Vorsicht Sicherheitsrisiko: aktuelle Warnungen des BSI

Stand: 19.06.2023

In der aktuellen Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben.

Kritische Schwachstelle in Microsoft SharePoint Server

Im Rahmen seinen monatlichen Patchdays hat Microsoft Mitte Juni zahlreiche, teils kritische Schwachstellen veröffentlicht. Darunter ist unter anderem der Patch für eine „Microsoft SharePoint Server Elevation of Privilege Vulnerability“. Mittels manipulierter JWT-Authentifizierungs-Tokens können Angreifer die Authentifizierung umgehen und Benutzerrechte erhalten. Von der Schwachstelle sind alle Versionen von Microsoft SharePoint Server 2019 betroffen.

Weitere Schwachstellen mit einer Bewertung des Schweregrads von „hoch“ oder „kritisch“, die im Juni-Patchday von Microsoft geschlossen werden, sind unter anderem:

• Microsoft Exchange Server Remote Code Execution Vulnerability. Die Schwachstelle betrifft Exchange Server 2019 und Exchange Server 2016.
• Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability. Die Schwachstelle betrifft einen Dienst (MSMQ) (TCP-Port 1801), der in Applikationen genutzt werden kann.
• Windows Collaborative Translation Framework Elevation of Privilege Vulnerability. Die Schwachstelle könnte im Rahmen einer Attack-Chain ausgenutzt werden.

Das BSI empfiehlt, die veröffentlichten Patches zeitnah zu prüfen, besondere Priorität sollte dabei die Schwachstelle im SharePoint Server haben. Die weiteren Updates sollten ebenfalls zeitnah gesichtet werden.

Ausnutzung einer kritischen Schwachstelle in Fortinet SSL-VPN

Mitte Juni veröffentlichte das Unternehmen Fortinet ein Security Advisory zu einer kritischen Schwachstelle im SSL-VPN-Dienst von FortiOS und FortiProxy. Es handelt es sich um eine Heap-Speicherüberlaufschwachstelle im SSL-VPN-Dienst, die es unautorisierten Angreifern erlaubt, Schadcode auf dem System oder Befehle über speziell geformte Anfragen auszuführen. Das BSI bewertet die Schwachstelle als sehr kritisch, da sie entfernten Angreifern ermöglicht, Code einzuschleusen und die Authentifizierung inklusive Multi-Faktor-Authentifizierung zu umgehen. Der Anbieter hat bereits Sicherheitsupdates zum Schließen der Schwachstelle bereitgestellt.

Ausnutzung einer Schwachstelle in MOVEit Transfer

Der Hersteller Progress machte Ende Mai 2023 eine kritische Schwachstelle in seinem Softwareprodukt MOVEit Transfer öffentlich. Die Ausnutzung der Schwachstelle erlaubt eine Eskalation der Privilegien und einen unautorisierten Zugriff auf das Dateisystem. Das BSI hat beobachtet, dass die Schwachstelle ausgenutzt wurde – mit bestätigtem Datenabfluss. Hinweise auf eine Ausnutzung der Schachstelle mittels Malware gab es bis jetzt nicht, das BSI schließt dies für künftige Angriffe allerdings nicht aus. Mittlerweile hat der Anbieter auch zu allen betroffenen Versionen Sicherheitsupdates bereitgestellt, ebenso IoCs, die zur Prüfung auf eine Kompromittierung genutzt werden sollten. Das BSI empfiehlt, dies Updates unverzüglich zu installieren.

Schwachstellen in Cisco Switches

Bei Cisco wurden mehrere Schwachstellen in verschiedenen Produktfamilien von Switches bekannt, welche die web-basierte Benutzeroberfläche zur Verwaltung betreffen. Hierzu ist auch ein Proof-of-Concept Exploit-Code verfügbar. Der Anbieter veröffentlichte Mitte Mai 2023 ein Advisory zu den Schwachstellen. Vier der Schwachstellen erlauben nicht-authentifizierten Angreifern die Ausführung von beliebigem Programmcode mit root-Rechten durch unzureichende Prüfung von Anfragen, die zu Speicherüberläufen (CWE-120) in CiscoSmall Business Series Switches führen. Um die Schachstellen ausnutzen zu können, muss der Angreifer eine präparierte Anfrage an die web-basierte Benutzeroberfläche schicken. Zudem existieren weitere Schwachstellen, die unter anderem Denial-of-Service (DoS-)Angriffe ermöglichen. Diese werden mit dem bereitgestellten Patch ebenfalls geschlossen.

Das BSI empfiehlt, die von Cisco veröffentlichten Informationen zu sichten und zu prüfen, ob und welche Komponenten die Verwender nutzen. Zudem sollten die bereitgestellten Patches zeitnah installiert werden. Von dem Einsatz nicht mehr unterstützter Produkte des Anbieters wird abgeraten, da hier keine Sicherheitspatches zur Verfügung gestellt werden.

Bedrohung durch „Smishing“ immer noch hoch

Das BSI warnt immer noch vor SMS-Phishing, kurz Smishing. Bei dieser Betrugsmethode versuchen Cyberkriminelle über SMS-Nachrichten Smartphone-Nutzer mit betrügerischen SMS entweder zur Übermittlung persönlicher Daten zu verführen oder Schadsoftware auf den Geräten zu installieren. Um ihr Ziel zu erreichen, platzieren die Kriminellen in den SMS-Nachrichten meist einen Link.

Folgendes ist hierbei zu beachten:

• nicht auf den Link klicken
• Absender/in sofort in den Kontakten sperren
• über Mobilfunk-Anbieter die sogenannte Drittanbietersperre aktivieren
• neue Apps ausschließlich über die offiziellen App-Stores herunterladen
• bei Geräten mit Android-Betriebssystem den Download von Apps aus unbekannten Quellen in den Einstellungen des Geräts deaktivieren
• regelmäßige Installation aller angebotenen Updates für Ihre mobilen Geräte

Neue Bedrohungen durch „Quishing“

Aktuell warnt das BSI zusätzlich noch vor einer neuen Variante des Onlinebetrugs, dem sogenannten „Quishing“. Bei dieser Form des Betrugs handelt es sich um Phishing über QR-Codes. Bisherige Sicherheitslösungen scannen Anhänge und URLs in E-Mails. Auf diese Weise werden bereits viele Phishing-Links herausgefiltert. Beim „Quishing“ versagen diese Schutzmechanismen allerdings, da QR-Codes als Bilder und nicht als Texte verarbeitet werden. Die aktuellen Fälle finden vor allem im Zusammenhang mit dem Cloud-Service Microsoft 365 statt. Hierbei versuchen Cyberkriminelle zunächst Nutzerdaten für diesen Dienst zu erbeuten. In einem zweiten Schritt werden die Opfer auf eine täuschend echt aussehende, aber gefälschte Login-Seite für Microsoft 365 geleitet.

Um nicht in diese Falle zu tappen, sollte folgendes beachtet werden:

• E-Mails vor dem Öffnen stets auf Plausibilität prüfen
• bei Verdacht auf eine Phishing-Nachricht
  • keine Anhänge öffnen
  • keine Links klicken
  • keine QR-Codes scannen