News DNS-Attacke: Manipulierte Router warnen vermeintlich vor Coronavirus

SV3N

Redakteur
Teammitglied
Dabei seit
Juni 2007
Beiträge
11.407

CMDCake

Lt. Commander
Dabei seit
Feb. 2015
Beiträge
1.256
Müsste die Datei dann nicht schon längst im System sämtlicher AV Datenbanken sein und sich daher nicht mehr öffnen lassen ohne Alarm ?
 

Tiu

Rear Admiral
Dabei seit
Sep. 2001
Beiträge
5.452
Nun ja, wenn BruteForce dahintersteckt, dann weil der Benutzername mal wieder einfach bei Admin belassen wurde. :freak:
Aber dann dürften mehr Firmen davon betroffen sein als nur die beiden genannten!
 

leipziger1979

Commodore
Dabei seit
Dez. 2014
Beiträge
4.510
Wie die Router manipuliert werden, ist zur Zeit noch unbekannt. BitDefender vermutet aber, dass dahinter eine Attacke mittels Brute-Force-Methode steckt, bei der unsichere Passwörter von Routern vergleichsweise einfach erbeutet werden können.
Eigentlich sollte der Aufruf der GUI aus dem Internet nicht möglich sein.

Aber auch eine Sicherheitslücke in der Software der Router können die Sicherheitsexperten zur Zeit nicht ausschließen.
Daher wird es wohl eher das sein.

Und wenn man lokal noch einen anderen DNS als den des Routers nimmt dürfte nichts passieren.
 

Tom_123

Lt. Commander
Dabei seit
Okt. 2010
Beiträge
1.476
Zuletzt bearbeitet:

SV3N

Redakteur
Ersteller dieses Themas
Teammitglied
Dabei seit
Juni 2007
Beiträge
11.407
Aber dann dürften mehr Firmen davon betroffen sein als nur die beiden genannten!
Was durchaus möglich ist, sollte tatsächlich eine Brut-Force-Attacke dahinterstecken.

Bislang sind halt nur die bereits genannten Fabrikate aufgefallen, nicht auszuschließen, dass da noch was kommt.

Ich halte eine Sicherheitslücke aber auch für durchaus realistischer.
 

taeddyyy

Ensign
Dabei seit
Jan. 2018
Beiträge
255
Jetzt stellt euch mal vor wie erfolgreich die ganze Aktion wäre wenn die auch nur 5% der Anstrengungen in das Design der Meldung stecken würden :D Wer klickt denn bitte auf sowas?!
 

Retsam-Master

Lieutenant
Dabei seit
Jan. 2019
Beiträge
845
Hi,

deshalb kauft man kein IT-Equiment von diesen Firmen :jumpin:
Dadurch bieten sie meiner Wissens nach eher OpenWRT-Support als bspw. AVM.
Ich finds schon interessant... wenn Produkt XY betroffen ist kommen Leute ABC und machen das Produkt XY schlecht...
Zwei Monate später betrifft es Produkt MNO die leute ABC im Besitz hatten...
Dann kommen Leute EFG und machen Das Produkt MNO schlecht und ABC sagt nichts mehr.

Echt komisch das Leute nicht 5minuten im vorraus denken können und gleich alles schlecht machen was man schlecht machen kann.
Mann hat echt keine eigene Probleme im Leben oder? oder hat man in solch einem Fall zu viel eigene Probleme und versucht Sie zu verschieben?

Ob OWRT, Dlink, Fritzbox, Asus, Cisco, Netgear egal was... jeder hat Probleme.
"auch DU der das gerade list mir egal was DU benutzt DEINE Produkte haben auch Probleme"
Mach sie bitte alle schlecht.

Willst DU nicht? Warum machst du das dann bei anderen Proudukten?

Unglaublich. - Das sowas nicht in die Köpfe deren Leute will.
 

Silverangel

Vice Admiral
Dabei seit
Sep. 2009
Beiträge
6.878
A

A_H

Gast
Ich bilde mir ein, neulich so ein Bildchen mit Link gesehen zu haben und bin mir ziemlich sicher, dass die Provider-DNS-Adressen nicht manipuliert waren. FB 7530.
 

taeddyyy

Ensign
Dabei seit
Jan. 2018
Beiträge
255
Jeder, der sich nicht auskennt und Angst hat?
Die Welt besteht nicht aus lauter Technikaffinen alleswissern.

Leider wird die Angst der Menschen viel zu häufig ausgenutzt. :(
Ja das ist mir schon klar, habe selber mit vielen Endanwender zu tun und es gibt genug die das anklicken. Wollte nur nochmal verdeutlichen dass die Meldung echt schlecht gemacht ist :D
 

fdsonne

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
394
@SV3N
mach doch bitte in solch Art News klar und für jeden offensichtlich erkennbar, wie das mit dem Angriff ausschaut, respektive eben hier, wie man vermutet dass der Angriff erfolgt. Und das nicht erst am Ende im letzten Abschnitt, sondern dick und fett oben am Anfang...

Die Quelle schriebt dazu:
"It’s still unclear how routers are being compromised but, based on available telemetry, it seems that attackers are bruteforcing some Linksys router models, either by directly accessing the router’s management console exposed online or by bruteforcing the Linksy cloud account."

Das heißt konkret, es ist nicht 100% klar wie der Angriff erfolgt, aber er erfolgt scheinbar den Telemetriedaten zur Folge direkt auf das Webinterface oder über eine Cloud-Admin Oberfläche worüber sich der Router administrieren lässt.

Egal wie man es dreht - das ist essentiell wichtig mMn in solchen News zu lesen. Der ganze Beikram, DNS Manipulation hier, Umleitung da, Malwere dort -> eigentlich unwichtig, für die Leute ist es bei sowas wichtig zu wissen wie der Angriff erfolgt!! Und das fehlt leider einfach in Meldungen zu Security Themen häufig oder ist am Ende oder unnötig kompliziert formuliert.


Für die Leute mit den entsprechenden Routern -> nehmt irgend nen Dienst, der Ports scannen kann -> scan auf die eigene Public IP -> gucken ob da was auf ist. Wenn nicht? Ziemlich sicher 99,9% Save. Wenn doch -> abschalten oder sich genau bewusst sein, was da wie läuft und was nicht.
Diese Cloud-Admin Kacke gehört mMn btw. verboten - aber da rede ich wahrscheinlich gegen eine Wand ;) Wer sowas nutzt ist eh dann nicht ganz geschützt vor Zugriffen Dritter... Hier kann man nur generische Accounts mit elend langen PWs und nem Password Manager nutzen. Oder gleich auf Tokens, 2FA oder ähnlichem setzen. Am Besten aber, komplett ausmachen den Unsinn!


Btw. bleepingcomputer.com zur Folge wird hier nicht nur an dem lokalen im Router laufenden DNS Server rumgeschraubt, sondern offenbar auch am DHCP Dienst - denn der Seite zur Folge berichten User darüber, dass ihre Client PCs die IPs als DNS ebenso haben -> was unter Windows ab Vista generell erstmal nur mit höheren Rechten funktioniert. Würde technisch also erstmal einer Sicherheitslücke bedürfen wenn das der User selbst nicht war. Und wenn wer via Admin Recht den DNS lokal ändern kann - dann hat man ehrlich gesagt andere Probleme ;) Bleibt nur DHCP.

Weiterhin wird offenbar der Windows Scan Task zum erkennen ob der Rechner Internet Zugriff hat oder nicht dazu missbraucht -> laut dem Bericht wird die Anfrage umgeleitet. Was ich aktuell nicht greifen kann, wie daraus der Download der App folgen soll -> weil wenn da nix kommt oder das falsche, es öffnet sich da nicht deswegen ein Browser mit dem Hinweis?? Hat das mal wer ausgetestet? Selbst Testen muss ich das jetzt persönlich aber auch nicht ;)
 

Salamimander

Lieutenant
Dabei seit
Okt. 2019
Beiträge
532

deo

Admiral
Dabei seit
Okt. 2005
Beiträge
7.613
Fritzboxen und Speedports sind nicht sicherer. Sie haben allerdings den Vorteil, dass sie nur als Insellösungen in Deutschland und wenigen europäischen Ländern eingesetzt werden und deshalb weniger lukrativ für Manipulationen sind.
 
Top