Freiwilliger Rückruf von Netzteilen

Das Unternehmen Zebra, welches unter anderem für seine Label-Drucker bekannt ist, bietet eine freiwillige Rückrufaktion an. Netzteile, die während dem Zeitraum vom 01.10.2010 bis zum 31.12.2011 hergestellt wurden, sind möglicherweise betroffen. Darunter fallen seperat als Sets für den Nachrüstmarkt verkaufte oder beim Kauf eines der folgenden Zebra-Druckermodelle enthaltene Netzteile:

  • G-Serie (GK420D/T, GX420D/T, GX430D/T)
  • GT-Serie (GT800, GT810, GT820, GT830)
  • ZP455, HC100, P1XX-Serie (P100, P110, P120)
  • ZXP3

Unabhängige Tests haben bestätigt, dass das Problem auf eine spezielle Netzteil-Charge beschränkt ist und NICHT mit dem von Zebra hergestellten Drucker oder dem AC-Netzkabel in Verbindung steht.

Die Netzteile wurden von einem etablierten, renommierten Dritthersteller bezogen, der sich kooperativ hinsichtlich der Verfügungen der freiwilligen Rückrufaktion gezeigt hat.

Die Sicherheit seiner Kunden ist für Zebra von höchster Priorität. Obwohl Zebra die Netzteile nicht direkt hergestellt hat, ist sich Zebra dessen bewusst, dass seine Komponentenzulieferer ein erweiterter Teil seines Unternehmens sind, und bemüht sich nach Kräften um eine möglichst reibungslose Lösung dieser Angelegenheit für seine Kunden und Vertriebspartner.

Qualität – sowohl bei Produkten als auch beim Kundendienst – hat für Zebra höchste Priorität und wir verpflichten uns, die Sicherheit unserer Kunden zu gewährleisten.

Eine Anleitung zum identifizieren betroffener Geräte und das Anfordern eines Ersatznetzteils finden Sie hier.

Quellen:

zebra.com – Freiwilliger Rückruf von Netzteilen

Keylogger in HP-Notebooks entdeckt

Durch eine Sicherheits-Analyse von HP-Business-Notebooks stießen Sicherheitsforscher auf ein merkwürdiges Keylogging. Der Audio-Treiber schreibt dabei alle Tastatureingaben des Anwenders in eine öffentlich lesbare Datei.

Der vom Hersteller der kompeneten Conexant gelieferte Treiber MicTray64.exe ist ab Werk auf HP-Noteooks der Serien EliteBook, ProBook, Elite x2 und ZBook installiert. Er arbeitet mithilfe der Windows-Tastatureingabe-Funktionen, um auf spezielle Tasten wie z.B. den Lautstärkenreglern die Lautstärke anzupassen. Allerdings schreibt der Treiber auch alle anderen benutzen Tastendrücke in die öffentliche lesbare Datei: C:\Users\Public\MicTray.log. 

Passwörter in Gefahr

Um von dem Keylogger zu profitieren muss der Angreifer bereits Zugriff auf das System haben. Durch diesen Zugriff kann der Angreifer nun spielend die Log-Datei auslesen und hat somit Zugang auf Ihre zuvor eingegebenen Passwörter. Die Log-Datei wird bei jeder neuen Anmeldung des Users überschrieben, ist aber auch trotzdem noch in den Backups der Anwender zu finden.

HP hat mittlerweile für einige Modelle Patches veröffentlicht, welche den Keylogger entfernen und auch die Log-Datei löschen. Zuvor wurde noch eine Stellungnahme verschickt:

HP ist der Sicherheit und dem Schutz der Privatsphäre seiner Kunden verpflichtet. Der Sachverhalt rund um den Keylogger auf einigen HP PCs ist uns bekannt. HP hat aufgrund dieses Themas keinerlei Zugang zu Kundendaten. Unser Lieferant hat eine Software entwickelt, um die Audio-Funktionalität vor der Auslieferung der Produkte zu testen. Diese Software hätte nicht in der final an die Kunden ausgelieferten Version enthalten sein dürfen. Eine Lösung zur Behebung wird kurzfristig auf der HP Webseite hp.com verfügbar sein.

Für weitere Informationen empfehlen wir Ihnen den Bericht  HP-Notebooks: Audio-Treiber belauscht Tastatur von heise.de.

Quellen:

heise.de – HP-Notebooks: Audio-Treiber belauscht Tastatur

golem.de – Sicherheitslücke in Audio-Treiber auf HP-Notebooks

heise.de – Keylogger auf HP-Notebooks: Hersteller gesteht Fehler ein

Ransomware WannaCry: Noch keine Entwarnung

Der am Freitag erstmals gesichtete Kryptotrojaner WannaCry hat am Wochenende erheblichen Schaden angerichtet. Heise.de berichtete bereits am darauf folgenden Samstag, dass über 220.000 Computer in insgesamt 150 Länder befallen seien. Die ersten Spuren der Ransomware wurden wohl in Russland gefunden, von dort aus breitete WannaCry sich rasant aus. Insbesondere Großbritannien wurde schwer getroffen. So meldet das National Health Service (NHS) enormen Schaden. Zahlreiche Rechner seien Blockiert, auf Patientendaten konnte nicht mehr zugegriffen werden, Kranke mussten teilweise in andere Kliniken umgeleitet werden. Patienten berichteten von „chaotischen Zuständen“. Die NHS informiert über den aktuellen Stand auf seiner Webseite.

Aber auch Deutschland wurde nicht verschont. So bestätigte die Bahn gegenüber heise.de, dass Anzeigentafeln ihren Dienst verweigerten. Auch die Videoüberwachung, die die Bahn der Bundespolizei zur Verfügung stellt war betroffen. Die Systeme der Bundespolizei selbst waren jedoch nicht kompromittiert. Einer unserer Mitarbeiter berichtete von hektischem Treiben an den Bahnsteigen. Er selbst befand sich auf der Rückreise eines Geschäftstermins und beobachtete, wie Bahnmitarbeiter mit Zettel und Stift Hinweise notierten, Planänderungen per Papier an die Informationstafeln anbrachten und die Fahrgäste teilweise ziellos von Bahnsteig zu Bahnsteig liefen, da die Anzeigetafeln abgeschaltet waren. Auch die Sprechanlage sei im Dauereinsatz gewesen. Der Bahnbetrieb selbst sei aus Sicht unseres Kollegen jedoch normal verlaufen.

WannaCry gefährlicher als Locky

WannaCry ist der aus 2016 bekannten Ransomware Locky sehr ähnlich. Sie verbreitet sich per E-Mail und verschlüsselt nach dem Öffnen sämtliche Dateien um anschließend ein Lösegeld zu fordern. WannaCry fordert ein Lösegeld von ca. 300 US-Dollar bei Zahlung bis zum 15.05.2017. Danach verdoppelt sich das Lösegeld bis zum 19.05.2017. Sollte bis dahin nicht bezahlt worden sein, werden die Daten endgültig gelöscht. Anders als bei Locky verbreitet sich WannaCry jedoch auch innerhalb des internen Netzwerkes weiter, was die Verbreitung der Ransomware erheblich beschleunigt.

Sicherheitslücke in Windows ausgenutzt

Für die Verbreitung innerhalb des internen Netzwerkes nutzt WannaCry eine Sicherheitslücke im Windows Dateifreigabesystem (SMB) aus, welche Microsoft in seinem Microsoft Security Bulletin MS17-010 als kritisch einstuft. Microsoft hatte die Lücke bereits im März geschlossen, jedoch nur für aktiv supportete Systeme veröffentlicht. Ältere Systeme wie z.B. Microsoft Windows Server 2003 und Microsoft Windows XP blieben zunächst ungeschützt. Am 13.05.2017 hatte Microsoft aber auch für diese nicht mehr supporteten Systeme ein Update nachgereicht.

Da zahlreiche Anwender das automatische Installieren von Updates deaktivieren, bleiben solch brisante Sicherheitslücken meist noch monatelang offen, wie dieser Fall zeigt.

BSI: „Weckruf für Unternehmen“

Arne Schönbohm , Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) appelliert an den Nutzer:

Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.

Das BSI legt bereits seit dem Juli 2016 ein ausführliches Lagedossier zur Bedrohungslage, Angriffsvektoren und Präventionsmaßnahmen zum Thema Ransomware vor.

Killswitch sorgte nur vorrübergehend für Eindämmung

Eher zufällig hatten Sicherheitsforscher vorrübergehend eine Möglichkeit gefunden, die Ausbreitung von WannaCry durch eine Notabschaltung (Killswitch) einzudämmen. Sie hatten ermitteln können, dass die Kryptoware im Hintergrund eine bestimmte URL im Internet ansprechen die jedoch nicht existent war. Die Experten registrierten diese URL. Als der Schädling nun eine Antwort von dieser Adresse bekam, wurde die Verbreitung gestoppt. Allerdings wirkte diese Methode nur vorrübergehend, da inzwischen zahlreiche weitere Varianten von WannaCry aufgetaucht sind. AV-Test berichtet aktuell von 147 verschiedenen Versionen.

Unsere Empfehlungen

Vorsicht bei E-Mails

Walten Sie Vorsicht beim Öffnen von E-Mails. Prüfen Sie genau, ob der Absender vertrauenswürdig ist. Öffnen Sie Dateianhänge mit Bedacht. Im Zweifel ziehen Sie Ihren Systemadministrator zu Rate.

Systeme aktuell halten

Halten Sie Ihre Systeme aktuell. Im vorliegenden Fall sehen wir, dass Microsoft bereits im März Sicherheitsupdates ausgerollt hat, WannaCry dennoch einen extrem hohen Verbreitungsgrad erzielen konnte.

Offline-Backups

Sichern Sie Ihre Daten regelmäßig und verwahren Sie diese Offline. Datensicherungen auf Serverfreigaben können ebenfalls durch Ransomware verschlüsselt werden und somit unbrauchbar werden. Eine Möglichkeit ist das Sichern in die Cloud, wie wir sie in dem Beitrag Veeam – die richtige Lösung für jedes Backup-Szenario beschreiben.

Signaturen aktuell halten

Vergessen Sie Ihre EndPoint Protection und Ihre Firewall Systeme nicht! Auch diese können nur schnell und sicher reagieren, wenn den Systemen die aktuellsten Patches bereitliegen. Oftmals können sie Sicherheitslücken einer Software sogar schließen, bevor es der Softwarehersteller selbst tut.

Überprüfen Sie Ihre SMB-Freigaben

Überprüfen Sie regelmäßig, ob die Berechtigungen Ihrer Dateifreigaben im Netzwerk noch korrekt sind. Erfahrungsgemäß wachsen die Freigaben mit der Zeit, sodass viele Anwender Zugriff auf Verzeichnisse behalten, obschon sie diese lange nicht mehr benötigen.

Fragen?

Sie haben Fragen oder benötigen Unterstützung? Nehmen Sie mit uns Kontakt auf:

..oder senden Sie uns Ihre Nachricht:

4 + 1 = ?

 

Quellen:

heise.de – WannaCry: Was wir bisher über die Ransomware-Attacke wissen

heise.de – WannaCry: gewaltiger Schaden – geringer Erlös

heise.de – Ransomware WannaCry befällt Rechner der Deutschen Bahn

NHS – Advise for Patients

Security Update for Microsoft Windows SMB Server (4013389)

heise.de – WannaCry: BSI ruft Betroffene auf, Infektionen zu melden

BSI – Lagedossier Ransomware

AV-Test