News Angriff auf Regierungsnetz: Hacker nutzten offenbar Lücke in MS Outlook

[Corros1on]

@scryed

Ein bisschen mehr Qualität würde ich schon gerne von CB erwarten, weil solche Themen eher in ihrem Fachgebiet liegen.

"Namendlich nicht genannte Sicherheitsforscher" oder "aus gesicherten Quellen" sind aus meiner Sicht nur Floskeln, um seriös behaupten zu können, dass es der Wahrheit entsprechen könnte aber auch frei erfunden, weil man immer noch behaupten kann seine Quellen zu schützen.

Dass weiß ich aus gesicherten Quellen

 

[Marflowah]

Aber Limux in München abschaffen und zurück zum Windows ist das einzig richtige.

 

[Kakadu]

Bin schon lange von Outlook zu Thunderbird gewechselt.

 

[Fragger911]

Wieso sollte Hackback juristisch problematischer sein als ein physischer Vergeltungs-/Gegenschlag mit Militärequipment nach einem physischen Angriff durch eine fremde Macht?
Taktische und strategische Probleme gibt es wohl bei der Identifikation der Ziele und dem zu gehenden Weg, aber juristisch ist das doch kristallklar.

Ich meine, es wurden schon Kriege angezettelt und Länder angegriffen aufgrund offensichtlich falscher Informationen.
Und hier ziert man sich eine Gegenwehr überhaupt in Erwägung zu ziehen?

 

[Trefoil80]

Opensource rockt!

Ich empfehle übrigens die ARD-Doku "Das Microsoft-Dilemma".
http://www.daserste.de/information/...s/videos/das-microsoft-dilemma-video-100.html

 

[engine]

Ich bin über das unten Fett markierte gestolpert, es geht eigentlich gar nicht um ein Lücke in Outlook grundsätzlich (siehe Anhang-Behandlung und eventuelle Lücken), sondern um die Schadsoftware, die schon auf Rechnern war, denn diese ist das Übel. Ich denke auch, das Regierungsnetz könnte durch kriminelle vor Ort unterwandert sein.


Hier die Langform der "vermuteten Tatsache" :

... So schicken die Turla-Hacker eine E-Mail an einen Rechner, den sie bereits mit Schadsoftware infiziert haben. Denn nach der Infektion müssen die Angreifer die für sie interessanten Daten auch irgendwie aus den abgeschlossenen Netzen herausbekommen. Hackergruppen versuchen in der Regel, über das Internet verschlüsselte Verbindungen zu einem Server aufzubauen und die Daten aus dem geschützten Bereich direkt dorthin zu schicken. Über diese Infrastruktur kommunizieren sie von außen mit ihrer Schadsoftware. In den Netzen des Auswärtigen Amtes sollen nach SZ-Informationen solche Verbindungen aber blockiert werden. Der einzige Weg nach draußen führt demnach über Mails. Also dürfte auch die Kontrolle der Schadsoftware über Mails gelaufen sein.

Die Mail, die die Angreifer an den schon infizierten Rechner schicken, enthält einen Anhang. Solche Anhänge werden von Outlook heruntergeladen, ohne dass der Nutzer mit ihnen interagieren muss. In diesen Dokumenten - es ist unklar, um welchen Typ es sich handelt, etwa PDF oder Doc - sind versteckte Informationen enthalten. Das sind Befehle wie: "Hacke den nächsten Rechner, verschicke ein Dokument!"

Das heißt: Die Schadsoftware, die sich auf dem infizierten Rechner befindet, bleibt zunächst passiv. Sie scannt das Postfach und wartet auf Instruktionen. Eine Sprecherin von Microsoft wollte den Fall auf Nachfrage "zu diesem Zeitpunkt nicht kommentieren."

Die Personen, mit denen die SZ über die Schadsoftware gesprochen haben, wollen anonym bleiben, da der Hack der Bundesregierung "ein verdammtes Pulverfass" sei. ...

http://www.sueddeutsche.de/digital/...cker-daten-aus-dem-auswaertigen-amt-1.3894534

Nebenbei:
Anhang-Behandlung:
https://support.microsoft.com/de-de...-the-following-potentially-unsafe-attachments

 

[leipziger1979]

Hacker nutzten offenbar Lücke in MS Outlook

Die verschlüsselten Befehle wurden mittels einer Datei im Mail-Anhang verschickt.

Ein eMail Anhang ist also jetzt schon eine Sicherheitslücke ?
Was ist das für ein Argument ?

Weil auch jedes andere Mail Programm grundsätzlich keine Möglichkeit bietet Mail Anhänge zu öffnen ?

 

[Tronx]

Aha, also wird einfach mal so zugegeben was sie an Programmen haben? Kommt schon, das glaubt ihr doch selbst nicht.

 

[Mega-Bryte]

Also wirklich, wie könnt ihr als CB-Redaktion nur dem BSI in den Rücken fallen und eine News bringen, in der mal wieder gezeigt wird, wie unsicher Microsoft Produkte sein können?!

Also ich find's Klasse, weiter so, da capo, bravo, Zugabe!!!! Stellt dem bearbeitenden Journalisten aber ne Sicherheitscrew beisiete, damit er den nächsten Tag noch erlebt. ^^

 

[nebulus]

Bei uns wird komplett von Linux auf Windows10 migriert, 1000 Clients. Ganz egal wieviele negative Schlagzeilen kommen, oder wie unsicher Windows ist, usability kommt immer vor Security.

 

[startaq]

Bei uns wird komplett von Linux auf Windows10 migriert, 1000 Clients. Ganz egal wieviele negative Schlagzeilen kommen, oder wie unsicher Windows ist, usability kommt immer vor Security.

Naja, wird sich dann zeigen wenn der komplette Betrieb wegen Ransomware lahm liegt und der Schaden bei ein paar Millionen/Tag liegt.

 

[halbtuer2]

Was erwartet man denn von gelangweilten Staatsdienern?
Das sie genauso handeln wie ihr Staatsoberhaupt Mutti.
Und die würde auch jeden Anhang sofort öffnen, damit sie weiterhin Bundeskanzler bleiben darf.
Kein Rechtschreibfehler, ich meinte Bundeskanzler, männliche Form.

 

[UrlaubMitStalin]

Hauptsache in München wird wieder auf M$ gesetzt.... in dieser freien Software liegt kein Segen... die wird viel zu oft gehackt und ist einfach in der Anschaffung zu teuer... und die Hardware-Anforderungen sind auch völlig wahnsinnig.

Eigentlich könnten die deutschen Behörden einen Blanko-Scheck an M$ schicken... die zahlen doch eh jeden Preis für den US-Trojaner.

Ergänzung (7. März 2018)

Bei uns wird komplett von Linux auf Windows10 migriert, 1000 Clients. Ganz egal wieviele negative Schlagzeilen kommen, oder wie unsicher Windows ist, usability kommt immer vor Security.

Gelächter...
Massenträgheit sag ich nur.
Ich werde in meinem Bekanntenkreis jedenfalls den Support für Windows 2020 einstellen... wenn die Hilfe haben wollen, dann sollen sie sich nen Linux installieren lassen.

 

[Lando66]

Aus eigener Erfahrung als Administrator in einem mittelgroßen Firmennetzwerk habe ich festgestellt, dass Schadsoftware stets dann in das Firmennetz gelangt ist, wenn Anwender ihre persönlichen Mailkonten abgerufen haben und dort auf Phishing reingefallen sind oder verseuchte Dokumente von Kunden angeschleppt haben.

Aus dem Grund läuft der Virenscanner auf verschärfter Stufe, es kommen keine Fremdrechner an das Netzwerk und das Abrufen von Mails über die gängigen private Webportale ist blockiert. Diskussionen bezüglich Microsoftprodukten oder Alternativen führen nicht zum Ziel. Je nach Kundenumfeld hat man nicht die Wahl und in den meisten Fällen ist eh primär der Nutzer das Problem. Etwas Mitdenken hat noch nie geschadet.

In einem Netzwerk der Regierung sollten andere Regeln gelten. Was die Mitarbeiter zuhause nutzen, ist deren Bier. Ein gesichertes Netzwerk sollte wie der Name schon sagt entsprechend gekapselt sein und nicht ohne weitere von Außen zugänglich sein. Für die normalen Netzwerke der Regierungsstellen sollte gelte, dass private Geräte hier nichts zu suchen haben und nur zugelassene Computer mit entsprechenden funktionsorientierten Berechtigungen ausgestattet werden.

Im Pharmabereich wird das von den Zulassungsbehörden schon lange gefordert und umgesetzt. Mit einem BSI im Rücken sollte auch unsere Regierung das auf die Reihe bekommen.

Das ist schon mehr als peinlich; das ist grundsätzlich fahrlässig!

 

[areiland]

@Lando66
Eben! Und den Outlook Posteingang kann man schon mit einem Powershell Script mitlesen und auf Dateianhänge mit bestimmten Stichwortkombinationen im Dateinamen reagieren. Die Lücke, die liegt da eher in der Administration, die sowas sehenden Auges zulässt.

 

[engine]

"Administratoren", wenn sie keine Experten sind, sind mit Microsoft hoffnungslos überfordert.
Bei Microsoft gilt halt, alles ist zugelassen, wer beschränken möchte, muss sich schon auskennen.
Microsoft im Unternehmensnetz ist die Lücke.

 

[Corros1on]

Ein unfähiger Mechaniker gibt immer dem Werkzeug die Schuld

Bei Überforderung oder Unfähigkeit des Administrator ist der Administrator die Schwachstelle.

Selbst ein anderes OS ist faktisch nicht vor ungeeignete Administrator sicherer.

 

[Lando66]

@Lando66
Eben! Und den Outlook Posteingang kann man schon mit einem Powershell Script mitlesen und auf Dateianhänge mit bestimmten Stichwortkombinationen im Dateinamen reagieren. Die Lücke, die liegt da eher in der Administration, die sowas sehenden Auges zulässt.

Einen echten Profi, der alle Lücken kennt, kann vermutlich keiner aufhalten. Es zielt daher immer auf eine Abwägung zwischen Nutzen, Aufwand und Wahrscheinlichkeit hinaus. Das primäre Ziel ist zunächst, keinen Angreifer in das Netzwerk zu lassen. Hier kann man sich Netzwerkprofis holen, die das eigene Netzwerk nach typischen Schwachstellen abklopfen. Dann bleibt noch die Möglichkeit, alle bekannten Gefahren zu blocken. So sorge ich dafür, dass die offensichtlich verseuchten Mails aus dem System rausbleiben. Die Bösen sind aber auch nicht blöd und verschicken zwischenzeitlich Mails mit Texten, die dem Virenscanner nicht gleich gefährlich vorkommen. Statt dessen sind Links enthalten, die aus dem sicheren Gehäuse rausführen und so Schadsoft reinholen. Da hilft nur gesunder Menschenverstand bei der Bewertung, ob ich den Absender kenne, die Info angefordert habe oder der Sachverhalt plausibel ist. Da muss man manchmal zurückhaltend bleiben.
Ist die Schadsoftware erst mal auf dem eigene Rechner, dann ist der Anwender der Dumme. Hier ist entscheidend, wie hoch die Rechte des jeweiligen Anwenders sind und wie weit sich der Angreifer über die lokalen Daten und Netzwerklaufwerke hermachen kann. Ein Netzwerk, in dem viele Anwender globale Schreibrechte haben, ist selbstverständlich tödlich. Genauso blöd ist auch, als Admin ständig mit globalen Adminrechten arbeitet. Man ja auch selbst mal bei Prüfen reinfallen.
Unauffällige Schnüffler, die nur lesen, um Informationen abzugreifen, fallen meist erst auf, wenn sie unerwartet Last erzeugen oder viele Logeinträge verursachen, wenn sie Zugänge abklopfen und scheitern. Aber wenn ein BSI nicht in der Lage ist, ein Regierungsnetzwerk zu sichern, welche Chancen habe ich dann als "normaler" Firmenadministrator?

 

[Mega-Bryte]

Eigentlich könnten die deutschen Behörden einen Blanko-Scheck an M$ schicken... die zahlen doch eh jeden Preis für den US-Trojaner.

Da Deutschland ein Vasallenstaat der USA ist, haben wir eh nicht viel zu lachen. Man sollte sich mal schlau machen, was bei den 4+2-Gesprächen ausgemacht wurde ... unter anderem wurde wohl festgelegt (Quelle: eine Reportage im Öffi), dass BRD und DDR sich wiedervereinigen dürfen, man aber von Seiten der ehemaligen Siegemächte eine Überwachung von wenigstens 50 Jahren angesetzt hatte. Was glaubst du wohl, ist der Grund, wieso alle bis auf die Amis ihre Militärs abgezogen haben und Deutschland nur ne Lachnummer als Bundeswehr hat!

Wir zahlen jeden Preis. Immer und gerne. Oder wir bekommen wieder Besuch!