Network – BLUCON

Krack Attacks: Die WLAN-Verschlüsselung WPA2 wurde geknackt!

admin — Wed, 18 Oct 2017 22:29:43 +0000

Der belgische Sicherheitsforscher Mathy Vanhoef ist auf eine Schwachstelle im WLAN-Verschlüsselungsprotokoll WPA2 gestoßen. Diese erlaubt es Angreifern theoretisch, in bisher sicher geglaubte Drahtlosnetzwerke einzudringen und den Datenverkehr zwischen Acces Point bzw. Router und Clients (Smartphones, PCs etc.) abzuhören und zu manipulieren.

Da die Sicherheitslücke den aktuell gängigen Verschlüsselungs-Standard WPA2 selbst betrifft, sind beinahe alle WLAN-fähigen Geräte betroffen – egal ob Windows, Linux, Android, MacOS, iOS oder andere Systeme. Durch gezielte Man-in-the-Middle-Angriffe über die KRACK-Schwachstelle können einem Opfer private Daten, Passwörter und mehr entwendet werden. Für die Attacke müssen Angreifer jedoch in WLAN-Reichweite sein. Gefährdet dürften daher in erster Linie Unternehmen sein

Da es sich bei der entdeckten Lücke um einen Fehler im Verschlüsselungsprotokoll handelt ist eine Änderung des WLAN-Passworts überflüssig und schützt nicht vor KRACK. Ebenso sollten Sie nicht (!) auf andere WLAN-Verschlüsselungen wie WEP wechseln.

Mittlerweile haben einige von der WPA2-Lücke KRACK betroffene Hersteller Patches veröffentlicht, die die Gefahr abwehren. Andere meldeten sich in Stellungnahmen zu Wort.
Microsoft meldet dass die Unterstützten Windows Versionen bereits im stillen gepatcht wurden und Updates ausgeliefert werden. Alle gängigen Linux Distributionen, wie Debian, Ubuntu, Arch, Red Hat oder die darauf basierenden Ableger liefern ebenfalls bereits Updates aus. Apple meldet derzeit baldige Updates für OSX un IOS.

Eine Hersteller Liste bezüglich Updates und Stellungnahmen finden Sie hier

Firmen „mit Blucon Support Verträgen“, welche über Wlan Hardware der Hersteller „Ubiquiti“ und „Mikrotek“ verfügen, werden von uns automatisch über Fernwartung gepatcht, Firmware Updates der genannten Hersteller liegen uns mitlerweile bereits vor.
Bei anderen Hardware Herstellern verfolgen wir die Entwicklung und Informieren über freigegebene Firmware Updates.

Sollten Sie genauere Informationen über KRACK benötigen, oder eine Sicherheitskontrolle bezüglich WLAN in Ihrer Firma vonehmen lassen wollen, melden Sie sich bei uns, wir Analysieren Ihr WLAN System und machen es wieder sicher!

Quelle: Heise

Erneute Angriffswelle! Kryptotrojaner legt weltweit Firmen und Behörden lahm

admin — Tue, 27 Jun 2017 22:41:04 +0000

Gegenwärtig findet offenbar erneut eine massive Angriffswelle mit einem Verschlüsselungstrojaner statt. Betroffen sind vor allem Russland und die Ukraine, Meldungen über gehackte Rechner gibt es aber auch schon aus anderen europäischen Ländern.

In mehreren Ländern sind Behörden und Konzerne offenbar Opfer einer Welle an Infektionen mit dem Erpressungstrojaner Petya geworden. Der Antiviren Herstelle Avira bestätigt, dass gegenwärtig eine Angriffswelle mit dem Erpressungstrojaner Petya läuft, für die die Lücke namens „Eternal Blue“ ausgenutzt wird. Diese Sicherheitslücke in Windows Dateifreigaben (SMB) kam schon bei WannaCry zum Einsatz.

Mitlerweile gibt es bereits zahlreiche bestätigte Infektionen, wie:
Die dänische Redeerei Maersk hat derweil erklärt, die IT-Systeme seien an mehreren Standorten lahmgelegt, weitere bekannte Betroffene sind unter anderem die Urkainische Nationalbank, Kiews Flughafen, Rosneft, Nivea.

Von dem Angriff sind auch Computer des 1986 havarierten Kernkraftwerks Tschernobyl betroffen. „Aufgrund der temporären Abschaltung der Windows-Systeme findet die Kontrolle der Radioaktivität manuell statt“, teilte die Agentur für die Verwaltung der Sperrzone mit. Alle technischen Systeme der Station funktionieren aber normal, hieß es.

Während sich immer mehr Unternehmen als betroffen herausstellen, hat die Analyse des Angriffswerkzeugs begonnen. Wie das BSI in Deutschland bestätigte, setzt die neue Variante von Petya auf die vom WannaCry-Angriff bekannte Lücke zum Einfall in ein Netzwerk: „In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.“

Die Angriffswege sind derweilen noch nicht alle bekannt, vermutlich spielt aber Email wieder eine Zentrale Rolle! Wir raten deshalb zur BESONDEREN VORSICHT bei Zweifelhaften oder Auffälligen Emails! Öffnen Sie KEINE Email Anhänge und klicken Sie auf KEINE Links!

Wir von Blucon arbeiten schon seit dem letzten Globalen Ransomware Angriff an einem Backupsystem welches nicht nur die Server, sondern alle Rechner in einem Netzwerk auch während der Benutzung Kontinuierlich einem Backup unterziehen kann. Somit können ALLE bei einem Verschlüsselungstrojaner Angriff betroffenen Computer in kürzester Zeit wiederhergestellt werden.
Das System befindet sich in den letzten Tests und wird Anfang Juli für den Einsatz freigegeben, weitere Informationen finden Sie in den „BLUCON NEWS“

Quelle Ransomware: HEISE

WannaCry Ransomware legt weltweit Rechner lahm

admin — Sat, 13 May 2017 17:48:10 +0000

Seit Freitagabend breitet sich die Ransomware WannaCry (WanaDecrypt0r 2.0) im weltweiten Internet aus. Es handelt sich um einen Kryptotrojaner, der Daten auf den betroffenen Computern verschlüsselt. Gegen die Zahlung einer bestimmten Summe in Bitcoin soll der Nutzer den Code für die Entschlüsselung erhalten. Weltweit sollen zur Stunde über 100.000 Systeme betroffen sein.

Großbritannien schwer getroffen

Nach bisherigen Erkenntnissen hat sich der Schädling am Freitag zunächst in Russland ausgebreitet und dann schnell auch in anderen Ländern verbreitet. Es sind vor allem ältere Windows-Versionen betroffen, die nicht mehr mit Sicherheits-Updates versorgt werden. Besonders schwere Folgen hatte das in Großbritannien, wo WannaCry zahlreiche Rechner des National Health Service (NHS) befallen hat und die staatliche Gesundheitsversorgung massiv gestört ist.

Verschiedene Firmen wie: Nissan, Renault mit Niederlassungen in Frankreich meldeten Ausfälle durch Angriffe, in Spanien und Portugal sind zum Beispiel die großen Netzbetreiber Telefónica und Telecom betroffen. Aus den USA meldet der Logistikriese FedEx eine Infektion. In Deutschland hat es bisher vor allem die Deutsche Bahn erwischt, deren Anzeigesysteme auf vielen Bahnhöfen ausgefallen sind.

Malware verbreitet sich im Netzwerk weiter

Dass die Ransomware sich so schnell verbreiten kann, liegt offenbar auch daran, dass sie sich wie ein Wurm im Netzwerk verbreitet. In einem großen Netzwerk kann demnach ein einziger verwundbarer Rechner ausreichen, um andere PCs über das interne Netzwerk zu infizieren. Die Ransomware droht damit, die Daten endgültig zu zerstören, wenn nicht innerhalb von sieben Tagen gezahlt wird.

Nach bisherigen Erkenntnissen nutzt WannaCry zwei Angriffsvektoren: Einmal verbreitet er sich – wie bei Kryptotrojanern üblich – per E-Mail. Doch wenn der Schädling ein Sytem infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu kompromittieren. Dafür nutzt WannaCry offenbar eine Lücke in Windows Dateifreigaben (SMB).

Microsoft hatte die verantwortliche Sicherheitslücke bereits im März durch Sicherheits-Updates geschlossen. Diese Patches liefert der Hersteller jedoch nur für die aktiv unterstützten Windows-Versionen. Ältere Windows-Versionen blieben also weiter ungeschützt – dazu gehören insbesondere Windows XP und Windows Server 2003.
Manche Anwender schalten allerdings die automatische Installation von Sicherheits-Updates ab, was dazu führt, dass derartige Lücken offen bleiben.

Unbedingt Patchen!

Nutzer sollten Windows-Sicherheitspatches grundsätzlich immer installieren. Wer Microsofts Sicherheitsupdate MS17-010 noch nicht eingespielt hat, muss das jetzt nachholen.

Server- und Netzwerksysteme von Firmen die über einen System und Wartungsvertrag von uns verfügen wurden bereits nach Freigabe des Microsoft Patch im März gegen diese Lücke abgesichert. Somit sind diese Serversysteme nicht betroffen. Wir bitten aber alle Mitarbeiter dennoch beim Email Verkehr KEINE Anhänge unbekannter oder Verdächtig erscheinenden Email Adressen zu Öffnen, auch KEINE „PDF“ Dateien!

Sollten Sie Zweifel an einer Email haben, kontaktieren Sie uns bitte unverzüglich BEVOR Sie den Anhang öffnen!
Wir können Ihnen meist unverzüglich darüber bescheid geben ob die Email Gefährlich ist oder nicht!

Quelle: heise.de, golem.de

Große Anzahl von Netgear-Routern lässt sich über Admin-Interface übernehmen!

admin — Fri, 20 Jan 2017 20:26:16 +0000

Gleich 30 Router-Modelle von Netgear enthalten eine Schwachstelle, die es Angreifern ermöglicht, die Admin-Passwörter der Geräte auszulesen und diese komplett zu übernehmen. Die Updates des Herstellers sollten umgehend eingespielt werden.

Netgear und das CERT Bund warnen vor einer großen Anzahl von Netgear-Routern, die sich von Angreifern aus dem internen Netz des Routers kapern lassen. Angreifer können das Administrations-Passwort auslesen, ohne sich anmelden zu müssen und den Router so komplett übernehmen. Sollten Anwender die Fernadministration der Geräte aktiviert haben, lassen sich diese Lücken auch aus der Ferne ausnutzen. Netgear hat Updates für die Geräte bereitgestellt. Links und Details zu den Patches finden sich in der Sicherheitswarnung des Herstellers.

Betroffen sind die Router AC1450, R6200, R6200v2, R6250, R6300, R6300v2, R6400, R6700, R6900, R7000, R7100LG, R7300, R7900, R8000, R8300, R8500, VEGN2610, WNDR3400v2, WNDR3400v3, WNDR3700v3, WNDR4000, WNDR4500, WNDR4500v2, WNR1000v3, WNR3500Lv2 und die DSL-Router D6220, D6300, D6300B, D6400 und DGN2200Bv4. Auch der Kabelrouter C6300 des Herstellers ist betroffen, Updates für dieses Gerät können allerdings nicht vom Anwender selbst eingespielt werden. Wie bei Kabelroutern üblich, müssen diese vom Provider gewartet werden.