Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

KI-Bots legen Linux-News-Seite und weitere lahm

Offenbar sorgen KI-Bots seit Anfang des Jahres dafür, dass Webseiten reguläre Anfragen nur verzögert beantworten können. Der Gründer der Linux Weekly News (LWN-net), Jonathan Corbet, berichtet davon, dass die News-Seite deshalb öfter nur langsam reagiere.

Anzeige

Die KI-Scraper-Bots bewirken demnach einen DDoS, einen Distributed-Denial-of-Service-Angriff. Zeitweise würden die KI-Bots mit hunderten IP-Adressen gleichzeitig die Leitungen verstopfen, sobald sie entschieden hätten, die Inhalte der Seite abzugreifen. Auf Mastodon erklärt Corbet, dass nur noch ein kleiner Teil des Traffics derzeit echten menschlichen Lesern diene.

Diese KI-Bots würden sich selbst nicht als solche ausweisen. Das Einzige, was sie von der Webseite nicht lesen, sei die "robots.txt", schiebt Corbet nach. Er beschreibt die derzeitige Situation als "mehr als unhaltbar".

Die Betreiber müssten nun Zeit in eine Art aktiven Verteidigungsmechanismus stecken, nur um die Seite überhaupt online zu halten. "Ich denke, ich würde lieber über Buchhaltungssysteme schreiben, als mich mit dieser Sche*e herumzuärgern", fügt Corbet hinzu. Es betreffe nicht nur LWN: "Dieses Verhalten schrottet das Netz noch mehr, als es ohnehin schon schrottig ist", meint Corbet weiter. In der Diskussion führt er weiter aus: "Wir sehen in der Tat eine Art Muster. Jede IP bleibt unter dem Schwellwert für unsere Sicherungen, aber die Überlast ist überwältigend. Jede Form der aktiven Verteidigung muss wohl herausfinden, ganze Subnetze anstatt einzelner Adressen zu blockieren, und nicht einmal das könnte ausreichend sein."

Weiterlesen
  40 Aufrufe

Nach Angriff auf Antragsportal: D-Trust informiert über neue Erkenntnisse

Nachdem D-Trust, ein unter anderem für sichere Identitäten relevanter Anbieter, vergangene Woche über einen Angriff auf sein Antragsportal für Signatur- und Siegelkarten berichtet hatte, informiert die Tochter der Bundesdruckerei über aktuelle Erkenntnisse. Demnach konnten am 13. Januar Daten einer Schnittstelle des Portals "portal.d-trust.net" ausgelesen werden. Weitere Details, beispielsweise in welchem Umfang auf die Daten zugegriffen wurde, nennt das Unternehmen nicht.

Anzeige

Auch "Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B)" seien betroffen. Diese speziellen Ausweise benötigen Ärzte, um Zugriff zur Telematikinfrastruktur – die für den Austausch von Daten im Gesundheitswesen gedacht ist – zu erhalten und Dokumente zu signieren. Wiederholt betont das Unternehmen, dass "Funktion und Sicherheit der ausgegebenen Signatur- und Siegelkarten sowie eHBA und SMC-B [...] Zugangsdaten (Login, Passwortdaten) und Zahlungsinformationen" nicht beeinträchtigt oder betroffen seien.

Nachdem der Vorfall bekannt wurde, hatte unter anderem die Ärztekammer Nordrhein zur Wachsamkeit insbesondere gegenüber Phishing-Mails gewarnt, wie das Ärzteblatt berichtete. Auch die Bundesärztekammer sei wegen des Vorfalls mit D-Trust im Austausch. Die Interessengemeinschaft Medizin hatte nach dem Bekanntwerden des Vorfalls einen Stopp der elektronischen Patientenakte gefordert.

Möglicherweise wurden "Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und in einigen Fällen Adress- und Ausweisdaten" abgegriffen. Zudem heißt es, dass die Daten lediglich ausgelesen wurden, eine Manipulation der Daten habe nicht stattgefunden. Nach Angaben von D-Trust kooperiert das Unternehmen "eng mit den zuständigen Aufsichtsbehörden. Auch die Strafermittlungsbehörden sind infolge der Strafanzeige der D-Trust GmbH involviert", heißt es in einer aktualisierten Mitteilung.

Weiterlesen
  40 Aufrufe

E-Mail-Bombing und Voice Phishing

Sophos X-Ops hat eine aktive Bedrohungskampagne näher untersucht, bei der zwei verschiedene Gruppen von Bedrohungsakteuren Unternehmen infiltrieren, indem sie die Funktionalität der Office-365-Plattform missbrauchen und anschließend versuchen, Daten abziehen oder Ransomware platzieren.

Besonders perfide: die Angreifer verwenden eine Kombination aus E-Mail-Bombing mit bis zu 3.000 Nachrichten in weniger als einer Stunde und anschließenden Sprach- bzw. Videoanrufen via Teams, auch als Voice Pishing oder Vishing bekannt. Nach dem Versenden der ersten Spam-Nachrichten geben sich die Angreifer als technischer Support des betroffenen Unternehmens aus, rufen über Teams an und bieten ihre „Hilfe“ bei der Lösung des Problems an. Wenn der Mitarbeiter den Anruf entgegennimmt und den Kriminellen mittels Quick Assist oder der Bildschirmfreigabe von Microsoft Teams die Kontrolle über den Computer erteilt, starten die Anrufer das Ausrollen der Schadsoftware. Im Rahmen seiner Untersuchungen hat Sophos X-Ops Verbindungen der in dieser Kampagne aktiven Cyberkriminellen zu den russischen Bedrohungsgruppen Fin7 und Storm-1811 aufgedeckt.

Höchste Alarmbereitschaft für Microsoft 365-Nutzer

Die Einschätzung von Sean Gallagher, Principal Threat Researcher bei Sophos: „Obwohl die Ausnutzung von Fernverwaltungstools und der Missbrauch legitimer Dienste an sich nicht völlig neu sind, beobachten wir, dass immer mehr Bedrohungsgruppen diese Taktiken anwenden, um Unternehmen jeder Größe ins Visier zu nehmen. Dies ist eine aktive Bedrohungskampagne, die wir weiterhin intensiv verfolgen. Da die Standardkonfiguration von Microsoft Teams es jedem Besitzer eines Teams-Kontos ermöglicht, zu chatten oder Mitarbeiter eines Unternehmens anzurufen, sind viele Unternehmen potenziell anfällig für diese Bedrohung. Zudem nutzen viele Unternehmen externe Anbieter für ihren IT-Support, sodass ein Anruf von einer fremden Nummer mit der Bezeichnung „Helpdesk-Manager“ nicht unbedingt Alarmglocken schrillen lässt. Da Sophos weiterhin neue MDR- und IR-Fälle im Zusammenhang mit diesen Taktiken sieht, raten wir Unternehmen, die Microsoft 365 verwenden, in höchster Alarmbereitschaft zu sein. Sie sollten Konfigurationen überprüfen sowie externe Kontonachrichten sowie Fernzugriffstools, die nicht regelmäßig verwendet werden, nach Möglichkeit blockieren.“

 

Original Autor: ZDNet-Redaktion

  38 Aufrufe

Oracle schützt Anwendungen mit 318 Sicherheitsupdates vor möglichen Attacken

Admins von Unternehmen mit Oracle-Anwendungen sollten die ab sofort verfügbaren Sicherheitsupdates zeitnah installieren. Geschieht das nicht, können Angreifer Systeme im schlimmsten Fall vollständig kompromittieren.

Anzeige

In einer Meldung zu Oracles Quartalssammelupdate Critical Patch Update schreibt der Softwareentwickler, dass sie insgesamt 318 Sicherheitsupdates veröffentlicht haben. Um möglichen Attacken vorzubeugen, rät Oracle zu zügigen Updates. Bislang gibt es noch keine Berichte über bereits laufende Angriffe. Außerdem sollten Admins sicherstellen, dass auch die Updates aus vergangenen Quartalsupdates installiert sind.

Schaut man sich die in Oracles Warnhinweis aufgelisteten betroffenen Anwendungen an, ist der Großteil des Softwareportfolios verwundbar. Darunter fallen beispielsweise Agile Engineering Data Management, Cloud Native Core Automated Test Suite und Identitiy Manager.

Angreifer können unter anderem an einer "kritischen" Lücke (CVE-2024-37371) in der Kerberos-Komponente von Communications Billing and Revenue Management ansetzen. Attacken sollen aus der Ferne möglich sein. Was Angreifer nach einer erfolgreichen Attacke konkret anstellen können, geht aus der Beschreibung nicht hervor. Es liest sich so, als würde das zu Speicherfehlern führen, was in der Regel die Basis für die Ausführung von Schadcode ist.

Weiterlesen
  36 Aufrufe

Chinesische Hackergruppe PlushDaemon geht auf Beutezug

Schadsoftware kommt als Trittbrettfahrer ins System

PlushDaemon bedient sich verschiedener fieser Tricks, um an Daten zu gelangen. So manipulieren die Hacker legitime Updates verschiedener chinesischer Anwendungen, indem sie den Datenverkehr auf eigene Server umleiten. Die Folge: Nutzer, die ein Update für ihre App herunterladen wollen, erhalten stattdessen die eigens von PlushDaemon erstellten Backdoor SlowStepper. Dabei handelt es sich um eine äußerst vielseitige digitale Hintertür zu den Computern der Betroffenen. Einmal auf einem Gerät aktiv, sammelt sie eine Vielzahl von Daten. Sie kann Informationen aus Webbrowsern abgreifen, Fotos machen und nach Dokumenten suchen. Darüber hinaus sammelt er Daten aus verschiedenen Anwendungen wie Messaging-Apps und stiehlt Passwortinformationen.

„Die Vielzahl der Komponenten von PlushDaemon zeigt, wie ernst diese neue Bedrohung ist“, warnt ESET-Forscher Facundo Muñoz, der hinter der Entdeckung von PlushDaemon und SlowStepper steckt. „Außerdem wird die Malware ständig aktualisiert und damit immer gefährlicher.“

VPN-Nutzer in Südkorea waren betroffen und wussten nichts davon

Eine weitere Angriffsmethode betrifft Nutzer des in Südkorea beliebten VPN-Dienstes IPany: Die Hackergruppe ersetzte die reguläre Installationsdatei auf der Website des Anbieters durch ein neues Datenpaket. Dieses enthielt neben den legitimen Installationsdateien wiederum die Hintertür.

„Im Mai 2024 entdeckten wir Schadcode in einem Installationsprogramm für Windows, das Nutzer aus Südkorea von der Website der legitimen VPN-Software IPany heruntergeladen hatten. Bei einer tieferen Analyse stellten wir fest, dass der Installer sowohl die legitime Software als auch die Backdoor installierte“, erklärt ESET-Forscher Facundo Muñoz, der PlushDaemon und SlowStepper aufgespürt hat. „Wir haben uns mit dem Entwickler der VPN-Software in Verbindung gesetzt, um ihn über die Kompromittierung zu informieren. Der bösartige Installer wurde sofort von der Website entfernt.“

Wie es den Hackern gelang, ihr schadhaftes Installationspaket auf die Seite des Anbieters zu bringen, ist bisher nicht bekannt.

Weiterlesen
  35 Aufrufe

JetBrains Package Checker schützt vor bösartigen Paketen

Das Softwareunternehmen JetBrains ist eine Partnerschaft mit Mend.io (ehemals WhiteSource) eingegangen – einem Unternehmen, das auf Anwendungssicherheit spezialisiert ist. Aus dieser Zusammenarbeit hervorgehend, kann JetBrains nun neue Sicherheitsfunktionen in seinen Entwicklungsumgebungen und im Codeanalyse-Tool Qodana anbieten.

Anzeige

Das JetBrains-Plug-in Package Checker war bisher bereits für die JetBrains-Entwicklungsumgebungen – darunter IntelliJ IDEA, Android Studio oder PyCharm – verfügbar. Nun bietet es erweiterte Funktionen und kann auf Basis der Mend.io-Partnerschaft bösartige Pakete des JavaScript-Paketmanagers npm oder des Python-Paketmanagers PyPI erkennen:

Der JetBrains Package Checker erkennt npm-Pakete mit Schadcode.

(Bild: JetBrains)

Weiterlesen
  32 Aufrufe

heise-Angebot: iX-Workshop: Lokales Active Directory gegen Angriffe absichern

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Februar
12.02. – 14.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 14. Jan. 2025
April
02.04. – 04.04.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 04. Mrz. 2025
Juni
04.06. – 06.06.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 06. Mai 2025
Juli
09.07. – 11.07.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 10. Jun. 2025
September
03.09. – 05.09.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 05. Aug. 2025
Oktober
08.10. – 10.10.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 09. Sep. 2025
November
12.11. – 14.11.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 14. Okt. 2025
Dezember
10.12. – 12.12.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 11. Nov. 2025

Referent des zweitägigen Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit. Frank Ully gilt als ausgewiesener Experte auf seinem Gebiet und verfügt über zahlreiche Zertifikate wie Offensive Security Certified Expert (OSCE), Offensive Security Certified Professional (OSCP), Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM).

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Weiterlesen
  0 Aufrufe

Downloader FakeUpdates dominiert Malware-Landschaft in Deutschland

Im Dezember hat sich die Malware-Machtverteilung in Deutschland deutlich verändert. Der noch im November mit einem Anteil von über 18 Prozent dominierende Infostealer Formbook spielte im vergangenen Monat keine Rolle mehr. Stattdessen führt nun der Downloader FakeUpdates mit einem Anteil von 3,36 Prozent die Cyber-Threat-Statistik von Check Point an.

Die in JavaScript geschriebene Malware FakeUpdates lädt weitere Schadprogramme herunter und führt so zu einer weiteren Systemkompromittierung. Auf Platz zwei landete mit 2,33 Prozent das Botnet Androxgh0st. Es zielt auf Windows-, Mac- und Linux-Plattformen und nutzt bekannte Sicherheitslücken, um in Systeme einzudringen. Die Hintermänner haben es auf vertrauliche Daten wie Anmeldeinformationen abgesehen.

Abgerundet wird die Top 3 im Dezember vom Remote Access Trojan Remcos (2,05 Prozent. Die Malware ist seit 2016 im Umlauf. Remcos verbreitet sich über bösartige Microsoft Office-Dokumente, die an Spam-E-Mails angehängt sind, und ist darauf ausgelegt, die UAC-Sicherheit von Microsoft Windows zu umgehen und Malware mit hohen Rechten auszuführen.

Die am häufigsten angegriffene Sektor war erneut Bildung/Forschung. Außerdem nahmen im Dezember Angriffe auf das Gesundheitswesen zu. Sie übertrafen sogar die Zahl der Attacken auf den Kommunikationssektor.

Original Autor: Stefan Beiersmann

  43 Aufrufe

Aufregung um "Solarspitzengesetz": Keine Steuerung über Hersteller-Clouds

Am Wochenende sorgten Medienberichte über eine geplante Gesetzesänderung für Aufregung: Mit dem geplanten "Solarspitzengesetz" seien Kontrollmöglichkeiten für Wechselrichter von Photovoltaikanlagen vorgesehen, die Netzbetreiber ermöglichen, bei Überangebot die Stabilität der Netze zu sichern. Da viele dieser Anlagen oder ihre Komponenten von chinesischen Herstellern stammen, schaffe die Gesetzesnovelle ein massives Sicherheitsrisiko. Einen solchen direkten Zusammenhang gibt es jedoch nicht, wie etwa der Bundesverband Solarwirtschaft e. V. auf Nachfrage bestätigt.

Anzeige

Die vorgeschlagenen Änderungen am Energiewirtschaftsgesetz waren Gegenstand einer Anhörung am Mittwoch vergangener Woche im Bundestagsausschuss für Klimaschutz und Energie. Ziel des Gesetzes ist es, die Spitzen in der Photovoltaikeinspeisung zu glätten. Eine zentrale Maßnahme: In Zeiten negativer Strompreise soll keine Einspeisevergütung gezahlt werden.

Geplant ist aber nicht nur diese finanzielle Maßnahme, sondern auch eine technische: Das Wort "Steuerung" taucht im Gesetzentwurf 171 Mal auf. Dass zur Abregelung bei Überschüssen etwa die Cloud-Dienste der Hersteller genutzt werden sollen, findet sich im Text nicht. Laut Medienberichten vom Wochenende hätte in diesem Zusammenhang das Bundesamt für Sicherheit in der Informationstechnik (BSI) Bedenken ob der IT-Sicherheit angemeldet. Das BSI will das auf Anfrage von heise online nicht bestätigen. Die Behörde äußere sich grundsätzlich nicht zu Gesetzesvorhaben, heißt es.

Zu den geplanten Änderungen wurde unter anderem der Bundesverband Solarwirtschaft als einer von zehn Experten vom Bundestagsausschuss für Klimaschutz und Energie angehört. heise online hat den Interessenverband daher gefragt, ob die Änderungsvorschläge oder das Gesetz die Steuerung über Hersteller-Clouds vorsehen oder andeuten. Die Antwort:

Weiterlesen
  43 Aufrufe

BSI zertfiziert erste quantensichere Smartcard

Algorithmen für Quantencomputer zum Brechen insbesondere von herkömmlicher Verschlüsselung machen Fortschritte, daher suchen Kryptologen nach Möglichkeiten, Kommunikation so zu verschlüsseln, dass die neue Computerklasse sich die Zähne daran ausbeißt. Das BSI hat nun die erste Smartcard zertifiziert, die quantensichere Verschlüsselung gewährleisten können soll.

Anzeige

Insbesondere, um Mitschnitte verschlüsselter Kommunikation nicht im Nachgang entschlüsseln zu können ("collect now, decrypt later"), entwickeln IT-Sicherheitsforscher konkrete Post-Quanten-kryptografische Algorithmen (PQC). Das US-amerikanische NIST hat erst im vergangenen August drei Verschlüsselungsstandards verabschiedet, die Angriffen durch Quantencomputern widerstehen sollen: FIPS203, FIPS204 und FIPS205. Die jetzt vom TÜV für das BSI zertifizierte Smartcard setzt auf einen Infineon-IC, der das PQC-Verfahren FIPS203, auch als ML-KEM bekannt, umsetzt.

Es handelt sich laut BSI um das weltweit erste Common-Criteria-Sicherheitszertifikat für eine konkrete Implementierung von FIPS203. Damit verschlüsselte Daten sollen auch den potenziell mächtigen Angriffen mit Quantencomputern widerstehen. Die Smartcards lassen sich etwa für Personalausweise, Gesundheitskarten, Kreditkarten oder SIM-Karten einsetzen, nennt das BSI einige konkrete Beispiele.

Das BSI sieht dringenden Handlungsbedarf, Verschlüsselung auf quantenresistente Algorithmen zu migrieren. Klassische Kryptografie sehe sich einem stärker werdenden Bedrohungsszenario durch Quantenalgorithmen ausgesetzt, erklärt die IT-Sicherheitsbehörde. Zusammen mit 17 europäischen Partnern ruft das BSI zur "aktiven Umstellung auf quantenresistive Verfahren bis spätestens 2030" auf.

Weiterlesen
  43 Aufrufe

7-Zip: Lücke erlaubt Umgehung von Mark-of-the-Web

Eine Sicherheitslücke im populären Archivprogramm 7-Zip ermöglicht das Umgehen der Mark-of-the-Web-Markierung (MotW) von Dateien, die aus dem Internet heruntergeladen wurden. Das soll Angreifern das Einschleusen und Ausführen von Schadcode ermöglichen. 7-Zip-Nutzer müssen selbst aktiv werden, um sich zu schützen und das verfügbare Update installieren.

Anzeige

Die Zero-Day-Initiative (ZDI) erörtert in einer Sicherheitsmitteilung, dass Angreifer aus dem Netz den MotW-Schutzmechanismus aushebeln können, dazu jedoch eine Nutzerinteraktion nötig ist – etwa das Besuchen einer bösartigen Webseite oder Öffnen einer bösartigen Datei.

Der Fehler betrifft die Verarbeitung von Archivdateien. Beim Extrahieren von sorgsam präparierten Archiven, die eine Mark-of-the-Web-Markierung haben, überträgt 7-Zip diese MotW nicht auf die entpackten Dateien. Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext der Nutzer auszuführen, erklärt ZDI (CVE-2025-0411, CVSS 7.0, Risiko "hoch").

Der Fehler wurde demnach bereits im vergangenen Oktober gemeldet, nun erfolgt die koordinierte Veröffentlichung von Informationen. Die Sicherheitslücke schließt 7-Zip Version 24.09 oder neuer, die auf der Download-Seite von 7-Zip bereits seit Ende November vergangenen Jahres zum Herunterladen bereitsteht.

Weiterlesen
  46 Aufrufe

heise-Angebot: iX-Workshop: Windows Server absichern und härten

Windows-Server-Systeme sind ein zentrales Element der IT-Infrastruktur vieler Unternehmen. Entsprechend wichtig ist ihre Sicherheit. Im Cyberwar stehen sie immer häufiger im Fokus von Angriffen. Eine professionelle Absicherung und Härtung dieser Systeme ist daher unerlässlich. Zudem fordern verschiedene regulatorische Vorgaben und Industriestandards eine erhöhte Sicherheit von Betriebssystemen und Identitätssystemen wie Active Directory oder Entra ID.

Anzeige

Im Praxisworkshop Windows Server absichern und härten lernen Sie, wie Sie Ihre Windows Server-Systeme effizient und nachhaltig härten können. Sie erhalten einen umfassenden und praxisnahen Einblick in die Konzepte der Systemhärtung und lernen, wie Sie Windows Server von Grund auf und prozessorientiert absichern, welche Unterschiede zwischen manueller und zentraler Konfiguration bestehen und warum die Härtung über Gruppenrichtlinien/GPOs oft ineffizient ist. Darüber hinaus erfahren Sie, welche Anforderungen sich aus regulatorischen Vorgaben ergeben und wie Sie Schutzmaßnahmen in Ihre Infrastruktur integrieren können.

Der Workshop ist stark praxisorientiert und kombiniert theoretische Einheiten mit vertiefenden Übungen, wie z.B. die Anwendung des Open Source Tools AuditTAP und die Erstellung einer Hardening GPO auf Basis von CIS. Darüber hinaus arbeiten Sie an konkreten Fallbeispielen und diskutieren typische Fallstricke in Hardening-Projekten. So sammeln Sie praktische Erfahrungen und können das Gelernte direkt in Ihrer eigenen Arbeit anwenden.

Februar
04.02. - 05.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 06. Jan. 2025
März
10.03. – 11.03.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 09. Feb. 2025
April
07.04. - 08.04.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 09. Mrz. 2025
Mai
15.05. – 16.05.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 16. Apr. 2025
September
10.09. – 11.09.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 12. Aug. 2025
November
19.11. – 20.11.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 21. Okt. 2025

Dieser Workshop richtet sich an Systemadministratoren, CISOs und IT-Sicherheitsexperten, die ihre Kenntnisse im Bereich Absicherung und Hardening von Windows Server Systemen erweitern möchten.

Weiterlesen
  42 Aufrufe

Webbrwoser: Brave-Sicherheitsleck sorgt für falsch angezeigte Download-Quelle

Der Webbrowser Brave ist etwa aufgrund der integrierten Werbeblockade recht beliebt. Nun wurde eine Sicherheitslücke darin entdeckt, durch die Angreifer die Quelle eines Downloads falsch anzeigen lassen können. Ein Brave-Update stopft das Sicherheitsleck.

Anzeige

Auf der Bug-Bounty-Plattform Hackerone hat der User mit dem Handle syarif07 den sicherheitsrelevanten Fehler gemeldet. In den "Datei speichern"-Dialog des Betriebssystems können Angreifer demnach anstatt der eigentlichen Download-Quelle eine andere URL anzeigen lassen. Das geht syarif07 zufolge darauf zurück, dass Brave für die Anzeige den Referrer-Header auswerte, der sich fälschen lasse und sich somit eine vertrauenswürdige Quelle vorgaukeln lasse. Dadurch können Angreifer etwa Malware-Downloads verschleiern.

Zunächst hatte der Melder als Schweregrad der Lücke "kritisch" vorgeschlagen, die Brave-Entwickler haben sie jedoch auf "hoch" zurückgestuft – kritische Lücken hätten einen Hotfix erfordert, das gab ihnen mehr Zeit für die Programmkorrektur. Eine CVE-Nummer wurde inzwischen ebenfalls vergeben und heute morgen veröffentlicht (CVE-2025-23086, kein CVSS-Wert, Risiko "hoch").

Der CVE-Eintrag erklärt die Lücke folgendermaßen: Auf den meisten Desktop-Plattfomen verwendet Brave Browser 1.70 bis 1.73 eine Funktion zum Anzeigen der Quell-Seite im vom Betriebssystem bereitgestellten Dateiauswahl-Dialog, wenn eine Seite Nutzern einen Dialog zum Hoch- oder Herunterladen von Dateien anzeigt. Die Quelle wurde in einigen Fällen nicht korrekt hergeleitet, was zusammen mit einer Open-Referrer-Schwachstelle auf einer vertrauenswürdigen Webseite von einer bösartigen Webseite missbraucht werden kann, um einen Download als von der vertrauenswürdigen Seite stammend anzeigen zu lassen.

Weiterlesen
  46 Aufrufe

Wie lange brauchen Hacker, um moderne Hash-Algorithmen zu entschlüsseln?

Entsprechend werden auch die Empfehlungen von Cybersecurity-Experten und Behörden wie dem BSI und NIST im Bezug auf Passwörter laufend angepasst. Beispielsweise der Wandel weg von Komplexitätsanforderungen und hin zu längeren Passwörtern. Dabei spielt auch der genutzte Hash-Algorithmus eine wichtige Rolle. Denn um zu verhindern, dass Passwörter im Klartext gespeichert, und so bei einer Datenpanne komplett einsehbar sind, müssen Passwörter entsprechend verschlüsselt werden.

Dieser Artikel untersucht, wie Cyberangreifer heutzutage versuchen, gehashte Passwörter zu entschlüsseln und stellt gängige Hash-Algorithmen, sowie deren  Grenzen  vor. Zusätzlich erfahren Sie, welche Maßnahmen Sie ergreifen können, um die Passwörter Ihrer Benutzer zu schützen.

Moderne Techniken zum Knacken von Passwörtern

Angreifer verfügen über eine breite Palette an Werkzeugen und Methoden, um gehashte Passwörter zu erraten. Zu den am häufigsten verwendeten Methoden zählen klassische Brute-Force-Angriffe aber auch effizientere und gezieltere Maßnahmen wie Dictionary-Attacks, Hybrid-Attacks oder Password-Mask-Angriffe, die den Zeit- und Rechenaufwand bis zum Erraten eines Passwortes reduzieren sollen.

Brute-Force-Angriffe

Mit Brute-Force versuchen Angreifer durch „ausprobieren“ von Zeichenkombinationen  Zugang zu einem Konto zu erhalten. Eigens dafür entwickelte Werkzeuge testen so systematisch verschiedene Passwortvarianten, bis eine erfolgreiche Kombination gefunden wird. Obwohl wenig raffiniert, sind Brute-Force-Angriffe äußerst effektiv, insbesondere wenn leistungsstarke Hardware auf schwache Hash-Algorithmentreffen.

Dictionary-Attacks

Wie der Name schon impliziert, nutzt solch ein Angriff eine Liste an wahrscheinlichen Wörtern (Oder gleich das komplette Wörterbuch), um diese in unterschiedlichsten Varianten auszuprobieren, bis eine funktionierende Kombination gefunden wird. Dabei können solche Dictionaries oder Listen alle gängigen Wörter, spezifische Wortlisten, Wortkombinationen sowie Ableitungen und Permutationen von Wörtern enthalten (z. B. mit alphanumerischen und nicht alphanumerischen Zeichen, wie das Ersetzen von „a“ durch „@“). Wörterbuchangriffe können auch Passwörter oder Basisbegriffe von Passwörtern enthalten, die bereits durch vergangene Datenlecks kompromittiert wurden.

Weiterlesen
  24 Aufrufe

Interna zum Verkauf: HPE untersucht mögliche Cyberattacke

Im Darknet stehen angeblich interne und vertrauliche Daten des Informationstechnikunternehmens Hewlett Packard Enterprise (HPE) zum Verkauf. Ob die Daten echt sind, ist bislang unklar.

Anzeige

Medienberichten zufolge gibt HPE an, den Vorfall derzeit zu untersuchen und Vorsichtsmaßnahmen ergriffen zu haben. Bislang gebe es jedoch noch keine Hinweise auf eine Cyberattacke. Die Antwort auf eine Anfrage von heise Security steht derzeit noch aus. Das Unternehmen versichert, vorsorglich interne Zugangsdaten zurückgesetzt zu haben. Der Geschäftsbetrieb sei davon nicht betroffen.

Der Leaker gibt an, dass die Angreifer unter anderem über einen API-Zugriff interne Daten kopieren konnten.

(Bild: Screenshot)

Weiterlesen
  46 Aufrufe

Exchange 2016 und 2019 erreichen Support-Ende – in 9 Monaten

Microsoft erinnert IT-Verantwortliche daran, dass die Exchange-Server 2016 und 2019 am 14. Oktober 2025 das Support-Ende erreichen. An dem Datum erhalten sie ihr letztes Sicherheitsupdate.

Anzeige

In einem Techcommunity-Beitrag schreibt Microsoft, dass die Redmonder ab diesem Datum keine technische Unterstützung mehr liefern. Das gelte für technische Support-Probleme, Fehlerkorrekturen, die die Stabilität und Nutzbarkeit des Servers betreffen, Sicherheitsupdates für Schwachstellen und Zeitzonen-Aktualisierungen. Die Kundeninstallationen liefen selbstverständlich weiter, jedoch empfiehlt Microsoft, aufgrund des nahenden Support-Endes und potenzieller zukünftiger Sicherheitsrisiken, dass Betroffene jetzt handeln.

Wenig überraschend lautet die erste Empfehlung, auf Exchange Online oder Microsoft 365 zu migrieren – die Cloud-Dienste von Microsoft. Dies sei die beste und einfachste Option, beschwören die Autoren des Techcommunity-Beitrags.

Allerdings soll früh in der zweiten Jahreshälfte der On-Premises-Server Exchange SE erscheinen. Laut Upgrade-Anleitung von Microsoft erlaubt dieser eine direkte Migration von Exchange 2019 CU 14 oder CU15 sowie weiteren, bis dahin erschienenen Service-Updates.

Weiterlesen
  36 Aufrufe

LKA-Chef warnt vor wachsender Selbstradikalisierung auf Tiktok

Der Präsident des Landeskriminalamts (LKA) in Rheinland-Pfalz, Mario Germano, sieht eine wachsende Selbstradikalisierung junger Menschen auf TikTok. "Wir hatten jetzt vermehrt Fälle, in denen Minderjährige über TikTok radikalisiert wurden", sagte Germano im Gespräch mit der Deutschen Presse-Agentur in Mainz.

Anzeige

Dies gelte insbesondere für islamistische Täter oder geplante islamistische Anschläge, "die wir noch verhindern konnten". Viele dieser Beschuldigten hätten über TikTok überhaupt erst den Zugang zum Thema Islamismus gefunden.

Islamistische und rechtsradikale Propaganda habe mit TikTok eine Plattform gefunden, auf der sich viel einfacher größere Menschengruppen ansprechen ließen als früher mit dem Verteilen von Flyern auf Marktplätzen oder umstrittenen Auftritten in den Innenstädten, sagte Germano. "Das wird gezielt ausgenutzt."

"Auf TikTok haben radikale Gruppierungen Livestreamformate und sie können verschiedene Formen von Videoschnipseln einspielen, die der Algorithmus dann wieder ausspielt, letzten Endes also für sie arbeitet." Dies sei viel effektiver als Menschen anzusprechen. "Für Menschenfänger ist es bequemer geworden, auf TikTok aktiv zu werden", besonders weil der Algorithmus die empfängliche Zielgruppe ohne Aufwand auswähle.

Weiterlesen
  33 Aufrufe

Sicherheitspatch: Unbefugte Zugriffe auf bestimmte Switches von Moxa möglich

Um Angriffe vorzubeugen, sollten Netzwerkadmins die Firmware ihrer Ethernet-Switches der Serie EDS-508A von Moxa auf den aktuellen Stand bringen.

Anzeige

In einer Warnmeldung führt der Hersteller von Netzwerklösungen die Schwachstelle (CVE-2024-12297) als "kritisch" auf. Davon sind Geräte bis einschließlich der Firmwareversion 3.11 betroffen. Die Entwickler führen aus, dass die Client- und Back-End-Server-Authentifizierung kaputt ist.

Demzufolge können Angreifer an der Schwachstelle ansetzen und sich unbefugt Zugriff auf Systeme verschaffen. Das kann beispielsweise durch Brute-Force-Attacken oder MD5-Hash-Kollisionen geschehen. Im Anschluss können Angreifer Geräte vollständig kompromittieren.

Um das Sicherheitsupdate zu bekommen, müssen Admins den Moxa-Support kontaktieren. Ob es bereits Angriffe gibt und woran man bereits attackierte Switches erkennen kann, führt Moxa derzeit nicht aus.

Weiterlesen
  48 Aufrufe

437000 Datensätze von Hilton, Marriott und Co. bei Have-I-Been-Pwned hinzugefügt

Die Hotel-Verwaltungsplattform Otelier hatte im vergangenen Juli ungebetenen Online-Besuch, der sich an den dort gespeicherten Daten gütlich tat. Insgesamt rund 437.000 Datensätze von Kunden etwa der Hotelketten Hilton, Hyatt oder Marriott gelangten dadurch in falsche Hände. Nun hat das Have-I-Been-Pwned-Projekt (HIBP) die Daten durchsuchbar in den eigenen Datenfundus integriert.

Anzeige

Laut Mitteilung von Betreiber Troy Hunt auf der Have-I-Been-Pwned-Webseite fand der Einbruch bei Otelier bereits am 1. Juli 2024 statt. Es handelt sich dabei um eine Verwaltungsplattform, die ihre Dienste Hotelketten, darunter namhaften wie Hilton, Hyatt oder Marriott anbietet. Der Datensatz, der HIBP zugänglich gemacht wurde, umfasst 436.855 Datensätze, unter anderem mit E-Mail-Adressen von Kundinnen und Kunden. Weitere 868.000 generierte E-Mail-Adressen von booking.com und Expedia hat Hunt den eigenen Angaben nach hingegen nicht verwertet. Insgesamt gaben die Täter gegenüber Bleeping Computer an, 8 TByte an Daten aus den Amazon-S3-Buckets von Otelier kopiert zu haben.

Neben den E-Mail-Adressen finden sich auch Namen, Anschriften, Telefonnummern, Käufe, Reisepläne und teilweise gekürzte Kreditkartendaten in den geleakten Daten. Damit können Kriminelle etwa zielgerichtetere Phishing-Angriffe auf potenzielle Opfer starten.

Auf der Hauptseite von Have I Been Pwned können Interessierte ihre E-Mail-Adresse angeben und sich anzeigen lassen, ob diese in Datenlecks und -diebstählen in der Vergangenheit enthalten war. Bei Diensten, in denen die E-Mail-Adresse auftaucht, sollten Betroffene dann zumindest ihre Passwörter ändern und schauen, ob ungewollte Modifikationen vorgenommen worden. Bei der Gelegenheit sollte, sofern verfügbar, auch die Mehr-Faktor-Authentifizierung aktiviert oder gegebenenfalls auf Passkeys umgestellt werden.

Weiterlesen
  52 Aufrufe

Nvidia: Datenabfluss durch Sicherheitsleck in Grafiktreiber möglich

Sicherheitslücken in Grafiktreibern von Nvidia gefährden die Sicherheit von PCs. Angreifer können durch Schwachstellen unbefugt Informationen auslesen oder verändern oder Systeme mit Denial-of-Service-Angriffen lahmlegen.

Anzeige

In einer Sicherheitsmitteilung listen Nvidias Entwickler mehrere Sicherheitslecks auf, die Angreifer missbrauchen können und für die nun Aktualisierungen bereitstehen, die sie schließen. Die schwerwiegende Sicherheitslücke in den Nvidia GPU Display-Treibern für Linux und Windows basiert auf einem Fehler, durch den Daten über das Ende hinaus oder vor den Anfang eines Puffers geschrieben werden. Dadurch können unbefugt Zugriffe auf Informationen erfolgen, sich Daten verändern oder das System mittels DoS zum Stillstand bringen (CVE-2024-0150, CVSS 7.1, Risiko "hoch").

Nvidia bietet zudem Treiber für virtuelle GPUs an, bei denen Nvidia-GPUs in Rechenzentren respektive Servern sitzen und von Workstations als virtuelle Grafikkarten für Berechnungen genutzt werden können. Im Virtual GPU Manager klafft eine Sicherheitslücke, bei denen bösartige Gäste Speicherverletzungen provozieren können. Dadurch können sie unter anderem Schadcode einschleusen und ausführen, das System lahmlegen oder Daten lesen und manipulieren (CVE-2024-0146, CVSS 7.8, hoch).

Beide Treiber haben noch weitere, aber weniger riskant eingestufte Sicherheitslücken, die Nvidias Entwickler mit aktualisierten Software-Versionen stopfen. Die Windows-Treiberversionen 553.62 und 539.19 sowie unter Linux die Versionen 550.144.03 und 535.230.02 korrigieren die Fehler. Dies sind auch die korrigierten Versionsstände für die virtuellen Gast-Treiber der vGPU-Lösungen. Zudem muss die vGPU-Software auf Stand 17.5 respektive 16.9 gebracht werden, um die Schwachstellen darin auszubessern. Die Software steht auf der Download-Seite von Nvidia zum Herunterladen bereit.

Weiterlesen
  56 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image