News Krypto-Virus: Angriff legt 3.100 Server bei MediaMarkt und Saturn lahm
- Ersteller Frank
- Erstellt am
- Zur News: Krypto-Virus: Angriff legt 3.100 Server bei MediaMarkt und Saturn lahm
Ranayna
Vice Admiral
- Registriert
- Mai 2019
- Beiträge
- 6.537
Puh, ich weiss jetzt nicht, wie oft ich hier das Problem noch erlaeutern soll, anhand des Beispiels Print Nightmare.
Zur Erinnerung: Es wurde eine Luecke im Windows Print Spooler Service gefunden, die es ermoeglicht hat, jeden Rechner auf dem der Print Spooler Service laeuft, remote und ohne authentifizierung am Server selber vollstaendig zu uebernehmen.
Und der Print Spooler laeuft by default auf allen Windows Maschinen. Von der 08/15 Workstation bis hin zu den Domain Controllern.
Microsoft hat mindestens 3 Patche gebraucht um das Problem entgueltig zu beheben, und hat im Zuge dieser Patche sehr viele aeltere Druckertreiber ausser Gefecht gesetzt.
Viele Kryptogruppen sind eine ganze Weile in den betroffenen Netzen unterwegs. Da sind etliche Leute die sich erstmal einfach nur umschauen. Man will ja wissen was zu holen ist. Das kann auch durchaus Wochen oder gar Monate dauern. Klar wird das Entdeckungsrisiko hoeher wenn man laenger "rumlungert", aber wenn man es zB auch auf Backups abgesehen hat muss man halt mal laenger schauen.
Wir haben hier also moeglicherweise eine Verkettung. MMS als Unternehmen mit weit verteilter IT konnte moeglicherweise die Print Nightmare Patches nicht sofort vollumfaenglich verteilen. Denn die Patches hatten teilweise die kleine "Nebenwirkung" das die User zum Drucker-Verbinden Adminrechte brauchten. Und MMS muss drucken, an jeder Workstatopn haengt ein Drucker...
Das Verbunden mit einer laengeren Verweildauer der Hacker stellt aus meiner Sicht ein moegliches Szenario dar. Denn wenn die Angreifer einmal drin sind, und ueber Print Nightmare Domain Admins sind, helfen die Patche nicht mehr.
Aehnliches mit den Exchange Luecken vor 'nem halben Jahr. Die war bekannt, wurde aktiv ausgenutzt, dann kam der Patch. Auch hier wieder: der erste Patch war nicht vollstaendig, es brauchte zwei. Workarounds schraenken die Funktionalitaet ein und legen potenziell den E-Mail Verkehr lahm. Also dauert es bis die eingespielt werden.
Und auch hier: Wenn der Exchange erstmal infiziert ist, helfen die Patche nicht. Es gibt Scripts den den gaengigen "Hafnium" Exploit zu erkennen, aber Hafnium war bestimmt nicht alles. Alleine in Deutschland waren mehr als 10.000 Exchange Server verwundbar, wie ein Scan ein paar Tage nach Release des ersten Patches ermittelt hat.
Das sind nur 2 grosse Zero-Day Luecken die im letzten halben Jahr bekannt geworden sind. Es weiss niemand was da noch alles rumschwirrt. Und es kann ein einziger verwundbarer Service reichen, um geknackt zu werden.
Ich glaube den meisten Leuten hier ist nicht klar wie umfangreich und komplex eine IT-Infrastruktur werden kann, und wie aufwendig es ist diese zu betreiben.
Es gibt Mittel und Wege moegliche Einfallstore zu verschliessen. Aber man will ja auch noch mit dem System arbeiten. Denn nur ein ausgeschaltetes System ist ein sicheres System
Und wenn dann noch der Faktor Mensch dabei ist...
zB ein Geschaeftsfuehrer der unbedingt auf saemtliche Systeme Schreibzugriff haben will, weil "Mir gehoert der Laden ja", dann kann die IT noch so gut sein, die Katastrophe ist nur einen Mausklick entfernt.
Ich will garnicht abstreiten das die MMS IT vielleicht wirklich Mist gebaut hat. Das obige ist (wilde) Spekulation. Aber dieses blinde rumgebashe das sowas in einem richtig gefuehrtem Laden nicht passieren kann ist einfach nur Quatsch. Es kann jedem passieren.
Zur Erinnerung: Es wurde eine Luecke im Windows Print Spooler Service gefunden, die es ermoeglicht hat, jeden Rechner auf dem der Print Spooler Service laeuft, remote und ohne authentifizierung am Server selber vollstaendig zu uebernehmen.
Und der Print Spooler laeuft by default auf allen Windows Maschinen. Von der 08/15 Workstation bis hin zu den Domain Controllern.
Microsoft hat mindestens 3 Patche gebraucht um das Problem entgueltig zu beheben, und hat im Zuge dieser Patche sehr viele aeltere Druckertreiber ausser Gefecht gesetzt.
Viele Kryptogruppen sind eine ganze Weile in den betroffenen Netzen unterwegs. Da sind etliche Leute die sich erstmal einfach nur umschauen. Man will ja wissen was zu holen ist. Das kann auch durchaus Wochen oder gar Monate dauern. Klar wird das Entdeckungsrisiko hoeher wenn man laenger "rumlungert", aber wenn man es zB auch auf Backups abgesehen hat muss man halt mal laenger schauen.
Wir haben hier also moeglicherweise eine Verkettung. MMS als Unternehmen mit weit verteilter IT konnte moeglicherweise die Print Nightmare Patches nicht sofort vollumfaenglich verteilen. Denn die Patches hatten teilweise die kleine "Nebenwirkung" das die User zum Drucker-Verbinden Adminrechte brauchten. Und MMS muss drucken, an jeder Workstatopn haengt ein Drucker...
Das Verbunden mit einer laengeren Verweildauer der Hacker stellt aus meiner Sicht ein moegliches Szenario dar. Denn wenn die Angreifer einmal drin sind, und ueber Print Nightmare Domain Admins sind, helfen die Patche nicht mehr.
Aehnliches mit den Exchange Luecken vor 'nem halben Jahr. Die war bekannt, wurde aktiv ausgenutzt, dann kam der Patch. Auch hier wieder: der erste Patch war nicht vollstaendig, es brauchte zwei. Workarounds schraenken die Funktionalitaet ein und legen potenziell den E-Mail Verkehr lahm. Also dauert es bis die eingespielt werden.
Und auch hier: Wenn der Exchange erstmal infiziert ist, helfen die Patche nicht. Es gibt Scripts den den gaengigen "Hafnium" Exploit zu erkennen, aber Hafnium war bestimmt nicht alles. Alleine in Deutschland waren mehr als 10.000 Exchange Server verwundbar, wie ein Scan ein paar Tage nach Release des ersten Patches ermittelt hat.
Das sind nur 2 grosse Zero-Day Luecken die im letzten halben Jahr bekannt geworden sind. Es weiss niemand was da noch alles rumschwirrt. Und es kann ein einziger verwundbarer Service reichen, um geknackt zu werden.
Ich glaube den meisten Leuten hier ist nicht klar wie umfangreich und komplex eine IT-Infrastruktur werden kann, und wie aufwendig es ist diese zu betreiben.
Es gibt Mittel und Wege moegliche Einfallstore zu verschliessen. Aber man will ja auch noch mit dem System arbeiten. Denn nur ein ausgeschaltetes System ist ein sicheres System
Und wenn dann noch der Faktor Mensch dabei ist...
zB ein Geschaeftsfuehrer der unbedingt auf saemtliche Systeme Schreibzugriff haben will, weil "Mir gehoert der Laden ja", dann kann die IT noch so gut sein, die Katastrophe ist nur einen Mausklick entfernt.
Ich will garnicht abstreiten das die MMS IT vielleicht wirklich Mist gebaut hat. Das obige ist (wilde) Spekulation. Aber dieses blinde rumgebashe das sowas in einem richtig gefuehrtem Laden nicht passieren kann ist einfach nur Quatsch. Es kann jedem passieren.
Das könnte für MMS der Dolchstoß gewesen sein. Dem Unternehmen geht es schon länger nicht mehr gut, Corona hat die Situation eher verschärft, da der Umsatz online nicht eingeholt werden konnte. Es hat seinen Grund wieso beispielsweise Media Markt einen sehr langen Aktionszeitraum für Rabatte gewählt hat. Inwiefern man bei der IT-Sicherheit fahrlässig gehandelt hat, das weiß ich nicht. Das Ganze könnte letztlich dafür sorgen, dass etliche Menschen ihre Jobs verlieren, die wahrscheinlich noch gehofft haben, dass man dieses Jahr irgendwie wird retten können.
nutzername
Ensign
- Registriert
- Juli 2014
- Beiträge
- 223
Das fasst die 11 Seiten top zusammen. Ich werfe es mal in den Raum: Die Mehrheit der Kommentator-innen, welche hier einfach auf Fahrlässigkeit und mangelnde IT-SEC pochen, haben entweder gar keinen Job in der IT oder sind eher sowas wie Systemintegratoren.Ranayna schrieb:
Internet ist nicht nur immer noch Neuland für Deutschland sondern auch für viele "IT affine" Menschen, sogar in IT Foren.
Von Infrastruktur und den Aufwänden im großen haben sie keine Ahnung. Ein kleiner Teil sind vielleicht noch Whitehats im aufstrebenden Alter, wo sie noch glauben es besser machen zu können als all die anderen, fehlerlos und jeglichen Exploits sowie guten Planungsaufwänden und mehfach vektorierten Angriffen meilenweit voraus.
Was sind schon Amazon, Google, Sony, Valve - natürlich muss das hier sogar ein MMS besser machen, in einem Ökosystem wo egal ob open oder closed source systeme nicht nur Zero Days länger als Wochen oder Monate ausgeliefert sind, sondern auch noch alte Lücken neu aufgebrochen werden! Zusätzlich drückt die Macht von software as a service immer mehr durch aber natürlich NUR für die anderen! Mittlerweile sind die Menschen noch nichtmal zu einem simplen Plattformwechsel von ihrem Mobiltelefon in der Lage - aber große Unternehmen sollen das alles besser machen.
Da kann man leider nicht mal mehr facepalmen weil man den ganzen Tag blind in der Ecke sitzen müsste.
Mcr-King
Vice Admiral
- Registriert
- Juli 2016
- Beiträge
- 7.071
nutzername schrieb:
Ja und nein ich habe recht viel Ahnung trotzdem es geht auch immer um die Kosten dass ist Fakt,
will jetzt nicht zu genau ins Detail gehen Hauptproblem ist und bleibt der kosten Faktor.
Einfache Rechnung mehr Sicherheit nur durch mehr Kosten ist wirklich so und du sollst dann immer Abwegen was sich lohnt und wo gespart wird, des weiteren auch grade die obere Manger Ebene oder Chef Etage sagt muss dass sein und du musst es verteidigen oder ihm erklären. Trotzdem manchmal machen sie dann Sachen wo du dich nur fragst echt warum, ein guter Chef würde sich nicht ein mischen leider machen es die meisten.
Meine Persönliche Erfahrung könnt gerne eure auch Teilen dazu.
Captian Teemo
Cadet 3rd Year
- Registriert
- Juli 2013
- Beiträge
- 57
[IMG]https://s.keepmeme.com/files/en_posts/20200902/and-we-are-off-to-the-comments-section-let-s-see-what-the-experts-think-48588ee0d141f739526aabaa96cb53d3.jpg[/IMG]
Wurde das bereits gepostet?
Wenn nicht, ein passender Vergleich. Solange keine IoCs und/oder Postmortem bekannt ist, weiß "niemand" was genau passiert ist.
Die Frage in solchen Fällen ist auch immer: Solche großen Unternehmen sind "NATÜRLICH" Ziel von gezielten Angriffen. Das bedeutet es kann auch ein BEC Angriff erfolgen (Business Email Compromisse). Man schaut nach, wer ist der Geschäftsführer, forged die Email und greift gezielt Leute im Unternehmen an, die dann auf diese Emails klicken bzw. etwas tun.
Gibt genug Berichte, wie das weltweit funktioniert.
Oder wie hier bereits angesprochene 0-Day Angriffe in ungepatchte Systeme oder andere Angriffsvektoren.
Ich habe mit Kunden zu tun gehabt, die hatten einen Angreifer seit über 4 Jahren im eigenen Netzwerk (zumindest konnten wir Traces davon nachverfolgen).
Aber hauptsache es wird nur vermutet "Es war ein Mitarbeiter*in, der auf einen Anhang klickt".
Ich würde jedem, der IT-Security als "Schlangenöl" bezeichnet mal einen wirklichen Hackathon empfehlen.
Wurde das bereits gepostet?
Wenn nicht, ein passender Vergleich. Solange keine IoCs und/oder Postmortem bekannt ist, weiß "niemand" was genau passiert ist.
Die Frage in solchen Fällen ist auch immer: Solche großen Unternehmen sind "NATÜRLICH" Ziel von gezielten Angriffen. Das bedeutet es kann auch ein BEC Angriff erfolgen (Business Email Compromisse). Man schaut nach, wer ist der Geschäftsführer, forged die Email und greift gezielt Leute im Unternehmen an, die dann auf diese Emails klicken bzw. etwas tun.
Gibt genug Berichte, wie das weltweit funktioniert.
Oder wie hier bereits angesprochene 0-Day Angriffe in ungepatchte Systeme oder andere Angriffsvektoren.
Ich habe mit Kunden zu tun gehabt, die hatten einen Angreifer seit über 4 Jahren im eigenen Netzwerk (zumindest konnten wir Traces davon nachverfolgen).
Aber hauptsache es wird nur vermutet "Es war ein Mitarbeiter*in, der auf einen Anhang klickt".
Ich würde jedem, der IT-Security als "Schlangenöl" bezeichnet mal einen wirklichen Hackathon empfehlen.
Captian Teemo
Cadet 3rd Year
- Registriert
- Juli 2013
- Beiträge
- 57
Ich habe in paar weltweiten Konzernen mal gesehen, wie das aufgebaut ist. Schaut einfach mal bei Twitter 
Wenn man in der richtigen Blase ist, bekommt man alles mit, Tage bevor es bei deutschen Seiten auftaucht.
Wenn man in der richtigen Blase ist, bekommt man alles mit, Tage bevor es bei deutschen Seiten auftaucht.
ChrissKrass
Lieutenant
- Registriert
- Okt. 2018
- Beiträge
- 832
Die Mitarbeiter tun mir leid den Stress den die dort immer haben, vielleicht haben sie jetzt etwas weniger Stress
screwdriver0815
Lieutenant
- Registriert
- Mai 2018
- Beiträge
- 514
Ich lese hier immer "Makroverseuchte .docx und xlsx per E-mail..."... 
Willkommen im Jahr 2021. Hier gibt es Sharepoints und FTP-Server. Alles andere wird als Phishing reportet. Und dafür gibts ein reporting tool, direkt als Add-on im Outlook.
Aber bei der heutigen Arbeitsbelastung ist es wirklich ein Wunder, dass nicht noch mehr passiert. Auch ist diese ganze Sharepoint-Geschichte mit Zweifaktor-Authentifizierung so undurchsichtig für den User, dass man neben seinem eigentlichen Job überhaupt nicht mehr durchsieht, was nun richtig und was falsch ist. Und? Natürliche Reaktion ist: soll sich die IT darum kümmern. Das ist deren Job und nicht meiner. Wie hier manche Leute verlangen, dass ich als User für die IT mitzudenken habe? Hallo? Wenn dem so ist, können sie mir auch gleich einen Admin-Account freischalten und ihre IT-Abteilung dichtmachen. Kaffee trinken können sie auch zuhause.
Willkommen im Jahr 2021. Hier gibt es Sharepoints und FTP-Server. Alles andere wird als Phishing reportet. Und dafür gibts ein reporting tool, direkt als Add-on im Outlook.Aber bei der heutigen Arbeitsbelastung ist es wirklich ein Wunder, dass nicht noch mehr passiert. Auch ist diese ganze Sharepoint-Geschichte mit Zweifaktor-Authentifizierung so undurchsichtig für den User, dass man neben seinem eigentlichen Job überhaupt nicht mehr durchsieht, was nun richtig und was falsch ist. Und? Natürliche Reaktion ist: soll sich die IT darum kümmern. Das ist deren Job und nicht meiner. Wie hier manche Leute verlangen, dass ich als User für die IT mitzudenken habe? Hallo? Wenn dem so ist, können sie mir auch gleich einen Admin-Account freischalten und ihre IT-Abteilung dichtmachen. Kaffee trinken können sie auch zuhause.
DonConto
Commander
- Registriert
- Juli 2004
- Beiträge
- 2.223
Wenn dein Dach ein Loch hat und es regnet rein, dann ist das kein Angriff. Dann ist das die logische Konsequenz von Schlamperei.
Wenn du ne scheiss IT hast und ne Ransomware legt dir die Bude lahm, dann ist das kein Angriff, dann ist das Schlamperei.
Wenn du ne scheiss IT hast und ne Ransomware legt dir die Bude lahm, dann ist das kein Angriff, dann ist das Schlamperei.
DAS ist die große Frage.Thaxll'ssillyia schrieb:
Ich nehme mal an, dass das vor allem historische Gründe hat, denn nach wie vor ist der "agile Gedanke" - nennen wir ihn mal so - in der deutschen Industrie, oder besser Gesellschaft dezent unterentwickelt.
Klar lernt man aus Fehlern. Das aber besser im verschlossenen Kämmerlein.
Öffentlich? Geht ja mal gar nicht.
Weil:
Es geht vor allem darum, einen Sündenbock zu finden und auf diesen dann möglichst heftig einzudreschen.
Damit verbunden ist die eigene Absolution und nebenbei kann die firma weiterarbeiten.
Ob das weiterhin so zielführend ist, nun da die "Von oben herab" Kultur laaangsam auf dem Rückzug ist, kann man bezweifeln
===========================
UPDATE:
Ich habe da eine interessante Info gefunden:
https://thehackernews.com/2021/11/microsoft-issues-patches-for-actively.html
Kann also gut sein, dass die Jungs/Mädels eigentlich alles richtig gemacht hatten und einfach Pech hatten.
Mein goldener Satz: "including fixes for two actively exploited zero-day flaws in Excel and Exchange Server that could be abused to take control of an affected system."
Softwareproblem. Da kann man nix machen.
... ausser vielleicht endlich mal die Vendors von solcher Schei** zur Rechenschaft ziehen?
Das wäre mal ein Plan.
Ergänzung ()
Richtig. Wenn's ein 0-day war, hast Du die Arschkarte. Egal wie gut Du warst!DonConto schrieb:
Ergänzung ()
Damit würde man ja in fast allen Unternehmen, die Standardsoftware einsetzen, auch jegliche Prozesse lahmlegen.Ezeqiel schrieb:
Ergänzung ()
Der war gut! 😂screwdriver0815 schrieb:
Hell let loose!
Das haben schon die Alteingesessenen Gurus und die GF. Das ist schon schlimm genug.
Allerdings hast Du recht. Die richtige Balance zu finden zwischen Convenience und Sicherheit ist nicht ohne. Und Paranoiker (meist die IT-Security) sind dann lieber auf der sichereren Seite.
@ChrissKrass : WELCHE MA meinst Du? Die von IT-Sec. haben mit Sicherheit mehr Stress. Und zwar so richtig.
Ergänzung ()
Naja, sei nicht so hart.Captian Teemo schrieb:
Die meisten verstehen darunter immer noch Virenscanner, WAF und ein bisschen Routing-Magic in Zusammenhang mit e-mail scanning. Das ist es halt schon lange nicht mehr.
Hackathon ist dann meist für die Entwickler. Für IT-Sec. ist es dann eher CTF, BugBounty etc.
Und da fängt die Spreizung doch schon an:
AppSec? DevSecOps? FW/WAF? NetworkingAppliances, gff. ein SD-WAN? Risk&Compliance? ... und so weiter und so fort. Jetzt noch der ganze Cloud-Scheiß oben drüber. ... buzz buzz buzz.
Da blicken doch nicht mal mehr die Professionals durch.
Du kannst Dich auf ein- zwei Felder Spezialisieren, die angrenzenden kennst so einigermaßen und alles weiter weg überlässt Du den Kollegen, weil fast keiner alles wissen kann.
Zuletzt bearbeitet:
Wer Server egal welcher Art ins Netz stellt, der sollte nicht überrascht sein, dass sie angegriffen werden und Sicherheitslücken beinhalten können. "Schlaue" IT setzt solche Server in eine DMZ, die "oberschlaue" stellt noch mindestens eine WAF davor.Unnu schrieb:
Es gibt heutzutage unzählige Produkte die der Sicherheit dienen, man muss es nur wollen und das Fachwissen dafür haben oder zukaufen.
