Database Security Digest – Juni 2017
Laut einer von Ponemon Institute durchgeführten Untersuchung sind die durchschnittlichen Kosten eines Datenlecks im Jahr 2016 um 10 Prozent auf 3,62 Millionen Dollar gesunken. Allerdings hat sich das durchschnittliche Volumen der Lecks um 24.000 Datensätze erhöht. Hier ist ein Überblick über die Nachrichten zur Datenbanksicherheit des Vormonats.
OneLogin-Datenleck, das zum Albtraum werden kann
Was kann für einen großen Passwortverwaltungsdienst schlimmer sein, als Datenbanktabellen zu leaken, die Informationen über Benutzer, Apps und verschiedene Arten von Schlüsseln enthalten? Laut OneLogins Post könnte es sein, dass Hacker während sieben Stunden im System auch sensible Daten entschlüsselt haben. Die Information, dass sensible Daten entschlüsselt wurden, ist jedoch noch nicht bestätigt worden. Hoffen wir das Beste.
Oops, ein weiterer Ransomware-Angriff
Während die Hacker auf eine weitere Portion Zero-Day-Schwachstellen von Shadow Brokers warten, versuchen sie, den maximalen Vorteil aus EternalBlue (Microsoft Server Message Block-Protokoll-Schwachstelle) zu ziehen und verteilen damit die Nitol-Backdoor und die Gh0st RAT-Malware. Außerdem haben unbekannte Bedrohungsakteure neue Malware namens Petya unter Verwendung von EternalBlue und EternalRomance verbreitet. 80% der Petya-Infektionen traten in der Ukraine auf. Im Gegensatz zu WannaCry stellt Petya den Schlüssel zur Entschlüsselung der Daten nicht zur Verfügung, sobald das Lösegeld gezahlt wurde, wodurch die verschlüsselten Daten völlig nutzlos werden. Es hat auch einige zusätzliche Funktionen, die die Verbreitung im Netzwerk erleichtern, was es gefährlicher macht als seinen Vorgänger.
Microsoft veröffentlichte im März 2017 Patches für unterstützte und nicht unterstützte Windows-Versionen, um die EternalBlue-Schwachstelle zu beheben. Es sieht so aus, als hätten viele Nutzer das Update trotz aller Warnungen aufgeschoben.
Hacker beteiligen sich aktiv an Wahlen
Die Ermittler der US-Wahlhacking-Affäre haben berichtet, dass es mindestens einen Fall gibt, bei dem eine Wählerdatenbank manipuliert wurde. Persönliche Daten von 90.000 Wählern, die in der Datenbank gespeichert waren, wurden ebenfalls gestohlen. Die Behörden versuchen jetzt festzustellen, ob es von einer Kreml-nahen Hackergruppe durchgeführt wurde oder nicht.
8tracks gehackt
Der beliebte Internet-Radio- und Social-Networking-Dienst 8tracks hat einen Datenverstoß erlitten, bei dem die Daten von 18 Millionen Benutzern, einschließlich E-Mails und SHA 1 verschlüsselten Passwörtern, kompromittiert wurden. Der Angriff wurde durch das GitHub-Konto eines Mitarbeiters durchgeführt, das nicht mit Zwei-Faktor-Authentifizierung gesichert war.
43TB Datenleck
Laut Appthority’s Bericht haben mehr als 1.000 Anwendungen auf mobilen Geräten persönlich identifizierbare Informationen wie Standort, Passwörter, VPN-PINs, Telefonnummern und E-Mails geleakt. Der Schuldige des Problems liegt in falsch konfigurierten Backend-Speicherplattformen wie MySQL, MongoDB, Redis, Elasticsearch.
Datenbankschwachstellen
Microsoft Azure
CVE-2017-8613Beschreibung: Eine Schwachstelle in Azure Active Directory Connect, die verwendet wird, um den Status der Synchronisierung eines Netzwerks zwischen lokalem Active Directory und einem cloudbasierten Active Directory zu überwachen. Wenn diese während der Aktivierung falsch konfiguriert wird, kann ein Angreifer Passwörter zurücksetzen und unautorisierten Zugriff auf beliebige privilegierte On-Premises-AD-Benutzerkonten erhalten.
Microsoft hat bereits ein Update veröffentlicht, um die Schwachstelle zu beheben.
IBM DB2
CVSS-Schweregrad-Score: 7.1
Beschreibung: Eine Buffer Overflow-Schwachstelle, die es einem lokalen Benutzer ermöglichen könnte, DB2-Dateien zu überschreiben oder einen Denial of Service zu verursachen.
CVSS-Schweregrad-Score: 7.3
Beschreibung: Lokal ausnutzbare Stack-basierte Buffer Overflow-Schwachstelle, die durch fehlerhafte Grenzüberprüfung verursacht wird und es einem lokalen Angreifer ermöglichen könnte, beliebigen Code auszuführen.
PostgreSQL
CVSS-Schweregrad-Score: 6.5
Beschreibung: PostgreSQL PL/Java vor 1.5.0 erlaubt entfernten authentifizierten Benutzern, Typ-Zuordnungen für Typen zu ändern, die sie nicht besitzen.
CVSS-Schweregrad-Score: 7.5
Beschreibung: PostgreSQL PL/Java nach 9.0 beachtet keine Zugriffskontrollen für große Objekte. Über das Netzwerk ohne Authentifizierung ausnutzbar.
CVSS-Schweregrad-Score: 6.5
Beschreibung: PostgreSQL PL/Java vor 1.5.0 ermöglicht es entfernten authentifizierten Benutzern mit USAGE-Berechtigung im öffentlichen Schema, das Classpath des öffentlichen Schemas zu ändern.
MS SQL
Beschreibung: In Redgate SQL Monitor kann ein entfernter Angreifer unautorisierte Zugriffe auf den Base Monitor erlangen, wodurch er in der Lage ist, beliebige SQL-Befehle auf allen überwachten Microsoft SQL Server-Maschinen auszuführen. Wenn der Base Monitor sich mit diesen Maschinen unter Verwendung eines Kontos mit SQL-Admin-Rechten verbindet, kann Codeausführung auf dem Betriebssystem zu einer vollständigen Systemkompromittierung führen (wenn Microsoft SQL Server mit lokalen Administratorrechten ausgeführt wird).
Hive
CVSS-Schweregrad-Score: 5.9
Beschreibung: In Umgebungen, die einen externen Speicherort für Hive-Tabellen verwenden, sollte der Hive Authorizer in Apache Ranger RWX-Berechtigungen für das Erstellen von Tabellen überprüfen.
Greenplum Database 4.3.14.1
Das Update der Greenplum-Datenbank bietet Checksum-Schutz zur Erkennung von Korruptionsproblemen bei Änderungsverfolgungsdateien während der Wiederherstellung mit dem Greenplum Database gprecoverseg -Dienstprogramm oder der Resynchronisation von Greenplum Database-Segmentinstanzen. Die vollständige Liste der behobenen Fehler finden Sie hier.
Der Hotfix enthält folgende Änderungen:- Eine Sicherheitskorrektur, die Datenbankfehler während der LDAP-Authentifizierung behebt.
- Kafka-Integrationsfix. Fehlerhafte Einfügung von Protokollnachrichten in die kafka_events-Systemtabelle behoben.
- Abbruch der Wiederherstellung, wenn eine globale Katalogsperre bei einigen Sperren fehlschlug. Das Problem wurde behoben.
- Eine Identitätsspalte ohne zugeordneten Sequenz verursachte den Ausfall der Datenbank beim Exportieren von Objekten. Das Problem wurde behoben.
Database Security Digest – Mai
Database Security Digest – April
Database Security Digest – März
