In der Welt der IT-Sicherheit gibt es immer wieder neue Bedrohungen, denen Unternehmen ausgesetzt sind. Vor kurzem wurde eine Zero-Day-Schwachstelle in der Service-Management-Software SysAid entdeckt, die von Bedrohungsakteuren ausgenutzt wird, um Zugriff auf Unternehmensserver zu erlangen und dort Datendiebstahl zu betreiben. Als w\u00e4re das nicht schon schlimm genug, installieren die Angreifer auch noch die ber\u00fcchtigte Clop-Ransomware.<\/p>\n
SysAid ist eine umfassende IT-Service-Management-L\u00f6sung, die Unternehmen dabei unterst\u00fctzt, ihre IT-Services effizient zu verwalten. Die Software bietet eine Vielzahl von Tools, die verschiedene Aspekte der IT-Infrastruktur abdecken. Leider haben die Hacker eine Schwachstelle in SysAid gefunden und nutzen sie nun f\u00fcr ihre b\u00f6sartigen Zwecke.<\/p>\n
Die Clop-Ransomware ist ber\u00fcchtigt f\u00fcr ihre F\u00e4higkeit, Zero-Day-Schwachstellen in weit verbreiteter Software auszunutzen. In der Vergangenheit haben wir bereits gesehen, wie sie \u00e4hnliche Schwachstellen in MOVEit Transfer, GoAnywhere MFT und Accellion FTA ausgenutzt hat.<\/p>\n
Die Schwachstelle, die in diesem Fall ausgenutzt wurde, tr\u00e4gt die Bezeichnung CVE-2023-47246. Sie wurde am 2. November entdeckt, nachdem die Hacker sie bereits f\u00fcr ihre Zwecke genutzt hatten. Das Microsoft Threat Intelligence-Team war es, das das Sicherheitsproblem entdeckte und SysAid dar\u00fcber informierte. Microsoft konnte auch feststellen, dass die Schwachstelle von einer Gruppe namens Lace Tempest (auch bekannt als Fin11 und TA505) ausgenutzt wurde, um die Clop-Ransomware zu installieren.<\/p>\n
SysAid hat in einem Bericht bekannt gegeben, dass es sich bei CVE-2023-47246 um eine Pfadtraversierungs-Schwachstelle handelt, die es den Angreifern erlaubt, unbefugten Code auszuf\u00fchren. Das Unternehmen hat auch technische Details des Angriffs ver\u00f6ffentlicht, die im Rahmen einer Untersuchung des Incident-Response-Unternehmens Profero ans Licht kamen.<\/p>\n
Die Bedrohungsakteure haben die Zero-Day-Schwachstelle genutzt, um ein WAR (Web Application Resource)-Archiv mit einer Webshell in das Webroot des SysAid Tomcat Web Service hochzuladen. Dadurch konnten sie zus\u00e4tzliche PowerShell-Skripte ausf\u00fchren und die GraceWire-Malware laden. Diese Malware wurde in einen legitimen Prozess wie spoolsv.exe, msiexec.exe oder svchost.exe injiziert.<\/p>\n
Um sicherzustellen, dass keine Sophos-Sicherheitsprodukte auf dem kompromittierten System vorhanden sind, \u00fcberpr\u00fcfte der Malware-Loader (user.exe) laufende Prozesse. Nachdem die Daten exfiltriert wurden, versuchten die Angreifer, ihre Spuren zu verwischen, indem sie ein weiteres PowerShell-Skript verwendeten, das Aktivit\u00e4tsprotokolle l\u00f6schte.<\/p>\n
Microsoft stellte auch fest, dass Lace Tempest zus\u00e4tzliche Skripte einsetzte, um auf den kompromittierten Hosts einen Cobalt Strike Listener abzurufen.<\/p>\n
Gl\u00fccklicherweise reagierte SysAid schnell auf die Schwachstelle und entwickelte einen Patch, der in einem Software-Update verf\u00fcgbar ist. Alle Benutzer von SysAid werden dringend aufgefordert, auf Version 23.3.36 oder h\u00f6her zu aktualisieren. Systemadministratoren sollten au\u00dferdem ihre Server auf Anzeichen einer Kompromittierung \u00fcberpr\u00fcfen.<\/p>\n
SysAid hat in seinem Bericht auch Kompromittierungsindikatoren ver\u00f6ffentlicht, die dabei helfen k\u00f6nnen, den Angriff zu erkennen oder zu verhindern. Diese Indikatoren umfassen Dateinamen und Hashes, IP-Adressen, Dateipfade, die im Angriff verwendet wurden, sowie Befehle, die die Bedrohungsakteure zum Herunterladen von Malware oder zum L\u00f6schen von Beweisen f\u00fcr den initialen Zugriff verwendet haben.<\/p>\n
Es ist wichtig, dass Unternehmen solche Bedrohungen ernst nehmen und ihre Systeme regelm\u00e4\u00dfig auf Schwachstellen \u00fcberpr\u00fcfen. Nur so k\u00f6nnen sie sicherstellen, dass sie immer einen Schritt voraus sind und ihre Daten vor Angreifern sch\u00fctzen k\u00f6nnen. In diesem Fall war es SysAid gelungen, schnell zu reagieren und einen Patch bereitzustellen. Hoffentlich k\u00f6nnen andere Unternehmen aus diesem Beispiel lernen und \u00e4hnliche Angriffe in Zukunft effektiv abwehren.<\/p>\n
Schlagw\u00f6rter: ZeroDaySchwachstelle + ClopRansomware + SysAidUpdate<\/p>\n","protected":false},"excerpt":{"rendered":"
In der Welt der IT-Sicherheit gibt es immer wieder neue Bedrohungen, denen Unternehmen ausgesetzt sind. Vor kurzem wurde eine Zero-Day-Schwachstelle in der Service-Management-Software SysAid entdeckt, die von Bedrohungsakteuren ausgenutzt wird, um Zugriff auf Unternehmensserver zu erlangen und dort Datendiebstahl zu betreiben. Als w\u00e4re das nicht schon schlimm genug, installieren die...<\/p>\n","protected":false},"author":4,"featured_media":1390,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1391","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/1391","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1391"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/1391\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/1390"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1391"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1391"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1391"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}