem-internen-netz-mehr-details-zu-cve-2020-1472 und  https://cert.at/de/aktuelles/2020/9/neues-zur-zerologon-sicherheitslucke-cve-2020-1472

  2. Siehe dazu unseren initialen Blogbeitrag, sowie die Einträge zu Oktober, November und Dezember 2020.

  3. Siehe https://cert.at/de/blog/2020/4/cve-2020-0688-verwundbare-microsoft-exchange-server-in-osterreich

  4. Siehe https://cert.at/de/aktuelles/2020/10/microsoft-exchange-cve-2020-0688-revisited

  5. Siehe z.B. https://www.zdnet.com/article/23600-hacked-databases-have-leaked-from-a-defunct-data-breach-index-site/ 

  6. Siehe z.B. https://heise.de/-4968392

Verfasst von: Dimitri Robl