Aufgrund aktueller Hinweise möchten wir an dieser Stelle vor der neuen Version von Microsoft Outlook für MacOS warnen, da bei der Einrichtung von IMAP Konten die Option "Mit Microsoft Cloud synchronisieren" standardmäßig aktiviert ist. Wie bereits bei der Microsoft Outlook App für Android und iOS bedeutet diese Option eine Umleitung von Zugangsdaten (z. B. Passwörter) sowie Inhalten über die Microsoft Cloud. Abgesehen von den datenschutzrechtlichen Problemen, die damit einhergehen, ist eine Weitergabe der Zugangsdaten auf diese Art laut IT-Benutzungsordnung untersagt.
Das WWU-CERT betreibt eine zentrale Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse, ein sogenanntes Security Information and Event Management System (SIEM). Es dient der Erkennung und Aufklärung von Sicherheitsvorfällen und damit dem Schutz der WWU. Zu diesem Zweck werden sicherheitsrelevante Informationen (z. B. Logs) im System zusammengeführt und durch das WWU-CERT auf Auffälligkeiten hinsichtlich der IT-Sicherheit analysiert.
Dabei werden verschiedene personenbezogene Daten verarbeitet, weshalb die Einführung des SIEM unter Mitbestimmung der Personalräte beschlossen wurde.
Der Einsatz und die Verwendung des SIEM sind in einer Dienstvereinbarung geregelt.
Informationen über u. a. verarbeitete Daten, Speicherfristen, den technischen Aufbau sowie Sicherheitsmaßnahmen sind in der Anlage 1 der Dienstvereinbarung zu finden.
Kürzlich wurde die kritische Schwachstelle "Log4Shell" (CVE-2021-44228) in der Java-Bibliothek "log4j" bekannt, die in vielen Java-basierten Anwendungen verwendet wird. Alle Betreiber von Diensten müssen überprüfen, ob die Bibliothek im Einsatz ist. Falls dies der Fall ist und der Dienst potentiell angreifbar ist, muss umgehend ein Update eingespielt oder ein Workaround benutzt werden.
In letzter Zeit wurden wieder vermehrt erpresserische Spam-E-Mails an viele Angehörige der WWU verschickt. Die Absender behaupten in der Regel, dass sie Zugriff auf das Endgerät oder das Konto einer Person erlangt haben und drohen nun, sensible Informationen über das Privatleben, beispielsweise Videoaufnahmen, zu veröffentlichen, wenn ein bestimmter Betrag nicht überwiesen wird. Diese Behauptungen, insbesondere auch die angebliche Kenntnis von Zugangsdaten, sind nur ein Vorwand, um den Empfänge zu verunsichern und zum Handeln zu drängen.
Die Stabsstelle IT-Sicherheit weist aus aktuellem Anlass erneut darauf hin, dass die Verwendung der Microsoft Outlook App für Android und iOS zum Abrufen der E-Mails aus dem WWU Exchange Konto unzulässig ist. Mit der Nutzung der App geben Sie u. a. Ihre Passwörter an Dritte weiter, wodurch Sie gegen die IT-Benutzungsordnung der WWU verstoßen. Deinstallieren Sie bitte die Outlook App für Android oder iOS, falls Sie sie auf Ihrem mobilen Gerät verwendet haben. Zusätzlich sollten Sie schnellstmöglich die Passwörter aller E-Mail-Konten ändern, die Sie über die App verknüpft haben.
Am 01.07.2021 wurde die mit PrintNightmare benannte Schwachstelle (CVE-2021-34527) öffentlich, welche praktisch in allen Versionen von Microsoft Windows vorhanden ist. Die Schwachstelle befindet sich im Druck-Dienst (Print Spooler) und ermöglicht unter bestimmten Umständen die Ausführung von Schadcode auf einem Ziel System über das Netzwerk (Remote Code Execution) sowie eine lokale Rechteausweitung (Local Privilege Escalation). Für die Ausnutzung aus der Ferne muss der Druck-Dienst erreichbar sein und der Angreifer benötigt einen gültigen Zugang zum System. Es wurden bereits mehrere Exploits für diese Schwachstelle veröffentlicht.
Microsoft hat mittlerweile Updates für viele Windows Versionen veröffentlicht (siehe Microsoft Security Advisory [en]), welche allerdings ersten Erkentnissen nach die Schwachstelle nur teilweise schließen (siehe BleepingComputer [en]) und in einigen Fällen zu Druck-Problemen führen.
Das WWU-CERT empfiehlt, die bereitgestellten Updates umgehend auf alle Windows Systeme zu installieren, um die Ausnutzung zu erschweren. Da das Update die Schwachstelle nicht vollständig schließt und die Informationen, in welchen Fällen eine Ausnutzung dennoch erfolgreich ist, immer noch nicht eindeutig sind, sollte mindestens auf Systemen mit mehreren Nutzern (z.B. Remote Desktop Servern) ein temporärer Workaroundgenutzt werden, um per ACL eine Ausnutzung zu unterbinden (siehe TRUESEC Blog [en]). Dieser Workaround verhindert allerdings auch, dass neue Drucker installiert werden können! Wenn auf bestimmten Servern der Druck-Dienst nicht notwendig ist, sollte dieser am besten generell deaktiviert werden.
In letzter Zeit wurden vermehrt gezielte Betrugsversuche/Scams per E-Mail an verschiedenen Bereichen der WWU beobachtet. Dabei werden beispielsweise Leiter von Instituten oder Forschungsbereichen als Absender vorgetäuscht und Unterstützung der Empfänger angefragt ("Are you available?"). Die Informationen zum Vortäuschen der Absender, sowie die E-Mail-Adressen der Empfänger stammen in der Regel von den öffentlichen Webseiten. Wird dabei auf die initiale Kontaktanfrage geantwortet, fordern die Kriminellen den Empfänger zum Kauf von Guthabenkarten, z.B. Paysafe-Karten, auf und versprechen, die entstandenen Kosten zu erstatten. Sobald die Codes zur Einlösung der Guthabenkarten allerdings an die Urheber weitergeleitet werden, ist das Geld in der Regel unwiederbringlich weg, da diese sofort eingelöst werden.
Kritische Schwachstellen in Dell Treiber und Exim Mailserver
Es wurden mehrere Schwachstellen in einem von Dell Produkten genutzten Windows Treiber (dbutil_2_3.sys) gefunden, die eine Rechteausweitung eines lokalen Angreifer ermöglichen.
Der verwundbare Treiber wurde seit 2009 bei einer Vielzahl von Dell Computern vorinstalliert ausgeliefert und kann nachträglich auch durch die Nutzung von Dell Update Software oder Firmware Updates installiert worden sein. Dell empfiehlt die sofortige Entfernung des betroffenen Treibers (siehe Dell Security Advisory [en]).
In der Exim Mailserver Software wurden 21 teils kritische Schwachstellen gefunden. Zehn dieser Schwachstellen lassen sich aus der Ferne ausnutzen und ermöglichen einem Angreifer die Ausführung beliebiger Befehle (RCE). Die übrigen Schwachstellen lassen sich nur lokal ausnutzen, ermöglichen aber eine Rechteausweitung für Angreifer.
Betroffen für eine oder mehrere der Schwachstellen sind beinahe alle Versionen unter 4.94.2. Da teilweise Exim bei einigen Distributionen vorinstalliert ist, kann dies selbst ohne aktive Nutzung ein Sicherheitsproblem durch die lokalen Schwachstellen darstellen. Eine abgesicherte Version (Exim 4.94.2 [en]) steht bereits zur Verfügung und sollte, insbesondere bei extern erreichbaren Mailservern, umgehend installiert werden.
Eine kürzlich entdeckte Schwachstelle in der "sudo" Anwendung (CVE-2021-3156, "Baron Samedit") ermöglicht lokalen Angreifern eine Privilegieneskalation.
Konkret betroffen sind die folgenden Versionen:
Legacy: 1.8.2 - 1.8.31p2
Stable: 1.9.0 - 1.9.5p1
Es sollte sichergestellt werden, dass auf allen Systemen, die sudo installiert haben, dieses auf eine abgesicherte Version aktualisiert wird. Auch MacOS wird scheinbar in einigen Versionen mit der anfälligen sudo Version ausgeliefert.
Auf Grund der Vorfälle der vergangenen Monate mit Verschlüsselungstrojanern und der Entwicklung der Bedrohung durch die Emotet-Schadsoftware werden im zentralen E-Mail-System zusätzliche Sicherheitsfunktionen aktiviert.
E-Mails mit verdächtigen Inhalten von verdächtigen Absendern erhalten Sie nur noch mit einem Warnhinweis. Konkret bedeutet dies, dass Ihnen die verdächtige E-Mail im Anhang an eine Informationsmail zugestellt wird, die Sie über die potentielle Gefährdung informiert und Ihnen einen Ansprechpartner für Rückfragen nennt. Als verdächtige Inhalte gelten 1) Links zu dubiosen Webseiten sowie 2) angehängte Office- oder PDF-Dokumente mit aktiven Inhalten (sogenannten Makros).
Seien Sie trotzdem weiter wachsam beim Öffnen von Links und E-Mail-Anhängen, insbes. wenn sie passwortgeschützt sind.
Eine Vielzahl an kabellosen Mäusen, Tastaturen und Presentern von Logitech, die Unifying Empfänger benutzen, sind von einer Schwachstelle betroffen. Dies ermöglicht sowohl das Abhören von Eingaben, als auch die Ausführung von Befehlen. Logitech bietet ein Austauschprogramm für betroffene Presenter/Empfänger an. Bisherige Updates lösen nicht alle Schwachstellen und werden es wohl auch in Zukunft nicht tun. Ein eventuell Uni-weiter koordinierter Austausch der betroffenen Produkte wird geprüft.
Empfehlung
Keine Funktastaturen und -mäuse in sensiblen Bereichen nutzen!
Keine verwundbaren Unifying-Geräte nutzen!
Bluetooth bzw. offene Standards für Funkverbindung nutzen
Falls nicht anders möglich:
Empfänger nur so lang wie nötig eingesteckt lassen
