{"id":18882,"date":"2019-03-29T10:02:59","date_gmt":"2019-03-29T08:02:59","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18882"},"modified":"2019-11-22T12:08:27","modified_gmt":"2019-11-22T10:08:27","slug":"msp-as-a-threat-vector","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/msp-as-a-threat-vector\/18882\/","title":{"rendered":"MSPs als Bedrohungsvektor"},"content":{"rendered":"<p class=\"MsoNormal\"><span style=\"color: black\">In einem Supply-Chain-Angriff zum Verbindungsglied zu werden, ist f\u00fcr jedes Unternehmen eine unangenehme Erfahrung \u2013 f\u00fcr Managed Services Provider (MSP) ist diese Situation jedoch besonders unerfreulich. Insbesondere dann, wenn die Verwaltung von Sicherheitssystemen zu den Dienstleistungen der Anbieter geh\u00f6rt. Und doch ist das Ganze Szenario nicht so spekulativ, wie wir es uns w\u00fcnschen w\u00fcrden.<\/span><\/p>\n<p><span style=\"color: black\">In der Tat schenken Cyberkriminelle MSPs besonders viel Aufmerksamkeit, denn sie sind diejenigen, die direkten Zugang zur Infrastruktur vieler anderer Unternehmen haben. Wenn sie sich erst einmal sicher in ein MSP-Netzwerk eingeschleust haben, stehen Ihnen unbegrenzte M\u00f6glichkeiten zum Diebstahl von Daten oder der Infektion des Ger\u00e4ts zur Verf\u00fcgung. Aus diesem Grund nehmen Cyberkriminelle die Toolkits der MSPs ganz genau unter die Lupe und warten geduldig darauf, dass einer der Anbieter einen Fehler macht. Vor einiger Zeit bekam eine Gruppe Cyberkrimineller genau das, was sie wollten: <\/span><span style=\"color: black\"><a href=\"http:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2017-18362\" target=\"_blank\" rel=\"noopener nofollow\">Angreifer nutzten die Softwareschwachstelle eines MSPs, um Kryptomalware-Nutzlast auf den Ger\u00e4ten der Kunden zu installieren.<\/a>\u00a0<\/span><\/p>\n<h2><span style=\"color: black\">Um welche Schwachstelle handelte es sich? <\/span><\/h2>\n<p class=\"MsoNormal\"><span style=\"color: black\">Die Schwachstelle residierte im ManagedITSync-Plug-In von ConnectWise f\u00fcr die Cross-Integration zwischen der Automatisierungsplattform f\u00fcr professionelle Dienstleistungen <i>ConnectWise Manage<\/i> und dem System zur Fern\u00fcberwachung und -verwaltung <i>Kaseya VSA<\/i>.<\/span><\/p>\n<p class=\"MsoNormal\"><span style=\"color: black\">Die Sicherheitsl\u00fccke erm\u00f6glicht das Fern\u00e4ndern der Kaseya-VSA-Datenbank. Auf diese Weise k\u00f6nnen Angreifer neue Benutzer mit beliebigen Zugriffsrechten hinzuf\u00fcgen und Aufgaben erstellen \u2013 dazu z\u00e4hlt beispielsweise auch der Upload von Malware auf alle MSP-Kundenrechner.<\/span><\/p>\n<p class=\"MsoNormal\"><span style=\"color: black\">Hierbei handelt es sich jedoch keinesfalls um eine neue Schwachstelle; urspr\u00fcnglich wurde die Sicherheitsl\u00fccke bereits im Jahr 2017 entdeckt. Durch die Aktualisierung seines Plug-Ins, konnte ConnectWise die Bedrohung damals neutralisieren. Wie so oft haben jedoch nicht alle Benutzer das Update installiert.<\/span><\/p>\n<h2><span style=\"color: black\">Details zum Vorfall<\/span><\/h2>\n<p>Dem <a href=\"https:\/\/blog.huntresslabs.com\/cve-2017-18362-arbitrary-sql-injection-in-mangeditsync-integration-ba142ff24f4d\" target=\"_blank\" rel=\"noopener nofollow\">Forschungsteam<\/a> von Huntress Labs zufolge wurde die Sicherheitsl\u00fccke von unbekannten Hackern genutzt, um die Computer eines nicht benannten MSP-Kunden mit der Verschl\u00fcsselungs-Ransomware <em>GandCrab<\/em> anzugreifen. Die Angreifer nutzten die Tatsache, dass Kaseya \u00fcber den Administratorzugriff auf alle Endbenutzerger\u00e4te verf\u00fcgte zu ihrem Vorteil, und erstellten eine Aufgabe, um die Malware auf den jeweiligen Endpoints herunterzuladen und auszuf\u00fchren. \u00dcber die Gefahren von GandCrab haben wir bereits\u00a0<a href=\"https:\/\/www.kaspersky.de\/blog\/gandcrab-ransomware-is-back\/25854\/\" target=\"_blank\" rel=\"noopener\">in diesem Beitrag<\/a> berichtet.<\/p>\n<p class=\"MsoNormal\"><span style=\"color: black\">Es gibt keine weitere Informationen dar\u00fcber, ob es sich hierbei um einen singul\u00e4ren Vorfall handelte; auff\u00e4llig ist jedoch, dass zur ungef\u00e4hr gleichen Zeit von der US-amerikanische Agentur f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) vor dem Anstieg b\u00f6sartiger Cyberaktivit\u00e4t chinesischer Akteure, die MSPs im Visier haben,\u00a0<a href=\"https:\/\/ics-cert.us-cert.gov\/CISA-Awareness-Briefing-Chinese-Malicious-Cyber-Activity\" target=\"_blank\" rel=\"noopener nofollow\">gewarnt<\/a>\u00a0wurde.<\/span><\/p>\n<h2><span style=\"color: black\">Wie k\u00f6nnen Sie sich sch\u00fctzen? <\/span><\/h2>\n<p>An erster Stelle steht immer die gewissenhafte Aktualisierung Ihrer Software. Wenn Sie auf der Suche nach einer L\u00f6sung f\u00fcr das spezifische Integrationsproblem zwischen ConnectWise Manage und Kaseya VSA sind, sollten Sie zun\u00e4chst das <a href=\"https:\/\/marketplace.connectwise.com\/kaseya\" target=\"_blank\" rel=\"noopener nofollow\">Integrationstool aktualisieren<\/a>.<\/p>\n<p class=\"MsoNormal\"><span style=\"color: black\">Vertrauen Sie bitte nicht darauf, dass es sich hierbei um einen isolierten Einzelfall handelt. Denn vermutlich sind (dieselben) Angreifer bereits auf der Suche nach M\u00f6glichkeiten, an weitere MSP-Kunden zu gelangen.<\/span><\/p>\n<p class=\"MsoNormal\"><span style=\"color: black\">Aus diesem Grund sollte der Schutz Ihrer eigenen und der Infrastruktur Ihrer Kunden gleicherma\u00dfen ernst genommen werden. Wenn Sie Sicherheitsdienste anbieten, sollten Sie bereits \u00fcber alle notwendigen Tools zum Schutz Ihrer eigenen Systeme verf\u00fcgen.<\/span><\/p>\n<p>Welche Services Kaspersky Lab f\u00fcr MSPs zur Verf\u00fcgung stellt, erfahren Sie <a href=\"https:\/\/www.kaspersky.de\/partners\/managed-service-provider?redef=1&amp;reseller=gl_kdmsp_acq_ona_smm__onl_b2b__wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Angreifer zeigen aktives Interesse an MSPs und nutzen Schwachstellen aus, um Kunden mit Kryptomalware zu infizieren.<\/p>\n","protected":false},"author":700,"featured_media":18883,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[2566,535,1498],"class_list":{"0":"post-18882","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-msp","9":"tag-ransomware","10":"tag-schwachstellen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/msp-as-a-threat-vector\/18882\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/msp-as-a-threat-vector\/15522\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/msp-as-a-threat-vector\/13069\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/msp-as-a-threat-vector\/17447\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/msp-as-a-threat-vector\/15596\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/msp-as-a-threat-vector\/14277\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/msp-as-a-threat-vector\/18139\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/msp-as-a-threat-vector\/17105\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/msp-as-a-threat-vector\/22513\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/msp-as-a-threat-vector\/26209\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/msp-as-a-threat-vector\/11610\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/msp-as-a-threat-vector\/10545\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/msp-as-a-threat-vector\/23912\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/msp-as-a-threat-vector\/18206\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/msp-as-a-threat-vector\/22377\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/msp-as-a-threat-vector\/22313\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/msp\/","name":"MSP"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18882"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18882\/revisions"}],"predecessor-version":[{"id":20876,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18882\/revisions\/20876"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18883"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}