HAFNIUM EXCHANGE SERVER ATTACKS – What happened and how to protect yourself

an article by Carina Szkudlarek, Niklas Schildhauer and Jannik Smidt

This post is going to review the zero day exploit of the Microsoft Exchange Servers starting in January 2021.
It will look into the methods of SSRF and the exploitation of mistakes in the deserialization of input values to procure privileged code execution.

INTRODUCTION

In early 2021, several vulnerabilities were discovered in the Microsoft Exchange server software of the 2010, 2013, 2016 and 2019 releases that could be used by attackers to gain access to such an Exchange server.

With Exchange Server, Microsoft offers a service with which e-mail communication can be controlled in networks, but electronic communication can also be checked for harmful files such as viruses. All incoming and outgoing e-mails end up on the corresponding Exchange server. From there they are distributed to the recipients. Although there are alternatives, numerous state and private-sector institutions around the world rely on Microsoft Exchange servers.

On January 6, 2021 the security company Volexity observed several attacks via a previously unpublished Exchange vulnerability. In the course of the following weeks there were additional individual attacks on selected Exchange servers.

Microsoft instantly planned to release a security patch. However, the responsible attacker group Hafnium had already started a large amount of mass scans starting several months prior to january 6th when the attack was first exploited (see R[17]) . Exchange servers that were vulnerable were automatically infected with a webshell. Less than a week later, Microsoft published several security updates. However only a few hours after the publication of these unscheduled updates for the known vulnerabilities, the unprecedented infection of all unpatched Exchange servers accessible via the Internet began. As a result, administrators had little time and opportunity to react.

Generally, the exploit of overall four known vulnerabilities can be used as a gateway to penetrate deeper into the corporate network, as the Exchange servers are often publicly accessible. Yet it only affects on-premise Microsoft Exchange Server and not Exchange Online or Microsoft 365.

According to estimates, generally around 250,000 Exchange servers worldwide are open like a barn door to cyberattacks. 30,000 US customers have already been hacked, according to Heise [R1] tens of thousands of Exchange servers are affected in Germany alone, some of them in German federal authorities, according to the BSI [see: R2]

Continue reading

Die elektronische Patientenakte – Wie sicher ist die zentrale Digitalisierung im Gesundheitswesen?

Oftmals ist es für Ärzte schwer Behandlungen optimal durchzuführen, weil Befunde fehlen oder der Arzt keine Informationen darüber hat wie frühere Behandlungen abgelaufen sind. Um dies in Zukunft vermeiden zu können, wurde am 01. Januar 2021 die elektronische Patientenakte (kurz: ePA) in einem 3 Phasen Modell eingeführt. In der ersten Phase konnten alle gesetzlich Versicherten eine ePA bei ihrer Krankenkasse beantragen. Im zweiten Quartal startete die Rollout-Phase um testweise Arztpraxen anzubinden. Seit dem 01. Juli 2021 sind alle Ärzte gesetzlich verpflichtet die ePA anzubinden. [11]

Dieser Blogbeitrag beschäftigt sich damit was die ePA eigentlich ist, wie die darunterliegende Technik funktioniert und welche Rolle der Datenschutz und die Informationssicherheit dabei spielt.

Continue reading

Digital Ghostbusters – Der Malware auf der Spur

Mit dem Beginn des digitalen Zeitalters haben unzählige Unternehmen vermehrt einen Fuß in die Online-Welt gesetzt, um dort möglichst profitabel zu agieren. Innerhalb des letzten Jahrzehnts haben wir große Schritte in Richtung der vollständigen Digitalisierung gemacht und mit der Einführung von digitalen Währungen auch den Umgang mit Geld deutlich verändert. Mittlerweile benötigen wir keine riesigen Geldspeicher gefüllt mit millionen goldener Taler a lá Dagobert Duck, sondern können ein milliardenschweres Vermögen auf mikroelektronischen Speicherstrukturen mit binären Schaltzuständen speichern und verwalten. Seit jeher liegt es in unserer Natur, wertvolle Dinge und Vermögen so gut wie möglich vor Angreifern zu schützen und so nehmen unzählige IT-Security-Firmen den Kampf gegen das Böse der Neuzeit auf. Denn eines ist sicher: Wo viel Geld im Umlauf ist, ist die Kriminalität nicht weit entfernt.

Nun könnte man davon ausgehen, dass Personen und Unternehmen ohne großes Vermögen auch kein Angriffsziel für Cyberkriminelle darstellen, denn dort gibt es ja theoretisch auch nichts zu holen, oder nicht? Diesen Gedankengang haben leider viel zu viele und gehen daher oft leichtsinnig mit der Sicherheit ihrer digitalen Systeme um. So ist es für potentielle Angreifer ein Leichtes, das sogenannte “digitale Vermögen” zu ergattern. Doch zu digitalem Vermögen gehört nicht nur der Zugang zu privaten E-Wallets mit einem Wert in Millionenhöhe. Nicht umsonst gibt es seit einiger Zeit das Sprichwort: “Data is the new Oil”.

Zu diesen Daten gehören auch Informationen über Personen, neue Innovationen, die finanzielle Situation von Unternehmen oder Systemstrukturen von im Unternehmen eingesetzten IT-Systemen. Sehr oft sind solche Informationen für Cyberkriminelle wertvoller als der direkte Zugang zu einem E-Wallet. Der Grund liegt hierbei auf der Hand: In einem E-Wallet befindet sich, genau wie auf einem Bankkonto, lediglich eine begrenzte Menge an Vermögen. Ist dieses einmal aufgebraucht, hat der Angreifer keinen Nutzen mehr von dem Zugang. Wie in Filmen oft dargestellt wird, arbeiten Kriminelle daher mit Methoden wie Kidnapping und anschließender Erpressung, um so mehr Profit aus ihrem Verbrechen zu schlagen.

Wie funktioniert digitales Kidnapping, was sind die primären Hintergründe und wie kann man sich dagegen schützen?

Continue reading

Der Staat und die IT-Sicherheit: Was Staatstrojaner, Luca und die CDU-Wahlkampf-App verbindet

In der IT-Sicherheit war viel los in letzter Zeit. Das haben wir auch in der Vorlesung „Sichere Systeme“ bei Herrn Kriha gemerkt, in der wir jede Woche aktuelle IT-Sicherheits-News gesammelt haben – im Laufe des Semesters kamen wir auf über 20 Seiten mit Links zu Heise, Golem und Co.

Im Rahmen dieser Lehrveranstaltung schreibe ich diesen Blogartikel und möchte mich hierbei einem Thema widmen abseits von einzelnen Angriffen auf IT-Systeme, von bösen Hackern, von spezifischen Sicherheitslücken oder Tipps, wie man seine privaten Accounts besser schützt. Es ist die Frage, welchen Einfluss der Staat auf die IT-Sicherheit hat. Dafür möchte ich ein paar aktuelle netzpolitische Themen aufgreifen, die in den letzten Monaten stark diskutiert wurden und die zeigen, wie unser Staat Einfluss auf die IT-Sicherheit in Deutschland (und darüber hinaus) nehmen kann.

Continue reading

Mechanismen bei System-Programmiersprachen zum Erreichen von Memory-, Thread- und Type-Safety

Motivation

Ende letzten Monats (Juli, 2021) hat die CWE (Common Weakness Enumeration) einen Bericht veröffentlicht, welcher die Top 25 der Software-Schwachstellen aufzeigt. Es handelt sich dabei um eine Auswertung von gefundenen Schwachstellen der letzten zwei Jahre in verschiedenen Software-Systemen. Der Bericht umfasst eine Liste der 40 schwerwiegensten Schwachstellen. Dabei handelt es sich um Schwachstellen, welche einfach zu finden oder auszunutzen sind, häufig vorkommen und äußerst wirkungsvoll und dementsprechend gefährlich sind. [1]

Platz 1 der Liste wird von einer Speicher-Schwachstelle belegt, dem Out-Of-Bounds-Write dicht gefolgt vom Out-Of-Bounds-Read auf Platz 3. Insgesamt sind 7 der 40 vorgestellten Schwachstellen solche, welche aufgrund mangelnder Speicher-Sicherheit entstehen können. Andere gefährliche Schwachstellen entstehen aus Fehlern in der parallelen Programmierung sowie durch zu schwache Typ-Systeme in der verwendeten Programmier-Sprache. [1]

Speicher-spezifische Software-Schwachstellen sind die mit am häufigsten vorkommenden Schwachstellen. Circa 70% der Schwachstellen in Systemen von Microsoft sind auf Speicher-Fehler zurück zu führen. [11]

Andere Beispiele für die Häufigkeit von Speicher-Fehlern sind der Exim-Mail-Server vergangenen Mai, bei dem 12 der 21 gefundenen Schwachstellen Speicher-spezifische Fehler waren. [12] Aber auch zwei schwerwiegende Sicherheits-Lücken beim Samba-LDAP-Server vom März diesen Jahres sind auf Speicher-Fehler in der Software zurück zu führen. [13] In der Webkit-Komponente von Apple’s MacOS wurde ebenfalls ein Speicher-Fehler in Form eines Puffer-Überlaufs entdeckt. [14]

Unsafe Languages, Inadequate Defense Mechanisms and Our Dangerous Addiction to Legacy Code

bugs, bugs everywhere

A recent study found that 60-70% of vulnerabilities in iOS and macOS are caused by memory unsafety. Microsoft estimates that 70% of all vulnerabilities in their products over the last decade have been caused by memory unsafety. Google estimated that 90% of Android vulnerabilities are memory unsafety. An analysis of 0-days that were discovered being exploited in the wild found that more than 80% of the exploited vulnerabilities were due to memory unsafety.

(Gaynor, 2019)

Over the last 20 years, developing secure software has become increasingly important. To this day, we write a significant amount of code in languages with manual memory management. However, the Peter Parker principle states that “great power comes with great responsibility”. Many scoring systems classify, enumerate and rank prevalence of known vulnerabilities. In theory, developers should be aware of common programming mistakes leading to these bugs. Yet, the last 20 years are living proof that manual memory management is highly error-prone. Because most systems share memory between data and instructions, controlling small portions of memory can be enough to take over entire systems (Szekeres et al., 2013). The fight over attacking and defending the security measures on top of unsafe systems is often called the eternal war in memory.

In this blog post, I want to examine what properties make programming languages like C/C++ fundamentally unsafe to use. After that, I briefly discuss the inadequacies of our defense mechanisms. Last of all, I reflect on the sociopolitical implications arising from the continued use of unsafe languages.

Continue reading

Supply Chain Attacks – Die Lieferkette schlägt zurück

ein Artikel von Verena Eichinger, Amelie Kassner und Elisa Zeller

Nach SolarWinds schafft es eine neue Schlagzeile aus der IT-Welt in den Massenmedien ihre Kreise zu ziehen. Über 500 Supermärkte in Schweden mussten wegen eines Cyberangriffs schließen. Wie bereits bei SolarWinds handelt es sich auch hier um eine Supply Chain Attack (SCA). Mittlerweile fällt dieser Begriff immer häufiger und er schafft es nicht nur allgemein für Aufmerksamkeit zu sorgen, sondern führt auch zu großer Besorgnis in IT-Kreisen. [12]

Wir alle, die wir diesen Artikel lesen, sitzen gerade vor einem technischen Gerät, das ein komplexes Zusammenspiel aus Hardware und Software darstellt. Diese Komplexität können wir in der heutigen Zeit nicht mehr vollständig durchdringen, oder wissen Sie, woher die einzelnen Komponenten stammen und wer zu diesen Zugang hatte? Ist jegliche Software auf dem neuesten Stand und sind genutzte Bibliotheken auch wirklich vertrauenswürdig? Kann man sich sicher sein, dass in das letzte Softwareupdate keine Malware eingeschleust wurde? Das alles sind Fragen, die sich stellen, wenn man sich mit SCAs befasst und beginnt, die Tiefe der dahinterstehenden Problematik zu begreifen. Zwar waren bisher stets Firmen das Ziel der Angriffe, doch wie es der kürzliche Vorfall bei der Supermarktkette Coop in Schweden zeigt, sind deren Auswirkungen auch beim Endnutzer angekommen. An dieser Stelle lohnt es sich für jedermann, die Thematik genauer zu betrachten. Dazu wird im ersten Abschnitt dieses Artikels das zugrundeliegende Prinzip der SCAs erläutert und geklärt, womit wir es genau zu tun haben. Anschließend werden die genannten Beispiele SolarWinds und der Angriff auf Kaseya, zu dessen Opfern auch die Supermarktkette Coop gehört, betrachtet. Diese beiden Angriffe sind Musterbeispiele für die Gefahr und den Wirkungsgrad der SCAs. Zuletzt soll es darum gehen, was gegen die Bedrohung durch SCAs unternommen werden kann.

Continue reading

🌱HydroPi🌱 – Damit auch du deinen Garten vom Sofa aus gießen kannst.

⚠️ Disclaimer

Da das Projekt keinerlei Sicherheitsaspekte abdeckt, ist es aufgrund einer sehr hohen IT-Security Gefahr mit möglicherweise schweren Folgen nicht für die Nutzung außerhalb des eigenen Heimnetzwerkes ausgelegt.

🌱 Motivation

Aus aktuellem Anlass in der Entwicklung von Smart Home Technologien existiert ein stetig wachsendes Interesse, auch in der eigenen Wohnung aktuelle Bequemlichkeiten wie Staubsaugerroboter, Sprachassistenten oder Kontrollmechanismen, die einem den Alltag erleichtern zu implementieren. So wächst auch das Interesse wie man diese Funktionalitäten in anderen Lebensbereichen nutzen kann. Daraus resultierte die Frage, inwiefern man eine sehr routine-basierte und alltägliche Aufgabe wie das Bewässern des Gartens oder der eigenen Innenpflanzen automatisieren kann. Dies würde dem Nutzer nicht nur Zeit und Aufwand im Alltag sparen, sondern auch die Möglichkeit eröffnen, nicht vor Ort sein zu müssen und ganz unbesorgt auch für längere Zeit unterwegs sein zu können, ohne Nachbarn bitten zu müssen sich um seine Pflanzen zu kümmern. Obwohl es bereits SmartHome Lösungen gibt und diese sich auch stetig weiterentwickeln und verbessern, sind sie meistens sehr kostspielig und noch nicht für die breite Masse verwendbar. Deshalb wäre ein Konzept wie man sich auch schon mit geringeren Kosten eine SmartHome Bewässerungsanlage im eigenen Heim installieren könnte noch für viele Menschen interessant.

Continue reading

Wie man Menschen dazu bringt Dinge zu tun, die sie nicht tun sollten

Disclaimer

Der folgende Artikel bedient sich einer zynischen, teils sarkastischen Sprache und ist als “Anleitung für Manipulatoren” verfasst. Diese Perspektive ist selbstverständlich als stilistisches Mittel zu verstehen – das Ziel des Artikels ist Aufklärung und Sensilibisierung.

Einleitung

Nicht nur Maschinen lassen sich hacken; auch Menschen sind dazu hervorragend geeignet – wenn nicht sogar besser. Das sicherste System (das nicht autotom handelt) hat nach wie vor eine große Schwachstelle: Der Mensch.

Der Mensch ist ein Opfer seiner eigenen Psyche und kognitiver Verzerrungen. Diesen entkommt selbst der sorgfältigste, aufmerksamste und achtsamste Mensch nicht immer. Das öffnet Tür und Tor für Manipulation.

Zum Glück – muss man fast sagen. Denn wenn der Gesetzgeber mal wieder auf die Idee kommt, Ihnen als Unternehmen vorzuschreiben, wie Sie Ihre Kunden und Nutzer zu informieren haben, welche Auswahlmöglichkeiten Sie ihm zu stellen haben, so bleibt Ihnen immer noch ein geschickter Umweg, Recht umzusetzen, aber den eigentlichen Wesensgehalt zu umgehen.

Falls Sie ein windiger Hacker sind, dann scheren Sie sich wahrscheinlich ohnehin wenig um Gesetze. Wie schön: Dann stehen Ihnen sogar noch mehr unmoralische Manipulationsmöglichkeiten zur Verfügung.

Dieser Artikel gibt einen Überblick über verschiedene Methoden und psychologische Prinzipien, mit denen sich Menschen dahingehend manipulieren lassen Dinge zu tun, die sie eigentlich nicht tun möchten oder sollten – bezogen auf Computersysteme, Coorporate Security, aber auch auf den Alltag im WWW. Da der Artikel den Charakter eines Überblicks hat, kann er einen Ansatzpunkt geben, sich tiefergehend mit den einzelnen Prinzipien auseinander zu setzen.

Und Achtung: Diesen Manipulationen sind nicht etwa Zukunftsmusik – wir begegnen Ihnen bereits Tag für Tag.

Manipulation

Unter Manipulation versteht man das Horvorrufen einer Handlung, einer Handlungsänderung, einer Einstellung oder Einstellungsänderung unter Einflussnahme, die dem Betroffenen nicht unmittelbar bewusst ist. Die beste Manipulation ist diejenige, die nicht auffällt und bei der der Manipulierte davon überzeugt ist, eine freie, unmanipulierte Entscheidung getroffen zu haben.

Das an sich ist nicht zwangsläufig moralisch verwerflich. Gute Nutzerinterfaces können den Menschen dahingehend beeinflussen, dass sie Flüchtigkeitsfehler vermeiden. Der Begriff “Manipulation” hat jedoch eher eine negative Konnotation. In diesem Kontext wäre dies beispielsweise ein Nutzerinterface, das Flüchtigkeitsfehler bewusst herbeiführt oder fördert und als Methode der Einflussnahme ausnutzt.

Continue reading

Zero Trust Security – The further development of perimeter security?

Most companies use perimeter security to secure their cooperate applications, services and data from attackers and unauthorised users. This approach includes a cooperate network, where clients, that are part of the network are able to access the applications. This includes attackers that got access to these networks.
Additionally more applications are getting shifted from cooperate networks into the cloud and clients are getting more mobile from day to day. It’s getting increasingly difficult to trust or identify who and what should be allowed or trusted with access to their network. That means that setting up firewalls and other security mechanisms, securing the perimeter, is getting a real challenge and can result in very high costs. [12] [13]

In order to adapt to the new requirements and to create a system that is compatible with the cloud- and the cooperate applications there is a new security approach: Zero Trust Security.

Continue reading