Emotet hat – wie von Security-Experten bereits befürchtet – wieder hinzugelernt. Die Schadsoftware erstellt nun auch authentische Antworten auf bestehende E-Mails wie CERT-Bund via Twitter berichtete. So verleitet sie arglose Empfänger dazu, infizierte Anhänge zu öffnen oder auf gefälschte Links zu klicken. Unternehmen haben aber trotzdem noch Möglichkeiten, gegenzusteuern.  

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in der Vergangenheit bereits mehrfach vor der Schadsoftware Emotet gewarnt. Die Malware verschickt Spam-Mails aus dem eigenen E-Mail-Programm eines Betroffenen an die Kontakte im Adressbuch, um sich weiterzuverbreiten, und wirkt dadurch besonders glaubwürdig. Einmal infiziert, lädt der Schädling weitere Malware nach. Mögliche Folgen für Unternehmen: Produktionsstopps, komplett ausfallende Infrastrukturen und wiederaufzubauende Unternehmensnetzwerke.

Wie von Security-Experten befürchtet, haben Hacker die Schadsoftware nun weiterentwickelt, wie CERT-Bund twitterte: Emotet nutzt nun nicht mehr nur die Absenderadressen, sondern produziert mithilfe ausgelesener Nachrichteninhalte gefälschte Antworten auf E-Mails und bettet authentisch wirkende Links auf die Domain des vermeintlichen Versenders ein. Die Malware macht sich damit die Technik des sogenannten „Spear Phishing“ zunutze. Hier werden Informationen über die Kontakte und das Kommunikationsverhalten des Opfers gesammelt, um eine möglichst authentische E-Mail mit Schadcode im Dateianhang zu erstellen. Emotet hat diesen Prozess automatisiert und ist dadurch in der Lage, viele authentische E-Mails in kurzer Zeit zu verschicken und sich schnell zu verbreiten. Doch trotzdem die Schadsoftware immer raffinierter vorgeht, haben Unternehmen noch die Möglichkeit, zu handeln und sich davor zu schützen.

Unternehmen haben Handlungsmöglichkeiten und sollten sie nutzen

Betrachtet man den Aufbau von Emotet genauer, ergeben sich etwa auf technischer Ebene Ansatzpunkte, um sich vor einem Angriff zu schützen. Denn der Ablauf der Infektion nutzt eine Reihe von Elementen, die eine resiliente Infrastruktur mit einer flexiblen und präventiv ausgerichteten Sicherheitsarchitektur nicht aus dem Tritt bringen kann. So überträgt sich die Infektion nicht sofort, wenn der E-Mail-Empfänger einen Anhang öffnet, sondern erst, wenn er auch die zugehörigen Makros in der angehängten Datei, etwa einem Word-Dokument, ausführt. Das bedeutet: Bei üblichen MS-Office-Einstellungen muss ein Mitarbeiter die Schadsoftware im Anhang manuell aktivieren, um sie auf das Netzwerk zu übertragen.

Die meisten Mitarbeiter benötigen Makros für das normale Tagesgeschäft jedoch nicht. Daher empfiehlt es sich, diese standardmäßig vollständig zu deaktivieren, also auch das manuelle Ausführen durch entsprechende Rechtevergabe zu unterbinden. Ein gutes Schwachstellen-Management-Tool kann hier helfen und scannen, welche Benutzer-Accounts das Ausführen von Makros erlauben. Gleiches gilt für PowerShell- beziehungsweise Administratoren-Rechte, denn momentan sind auch diese notwendig, um Emotet überhaupt zu laden.

Nachladen von Emotet-Tools erkennen

Auch wenn Emotet das IT-System bereits infiziert hat, gibt es noch Verteidigungsmaßnahmen. So lädt die Schadsoftware verschiedene Tools nach, um etwa Zugangsdaten auszuspionieren oder Daten zu verschlüsseln. Diese Standard-Tools können so als Indicators of Compromise genutzt werden. Ob nachgeladene Emotet-Tools in der eigenen IT-Infrastruktur aktiv sind, lässt sich ebenfalls mithilfe eines Schwachstellen-Management-Tools, wie dem Greenbone Security Manager, erkennen.

Emotet verteilt sich vom infizierten System aus auch über die sogenannte SMB-Schwachstelle. Diese ist bereits aus den WannaCry- und Eternal-Blue-Angriffen bekannt und lässt sich über das entsprechende Update schließen. Viele Unternehmen haben nach dem WannaCry-Ausbruch ihre Netze von außen unzugänglich für die SMB-Kommunikation gemacht, aber nicht die interne Kommunikation. Hier ist eine Prüfung auf die entsprechenden Schwachstellen das Mittel der Wahl, um noch offene Systeme zu finden und die Lücke zu schließen.

Fazit: Kleine Security-Maßnahmen haben große Wirkung

Besonders für kritische Infrastrukturen (KRITIS) wie Krankenhäuser können großflächige Computerausfälle durch die Schadsoftware Emotet katastrophale Folgen haben – und nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch eine Gefahr für den Menschen darstellen. Unternehmen sollten also jetzt handeln und ihre IT-Infrastrukturen bestmöglich schützen. Um widerstandsfähig gegen Phishing-Attacken mit fortschrittlicher Malware wie den neuen Emotet-Typus zu werden, reichen oft wenige koordinierte Maßnahmen, wie etwa nicht benötigte Makros zu deaktivieren und bereits bekannte Schwachstellen so schnell wie möglich zu schließen.

Neue OS-Versionen werden jeweils zum 30. April und 31. Oktober veröffentlicht

2019 werden wir auf ein neues Release-Schema für Greenbone OS – dem Betriebssystem unserer Greenbone Security Manager (GSM) – umsteigen. Das bedeutet: Zukünftig gibt es feste Veröffentlichungstermine, die jedes Jahr gleich bleiben. Das gibt nicht nur unseren Kunden und Partnern, sondern auch dem Greenbone-Entwicklungsteam selbst mehr Planungssicherheit.

Die neuen fixen Termine sind jedes Jahr der 30. April und der 31. Oktober. Im Übergangsjahr 2019 veröffentlichen wir das als nächstes anstehende GOS 5.0 noch in der zweistufigen Aufteilung für ENTRY/SME (30. April) und MIDRANGE/ENTERPRISE/SENSOR (30. Juni). Das GOS 6.0 wir dann bereits gemäß dem neuen Schema in einem einzigen Schritt für alle GSM-Geräte freigegeben. Ab 2020 gilt das neue Time-Based-Release-System in vollem Umfang.

Das Schema basiert auf harten Fristen für neue Funktionen, neue GSM-Typen und neue Hardware. Wenn ein Feature es nicht zu einem Veröffentlichungstermin schafft, wird es für das Folge-Release berücksichtigt.

Ausgereifte Systeme durch einmonatige Testphase in der Greenbone-Community

Zudem durchläuft unser GVM für jedes GOS Release eine einmonatige Testphase: Vor dem Release am 30. April beziehungsweise 31. Oktober wird die jeweils aktuelle Source Edition im GVM Release der Greenbone-Community bereitgestellt. Eventuelle Bugs lassen sich so eliminieren, bevor unsere Kunden und Partner das neue GOS in Betrieb nehmen.

Ein weiterer Vorteil der neuen Time-Based Releases: Der Zyklus von zwei neuen Hauptversionen pro Jahr erhöht das Tempo, mit dem Innovationen zu unseren Anwendern gelangen. Zudem können User schneller auf neue GOS-Versionen aufspringen: Zum einen alle sechs Monate zu den offiziellen Release-Terminen (Innovation Cycle). Zum anderen alle 12 Monate während einer dreimonatigen Migrationsphase, in der sie dann eine GOS-Generation überspringen können – diese sind jeweils Mai/Juni/Juli oder November/Dezember/Januar (Conservative Cycle).

Schwerwiegende Sicherheitslücke in D-Link-Routern entdeckt

UPDATE: Patch für Anwender verfügbar, D-Link Support-Seiten aktualisiert

Bereits im November 2018 hat Greenbone eine schwerwiegende Sicherheitslücke in Routern von D-Link entdeckt und das Unternehmen darauf aufmerksam gemacht. Die Schwachstelle ist für Hacker einfach auszunutzen und ermöglicht unautorisierten Zugriff auf Netzwerke. Seit dem 19. März 2019 ist auf den Support-Seiten des Herstellers ein Patch verfügbar. Greenbone bietet seinen Kunden jedoch bereits seit Ende letzten Jahres einen entsprechenden Schwachstellentest (Vulnerability Tests, VT) im täglichen Security Feed.

Router sind die zentralen Dreh- und Angelpunkte in Netzwerken. Sie stellen die Internetverbindung für die angeschlossenen Laptops und PCs aber auch für Smart-Home- und Industrie-4.0-Anwendungen her. Doch trotzdem hier so viele Komponenten eines Netzwerks zusammenlaufen, ist es um die Sicherheit oftmals nicht gut bestellt. Im vergangenen Jahr fanden Forscher des American Consumer Institute bei 83 Prozent der innerhalb einer Studie untersuchten Routern bereits bekannte Sicherheitslücken. Über diese können sich Hacker unter Umständen Zugriff zum Gerät selbst und damit auch zum Netzwerk verschaffen. Insgesamt zählten die Forscher mehr als 30.000 Schwachstellen – 7 Prozent davon bergen ein kritisches und 21 Prozent ein hohes Risiko.

Designfehler macht die Modelle DWR und DAP angreifbar

Zu den bereits bekannten Schwachstellen in Routern kommen auch immer wieder neue hinzu. So haben unsere Sicherheitsforscher bei Greenbone im November 2018 eine schwerwiegende Sicherheitslücke in verschiedenen Routern des Herstellers D-Link gefunden. Betroffen sind mindestens die Modelle DWR und DAP. Auf Englisch würde man die Schwachstelle als „Unauthenticated Remote Code Execution“ bezeichnen, also eine Sicherheitslücke, bei der ein Angreifer ohne jegliche Authentifizierung Befehle auf dem Router ausführen kann. Im Fall der D-Link-Router kann sich ein Hacker sogar die vollen administrativen Rechte verschaffen. Es ist sehr wahrscheinlich, dass das NIST (National Institute of Standards and Technology) die höchstmögliche CVSS-Wertung (Common Vulnerability Scoring System) von 10.0 vergeben wird. 

Die Ursache ist vermutlich ein Design-Fehler. Bei den von uns getesteten Geräten fanden wir eine ausführbare Datei namens „EXCU_SHELL“, die sich mit einem sogenannten GET-Request aus dem Web-Browser aufrufen lässt. Diese ist für einige harmlose aber sinnvolle Operationen zuständig, wie zum Beispiel das Anzeigen von Informationen über die installierte Firmware-Version. Wenn man jedoch einige Parameter dieser Datei anpasst, lassen sich beliebige Befehle einschleusen und ausführen.

Zugriff auf Router ohne Authentifizierung möglich

Die Tragweite der gefundenen Sicherheitslücke ist gemäß der Marktpräsenz von D-Link hoch: Das Unternehmen ist einer der Top-Player auf dem globalen Wireless-Router-Markt und war 2017 mit einem Anteil von 24,1 Prozent Marktführer.

Darüber hinaus ist der Schweregrad der Lücke laut dem CVSS-Basis-Score-Rechner hoch und die Lücke relativ leicht auszunutzen: Die Datei „EXCU_SHELL“ ist nicht passwortgeschützt und Hacker können daher ohne Authentifizierung auf den Router und damit das zugehörige Netzwerk zugreifen. Einmal eingedrungen, lässt sich so der gesamte ein- und ausgehende Internet-Traffic einsehen, modifizieren und kontrollieren oder sogar Malware verbreiten.

In Zeiten von Smart Home und Industrie 4.0 kann dadurch erheblicher Schaden entstehen. Hackern steht mit einer Sicherheitslücken diesen Schweregrads sozusagen Tür und Tor zu Netzwerken offen – fatal wären die Folgen von Eingriffen in kritischen Infrastrukturen wie Gesundheitseinrichtungen oder Energieversorgern.

D-Link hat Sicherheits-Update am 19. März 2019 veröffentlicht

Nachdem Greenbone die Sicherheitslücke bereits im vergangenen November an D-Link gemeldet hat, ist für Anwender jetzt auch ein Patch verfügbar. Der Hersteller zeigte sich während der gesamten Zeit responsiv und bat uns, die CVE-Beantragung zu übernehmen. Informationen für Kunden auf der D-Link-Website und Patches sind inzwischen auch verfügbar.

Ursprünglich waren seit der Entdeckung der Schwachstelle schon mehr als 90 Tage vergangen – die Frist endete bereits am 11. Februar 2019. Daher handelten wir gemäß des Responsible Disclosure und veröffentlichten alle bisher verfügbaren Informationen, um Anwender zu schützen. Für Greenbone-Kunden war die Lücke bereits seit November 2018 über den täglichen Security Feed sichtbar.

Hersteller müssen handeln!

Angesichts der horrenden Anzahl von Sicherheitslücken auf Routern, ist die Schließung der D-Link-Lücke sicherlich nur ein Tropfen auf dem heißen Stein. Ja, die Anzahl an Schwachstellen ist einschüchternd – den Kopf in den Sand stecken aber keine Option. Vielmehr gilt es, so viele Hersteller wie möglich dazu zu bewegen oder wenn nötig auch zu zwingen, ihre Router abzusichern. Denn in einer vernetzen Welt wie der unseren steht zu viel auf dem Spiel.