Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Europol vereitelt weihnachtliche Attacken von 27 DDoS-Bootern

In einer weltweiten Zusammenarbeit haben Strafverfolger zum Jahresende eine weihnachtliche "Urlaubstradition" von Cyberkriminellen verhindert, das Starten von Distributed-Denial-of-Service-Attacken auf Webseiten (DDoS), um diese quasi Offline zu nehmen, erörtern die Europol-Beamten leicht süffisant. Das sei im Rahmen der internationalen Operation "PowerOFF" erfolgt. Insgesamt 27 der populärsten Plattformen zum Ausführen solcher Attacken haben die Behörden nun beschlagnahmt.

Anzeige

Diese Plattformen seien auch als "Booter" oder "Stresser" bekannt, erklären die Beamten. Sie ermöglichen Kriminellen und Hacktivisten, Ziele mit illegalem Traffic zu fluten, wodurch Webseiten und andere webbasierte Dienste nicht mehr erreichbar sind. Jetzt sei eine vielseitige Operation gelaufen, bei der Europol Strafverfolger aus 15 Ländern koordiniert hat, die alle Ebenen dieser kriminellen Machenschaften zum Ziel hatten.

Zu den offline genommenen Booter- und Stresser-Websites gehören zdstresser.net, orbitalstress.net und starkstresser.net. Drei Administratoren wurden zudem in Deutschland und Frankreich verhaftet. Weiterhin konnten mehr als 300 Nutzerinnen und Nutzer identifiziert werden, die Operationen auf den Plattformen planten, schreibt Europol.

Die Operation PowerOFF legt nicht nur einen Schwerpunkt auf das Auseinandernehmen von Infrastruktur, die die Angreifer nutzen, sondern arbeitet auch proaktiv an der Verhinderung weiterer Vorfälle. Die Strafverfolger starten dazu Werbekampagnen, die sich an Individuen richten, die in solche Aktivitäten verwickelt sind. Die Kampagne soll die Konsequenzen der DDoS-Attacken hervorheben und gezielt potenzielle Straftäter erreichen, wenn sie am aktivsten sind, nämlich online. Dazu setzen die Beamten auf Google- und Youtube-Werbung.

Weiterlesen
  65 Aufrufe

heise-Angebot: NIS2, Ransomware und Zero Trust: Erster Blick ins Programm der secIT 2025

Wie verhält man sich am effektivsten, wenn sich Angreifer bereits im Firmennetzwerk ausbreiten? Wer hilft eigentlich KMUs bei der Umsetzung der NIS2-Richtlinie? Welche Rolle spielt KI im aktuellen Bedrohungsszenario? Diese und viele weitere Fragen klären die Referenten auf der secIT 2025 im kommenden März in Hannover.

Anzeige

Die secIT startet am 18. März 2025 mit Ganztagsworkshops und am 19. und 20. März ist die Messe und Konferenz geöffnet. Die Kongressmesse findet im Hannover Congress Centrum (HCC) statt. Wer bereit ist, seine Daten mit dem Veranstalter und den Partnern zu teilen, bekommt im Ticketshop ein Gratis-Ticket. Wer das nicht möchte, zahlt bis zum 15. Februar für einen Tag 79 Euro und für beide Tage 119 Euro. Danach werden 99 beziehungsweise 139 Euro fällig. Workshops muss man kostenpflichtig im Ticketshop buchen.

Ab sofort ist der Großteil des Programms online einsehbar. Den Hauptanteil der Themen und Referenten haben die Redaktionen von c't, heise security und iX ausgewählt. Diese Vorträge und Workshops sind garantiert werbefrei und vermitteln verständlich und hilfreiche Fakten, die Admins direkt in ihren Unternehmen für mehr Sicherheit umsetzen können.

Volker Kozok, Vorsitzender des Vereins „Netzwerk für Cyber Intelligence e.V.“, zeigt in seiner Abschlusskeynote aktuelle aus KI resultierende Bedrohungen auf.

Weiterlesen
  69 Aufrufe

Millionenbelohnung: FBI sucht mutmaßlichen Entwickler von Sophos-Exploits

Ein chinesischer Staatsangehöriger wird von den USA beschuldigt, an der Entwicklung von Exploits für Sicherheitslücken in Sophos-Produkten mitgewirkt zu haben. Der 30-Jährige wird nun steckbrieflich vom FBI gesucht, das bis zu zehn Millionen US-Dollar für Hinweise zahlt, die zu seiner Ergreifung führen. Er soll gemeinsam mit anderen Mitarbeitern einer chinesischen IT-Firma über 80.000 Sophos-Firewalls angegriffen haben.

Anzeige

Am Bezirksgericht im Norden des US-Bundesstaats Indiana erheben die Vereinigten Staaten Anklage gegen Tianfeng G., der bei "Sichuan Silence Technology Company Ltd." arbeiten soll. Die Firma entwickle und verkaufe Exploits an verschiedene chinesische Regierungseinrichtungen, so die Anklageschrift. Der Verdächtige habe zusammen mit seinen Komplizen eine Sicherheitslücke in Sophos-Geräten gefunden (CVE-2020-12271), auf über 81.000 Geräten weltweit ausgenutzt und Daten abgefischt. Auch Ransomware hätten die Angreifer eingesetzt.

Die genannte Sicherheitslücke, eine SQL Injection, ermöglichte den Angreifern, beliebige Kommandos auf Sophos-Geräten auszuführen und sie mit einer Hintertür auszustatten. Die Malware mit dem Spitznamen "Asnarök" stahl dann Zugangsdaten und VPN-Informationen von den Geräten. Ihren mythologisch anmutenden Namen verdankt die Schadsoftware einer Domain, die bei den Angriffen auftauchte und "ragnarokfromasgard.com" hieß.

Tianfeng G. wird als einziger Verdächtiger namentlich in der Anklageschrift genannt. Womöglich tauchte sein Name im Zusammenhang mit der Registrierung mehrerer Sophos-Firewalls beim Hersteller auf, denn deren Beschaffung im Februar 2020 wirft das US-Gericht ihm nun vor. Auf Hinweise zu den Tatverdächtigen und der chinesischen Exploit-Schmiede setzt das FBI eine Belohnung von bis zu zehn Millionen US-Dollar (gut 9,5 Millionen Euro) aus.

Weiterlesen
  65 Aufrufe

Solarwinds Web Help Desk: Software-Update schließt kritische Lücken

Solarwinds hat die Version 12.8.4 der Web Help Desk-Software veröffentlicht. Darin schließt der Hersteller eine Schwachstelle in der eigentlichen Software – und stopft auch teilweise kritische Sicherheitslücken in mitgelieferten Komponenten von Drittanbietern. IT-Verantwortliche sollten die Aktualisierung zügig anwenden.

Anzeige

In den Release-Notes zur neuen Web Help Desk-Version listet Solarwinds die geschlossenen Sicherheitslecks auf. Die Entwickler haben eine Lücke in Web Help Desk selbst korrigiert, durch die Dateien ausgelesen werden können, sofern die Software unter Linux und zudem in dem nicht standardmäßigen aktivierten Entwicklungs- oder Test-Modus läuft (CVE-2024-45709, CVSS 5.3, Risiko "mittel").

Die mitgelieferten Dritthersteller-Komponenten sind hingegen wesentlich problematischer: In Apache Tomcat klafft eine Sicherheitslücke, durch die Angreifer unter Umständen die Authentifizierung umgehen und so unbefugt Zugriff erhalten können (CVE-2024-52316, CVSS 9.8, kritisch). DOMPurify soll vor Cross-Site-Scripting schützen, ist jedoch selbst etwa für "mutated Cross-Site-Scripting" (mXSS) anfällig (CVE-2024-47875, CVSS 9.8, kritisch), enthält eine Prototype-Pollution-Schwachstelle (CVE-2024-48910, CVSS 9.1, kritisch) und ist für eine weitere hochriskante (CVE-2024-45801, CVSS 7.3, hoch) sowie eine mittelschwere Cross-Site-Scripting-Lücke verwundbar (CVE-2020-26870, CVSS 6.1, mittel).

Die aktualisierte Fassung 12.8.4 steht auf der Solarwinds-Webseite oder im Kundenportal von Solarwinds zum Herunterladen bereit.

Weiterlesen
  57 Aufrufe

Zeitplan veröffentlicht: Let's Encrypt schafft OCSP-Zertifikatsüberprüfung ab

Let's Encrypt, mit über 387 Millionen gültigen Zertifikaten die größte Zertifizierungsstelle, trennt sich vom Online Certificate Status Protocol (OCSP). Den konkreten Zeitplan für die Umstellung teilte die CA (Certificate Authority) nun in ihrem Blog mit. Bereits Ende Januar 2025 verweigert Let's Encrypt die Ausstellung bestimmter Zertifikate und spätestens im Mai sind die altbekannten Sperrlisten (CRL, Certificate Revocation List) wieder omnipräsent.

Anzeige

Seine Entwickler hatten OCSP als technisch fortgeschrittener Ersatz für die unhandlichen Sperrlisten entworfen. Der Zweck beider Lösungen ist derselbe: Zertifikate, die etwa wegen Verlust des Schlüsselmaterials, wegen mißbräuchlicher oder fehlerhafter Ausstellung von der CA zurückgezogen (revoked) wurden, dürfen von Browsern nicht als gültig akzeptiert werden. OCSP sah vor, dass die Webbrowser bei jedem Aufbau einer verschlüsselten Verbindung bei der CA nach dem Status des vorgezeigten Zertifikats fragten.

Das stellte die Zertifizierungsstellen nicht nur vor Lastprobleme (die OCSP-Responder galten als notorisch überlastet und instabil), sondern warf auch Datenschutzfragen auf. Durch die Auswertung der OCSP-Anfragen konnten Zertifizierungsstellen, darunter auch Behörden und staatliche Organisationen, das Surfverhalten recht genau protokollieren. Ein Protokollzusatz namens "OCSP Stapling" beseitigte diese Schwierigkeit zwar, setzte sich jedoch bei Browserherstellern nicht durch.

Die "Let's Encrypt"-CA war mit OCSP-Unterstützung gestartet und hatte ursprünglich gar nicht vor, CRLs zu unterstützen. Diese Einschätzung revidierten die Betreiber jedoch im Jahr 2022 – nun sind die Sperrlisten bald wieder das einzige Mittel der Wahl zur Statusprüfung.

Weiterlesen
  51 Aufrufe

heise-Angebot: iX-Workshop: Linux-Server härten

Malware und Hacker-Angriffe sind längst nicht mehr nur ein Windows-Thema – auch Linux-Server und die darauf laufenden Dienste geraten immer häufiger unter Beschuss. Der fünftägige Intensiv-Workshop Linux-Server härten: Verschlüsselung, Zugriffskontrolle, Integritätschecks beschäftigt sich umfassend mit der Sicherheit von Linux-Servern. Das Themenspektrum reicht von der physischen Sicherheit über Mechanismen der Zugriffskontrolle bis hin zu Logging, Monitoring und Intrusion Detection.

Anzeige

Sie lernen, wie Sie Daten verschlüsseln und Netzwerkdienste absichern, fortgeschrittene Methoden der Zugriffskontrolle wie Zwei-Faktor-Authentifizierung einrichten und die bekannten Sicherheitsframeworks SELinux und AppArmor einsetzen. Florian Winkler erklärt, wie man Logfiles mit sicherheitsrelevanten Vorfällen analysiert und geht auch auf das Thema Einbruchserkennung ein. Darüber hinaus erhalten Sie eine theoretische Einführung in das Penetration Testing und erfahren, wie Sie Sicherheitslücken in der eigenen IT gezielt aufspüren.

Januar
13.01. – 17.01.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 15. Dez. 2024
Februar
24.02. – 28.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 26. Jan. 2025
März
24.03. – 28.03.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 23. Feb. 2025
Juni
02.06. – 06.06.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 04. Mai 2025
August
25.08. – 29.08.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 27. Jul. 2025
September
22.09. – 26.09.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 24. Aug. 2025
November
03.11. – 07.11.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 05. Okt. 2025
Dezember
01.12. – 05.12.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 02. Nov. 2025

Der nächste iX-Workshop findet vom 13. bis 17. Januar 2025 per Videokonferenz in einem Remote Classroom statt. Trainer Florian Winkler ist seit 2014 als Berater und Trainer beim Linux-Systemhaus B1 Systems tätig. Seine Themenschwerpunkte liegen in den Bereichen Konfigurationsmanagement, DevOps, Deployment, Security und Automatisierung.

Damit Sie in diesem Workshop das Gelernte direkt ausprobieren und selbst Hand anlegen können, erhalten Sie einen ssh-Zugang zu einer Trainingsumgebung mit bereitgestellten Linux-Systemen. Der Workshop ist interaktiv: Sie haben jederzeit die Möglichkeit, dem Referenten Fragen zu stellen und sich mit den anderen Teilnehmenden auszutauschen. Damit dies gut funktioniert, ist die Gruppengröße auf maximal 12 Personen begrenzt.

Weiterlesen
  60 Aufrufe

Patchday: Adobe schließt mehr als 160 Sicherheitslücken in Acrobat & Co.

Adobe schützt Acrobat, Animate, Connect, Experience Manager, InDesign, Illustrator, Media Encoder, Substance 3D Modeler, Substance 3D Painter und Substance 3D Sampler vor möglichen Attacken. Insgesamt hat der Softwarehersteller mehr als 160 Schwachstellen mit Updates für die Produkte geschlossen.

Anzeige

Der Großteil der Lücken findet sich in Experience Manager. Aufgrund von unzureichenden Prüfungen von Eingaben können Angreifer Schadcode ausführen (CVE-2024-43711, Risiko "hoch"). Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad "mittel" eingestuft, Angreifer können Stored-XXS-Attacken dadurch ausführen.

Davon sollen alle Plattformen bedroht sein, die die Software unterstützt. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben Cloud Service Release 2024.11 und 6.5.22 gelöst zu haben.

Durch mehrere Lücken (zum Beispiel CVE-2024-49530, "hoch") in Acrobat und Reader können bösartige Akteure ebenfalls Schadcode auf Systeme verfrachten. Das betrifft die PDF-Programme für macOS und Windows. Das Gleiche gilt auch für Animate.

Weiterlesen
  54 Aufrufe

Patchday: Angreifer attackieren Windows und verschaffen sich System-Rechte

Aufgrund von laufenden Attacken auf aktuelle Windows-Desktop- und Windows-Server-Versionen sollten Admins sicherstellen, dass Windows Update aktiv ist und die aktuellen Sicherheitspatches installiert sind. Weiterhin haben die Entwickler noch mehrere Lücken geschlossen, über die Schadcode auf Systeme gelangen kann.

Anzeige

Die derzeit ausgenutzte Schwachstelle (CVE-2024-49138, Risiko "hoch") betrifft einer Warnmeldung zufolge verschiedene Windows-10- und Windows-11-Ausgaben. Windows Server ist in mehreren Versionen wie 2008 und 2022 bedroht. Sind Attacken erfolgreich, verschaffen sich Angreifer höhere Nutzerrechte.

In diesem Fall sind das Microsoft zufolge System-Rechte. In so einer Position können Angreifer in der Regel weitreichenden Schaden anrichten. Oft werden solche Attacken mit weiteren Lücken kombiniert, um dann etwa Schadcode auszuführen. Microsoft gibt derzeit nicht an, wie die Attacken ablaufen. Unklar bleibt auch, im welchem Umfang die Angriffe stattfinden.

Eine "kritische" Schadcode-Lücke (CVE-2024-49112) betrifft aktuelle Windows- und Windows-Server-Ausgaben. Sie steckt im Lightweight Directory Access Protocol (LDAP). Weiterführende Informationen zum Ablauf von Angriffen oder wie Admins bereits attackierte Computer erkennen können, sind bislang nicht verfügbar. Können Admins dieses Sicherheitsupdate nicht umgehend installieren, empfiehlt Microsoft, Domain Controller vom Internet zu trennen.

Weiterlesen
  52 Aufrufe

Ivanti patcht zahlreiche Produkte

Ivanti hat Sicherheitsupdates für mehrere Produkte veröffentlicht. Die damit geschlossenen Schwachstellen stellen teils ein kritisches Risiko dar. Admins sollten die verfügbaren Aktualisierungen daher rasch anwenden.

Anzeige

Am schlimmsten hat es Ivantis Cloud Services Application (CSA) getroffen. Angreifer aus dem Netz können ohne vorherige Anmeldung die Authentifizierung an der Admin-Web-Console umgehen und so administrativen Zugang erhalten (CVE-2024-11639, CVSS 10.0, Risiko "kritisch"). Angemeldete Nutzer aus dem Netz können zudem beliebigen Code aufgrund einer Befehlsschmuggel-Lücke einschleusen (CVE-2024-11772, CVSS 9.1, kritisch) oder beliebige SQL-Befehle aufgrund einer SQL-Injection-Schwachstelle absetzen (CVE-2024-11773, CVSS 9.1, kritisch). Ivanti CSA 5.0.3 korrigiert diese Fehler.

Auch in Ivanti Connect Secure (ICS) und Ivanti Policy Secure (IPS) klaffen kritische Sicherheitslücken. Angemeldete Nutzer aus dem Netz können Argumente in ICS und in der Folge beliebigen Code einschleusen (CVE-2024-11633, CVSS 9.1, kritisch) oder selbiges aufgrund einer Befehlsschmuggel-Schwachstelle erreichen (CVE-2024-11634, CVSS 9.1, kritisch). Die Updates auf ICS 22.7R2.4 und IPS 22.7R1.2 schließen diese und drei weitere, als hochriskant eingestufte Schwachstellen. Teils sind auch die Versionszweige 9.1Rx von den Lücken betroffen – hierfür stellt Ivanti jedoch keine Patches bereit, da der Support dafür zum 31. Dezember ausläuft.

Nur knapp an der Risikoeinstufung "kritisch" schrammt eine Lücke in Ivanti Sentry vorbei. Aufgrund unsicherer Rechtevergabe können lokale authentifizierte Nutzer "sensible App-Komponenten" verändern (CVE-2024-8540, CVSS 8.8, hoch). Die Versionen 10.1.0, 10.0.2 und 9.20.2 beheben die sicherheitsrelevanten Fehler. Weiterhin bessert Ivanti Desktop and Server Management (DSM) 2024.3.5740 eine Schwachstelle aus, die Angreifern das Löschen beliebiger Dateien erlaubt (CVE-2024-7572, CVSS 7.1, hoch). Eine gleichartige Sicherheitslücke im Ivanti Patch SDK (CVE-2024-10256, CVSS 7.1, hoch) stopfen die Versionen

Weiterlesen
  58 Aufrufe

"Passwort" Folge 20: Pacific Rim - Hackback nach China

Die zwanzigste Folge des heise-security-Podcasts steht an – wie schnell die Zeit vergeht. Doch mit Sentimentalitäten halten die Hosts sich nicht auf, denn es gilt, ein spannendes Thema zu bearbeiten. In der aktuellen Folge verschlägt es Sylvester und Christopher zwischen die Fronten des Cyberkriegs zwischen dem Sicherheitsunternehmen Sophos und mutmaßlich chinesischen Exploit-Entwicklern.

Anzeige

Sophos glaubte nach einer jahrelangen Recherche- und Verteidigungsaktion nämlich, APT-Akteure aus dem Reich der Mitte dingfest gemacht zu haben. Der Vorwurf: Die Angreifer nutzten die Security-Appliances des britischen Herstellers zur Entwicklung von Malware, darunter tückische Schadsoftware für die Firmware der Geräte. Und nach jahrelanger Nachforschung gingen die Briten zum Gegenangriff über: Sie verwanzten kurzerhand die eigenen Geräte und beobachteten so die Programmierer bei der Arbeit.

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden

Die Aktion, Michael-Bay-mäßig "Pacific Rim" getauft, stieß nach ihrem Bekanntwerden nicht überall auf Begeisterung. Dass ein Hersteller von Sicherheitsprodukten die eigenen Geräte mit Hintertüren versieht, wirft Fragen auf. Auch bei den "Passwort"-Hosts, die in der Folge über die Aktion und die Reaktionen debattieren.

Die neueste Folge von "Passwort - der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

Weiterlesen
  58 Aufrufe

BSI-Warnung: Vermehrte Brute-Force-Angriffe auf Citrix Netscaler Gateways

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung vor vermehrt auftretenden Brute-Force-Angriffen auf Citrix Netscaler Gateways veröffentlicht. Die IT-Sicherheitsbehörde hat demnach verstärkt Meldungen "aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern" erhalten.

Anzeige

Die Warnung des BSI datiert auf den Dienstag dieser Woche. Darin konkretisiert die Behörde: "Die aktuellen Angriffe heben sich aktuell lediglich in ihrer berichteten Menge von üblichen Angriffen dieser Art heraus." Bei den Brute-Force-Angriffen versuchen die Täter, sich mit schwachen, erratenen oder aus Sammlungen im Netz stammenden Zugangsdaten an den Diensten anzumelden. Nach erfolgreichen Angriffen verstetigen die bösartigen Akteure in der Regel den Zugriff etwa durch Einrichtung von Backdoors und versuchen, von dort aus weitere interne Systeme zu kompromittieren.

Zwar seien den aktuellen Berichten zufolge Citrix-Gateways Ziel der Angriffe. "Jedoch ist diese Cyber-Sicherheitswarnung für alle exponierten Systeme, insbesondere VPN-Gateways, relevant", ergänzt das BSI.

Da "Zugriffsversuche auf exponierte Systeme" ständig erfolgten, sie somit "ein normales "Hintergrundrauschen" im Internet" seien, gehöre der Schutz vor Brute-Force-Angriffen eine der notwendigsten Basis-Maßnahmen, erklärt das BSI im PDF-Dokument. Die Behörde beobachte jedoch, dass dieser Schutz in der Praxis teils vernachlässigt werde. "CERT-Bund erhält regelmäßig Kenntnis von Vollkompromittierungen, die in dieser Art des Angriffs Ihren Ursprung haben. Erfolgreiche Brute-Force-Angriffe sind für Angreifer ein typisches Einfallstor in interne Netze", erklärt die IT-Sicherheitsbehörde.

Weiterlesen
  54 Aufrufe

Sichere Software entwickeln: Kostenlose Tools und Fortbildungen bei der OpenSSF

Die Open Source Security Foundation (OpenSSF) hat ihren Jahresbericht für 2024 veröffentlicht. Schwerpunkte in der Arbeit der Stiftung lagen in der Weiterentwicklung von Sicherheitstools, in der Ausbildung von Entwicklern und in der Lobbyarbeit, insbesondere in den USA und Europa.

Anzeige

Die OpenSSF verfügt nun über 126 Mitglieder aus 15 Ländern, darunter AWS, Google, Intel, Microsoft und Red Hat. 2239 Contributors aus der Community halfen in den Arbeitsgruppen oder beim Entwickeln der Sicherheits-Tools. 62.618 Projekte nutzen das Tool Sigstore, 12.000 Teilnehmer besuchten Kurse der Foundation und 7.500 Projekte, beispielsweise Kubernetes, Linux Kernel und node.js, befolgen die von OpenSSF herausgegebenen Best Practices.

Der Jahresreport der Open Source Security Foundation

(Bild: OpenSSF)

Weiterlesen
  53 Aufrufe

Weitgehend ignoriert: Firefox entfernt Haken für "Do Not Track"

Firefox mottet als erster großer Browser die Datenschutzoption "Do Not Track" (DNT) ein, weil die meisten Internetseiten sie ignorieren und ihre Aktivierung den Datenschutz sogar reduzieren kann. Das geht aus einer vor wenigen Tagen aktualisierten Hilfeseite des Browsers hervor. Ab Firefox Version 135 soll man die Option nicht mehr auswählen können, in den ersten Vorabversionen ist sie bereits verschwunden. Nutzern und Nutzerinnen, die Wert auf den Schutz ihrer Privatsphäre legen, empfehlen die Verantwortlichen von Firefox stattdessen einen Haken bei "Websites anweisen, meine Daten nicht zu verkaufen oder weiterzugeben" – in der aktuellen Version direkt über DNT.

Anzeige

"Do Not Track" gibt es seit mehr als zehn Jahren, seit der Firefox-Version 4 kann man Internetseiten damit mitteilen, dass man die Weiterverfolgung im Netz nicht wünscht. Auch in den anderen Browsern gibt es diese Option. Nachdem das anfangs mehrere Prozent der Nutzer und Nutzerinnen gemacht haben, ist die Rate in der Folge gesunken. Laut Firefox respektieren "viele Internetseiten" die Bitte nicht, durchgesetzt wird das auch nicht. Inwiefern die Aktivierung der Option aber die Privatsphäre reduzieren kann, wie auf der Hilfeseite ausgeführt, erklärt Firefox nicht.

Der teils widersprüchliche Umgang mit "Do Not Track" wurde erst vor einem Jahr vom Landgericht Berlin illustriert. Das hat dem sozialen Netzwerk LinkedIn zwar untersagt, zu erklären, dass eine vom Browser übermittelte Aufforderung zur Nichtverfolgung rechtlich nicht wirksam sei und nicht respektiert wird. Gleichzeitig hat das Gericht die Plattform aber nicht verpflichtet, dem DNT-Signal auch tatsächlich Folge zu leisten. Der Verbraucherzentrale Bundesverband (vzbv), der das Verfahren angestoßen hatte, hat das Urteil begrüßt und als klare Botschaft gelobt. Der Wunsch, beim Surfen nicht ausgespäht zu werden, müsste respektiert werden. Weil das bei zu vielen Internetseiten anders gesehen wird, wird Firefox nun aktiv.

Die alternative Datenschutzoption für die Firefox jetzt wirbt, wird unter der Ägide der "Global Privacy Control" vorangetrieben. Die Industrieallianz will mit dazu entwickelten Spezifikationen eine Art reduziertes "Do Not Track" verbreiten. Wer den entsprechenden Haken setzt, signalisiert Internetseiten damit, dass Informationen über einen Besuch nicht weitergegeben oder verkauft werden dürfen. Das Signal werde von einer wachsenden Zahl an Websites respektiert und in einigen Rechtsgebieten auch juristisch durchgesetzt. Teilweise bedeute es auch einen Widerspruch gegen gezielte, personalisierte Werbung. Auf Deutsch läuft die Option in Firefox unter der Bezeichnung "Websites anweisen, meine Daten nicht zu verkaufen oder weiterzugeben".

Weiterlesen
  58 Aufrufe

BadRAM: Historischer Seitenkanal hebelt RAM-Verschlüsselung aus

Ein Team europäischer Sicherheitsexperten zeigen einen vergleichsweise simplen Hack, der superkomplizierte Funktionen zur RAM-Verschlüsselung moderner Server aushebelt. Die Forscher manipulieren dazu den Konfigurationschip vom Speichermodulen, das sogenannte SPD-EEPROM – eine seit rund 30 Jahren gängige Technik, die aber wie in der PC-Branche leider üblich oft schlampig und unsicher umgesetzt wird.

Anzeige

Ebenfalls typisch: Die extrem komplexen, nachträglich aufgepfropften und mehrfach nachgebesserten Funktionen zur Einrichtung von Trusted Execution Environments (TEEs) für Confidential Computing berücksichtigen den historischen Unterbau unzureichend, sodass er sich als Seitenkanal für Angriffe missbrauchen lässt.

BadRAM greift AMD Secure Encrypted Virtualization - Secure Nested Paging (SEV-SNP) an sowie Intels Software Guard Extensions (SGX) beziehungsweise Trusted Domain Extensions (TDX). BadRAM betrifft vor allem AMD-Epyc-Prozessoren, wie AMD im Security Bulletin AMD-SB-3015 berichtet, und trägt CVE-2024-21944.

Bei SGX/TDX ermöglicht BadRAM nur, Metadaten von Schreibzugriffen abzugreifen, also etwa Zugriffsmuster – aber nicht die Daten selbst. Bei AMD SEV-SNP ermöglicht BadRAM hingegen Replay-Attacken mit verschlüsselten Daten sowie die Manipulation von Remote Attestation und somit beliebige Änderungen an einer vermeintlich sicheren Virtuellen Maschine (VM).

Weiterlesen
  67 Aufrufe

BSI untersucht Sicherheit von smarten Heizkörperthermostaten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich passend zur Jahreszeit smarte Heizungsthermostate genauer angesehen. Dabei ging es darum, die IT-Sicherheit der Systeme zu untersuchen.

Anzeige

Das Testfeld des BSI umfasst zehn unterschiedliche Thermostate.

(Bild: BSI)

Vorneweg erörtert das BSI in der Analyse, dass Smart-Home-Geräte wie Heizkörperthermostate kurze Entwicklungszyklen aufweisen, "bei denen die IT-Sicherheit häufig eine geringere Priorität als andere Produkteigenschaften einnimmt. Dies geht mit fehlenden oder unzureichenden Security-by-Design-Ansätzen einher", so die Behörde. Viele Produkte böten daher "keinen wirksamen Schutz gegen Hackerangriffe".

Weiterlesen
  69 Aufrufe

NTLM-Relay-Angriffe: Microsoft ergreift Gegenmaßnahmen

Ein öfter beobachteter Angriffsvektor, mit dem Kriminelle sich weiteren Zugang zu Netzwerken verschaffen, sind Umleitungen von Microsofts Netzwerkprotokoll NTLM, sogenanntes NTLM-Relaying. Über NTLM werden Zugangsdaten zur Authentifizierung übertragen, die Angreifer abgreifen und missbrauchen können. Microsoft will solche Angriffe nun standardmäßig signifikant erschweren.

Anzeige

Wie Microsoft in einem Blog-Beitrag schreibt, setzt der Hersteller nun auf "Extended Protection for Authentication" (kurz: EPA) zum besseren Schutz der Zugangsdaten. Das kommt standardmäßig seit diesem Februar auf Exchange-Servern zum Einsatz, nachdem Cyberkriminelle die Schwachstelle CVE-2024-21410, mit einem CVSS-Wert von 9.8 als kritisches Risiko eingestuft, aktiv missbraucht hatten, um ihre Rechte auszuweiten. Microsoft nannte den EPA-Schutz dort auch NTLM Credentials Relay Protection.

Auch der Anfang vergangenen Monats veröffentlichte Windows Server 2025 hat einen solchen Schutz erhalten, insbesondere für die "Azure Directory Certificate Services" (AD CS). LDAP Channel Binding ist aus demselben Grund im Server 2025 per Default aktiv. Zusammen sollen diese Erweiterungen das Risiko von NTLM-Relay-Angriffen standardmäßig für die drei On-Premises-Dienste Exchange, AD CS und LDAP signifikant reduzieren.

NTLM-Relay-Angriffe laufen typischerweise zweistufig ab. Zunächst bringen Angreifer Opfer dazu, sich an beliebigen Endpunkten anzumelden. Anschließend leiten sie die Authentifizierung auf ein verwundbares Ziel um. Durch die Umleitung können Angreifer sich als ihr Opfer ausgeben und in deren Namen Aktionen ausführen. Damit haben sie einen Fuß in der Tür für eine weitere Kompromittierung des Netzwerks. Microsofts Ansatz ist nun, die Anmeldung an beliebige Endpunkte einzuschränken. Mit EPA und Channel Binding können sich Clients nur an bestimmten Servern anmelden. Sie spielen damit eine wichtige Rolle in der Abwehr von NTLM-Relay-Angriffen. Mit Blick in die Zukunft erklärt Microsoft, dass NTLM als veraltetes Protokoll gilt, und empfiehlt dementsprechend, dass sich Nutzer auf die Deaktivierung in kommenden Windows-Versionen vorbereiten sollen. Modernere Authentifizierungsprotokolle wie Kerberos sollen zum Einsatz kommen. In der Zwischenzeit versucht Microsoft mit unterschiedlichen Strategien, NTLM zumindest zu härten.

Weiterlesen
  65 Aufrufe

Transfer-Software von Cleo: Hinter Firewall bringen, Patch wirkungslos

Das Unternehmen Cleo stellt Datentransfer-Software her, in der es kürzlich eine Sicherheitslücke ausgebessert hat – vermeintlich. Der Patch reicht nicht aus, die Schwachstelle wird in freier Wildbahn aktiv angegriffen. Bis zur Verfügbarkeit eines wirksamen Updates sollten IT-Verantwortliche Cleo-Server hinter eine Firewall bringen und sie damit schützen.

Anzeige

Die IT-Sicherheitsforscher von Huntress erläutern ihre Beobachtungen in einem aktuellen Blog-Beitrag. Demnach geht es um eine Sicherheitslücke, durch die unbegrenzt Dateien in Cleo Harmony, VLTrader und Lexicom vor den Versionen 5.8.0.21 zur Ausführung von Schadcode aus dem Netz missbraucht werden kann (CVE-2024-50623). In einer eigenen Sicherheitsmitteilung, die am heutigen Dienstagmorgen aktualisiert wurde, schreiben Cleos Entwickler, dass die Installation des jüngsten veröffentlichten Patches weitere Angriffsvektoren für die Schwachstelle abdichten.

In etwa zum gleichen Zeitpunkt hat Huntress die eigene Analyse auf Reddit veröffentlicht. Demnach sind auch die gepatchten Versionen 5.8.0.21 noch anfällig. Ein Indiz für eine Kompromittierung (Indicator of Compromise, IOC) sei etwa im "hosts"-Unterverzeichnis zu finden. Die Dateien "main.xml" oder "60282967-dc91-40ef-a34c-38e992509c2c.xml" (der Dateiname tauchte bei mehreren Infektionen auf) mit einem eingebetteten Powershell-kodierten Befehl seien eindeutige Hinweise.

Im Blog-Beitrag aktualisiert Huntress weiterhin die IOCs und fügt weitere hinzu. Ein deutlicher Anstieg an kompromittierten Servern sei seit dem 8. Dezember zu beobachten. Mit einem Proof-of-Concept-Exploit haben die IT-Forscher die Angriffe nachgestellt und fanden dabei heraus, dass die aktuellen Patches unzureichend sind. In Rücksprache mit Cleo kündigte der Hersteller an, so schnell wie möglich neue Patches bereitzustellen.

Weiterlesen
  73 Aufrufe

IBM App Connect Enterprise Certified Container mit Schadcode-Lücke

Aufgrund einer "kritischen" Sicherheitslücke in einem Node.js-Modul können Angreifer Systeme, auf denen IBM App Connect Enterprise Certified Container läuft, mit Schadcode attackieren. Aufgrund der Einstufung der Lücke ist davon auszugehen, dass Computer anschließend vollständig kompromittiert sind. Sicherheitspatches stehen zum Download.

Anzeige

In einer Warnmeldung listen die Entwickler die betroffenen Versionen auf. Gegen mögliche Attacken auf die Schwachstelle (CVE-2024-21534) sind die Ausgaben 5.0.22, 12.0.6 und 12.6.0 abgesichert. Bislang gibt es noch keine Berichte über laufende Angriffe. Unklar bleibt auch, woran Admins bereits kompromittierte PCs erkennen können.

Die Entwickler geben an, dass das jsonpath-plus-Modul zum Verarbeiten von JSON-Konfigurationen Eingaben nicht ausreichend prüft, sodass Schadcode auf Systeme gelangen kann.

Weiterlesen
  55 Aufrufe

OpenWrt: Angreifer hätten bestimmte Images mit Schadcode verseuchen können

Eine "kritische" Sicherheitslücke im SysUpgrade-Server von OpenWrt gefährdete die Integrität von manchen Firmwareimages. Ein Sicherheitsforscher stieß auf Schwachstellen im Buildprozess. Nun haben die OpenWrt-Entwickler die Lücke geschlossen.

Anzeige

OpenWrt ist eine alternative Firmware auf Linuxbasis für unter anderem bestimmte Routermodelle. In einer Warnmeldung schreiben die Entwickler, dass ein Sicherheitsforscher von Flat Security auf die Schwachstelle (CVE-2024-54143) gestoßen ist. Der Fehler findet sich im SysUpgrade-Feature. Darüber können Nutzer mit vergleichsweise wenig Aufwand und in überschaubarer Zeit neue Firmwareimages erstellen, die vorab installierte Pakete und Einstellungen übernehmen.

Der Sicherheitsforscher gibt in einem Bericht an, dass der sysupgrade.openwrt.org-Service in einer Containerumgebung läuft. Aufgrund von unzureichenden Überprüfungen können Angreifer an dieser Stelle über das "make"-Kommando eigenen Code in Images einfügen. Außerdem stellte er fest, dass der Service einen auf zwölf Stellen verkürzten SHA256-Hash zum Zwischenspeichern verwendet. Weil der Hash dadurch auf 48 Bits begrenzt ist, können Angreifer durch Brute-Force-Attacken eine Hash-Kollison erzeugen.

Durch die Kombination dieser beiden Faktoren konnte der Sicherheitsforscher eigenen Angaben zufolge ein legitim anmutendes, aber manipuliertes Firmwareimage erstellen. Wird damit ein offizielles Image im Kontext des sysupgrade.openwrt.org-Services ersetzt, bekommen Nutzer davon nichts mit und nach der Installation sind ihre Geräte kompromittiert.

Weiterlesen
  53 Aufrufe

SAP-Patchday: Updates schließen teils kritische Sicherheitslücken

SAP hat zum Dezember-Patchday neun neue Sicherheitsmitteilungen herausgegeben. Zudem aktualisieren die Walldorfer vier ältere Schwachstellenmeldungen. Eine Lücke stellt ein kritisches Sicherheitsrisiko dar – IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig anwenden.

Anzeige

In der Patchday-Übersicht listet SAP die Sicherheitslücken auf, die die Entwickler im Dezember mit Updates ausbessern. Die schwerwiegendste Schwachstelle betrifft SAP NetWeaver AS for Java – oder genauer, es finden sich gleich drei Lücken in den Adobe Document Services. Angreifer mit Admin-Rechten können etwa manipulierte Anfragen durch verwundbare Web-Apps senden und dadurch fälschlicherweise auf Systeme hinter Firewalls zugreifen. Durch Ausnutzen dieser Server-Side Request Forgery können sie beliebige Dateien lesen oder verändern sowie das ganze System lahmlegen (CVE-2024-47578, CVSS 9.1, Risiko "kritisch"). Die beiden weiteren Lücken erreichen mit jeweils einem CVSS-Wert von 6.8 hingegen eine Einstufung als mittleres Risiko.

Durch einen entfernten Funktionsaufruf (Remote Function Call) in SAP NetWeaver Application Server ABAP können angemeldete Angreifer unbefugt auf Informationen zugreifen – etwa Zugangsdaten für Remote-Dienste. Damit können sie diese Dienste vollständig kompromittieren (CVE-2024-54198, CVSS 8.5, hoch). Zudem ermöglicht eine Schwachstelle in SAP NetWeaver Administrator (System Overview) ebenfalls eine Server-Side Request Forgery (CVE-2024-54197, CVSS 7.2, hoch).

Die weiteren Schwachstellen haben die Entwickler als mittleren oder niedrigen Bedrohungsgrad eingestuft. Dennoch sollten IT-Verantwortliche die Sicherheitslücken zeitnah durch Installieren der bereitstehenden Updates schließen. Die vollständige Liste der am Dezember-Patchday behandelten Sicherheitslecks:

Weiterlesen
  60 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image