Microsoft – kritische Lücke im SMBv3 Protokoll (KB4551762)
Ab sofort steht bei Microsoft ein Patch für eine kritische Lücke im SMBv3 Protokoll bereit. Wir haben unsere Kunden informiert und sofern gewünscht, auch gleich mit dem aktuellen Patch versorgt. Dieser ist unter KB4551762 gelistet.
Quelle: Microsoft
^SysOP
Hackerattacken auf Firmen: Bis zu 46 Millionen Cyberangriffe pro Tag
Jeden Tag werden in Deutschland bis zu 46 Millionen Angriffe auf Systeme durchgeführt; gewinnen Sie mit uns die Kontrolle über Ihre IT und über Ihre EndPoints zurück.
Wir sichern sie mit unserem KnowHow, unserer EndPointProtection und einem CyberCenter mit bis zu 50MA ab. Unsere EPP/EDR schützt sie nach dem Prinzip Trust/No Trust/Neutral. Mit unserer KI-Lösung, die als weitere Absicherung ein CyberCenter im Hintergrund mit spezialisierten Analysten vorhält, die bei einer Unsicherheit die Daten manuell nachanalysieren. In der Zwischenzeit werden diese als unsicher eingestuft und somit in einer gesicherten Umgebung ausgeführt, aus der es keine Kommunikation gibt, die nicht ausdrücklich erlaubt wird. Wir als MSP können somit mehrere verschiedene KI-Systeme miteinander verknüpfen und unser System lernt von Kunde zu Kunde mehr dazu. Dazu kommt dann eine „Mutter-KI“, die zentral vom CyberCenter gespeist wird und für sämtliche Nutzer Informationen bereitstellt mit Millionen von Datensätzen, Signaturen, Prüfsummen, etc.
Zusätzlich wird der aktuelle Patchlevel Ihrer EndPoints überwacht und zentral upgedatet, je nach Ihren Wünschen.
Mit unserem optionalen EDR können Angriffe auf jede einzelne Datei ohne große Performance Verluste nachvollzogen werden und automatisiert oder manuell geblockt werden. Sie sehen auf einer Timeline, woher der evtl. „Eindringling“ kam, welche Daten er infizieren wollte und wohin er kommunizieren möchte. Somit können auch Zero-Day Attacken zuverlässig abgewehrt werden und die Angreifer verfolgt werden.
Warten Sie nicht länger, sprechen Sie uns an und wir erstellen Ihnen ein Angebot; im Gegensatz zu anderen KI-Lösungen können wir Ihnen bereits ab dem 1. Arbeitsplatz Sicherheit in vollem Umfang anbieten, wo andere Systeme eine Mindestabnahme fordern von hunderten oder mehr Endpoints.
Quelle: Vertrieb
^SysOP
Malware-Abwehr mit Blacklists, Sandbox und Containern
Security-Insider: Comodo ist ursprünglich ein Aussteller von SSL-Zertifikaten, widmet sich seit Ende der 2000er Jahre aber auch dem aktiven Virenschutz. Wie hat sich Malware seitdem entwickelt?
Karl Hoffmeyer: „Sie vertrauen auch nicht blind jedem Menschen, den Sie auf der Straße treffen.“
Zu dieser Entwicklung gibt es aktuelle Zahlen: Das unabhängige Testinstitut der AV-Labs gab vor einigen Jahren bekannt, dass tagtäglich schätzungsweise rund 55.000 neue Malware-Bedrohungen auf die Menschheit losgelassen werden. Laut unseren eigenen Security-Labs sind es mittlerweile sogar 200.000 Malware-Varianten pro Tag.
Früher entdeckte man gelegentlich den ein oder anderen digitalen Schädling auf dem Rechner oder im Unternehmensnetzwerk. Heute muss ein Nutzer von vornherein davon ausgehen, dass sein System bereits infiziert ist. Hinzu kommen die Enthüllungen von Edward Snowden.
Seitdem verfestigte sich die Erkenntnis, dass ein herkömmliches Antiviren-Programm allein nicht mehr ausreicht, um Angreifer oder Späher abzuhalten. Die Methoden der Malware-Autoren und Hacker sind zu raffiniert geworden. Des Weiteren gibt es einen enormen Anstieg von Malware, die speziell auf mobile Endgeräte fokussiert ist.
Security-Insider: Inwiefern musste man beim Virenschutz und bei der Virenerkennung auf die Entwicklungen reagieren?
Hoffmeyer: Nun, wer auf diese Entwicklung nicht reagiert, der wird über kurz oder lang mit seiner Security-Strategie scheitern. Klassische Antivirus-Lösungen basieren rein auf Erkennungsmechanismen (Default-Allow-Architektur). Sie lassen einen Virus auf den Endpoint, um ihn dann zu erkennen und anschließend zu beseitigen. Auf unbekannte, unmittelbar auftretende Threats wie Zero-Day-Angriffe können diese Lösungen nicht reagieren.
Herkömmliche Antivirus-Scanner vergleichen jede Datei mit einer Signaturdatei von bekannten Viren auf einer sogenannten „Schwarzen Liste“ (Blacklist). Es ist verständlich, dass brandneue, tagesaktuelle Bedrohungen noch nicht auf diesen Listen vermerkt sind. Die Blacklists konventioneller Scan-Methoden müssten sekündlich aktualisiert werden, um Viren & Co. vom Netzwerk fernzuhalten. Dies ist jedoch nahezu unmöglich.
Security-Insider: An welcher Stelle sollte die Malware-Abwehr im Unternehmen im Idealfall beginnen?
Hoffmeyer: An erster Stelle steht, dass Malware gar nicht erst Endpoints wie PCs, Server, Notebooks etc. erreichen oder in Unternehmensnetzwerke eindringen kann. Zunächst sollte jeder Datei misstraut werden, Stichwort „Default Deny“, zu Deutsch „standardmäßige Ablehnung“.
Das klingt hart, aber Sie vertrauen auch nicht blind jedem Menschen, den Sie auf der Straße treffen, sondern schützen sich mit einem „gesunden Misstrauen“. Mit dem PC-Schutz ist es nicht anders. Denn Misstrauen bedeutet nicht, dass das „Gespräch“ mit der Datei nicht gesucht werden darf. Es sollte lediglich in einer für Sie sicheren Umgebung stattfinden.
Security-Insider: Deckt sich das mit dem, was die IT-Sicherheitsindustrie heute tatsächlich leisten kann?
Hoffmeyer: Sie könnte es, tut es jedoch nicht immer. Wir bei Comodo gehen aber einen anderen Weg und setzen nicht nur allein auf Erkennung mittels Blacklisting. Unsere Methode basiert vielmehr auf Prävention und Isolierung: Nur bekannte Dateien erhalten einen Zugriff auf das Netzwerk. Die erste Verteidigungsebene (line of defense) ist eine sogenannte Whitelist, die nur bekannt gutartige Dateien ausführt.
Bekannte bösartige Dateien werden direkt gestoppt; unbekannte Dateien übergeben wir automatisiert in eine virtuelle Betriebsumgebung. Wir sprechen hier von Automated Sandboxing. Hier kann der Nutzer ungefährdet mit der Datei arbeiten, selbst wenn sie infiziert ist. Erst zu dem Zeitpunkt, an dem die Datei zu 100 Prozent als sauber anerkannt wird, gewähren wir den Netzwerkzugriff. Diese Technologie bzw. Vorgehensweise nennen wir „Containment“.
Security-Insider: Wenn nun aber ein Mitarbeiter Malware versehentlich oder beabsichtigt ins Unternehmen einschleust, reagiert eine Antivirenlösung nicht mitunter zu spät?
Hoffmeyer: Viele Lösungen reagieren zu spät, richtig. Aber dies liegt schon in der Natur der Sache, da das Programm zunächst einmal von einer gutartigen Datei ausgeht. Mit der Desktop-Applikation SecureBox haben wir den Spieß umgedreht. Sie ermöglicht jederzeit die sichere Ausführung geschäftskritischer Anwendungen auf infizierten Systemen durch spezielle Kapselung, die wir Containerization nennen.
Hat ein Mitarbeiter aus Versehen Malware in das Unternehmensnetzwerk eingeschleust, erreicht die Schadsoftware das Netzwerk nie, da sie vor dem Eintritt als unbekannte, womöglich bedrohliche Datei gekapselt wurde. Unsere Anwendung überwacht permanent jeden Prozess und wehrt Manipulationen sowie ungewollte Datenabflüsse ab.
Security-Insider: Wie kann ich gewährleisten, dass der Datenverkehr nicht ausgespäht wird?
Indem Sie den Angreifer eine Umgebung ausspionieren lassen, die es eigentlich nicht gibt. Um sich gezielt gegen Ausspähungen zu schützen, können Unternehmen ihre sogenannten Business Critical-Data – also geschäftskritische Dateien – inklusive Applikationen allesamt „containerisieren“. In der Sicherheitskapsel sind die Dateien zu 100 Prozent immun gegen Angriffe, können aber trotzdem weiter ausgeführt werden.
Security-Insider: Nun bestehen Netzwerke ja nicht nur aus dem klassischen PC. Wo sollte ein Sicherheitsmechanismus also idealerweise etabliert werden? Oder lässt sich das so pauschal nicht sagen?
Hoffmeyer: Die Herausforderung ist, einen Sicherheitsmechanismus für das komplette Unternehmen zu etablieren und unterschiedlichste Bedrohungsszenarien abzuwehren. Wir haben dazu eine Appliance fürs Unified Threat Management (UTM) entwickelt, um digitale Bedrohungen z.B. von LAN- und Mobile-Usern sowie Servern effektiv fernzuhalten. Wir sichern nicht nur die Endpoints auf Netzwerkebene, sondern auch interne Geräte ab.
Die UTM-Appliance beinhaltet eine Firewall, ein Network IPS/IDS-System, eine Antivirus-Engine mit Echtzeit-Updates, VPN-Funktionalität, E-Mail-Protection und Anti-Spam, erweitertes Web Content Filtering, Hot Spot Security sowie Traffic Shaping – alles steuerbar über eine webbasierende Benutzeroberfläche. Somit lässt sich hier von einem 360-Grad-Rundumschutz für Netzwerke sprechen.
Quelle: Security-Insider / COMODO
^SysOP
unsere neue tecNET Virtual DataCenter Appliance
Das tecNET Virtual DataCenter Paket
Die wichtigsten Funktionen und Server in einem kompakten System (einbaufähig im Rack) vereint:
- DomänenController
- FileServer
- MailServer
- virtualle SOPHOS UTM (als FireWall, WebProxy, eMail GateWay, SPAM-Filter, etc.)
- Remote Monitoring zu unserem MSS-Center
Starke Leistung mit bis zu 2 XEON Prozessoren, jeweils 8 Cores und 192 GB Hauptspeicher; dazu schnelle SSD´s und/oder Festplatten der neuesten Generation, incl. einer Installation von VMWare ESXi als Compact DataCenter.
Ideal für kleine Agenturen, Firmen, Arztpraxen, Kanzleien und Selbständige ohne eigene IT-Abteilung.
Das kompakte tecNET Serverpaket.
Quelle: Technology Consulting Group
^Vertrieb
wir schützen KMU´s
Herr/Frau Müller aus der Personalabteilung bekommt eine E-Mail. Im Anhang: ein Bewerbungsschreiben. Kaum öffnet er/sie die Datei und aktiviert die Makrofunktionen, ist sein PC mit Malware infiziert.
Und es kommt noch schlimmer: Im Handumdrehen verbreitet sich die Schadsoftware im gesamten Unternehmensnetzwerk, blockiert wichtige Dateien und bringt sogar die Produktion zum Stillstand.
Erpresser fordern mehrere tausend Euro über BitCoins, um die verschlüsselten Dateien wieder freizugeben.
Wie konnte es nur soweit kommen? Herrn/Frau Müllers Unternehmen verfügt doch über eine Virenschutz Lösung!
Lassen Sie sich von uns beraten, wenn Sie eine intelligente EndPointSecurity Lösung mit KI suchen, die Szenarien wie diese zuverlässig abwehrt und die bereits ab 1 Client einsetzbar ist. TestDrive welcome!
^SysOP
Erpresser eMail gesichtet
Ein Hallo in die Runde der Leser,
sollten Sie in den letzten/nächsten Tagen/Wochen eine eMail mit folgendem oder ähnlichem Inhalt bekommen, dann keine Panik, denn es handelt sich in den meisten Fällen um eine üble Abzocke. Die Passwörter aus diesen eMails sind oft ähnlich oder sogar richtige Passwörter, die aus irgendwelchen Leaks aufgekauft oder gestohlen werden. Wer hier zahlt, zahlt umsonst und der Empfänger hat wieder ein „Opfer“ mehr gefunden. Anbei ein Beispieltext:
xxxxxx (hier steht das Passwort) one of your pass word. Lets get directly to the point. Not one person has paid me to check you. You may not know me and you’re probably wondering why you’re getting this e mail?|You don’t know me and you are probably wondering why you are getting this e-mail? No one has compensated me to check about you.}
Let me tell you, i actually placed a malware on the X vids (sex sites) web site and do you know what, you visited this web site to have fun (you know what i mean). When you were viewing videos, your internet browser started out working as a RDP with a key logger which provided me access to your display as well as webcam. Right after that, my software program gathered every one of your contacts from your Messenger, FB, as well as e-mail . and then i created a double video. 1st part shows the video you were viewing (you’ve got a nice taste lol), and next part shows the view of your cam, yeah it is you.
You get a pair of solutions. Shall we read up on the choices in details:
Very first option is to disregard this email message. as a result, i am going to send your actual video clip to each one of your personal contacts and also consider about the awkwardness you feel. Moreover if you are in a committed relationship, just how it will certainly affect?
Number 2 alternative will be to give me $1000. We are going to name it as a donation. in this case, i most certainly will straight away remove your video recording. You can go on with your way of life like this never happened and you surely will never hear back again from me.
You will make the payment via Bitcoin (if you do not know this, search for ‚how to buy bitcoin‘ in Google search engine).
BTC address: 1EWPAPXKvDEwd4YiE6Nja3kpRHiEYzy7QF
[case sensitive so copy & paste it]
if you are curious about going to the cop, well, this mail cannot be traced back to me. i have dealt with my moves. i am just not trying to charge you a whole lot, i just want to be rewarded. You have one day to make the payment. i have a specific pixel within this e-mail, and right now i know that you have read through this email. if i don’t get the BitCoins, i will certainly send your video recording to all of your contacts including friends and family, coworkers, etc. Having said that, if i do get paid, i’ll erase the recording right away. it is a non-negotiable offer, and so do not waste mine time and yours by responding to this e mail. if you want proof, reply Yes! then i will certainly send out your video to your 6 contacts.
Unser Fazit nach einigen dieser eMails: lassen Sie sich nicht darauf ein und informieren Sie uns oder Ihren zuständigen Security-Spezialisten.
Quelle: eMail eines Kunden
^SysOP
DELL Anleitung für das entfernen von vorinstalliertem Root-CA-Zertifikat
Hier finden Sie eine Anleitung, wie das Root-CA-Zertifikat von DELL per Hand entfernt werden kann. Diese Information finden Sie auch in Ihrem Support-Bereich bei DELL.
Quelle: DELL/HEISE
^MPO
Dell-Rechner mit Hintertür zur Verschlüsselung von Windows-Systemen
Mit einem eigenen Root-CA-Zertifikat hebelt Dell offenbar die Verschlüsselung seiner Kunden aus. Denn mit der kann sich jeder gültige Zertifikate ausstellen und damit Dell-Anwender nicht nur belauschen sondern auch Systeme mit Schad-Software infizieren.
Ein Dell-Kunde entdeckte auf seinem neuen XPS-15-Laptop von Dell eine angeblich vertrauenswürdige Zertifizierungsstelle namens eDellRoot. Doch dieses Zertifikat ist alles andere als vertrauenswürdig – im Gegenteil: Es gefährdet alle verschlüsselten Verbindungen des Systems. Das fragwürdige Zertifikat ist auf neueren Dell-Rechnern als „Vertrauenswürdige Stammzertifizierungsstelle“ hinterlegt.
Das fragwürdige Zertifikat ist auf neueren Dell-Rechnern als „Vertrauenswürdige Stammzertifizierungsstelle“ hinterlegt. Vergrößern
Das fragwürdige CA-Zertifikat findet sich im Windows Zertifikatsspeicher unter „Vertrauenswürdige Stammzertifizierungsstellen“ von Dell-Systemen, berichtet der Nutzer rotorcowboy auf reddit. Es darf somit die Echtheit beliebiger Zertifikate beglaubigen. Das geht dann mit dem zugehörigen, geheimen Schlüssel, den dummerweise nicht nur Dell hat. Er findet sich nämlich ebenfalls im Zertifikatsspeicher von Windows und ist dort als nicht exportierbar markiert. Trotzdem lässt er sich mit wenig Aufwand extrahieren, wie rotorcowboy erklärt. Sowohl das Zertifikat als auch der extrahierte, jetzt-nicht-mehr-so-geheime Schlüssel stehen zum öffentlichen Download bereit. Unser improvisierter Man-in-the-Middle konnte die scheinbar sichere Verbindung zur Deutschen Bank ohne Mühe belauschen.
Unser improvisierter Man-in-the-Middle konnte die scheinbar sichere Verbindung zur Deutschen Bank ohne Mühe belauschen. Vergrößern
Akute Gefahr durch Man-in-the-Middle
Bei einem Schnelltest konnte heise Security das CA-Zertifikat tatsächlich auf Anhieb auf einem Test-Notebook von Dells Consumer-Marke Alienware nachweisen. Ein schnell eingerichteter Man-in-the-Middle-Proxy mit der eDell-Root-CA konnte dann auch sofort alle verschlüsselten Verbindungen mitlesen – etwa die zu Microsofts Bing oder der Deutschen Bank. Die komplette SSL/TLS-Verschlüsselung war damit nur noch schöner Schein. Egal ob Online-Banking, Passwort-Eingaben, Software-Downloads: Jeder Angreifer mit Zugang zum Netzwerkverkehr des Systems kann das alles fast beliebig mitlesen oder sogar manipulieren.
Damit ist die fragwürdige Dell-CA nicht nur ein Privatsphären-Problem sondern ein veritables Sicherheitsloch von bislang kaum abschätzbarem Ausmaß. Schließlich ist Dell einer der größten Hardware-Hersteller und das CryptoAPI nutzen fast alle Windows-Programme, inklusive Internet Explorer, Edge und Chrome. Prominente Ausnahmen sind Mozillas Firefox und Thunderbird, die einen eigenen Zertifikatsspeicher mitbringen.
Schneller Workaround
Noch ist nicht klar, auf wie vielen Dell-Rechnern das eDellRoot-Zertifikat installiert ist; dass wir es gleich auf dem ersten entdeckten, lässt schlimmes befürchten. Und wo es drauf ist, ist Alarm angesagt. Hanno Böck stellt auf seiner Seite tlsfun.de einen Schnelltest bereit, der anzeigt, ob das eDell-Root-Zertifikat installiert ist. Als provisorische Schutzmaßnahme kann man Dells Hintertür-Zertifizierungsstelle selbst das Vertrauen entziehen. Starten Sie dazu den Zertifikats-Manager über den Befehl certmgr.msc. Unter Zertifikate – Aktueller Benutzer / Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate findet sich das fragliche Zertifikat eDellRoot. Der einfachste Workaround ist es, dem Zertifikat die Rechte zu entziehen.
Der einfachste Workaround ist es, dem Zertifikat die Rechte zu entziehen. Vergrößern
Nachdem wir in dessen Eigenschaften, erreichbar über die rechte Maustaste, die Option Alle Zwecke für dieses Zertifikat deaktivieren angewählt hatten, war der Lauscher wieder ausgesperrt. Allerdings ist das mehr ein schneller Workaround denn echter Schutz. Nachdem bislang nicht bekannt ist, wozu dieses Zertifikat eigentlich dient, muss man damit rechnen, dass dieser Schritt Nebenwirkungen haben könnte. Außerdem hatten wir bislang keine Zeit, systematisch zu testen, ob sich Dell nicht auch anderen Stellen weitere Kuckuckseier hinterlassen hat.
Vor einiger Zeit betraf ein ähnliches Problem Lenovo-Notebooks. Dort klinkte sich die Adware Superfish Visual Discovery in verschlüsselte Verbindungen ein, um dort Werbung anzuzeigen; als Nebeneffekt konnten Angreifer über den CA-Schlüssel Lenovo-Systeme kompromittieren. Warum Dell jetzt seine Kunden einer ähnlichen Gefahr aussetzt, ist bislang unbekannt.
Update 24.11.15, 11.26 Uhr: Dell hat auf die Vorwürfe gegen das vorinstallierte Root-CA-Zertifikat reagiert und will ab dem heutigen Tag ein Update zur Verfügung stellen, das das Zertifikat entfernt.
Quelle: HEISE
^MPO