Comretix Blog

IT-Sicherheitsforscher haben Backdoors von Juniper-Routern untersucht, mit denen die Geräte bei einer Angriffswelle von den Tätern ausgestattet wurden. Eine Besonderheit ist, dass sie zunächst passiv auf sogenannte Magic Packets lauschen, bevor sie aktiv werden und Zugriff gewähren.

Anzeige

In ihrer tiefschürfenden Analyse schreiben die Mitarbeiter des Black-Lotus-Teams von Lumen, dass sie die Kampagne, bei der die Backdoor verteilt wurde, "J-magic" getauft haben. Erste Samples der Backdoor fanden sich demnach bereits im September 2023 im Malware-Fundus von Virustotal. Wie die Angreifer initial in betroffene Juniper-Router eingebrochen sind, konnten die IT-Forscher nicht rekonstruieren.

Nach dem Einbruch in die Router haben die Täter dann die Backdoor installiert. Es handelt sich demnach um eine Variante von cd00r. Das ist eine Open-Source-Backdoor, die auf Packetstorm im Jahr 2000 als Proof-of-Concept veröffentlicht wurde.

Die untersuchte Variante kann passiv auf fünf vordefinierte Parameter lauschen, oder auch Magic Packets, bevor sie sich aktiviert. Sofern ein solches Magic Packet erkannt wurde, sende der Backdoor-Agent eine zweite Challenge zurück. Sofern diese bestanden wurde, öffnet J-magic eine Reverse-Shell auf dem lokalen Dateisystem und erlaubt den Strippenziehern, das kompromittierte Gerät zu kontrollieren, Daten zu stehlen oder bösartige Software zu verteilen.

Etwa 55 Prozent der von Ransomware-Angriffen betroffenen Unternehmen in Deutschland haben zeitweise ihren Betrieb unterbrechen müssen. Gleichzeitig wenden deutsche Firmen im Vergleich zu anderen Ländern mehr Zeit und Personal auf, um Ransomware einzudämmen. Das geht aus einer von Illumio beauftragten Studie des Ponemon Institute hervor. Im Schnitt verlangten Angreifer 1,4 Millionen US-Dollar für die Freigabe der Daten deutscher Betriebe. Nur jede zehnte Firma konnte alle Daten wiederherstellen.

Anzeige

In Deutschland berichtete mit 45 Prozent knapp die Hälfte der befragten Unternehmen von Umsatzeinbußen. Jeweils mehr als ein Drittel der deutschen Firmen verlor infolge eines Ransomware-Angriffs Kunden und musste Stellen abbauen. In 34 Prozent der Fälle schadete ein Angriff dem Ansehen der Firma. Der Reputationsschaden war für Betriebe der größte Kostenfaktor einer Ransomware-Attacke und teurer als Anwaltskosten und Strafzahlungen oder Umsatzeinbußen.

Der Studie zufolge seien in Deutschland bereits 89 Prozent der Unternehmen von einem Ransomware-Angriff betroffen gewesen. Aus dem Dokument geht allerdings nicht eindeutig hervor, ob es sich um erfolgreiche Angriffe handelt oder auch gescheiterte Versuche gezählt werden. Eine Untersuchung des Digitalverbandes Bitkom beziffert den Anteil der Unternehmen, die durch erpresserische Software einen Schaden erlitten, mit 31 Prozent.

Ransomware-Angriffe beeinträchtigten knapp ein Viertel der kritischen Systeme, die durchschnittlich für 12 Stunden ausfielen. Um die größte Sicherheitsverletzung durch erpresserische Software einzudämmen und zu beheben, benötigten deutsche Unternehmen im Durchschnitt 18,3 Mitarbeiter, die jeweils 149 Stunden arbeiteten. Damit liegt die Bundesrepublik über dem weltweiten Durchschnitt. Gleichzeitig erachten fast zwei Drittel der deutschen Betriebe ihre Sicherheitsvorkehrungen als effektiv.

Anfang Januar hat Sonicwall Updates zum Schließen einer Zero-Day-Schwachstelle in Sonicwalls SSL-VPN und SSH-Management veröffentlicht. Der Hersteller warnte vor möglichem Missbrauch durch Angreifer. Stand Mitte vergangener Woche sind jedoch noch mehr als 5000 Sonicwall-Appliances verwundbar.

Anzeige

Die IT-Sicherheitsforscher von Bishop Fox haben die Sicherheitslücke untersucht und konnten sie erfolgreich mit Exploit ausnutzen, um damit etwa Zugänge zu übernehmen. "Unsere aktuelle Untersuchung deutet darauf hin, dass mehr als 5000 verwundbare Sonicwall-Geräte im Internet erreichbar sind", schreiben sie in ihrer Analyse. "Obwohl signifikante Reverse-Engineering-Anstrengungen nötig waren, die Schwachstelle zu finden und auszunutzen, war der Exploit selbst recht trivial", ergänzen sie.

Die IT-Forscher erörtern zudem ihren Zeitplan. Im Rahmen einer Responsible Disclosure wollen sie weitergehende Details 90 Tage nach der Benachrichtigung des Herstellers veröffentlichen. Am 5. November 2024 war das der Fall, Sonicwall hat Updates am 7. Januar 2025 herausgegeben. Damit IT-Verantwortliche einen vollen Monat Zeit für die Aktualisierung haben, will das Unternehmen die Details des Exploit-Codes am 10. Februar veröffentlichen.

Da noch tausende Sonicwall-Appliances im Netz erreichbar sind, die offenbar für die Sicherheitslücke anfällig sind, sollten die Admins jetzt zügig die Aktualisierung nachholen. Möglicherweise ist die Information am Jahresanfang untergegangen, weshalb so viele Sonicwall-Firewalls noch ungepatcht blieben.

Cyberattacken gehören leider zum Admin-Alltag, doch dagegen kann man einiges unternehmen. Und selbst wenn Angreifer bereits Firmeninterna kopieren, kann man immer noch etwas retten. Wie man IT-Angriffen vorbeugt und wie man sich nach einer bereits erfolgten Attacke am effektivsten verhält, erläutern die Referenten auf der secIT 2025.

Anzeige

Der Großteil des Programms wurde von den Redaktionen von c’t, heise security und iX handverlesen. In diesen redaktionellen Vorträgen gibt es keine Werbung, sondern ausschließlich hilfreiche Fakten, die Admins direkt für mehr Sicherheit in Unternehmen umsetzen können.

Die secIT findet vom 18. bis 20 März 2025 im Hannover Congress Centrum (HCC) statt. Bis zum 15. Februar gibt es im Ticketshop vergünstigte Eintrittskarten. Ein Tagesticket kostet bis dahin 79 statt 99 Euro und für ein Dauerticket werden 119 statt 139 Euro fällig.

In seiner Abschlusskeynote führt Volker Kozok aus, welche Rolle KI im aktuellen Cybercrimegeschehen spielt.

Die Generalstaatsanwaltschaft Karlsruhe hat Anklage gegen einen Cyberkriminellen erhoben. Der Mann soll Cyberattacken auf zahlreiche deutsche Unternehmen und Institutionen verübt und Lösegeld erpresst haben. Das berichtete Spiegel Online am Montag.

Anzeige

Der 45-jährige Tatverdächtige war nach mehrjährigen internationalen Ermittlungen des Landeskriminalamts Baden-Württemberg im Juni vergangenen Jahres in Zusammenarbeit mit den slowakischen Behörden in Bratislava verhaftet und im September nach Deutschland ausgeliefert worden. Nach Angaben der Strafverfolger steht der Mann im Verdacht, im Jahr 2019 die Daten von 22 deutschen Firmen und Einrichtungen mit Schadsoftware verschlüsselt und Lösegeld für die Freigabe gefordert zu haben. Zu den Betroffenen der Cyberangriffe gehörten u. a. das Württembergische Staatstheater Stuttgart sowie mehrere Hersteller von medizinischen Produkten. Durch die Datenverschlüsselung und den Systemausfall entstand ein geschätzter wirtschaftlicher Schaden von über 2,4 Millionen Euro.

Die Staatsanwaltschaft wirft dem mutmaßlichen Cyberkriminellen unter anderem banden- und gewerbsmäßigen Computerbetrug vor. Der aus der Ukraine stammende Mann gehört nach Angaben der Ermittler der weltweit agierenden Cybercrime-Gruppe "GandCrab" an, die mit Verschlüsselungsangriffen Geld von ihren Opfern erpresst hat. Der weltweit entstandene wirtschaftliche Schaden durch die Gruppierung wird auf mehr als 100 Millionen Euro geschätzt.

Die Ransomware GandCrab befiel seit 2018 unzählige Windowsrechner weltweit. Die Malware lauerte unter anderem hinter Fake-Software-Cracks und in gefälschten Bewerbungsmails. Zudem versuchte der Erpressungstrojaner, sich durch verschiedene Sicherheitslücken zu fressen. Anfang Juni 2019 gaben die Entwickler der Schadsoftware deren Ende bekannt. Nach eigenen verdienten sie pro Woche 2,5 Millionen US-Dollar. Abgelöst wurde GandCrab mutmaßlich von der Malware "Revil".

Apple hat iOS 18.3 am Montagabend zum Download freigegeben – ebenso wie iPadOS 18.3 und macOS 15.3. Die jüngsten Betriebssystemversionen lassen sich wie üblich über die integrierte Software-Aktualisierung auf den Geräten laden. Nachdem iOS 18.1 und 18.2 eine größere Zahl an Neuerungen nachlieferten, hat das dritte größere Update für iOS 18 nur wenig Neues zu bieten. Für iPhone- und iPad-Nutzer in der EU gibt es nur ein weiteres Hintergrundbild zum Black History Month. Außerdem kehrt eine Funktion zurück: Drückt man die Plustaste erneut, wiederholt Apples Rechner-App die letzte Rechenoperation.

Anzeige

Zugleich macht Apple mit iOS 18.3, iPadOS 18.3 und macOS 15.3 Apple Intelligence zu einem standardmäßig aktivierten Teil des Betriebssystems. Die KI-Modelle werden also automatisch geladen und das ganze KI-System ist jetzt Opt-out statt Opt-in, wie Apple jüngst ankündigte. Nutzer, die die Apple-KI gar nicht verwenden wollen, müssen Apple Intelligence also nachträglich wieder abschalten. Das KI-System ist in der EU bislang nur auf Macs verfügbar und auch nur, wenn das Betriebssystem auf Englisch verwendet wird. Auf iPhones und iPads lässt sich Apple Intelligence über Umwege aktivieren.

In der EU will Apple das System im April wohl mit iOS 18.4 ausliefern, möglicherweise dann auch mit dem bislang noch fehlenden Support für Deutsch.

Auf Geräten mit Apple Intelligence nehmen iOS 18.3 & Co außerdem eine wichtige Änderung bei der Zusammenfassung von Mitteilungen vor: Diese sind nach Beschwerden der BBC über verfälschte Headlines vorerst für die App-Kategorien "News" und "Entertainment" deaktiviert. Bei anderen Mitteilungen stellt Apple die KI-Zusammenfassung jetzt kursiv dar.

Dem Virenschutz Gdata Security Client und der Verwaltungssoftware Gdata Management Server haben Angreifer aufgrund von Sicherheitslücken Schadcode unterschieben können. Inzwischen stehen Updates bereit, die die sicherheitsrelevanten Fehler korrigieren.

Anzeige

In einem Github-Projekt wurden die Schwachstellen von dem User mit dem Handle nullby73 gemeldet. Im Gdata Management Server findet sich eine Sicherheitslücke im Gdmms-Dienst. Dieser starte einen Prozess, der nach einer ZIP-Datei in einem von Nutzern beschreibbaren Verzeichnis sucht. Beim Entpacken des Archivs findet keine Prüfung auf relative Pfade innerhalb des Archivs statt. Das führe zu einer sogenannten "Zip Slip"-Lücke, die das Schreiben oder Überschreiben beliebiger Dateien mit SYSTEM-Rechten erlaubt. Das mündet in einer Rechteausweitung (CVE-2025-0542, CVSS 7.8, Risiko "hoch").

In Gdatas Security Client klafft eine Sicherheitslücke, da der SetupSVC-Dienst, der in unregelmäßigen Intervallen gestartet wird, eine ausführbare Datei aus einem von Nutzern beschreibbaren Verzeichnis starten will. Zudem versucht die Software, zwei nicht existierende DLLs zu laden – abermals aus einem Benutzer-beschreibbaren Ordner, was in einer DLL-Injection-Schwachstelle endet. Durch das Platzieren einer bösartigen Datei anstelle einer der beiden Bibliotheken lässt sich beliebiger Code mit SYSTEM-Rechten ausführen, sobald der SetupSVC-Dienst startet (CVE-2025-0543, CVSS 7.8, hoch).

Die Sicherheitslücken hat nullby73 bereits Anfang April 2024 an Gdata gemeldet. Seit Anfang Dezember stehen beide betroffenen Softwarepakete in der fehlerkorrigierten Version 15.8.333 zur Verfügung; am Wochenende erfolgte jetzt die koordinierte Veröffentlichung der Lücke. Wer diese Gdata-Software einsetzt, sollte daher prüfen, ob in der eigenen Organisation die Software schon per automatischem Update auf die fehlerbereinigte oder neuere Version aktualisiert wurde. Gegebenenfalls sollten Admins dies manuell nachholen.

Silicon Labs stellen insbesondere Schaltkreise für die Anbindung etwa von älteren seriellen Schnittstellen(-protokollen) auf USB her. Die Installationsprogramme für zugehörige Treiber und Software weisen in vielen Fällen eine Sicherheitslücke auf, die das Unterschieben von eigenen Bibliotheken und somit das Einschleusen von eigenem Code ermöglicht.

Anzeige

Eine Zusammenfassung versteckt Silicon Labs hinter einem Log-in. Jedoch sind die CVE-Einträge zu den verwundbaren Produkten öffentlich. Denen zufolge filtern die Installer den Suchpfad nicht ordentlich, was diese sogenannten DLL-Injection-Lücken aufreißt. Das können Angreifer zum Ausweiten ihrer Rechte oder der Ausführung beliebigen Codes beim Start der Installer ausnutzen.

Insgesamt sind die Installationspakete zu zehn Produkten von Silicon Labs davon betroffen:

Die Installationsprogramme für veraltete Betriebssysteme, etwa USBXpress, sind in offenbar verwundbaren Versionen auf der Download-Seite von Silicon Labs verfügbar. Wer diese Software noch benötigt, sollte den Support des Unternehmens kontaktieren und um fehlerkorrigierte Installationsprogramme bitten. Bis auf einen universellen Windows-Treiber für die CP210x-VCP-Module sind auch die Installer für die USB-Konverter noch älterem Datums. Gegebenenfalls hilft auch hier, beim Hersteller-Support nach fehlerkorrigierten Installationspaketen zu fragen.

Derzeit fallen Scriptkiddies weltweit offensichtlich auf Betrüger herein und hantieren mit einem manipulierten Malware-Baukasten, der ihre Systeme mit Schadcode infiziert.

Anzeige

Darauf sind Sicherheitsforscher von CloudSEK gestoßen, die ihre Erkenntnisse in einem Beitrag zusammengefasst haben. Ihnen zufolge ist eine trojanisierte Version vom XWorm RAT Builder in Umlauf. Das ist ein Baukasten, mit dem man mit vergleichsweise wenig Aufwand Trojaner erstellen kann. Diese Variante ist aber selbst Schadcode und kopiert etwa Passwörter von PCs.

Der präparierte Baukasten wird den Sicherheitsforschern zufolge in erster Linie von Scriptkiddies von Github und anderen Plattformen heruntergeladen. Eigentlich kostet so ein Baukasten Geld, doch die Betrüger bewerben ihn sozialen Netzwerken als kostenlos.

Weltweit soll die Malware mehr als 18.000 Geräte infiziert haben. Der Großteil davon ist in den USA und Russland. Welches Ziel die Drahtzieher hinter dieser Kampagne konkret verfolgen, bleibt unklar. Zum jetzigen Zeitpunkt soll die Malware mehr als 1 Terabyte an Log-in-Daten kopiert haben.

Einrichtungen der sogenannten kritischen Infrastruktur haben im vergangenen Jahr deutlich mehr Cybersicherheitsvorfälle gemeldet als in den Jahren zuvor. Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der FDP-Fraktion hervor.

Anzeige

Demnach gab es 2024 insgesamt 769 solcher Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) – rund 43 Prozent mehr als im Jahr zuvor, als 537 Meldungen das BSI erreichten. In den Jahren 2021 und 2022 waren beim BSI 385 Meldungen beziehungsweise 475 Meldungen zu Cybersicherheitsvorfällen eingegangen. Betreiber von Anlagen und Einrichtungen, die als kritische Infrastruktur gelten, sind verpflichtet, solche Vorfälle unverzüglich dem BSI zu melden.

Die Bundesregierung weist in ihrer Antwort allerdings darauf hin, dass nicht hinter jeder Meldung notwendigerweise ein Cyberangriff steht. Nicht in jedem Fall habe der Betreiber aufklären können, ob dem Cybersicherheitsvorfall ein Angriff oder eine andere Ursache zugrunde lag.

Daher sei auch der Anteil von Vorfällen, die auf staatliche Akteure zurückgehen, nicht bekannt. Zur kritischen Infrastruktur zählen beispielsweise Energie- und Transportunternehmen, Telekommunikationsanbieter, Kliniken und Kläranlagen.

Als ITler wissen Sie recht gut, was für einen sicheren Betrieb des Unternehmens nötig wäre. Aber vor der Umsetzung gilt es, die Geschäftsführung von der Notwendigkeit zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef Themen der Informationssicherheit richtig "zu verkaufen".

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch in der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Einem Sicherheitsforscher ist es gelungen, Apples neuen USB-C-Controller zu entschlüsseln, der seit dem iPhone 15 in den Smartphones des Konzerns steckt. Einen entsprechenden Talk gab es bereits auf dem letzten Chaos Communication Congress (38C3) Ende Dezember in Hamburg, das Video dazu ist nun publiziert worden. Thomas Roth alias stacksmashing, Gründer des Security-Education-Unternehmens hextree.io, der sich unter anderem auf iOS-Reverse-Engineering spezialisiert hat, zeigt darin, was der sogenannte ACE3 alles kann – und wie er potenziell angreifbar ist.

Anzeige

Der Mikrocontroller stammt eigentlich von Texas Instruments (TI), wurde aber speziell für Apple angepasst. Neben dem iPhone 15 in allen vier Varianten soll er auch in allen iPhone-16-Modellen sowie demnächst im kommenden iPhone SE 4 stecken. Apple hatte aufgrund der USB-C-Pflicht der Europäischen Union zuvor alle iPhones mit proprietärem Lightning-Anschluss vom Markt genommen. Der ACE3 gilt als grundsätzlich bekannt, da er auf dem ACE2 im MacBook Pro basiert. Hier gelang es Roth bereits, mit einem eigenen macOS-Kernelmodul (das sich allerdings nur von Admins installieren lässt) eine persistente Backdoor einzubauen, die auch vollständige System-Restore-Prozesse überlebt.

Beim ACE3 ist das aber nicht mehr so "leicht" möglich. Laut dem Sicherheitsexperten hat Apple angepasste Firmware-Updates pro Gerät implementiert, das Debug-Interface abgeschnitten und eine Flash-Validierung eingebaut. Zudem fehlen Teile der Firmware. Roth musste zum Reverse Engineering mit verschiedenen komplexen Methoden arbeiten, darunter RF-Sidechannel-Analysen und Faultinjection auf elektromagnetische Art. So sei es ihm gelungen, eine Code-Ausführung auf dem ACE3 zu ermöglichen, inklusive ROM-Dump.

Das komplexe Reverse Engineering offenbart einige potenzielle Zugangswege. Der ACE3 soll einen vollwertigen USB-Stack enthalten und verbindet sich mit internen Komponenten wie dem SPMI-Bus und dem JTAG-Application-Prozessor. Dennoch dürfte es schwierig sein, die von Roth vorgeführten Angriffe breit anzuwenden. Er selbst arbeitet aber daran, die notwendigen Hardwarekosten auf unter 100 US-Dollar zu senken.

Noch in diesem Jahr wird die deutsche Umsetzung der NIS2-Regulierung wirksam werden. Die europäische Cybersicherheits- und Resilienzrichtlinie NIS2 verpflichtet rund 30.000 – auch mittelständische – Unternehmen in Deutschland zu Maßnahmen zur Stärkung ihrer Resilienz gegenüber Cyberangriffen. Betroffen sind zudem Zulieferer und Dienstleister dieser Unternehmen: NIS2 bezieht ausdrücklich auch die Sicherheit der Lieferkette mit ein.

Anzeige

Die Online-Konferenz NIS2 – was jetzt zu tun ist liefert kompakt an einem Tag Antworten auf die wichtigsten Fragen: Welche Unternehmen sind betroffen? Welche Maßnahmen müssen umgesetzt werden? Welche Fristen gelten dabei? Welche Schwierigkeiten und Fallstricke lauern bei der Betroffenheitsprüfung? Wie läuft die Umsetzung in der Praxis? Und, da NIS2 auch Schulungen von Mitarbeitenden und Geschäftsführung fordert: Wer muss wie geschult werden?

Erfahren Sie am 3. April von rennommierten Expertinnen und Experten für IT-Sicherheit und IT-Recht, was Sie jetzt tun müssen, um Ihr Unternehmen auf NIS2 vorzubereiten. Dabei ist viel Raum für Ihre Fragen vorgesehen. Veranstalter der Konferenz sind iX, das heise-Magazin für professionelle IT, und Sigs Datacom. Bei Buchung bis zum 28. Februar profitieren Sie von 20 Prozent Frühbucherrabatt.

In Hardware-Appliances von Palo Alto Networks klaffen Sicherheitslücken in den Firmwares und Bootloadern. Der Hersteller beschwichtigt, diese Lücken seien kaum ausnutzbar, arbeitet jedoch an korrigierten Firmwares und Bootloadern.

Anzeige

In der Sicherheitsmitteilung von Palo Alto erklären die Entwickler des Unternehmens, dass es von der "Behauptung von mehreren Schwachstellen in Hardware-Geräte-Firmware und Bootloadern als Teil unserer PA-Baureihe an (Hardware-)Firewalls" wisse. "Es ist bösartigen Akteuren oder PAN-OS-Administratoren nicht möglich, diese Schwachstellen unter normalen Bedingungen in PAN-OS-Versionen mit aktuellen, gesicherten Verwaltungsschnittstellen auszunutzen, die den Best-Practices-Regeln entsprechend aufgesetzt wurden", schreiben sie weiter.

User und Admins hätten keinen Zugriff auf die BIOS-Firmware oder die Rechte, sie zu ändern. Angreifer müssten das System kompromittieren und schließlich Linux-Root-Rechte erlangen, um die Lücken zu missbrauchen. Die Schwachstellen hat die IT-Sicherheitsfirma Eclypsium aufgespürt und merkt dazu etwas ironisch an: "Glücklicherweise für Angreifer (und unglücklich für Verteidiger), ist das Erlangen von Root-Rechten auf Palo Alto PAN-OS-Geräten möglich durch das Kombinieren von Exploits für zwei Schwachstellen, CVE-2024-0012 und CVE-2024-9474" –Ende November wurden dadurch weltweit mehr als 2000 Palo-Alto-Geräte geknackt.

Die Sicherheitsmitteilung listet eine Reihe älterer Sicherheitslücken auf, für die jeweils einige konkret untersuchte Geräte-Reihen anfällig sind. Dazu gehört etwa die BootHole genannte Schwachstelle, die im Jahr 2020 bekannt wurde und aufgrund von Fehlern im Bootloader Grub2 trotz Secure Boot Angreifern ermöglicht, sich in den Boot-Prozess einzuklinken und quasi unsichtbare Schadsoftware einzuschleusen.

In den Posteingängen von Internetnutzern landen abermals Phishing-Mails, die Opfer mit einer vermeintlichen Steuerrückzahlung ködern. Auffällig bei der aktuell laufenden Masche: Die Absender-Domain nutzt einen "Tipp-Fehler" mit "i" anstatt "l", also als Absender-Domain "eister.de".

Anzeige

Die angebliche Steuerrückzahlung kommt angeblich von der Domain "eister.de" anstatt "elster.de".

(Bild: polizei-praevention.de)

Das LKA Niedersachsen erörtert in der Warnung, dass solche Buchstabenverdreher bereits länger zum Einsatz kommen und ausnutzen, dass Empfänger sie beim flüchtigen Lesen nicht erkennen. Die konkret gezeigte E-Mail landete "bei einer Mitarbeiterin des Landesamtes für Steuern Niedersachsen, die die Fälschung natürlich sofort erkannte". Auffällig ist unter anderem auch die Frist, die bis zum 01.02.2024 läuft – hier könnten Empfänger aufmerken, da wir inzwischen im Jahr 2025 unterwegs sind.