+49 89 89082-110

Case-Study: Wie ein Wartungsupdate kritische Schwachstellen behebt (ActiveMQ)

In einem kürzlich durchgeführten Kundenprojekt stießen wir auf eine Apache ActiveMQ-Instanz, die für die Schwachstelle CVE-2023-46604 verwundbar war. Diese erlaubt es Angreifern mit Netzwerkzugriff auf die OpenWire-Schnittstelle (üblicherweise TCP-Port 61616), beliebige Befehle auf Betriebssystemebene auszuführen, ohne dabei ein Passwort oder einen Schlüssel angeben zu müssen.

Eine solche sogenannte “Remote-Code-Execution”-Schwachstelle, kurz “RCE”, stellt häufig ein hohes Risiko dar, da Angreifer mit einem solchen Zugriff oft in der Anwendung selbst implementierte Zugangsbeschränkungen umgehen können sowie potenziell Angriffe gegen andere Systeme durchführen können. Auch die Schwachstelle CVE-2023-46604 wurde mit einem maximalen CVSS-Risiko-Score von 10.0 bewertet. Schwachstellendetails sowie Proof-of-Concept-Exploits waren zum Testzeitpunkt bereits publik, mittlerweile hat das BSI sogar eine Warnung herausgegeben, da die Schwachstelle im Internet aktiv ausgenutzt wird.

Nachdem wir die Verwundbarkeit im vorliegenden Fall manuell verifiziert […]

Von |2024-03-26T17:36:00+01:0024. Januar 2024|
Weiterlesen

Docker-Sicherheit im Fokus: Gefährliche Container-Einstellungen und ihre Auswirkungen auf das Host-System

Die Nutzung von Virtualisierung, insbesondere durch Docker, hat die Art und Weise, wie Software entwickelt, bereitgestellt und betrieben wird, revolutioniert und ist insbesondere aus Cloud-Umgebungen nicht mehr wegzudenken. Die Effizienz und Portabilität, die Docker bietet, sind jedoch nicht ohne ihre Herausforderungen, speziell im Hinblick auf die Sicherheit.

Zwei Einstellungen für Docker-Container sind besonders verbreitet: die Einbindung des Docker-Sockets und das Starten von Containern mit erhöhten Rechten. In diesem Blogartikel werfen wir einen genaueren Blick auf diese zwei kritischen Container-Einstellungen, und wie sie von Angreifern genutzt werden können, um von einem kompromittierten Container auf das Host-System überzugehen. Diese potenziellen Sicherheitslücken stellen nicht nur eine Bedrohung für die Integrität und Vertraulichkeit der Containerumgebung dar, sondern können auch erhebliche Risiken für das gesamte Host-System mit sich bringen.

Container mit erhöhten […]

Von |2024-01-25T09:29:19+01:0018. Januar 2024|
Weiterlesen

KI Un(d)-Sicherheit

Spätestens seit dem Release von ChatGPT ist KI wieder in aller Munde und überall um uns herum beginnen Unternehmen neue und innovative Anwendungen mit KI zu entwickeln. Aktuell geht es um sogenannte Large Language Models (LLMs), die besonders ihre einfache Bedienbarkeit auszeichnet, da sie mit menschlicher Sprache und oftmals in Chat Form gesteuert werden können. Ganz vereinfacht gesagt handelt es sich bei LLMs um komplexe Modelle, die in einem gegebenen Kontext die wahrscheinlichste Folge von Wörtern finden.

Mit jeder neuen Technologie stellen wir uns von Berufswegen die Frage nach möglichen Schwachstellen und ob diese von Angreifern missbraucht werden können, um herauszufinden wie wir die Sicherheit dieser Systeme testen und unsere Kunden schützen können.

Ist das alles denn sicher?

In vielen Fällen leider nicht wirklich, zumindest ist die Sicherheit […]

Von |2024-01-25T09:32:59+01:0018. Dezember 2023|
Weiterlesen

Physische Sicherheit im digitalen Zeitalter

Die Digitalisierung ist in den meisten Unternehmen vorangekommen und damit wächst auch die Erkenntnis, dass diese Systeme unter den ständigen Angriffen von Hackern stehen und es sie dagegen zu schützen gilt.

Firewalls, Security Operations Center, Endpoint Detection und Response und ähnliche Lösungen geben ihr Bestes Unternehmen gegen digitale Angriffe zu schützen.
Zum Glück wird es immer einfacher mit Unternehmen aller Branchen über Cybersicherheit zu reden. Die Notwendigkeit des kontinuierlichen Testens und Verbesserns ist oftmals durch eigene, schmerzliche Erfahrungen bekannt und es gibt immer häufiger dedizierte Ansprechpartner und Budgets. Allerdings ist unser Anspruch die Sicherheit von Unternehmen ganzheitlich zu verbessern und dazu gehört mehr als alles Digitale.

In diesem Artikel möchte ich vor allem die Notwendigkeit für das Implementieren und Testen von physischen Sicherheitsmaßnahmen beschreiben, da diese leider viel […]

Von |2024-01-25T09:31:58+01:0011. Dezember 2023|
Weiterlesen

Open Source Intelligence (OSINT) im Red Teaming: Bessere taktische Erkenntnisse für mehr Sicherheit

In der dynamischen Welt der Cybersicherheit ist proaktives Handeln von entscheidender Bedeutung, um digitale Vermögenswerte vor sich entwickelnden Bedrohungen zu schützen. Red Teaming, ein Ansatz zur Sicherheitsüberprüfung, hat sich zu einer entscheidenden Strategie entwickelt, um Schwachstellen aufzudecken, bevor Angreifer es tun.

Das Fundament dieser modernen Strategie ist die Open Source Intelligence (OSINT), eine dynamische Analyse des jeweiligen Ziels, welche es dem Red Team ermöglicht, sich den entscheidenden Vorteil im simulierten „Angriff“ auf unsere Kunden zu verschaffen.

In diesem Artikel befassen wir uns mit der praktischen Integration von OSINT in das Red Teaming Framework und beleuchten Methoden, Tools und deren Auswirkungen auf die Steigerung der proaktiven Sicherheit.

Taktische Aufklärung dank öffentlich zugänglicher Daten

In einem Umfeld, in dem Bedrohungsakteure immer raffinierter werden, gewinnt die Rolle von Red Teamings bzw. TIBER-Assessments […]

Von |2024-01-25T09:32:49+01:006. Dezember 2023|
Weiterlesen

Umgehen von Userland Hooks in Malware

Sogenannte EDRs (Endpoint Detection and Response Software) und AV (Anti-Virus) Software verwenden unterschiedliche Techniken zur Detektion von potenziell schädlichem Code.

Unter vielen anderen Techniken, existieren drei einfache Möglichkeiten, um schädliches Verhalten zu erkennen:

  1. Userland API Hooks: Hooks werden für bestimmte API Funktionen gesetzt (wie z.B. `CreateRemoteThread`) um die Parameter der aufgerufenen Funktionen zur Laufzeit zu inspezieren
  2. Call Stacks: Über Call Stacks kann der Kontext, aus welcher eine Funktion ausgeführt wird, nachvollzogen werden. Aufgrund dieser Informationen lässt sich beurteilen ob es sich dabei um einen legitimen Funktionsaufruf handelt.
  3. Unbacked Memory: Generell ist Code, welcher aus ‚unbacked memory‘ (also Arbeitsspeicher, der nicht einem Programm auf der Festplatte entspricht) ausgeführt wird, nicht üblich.

In diesem Blogpost soll es darum gehen, mit welchen Techniken Angreifer […]

Von |2024-01-25T09:26:22+01:0028. November 2023|
Weiterlesen

Wie wird man eigentlich Hacker bzw. Pentester

Im Bereich der IT-Sicherheit zu arbeiten ist spannend, erfüllend und meist sehr gut bezahlt. Das ist nicht sonderlich überraschend, da man dafür bezahlt wird Hacker zu sein. Das heißt man bricht in Netzwerke und Computer ein, übernimmt die Kontrolle über Websites und findet verborgene Informationen im Internet und das alles ohne dabei Gesetze zu brechen.

Jetzt stellt sich natürlich die Frage:

Wie landet man in so einem Job?

Filme und Serien lassen oftmals vermuten, dass ein großes Wissen über Computer und ein schwarzer Kapuzenpulli ausreichend sind. Sicher sind beide dieser Dinge von großem Vorteil, leider aber nicht ausreichend.

Viele Kollegen, so auch ich, starten ihre Karriere tatsächlich im Bereich der „normalen“ IT und entdecken später die IT-Sicherheit für sich […]

Von |2024-01-15T08:17:57+01:0014. November 2023|
Weiterlesen

Ist technische Sicherheit genug – Pyramid of Pain vs. Pyramid of Love – Teil 2

Im ersten Teil der Blogartikelserie ging es um die Gefühlszustände von Angreifern, die sie in verschiedenen Phasen des Angriffs durchleiden (Pyramid of Pain). Ziel des Verteidigers war es, Hacker im besten Fall so massiv zu demotivieren, dass sie den Versuch, Kontrolle über Ihre Systeme zu erlangen, abbrechen.

Teil 2: Der Verteidiger – Pyramid of Love

Diesmal wird ein Cyberangriff von der Verteidigerseite aus betrachtet. Dabei steht wieder der Faktor Mensch im Vordergrund. Aufgabe eines jeden Verteidigers sollte es sein, Schutzmaßnahmen effizient umzusetzen, die den Mitarbeiter abholen und sich nahtlos in deren tägliche Prozesse integrieren. Die Realität ist, dass egal wie viel Sie in ihre Cybersicherheit investieren, vom Unsicherheitsfaktor Mensch, können Sie sich nicht freikaufen. Die gute Nachricht ist, dass da, wo die schwer kontrollierbare Gefahr lauert, gleichzeitig […]

Von |2024-01-15T08:17:47+01:002. August 2023|
Weiterlesen

Ist technische Sicherheit genug – Pyramid of Pain vs. Pyramid of Love – Teil 1

NSIDE Attack Logic war mit einem Vortrag vertreten bei der 25. DuD-Konferenz in Berlin. Dort trafen sich vom 12. bis zum 14. Juni 2023 Datenschutzbeauftragte, Anwälte und IT-Sicherheitsverantwortliche zum Gedanken- und Erfahrungsaustausch. Beherrschendes Thema war künstliche Intelligenz (KI) und die damit verbundenen Risiken. Aber auch Cybersecurity kam nicht zu kurz. Zitiert man die Veranstalter, so wurde klargestellt, dass IT-Sicherheit ebenfalls Datenschutz sei. Deshalb gab es dazu mehrere spannende Vorträge und wir hatten den Eindruck, dass es das am häufigsten diskutierte Thema auf den gelungenen Abendveranstaltungen war.

Rechtliche Themen und technische Herausforderungen greifen häufig ineinander. Ich heiße Sebastian Hofmann und bin seit März 2023 als Security Analyst bei NSIDE Attack Logic tätig. Mein Background für diesen Job ist recht ungewöhnlich, da ich über keine technische Ausbildung oder […]

Von |2024-03-16T09:41:11+01:0010. Juli 2023|
Weiterlesen

Wie kann ich es den Angreifern möglichst schwer machen?

Zunächst muss gesagt werden, dass es 100%ige Sicherheit nicht gibt. Nichtsdestotrotz kann ein Verteidiger es potenziellen Angreifern so schwer machen, dass der Aufwand für einen erfolgreichen Angriff den zu erwartenden Gewinn übersteigt. In diesem Blogpost möchte ich auf eben diese Möglichkeiten eingehen und aus einer Angreifer Perspektive genauer beleuchten, warum sich der (potenzielle hohe) Aufwand lohnt, diese umzusetzen.

Was bereits im Mittelalter funktioniert hat, kann ja nicht schlecht sein…

Wie eben bereits angesprochen, sollte das Ziel als Verteidiger sein, es einem Angreifer so schwer wie möglich zu machen. Hierbei hat sich die letzten Jahre ein Konzept namens Defense in Depth durchgesetzt. Eine schöne Analogie für Defense in Depth ist eine Ritterburg. Hier wurde auch nicht nur auf eine Verteidigungslinie gesetzt, sondern in Schichten gearbeitet. So folgte auf […]

Von |2023-07-13T12:11:10+02:003. Juli 2023|
Weiterlesen

BLEIBEN SIE AUF DEM LAUFENDEN

Melden Sie sich zu unserem Newsletter an und erhalten Sie einmal im Quartal wichtige und interessante Neuigkeiten rund um das Thema Cyber Security.

KONTAKT

NSIDE ATTACK LOGIC GmbH
Landshuter Allee 8
80637 München
Tel.: +49 89 89082-110
E-Mail: info@nsideattacklogic.de

ÜBER UNS

Warum NSIDE?
Management
Karriere
Referenzen
Presse

LEISTUNGEN

Red Team Assessment
Purple Teaming
Penetration Testing
Phishing-Simulation

WISSEN

Blog
Advisories
Lexikon
FAQ
Newsletter

FOLGEN SIE UNS!

    

Impressum
Datenschutzerklärung

© 2025 – NSIDE ATTACK LOGIC GmbH

Nach oben