Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Hacking-Wettbewerb: Pwn2Own-Teilnehmer knacken Tesla-Ladestation

Auf dem Hacking-Wettbewerb Pwn2Own Automotive 2025 in Tokyo haben die Teilnehmer viele Treffer gelandet. Insgesamt wurde ein Preisgeld von knapp mehr als 886.000 US-Dollar ausgezahlt. Bleibt zu hoffen, dass die Autohersteller zeitnah Sicherheitsupdates veröffentlichen.

Anzeige

Schließlich können Attacken auf Infotainmentsysteme weitreichende Folgen haben und im schlimmsten Fall lebensbedrohliche Folgen haben, wenn Angreifer Steuerungssysteme während einer Fahrt manipulieren.

Die Pwn2Own-Wettbewerbe veranstaltet Trends Micros Zero Day Initiative. Je nach Ausrichtung stehen verschiedene Produkte und Geräte im Fokus. Ziel ist es, Sicherheitslücken aufzudecken, sodass Hersteller diese schließen können.

Teslas Wall Charger musste öfter dran glauben und Angreifer attackierten die Ladestation für E-Autos erfolgreich.

Weiterlesen
  39 Aufrufe

Cyberangriff auf Schulen in Rheinland-Pfalz: Steckt Lockbit dahinter?

Es ist der wohl bislang größte Ransomware-Angriff auf deutsche Institutionen in diesem Jahr: Mehrere Dutzend Schulen in Rheinland-Pfalz wurden Mitte Januar mit einem Verschlüsselungstrojaner infiziert. Einfallstor für die Attacke war wohl das Netz eines externen Dienstleisters. Dessen Name tauchte nun auf der Leaksite der Lockbit-Bande auf.

Anzeige

Wie die "Rheinpfalz" berichtete, sind 45 Schulen in verschiedenen Städten und Landkreisen in Rheinland-Pfalz betroffen. Die Angriffe erstreckten sich wohl auf einen externen Dienstleister, der mittlerweile daran arbeite, die Netzwerke und Server wiederherzustellen, so die Zeitung weiter.

Sowohl die betroffenen Verwaltungen als auch das zwischenzeitlich eingeschaltete LKA Rheinland-Pfalz schwiegen sich über Details des Angriffs zunächst aus. Ransomware sei im Spiel und auch Unternehmenskunden des Dienstleisters seien betroffen, hieß es. Doch welche Bande dahintersteckte, ob man um Lösegeld verhandele und welche Bande sich an den Schulnetzen vergriffen habe, blieb im Dunklen.

Ist Lockbit für den Angriff auf rheinland-pfälzische Schulen verantwortlich? Zumindest behauptet die Bande das auf ihrer Leaksite.

Weiterlesen
  37 Aufrufe

Jetzt patchen: Cross-Site-Scripting und Denial of Service in GitLab möglich

Die Betreiber von GitLab haben Patch-Releases für ihre Versionsverwaltungsplattform veröffentlicht. Die Updates stehen sowohl für die Community Edition (CE) als auch für die Enterprise Edition (EE) bereit.

Anzeige

Die Versionen 17.8.1, 17.7.3, 17.6.4 beheben drei Schwachstellen, von denen eine mit dem Bedrohungsgrad "hoch" eingestuft ist und zwei mit "mittel".

GitLab rät in seinem Blog dringend dazu, die Patch-Releases schnellstmöglich zu installieren. Wer den Service auf GitLab.com verwendet, arbeitet bereits mit den aktualisierten Versionen – um die Cloud-Server kümmert sich der Anbieter selbst.

Als hohe Bedrohung gilt die mit dem Schweregrad CVSS 8.7 von 10 eingestufte Schwachstelle mit dem CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2025-0314, der bisher lediglich als reserviert markiert ist. Sie ermöglicht Stored XSS (Cross-Site-Scripting) über das Rendern von Asciidoctor-Inhalten. Stored XSS bedeutet, dass der Schadcode auf dem Server abgelegt ist und dadurch nicht nur durch direkte Eingaben ausgelöst wird, sondern auch bei anderen Anfragen. Im Juni 2024 gab es ebenfalls bereits eine Stored-XSS-Schwachstelle in GitLab.

Weiterlesen
  42 Aufrufe

Logindaten und ChatGPT-Keys im Visier: Details zu Attacke auf Chrome-Extensions

Eine Supply-Chain-Attacke im Chrome Web Store hat im Dezember um die dreißig Browser-Erweiterungen getroffen und die persönlichen Daten von 2,6 Millionen Nutzerinnen und Nutzern gefährdet. Die Sicherheitsfirma Sekoia hat nun weitere Details, insbesondere über die hinter dem Angriff liegende Infrastruktur, veröffentlicht.

Anzeige

Bereits Anfang Januar hat das Security-Unternehmen Annex eine erste Analyse des Angriffs und eine Liste der betroffenen Extension veröffentlicht. Der Angriff beginnt mit gezielten Phishing-Mails an Extension-Entwickler. Die Mails kommen vermeintlich von Googles Web-Store-Team, und die Angreifer drohen damit, dass die Extension aus dem Store entfernt wird, wenn die Entwickler nicht die Program Policy akzeptieren. Ein Button führt zu einer bösartigen Anwendung, die sich über OAuth in das Google-Konto der Opfer einloggt. Sobald die Täter Zugriff auf den Quellcode der Extension haben, fügen sie schädliche Abschnitte hinzu, die darauf abzielen, persönliche Browser-Daten der Opfer abzugreifen: Social-Media-Logins (Facebook), API-Schlüssel (ChatGPT), Session-Cookies und weiteres.

Sobald eine Anwenderin oder ein Anwender die betreffende Extension startet, führt diese standardmäßig ein Update durch, das den bösartigen Code enthält.

Sekoia hat insgesamt ein Dutzend verseuchter Beispiele untersucht, die vom 12. Dezember 2024 (VPNCity) bis zum 30. Dezember 2024 (Proxy SwtichyOmega V3) online waren. Die Liste von Annex geht sogar bis Juli 2024 (HiAI) zurück, die Analysten vermuten jedoch eine Aktivität der Kampagne sogar seit 2023. Die Täter scheinen diese Ende Dezember gestoppt zu haben, auffallend war insbesondere der Aufwand und die Breite der gezielten Angriffe. Es gab sogar extra Werbeseiten für die gekaperten Extensions, um möglichst viele Nutzerinnen und Nutzer anzugehen.

Weiterlesen
  39 Aufrufe

Angriffe auf alte jQuery-Bibliotheken beobachtet

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt aktuell vor Angriffen auf Servern. Im Visier der Angreifer stehen veraltete jQuery-Installationen, die die Server verwundbar machen. jQuery dient zur einfachen Manipulation von Webseiten mit Javascript, etwa um Animationen zu erzeugen oder Elemente in der Seite zu verändern.

Anzeige

Bei der Schwachstelle, auf die die CISA Angriffe beobachtet hat, handelt es sich um eine Cross-Site-Scripting-Lücke in jQuery. HTML mit "<option>"-Elementen aus nicht vertrauenswürdigen Quellen kann beim Durchreichen an eine der DOM-Manipulationsmethoden von jQuery in der Ausführung von nicht vertrauenswürdigem Code münden, selbst, wenn zuvor eine Filterung stattgefunden hat, lautet die Schwachstellenbeschreibung (CVE-2020-11023, CVSS 6.9, Risiko "mittel").

Betroffen von dieser Sicherheitslücke sind jQuery-Versionen von 1.0.3 bis vor 3.5.0, die Fassung schließt die Schwachstelle. Sie wurde im April 2020 veröffentlicht. Aktuell ist jQuery 3.7.1 – aber auch daran nagt bereits der Zahn der Zeit, die Version stammt aus August 2023.

Die CISA führt nicht aus, wie die Angriffe vonstatten gehen. Auch über das Ausmaß und konkrete Folgen schweigt die Behörde. Indizien für Angriffe (Indicators of Compromise, IOCs) gibt es ebenfalls nicht.

Weiterlesen
  38 Aufrufe

Bessere Datensicherheit für Android-Handys

Ortsbasierte Sperren sollen Datensicherheit auf Android-Handys stärken. Die als "Identity Check" bezeichnete, optionale Funktion verhindert den Zugriff auf bestimmte Daten und Funktionen, wenn sich das Gerät außerhalb vordefinierter geografischer Orte befindet. Die Orte, an denen kein Identitiy Check erforderlich ist, kann der Nutzer selbst festlegen. Google denkt dabei insbesondere an Arbeitsplatz und Wohnung.

Anzeige

Für Zugriff an anderen Orten kann die Sperre laut Googles Mitteilung nur durch biometrische Authentifizierung aufgehoben werden. Geschützt werden bestimmte Funktionen: Ändern von PINs, Mustern, Passwörtern oder biometrischen Merkmalen zum Entsperren des Gerätes, Ausschalten des Android-Diebstahlschutzes und der Gerätelokalisierung (Find My Device), Zugriff auf Passwörter und Passkeys im Google Password Manager, automatische Eintragung von Passwörtern in Apps (nicht aber im Chrome-Browser), das Zurücksetzen auf die Werkseinstellung, Anzeige der als vertrauenswürdig hinterlegten Orte, Kopie von Daten und Einstellungen auf ein neues Gerät, Löschen oder Hinzufügen eines Google-Kontos, Zugriff auf Entwickler-Optionen und selbstredend Ausschalten von Identity Check.

Die neue Funktion findet zunächst Eingang auf Pixel-Handys mit Android 15 sowie Samsung-Handys der Galaxy-Reihe, die das User Interface One UI 7 nutzen. Android-Geräte anderer Hersteller sollen folgen. Mit der Aktivierung des Identity Check wird automatisch verstärkter Zugriffsschutz für das verbundene Google-Konto sowie gegebenenfalls das Samsung-Konto des Gerätes eingeschaltet. Die Ausspielung dürfte, wie üblich, schrittweise erfolgen, nicht für alle erfassten Mobiltelefone gleichzeitig.

Im Oktober hat Google damit begonnen, Diebstahlschutz für Android auszurollen. Dies ist nach Angaben des Datenkonzerns nun abgeschlossen. Alle Android-Handys ab Android 10 können die Diebstahlschutzfunktion nutzen, mit Ausnahme der abgespeckten Android-Go-Varianten. Seit Android 9 hat jede Android-Version auch eine "Go"-Variante. Das ist eine für weniger leistungsstarke Geräte und Mobilfunknetze optimierte Variante des Betriebssystems, die zudem auf Bedürfnisse mehrsprachiger Nutzer zugeschnitten ist. Abzuwarten bleibt, ob Identity Check eines Tages auch für Android Go kommt.

Weiterlesen
  31 Aufrufe

Raspberry Pi RP2350: Hacker überwinden Sicherheitsfunktionen

Der Mikrocontroller Raspberry Pi RP2350 hat Sicherheitsfunktionen wie ARM TrustZone sowie nur einmal programmierbaren Speicher (One-Time Programmable, OTP), um kryptografische Schlüssel zu hinterlegen.

Anzeige

Um die Robustheit dieser Funktionen gegen böswillige Angreifer zu demonstrieren, lobte Raspberry Pi im August 2024 einen Hacking-Wettbewerb mit Preisgeld (Bug Bounty) aus. Kürzlich wurden vier Gewinner verkündet, die alle jeweils die volle Summe von 20.000 US-Dollar bekamen.

Außer Konkurrenz – denn dabei ging es um eine Schwachstelle, für die kein Preisgeld ausgelobt war – erwähnte Raspi-Chef Eben Upton noch einen erfolgreichen Angriff auf den im RP2350 eingebauten Glitch-Detektor.

Upton betonte, dass alle erfolgreichen Angriffe physischen Zugriff auf den RP2350 voraussetzen. Die Angreifer rückten dem Chip unter anderem mit Spannungsimpulsen, Laserlicht sowie elektromagnetischen Feldern zu Leibe. Einige der Schwachstellen sollen in künftigen Revisionen des RP2350 abgedichtet werden und sie wurden als Errata in die Dokumentation aufgenommen.

Weiterlesen
  24 Aufrufe

Sicherheits-Appliance: Angreifer kapern SonicWall-Geräte mit Systemkommandos

In den Verwaltungskonsolen der SonicWall-Appliance SMA1000 klafft eine schwere Sicherheitslücke. Über eine unsichere Deserialisierung (CVE-2025-23006, Einstufung kritisch, CVSS-Wert 9,8/10) können Angreifer unter bestimmten Bedingungen Systemkommandos aus der Ferne einschleusen, welche das Gerät dann ausführt.

Anzeige

Wie der Hersteller in einem Sicherheitshinweis erklärt, ist lediglich die Appliance vom Typ SMA1000 betroffen, die Produktserien "SonicWall Firewall" und SMA 100 leiden nicht unter der Sicherheitslücke.

Wer die Produktversion 12.4.3-02804 oder älter einsetzt, ist angreifbar und sollte seine Geräte flugs auf die reparierte Ausgabe 12.4.3-02854 aktualisieren. Zudem legt SonicWall seinen Kunden nahe, den Zugriff auf die Application Management Console (AMC) und Central Management Console (CMC) auf vertrauenswürdige Netze zu beschränken.

Der Hinweis auf den Codeschmuggel-Fehler kam offenbar von Microsofts Threat Intelligence Center (MSTIC). Der Wink, dass Angreifer die Lücke bereits aktiv ausnutzen, kam vermutlich ebenfalls aus Redmond, dürfte aber in Kürze auch über die Kanäle der US-Cybersicherheitsbehörde CISA laufen.

Weiterlesen
  37 Aufrufe

Prorussische DDoS-Angriffe auf Schweizer Einrichtungen

Die prorussische Gruppe "NoName057(16)" spezialisiert sich auf DDoS-Angriffe. Sie gibt Zielserver an, die sie mit Überlastungsangriffen mithilfe freiwilliger Unterstützer, also einer riesigen Menge an Netzwerkanfragen, in die Knie zwingen und für reguläre Nutzer unerreichbar machen will. Seit Dienstag dieser Woche stehen Schweizer Einrichtungen im Fokus der kriminellen Gruppe aus Russland.

Anzeige

Der Tracker auf Telegram verfolgt, welche Ziele die Gruppe NoName057(16) derzeit ins Visier für DDoS-Attacken nimmt.

(Bild: Screenshot / dmk)

Die russischen Aktivisten wollen Aufmerksamkeit im Zuge des derzeit laufenden Weltwirtschaftsforums, das vom 20. bis 24. Januar im schweizerischen Davos stattfindet, erregen. Die Ziele wechseln, so waren anfangs etwa die Webseite mehrerer Banken nicht erreichbar.

Weiterlesen
  33 Aufrufe

Schwachstellen in Jenkins-Plug-ins gefährden Entwicklungsumgebungen

Alert!

Aktuelle Versionen von mehreren Jenkins-Plug-ins schließen diverse Sicherheitslücken.

(Bild: JLStock/Shutterstock.com)

Anzeige

Unter bestimmten Bedingungen können Angreifer Softwareentwicklungsserver mit Jenkins-Plug-ins attackieren. Darunter fallen etwa die Plug-ins Azure Service Fabric und Zoom.

Anzeige

Weiterlesen
  37 Aufrufe

"Geschenk" an China: Untersuchung zu massivem Cyberangriff in den USA gestoppt

Die neue US-Regierung hat alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen und damit unter anderem eine Untersuchung des verheerenden Cyberangriffs auf US-Provider abrupt gestoppt. Das berichtet die Nachrichtenagentur Reuters. Die Untersuchung des Angriffs durch das Cyber Safety Review Board sei damit "gestorben", zitiert der Cybersecurity-Journalist Eric Geller auf X eine mit dem Vorgang vertraute Quelle. Senator Ron Wyden (Demokraten) spricht von einem "massiven Geschenk an die chinesischen Spione, die auch Donald Trump und JD Vance ins Visier genommen haben".

Anzeige

Mit Ihrer Zustimmung wird hier ein externer Inhalt geladen. DHS has terminated the memberships of everyone on its advisory committees. This includes several cyber committees, like CISA's advisory panel and the Cyber Safety Review Board, which was investigating Salt Typhoon. That review is "dead," person familiar says. www.documentcloud.org/documents/25...[image or embed]— Eric Geller (@ericjgeller.com) 21. Januar 2025 um 21:43

Das Cyber Safety Review Board (CSRB) gibt es seit 2022, besetzt wird es von der Cybersicherheitsagentur CISA. Vertreten waren darin eigentlich staatliche Einrichtungen wie der Geheimdienst NSA oder das Justizministerium, aber auch privatwirtschaftliche Akteure wie Google oder Cybersicherheitsfirmen. Mit der versammelten Expertise sollen besonders schwerwiegende Cybersicherheitsvorfälle untersucht werden. Berichte gab es beispielsweise zur Log4Shell-Lücke oder zum Angriff auf Microsoft Exchange im Sommer 2023. Zuletzt hat sich das Gremium mit dem mutmaßlich aus China ausgeführten Angriff auf US-Provider beschäftigt.

Dass es mutmaßlich in Diensten der chinesischen Regierung stehenden Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren, ist Anfang Oktober bekannt geworden. Der Gruppe namens "Salt Typhoon", "GhostEmperor" oder "FamousSparrow" ging es dabei offenbar um Informationsbeschaffung. Es handle sich um den "größten Telekommunikationshack in der US-Geschichte – und zwar mit Abstand", hat der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses schon im November gesagt. Die Analyse des CSRB war laut Geller weniger als halb fertig. Begründet wurde die Entlassung demnach mit dem "Missbrauch von Ressourcen".

Wie Reuters noch erklärt, handelt es sich bei dem CSRB nur um eines von mehreren Beratungsgremien, die dem Ministerium für Innere Sicherheit (DHS) zugeordnet sind. Sie unterstützen demnach etwa beim Katastrophenschutz, KI und Technologie. Mit der Entlassung aller Entsandten, die nicht von einer staatlichen Stelle stammen, müssen das CSRB und die anderen ihre Arbeit nicht zwangsläufig einstellen. Aber die Funktionsfähigkeit ist deutlich eingeschränkt. Laut dem DHS können sich die Geschassten erneut bewerben, aber für die laufenden Arbeiten dürfte das zu spät sein. Die Untersuchung des Cyberangriffs von "Salt Typhoon" durch das CSRB sei faktisch beendet, schreibt Reuters noch.

Weiterlesen
  32 Aufrufe

Cisco: Kritische Sicherheitslücke in Meeting Management

Cisco warnt vor einer kritischen Sicherheitslücke im Meeting Management. Zudem hat der Hersteller Schwachstellen in Broadworks und ClamAV mit Sicherheitsupdates geschlossen.

Anzeige

Die gravierendste Sicherheitslücke betrifft die REST-API von Ciscos Meeting Management. "Eine Schwachstelle in der REST-API von Cisco Meeting Management ermöglicht entfernten authentifizierten Angreifern mit niedrigen Rechten, ihre Rechte auf betroffenen Geräten zu Administrator heraufzustufen", schreibt Cisco in der Sicherheitsmitteilung (CVE-2025-20156, CVSS 9.9, Risiko "kritisch").

Die Sicherheitslücke stamme daher, dass ordnungsgemäße Autorisierung von REST-API-Nutzern nicht erzwungen werde. Angreifer können das Leck missbrauchen, indem sie API-Anfragen an Endpunkte senden. Bei Erfolg können Angreifer Kontrolle auf Admin-Ebene über Edge-Nodes erhalten, die mit Ciscos Meeting Management verwaltet werden. Version 3.10 ist von der Lücke nicht betroffen, für Version 3.9 steht die Aktualisierung auf Cisco Meeting Management 3.9.1 bereit. Wer noch Fassung 3.8 oder ältere einsetzt, soll auf eine unterstützte Version migrieren.

Eine Denial-of-Service-Lücke betrifft Ciscos Broadworks. Das Unternehmen schreibt in einer Sicherheitsmeldung, dass im Subsystem zur SIP-Verarbeitung nicht authentifizierte Angreifer aus dem Netz die Verarbeitung eingehender SIP-Anfragen lahmlegen können (CVE-2025-20165, CVSS 7.5, hoch). Die Speicherbehandlung für bestimmte SIP-Anfragen ist unzureichend, was Angreifer durch das Senden einer großen Zahl von SIP-Anfragen missbrauchen können, um den Speicher aufzubrauchen, den Ciscos Broadworks zum Verarbeiten von SIP-Traffic reserviert. Sofern kein Speicher mehr verfügbar ist, verarbeiten die Netzwerkserver keine eingehenden Anfragen mehr. Der Fehler ist ab Version RI.2024.11 von Cisco Broadworks korrigiert.

Weiterlesen
  37 Aufrufe

Brand Phishing Q4 2024: Microsoft bleibt Spitzenreiter, LinkedIn steigt auf

Das aktuelle Brand Phishing Ranking für Q4 2024 von Check Point Research (CPR) zeigt die Marken auf, die von Cyberkriminellen am häufigsten nachgeahmt werden, um persönliche Informationen und Zahlungsdaten zu stehlen, und unterstreicht die anhaltende Bedrohung durch Phishing-Angriffe.

Im vierten Quartal blieb Microsoft mit 32 Prozent die am häufigsten nachgeahmte Marke. Apple behauptete den zweiten Platz mit 12 Prozent, während Google seinen dritten Platz mit ebenfalls 12 Prozent aber einem etwas niedrigeren Wert auf der Nachkommastelle beibehielt. LinkedIn tauchte nach einer kurzen Abwesenheit wieder auf Platz vier der Liste auf. Der Technologiesektor erwies sich als die am häufigsten betroffene Branche, gefolgt von sozialen Netzwerken und dem Einzelhandel.

Top-Phishing-Marken

Microsoft – 32 %
Apple – 12 %
Google – 12 %
LinkedIn – 11 %
Alibaba – 4 %
WhatsApp – 2 %
Amazon – 2 %
Twitter – 2 %
Facebook – 2 %
Adobe – 1 %

Fake-Domains von Nike, Adidas, Hugo Boss und Ralph Lauren

Während der Weihnachtszeit zielten mehrere Phishing-Kampagnen auf Käufer ab, indem sie die Websites bekannter Bekleidungsmarken imitierten. So wurden beispielsweise Domains wie nike-blazers[.]fr, nike-blazer[.]fr und nike-air-max[.]fr so gestaltet, dass sie den Nutzern vorgaukelten, es handle sich um offizielle Nike-Plattformen. Diese betrügerischen Websites ahmen das Logo der Marke nach und locken ihre Opfer mit unrealistisch niedrigen Preisen zum Kauf. Ihr Ziel ist es, die Nutzer dazu zu bringen, sensible Informationen wie Anmeldeinformationen und persönliche Daten preiszugeben, damit die Hacker ihre Daten stehlen können.

Fake-Websites von Nike und LuluLemon werben mit Fotos existierender Filialen. (Quelle- Check Point Software Technologies Inc.)

Weitere Fake-Domains:

Weiterlesen
  35 Aufrufe

Microsoft: Probleme mit Authenticator bei Microsoft-365-Diensten

Microsoft räumt Probleme bei der Authentifizierung mittels Authenticator in bestimmten Webbrowsern für Microsoft-365-Dienste ein. Anstatt Zugriff auf den gewünschten Dienst bekommen Betroffene eine Fehlermeldung zu Gesicht.

Anzeige

Auf der Statusseite zu den Microsoft-Diensten zeigt das Unternehmen an "Wir haben Probleme, aber wir arbeiten daran". Betroffen ist demnach Microsoft 365 in der Endkundenversion.

Das Problem beschreibt Microsoft konkret folgendermaßen: "Benutzer können sich nicht mit der Authenticator-App authentifizieren, wenn sie sich bei Microsoft 365-Diensten in einigen Browsern anmelden." Konkreter erklären die Redmonder, dass Betroffene bei einer Anmeldung mit Googles Chrome oder Microsofts Edge eine Fehlermeldung erhalten. Sie laute sinngemäß: "Wir haben eine Anmeldeanforderung an eine Microsoft-App gesendet, die Sie zur Genehmigung von Anmeldeanforderungen verwenden, aber wir haben Ihre Genehmigung nicht erhalten."

Um sich dennoch anzumelden, schlägt Microsoft vor, sich mit einem anderen Webbrowser als Chrome oder Edge anzumelden. Außerdem kann die Authentifizierung mit anderen Methoden ausgewählt werden, etwa einem Passwort, einem One-Time-Code oder etwa Passkey.

Weiterlesen
  41 Aufrufe

Heimserver-Betriebssystem: Updates beheben Sicherheitslücken in Unraid

Aktuelle Versionen des Heimserver-Betriebssystems Unraid beheben verschiedene, teils kritische Sicherheitslücken. Das gab das Unraid-Team seinen Kunden in einem Newsletter bekannt. Updates stehen bereit und Admins sollten diese zügig einspielen.

Anzeige

Die schwerste der vier Sicherheitslücken ist ein Cross-Site-Scripting (XSS) wie aus dem Lehrbuch: Über einen URL-Parameter im webbasierten Dateibrowser können Angreifer Unraid-Admins Javascript-Code unterschieben. Sie müssen ihr Opfer jedoch dazu bringen, auf einen präparierten Link zu klicken, während es im Unraid-Webinterface eingeloggt ist. Auch in einem Parameter der Geräteeinstellungen von Unraid verbirgt sich ein XSS.

2003 hat angerufen: Dieser triviale XSS in der Unraid-Weboberfläche ist mit aktuellen Versionen behoben.

(Bild: heise security / cku)

Weiterlesen
  39 Aufrufe

Botnetz Plug-X: Reinemachen geht nicht?

Vor gut eineinhalb Jahren erlangte die französische IT-Sicherheitsfirma Sekoia Zugriff auf Kommandoserver-IP des Botnetzes Plug-X. Zehntausende infizierte Endgeräte meldeten sich dort. Sekoia machte sich auf die Suche nach Desinfektionsmöglichkeiten und wurde fündig. Die Malware enthält eine Desinfektionsroutine, die man mit einem simplen Befehl anstoßen kann. Doch das wollte die Firma lieber den mit entsprechenden Rechten ausgestatteten Behörden überlassen und bat um internationale Unterstützung. Unter anderem Frankreich und die USA desinfizierten tausende Systeme. In Deutschland klemmt es jedoch.

Anzeige

Mutmaßlich chinesische Angreifer entwickelten Plug-X ursprünglich als ein Remote Access Tool, das sie gezielt über USB-Sticks verbreiteten. Damit stahlen sie dann etwa bei VW in großem Stil vertrauliche Daten. Die Malware wurde später zu einer sich selbst weiterverbreitenden Plage erweitert; also einem Wurm, der daraufhin unkontrolliert seine Bahnen zog und Geräte rund um die Welt zu infizieren begann. Die französische Firma scheute davor zurück, selbst auf Systemen Dritter in aller Herren Länder aktiv zu werden. Stattdessen entwickelte Sekoia eine einfache Schnittstelle und startete einen internationalen Aufruf an staatliche Behörden weltweit, doch bitte mit den zur Verfügung gestellten Funktionen die Malware von den Geräten im eigenen Hoheitsbereich zu entfernen.

Sie könnten dazu, so beschreibt es Sekoia, mit einem Befehl an dem Host-Rechner ganz einfach einen Löschvorgang auslösen, den Plug-X bereits mitbringt. Damit ist es nicht erforderlich, eigene Software auf den Zielrechner zu bringen. Alternativ bietet Sekoia noch eine andere Reinigungsfunktion: Um angeschlossene USB-Geräte mitzusäubern, werde dabei eine Payload auf den Rechner geladen, die den Verzeichnisbaum von USB-Speichergeräten ändere. Sekoia selbst bezeichnete diese Variante als "höchst intrusiv" und warnte vor rechtlichen Schwierigkeiten.

Bereits im Sommer 2024 desinfizierten mit Sekoias Hilfe französische Behörden mehrere tausend Systeme in Frankreich. Jetzt zog das FBI nach und meldete vor wenigen Tagen Vollzug: 4200 Computer in den USA wurden im Zuge der Desinfektionsaktion bereinigt – zum Einsatz kam offenbar der einfache Kill-Befehl. Den Antrag dafür stellte ein FBI-Mitarbeiter aus Philadelphia. Denn im US-Recht ist das zur Schadensverhinderung legal, wenn ein Richter dies genehmigt. Die Beschreibung des genehmigten Antrags ist – wie im US-Justizsystem üblich – öffentlich einsehbar.

Weiterlesen
  28 Aufrufe

heise-Angebot: iX-Workshop: NIS 2: Anforderungen und Vorgaben

Die europäische NIS-2-Richtlinie (Network and Information Security Directive 2) stellt viele Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Bis Oktober 2024 mussten europäische Unternehmen die Vorgaben in nationales Recht umsetzen. In Deutschland geschieht dies durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Die Neuregelungen betreffen zahlreiche Unternehmen und erfordern eine gründliche Auseinandersetzung mit den Anforderungen sowie deren praktische Umsetzung.

Anzeige

Der Workshop NIS2: Anforderungen und Vorgaben bietet Teilnehmenden die Möglichkeit, die Kernaspekte der NIS2-Richtlinie und des deutschen NIS2UmsuCG kennenzulernen. Ein besonderer Fokus liegt dabei auf der Verbindung mit bestehenden ISO 27001-Maßnahmen. An zwei Vormittagen erwerben die Teilnehmer das notwendige Wissen, um Sicherheitsstrategien zu optimieren, Compliance zu gewährleisten und rechtliche Vorgaben zu erfüllen.

Januar
27.01. – 28.01.2025
Online-Workshop, 09:00 – 12:30 Uhr
März
11.03. – 12.03.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 10. Feb. 2025

Der Workshop richtet sich primär an Personen mit Sicherheits- oder Compliance-Verantwortung. Er steht jedoch allen Interessierten offen, die einen Überblick über NIS2 im Zusammenspiel mit ISO 27001:2022 gewinnen möchten. Durch den Workshop führt Sebastian Renczikowski. Mit seinem Fachwissen zu Normen und regulatorischen Anforderungen entwickelt er passgenaue Lösungen für Unternehmen im Bereich Informationssicherheit, Compliance und beim Risiko- und Notfallmanagement.

Weiterlesen
  0 Aufrufe

Star Blizzard: WhatsApp-Kontoübernahme durch Phishing-Kampagne

Microsoft hat neue Vorgehensweisen einer kriminellen Einigung beobachtet, die das Unternehmen als "Star Blizzard" führt. Die russischen Cyberkriminellen hatten ursprünglich etwa Journalisten und Nicht-Regierungs-Organisationen (NGOs) im Visier. Zuletzt versuchten sie, mit einer Phishing-Kampagne WhatsApp-Konten zu übernehmen.

Anzeige

In einem Blog-Beitrag beschreibt Microsoft Details der Spear-Phishing-Kampagne. Zunächst gehe Star Blizzard wie bereits bekannt vor: Sie stellen initial Kontakt mit den Opfern mittels E-Mails her, um sie in einen Schriftverkehr zu verwickeln, bevor sie eine zweite Nachricht mit bösartigem Link senden. Die Absender-Adressen in dieser Kampagne imitieren die von US-Regierungsbeamten – eine bekannte Masche, bekannte politische oder diplomatische Persönlichkeiten nachzustellen.

Die initiale E-Mail enthält einen QR-Code, mit der Empfänger einer WhatsApp-Gruppe mit dem Thema "die jüngsten Nicht-Regierungs-Organisationen mit dem Ziel der Unterstützung ukrainischer NGOs" beizutreten. Der QR-Code ist jedoch defekt und leitet potenzielle Opfer zu keiner gültigen Domain, was die Empfänger zu einer Antwort an die Absender verleiten soll.

Sofern Opfer eine Antwort senden, schickt Star Blizzard eine zweite Mail mit einem durch t[.]ly verkürzten Link als angebliche Alternative, der WhatsApp-Gruppe beizutreten. Nach einem Klick auf den Link öffnet sich eine Webseite, die zum Einscannen eines QR-Codes auffordert, um endgültig in die Gruppe zu gelangen. Allerdings handelt es sich bei dem QR-Code um einen von WhatsApp genutzten Code, um ein Konto mit einem Gerät oder dem WhatsApp-Web-Portal zu verknüpfen.

Weiterlesen
  39 Aufrufe

Großflächige Brute-Force-Angriffe auf M365 – vorsichtshalber Log-ins checken

Mehrere Quellen bestätigen großflächige Versuche, Zugangsdaten für Microsoft 365 durchzuprobieren; auch bei Heise hat es an der Tür gerappelt. Auch wenn es scheint, dass die akuten Angriffe bereits vorbei sind, sollten M365-Admins vorsichtshalber ihre Logs auf erfolgreiche Einbruchsversuche checken. Das geht recht schnell und einfach.

Anzeige

Die zuerst von Speartip vermeldeten Brute-Force-Angriffe kommen vor allem aus Brasilien, aber auch aus einigen anderen eher unüblichen Ländern wie Argentinien, Türkei und Usbekistan. Sie haben alle den User Agent "fasthttp" und lassen sich damit einfach in den Logs identifizieren. Speartip empfiehlt dazu folgenden schnellen Check:

Melden Sie sich beim Azure-Portal an.Navigieren Sie zu Microsoft Entra ID Users Sign-in LogsWenden Sie den Filter Client-App an: "Andere Clients" und suchen Sie nach "fasthttp"

Alternativ könne man auch eine Audit-Protokollsuche in Microsoft Purview mit dem Schlüsselwort "fasthttp" durchführen. Des Weiteren bietet Speartip ein Powershell-Skript zur Suche nach den verdächtigen Zugriffsversuchen in den Logfiles.

Solange alle Log-In-Versuche gescheitert sind, besteht kein akuter Handlungsbedarf; man sollte sich aber durchaus Gedanken darüber machen, ob die aktuellen Schutzmaßnahmen angesichts dieser Bedrohung noch ausreichend sind. Finden sich jedoch erfolgreiche Log-ins mit dem User-Agent "fasthttp", bedeutet das recht sicher, dass die Angreifer den Zugang übernehmen konnten. Wir empfehlen dann, die Credentials sofort zu resetten, aktive Sessions zu terminieren und weitere Incident Response einzuleiten.

Weiterlesen
  39 Aufrufe

Graylark schließt öffentlichen Zugang zu KI-Tool für Geolokalisierung

Ein Foto einer Landschaft oder einer Stadt – nur: Wo ist es entstanden? Das US-Unternehmen Graylark Technologies hat eine Software entwickelt, die diese Frage beantworten kann. Allerdings ist sie nicht für die Allgemeinheit gedacht – aus guten Gründen.

Anzeige

Geospy heißt das System, das mithilfe von Künstlicher Intelligenz feststellen kann, wo ein Foto aufgenommen wurde. Es kann einen Ort relativ genau bestimmen – also etwa in welcher Stadt oder welcher Gegend ein Foto aufgenommen wurde; bis auf die Straße oder gar Hausnummer geht es jedoch nicht.

Um einen Ort zu bestimmen, analysiert Geospy auf dem Foto enthaltene Informationen wie Vegetation, Baustil von Gebäuden oder Abstand der Bebauung. Selbst die Art des Straßenbelags wird einbezogen. Zuvor wurde das System mit Millionen von Bildern aus aller Welt trainiert.

Besonders gut ist es nach Angaben des Unternehmens bei der Erkennung von Orten in den USA. Aber es könne auch Orte anderswo auf der Welt identifizieren. Damit ermöglicht Geospy es Ungeübten, etwas in kürzester Zeit zu erledigen, wofür die Experten für Open Source Intelligence (OSINT) jahrelang trainieren und jedes Mal wieder einige Mühe aufwenden müssen.

Weiterlesen
  41 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image