Online-Banking-Check 2024

Weil wir gerade mal bei Sicherheitschecks waren, haben wir kurzerhand den Online-Banking-Check vom 2019 nochmal nachgeholt.

TLS-Gate – Online-Banking-Check

Online-Banking-Check 2024

Das Testziel war TLS 1.3, wenn das kommt: Test bestanden
Das zweite Ziel war, daß TLS < 1.2 nicht mehr geht. Den Test haben alle Kandidaten bestanden.

Hier das Testergebnis im Detail: Die Liste erhebt keinen Anspruch auf Vollständigkeit, falls Eure Bank nicht dabei ist, einfach mal selbst nachsehen 😉

Domainname[:443]TLS 1.3TLS 1.2CA
www.commerzbank.de++GlobalSign
www.nordlb.de+Atos
www.ksk-stade.de++QuoVadis
meine.postbank.de+Digicert
meine.deutsche-bank.de++Digicert
www.berliner-sparkasse.de++QuoVadis
www.bv-activebanking.de+Digicert
meine.norisbank.de++Digicert
www.dkb.de++Digicert
www.sparda-berlin.de+QuoVadis
www.vrbankmecklenburg.de+QuoVadis
www.volksbank-demmin.de+QuoVadis
calenberger.de (Calenberger Kreditverein)++Lets Encrypt!
www.ksk-walsrode.de++QuoVadis
www.diebank.de+QuoVadis
banking.seeligerbank.deDigicert
www.sparkasse-nordhorn.de++QuoVadis
hbciweb.olb.de+D-Trust GmbH
www.apobank.de++QuoVadis

Unsere Testmittel

Für TLS 1.2

echo „TEST“ | openssl s_client –connect www.commerzbank.de:443 -tls1_2 -nbio

Für TLS 1.3

echo „TEST“ | openssl s_client –connect www.commerzbank.de:443 -tls1_3 -nbio

Hier ein Negativbeispiel für TLS 1.3:

$ echo „TEST“ | openssl s_client –connect www.diebank.de:443 -tls1_3 -nbio | grep -E „(version|Cipher)“
004E9A2CE67F0000:error:0A000410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl/record/rec_layer_s3.c:1586:SSL alert number 40

Wenn diese Meldung + etwas Restausgabe kommt, dann ging es nicht. Manchmal sieht man auch „SSL alert number 70“.

Glückwunsch an alle Banken, die es geschafft haben!

ALARMSTUFE GELB – vermehrte Trojaner Emails durch Hack von Outlook / Exchange Mailservern

Da jetzt 2 Mails in 2 Tagen aufgetaucht sind, die Trojaner enthalten und dem gleichen Schema folgen, und wir von mehr wissen, muß ich folgende Warnung abgeben:

Achten Sie dringend darauf:
KEINE ATTACHMENTS ANKLICKEN/SPEICHERN/AUSFÜHREN .

 

Die Trojaner Emails sind an folgendem Muster erkennbar

ZIP Attachment mit 4-5 Buchstaben als Filename.

Der Inhalt der Email knüpft an eine Korrespondenz an, die Ihr mit einem Kontakt früher hattet.

I.d.R. so was: „Ich habe Ihnen gestern ein Dokument gesendet. Ist es dir angekommen?“

UND Umlaute gibts nicht mehr im Text, es gibt Buchstabendoppler und andere Bugs:

Sehr geehrte Projektbeteiligte,
im Anhang erhalten Sie das Protokoll Nr.: 208/AA 012 zur Baubesprechung vom 01.11.2024 zu Ihrer Kenntnisnahme und frIhre Unterlagen.
Termin der nchsten Baubesprecchng 019:
Bei Rckfrgen stehen wir Ihnen gerne zurr Verfgung.
Mit freundlichen Gren

MAßNAHMEN:

  1. Attachment mit der rechten Maus anklicken -> Anhang löschen
  2. Mail nicht löschen, zwecks Beweissicherung. Kann nach 6 Monaten weg.
  3. echten Kontakt über bekannte! Kontaktwege informieren, daß deren Outlook/Exchange gehackt wurde:

Diese Links mitschicken:

https://thehackernews.com/2024/02/critical-exchange-server-flaw-cve-2024.html

http://blog.fefe.de/?ts=9b3393bb

https://krebsonsecurity.com/2024/02/fat-patch-tuesday-february-2024-edition/

Weil:

Rapid7’s lead software engineer Adam Barnett highlighted CVE-2024-21413, a critical remote code execution bug in Microsoft Office that could be exploited just by viewing a specially-crafted message in the Outlook Preview pane.

Narang called special attention to CVE-2024-21410, an “elevation of privilege” bug in Microsoft Exchange Server that Microsoft says is likely to be exploited by attackers. Attacks on this flaw would lead to the disclosure of NTLM hashes, which could be leveraged as part of an NTLM relay or “pass the hash” attack, which lets an attacker masquerade as a legitimate user without ever having to log in.

Brian Krebs kommentiert dazu:

BrianKrebs @briankrebs

„IDK when Microsoft knew what, but this was definitely a vulnerability that was going to get reverse engineered and pounced on. It’s a scroll-your-Outlook-inbox-and-get-pwned bug. This could get bad quick.“

Und Ja, Brian Krebs hat recht, die Hütte brennt lichterloh!

LIEGT DER HACK BEI IHNEN?

Wenn Sie Outlook einsetzen, dann stellen Sie sicher, daß es alle Updates bekommen hat. Wenn Sie nicht auf dem neuesten Stand sind, könnten Sie betroffen sein. Wir empfehlen sofort auf Thunderbird umzusteigen, sollten keine Updates einspielbar sein.

Die Anzahl der Hacks in Emails im Zusammenhang mit den Outlook/Exchange Hacks nimmt rapide zu.

Daher kontaktieren Sie Ihre IT, informieren diese ggf. mit den obigen Links und lassen Sie alles Updaten.

Schon wieder verpatztes Notfallupdate bei Fedora: ClamAV 1.05

Schon wieder verpatztes Notfallupdate bei Fedora: ClamAV 1.05

Ich begnüge mich mal mit der Kurzfassung:

Am 7.2. kam ein SecurityPatch auf ClamAV 1.05, das ist die ältere Linie, raus, der 2 CVEs patched, die Remote ausgenutzt werden können: https://blog.clamav.net/2023/11/clamav-130-122-105-released.html

Das Update wurde auch zeitnah vom Maintainer gebaut, aber dummerweise nicht ins Stable gepusht 🙁 Das erinnert natürlich an die OpenSSH Release vor ein paar Tagen, Ihr erinnert Euch. Keine gute Quote für das Fedoraprojekt.

Das Update

Natürlich habe ich den Maintainer schon freundlich angemault, wer von Hand updaten will, kann das so machen:

sudo dnf update clamav –enablerepo=updates-testing -y

Der Gag

In der deutschen Bloggerlandschaft gibt es ja ein sehr aktives Blog, das sehr oft die Frage der Existenzberechtigung einer bestimmten Bundesbehörde stellt. Lieber Fefe, die machen z.B. das hier:

Sehr geehrte Damen und Herren,

im Rahmen der täglichen Lagebeobachtung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kenntnis über Schwachstellen in der Virenschutz-Lösung ClamAV erlangt.
Demnach könnte es einem Angreifer gelingen, aus der Ferne einen Pufferüberlauf und somit einen Softwareabsturz zu erzwingen (CVE-2024-20290). Weiterhin besteht die Gefahr einer Command Injection-Schwachstelle (CVE-2024-20328), die ClamAV selbst als „kritisch“ bezeichnet.

Inzwischen hat das BSI verwundbare Systeme in Deutschland identifiziert, die sich in Ihrem Zuständigkeitsbereich befinden. Konkret geht es um folgende IPs/URLs:
********* entfernt *********** ( zwar erreichbar, aber lehnt alles aus fremden Netzen ab )

Wir bitten Sie, den Sachverhalt zu prüfen und ggf. kurzfristig Schutzmaßnahmen einzuleiten, um Schaden zu verhindern.
Hinweise zur Absicherung können Sie zum Beispiel den Herstellerinformationen entnehmen:
https://blog.clamav.net/2023/11/clamav-130-122-105-released.html

Mit freundlichen Grüßen
das Team CERT-Bund

Im Auftrag
Till Kleinert

Bundesamt für Sicherheit in der Informationstechnik (BSI)
CERT-Bund
Godesberger Allee 87
53175 Bonn

Ohne das BSI wäre das Update zwar auch gekommen, aber vielleicht zu spät. Also danke, daß Ihr uns kontaktiert habt.

UPDATE 10:12 Uhr

Dank der Hilfe eines Unbekannten konnte ich das Update selbst ins Stable pushen (legal 🙂 ). Das Update kommt für jetzt.
Ich sollte mich langsam mal vom Projekt als inoffizielle Mitarbeiter bezahlen lassen 😉