Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

heise-Angebot: iX-Workshop: Webanwendungen absichern mit OWASP® Top 10

Webanwendungen sind ein beliebtes Ziel von Cyber-Angriffen. Der iX-Workshop OWASP® Top 10 für Entwickler führt in die zehn häufigsten Risiken ein, denen Webanwendungen ausgesetzt sind. Da Webanwendungen häufig mit Schwachstellen entwickelt werden, ist dieses Wissen entscheidend, um die Integrität und Sicherheit von Anwendungen zu gewährleisten.

Anzeige

Über die häufigsten Sicherheitslücken informiert das Open Web Application Security Project (OWASP®) in seinen Top Ten Web Application Security Risks.

In diesem praxisorientierten Workshop erfahren Entwickler und IT-Profis, wie sie Sicherheitslücken systematisch erkennen und beheben können. Im Mittelpunkt stehen die zehn häufigsten Sicherheitsrisiken nach der OWASP-Klassifizierung. Sie lernen nicht nur theoretische Grundlagen, sondern durchlaufen konkrete Übungsszenarien, die Ihnen helfen, ein tiefes Verständnis für die OWASP® Top 10 Risiken zu entwickeln. Sie lernen, wie Schwachstellen in Web-Applikationen identifiziert und ausgenutzt werden und welche Gegenmaßnahmen sinnvoll sind.

Februar
18.02. – 19.02.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 20. Jan. 2025
Mai
20.05. – 21.05.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 21. Apr. 2025
August
12.08. – 13.08.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 14. Jul. 2025
November
05.11. – 06.11.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 07. Okt. 2025

Im Unterschied zum Workshop OWASP® Top 10: Kritische Sicherheitsrisiken für Webanwendungen verstehen führen Sie in diesem Workshop selbstständig Übungen durch, in denen typische Angriffsmethoden erlernt werden. Jeder Teilnehmende erhält einen individuellen Zugang zur Trainingsplattform. Dort suchen Sie selbstständig mit Kali Linux und Burp nach Schwachstellen in verschiedenen verwundbaren Anwendungen. Der Referent steht während der gesamten Übung für Fragen zur Verfügung und stellt die Lösung nach der vorgegebenen Zeit in der Gruppe vor.#

Weiterlesen
  21 Aufrufe

Bitwarden als native App für Android verfügbar

Die Entwickler des Passwort-Managers Bitwarden haben die Smartphone-Apps von .NET MAUI auf nativen Code umgezogen. Beta-Versionen gab es schon; jetzt ist die native Android-App über den Google Play Store allgemein verfügbar.

Anzeige

In einem Blog-Beitrag erörtern die Bitwarden-Entwickler die Neuerung. Der Umzug zu nativen mobilen Apps "erlaube Bitwarden, Nutzern neue Funktionen anzubieten, verbesserte App-Performance und tiefere Integration mit nativen Hardwarefunktionen wie Biometrie und Mehr-Geräte-Unterstützung", schreiben sie. Die Entwickler versprechen etwa eine schneller reagierende Bedienoberfläche, mit einem schnelleren Bildschirmaufbau der App selbst sowie spürbar flotteren Reaktionen, wenn man Schaltflächen antippt.

Die Bedienoberfläche sei zudem besser angepasst und responsiver sowie auf die jeweilige mobile Plattform maßgeschneidert. Aufgrund der Anpassung an das Betriebssystem soll auch die Bedienung intuitiver werden und die Apps so reagieren, wie Nutzer es vom jeweiligen OS gewohnt sind. Zudem verspricht Bitwarden eine allgemeine Verbesserung der Sicherheit und Privatsphäre, da native Apps auf integrierte, plattformspezifische Sicherheitsfunktionen zugreifen.

Die nativen Apps von Bitwarden setzen auf Kotlin anstatt wie zuvor auf .NET MAUI, schreiben die Entwickler in der Produktbeschreibung im Google Play Store. Die App läuft ab Android 10, ältere Varianten werden nicht mehr unterstützt. Im Play Store wurde die Aktualisierung bereits in der vergangenen Woche eingepflegt, nun ist der Blog-Beitrag entsprechend aktualisiert. Die Roadmap sieht auch eine native iOS-App vor, diese ist aber noch nicht allgemein verfügbar.

Weiterlesen
  21 Aufrufe

heise-Angebot: iX-Workshop: E-Rechnungspflicht - Anpassung von Faktura- und ERP-Software

Seit 2025 gilt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Februar
17.02. – 21.02.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 19. Jan. 2025
April
07.04. – 11.04.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 09. Mrz. 2025
Juni
02.06. – 06.06.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 04. Mai 2025
August
04.08. – 08.08.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 06. Jul. 2025
Oktober
06.10. – 10.10.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 07. Sep. 2025

Der nächste Workshop findet vom 17. bis 21. Februar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (17., 19. und 21. Februar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

Weiterlesen
  0 Aufrufe

Vertrauensdiensteanbieter D-Trust informiert über Datenschutzvorfall

Bei der D-Trust GmbH ist es am 13. Januar 2025 zu einem Cyberangriff gekommen. Betroffen ist laut D-Trust das Antragsportal für Signatur- und Siegelkarten. Bei dem Angriff seien möglicherweise personenbezogene Daten von Antragstellern entwendet worden. "Ausgegebene Signatur- und Siegelkarten wurden nicht kompromittiert und können weiter genutzt werden. PINs, Passwörter, Zahlungsinformationen sowie andere Systeme sind nicht betroffen", heißt es in einer Pressemitteilung von D-Trust.

Anzeige

In einem Schreiben informieren die Geschäftsführer ihre Kunden darüber, dass zu den abgegriffenen Daten "Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, ggfls. Adressdaten sowie ggfls. Nummer des Ausweisdokuments" gehören. Auf eine Anfrage, welche Kartentypen betroffen sind, hat D-Trust bisher nicht reagiert. Laut dem Hinweis eines Lesers sind zum Beispiel auch Signaturkarten für Tragwerksplaner (Bauingenieure) betroffen. Ob auch das Gesundheitswesen betroffen ist, ist unklar. Viele Kunden gehören zum Gesundheitswesen. Das Unternehmen stellt auch Signatur- und Siegelkarten für Ärzte, Apotheker und andere am Gesundheitswesen Beteiligte bereit, um digitale Dienste im Gesundheitswesen zu nutzen.

Überdies ist in dem Kundenschreiben von einem Angriff die Rede, der gezielt "auf eine Störung des Geschäftsbetriebs der D-Trust GmbH ausgerichtet war. Gleichwohl ist nicht auszuschließen, dass die möglicherweise entwendeten Daten zu Ihrer Person auch zu Betrugsversuchen genutzt werden." Weiter fordert D-Trust seine Kunden auf, wachsam zu sein, da die Daten für Betrugsversuche genutzt werden könnten. Ebenfalls heißt es, dass die Funktion und Sicherheit der ausgegebenen Zertifikate nicht beeinträchtigt seien und dass sie gewohnt weiter genutzt werden können.

Nach Bekanntwerden des Angriffs habe D-Trust umgehend Maßnahmen ergriffen, "um den Schutz der Daten im Portal sicherzustellen". Die Aufsichtsbehörden sind informiert und eine Strafanzeige gegen Unbekannt gestellt. Mit den Behörden und einem Sicherheitsteam wird derzeit an der Aufklärung gearbeitet. "Vor dem Hintergrund der laufenden Ermittlungen der Sicherheitsbehörden gegen den Angreifer, können wir Ihnen leider keine weiteren Informationen zur Verfügung stellen", heißt es auf Anfrage von heise online. Unklar ist daher das Ausmaß des Angriffs.

Weiterlesen
  23 Aufrufe

Daten von rund 250.000 MSI-Kunden bei Have I Been Pwned

Mitte 2024 kam es bei MSI zu einem Datenabfluss von hunderttausenden Kundendatensätzen. Das Have-I-Been-Pwned-Projekt hat nun 250.000 Datensätze davon in den Datenfundus integriert.

Anzeige

Auf der Projekt-Webseite schreibt der Betreiber Troy Hunt, dass MSI Mitte vergangenen Jahres versehentlich viele tausend Kundendatensätze aus Rückgabe- oder Umtausch-Anfragen (RMA claims) öffentlich zugreifbar gelagert hatte. Für solche Vorgänge müssen Kundinnen und Kunden Formulare ausfüllen und etwa E-Mail-Adressen und Anschriften angeben.

Es waren knapp 250.000 solcher Datensätze zugreifbar. So viele einmalige E-Mail-Adressen nebst Namen, Telefonnummern, physischer Anschrift und Garantieansprüchen umfassten die Daten.

Auf Nachfrage habe MSI lapidar verlauten lassen, dass es keine Belege gebe, dass auf die Informationen jemals zugegriffen wurde. Der Sicherheitsvorfall habe zudem keine staatlichen Anforderungen zur Benachrichtigung über ein Datenleck ausgelöst, da keine Sozialversicherungsnummern, Führerscheinnummern oder Ähnliches betroffen waren.

Weiterlesen
  13 Aufrufe

Online-Kriminalität: 2024 wieder Millionenschäden in Niedersachsen

Auf Anfrage von heise online hat das Landeskriminalamt Niedersachsen erste Zahlen zur Online-Kriminalität aus der Eingangsstatistik der Behörde für das Jahr 2024 extrahiert. In vielen Teilbereichen war die Anzahl an Straftaten offenbar rückläufig, dennoch gab es allein im Flächenland Niedersachsen einen Multi-Millionenschaden zu beklagen.

Anzeige

Die Eingangsstatistik ist nicht die offizielle Polizeiliche Kriminalstatistik (PKS), zu denen die Landeskriminalämter (LKA) und das Bundeskriminalamt (BKA) in der Regel zum zweiten Quartal des Folgejahres informieren. Es gibt unter anderem andere Zuordnungen von Straftaten zu Rubriken. Das BKA führt gar keine Eingangsstatistik und konnte daher keine entsprechenden Auskünfte erteilen.

Das LKA Niedersachsen hat für mehrere Teilbereiche der Online-Kriminalität rückläufige Zahlen festgestellt. Der Gesamtschaden bleibt dennoch beträchtlich. Etwa im Bereich Ransomware gab es Veränderungen zu beobachten. Während 2022 eine niedrige dreistellige Fallzahl zu verzeichnen war, bei der Institutionen im Mittelpunkt standen, kam es 2023 bei konstantem Niveau zu einer Verschiebung hin zu Privatpersonen als Opfer. Im abgelaufenen Jahr wurde nun eine mittlere zweistellige Fallzahl angezeigt, wobei nur noch sehr wenige Privatpersonen betroffen waren ("niedriger einstelliger Bereich"). Verlässliche Aussagen zu finanziellen Schäden können nicht getroffen werden.

Ein größeres Problem sind weiterhin Angriffe auf Online-Banking. Hier nennt das LKA für die Jahre 2022 bis 2024 jeweils Fallzahlen im niedrigen vierstelligen Bereich. Immerhin seien die Zahlen für 2024 leicht rückläufig. Allerdings: Die Schadenssumme liegt im "niedrigen zweistelligen Millionenbereich". Gegenüber 2020 liegen die registrierten Taten jedoch auf sehr hohem Niveau, ergänzen die Beamten.

Weiterlesen
  17 Aufrufe

WordPress-Plug-in W3 Total Cache: Potenziell 1 Millionen Websites attackierbar

Aufgrund einer Sicherheitslücke im WordPress-Plug-in W3 Total Cache sind Websites verwundbar. Sind Attacken erfolgreich, können Angreifer auf eigentlich abgeschottete Informationen zugreifen. Admins sollten die dagegen abgesicherte Version installieren.

Anzeige

Bislang gibt es noch keine Berichte über laufende Attacken. Admins sollten aber nicht zu lange mit der Installation des Updates zögern. Laut der Statistik auf der WordPress-Website weist das Plug-in zurzeit mehr als 1 Million aktive Installationen auf.

Vor der Schwachstelle warnen Sicherheitsforscher von Wordfence in einem Beitrag. Die Lücke (CVE-2024-12365) ist mit dem Bedrohungsgrad "hoch" eingestuft. Weil in der is_w3tc_admin_page-Funktion eine Überprüfung fehlt, können Angreifer dort auf einem nicht näher beschriebenen Weg ansetzen.

Das klappt aber nur, wenn sie bereits Zugriff auf Subscriber-Ebene haben. Ist das gegeben, können sie unter anderem unberechtigt Informationen einsehen. Das Plug-in soll bis einschließlich der Version 2.8.1 verwundbar sein. Nun ist die gegen die geschilderte Attacke geschützte Ausgabe 2.8.2 erschienen.

Weiterlesen
  16 Aufrufe

Biden ordnet Verschlüsselung von E-Mail, DNS und BGP an

Einen riesigen Katalog an Maßnahmen für IT-Sicherheit verordnet US-Präsident Joe Biden seinen US-Bundesbehörden. Die Bandbreite der Maßnahmen ist gewaltig, sodass kaum ein behördliches IKT-System unberührt bleiben wird. Es muss Jahre gedauert haben, den am Donnerstag veröffentlichen Präsidentenerlass vorzubereiten. Es ist sich gerade noch ausgegangen, vier Tage vor dem Ende der Amtszeit Bidens.

Anzeige

Enthalten sind nicht nur Vorgaben für die interne Gebarung von Bundesbehörden, sondern auch für deren Lieferanten und Dienstleister, sonst hätte das Unterfangen ja wenig Sinn. Unterstützt die eingekaufte Software DNS-Verschlüsselung nicht, nutzt der schönste Resolver nichts. Verarbeitet der BGP-Router des Netzbetreibers die Origin-Schlüssel nicht, läuft die Absicherung der Datenübertragung ins Leere. Ist die Hardware schon vor Einbau kompromittiert, hat die Abwehr schweren Stand.

Doch stehen die Vorgaben im Gegensatz zum Regulierungsabbau, wie ihn Bidens Amtsnachfolger Donald Trump predigt, und zu dessen geplanten radikalen Kürzungen im öffentlichen Dienst. Vielleicht speziell für Trump hebt Bidens Erlass gleich zu Beginn zweimal hervor, wen es abzuwehren gilt: Gegner und Kriminelle, allen voran die Volksrepublik China. Sie sei die "aktivste und hartnäckigste IT-Bedrohung für US-Behörden, den Privatsektor und die Kritische Infrastruktur".

"Es muss mehr getan werden, um die IT-Sicherheit der Nation gegen diese Bedrohungen zu schützen", schreibt der US-Präsident, dessen Erlass frühere Präsidentenerlässe von Barack Obama, Donald Trump und Biden selbst fortschreibt. Er erklärt es zur offiziellen Strategie der Regierung, Anbieter von Software und Cloud-Diensten stärker zur Verantwortung zu ziehen, die Sicherheit behördlicher Kommunikations- und Identitätsmanagementsysteme zu stärken, sowie innovative Entwicklungen und neue Technik (lies: KI) für IT-Sicherheit einzusetzen.

Weiterlesen
  23 Aufrufe

US-Verbraucherschützer wollen Webhoster GoDaddy zu mehr IT-Sicherheit zwingen

Die US-amerikanische Wettbewerbs- und Verbraucherschutzbehörde FTC (Federal Trade Commission) geht gegen GoDaddy vor, einen der größten Webhosting-Anbieter der Welt. Die unabhängige US-Aufsicht wirft dem Unternehmen mangelnde IT-Sicherheit bei Webhosting-Diensten sowie irreführende Versprechungen zum Datenschutz vor. Cyberangriffe aufgrund schwachen Schutzes könnten GoDaddy-Kunden und deren Website-Besucher schaden. Deshalb verlangt die FTC von GoDaddy etliche Maßnahmen zur Verstärkung der eigenen IT-Sicherheit.

Anzeige

Die US-Behörde verweist auf schwerwiegende Sicherheitsverletzungen in den Jahren von 2019 bis 2022, bei denen Cyberkriminelle unbefugten Zugriff auf Websites von GoDaddy-Kunden erlangen konnten. So konnten im Dezember 2022 etwa Angreifer nach einem Cyber-Einbruch GoDaddy-Webseiten umleiten. Besucher von Kunden-Websites wurden sporadisch und automatisch auf Malware-Seiten weitergeleitet. Ein Jahr zuvor betraf eine GoDaddy-Datenpanne 1,2 Millionen WordPress-Kunden, als sich Cyberangreifer Zugang zu persönlichen Daten dieser GoDaddy-Kunden verschaffen konnten. Insgesamt zählt GoDaddy laut FTC rund 5 Millionen Webhosting-Kunden.

In der offiziellen Beschwerde listet die FTC zu den "unangemessenen Sicherheitspraktiken" unter anderem, dass GoDaddy versäumt hat, Vermögenswerte und Software-Updates zu inventarisieren und zu verwalten, Risiken für seine Shared-Hosting-Dienste nicht abgeschätzt hat, sicherheitsrelevante Ereignisse in der Hosting-Umgebung nicht ausreichend protokolliert und überwacht hat, sowie das Shared Hosting von weniger sicheren Umgebungen nicht getrennt hat. Dazu gehört auch, dass GoDaddy keine Multifaktor-Authentifizierung nutzt und keine Software einsetzt, um Logdateien auf mögliche Bedrohungen zu prüfen.

Zudem wirft die FTC GoDaddy vor, Kunden durch irreführende Angaben auf der eigenen Website, in E-Mails oder bei Werbung in sozialen Netzwerken getäuscht zu haben. Der Webhoster verweist dabei auf "angemessene Sicherheit" seiner Angebote und dass sich GoDaddy an Datenschutz-Rahmenvereinbarungen der USA mit der EU und der Schweiz hält. Diese verlangen von Unternehmen "angemessene und geeignete Maßnahmen zum Schutz personenbezogener Daten". Die Angaben GoDaddys sind nach Einschätzung der FTC nicht zutreffend.

Weiterlesen
  23 Aufrufe

Codefinger-Ransomware verschlüsselt Amazon-S3-Buckets

Eine aktuelle Ransomware-Kampagne zielt auf Datenhalden in Amazon-S3-Buckets. Die Angreifer nutzen die "Server-Side Encryption with Customer Provided Keys" (SSE-C), also serverseitige Verschlüsselung mit von Kunden angegebenen Schlüsseln, von Amazons AWS.

Anzeige

Zur Entschlüsselung der mit AES-256-Keys verschlüsselten Daten verlangen die Cyberkriminellen Lösegeld, schreibt Halcyon in einer Analyse. Besonders auffällig: Die Angreifer missbrauchen keine Schwachstellen in AWS, sondern nutzen reguläre Amazon-AWS-Zugangsdaten. Die Taktik stelle den IT-Forschern zufolge eine signifikante Evolution der Ransomware-Fähigkeiten dar, da es keine bekannte Methode zur Wiederherstellung der Daten gebe außer der Zahlung des Lösegelds.

Sie heben außerdem hervor, dass die Täter native Ressourcen für ihren Angriff missbrauchen. Mit kompromittierten AWS-Keys verschlüsseln sie S3-Buckets mittels SSE-C, was die Wiederherstellung ohne den erstellten Schlüssel unmöglich mache. Der Datenverlust sei irreversibel, da AWS Cloudtrail lediglich eine HMAC der Verschlüsselungskeys protokolliere, was für eine Wiederherstellung oder forensische Analyse nicht ausreiche. Zudem bauen die Cybergangster Druck auf, indem die Dateien zur Löschung innerhalb von sieben Tagen markiert werden. In den Erpressernotizen mit den Zahlungsdetails warnen die Täter außerdem davor, die Zugangsberechtigungen zu ändern.

Kaspersky hat im Rahmen dieser Ransomware-Kampagne im Darknet gewühlt und stieß dabei seit Jahresbeginn auf mehr als 100 einzigartige, kompromittierte Kontoinformationen für Amazon AWS. Insgesamt seien im Darknet große Mengen an unterschiedlichen Zugängen zu Amazons AWS-Cloud zu finden, teilt der russische Antivirenhersteller mit: mehr als 18.000 Konten seien mit der URL "console.aws.amazon.com" verknüpft, über 126.000 mit "portal.aws.amazon.com" und mehr als 245.000, die zu "signin.aws.amazon.com" gehören sollen. Die Virenforscher ergänzen, dass diese Informationen oft von Infostealern oder Datastealern stammen würden, die solche Daten sammeln. Am häufigsten seien dies der Lumma-Stealer und Redline.

Weiterlesen
  23 Aufrufe

Angreifer schmuggeln Malware in Bilder auf Website

Der aktuelle Threat Insights Report HP zeigt, wie Cyberkriminelle Malware-Kits und generative KI einsetzen, um effizientere Angriffe zu entwickeln. Die neusten Tools reduzieren nicht nur den Zeitaufwand für die Erstellung von neuen Angriffskomponenten sondern auch die erforderlich Fähigkeiten. GenKI ermöglicht es zudem Angreifern mit Techniken zu experimentieren, die die Erkennung von Malware deutlich erschweren. Der neuste Trend: Die Einbettung von bösartigen Code in Bilddateien.

Basierend auf den Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft, identifizierten Security-Experten unter anderem folgende Kampagnen:

Malware-by-Numbers-Kits
Kampagnen verbreiten die Malware VIP Keylogger und 0bj3ctivityStealer verbreiteten. Bei beiden versteckten die Angreifer bösartigen Code in Bildern auf Filehosting-Websites wie archive.org. Mit solchen Techniken umgehen Angreifer die Erkennung ihrer Malware: Die Bilddateien erscheinen harmlos, wenn sie von bekannten Websites heruntergeladen werden.

GenKI unterstützt dabei, bösartige HTML-Dokumente zu erstellen
Die Experten entdeckten außerdem eine XWorm-Remote-Access-Trojaner (RAT)-Kampagne, initiiert durch HTML-Schmuggel. Diese enthält bösartigen Code, der die Malware herunterlädt und ausführt. Ähnlich wie bei der von HP im vorigen Quartal analysierten AsyncRAT-Kampagne deutete der Code darauf hin, dass er mit Hilfe von GenAI geschrieben wurde. Dazu gehören beispielsweise eine zeilenweise Beschreibung und das Design der HTML-Seite.

Gaming-Betrüger haben keinen Erfolg
Angreifer kompromittieren auf GitHub gehostete Cheat-Tools und Modifikations-Repositories für Videospiele. Sie fügen ausführbare Dateien hinzu, die die Lumma-Stealer-Malware enthalten. Sie erbeutet Passwörter, Krypto-Wallets und Browser-Informationen der Opfer. Die Anwender machen es ihnen leicht: Sie deaktivieren häufig Sicherheitstools, um Cheats herunterzuladen und zu verwenden. Ohne Isolationstechnologie setzen sie sich so einem größeren Infektionsrisiko aus.

Weiterlesen
  25 Aufrufe

Es kann Schadcode auf HPE Aruba Networking AOS Controllers und Gateways gelangen

Angreifer können Netzwerke mit Controllern und Gateways von HPE Aruba attackieren. Sind Attacken erfolgreich, kann Schadode auf Systeme gelangen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, sind davon konkret die Produkte Mobility Conductor, Mobility Controllers und WLAN und SD-WAN Gateways mit den Softwareversionen bis jeweils inklusive AOS 8.10.0.14, 8.12.0.2 und 10.4.1.4 bedroht.

Die Entwickler warnen, dass davon auch weitere Versionsstränge bedroht sind, die aber nicht mehr im Support sind. Damit ausgestattete Geräte bleiben verwundbar. Um weiterhin Sicherheitsupdates zu bekommen, ist ein Upgrade auf eine aktuelle Ausgabe fällig.

Eine Lücke (CVE-2025-23051 "hoch") betrifft das webbasierte Management-Interface. Hier können Angreifer Systemdaten überschreiben. Die zweite Schwachstelle betrifft das CLI-Interface (CVE-2025-23052 "hoch"). An dieser Stelle können Angreifer eigene Befehle im Betriebssystem ausführen. Wie Attacken ablaufen können und ob es bereits Angriffe gibt, ist derzeit nicht bekannt.

Weiterlesen
  20 Aufrufe

Updates gegen Lecks in Ivanti Application Control Engine, Avalanche und EPM

Ivanti hat für mehrere Produkte Sicherheitsupdates veröffentlicht, die teils kritische Schwachstellen ausbessern. Aktualisierungen stehen für Ivantis Software-Verwaltungs-Software Application Control Engine, Avalanche und den Endpoint Manager (EPM) bereit.

Anzeige

Allein in Ivantis Endpoint Manager klaffen 16 Sicherheitslücken, davon vier als kritisches Risiko eingestufte. Laut der Sicherheitsmitteilung von Ivanti sind die kritischen Schwachstellen (CVE-2024-10811, CVE-2024-13161, CVE-2024-13160, CVE-2024-13159; CVSS 9.8) allesamt vom Typ Path-Traversal und ermöglichen nicht authentifizierten Angreifern, unbefugt sensible Informationen auszuleiten. Die zwölf weiteren Sicherheitslücken stufen Ivantis Entwickler als hohes Risiko ein. Die Versionen Ivanti EPM 2024 January-2025 Security Update und EPM 2022 SU6 January-2025 Security Update schließen die Sicherheitslecks. Offenbar gibt es nach dem Anwenden der Updates jedoch Probleme mit "Windows Action" in der Softwareverteilung, wodurch die Aktionen nicht sichtbar sind und daher keine neuen erstellbar oder bestehende veränderbar sind. Bestehende Pakete funktionieren jedoch weiter.

In Ivanti Avalanche bessert das Unternehmen der Sicherheitswarnung zufolge drei hochriskante Schwachstellen aus. Auch diese sind von Typ Path-Traversal. Zwei ermöglichen bösartigen Akteuren die Umgehung der Authentifizierung (CVE-2024-13181, CVE-2024-13179, beide CVSS 7.3, hoch). Eine weitere ermöglicht nicht authentifizierten Angreifern aus dem Netz, auf sensible Informationen zuzugreifen (CVE-2024-13180, CVSS 7.5, hoch). Ivanti Avalanche Version 6.4.7 oder neuer schließen die Lücken. Die aktualisierte Software ist im Download-Portal von Ivanti erhältlich.

Zuletzt warnt Ivanti noch vor einem Sicherheitsleck in der Application Control Engine. Angemeldete Angreifer können eine Race-Condition missbrauchen, um die App-Blockade-Funktion auszuhebeln (CVE-2024-10630, CVSS 7.8, hoch). Den Fehler korrigieren Ivanti Application Control 2024.3 HF1, 2024.1 HF2 und 2023.3 HF3. Ivanti Security Controls werden zwar noch bis zum 31. Dezember 2025 unterstützt, erhalten aber kein Update mehr, da ein Release ohne signifikanten Einfluss auf die Performance nicht möglich sei. Ivanti nennt in der Warnung manuelle Gegenmaßnahmen, empfiehlt jedoch den Umstieg auf Ivanti Application Control (UWM AC) oder Ivanti Neurons for App Control. Letzteres ist eine Cloud-Software, die Ivanti bereits am 12. Dezember mit Patches ausgestattet hat. Wer sich Ivanti Application Control in EPM installiert hat, sollte die aktuelle Version 10.14.4.0 besorgen und mit dem Privilege-Management-Plug-in importieren.

Weiterlesen
  18 Aufrufe

Windows-Update-Probleme: Rollback bei installiertem Citrix-Agent

Die Windows-Updates, die Microsoft am Januar-Patchday veröffentlicht hat, lassen sich auf Systemen mit bestimmter Citrix-Software nicht installieren. Es gibt jedoch Abhilfe für Betroffene, diese müssen dafür aktiv werden.

Anzeige

Microsoft räumt das Problem in der Release-Ankündigung für das Windows Update für Windows 10 22H2 ein. "Geräte, die bestimmte CItrix-Komponenten installiert haben, könnten nicht in der Lage sein, die Installation des Januar-2025-Sicherheitsupdates abzuschließen", schreibt Microsoft.

Die Entwickler führen weiter aus: "Das Problem wurde auf Geräten mit Citrix Session Recording Agent in Version 2411 beobachtet. Die Version 2411 wurde im Dezember 2024 veröffentlicht". Betroffene Geräte können initial das Januar-2025-Windows-Sicherheitsupdate korrekt herunterladen und anwenden, etwa durch das Windows-Update in den Systemeinstellungen. "Beim Neustart des Geräts zum Vervollständigen der Update-Installation erscheint dann eine Fehlermeldung mit der Nachricht gleichlautend zu 'Etwas funktionierte nicht, wie erwartet. Keine Sorge, Änderungen werden zurückgenommen' – und das Gerät kehrt zu den zuvor installierten Windows-Updates auf dem Gerät zurück".

Da die Version 2411 des Citrix Session Recording Agent eine neue Version ist, schätzt Microsoft nur wenige Organisationen als betroffen ein. Heimanwender seien zudem den Erwartungen nach nicht betroffen.

Weiterlesen
  12 Aufrufe

heise-Angebot: heise security Webinar: Praktische Basis-Security fürs Active Directory

Out of the box sind Windows-Netze mit Active Directory unsicher und leichte Beute für Angreifer jeglicher Art. Doch das kann man mit recht einfachen Maßnahmen deutlich verbessern: Ebenen und speziell gesicherte Admin-Arbeitsplätze haben sich bewährt. Doch der Teufel steckt im Detail. Wir zeigen nicht nur, warum jeder diese Konzepte umsetzen sollte, sondern auch, wie man das praktisch realisiert. Und für Mitglieder von heise security PRO gibt es obendrauf noch weitere Unterstützung bei der Umsetzung.

Anzeige

Unser erfahrener Referent Frank Ully liefert dazu ganz praktische Leitlinien, wie man etwa die Ebenen konkret einteilt, wie viele man davon abhängig von der Unternehmensgröße wirklich braucht und wie man das etwa mit Cloud-Ressourcen kombiniert. Auch für Probleme beim Einrichten und Einsetzen von Privileged Access Workstations (PAWs) etwa im Homeoffice präsentiert Ully pragmatische Lösungsansätze.

Dieses praxisorientierte heise security Webinar am 11. März um 10:00 richtet sich an alle, die ein Active Directory betreuen und für dessen Sicherheit verantwortlich sind. In dem etwa zweistündigen Live-Event ist viel Zeit für Ihre Fragen vorgesehen. Die Teilnahme kostet für Nicht-Mitglieder 175 Euro; aktuell kann man noch zum Frühbucherpreis von 155 Euro buchen. Weitere Informationen zum Inhalt und die Möglichkeit sich anzumelden, gibt es auf der Webseite zu:

Für Mitglieder von heise security PRO ist diesmal nicht nur die Teilnahme kostenlos. Darüber hinaus bieten wir im Nachgang Hilfe bei der Umsetzung der hier vermittelten Konzepte exklusiv für Mitglieder von heise security PRO. Der Referent beantwortet im Nachgang vier Wochen lang in unserem PRO-Forum Fragen zu Inhalten des Webinars, die sich eventuell erst aus der konkreten Umsetzung ergeben. Überdies können sich alle die PRO-Mitglieder auch untereinander im Active-Directory-Themenforum zu ihren Erfahrungen mit Tiering und PAWs austauschen. Mehr Informationen zu den weiteren Vorteilen von heise Security PRO gibt es hier:

Weiterlesen
  14 Aufrufe

IT-Sicherheit: EU-Kommission will Gesundheitsbranche unterstützen

Die EU-Kommission will die IT-Sicherheit von Krankenhäusern und Gesundheitsdienstleistern stärken. Dazu hat sie am Mittwoch einen Aktionsplan vorgelegt. Attacken haben teils fatale Folgen. Die Kommission schlägt nun vor, dass die Enisa (Agentur der Europäischen Union für Cybersicherheit) ein gesamteuropäisches Zentrum zur Unterstützung der IT-Sicherheit für den Gesundheitssektor einrichtet. Dieses soll Betreibern "maßgeschneiderte Leitlinien, Instrumente, Dienste und Schulungen zur Verfügung" stellen.

Anzeige

Vier Bereiche stehen im Fokus des Plans. Dazu gehören die verstärkte Prävention sowie die bessere Identifizierung von Bedrohungen sowie Reaktion auf Angriffe, um deren Auswirkungen zu minimieren. Auch das Thema Abschreckung steht auf der Agenda: "Cyberbedrohungsakteure" sollen etwa per Diplomatie und dem Hinweis auf Sanktionen davon abgehalten werden, europäische Gesundheitssysteme anzugreifen.

Das Gesundheitswesen wird zu Prävention angehalten. Mitgliedstaaten könnten dafür auch Gutscheine einführen, um kleinen und mittleren Einrichtungen finanziell unter die Arme zu greifen. Das bei der Enisa geplante Zentrum soll bis 2026 einen EU-weiten Frühwarndienst entwickeln, der nahezu in Echtzeit Hinweise auf potenzielle Bedrohungen liefert. Die Initiative sieht einen Krisenreaktionsdienst für den Gesundheitssektor im Rahmen der EU-Cybersicherheitsreserve vor. Übungen sollen Gesundheitsorganisationen auf Angriffe, etwa mit Ransomware, vorbereiten. Erhalten einschlägige Einrichtungen Lösegeldforderungen, müssten sie dies melden und Strafverfolgungsbehörden einbeziehen.

Spezifische Maßnahmen sollen 2025 und 2026 schrittweise sowie Hand in Hand mit Gesundheitsdienstleistern, den EU-Ländern und der IT-Sicherheits-Community eingeführt werden. Zur Vorbereitung möchte die Kommission eine öffentliche Konsultation durchführen, deren Ergebnisse in weitere Empfehlungen münden sollen. "Patienten müssen sich darauf verlassen können, dass ihre sensibelsten Informationen sicher sind", betonte Gesundheitskommissar Oliver Várhelyi. Die Digitalisierung im Gesundheitssystem mit ihren "beispiellosen Möglichkeiten" etwa für Präzisionsmedizin sei nur so stark wie das Vertrauen, das dieses widerstandsfähig gegen IT-Angriffe bleibe.

Weiterlesen
  20 Aufrufe

Kopierdienst rsync mit kritischer Lücke

Das unter Linux beliebte rsync-Tool zur Datei-Synchronisierung wies mehrere Sicherheitslücken auf. Die schlimmste davon findet sich im rsync-Server und erlaubt das Einschleusen und Ausführen von fremdem Code. Der Angreifer benötigt dazu lediglich einen anonymen, lesenden Zugriff.

Anzeige

Offenbar hat sich ein Team von Sicherheitsforschern bei Google die Open-Source-Software systematisch angesehen. Dem schreiben jedenfalls die Entwickler die Entdeckung von fünf der sechs Sicherheitslücken zu, die das aktuelle Release rsync 3.4.0 schließt. Darunter findet sich auch der kritische Pufferüberlauf auf dem Heap des Servers, den Angreifer gezielt herbeiführen und ausnutzen können (RCE, CVSS 9.8, CVE-2024-12084). Aleksei Gorban "loqpa" steuert noch eine Race Condition bei der Behandlung von symbolischen Links bei, die Angreifer dazu nutzen können, sich erhöhte Privilegien zu erschleichen (CVSS 5.6, CVE-2024-12747).

Insgesamt listet die Ankündigung der Version rsync 3.4.0 sechs Lücken auf:

CVE-2024-12084 -⁠ Heap Buffer Overflow in Checksum Parsing.CVE-2024-12085 -⁠ Info Leak via uninitialized Stack contents defeats ASLR.CVE-2024-12086 -⁠ Server leaks arbitrary client files.CVE-2024-12087 -⁠ Server can make client write files outside of destination directory using symbolic links.CVE-2024-12088 -⁠ -⁠-⁠safe-links Bypass.CVE-2024-12747 -⁠ symlink race condition.

Die Lücken betreffen Versionen vor rsync 3.4.0 etwa in Red Hat und Suse Linux; verschiedene BSD-Distributionen scheinen zumindest gemäß der Übersicht des CERT der CMU nicht betroffen zu sein. Nutzer von rsync sollten die aktualisierten Versionen baldmöglichst installieren – bevor etwa die Ransomware-Bande Cl0p sie gezielt für eine seiner Datenklau-Kampagnen mit anschließender Erpressung ausnutzt.

Weiterlesen
  19 Aufrufe

Darknet: Konfigurationen und VPN-Passwörter von Fortinet-Geräten aufgetaucht

VPN-Zugangsdaten und komplette Konfigurationsdateien tausender FortiNet-Appliances sind im Darknet aufgetaucht, wo eine bislang unbekannte Angreifergruppe sie verschenkt. Die Daten hängen offenbar nicht mit kürzlich veröffentlichten Sicherheitslücken im Appliance-Betriebssystem FortiOS zusammen. heise security hat eine erste Analyse versucht.

Anzeige

In Darknet-Foren gibt es bisweilen kleine Geschenke: So ist es üblich, dass Untergrundhändler Kostproben ihrer Ware kostenlos herausgeben, um deren Qualität zu beweisen – ein Vorgehen, das womöglich von der legalen Datenhandelsbranche abgeschaut ist. Doch komplette Leaks tausender Konfigurations- und Passwortdateien – das ist nicht alltäglich. Eine neue Gruppe namens "Belsen Group" verschenkte nun über 15.000 Datensätze, die offenbar über eine Sicherheitslücke von Fortinet-Firewalls abgezogen wurden.

heise security hat sich den Datensatz besorgt und zunächst oberflächlich analysiert. Es handelt sich um eine ZIP-Datei mit insgesamt 145 Unterverzeichnissen, eines für jedes Land mit betroffenen Geräten. Die meisten, nämlich 1603 FortiNet-Konfigurationen, haben die Angreifer in Mexiko erbeutet, 679 in den USA und 208 in Deutschland. Überwiegend befinden sich diese IP-Adressen im Netz der Deutschen Telekom und von Vodafone, aber auch andere bekannte Internetprovider und Hoster sind darunter.

Gratisleck: Ein neuer Akteur im illegalen Datenmarkt verschenkt massenhaft sensible Daten von FortiNet-Firewalls.

Weiterlesen
  19 Aufrufe

Fehler in Google OAuth: Daten von Mitarbeitern gescheiterter Start-ups gefährdet

Googles OAuth-Login gefährdet offenbar persönliche Daten der Ex-Mitarbeiter gescheiterter Start-ups, die Google Workspace nutzten. Das beschreibt der Mitgründer der IT-Sicherheitsfirma Truffle in einem Blogpost: Wer die Domain eines solchen Unternehmens kauft, kann mit Googles OAuth auf alte Mitarbeiter-Accounts bei im Google Workspace eingebundenen Diensten wie Slack, ChatGPT, Notion, Zoom oder Human-Resources-Plattformen zugreifen. Gerade bei HR-Plattformen sind oft sensible Daten hinterlegt. Dafür muss man offenbar nur den E-Mail-Account eines Ex-Mitarbeiters auf der Domain neu erstellen.

Anzeige

Der Zugriff auf die Plattformen über Googles OAuth-Login funktioniert, weil der betreffende Dienst, beispielsweise Slack, beim Anmeldeversuch anhand spezifischer Identifikatoren entscheidet, ob die Anmeldung durchgeführt wird oder nicht.

Es könnte also zum Beispiel die Regel gelten "Alle Accounts auf @gescheitertesStartup.de-können auf das Slack des gescheiterten Start-ups zugreifen". Ist das die einzige Regel, anhand der Slack den Login bestätigt oder ablehnt, kann ein neuer Domain-Inhaber mit der neu erstellten E-Mailadresse eines Ex-Mitarbeiters einfach auf alle Slack-Channels zugreifen, auf die der Mitarbeiter Zugriff hatte.

Das Problem ließe sich laut dem Blogpost lösen, wenn Google zwei unveränderliche, eindeutige Identifikatoren in die OpenID-Connect-Attribute seiner OAuth-Implementierung aufnähme: Eine einzigartige Nutzer-ID, die sich nie ändert und eine einzigartige, an die Domain gebundene Workspace-ID.

Weiterlesen
  18 Aufrufe

Cybergang Cl0p: Angeblich Daten durch Cleo-Sicherheitslücke abgezogen

Die kriminelle Online-Bande Cl0p hat angeblich erneut zugeschlagen: Durch eine Sicherheitslücke in der Datentransfer-Software Cleo seien die Täter bei vielen Unternehmen eingebrochen und hätten sensible Daten kopiert. Sie drohen mit der Veröffentlichung.

Anzeige

Auszug der Liste der Firmen, denen Cl0p angeblich Daten gestohlen hat.

(Bild: Screenshot / dmk)

Im Darknet-Auftritt listet Cl0p 59 Firmen-Domains auf, bei denen sie angeblich durch eine Sicherheitslücke in Cleo Daten abgegriffen hat. Die Kriminellen drohen mit der Veröffentlichung, sollten die Unternehmen nicht bis Samstag, den 18. Januar, reagieren und in Verhandlung mit Cl0p treten. Außerdem kündigen sie an, einen neuen Teil der Firmenliste am 21. Januar zu veröffentlichen.

Weiterlesen
  20 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image