Comretix Blog

Online-Betrüger haben einen weiteren Weg gefunden, wie sie mit manipulierten Werbelinks in Suchergebnissen Opfer finden können. Sie schieben dabei Webseiten falsche Telefonnummern unter.

Die Websuche liefert offenbar Werbelinks auf die echten Webseiten – die enthalten aber unsichtbare "Extras".

(Bild: Malwarebytes)

Vor der Betrugsmasche warnt Malwarebytes aktuell. Die Täter schalten Werbeanzeigen, die auf die Support-Seiten von renommierten Unternehmen verweisen, unter anderem Apple, Bank of America, Facebook, HP, Microsoft, Netflix und Paypal. Oftmals leiten Betrüger solche Werbelinks auf gefälschte Webseiten um. In diesem Fall landen potenzielle Opfer aber tatsächlich auf den echten Webseiten der Unternehmen. Dort landen sie auf den Support-Seiten – anstatt der echten Telefonnummer zeigen sie jedoch die Telefonnummer der Betrüger an.

Die Adressleiste des Webbrowsers zeigt die korrekte Domain des gesuchten Anbieters an, wodurch bei Besuchern kein Misstrauen aufkommt. Jedoch bekommen Besucherinnen und Besucher irreführende Informationen angezeigt, da der Werbelink so manipuliert wurde, dass die Webseite die betrügerische Telefonnummer in einem Feld anzeigt, das nach einem Suchanfragenfeld aussieht.

AMD hat im Juni aktualisierte Firmware veröffentlicht, die teils hochriskante Sicherheitslücken in den Prozessoren schließt. Betroffen sind etwa die Krypto-Coprozessoren sowie das Firmware-TPM moderner Ryzen- und zum Teil auch der abgespeckten Athlon-CPUs.

In einem Sicherheits-Bulletin schreibt AMD, dass ein IT-Sicherheitsforscher eine Sicherheitslücke gemeldet hat, durch die Angreifer mit erhöhten Rechten auf die Register des Krypto-Coprozessors zugreifen können. Der ist Teil des AMD Secure Prozessor (ASP). Bei dem wiederum handelt es sich um einen integrierten Controller aller jüngeren Systems-on-Chip (SoCs), der ein Trusted Execution Environment (TEE) und eine in der Hardware verankerte Root of Trust bereitstellt und etwa den Systemstart absichert.

Durch unzureichende Zugriffskontrolle des ASP können der Beschreibung zufolge Angreifer unbefugt auf die Register des Krypto-Coprozessors des ASPs zugreifen. Das kann in den Verlust der Kontrolle über Pointer und Indizes kryptografischer Schlüssel führen, was einen "Verlust an Integrität und Vertraulichkeit" bewirkt (CVE-2023-20599 / EUVD-2023-24778, CVSS 7.9, Risiko "hoch").

Bemerkenswert: Am Abdichten der Schwachstelle hat AMD zwei Jahre gebastelt, die wurde bereits 2023 gemeldet. OEMs stellt AMD aktualisierte Firmware bereit, die Liste der betroffenen Prozessoren im Sicherheits-Bulletin bleibt überschaubar.

AMD stellt zudem ein Firmware-basiertes Trusted Platform Modul (fTPM) in vielen Prozessoren bereit. Es nutzt ebenfalls den ASP und setzt auf der TPM-2.0-Referenzimplementierung der Trusted Computing Group auf. In dieser Referenzumsetzung erlaubt eine Schwachstelle, über das Ende vorgesehener Speicherbereiche hinaus zu lesen, erörtert AMD in einer Sicherheitsnotiz. Apps im Usermode können bösartig präparierte Befehle an das fTPM schicken und damit darin abgelegte Daten auslesen oder "die Verfügbarkeit des TPM beeinflussen", sprich, es zum Absturz bringen (CVE-2025-2884 / EUVD-2025-17717, CVSS 6.6, Risiko "mittel"). "AMD hat den Bericht der Trusted Computing Group untersucht und geht davon aus, dass AMDs Firmware-TPM von der Schwachstelle betroffen ist", schreiben die Ingenieure weiter.

Wenn Angreifer Sicherheitslücken in Veeam Backup & Replication und Veeam Agent for Windows erfolgreich ausnutzen, können sie im schlimmsten Fall Backup-Server mit Schadcode kompromittieren. Sicherheitspatches stehen zum Download bereit.

Wie die Entwickler in einer Warnmeldung ausführen, haben sie insgesamt drei Softwareschwachstellen geschlossen. Über eine "kritische" Lücke (CVE-2025-23121) kann ein Angreifer, der als Domainnutzer identifiziert ist, Schadcode ausführen. Damit Attacken auf die zweite Schwachstelle (CVE-2025-24286 "hoch") klappen, muss ein Angreifer als Backup Operator authentifiziert sein. Ist das gegeben, kann er Schadcode ausführen.

Die Entwickler versichern, beide Sicherheitslücken in Veeam Backup & Replication 12.3.2 (build 12.3.2.3617) geschlossen zu haben.

Veeam Agent for Windows ist ebenfalls für Schadcode-Attacken anfällig (CVE-2025-24287 "mittel"). An dieser Stelle schafft die Version 6.3.2 (build 6.3.2.1205) Abhilfe. Wie Attacken in allen Fällen ablaufen könnten, ist bislang unklar. Derzeit gibt es keine Berichte zu Attacken. Das kann sich aber schnell ändern. Dementsprechend sollten Admins ihre Systeme zeitnah auf den aktuellen Stand bringen.

Zuletzt haben die Entwickler im März dieses Jahres eine kritische Sicherheitslücke in Veeam Backup & Replication geschlossen.

Vor Sicherheitslücken in mehreren Produkten warnt Citrix aktuell. In Netscaler ADC und Gateway klafft etwa ein kritisches Sicherheitsleck, aber auch der Citrix Secure Access Client und die Workspace App für Windows weisen Schwachstellen auf. Citrix hat aktualisierte Software bereitgestellt, die die Lücken schließt.

In Netscaler ADC und Gateway können Angreifer auf nicht näher erläutertem Wege Speicherbereiche außerhalb vorgesehener Grenzen lesen, was auf unzureichende Prüfung von übergebenen Daten zurückgeht (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch"). Zudem nutzt das Netscaler Management Interface unzureichende Zugriffskontrollen und ermöglicht dadurch offenbar unbefugte Zugriffe (CVE-2025-5349 / EUVD-2025-18494, CVSS 8.7, Risiko "hoch"). Die Schwachstellen haben die Entwickler laut Sicherheitsmitteilung in den Versionen Netscaler ADC und NetScaler Gateway 14.1-43.56 sowie 13.1-58.32, Netscaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.235 sowie in Netscaler ADC 12.1-FIPS 12.1-55.328 ausgebessert. Auch Secure Private Access on-prem und Secure Private Access Hybrid-Instanzen sind verwundbar.

In einer weiteren Sicherheitswarnung beschreibt Citrix eine Lücke in Netscaler Console und SDX, durch die Angreifer beliebige Daten lesen können (CVE-2025-4365 / EUVD-2025-18493, CVSS 6.9, Risiko "mittel"). Netscaler Console 14.1.47.46 und 13.1.58.32 stopfen das Leck ebenso wie Netscaler SDX (SVM) 14.1.47.46 und 13.1.58.32.

Außerdem berichtet Citrix von einer Sicherheitslücke in Secure Access Client für Windows. Aufgrund unzureichender Rechteverwaltung können lokale Nutzer ihre Rechte zu SYSTEM ausweiten (CVE-2025-0320 / EUVD-2025-18498, CVSS 8.5, Risiko "hoch"). Wie bei den anderen Lücken erörtern die Entwickler nicht, wie das konkret zustande kommt und wie Angriffe aussehen können. Das Problem korrigiert jedoch Citrix Secure Access Client für Windows 25.5.1.15.

Schließlich klafft noch in der Citrix Workspace App für Windows eine Sicherheitslücke. Auch hier nennen die Entwickler nur allgmein eine unzureichende Rechteverwaltung, die Nutzern die Ausweitung ihrer Rechte auf SYSTEM ermöglichen (CVE-2025-4879 / EUVD-2025-18569, CVSS 7.3, Risiko "hoch"). Citrix Workspace App für Windows 2409, 2402 LTSR CU2 Hotfix 1 und 2402 LTSR CU3 Hotfix 1 bringen Fehlerkorrekturen zum Ausbessern der Schwachstelle mit.

Die Internetriesen Meta und Yandex sind beim Tracken ihrer Nutzer erwischt worden. Das klingt kaum nach einer Neuigkeit, doch der Knackpunkt ist die Art und Weise dieses Trackings: Facebook, Instagram, Yandex Maps und einige andere Yandex-Apps haben Nutzer auch dort verfolgt, wo es weder vertretbar noch technisch möglich erscheint: im Browser außerhalb der App.

"23andme hat dabei versagt, grundlegende Maßnahmen zum Schutz personenbezogener Daten zu setzen", zeiht John Edwards, Chef der britischen Datenschutzbehörde, das US-Unternehmen für Genanalysen, "Ihre Sicherheitssysteme waren inadäquat, die Warnsignale waren da und die Firma hat langsam reagiert." Das Ergebnis ist bekannt: Fast sieben Millionen Datensätze von Kunden 23andmes gelangten 2023 in falsche Hände und im Darknet zum Verkauf. Edwards Behörde verhängt nun eine Strafe von umgerechnet gut 2,7 Millionen Euro über die Genfirma.

Die der Strafe zugrundeliegende Untersuchung war gemeinsame Arbeit der britischen und der kanadischen Bundesdatenschutzbehörde. Letztere darf, sehr zum anhaltenden Ärger ihres Chefs Philippe Dufresne, keine Strafen verhängen, sondern muss sich auf die Feststellung beschränken, dass 23andme kanadisches Datenschutzrecht verletzt hat. Von der illegalen Offenlegung dürften etwa 320.000 Kanadier und rund 150.000 Briten betroffen sein.

Die Methode des Angreifers war banal: Credential Stuffing. Dabei werden Logins und Passwörter, die bei Einbrüchen in andere Dienste offengelegt worden sind, ausprobiert. Hat der User die gleiche Kombination eingesetzt, und gibt es keine Multifaktor-Authentifizierung, kann sich der Angreifer einloggen. Das ist bei 23andme im Jahr 2023 bei über 18.000 Konten gelungen. Viele 23andme-Kunden haben in ihren Konten die Option aktiviert, ihre Daten mit Verwandten zu teilen. Daher konnte der Angreifer über gut 18.000 Konten die Daten von fast sieben Millionen Menschen abgreifen.

Fünf Monate lang, ab Ende April 2023, konnte der Täter ungestört ein Passwort nach dem anderen ausprobieren. Denn, so die kanadische und die britische Behörde, 23andme hatte ineffektive Erkennungssysteme sowie unzulängliches Logging und Monitoring. Zudem sei die Untersuchung von Anomalien inadäquat gewesen, sonst hätte 23andme die Vorgänge Monate früher als erst im Oktober 2023 erkannt.

Hinzu kommt unzureichende Vorbeugung. Die beiden Behörden kritisieren, dass 23andme keine verpflichtende Multifaktor-Authentifizierung (MFA) hatte, dass es nicht überprüft hat, ob Kunden anderswo kompromittierte Passwörter wiederverwenden, dass es keine zusätzliche Überprüfung bei der Anforderung der Gen-Rohdaten gab, und dass die Passwortregeln zu lasch waren: 23andme schrieb mindestens achtstellige Passwörter mit "minimalen Komplexitätsregeln" vor; eine Richtlinie der britischen Datenschutzbehörde ICO (Information Commissioner's Office) empfiehlt mindestens zehnstellige Passwörter ohne Zwang der Verwendung von Sonderzeichen und ohne Längenbeschränkung.

Im Kampf gegen die internationale Wirtschaftskriminalität im Internet und betrügerische Plattformen haben baden-württembergische Behörden fast 800 illegale Websites beschlagnahmt. Das Cybercrime-Zentrum bei der Generalstaatsanwaltschaft Karlsruhe und das Landeskriminalamt (LKA) Baden-Württemberg arbeiteten dafür mit der europäischen Polizeibehörde Europol und bulgarischen Strafverfolgungsbehörden zusammen.

"Die beschlagnahmten Domains wurden auf eine vom Landeskriminalamt Baden-Württemberg gehostete Beschlagnahmeseite umgeleitet und können nun nicht mehr zur Begehung von Straftaten genutzt werden", hieß es weiter. "Durch die Maßnahmen wurden die kriminellen Akteure erheblich geschwächt, indem ihre technische Infrastruktur gezielt außer Kraft gesetzt wurde." Allein seit der Umleitung in den vergangenen zwei Wochen stellten Strafverfolger den Angaben nach rund 616.000 Zugriffe auf die übernommenen Seiten fest.

Es geht dabei um eine relativ neue Betrugsmasche namens "Cybertrading Fraud". Die Kriminellen machen gutgläubigen Opfern Hoffnung, per Mausklick vor allem im Bereich Kryptowährungen große Gewinne zu erzielen. Im Internet bewerben sie ihre Angebote laut dem Sicherheitsbericht des Innenministeriums auf seriös wirkenden Seiten. In der Regel sei eine einfache Registrierung erforderlich.

Dann meldeten sich vermeintliche Brokerinnen und Broker telefonisch, um eine erste Investition von meist 250 Euro zu fordern. Diese sei scheinbar sofort erfolgreich. Gelegentlich gebe es sogar kleinere Auszahlungen. "Diese Erfolge sowie das geschickte und intensive Einwirken der vermeintlichen Brokerin oder des vermeintlichen Brokers verleiten dazu, mehr Geld zu investieren", schreiben die Fachleute. Die Kriminellen übten oft massiven Druck aus. Doch sobald die Menschen ihre angeblichen Gewinne ausgezahlt haben wollten, seien Internetseite und Ansprechpersonen häufig nicht mehr erreichbar.

Laut dem Sicherheitsbericht 2024 registrierten die Behörden einen Anstieg auf 1036 Fälle. Mehr als doppelt so viele Taten seien zudem aus dem Ausland begangen worden. "Erklärungen hierfür sind die hohe Reichweite der Internetplattformen, die Hoffnung vieler Geschädigter, per Mausklick eine große Rendite zu erwirtschaften und deren Gutgläubigkeit", heißt es.

Die Diskussionskultur im Internet hat sich in den letzten 25 Jahren verändert, nicht immer zum Guten. Kai-Uwe Lassowski, zuständig für das heise-Forum, das es seit über 25 Jahren gibt, beobachtet, dass das Internet "immer mehr zu einem Abbild der Gesellschaft wurde und dementsprechend auch ähnliche Probleme mit sich gebracht hat". War es früher ein "kleiner Haufen Nerds, die da sich freundlich und interessiert ausgetauscht haben", ist es heute eine "viel, viel breitere Masse", die "ein anderes Empfinden hat an die Standards, die da herrschen sollten".

Um einen freundlichen Umgangston zu gewährleisten, gibt es Nutzungsbedingungen, die Beleidigungen, diskriminierende Äußerungen oder Aufrufe zu Straftaten verbieten. Beiträge, die dagegen verstoßen, können gemeldet und gesperrt werden. Kai-Uwe Lassowski erklärt, dass im heise-Forum nur "zwei, drei Prozent aller Beiträge" gesperrt werden. Die Moderation erfolgt anlassbezogen durch User-Meldungen oder durch ein System mit Schlagwörtern. Dabei muss der Kontext genau geprüft werden, denn manche Begriffe wie "Goldstück" sind, obwohl auf den ersten Blick harmlos, im Kontext von Diskussionen über Flüchtlinge eine "rassistische Bezeichnung".

Jutta Brennauer von den Neuen Deutschen Medienmacher*innen sieht einen Zusammenhang zwischen Hass im Netz und rechtsextremer Gewalt im analogen Raum. Zahlen des BKA belegen, dass die "große Mehrheit von digitaler Gewalt aus dem rechtsextremen Spektrum stammt". Hasspostings verzeichneten 2024 einen Anstieg von 34 %. Die Studie "Lauter Hass, leiser Rückzug" zeigt, dass fast jede zweite Person online beleidigt wurde und ein Viertel mit körperlicher Gewalt bedroht wurde. Jutta Brennauer betont: "Hass im Netz kann zwar alle treffen, aber er trifft nicht alle gleich." Besonders betroffen sind "junge Frauen, Menschen mit Rassismuserfahrung, queere Menschen, Menschen mit sichtbarem Migrationshintergrund".

Digitale Gewalt hat ernste Folgen, die oft unterschätzt werden. "Nur weil er online erlebt wird, auf sozialen Medien zum Beispiel, hat er aber auch Auswirkungen auf die Offline-Welt", erklärt Brennauer. Betroffene leiden unter "körperlichen, psychischen Folgen, aber auch beruflichen Folgen", wie Depressionen oder Schlafstörungen. Journalist*innen ziehen sich aufgrund dieser Erfahrungen aus ihrem Beruf zurück. Die Verharmlosung digitaler Gewalt wird der Schwere des Themas nicht gerecht.

Die gemeinnützige, internationale Organisation "Save the Children" hat einen kostenfreien Leitfaden für öffentliche Einrichtungen wie Schulen, Kindergärten oder auch Vereine herausgegeben, um stärker dafür zu sensibilisieren, wie Pädokriminelle im Internet veröffentlichte Fotos und Videos von Kindern für ihre Zwecke missbrauchen. Er klärt darüber auf, wie Einrichtungen ihre eigene Medienarbeit so verändern können, dass Kinder und Jugendliche im Netz besser geschützt werden. Dafür enthält er auch konkrete Beispiele, wie Pädokriminelle vorgehen, welches Material sie gerne suchen, kommentieren und weiterverarbeiten. Jugendschutz.net ist als Kooperationspartner am Leitfaden beteiligt.

Abwehrende Sätze, wie diese, hat vermutlich schon jeder Mensch einmal gehört, der die Veröffentlichung von einem Kinderfoto im Netz beispielsweise im Bekanntenkreis kritisiert hat: "Das ist doch nur ein schönes Foto!"; "Das macht gute Laune!", "Das ist doch total harmlos!". Genau hier setzt der Leitfaden von Save the Children an. Was für die einen völlig harmlos erscheint, sogar als geteilte Freude gilt, ist für die anderen neues Material für ihre Missbrauchsfantasien.

Wie Save the Children klarmacht, werden sogenannte Alltagsaufnahmen von Kindern und Jugendlichen gezielt aus sozialen Netzwerken und von Webseiten gestohlen und in speziellen Internetforen von Pädokriminellen hochgeladen. Dort werden sie "milliardenfach aufgerufen, getauscht und kommentiert. Das geschieht etwa mit sexualisierenden Texten, sexuellen Lauten oder bestimmten Hashtags und Emojis." In Zeiten von leicht zugänglichen KI-Tools gehen Pädokriminelle aber auch noch einen Schritt weiter. Sie können mittels KI-Tools existierende Aufnahmen täuschend echt verändern. Mit Deepnude-Generatoren oder auch Nudifiern können dadurch auch Bilder von bekleideten Kindern mit wenigen Klicks zu Nacktaufnahmen werden.

Jasmin Wahl, Leiterin des Bereichs Sexualisierte Gewalt bei jugendschutz.net, erklärt hierzu: "Die Sexualisierung von Aufnahmen, die Kinder und Jugendliche in alltäglichen Situationen zeigen, ist ein Phänomen, welches wir seit Jahren bei der Bearbeitung von Hinweisen und Recherchen beobachten – in zum Teil drastischen Ausprägungen. Neue technologische Entwicklungen, die eine Manipulation von Bildern und Videos ermöglichen, verstärken das Problem. Das Bewusstsein für Risiken auch in Institutionen und Organisationen zu schärfen, ist deshalb von großer Relevanz". Jugendschutz.net ist das gemeinsame Kompetenzzentrum von Bund, Ländern und Landesmedienanstalten für den Schutz von Kindern und Jugendlichen im Internet, das unter anderem in seinem jüngsten Jahresbericht schon auf die Deep-Nude-Problematik aufmerksam machte.

Normalweise wurden in den vergangenen Jahren insbesondere Eltern immer wieder auf die Gefahren von Kinderfotos im Internet hingewiesen. Britt Kalla, Expertin für institutionellen Kinderschutz bei Save the Children Deutschland und Autorin des Leitfadens, unterstreicht allerdings, dass Pädokriminelle überall dort nach Material suchen, wo es zur Verfügung gestellt wird. Da mittlerweile auch Kindergärten, Schulen, Horte, Sport- und Musikvereine und andere Organisationen über Internetauftritte oder Social-Media-Profile verfügen und dort gerne auch werbliche Fotos hochladen, richtet sich der Leitfaden (PDF) nun an diese Einrichtungen – er soll eine publizistische Lücke schließen. "Wir möchten Verantwortlichen in Institutionen und Organisationen Wissen an die Hand geben, um informiert zu entscheiden, welche Bilder sie teilen und welche besser nicht. Dabei schauen wir auch kritisch auf unsere eigenen Veröffentlichungen – immer mit dem Ziel, Kinder und ihre Rechte bestmöglich zu schützen."

Eine Sicherheitslücke klafft in diversen Betriebssystemen von Apple – und Angreifer nutzen die bereits in freier Wildbahn aus. Der Hersteller stellt aktualisierte Betriebssystemversionen bereit, die die Schwachstelle ausbessert. Nutzerinnen und Nutzer sollten sicherstellen, dass sie installiert sind.

Die neu attackierte Schwachstelle betrifft nach Apples Angaben Messages. "Ein Logikfehler kann bei der Verarbeitung von bösartig präparierten Fotos oder Videos auftreten, die mittels eines iCloud-Links geteilt wurden", schreiben die Entwickler dazu (CVE-2025-43200 / EUVD-2025-18428, CVSS steht noch aus, Risikoeinstufung fehlt derzeit). Sie erklären weiter: "Apple weiß von einem Bericht, demzufolge dieses Problem in einem extrem ausgeklügelten Angriff gegen bestimmte Zielpersonen ausgenutzt worden sein könnte." Das Problem löst Apple, indem aktualisierte Betriebssysteme hier verbesserte Prüfungen vornehmen.

Der Schwachstelleneintrag stammt vom Montag dieser Woche. Sicherheitsmitteilungen zu den diversen Betriebssystemen und -versionen hat Apple hingegen bereits am Donnerstag vergangener Woche aktualisiert oder neu veröffentlicht.

Ein weiteres Sicherheitsleck, das in einigen Mitteilungen zu den Sicherheitsupdates Erwähnung findet und bereits in Angriffen missbraucht wurde, betrifft den Teilbereich Barrierefreiheit. Es geht dabei um den USB-Anschluss von gesperrten Geräten, wobei Angreifer den USB Restricted Mode umgehen konnten; der Missbrauch dieser Schwachstelle wurde bereits im Februar bekannt (CVE-2025-24200 / EUVD-2025-3671, CVSS 6.1, Risiko "mittel").

Die neu bekannt gewordene und im Netz angegriffene Sicherheitslücke schließen folgende Betriebssystemversionen:

Mit dem Update 1.101 ("Mai") von Visual Studio Code (VS Code) beherrscht der Editor das komplette Model Context Protocol (MCP) mit allen Spezifikationen: Die Autorisierung erhöht die Sicherheit bei der Nutzung von MCP-Quellen und Sampling ermöglicht die Kommunikation mit dem LLM.

Erst im März gab es ein Update des MCP-Protokolls, das eine Autorisierung zwischen Client und Server eingeführt hat, wobei ein externes Identitätsmanagement wie OAuth zum Einsatz kommt. Das nimmt die Verantwortung von Entwicklerinnen und Entwicklern, für MCP-Quellen eigene und sichere Autorisierungsmechanismen einzubauen. Und sie können die Entwicklung des Servers unabhängig vom Usermanagement vorantreiben. Als Beispiel nennt der Blogeintrag den GitHub-MCP-Server, der sich in VS Code mit den dort meist eh vorhandenen GitHub-Credentials nutzen lässt. Anwenderinnen und Anwender müssen den Zugriff nur einmal gestatten, wie folgendes Bild zeigt.

Für den GitHub-MCP-Server stehen in VS Code die GitHub-Credentials zur Verfügung.

(Bild: Microsoft)

Weitere neue MCP-Fähigkeiten in VS Code sind Sampling, Prompts und Ressourcen. Beim Sampling kann ein MCP-Server auf das LLM direkt zugreifen und dabei den API-Key des Editors (als Client) verwenden. Der Server benötigt keinen eigenen Key für das LLM. Prompts sind Prompt-Vorlagen für das LLM, die der Server dynamisch generiert und die die Anwender im Sinne des aktuellen Kontexts an das LLM weiterreichen können. Ressourcen dienen als weitere Quellen, beispielweise Screenshots oder Log-Dateien.

Wer auf die Gesichtserkennung zur Geräteentsperrung setzt, ist in den vergangenen Wochen vermutlich darüber gestolpert, dass das in dunklen Umgebungen nicht mehr klappt. Ursache ist ein Sicherheitsupdate vom April-Patchday, wie nun einige Medienberichte andeuten.

Microsoft benennt das jedoch nicht explizit, die Hinweise lassen sich lediglich durch Interpretation zum Fakt verbinden. Den Windows-Update-Notizen aus dem April lässt sich eine Änderung an Windows Hello entnehmen: "Nach der Installation dieses oder eines späteren Windows Updates benötigt die Windows-Hello-Gesichtserkennung für verbesserte Sicherheit Farbkameras, um ein sichtbares Gesicht für das Einloggen zu erkennen", schrieb Microsoft dort.

Zum April-Patchday hat Microsoft Änderungen an der Windows-Hello-Gesíchtserkennung angekündigt.

(Bild: Screenshot / dmk)

Dafür verweist das Unternehmen auf eine Schwachstelle, die mit den Updates zum April-Patchday geschlossen wurde. Die Fehlerbeschreibung lautet etwas ungelenk: "Ein automatischer Erkennungsmechanismus mit unzureichender Erkennung oder Verarbeitung von Störungen durch bösartige Eingaben in Windows Hello ermöglicht es unbefugten Angreifern, lokal Spoofing zu betreiben" (CVE-2025-26644 / EUVD-2025-10237, CVSS 5.1, Risiko "mittel"). Wie genau sich Angreifer so unbefugt als jemand anderes ausgeben können, erörtert Microsoft nicht. Betroffen sind alle Windows-Varianten von Windows 10 bis Windows Server 2025 laut Microsofts Auflistung.

Das BKA hat den mutmaßlichen Betreiber des Online-Drogenmarktplatzes "Archetyp Market" am Mittwoch vergangener Woche in Barcelona festgenommen. Die spanische Nationalpolizei hat den 30-jährigen Deutschen mit einer Spezialeinheit gestellt. Die Ermittler legen ihm zur Last, den illegalen Online-Marktplatz, der ausschließlich im Darknet – also dem Tor-Netzwerk – erreichbar war, als Administrator zusammen mit weiteren Moderatoren betrieben zu haben.

Die Bundespolizisten teilen mit, dass die Plattform "Archetyp Market" eine der weltweit größten "und am längsten bestehenden kriminellen Handelsplattform im Darknet" sei. Hauptsächlich hätten die Mitglieder dort Drogen wie Amphetamin, Cannabis, Fentanyl, Heroin und Kokain verkauft. Der Gesamtumsatz der Plattform soll 250 Millionen Euro betragen. Vor der Schließung durch die Behörden fanden sich dort etwa 17.000 Verkaufsangebote, die rund 3200 Verkäufer den etwa 610.000 Kundenkonten unterbreitet haben.

Zahlungsmittel auf "Archetyp Market" war die Kryptowährung Monero. Auch gegen den Betreiber bestehe der Verdacht "des bandenmäßigen unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge". Seine Wohnung in Barcelona und Objekte in Hannover, im Landkreis Minden-Lübbecke sowie eines in Bukarest haben Strafverfolger im Rahmen der Aktion durchsucht. Dabei haben sie als Beweismittel acht Mobiltelefone, vier Computer, 34 Datenträger und Vermögenswerte von insgesamt rund 7,8 Millionen Euro sichern können.

Die niederländische Nationalpolizei konnte die in einem Rechenzentrum in den Niederlanden stehende Serverinfrastruktur, die die kriminelle Plattform genutzt hat, sicherstellen und abschalten. Seitdem prangt obiges Banner auf dem Darknet-Marktplatz.

Dem BKA zufolge gab es zudem weitere koordinierte Durchsuchungen in Deutschland und in Schweden. Das geschah im Rahmen eigener Ermittlungsverfahren gegen Moderatoren und Verkäufer auf "Archetyp Market". Insgesamt haben die Ermittler 20 Objekte durchsucht, davon zwei in Nordrhein-Westfalen, zwei in Niedersachsen, eines in Hessen und eines Baden-Württemberg. In Schweden haben sie zudem sieben weitere Personen festgenommen. Dabei wurden von allen Beschuldigten insgesamt 47 Smartphones, 45 Computer und Notebooks, Betäubungsmittel und weitere Vermögenswerte beschlagnahmt. Die dabei sichergestellten Daten wollen die Strafverfolger nun auswerten und als Basis für weitere Ermittlungsansätze nutzen.

In Dells ControlVault klaffen Sicherheitslücken in den Treibern und der Firmware, die Angreifern das Einschleusen und Ausführen von Schadcode und damit die Übernahme von Systemen ermöglichen. Dell bietet aktualisierte Software an, um die Sicherheitslecks zu schließen.

Dell ControlVault soll mit zusätzlicher Hardware sensible Informationen wie Passwörter, biometrische Zugangsdaten und Sicherheitscodes sicher ablegen. Es stellt eine sichere Umgebung für die Verwaltung von Authentifizierungsmethoden wie Fingerabdruckerkennung, Smartcard-Unterstützung oder NFC bereit. Dazu müssen auf den Geräten Hardware-Treiber, ein Treiber für das biometrische Framework für Windows sowie die ControlVault-Firmware installiert werden. In den Treibern und der Firmware warnt Dell nun vor fünf Sicherheitslücken, allesamt hochriskant.

Mit Details zu den Lücken hält Dell sich in der Warnung vornehm zurück, lediglich die CVE-Nummern nennt der Hersteller und stuft das Risiko abweichend von den CVSS-Werten als "kritisch" ein. In Dell ControlVault 3 und der Plus-Variante kann ein präparierter API-Aufruf zu Schreibzugriffen außerhalb vorgesehener Speichergrenzen führen (CVE-2025-25050 / EUVD-2025-18302, CVSS 8.8, Risiko "hoch"). In der Funktion securebio_identify kann ein manipuliertes cv_object einen Pufferüberlauf auf dem Stack und in der Folge das Ausführen von untergejubelten Schadcode auslösen (CVE-2025-24922 / EUVD-2025-18303, CVSS 8.8, Risiko "hoch"). Angreifer können mit präparierten API-Aufrufen eine ungeplante Freigabe von Ressourcen provozieren – hier fehlen jedwede Hinweise, wofür sie das missbrauchen können (CVE-2025-25215 / EUVD-2025-18306, CVSS 8.8, Risiko "hoch").

Weiterhin können bösartige Akteure unbefugt an Informationen gelangen, da ein manipulierter API-Aufruf Lesezugriffe außerhalb vorgesehener Speichergrenzen ermöglicht (CVE-2025-24311 / EUVD-2025-18304, CVSS 8.4, Risiko "hoch"). Wenn Angreifer eine kompromittierte ControlVault-Firmware eine bösartige Antwort auf einen Befehl der cvhDecapsulateCmd-Funktion ausgeben lassen, kann das zu einer Deserialisierung von nicht vertrauenswürdigem Input und in der Folge zur Ausführung beliebigen Codes führen (CVE-2025-24919 / EUVD-2025-18307, CVSS 8.1, Risiko "hoch").

Die Versionen Dell ControlVault3 5.15.10.14 sowie Dell ControlVault3 Plus 6.2.26.36 und neuer stopfen die Sicherheitslücken. Ebenfalls verwundbar ist Broadcoms BCM5820X, hier nennt Dell jedoch keine Softwareversionen, die die Probleme beseitigen.

Angreifer können an einer Sicherheitslücke in Dell iDRAC Tools ansetzen, um Server zu attackieren. Mittlerweile haben die Entwickler die Schwachstelle geschlossen.

Die Lücke (CVE-2025-27689) ist mit dem Bedrohungsgrad "hoch" versehen. Um eine Attacke einleiten zu können, muss ein lokaler Angreifer bereits über niedrige Nutzerrechte verfügen. Ist das gegeben, kann er sich auf einem nicht näher beschriebenen Weg höhere Rechte verschaffen.

Die Entwickler versichern, die Schwachstelle in iDRAC Tools 11.3.0.0 geschlossen zu haben. Alle vorigen Ausgaben sind verwundbar. Sie weisen in einem Beitrag darauf hin, dass der Sicherheitspatch nur in Kombination mit bestimmten Windows-Server-2025-Versionen Systeme effektiv schützt.

Der Einfachheit halber bietet Dell im Zuge seines Dell-Digital-Locker-Angebots ein Bundle bestehend aus der gepatchten iDRAC-Version inklusive einer passenden Windows-Server-2025-Ausgabe zum Download.

Der Schwachstellenscanner Tenable Agent ist derzeit selbst verwundbar. Angreifer können an drei Schwachstellen ansetzen, um Systeme zu attackieren. Bislang gibt es keine Berichte zu laufenden Attacken. Eine reparierte Version steht zum Download bereit.

In einer Warnmeldung führen die Entwickler aus, dass sie insgesamt drei Lücken (CVE-2025-36631 "hoch", CVE-2025-36632 "hoch", CVE-2025-36633 "hoch") geschlossen haben. Den Beschreibungen der Schwachstellen zufolge können nicht-administrative Benutzer Attacken ausführen. Klappt das, können Angreifer unter anderem Dateien mit Systemrechten manipulieren oder sogar löschen. Außerdem kann Schadcode auf PCs gelangen.

Wie solche Attacken im Detail ablaufen könnten, ist bislang unklar. Unbekannt ist derzeit auch, woran Admins bereits attackierte Computer erkennen können. Die Entwickler geben an, die Schwachstellen in Tenable Agent 10.8.5 geschlossen zu haben. Alle vorigen Versionen sollen angreifbar sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die aktuelle Ausgabe Kali Linux 2025.5 bringt neben den aktualisierten Desktopumgebungen Gnome und KDE Plasma auch neue Funktionen und Tools mit. Mit Kali Linux klopfen Sicherheitsforscher und Pentester etwa Betriebssysteme und Softwares auf Sicherheit ab. Die überarbeitete Linux-Distribution steht ab sofort zum Download bereit.

Alle Neuerungen listen die Entwickler in einem Beitrag auf. Im Menü haben die Entwickler die Übersicht verbessert, sodass Sicherheitsforscher für bestimmte Einsatzzwecke geeignete Tools schneller finden. Die Neuanordnung folgt dem MITRE ATT&CK Framework. Dabei handelt es sich um eine Wissensdatenbank zur Beschreibung und Klassifizierungen von Cyberbedrohungen.

Die Darstellung des Desktops fußt nun auf GNOME 48 oder KDE Plasma 6.3. Etwa GNOME 48 läuft unter anderem performanter und kann High-Dynamic-Range-Inhalte (HDR) darstellen. Außerdem wurde der Texteditor überarbeitet.

Pentester, die Active-Directory-Umgebungen auf Sicherheit abklopfen, freuen sich über ein Upgrade auf die aktuelle BloodHound Community Edition. Damit bildet man Active-Directory-Infrastrukturen ab, um Schwachstellen aufzudecken. Die aktuelle Ausgabe bringt etwa bloodhound-ce-python mit.

Außerdem gibt es noch weitere neue Tools wie binwalk3 für Firmwareanalysen und gitxray zum Scannen von GitHub-Repositories.