Sicherheitswoche 19: Bruteforce-Angriffe auf RDP

Der Übergang von Büroangestellten zu einem Remote-Standort hat die Belastung sowohl für öffentliche Webkonferenzen und Filesharing-Dienste als auch für die Unternehmensinfrastruktur erheblich erhöht. Dies sind zwei grundlegend unterschiedliche Probleme. Fehlfunktionen Zoom ist ein Problem eines Dienstes vor dem Hintergrund mehrerer alternativer Anwendungen. Es gibt keinen Ersatz für die firmeneigenen Dienste, der Ausfall der nativen Mail oder des VPN-Servers droht mit schwerwiegenden Folgen. Nicht jeder ist bereit für eine Situation, in der sich die meisten Mitarbeiter außerhalb des mehr oder weniger aufgebauten Unternehmensbereichs befinden.

Die Sicherheit leidet häufig darunter: Der Zugriff auf Server, die zuvor nur geöffnet waren, wenn von der Arbeit im Büro aus geöffnet wurde, Schutzstufen für VPN, E-Mail und Dateispeicher werden entfernt. Eine solch schwierige Situation könnte Cyberkriminelle nicht ausnutzen. Die obige Grafik zeigt genau, wie dies geschieht. Es zeigt das Wachstum in der Zahl von Angriffen mit Brute - Force - Angriffen auf RDP - Server (entsprechend zu Kaspersky Lab). Dies ist Russland, die Studie zeigt auch Grafiken für andere Länder, aber das Bild ist das gleiche: eine Zunahme der Anzahl von Brute-Force-Angriffen zuweilen.

Angreifer verwenden sowohl gängige Standardkennwörter als auch häufig verwendete Codebasisdatenbanken. Für eine gut abgestimmte Unternehmensinfrastruktur ist dies kein Problem, aber die Zeiten sind schwierig, die Belastung der IT-Spezialisten ist hoch und es gibt mehr Möglichkeiten, Fehler zu machen. Die Empfehlungen sind Standard: Verwenden Sie komplexe Kennwörter. Machen Sie den RDP-Server im Idealfall nicht von außen zugänglich. Verwenden Sie die Autorisierung auf Netzwerkebene. Letztes Jahr war es die NLA, die es schwierig machte, schwerwiegende Protokollschwachstellen auszunutzen. Es ist ratsam, RDP überhaupt nicht einzuschließen, wenn ein solcher Zugriff nicht wirklich erforderlich ist.

Was ist sonst noch passiert?

Eine weitere Sicherheitslücke in WordPress-Plugins. In der Erweiterung "Suchen und Ersetzen in Echtzeit" wurde eine CSRF-Sicherheitsanfälligkeit entdeckt, mit der ein schädliches Skript in eine Website eingefügt werden konnte. Drei Plugins, mit denen Sie auf WordPress basierende Bildungsdienste (LearnDash, LearnPress, LifterLMS) erstellen können, weisen eine Reihe von Sicherheitslücken auf, die zur Offenlegung von Informationen, zur Änderung der Benutzerbewertungen und zur Eskalation von Berechtigungen führen, um die vollständige Kontrolle über die Website zu erlangen .

Datenbanken von gehackten Zoom-Benutzerkonten werden im Cyber-Untergrund frei verkauft. Einer der ersten Fälle, in denen eine eher bescheidene Sammlung von Anmeldungen und Passwörtern auftauchte, wurde Anfang April registriert . Letzte Woche waren bereits 500.000 Konten verfügbar. Datenbanken werden entweder sehr billig verkauft oder in der Regel kostenlos verteilt. Aufgrund des kurzlebigen Charakters von Newsgroups besteht die Hauptbedrohung für solche Lecks in der Entwicklung eines Angriffs auf andere Netzwerkdienste des Unternehmens. Es gibt aber noch andere Möglichkeiten: Letzte Woche hat die Financial Times einen Reporter entlassen, der in konkurrierenden Medien über finanzielle Probleme schrieb. Er wurde auf diese Probleme aufmerksam, nachdem er sich mit einer schlecht geschützten Webkonferenz verbunden hatte.

Die Entwickler des Shade-Ransomware-Trojaners haben 750.000 Schlüssel auf GitHub veröffentlicht, um die Daten mit der Signatur zu entschlüsseln: „Wir entschuldigen uns bei allen Opfern des Trojaners.“ Ein Experte von Kaspersky Lab bestätigte (siehe Tweet oben), dass die Schlüssel funktionieren.

Eine große Sicherheitslücke in der Cisco IOS XE-Software betrifft SD-WAN-Router.

Ein massiver Phishing-Angriff richtet sich an Benutzer des Microsoft Teams Collaboration Service.

F-Secure beschrieb ausführlich die Sicherheitslücke in Salt Software , einem Open Source- Projekt zur Verwaltung der Serverinfrastruktur.