Angreifbare Lücken in Remote-Arbeitsumgebungen entdecken

Originalartikel von Trend Micro Research

Arbeits- und Wohnumgebungen werden von Jahr zu Jahr intelligenter, da die Eigentümer neue Technologien einsetzen und alte Geräte kontinuierlich aufrüsten, um sie in modernisierte Umgebungen einzupassen. Dies hat es vielen Berufstätigen ermöglicht, praktisch von zu Hause aus zu arbeiten oder ihr Geschäft zu betreiben. Leider sind ungeschützte Geräte eine leichte Beute für Cyberkriminelle, die sie in ihren Kampagnen einsetzen, um tiefer in die Heimnetzwerke einzudringen. Angreifer, die es auf Smart Home-Geräte abgesehen haben, sind hartnäckig, weil diese Geräte durch weite Verbreitung zu immer leistungsfähigeren und wertvolleren Zielen werden. Der gerade zu Ende gegangene Wettbewerb zur Aufdeckung (und anschließenden Behebung) kritischer Schwachstellen, Pwn2Own 2021 Austin, beinhaltete mehr IoT-Beiträge als je zuvor, um die Sicherheitsprobleme und Angriffsflächen in den smarten Geräten hervorzuheben. Dieselben Geräte, die es Fachleuten ermöglichen, ihre Arbeit von zu Hause aus zu erledigen, können dazu verwendet werden, sich Zugang zu privaten Unternehmensdaten zu verschaffen oder sogar in einer cyberkriminellen Kampagne eingesetzt werden.

Hausbesitzer und Home Worker haben intelligente Drucker, Netzwerkspeicher (NAS), Lautsprecher, intelligente Fernsehgeräte und vieles mehr installiert — die Angriffsfläche des IoT ist groß, und es ist nicht schwer, Sicherheitslücken in den vielen intelligenten Geräten zu finden.

Intelligente Lautsprecher, die zur Steuerung anderer Geräte im Haus verwendet werden können, lassen sich auch dazu missbrauchen, Informationen zu phishen und Nutzer abzuhören. 2020 etwa wurde eine Mirai-Variante entdeckt, die anfällige NAS-Geräte angriff und versuchte, sie in Bots zu verwandeln, die für bösartige Aktivitäten genutzt werden. Auch gab es Ransomware, die auf NAS-Geräte abzielte. Und auch in diesem Jahr wurden mehrere kritische Schwachstellen mit der Bezeichnung PrintNightmare im PrintSpooler-Dienst entdeckt, die alle Windows-Versionen betrafen, auf denen der Dienst läuft.

Angriffsszenarien für Geräte

  • Angriffe über ungeschützte vernetzte Geräte: Cyberkriminelle können kompromittierte Router oder andere vernetzte Geräte nutzen, um sich weiter zu verbreiten.
  • Ausgenutzte Schwachstellen: Cyberkriminelle setzen auf ungepatchte oder veraltete Firmware, um das Gerät zu übernehmen oder zu kompromittieren. Sie können auch eine Kette von mehreren Schwachstellen nutzen, um die Übernahme zu bewerkstelligen.
  • Physische Manipulationen: Cyberkriminelle versuchen, smarte Kameras außerhalb des Hauses zu manipulieren oder verwenden ungeschützte Geräte, um auf das Heimnetzwerk zuzugreifen.

Pwn2Own

In der NAS-Kategorie nutzte ein Team von Pentest Unlimited eine dreifache Fehlerkette, die eine unsichere Umleitung und das Einschleusen eines Befehls umfasste, um Code auf der Western Digital My Cloud Pro Serie PR4100 auszuführen. In derselben Kategorie kombinierte das STARLabs-Team einen OOB-Read und einen Heap-basierten Buffer Overflow, um die Beta-Version der 3 TB My Cloud Home Personal Cloud von WD auszunutzen. Und in der Drucker-Kategorie nutzte das Synacktiv-Team einen Heap Overflow, um den Canon ImageCLASS-Drucker zu übernehmen. Das Team von F-Secure Labs setzte einen einzelnen Stack-basierten Buffer Overflow ein, um den Drucker zu übernehmen und ihn in eine Jukebox zu verwandeln. Bei intelligenten Lautsprechern nutzte das Synacktiv-Team einen Stack-basierten Buffer Overflow, um den Sonos One-Lautsprecher zu kompromittieren und eine Melodie abzuspielen.

Bedrohungen für mobile Geräte

In der ersten Hälfte 2021 entdeckte Trend Micro mehr als drei Millionen bösartige Samples, die auf Mobilgeräte zielten. Während der Pandemie mussten viele Menschen mehr Links für die täglichen Nachrichten anklicken, häufiger von privaten Geräten aus auf Arbeits-E-Mails zugreifen und auch mehr Anwendungen aus geschäftlichen Gründen sowie zur Bewältigung gesundheitlicher Probleme herunterladen. Aus diesem Grund stiegen die Cyberbedrohungen für mobile Geräte sprunghaft an. In einer Branche sind die mobilen Phishing-Bedrohungen Berichten zufolge von der zweiten Jahreshälfte 2020 bis zur ersten Jahreshälfte 2021 um 161 % gestiegen. Die Bedrohungen werden auch immer raffinierter – im September wurden beispielsweise Zero-Click-Angriffe auf iPhones entdeckt. Bei dieser Art von Angriffen ist nicht einmal eine Benutzerinteraktion erforderlich, um das Gerät zu kompromittieren.

Mobile Angriffsszenarien

  • Auf Phishing hereinfallen: Cyberkriminelle verleiten Nutzer dazu, auf bösartige Links zu klicken, die zu Malware führen können.
  • Herunterladen gefälschter Apps: Cyberkriminelle verleiten Nutzer dazu, unerwünschte oder bösartige Apps herunterzuladen, darunter Kryptowährungs-Miner oder Informations-Stealer.
  • Verbindung zu ungesicherten Netzwerken: Cyberkriminelle könnten die Daten verfolgen, die von und zu mobilen Geräten gesendet werden.

Pwn2Own

Teilnehmer versuchten, Geräte zu kompromittieren, indem sie Webinhalte im Standardbrowser des zu testenden Geräts nutzten oder mit den folgenden Kurzstreckenprotokollen kommunizierten: Near Field Communication  (NFC), WLAN oder Bluetooth. Einem Team von Pentest Unlimited gelang es, mithilfe von drei verketteten Sicherheitslücken Code auf einem Samsung Galaxy S21 auszuführen.

Bedrohungen für Router

Router sind ein attraktives Ziel für Cyberkriminelle, da sie das Gateway zu intelligenten Umgebungen sind. Alle Geräte, von Lautsprechern bis hin zu Firmen-Laptops, sind mit dem Router verbunden. Das bedeutet, dass ein Cyberkrimineller, der den Router kompromittiert, oft auch die anderen mit ihm verbundenen Geräte übernehmen kann. 2019 nutzte ein Angreifer beispielsweise schlecht konfigurierte Router aus, um eine bestimmte Nachricht auf anfällige Google Home-Geräte, Streaming-Dongles und Smart-TVs zu übertragen. 2020 entdeckten wir, dass es immer noch Tausende von Routern gab, die mit VPNFilter infiziert waren, und das mit einer Malware, die 2018 aktiv war und angeblich über verschiedene Techniken von Anbietern unter Kontrolle war. Im Juli 2020 berichteten wir außerdem über drei Botnets, die um die Vorherrschaft über anfällige Router und andere Internet-of-Things-Geräte (IoT) kämpften. Die Botnets versuchen, Router zu infizieren und in Bots zu verwandeln, die für Angriffe (hauptsächlich Denial-of-Service) und andere bösartige Aktivitäten eingesetzt werden.

Angriffsszenarien für Router

    • Angriffe auf ungesicherte Router: Cyberkriminelle können Sicherheitslücken in veralteter Hard- und Software ausnutzen oder den Router kompromittieren, wenn die Standardkennwörter nicht geändert wurden.
    • Ausgenutzte Sicherheitslücken: Cyberkriminelle missbrauchen Router mit ungepatchten Sicherheitslücken, um das Gerät zu übernehmen. Gelingt es ihnen, über Schwachstellen beliebigen Code auszuführen, sind sie möglicherweise in der Lage, die Kontrolle über den Router zu übernehmen.
    • Ausgenutzte, falsch konfigurierte Router: Cyberkriminelle können sich Router zunutze machen, die nicht ordnungsgemäß eingerichtet sind, z. B. einen mit einer falsch konfigurierten Firewall.

Pwn2Own

In der Router-Kategorie versuchten die teilnehmenden Teams, vom Gerät des Teilnehmers innerhalb des Wettbewerbsnetzwerks einen Angriff auf die exponierten Netzwerkdienste des Ziels zu starten. Team Orca von Sea Security nutzte einen Logikfehler, um die WAN-Schnittstelle des Cisco RV340-Routers zu kompromittieren. Dasselbe Team nutzte auch einen OOB-Read-Bug, um über die LAN-Schnittstelle die Kontrolle über den TP-Link AC1750-Router zu übernehmen. Das Flashback-Team verwendete einen beeindruckenden Stack-basierten Buffer Overflow, um Code auf der WAN-Schnittstelle des Cisco RV340-Routers auszuführen. Und das Team vom IoT Inspector Research Lab nutzte drei einzigartige Schwachstellen, darunter eine Umgehung der Autorisierung und eine Befehlsinjektion, um Code auf dem Cisco RV340 über die LAN-Schnittstelle auszuführen.

Sicherheitsempfehlungen und Lösungen

Der Pwn2Own-Wettbewerb stellt die derzeit größte und neueste Angriffsfläche für Unternehmen auf den Prüfstand: das Home Office. Die Ergebnisse zeigen, dass selbst die neuesten Modelle der in diesen Arbeitsbereichen verwendeten intelligenten Geräte anfällig sind für Cyberangriffe, die die Unternehmenssicherheit gefährden können.

Diese smarten Geräte sind aus vielen Gründen als leichte Ziele bekannt: Benutzer patchen ihre IoT-Geräte seltener, die Betriebssysteme haben keine automatisierten Update-Funktionen, und die Hersteller veröffentlichen selten Sicherheitsupdates für Schwachstellen. Deshalb müssen Benutzer die Geräte proaktiv schützen.

Die folgenden Best Practices sollten eingeführt werden, um die IoT-Angriffsfläche zu verringern und bösartige Aktivitäten einzudämmen:

      • Ändern Sie die Standard-Anmeldeinformationen oder erwägen Sie zusätzliche Authentifizierungs- und Autorisierungsmechanismen.
      • Aktualisieren Sie die Geräte-Firmware, um angreifbare Schwachstellen zu beheben.
      • Stellen Sie sicher, dass andere Systeme oder Geräte, insbesondere Router, ebenfalls aktualisiert und sicher sind.
      • Aktivieren Sie die integrierten Sicherheitsfunktionen der Geräte.
      • Installieren Sie mehrschichtige und umfassende Sicherheitslösungen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.