Sie sehen gerade einen Platzhalterinhalt von Spotify. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Getränke-Empfehlung

Jens: Cola

Martin: FuzeTea

Gehackte Unternehmen

Klinikum Esslingen

Beim Angriff über einen „Fernzugang“ konnten der oder die Angreifer Schäden auf Servern – vor allem im Bereich Radiologie anrichten. Sehr wahrscheinlich kamen die Angreifer über die als Citrix Bleed bezeichnete Schwachstelle auf die Server des Klinikums. Angreifergruppe ist unklar – wobei in letzter Zeit insb. Lockbit durch das Ausnutzen der Citrix Bleed Schwachstelle aufgefallen ist.

Quellen:

Deegenbergklinik

Klinik in Bad Kissingen, es sind 110 GB an Daten abgeflossen. Hier ist eine neue „Angreifergruppierung“ in Erscheinung getreten – Hunters International. Aktuell sind (ggf.) geleakte Daten nicht aufzufinden – wir bleiben hier dran und schauen ob und wo die Daten in welchem Umfang veröffentlicht werden.

Quelle:

SCHEIDT GmbH & Co. KG

Die SCHEIDT GmbH & Co. KG baut Trafostationen, Schalthäuser und ist seit 100 Jahren am Markt mit ca. 200 Mitarbeitern. Gehackt durch die 8 Base Gruppe – in 2023 eine sehr aktive Gruppe. Mit 11 % aller Angriffe durchaus in derselben Größenordnung wie Lockbit (~18 % aller Angriffe – jeweils weltweit).

Quelle:

Bauwerk Boen

Norwegisch / Deutsch / Internationale Gruppe zum Thema “Parkett”. Auch hier eine „neue“ Angreifergruppe in unserem Podcast, die „Akira-Gruppe“.

Quelle:

Gräbener, Grimme Landmaschinentechnik, Automobilzulieferer aus Süddeutschland, CDTI

Viele weitere Unternehmen ebenfalls betroffen – an dieser Stelle nicht nur kleine Unternehmen. Zu den genannten Unternehmen liegen uns noch keine Details vor, was Angriffspfad und Umfang angeht. Den Sachverhalten müssen wir in den nächsten Wochen nachgehen.

Quellen:

Wirtschaftsdaten von Black Basta

Die Black Basta Gruppe hat seit Anfang 2022 mehr als 100 Mio € Umsatz erzielt. Umgerechnet als ~50 Mio. Euro pro Jahr. Für uns eine Wahnsinnssumme – insb. wenn man bedankt das sehr wahrscheinlich nur eine Minderheit aller Unternehmen zahlt. „Nicht“ zu zahlen ist und bleibt auch unsere Empfehlung. Für die nächste Folge wollen wir einen Fall reinnehmen der 3 Mal von derselben Angreifergruppe gehackt wurde – obwohl er gezahlt hat.

Quelle:

Schwachstellen

iOS, MacOS, …

Für iOS und MacOS gibt es Notfallupdates [iOS 17.1.2]. Es werden zwei Schwachstellen – out-of-bounds und Ausführung von „beliebigem“ Code – durch die Schwachstellen ermöglicht. Apple pusht die Updates auf die Geräte – für Geräte, die zentral verwaltet werden, sollten die Verantwortlichen prüfen, ob die entsprechenden Updates verteilt werden.

Android

An der Schwachstelle sollen entfernte Angreifer ohne spezielle Nutzerrechte ansetzen können. Für eine erfolgreiche Attacke müssen Opfer (anscheinend) nicht mitwirken – nicht einmal der Klick auf einen präparierten Link soll nötig sein. Klappt ein Angriff, kann Schadcode auf Geräte gelangen. Wie so eine Attacke ablaufen könnte, ist derzeit nicht bekannt.

Hier können Angreifer auf eigentlich abgeschottete Informationen zugreifen oder sich höhere Nutzerrechte verschaffen.

VMWare Cloud Director

In der VMWare Cloud Director Appliance gibt es eine Schwachstelle die es ermöglicht die Authentisierung auszuhebeln. Betroffen sind hier insb. VMWare Cloud Director Installationen, die mittels Upgrade (im Gegensatz zu Neuinstallation) auf die aktuelle Version gehoben wurden.

Ursächlich ist hier die unterliegende Bibliothek „sssd“ die im Photon OS nicht aktualisiert wurde im Upgrade-Pfad.

SPECTRE (neu: SLAM) für neue Prozessorvarianten

Der für bisher existierende Prozessorvarianten bereits bekannte SPECTRE – Angriff ist nun auch für neue und kommende Prozessorgenerationen nachgewiesen. SPECTRE nutzt die in modernen Prozessoren vorhandenen „Vorhersagemechanismen“ aus und „zwingt“ den Prozessor Programmcode auszuführen, der eigentlich nie durchlaufen wird.

Für ihren „Proof of Concept“ mussten die Informatiker deshalb auf eine LAM-Softwareemulation zurückgreifen. Mit dieser gelingt es ihnen, innerhalb weniger Sekunden als normaler Linux-Nutzer eine Zeile der Datei /etc/shadow aus dem Speicher auszulesen – die Datei ist nur für den Administrator-Nutzer root zugänglich.

Heise

Quelle:

Atlassian (Confluence, Jira und Bitbucket)

Die On-Premise Installationen von Confluence, Jira und Bitbucket (wieder) mit Schwachstellen – und wieder kritischen. Wir diskutieren im Podcast den mittelbaren „Zwang“ den Atlassian (auch) mit solchen Schwachstellen auf Administratoren ausübt in die Cloud – Instanzen zu wechseln (die nicht betroffen ist).

Chrome

Viele Informationen gibt es derzeit nicht. Klar ist, dass Angreifer durch das Auslösen von Speicherfehlern etwa in Media Stream eigenen Code auf Systemen ausführen können.