Comretix Blog

Microsoft startet einen neuen Anlauf, um die Sicherheit von Windows zu verbessern. "Administrator Protection" heißt dieser Mechanismus, der das Arbeiten mit den niedrigstmöglichen Rechten erlauben und so den Rechner vor ungewollten Folgen aufgrund von schädlichen Admin-Aktionen schützen soll. Wem das bekannt vorkommt: Das sollte ursprünglich bereits die Benutzerkontensteuerung (UAC) aus Windows Vista leisten, die jedoch später von Microsoft offiziell nicht mehr als Sicherheitsfunktion eingestuft und so aufgeweicht wurde, dass Admin-Rechte sogar automatisch vergeben wurden – gelegentlich auch an Malware.

Anzeige

Vor einer administrativen Aufgabe wie der Software-Installation steht mit "Administrator Protection" ein Windows-Hello-Prompt.

(Bild: Microsoft)

Die neue Funktion ist zwar ähnlich, unterscheidet sich jedoch deutlich an entscheidenden Stellen. Bei der Benutzerkontensteuerung fragt Windows vor manchen Admin-Aktionen nach einer Bestätigung, die auf einen isolierten Desktop mit einem Dialog und einem Freigabe- und Abbrechen-Knopf führt – erbittet also eine "geschützte" Autorisierung der Aktion. Die "Administrator Protection" fährt schwerere Geschütze auf: Eine Authentifizierung mittels Windows Hello soll sicherstellen, dass nur Befugte aktiv die Admin-Aufgabe freigeben. Somit handelt es sich um eine Authentifizierung mit anschließender Autorisierung des Vorgangs.

Europäische Polizeibehörden haben eine internationale Bande von Streaming-Piraten auffliegen lassen, deren IPTV-Plattformen von mehr als 22 Millionen Nutzern besucht wurden. Die illegal kopierten Video-Streams namhafter TV-Sender und großer Streaming-Dienste haben laut Polizeiangaben über 250 Millionen Euro pro Monat generiert. Doch jetzt wurde eine Vielzahl von Websites sowie Server beschlagnahmt und einige Verdachtspersonen in Kroatien verhaftet.

Anzeige

Das meldet die Polizia Postale, die für Internetkriminalität zuständige Sonderabteilung der italienischen Polizei. Die Operation unter dem Namen "Taken Down" wurde in Zusammenarbeit mit Europol und Eurojust sowie anderen europäischen Staaten durchgeführt und ist der größte Schlag gegen Streaming-Piraten sowohl in Italien als auch international. Fernsehpiraterie wird zu einem immer größer werdenden Problem der Medien. Anfang 2023 wurde etwa berichtet, dass 5,9 Millionen Deutsche illegal in die Röhre schauen.

Welche Plattformen und Websites jetzt geschlossen und welche Domains dafür genutzt wurden, geht aus der Mitteilung der Polizia Postale nicht hervor. Dort wurden kopierte IPTV-Inhalte, Live-Übertragungen und Streaming-Dienste großer Sender wie Sky, DAZN, Amazon Prime, Netflix, Disney+ und Paramount angeboten. Insgesamt wurden 2500 illegale Kanäle und Server beschlagnahmt, darunter neun Server in Rumänien und Hongkong.

"Über 270 Mitarbeiter der Polizia Postale führten in Zusammenarbeit mit ausländischen Polizeikräften 89 Durchsuchungen in fünfzehn italienischen Regionen durch, davon 14 Durchsuchungen im Vereinigten Königreich, in Holland, Schweden, der Schweiz, Rumänien, Kroatien und China, an denen 102 Personen beteiligt waren", schreibt die italienische Behörde zu den zwei Jahre umfassenden Ermittlungen.

In der gemeinsamen "Operation Serengeti" von Interpol und Afripol haben Strafverfolger in 19 afrikanischen Ländern 1006 verdächtige Cyberkriminelle festgenommen. Dabei haben sie 134.089 kriminelle Netzwerke zerschlagen. Die Operation lief vom 2. September bis 31. Oktober dieses Jahres. Nationale Behörden und private Partner unterstützten die Operation mit wichtigen Informationen und Ressourcen.

Anzeige

Die Ermittlungen konzentrierten sich auf Cyberkriminalität wie Ransomware, Phishing und Online-Betrug, schreibt Interpol zu der Aktion. Mehr als 35.000 Opfer wurden dabei identifiziert. Die weltweiten Verluste summieren sich auf fast 193 Millionen US-Dollar. Immerhin konnten die Beamten fast 44 Millionen US-Dollar sicherstellen.

In Kenia konnten die Strafverfolger demnach etwa einen Fall von Online-Kreditkartenbetrug aufklären, der den Opfern Verluste in Höhe von 8,6 Millionen US-Dollar einbrachte. Mit betrügerischen Skripten, die nach Manipulationen des Sicherheitsprotokolls des Banksystems liefen, wurde das gestohlene Geld mittels SWIFT an Unternehmen in die Vereinigten Arabischen Emirate, Nigeria und China verschoben, an Einrichtungen zur Verwaltung digitaler Vermögenswerte. Hierbei kam es bislang zu fast zwei Dutzend Verhaftungen.

Im Senegal wurden acht Personen, einschließlich fünf Chinesen, wegen eines Schneeballsystems verhaftet, mit dem sie 1811 Opfer um 6 Millionen US-Dollar gebracht haben. Die Durchsuchung ihrer Wohnung förderte 900 SIM-Karten, 11.000 US-Dollar in bar, Telefone, Laptops und Kopien von Identitätsdokumenten (ID-Karten) von Opfern zu Tage.

Palo Alto Networks Globalprotect App dient zur Herstellung von VPN-Verbindungen. Eine Sicherheitslücke ermöglicht Angreifern, Schadcode einzuschleusen und mit erhöhten Rechten auf verwundbaren Rechnern zu installieren.

Anzeige

Die Entdecker der Sicherheitslücke von Amberwolf schreiben in ihrer detaillierten Analyse, dass die Globalprotect-VPN-Clients sowohl unter macOS als auch unter Windows anfällig für das Ausführen von Schadcode aus dem Netz und der Ausweitung der Rechte sind, und zwar durch den automatischen Update-Mechanismus (CVE-2024-5921, CVSS-B 7.2, Risiko "hoch"). Zwar erfordert der Update-Prozess, dass MSI-Dateien signiert sind, jedoch können Angreifer den PanGPS-Dienst zum Installieren eines bösartigen, dadurch vertrautem Root-Zertifikat missbrauchen. Die Updates laufen dann mit den Rechten der Dienst-Komponente – root und macOS und SYSTEM unter Windows.

Standardmäßig können Nutzerinnen und Nutzer beliebige Endpunkte in der Bedienoberfläche der VPN-Clients eintragen. Das können Angreifer etwa mit Social Engineering ausnutzen, um Opfer dazu zu bringen, auf bösartige VPN-Server zu verbinden. Diese können Zugangsdaten abgreifen und Systeme mit bösartigen Client-Updates kompromittieren.

In der Sicherheitsmitteilung erklärt Palo Alto, dass von der Sicherheitslücke die Globalprotect Apps 6.3 für alle Betriebssysteme, 6.2 für Linux, macOS und Windows, 6.1 für alle OS, die Globalprotect iOS-App sowie die UWP-App betroffen sind. Bei der Android-Version laufen die Analysen von Palo Alto noch. Nicht betroffen sind Globalprotect 5.1 und 6.0 im FIPS-CC-Modus, dessen Aktivierung die Entwickler auch als einen möglichen Workaround nennen. Außerdem ist die Lücke ab Globalprotect 6.2.6 für Windows nicht mehr enthalten.

Microsoft hat in der Nacht zum Mittwoch vier Sicherheitsmitteilungen veröffentlicht. Sie behandeln teils kritische Schwachstellen, für die Microsofts Entwickler Updates bereitstellen. Einige müssen Nutzerinnen und Nutzer selbst installieren, andere hat Microsoft auf Cloud-Diensten bereits selbst verteilt.

Anzeige

Eine kritische Sicherheitslücke betrifft Microsofts Copilot Studio. Sie erlaubte es Angreifern, ihre Rechte auszuweiten (CVE-2024-49038, CVSS 9.3, Risiko "kritisch"). Ursächlich ist eine unzureichende Filterung von Nutzereingaben während der Webseitenerstellung, Microsoft ordnet die Lücke unter Cross-Site-Scripting ein. Nicht autorisierte Angreifer aus dem Netz können dadurch ihre Rechte ausweiten. Kunden müssen keine Maßnahmen ergreifen, um das Problem zu korrigieren.

Eine Schwachstelle im "partner.microsoft.com"-Angebot wurde bereits missbraucht, erklärt Microsoft im Schwachstelleneintrag. Angreifer aus dem Netz können ohne vorherige Authentifizierung ihre Rechte erhöhen, da Zugriffsrechte nicht korrekt umgesetzt wurden (CVE-2024-49035, CVSS 8.7, hoch). Konkret gab es das Problem in der Online-Version der Microsoft Power Apps. Abweichend von der CVSS-Einstufung ordnet Microsoft die Lücke jedoch als kritisch ein. Auch hier müssen Kunden nichts weiter machen, Microsoft hat das Problem serverseitig gelöst.

In Microsoft Azure PolicyWatch konnten Angreifer aus dem Netz ohne Autorisierung ihre Rechte erhöhen, da einer nicht näher genannten, kritischen Funktion eine Authentifizierung schlicht fehlte (CVE-2024-49052, CVSS 8.2, hoch). Auch hier stufen Microsofts Entwickler das Risiko abweichend als kritisch ein. Immerhin müssen Kunden nichts weiter tun, die Korrekturen erfolgen serverseitig durch Microsoft.

Aufgrund mehrerer Softwareschwachstellen könnten Attacken auf VMware Aria Operations bevorstehen. Eine dagegen geschützte Ausgabe steht zum Download bereit. Insgesamt haben die Entwickler fünf Lücken geschlossen.

Anzeige

In einer Warnmeldung führen die Entwickler aus, dass zwei Root-Schwachstellen (CVE-2024-38830, CVE-2024-38831) mit dem Bedrohungsgrad "hoch" eingestuft sind. Sind Attacken erfolgreich, können sich Angreifer Rootrechte verschaffen. In so einer Position ist davon auszugehen, dass sie Systeme vollständig unter ihre Kontrolle bringen können. Die Hürde für einen Angriff ist aber hoch, und Angreifer müssen bereits über lokale Adminrechte verfügen.

Wie so eine Attacke im Detail ablaufen könnte und woran Admins bereits attackierte PCs erkennen können, führt VMware derzeit nicht aus.

Die drei verbleibenden Schwachstellen (CVE-2024-38832 "hoch", CVE-2024-38833 "mittel", CVE-2024-38834 "mittel") ermöglichen Stored-XSS-Attacken. An dieser Stelle können Angreifer mit Zugriff zum Editieren auf einen Cloudanbieter eigenen Code ausführen.

Mitte November wurde bekannt, dass Daten von mehr als 3,5 Millionen europäischen Kunden von brillen.de frei zugänglich im Netz standen. Inzwischen hat der Betreiber des Angebots Supervista die Untersuchungen weitgehend abgeschlossen.

Anzeige

Auf dem brillen.de-Webauftritt hat das Unternehmen eine Kundeninformation zu dem Vorfall veröffentlicht. Auf unsere Nachfrage hat Supervista weiterreichende Informationen herausgegeben. "Am 7. August 2024 wurde durch eine Fehlkonfiguration eines Server-Ports auf drei AWS-gehosteten Servern bei Supervista eine potenzielle Sicherheitslücke eröffnet. Ein Mitarbeiter hatte zu Testzwecken eine Eingangsregel hinzugefügt, die Zugriff über Port 9200/TCP ermöglichte, ging jedoch irrtümlich davon aus, dass diese Sicherheitsgruppe ausschließlich für Test-Systeme genutzt würde", erklärt ein Jurist des Unternehmens gegenüber heise online.

Es sei zudem kein Authentifizierungsmechanismus aktiviert worden. "Nach Abschluss der Tests vergaß der Mitarbeiter, die Eingangsregel wieder zu entfernen, was einen externen, unautorisierten Zugriff ermöglichte", so der Unternehmenssprecher weiter.

Bereits am 9. August habe das System von Supervista einen ungewöhnlichen Zugriff von einer externen IP-Adresse erkannt. Der Zugriff sei umgehend blockiert worden. Der Konfigurationsfehler sei dem Mitarbeiter nicht bewusst gewesen, weshalb der Zugriff nicht auf den offenstehenden Server-Port zurückgeführt wurde. Dem heutigen Kenntnisstand nach hat es sich um den Zugriff von Cybernews gehandelt, die die offenstehende Elasticsearch-Instanz entdeckt und gemeldet hatten.

ScubaGear ist ein Tool zum Überprüfen der Sicherheitseinstellungen in M365. Entwickelt hat es die US-Sicherheitsbehörde CISA, damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst checken und verbessern können. ScubaGear deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Dieses heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen vergleichbaren Werkzeugen – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare auch später in der exklusiven PRO-Mediathek abrufen.

Die von HPE kostenlos angebotene Monitoring-Software HPE Insight Remote Support ist anfällig für das Einschleusen von Schadcode. Zudem warnt der Hersteller vor weiteren Sicherheitslücken in der Software.

Anzeige

In der Sicherheitsmitteilung bleibt HPE sehr oberflächlich bezüglich der Schwachstellen. Die Dringlichkeit schätzt der Hersteller als "hoch" ein, die Auswirkungen beschreibt er als Codeausführung, Directory Traversal und Informationsabfluss "aus der Ferne" (Remote). Am gravierendsten ist eine Directory-Traversal-Lücke in der Software, die Angreifern das Einschmuggeln und Ausführen beliebigen Codes erlaubt (CVE-2024-53676, CVSS 9.8, Risiko "kritisch").

Genauere Informationen zu der Schwachstelle nennt HPE nicht. Es bleibt unklar, wie Angreifer sie ausnutzen können, wie Angriffe zu erkennen sind oder was mögliche temporäre Gegenmaßnahmen wären. Eine weitere Sicherheitslücke ist betrifft die Deserialisierung von Daten in Java, wodurch nicht authentifizierte Angreifer Code einschleusen können (CVE-2024-53673, CVSS 8.1, hoch). Auch hier gibt HPE keine weiteren hilfreichen Informationen heraus.

Drei weitere Schwachstellen (CVE-2024-11622, CVE-2024-53674, CVE-2024-53675) erreichen mit einem CVSS-Wert von 7.3 ebenfalls eine Bewertung als hohes Risiko. Verwundbar ist HPE Insight Remote Support vor der nun veröffentlichten Version 7.14.0.629. Diese oder neuere sollten Admins, die die Software in ihrem Netz einsetzen, zügig installieren, um die Angriffsfläche in ihrem Netzwerk zu minimieren.

Windows 11 bekommt Unterstützung für Hotpatching. Es lässt sich mit Windows 11 24H2 Enterprise als Vorschau testen. Damit kommen auch Desktop-Systeme ohne monatlichen Neustart aus.

Anzeige

Im Windows Message Center hat Microsoft den öffentlichen Test des Hotpatching in Windows 11 angekündigt. "Diese öffentliche Vorschau bietet denselben Level an Security-Patching wie die üblichen monatlichen Sicherheitsupdates, ohne Neustart der Geräte oder Unterbrechung der Nutzerinnen und Nutzer", schreibt Microsoft dort. "Um die neuesten Funktionen zu erhalten, werden dafür infrage kommende Geräte das standardmäßige monatliche Sicherheitsupdate installieren und jeden ersten Monat in einem Quartal neu starten", fahren die Autoren fort.

Dafür können interessierte Admins eine neue Windows-Quality-Update-Richtlinie in Microsoft Intune und Windows Autopatch nutzen. Damit können sie Geräte für Hotpatching hinzufügen oder entfernen. Ein bislang unbeachteter Blog-Beitrag in der Microsoft-Techcommunity aus der vergangenen Woche geht etwas weiter in die Details. Voraussetzung ist ein Microsoft-Abonnement mit Windows Enterprise E3- oder E5-Lizenz, als Beispiel nennt der Autor Microsoft 365 A3/A5, Microsoft 365 F3 oder ein Windows 365 Enterprise-Abo.

Auf den Geräten muss zudem Windows 11 Enterprise laufen, Build 24H2 mit Versionsnummer 26100.2033 (entsprechend dem Oktober-Update von Microsoft) oder neuer. Zudem müssen Admins Microsoft Intune nutzen. Die zu aktivierende Windows-Quality-Update-Richtlinie erkennt automatisch PCs, auf denen die Funktion nutzbar ist. Auf anderen Geräten etwa mit Windows 10 oder älteren Windows-11-Builds laufen weiterhin die monatlichen Standard-Updates.

In Folge 19 von "Passwort", dem Podcast von heise security, gehen die Christopher und Sylvester wieder diverse Themen an. Unter anderem, weil sie erfreulich viel Feedback zu den Inhalten der vergangenen Folgen bekommen haben und die Anmerkungen der Hörerinnen und Hörer besprechen. Neben Druckern im Internet, der Chatkontrolle oder auch der Werbung im Podcast ging es wiederholt um das Anonymisierungsnetzwerk Tor, das Thema der letzten Folge.

Anzeige

Ein Ransomware-Angriff auf den US-amerikanischen Softwarehersteller Blue Yonder hat in der vergangenen Woche den Betrieb von Starbucks und großen britischen Lebensmittelhändlern beeinträchtigt. Das berichtete am Montag die US-Tageszeitung Wall Street Journal. Blue Yonder gehört zu dem japanischen Mischkonzern Panasonic. Das Unternehmen ist einer der weltweit größten Anbieter von Lieferkettentechnologie. Es stellt Software her, mit der sich die Abläufe von der Verwaltung der Lager und des Transports bis hin zur Bearbeitung von Rücksendungen überwachen lassen.

Anzeige

Dem Bericht des Wall Street Journal zufolge störte der Angriff letzte Woche Systeme, die Blue Yonder für seine Kunden hostet. Die US-amerikanische Kaffeehauskette Starbucks erklärte, dass unternehmenseigene Filialen in Nordamerika von der Ransomware-Attacke betroffen waren. Vor allem Lohnzahlungen und die Erfassung der Arbeitszeiten von Angestellten wurden demnach beeinträchtigt. Das Unternehmen musste auf manuelle Prozesse umstellen.

Auch der US-Automobilhersteller Ford Motor nutzt nach eigenen Angaben Blue Yonder-Software. Untersuchungen über Beeinträchtigungen durch den Cyberangriff liefen noch. Sainsbury's und Morrisons, zwei der größten Lebensmittelketten Großbritanniens, waren durch den Ausfall primär von Lagerverwaltungssystemen für frische Lebensmittel und Produkte betroffen. Sie hielten ihren Betrieb über Ersatzpläne aufrecht. Laut Wall Street Journal machte der niederländische Supermarktkonzern Ahold Delhaize, zu dem verschiedene Lebensmittelketten gehören, Anfang November ein "Cybersicherheitsproblem" in seinem US-Netzwerk bekannt. Der Vorfall führte in Filialen im Nordosten der USA fast zwei Wochen lang zu Produktausfällen.

Blue Yonder meldete am 21. November "Störungen in der gehosteten Managed Services-Umgebung, die auf einen Ransomware-Vorfall zurückzuführen waren". Seit Bekanntwerden des Vorfalls habe man zusammen mit externen Cybersecurity-Firmen daran gearbeitet, Fortschritte bei der Wiederherstellung zu erzielen. "Wir haben mehrere defensive und forensische Protokolle implementiert. Die Experten und das Blue Yonder-Team arbeiten an verschiedenen Wiederherstellungsstrategien, und die Untersuchung ist noch nicht abgeschlossen", heißt es in einer öffentlichen Mitteilung von Blue Yonder. Am Montag erklärte das Unternehmen, dass es an der Wiederherstellung seiner Dienste arbeite, nannte jedoch keinen Zeitplan.

Mehr Komfort verspricht eine neue Funktion von Bitwarden. In der neuen Version 2024.11 hat ein Feature Einzug gehalten, das nicht nur Passwort-Felder auf Webseiten mit gespeicherten Kontodaten befüllt, sondern das auch anbietet, ein automatisch generiertes Passwort einzufügen.

Anzeige

Bitwarden kann nun automatisch generierte Passwörter mit Auto-Fill vorschlagen.

(Bild: Bitwarden)

Beim Besuch von Webseiten, für die keine Log-in-Daten im Bitwarden-Vault gespeichert sind, führt der Klick in ein Passwort-Feld dazu, dass das Inline-Auto-Fill-Menü ein automatisch erstelltes und starkes Passwort vorschlägt, schreibt Bitwarden in einem Blogbeitrag aus der vergangenen Woche. Das Passwort basiert auf den aktuellen Einstellungen der Browser-Erweiterung für die Passworterstellung. Nutzerinnen und Nutzer können den ersten Vorschlag direkt nutzen oder ein weiteres Passwort erstellen lassen, indem sie das "Regenerieren"-Icon" anklicken.

Kriminelle missbrauchen Sicherheitslücken in Zyxel-Firewalls, um sich Zugriff auf Netzwerke zu verschaffen. IT-Sicherheitsforscher haben beobachtet, wie sie danach die Ransomware Helldown eingesetzt haben, um Daten in großem Umfang zu exfiltrieren.

Anzeige

Das IT-Sicherheitsunternehmen Sekoia schreibt in einer Analyse, dass die Helldown-Ransomware noch recht jung ist und im August erstmals beschrieben wurde. Die Drahtzieher dahinter missbrauchen Schwachstellen, um Netzwerke von Opfern zu infiltrieren und die Ransomware zu verteilen. Auf der Data-Leakage-Site (DLS) der Gruppierung Helldown waren Anfang November 31 Opfer aufgelistet. Darunter auch Zyxel Europa, berichtet Sekoia.

Bei der Analyse fiel auf, dass mindestens acht Opfer IPSec-VPN-Zugriff mit Zyxel-Firewalls bereitstellten; zwei der Opfer haben ihre Zyxel-Firewalls offenbar durch welche anderer Hersteller ersetzt, nachdem sie kompromittiert wurden. In einer Sicherheitsmitteilung aus dem September warnte Zyxel vor einer Befehlsschmuggel-Lücke im IPSec-VPN in diversen Firewalls (CVE-2024-42057, CVSS 8.1, Risiko "hoch"), die die Firmware-Version 5.39 abdichten soll. Öffentlicher Exploit-Code sei bis Mitte November nicht gesichtet worden, erklärt Sekoia.

Dennoch haben Ende September mehrere Nutzerinnen und Nutzer im Zyxel-Forum von kompromittierten Firewalls mit dem verwundbaren Firmware-Stand 5.38 berichtet. Vermeintliche Konfigurationsdateien wurden hochgeladen, die jedoch base64-kodierte MIPS-ELF-Binärdateien enthielten, und neue Benutzer auf den Firewalls angelegt. Zyxel hat am 9. Oktober eine Exploit-Warnung veröffentlicht und gibt dort Hinweise, wie betroffene Geräte erkannt werden können sowie welche Maßnahmen zur Bereinigung Admins ergreifen können.

Malware und Hacker-Angriffe sind längst nicht mehr nur ein Windows-Thema – auch Linux-Server und die darauf laufenden Dienste geraten immer häufiger unter Beschuss. Der fünftägige Intensiv-Workshop Linux-Server härten: Verschlüsselung, Zugriffskontrolle, Integritätschecks beschäftigt sich umfassend mit der Sicherheit von Linux-Servern. Das Themenspektrum reicht von der physischen Sicherheit über Mechanismen der Zugriffskontrolle bis hin zu Logging, Monitoring und Intrusion Detection.

Anzeige

Sie lernen, wie Sie Daten verschlüsseln und Netzwerkdienste absichern, fortgeschrittene Methoden der Zugriffskontrolle wie Zwei-Faktor-Authentifizierung einrichten und die bekannten Sicherheitsframeworks SELinux und AppArmor einsetzen. Florian Winkler erklärt, wie man Logfiles mit sicherheitsrelevanten Vorfällen analysiert und geht auch auf das Thema Einbruchserkennung ein. Darüber hinaus erhalten Sie eine theoretische Einführung in das Penetration Testing und erfahren, wie Sie Sicherheitslücken in der eigenen IT gezielt aufspüren.

Der nächste iX-Workshop findet vom 13. bis 17. Januar 2025 per Videokonferenz in einem Remote Classroom statt. Trainer Florian Winkler ist seit 2014 als Berater und Trainer beim Linux-Systemhaus B1 Systems tätig. Seine Themenschwerpunkte liegen in den Bereichen Konfigurationsmanagement, DevOps, Deployment, Security und Automatisierung.

Damit Sie in diesem Workshop das Gelernte direkt ausprobieren und selbst Hand anlegen können, erhalten Sie einen ssh-Zugang zu einer Trainingsumgebung mit bereitgestellten Linux-Systemen. Der Workshop ist interaktiv: Sie haben jederzeit die Möglichkeit, dem Referenten Fragen zu stellen und sich mit den anderen Teilnehmenden auszutauschen. Damit dies gut funktioniert, ist die Gruppengröße auf maximal 12 Personen begrenzt.

In Trellix Enterprise Security Manager (ESM) klaffen Sicherheitslücken, die der Hersteller mit einem Sicherheitsupdate schließt. Die Überwachungssoftware zur Darstellung der Sicherheitslage des eigenen Netzwerks sollten Admins zügig aktualisieren.

Anzeige

In der Versionsankündigung listet Trellix die einzelnen Komponenten der Aktualisierung auf Version 11.6.13 auf. "Dieses Update ist für alle Umgebungen empfohlen. Wenden Sie das Update so bald wie möglich an"; schreibt das Unternehmen.

Auf konkrete Sicherheitslücken geht Trellix nicht weiter ein. Jedoch aktualisiert Trellix ESM 11.6.13 etwa Azul Java und geht damit mehrere nicht aufgelistete CVEs an. Ebenso bessert die mitgelieferte libcurl-Bibliothek zwei Sicherheitslücken aus (CVE-2023-38545, CVSS 9.8, Risiko "kritisch"; CVE-2023-38546, CVSS 3.7, niedrig). Auch im "Snow Service" lauerten zuvor zwei "Reverse Shell"-Schwachstellen (CVE-2024-1148, CVSS 9.8, kritisch; CVE-2024-11482 [noch nicht öffentlich]). Das CERT-Bund des BSI stuft die Sicherheitslücken mit einem maximalen CVSS-Wert von 9.8 als kritisches Risiko ein und warnt davor, dass sie Angreifern das "Umgehen von Sicherheitsvorkehrungen" ermöglichen.

Neben den geschlossenen Sicherheitslücken gibt es jedoch auch Verbesserungen im Produkt. So können ESET- und Sentinel-Sicherheitslösungen jetzt ebenfalls als Datenquellen für Trellix ESM dienen. Seit Version 11.6 unterstützt die Software keine Konfiguration als verteiltes System. Wer auf den 11.6-er-Versionszweig von Trellix Enterprise Security Manager aktualisieren möchte, findet hier eine Anleitung des Unternehmens zum Upgrade auf HA Receivers.

Das Kumamoto Prefecture Violence Prevention Movement Promotion Center bietet unter anderem eine Beratung für Opfer an, die von der japanischen Mafia Yakuza erpresst werden. Darunter fallen auch Mitglieder, die austreten wollen und Eltern, deren Kinder mit einem Yakuza-Mitglied liiert sind. Nun könnten die Betroffenen in Gefahr sein.

Anzeige

In einem Beitrag bezieht die Regierungseinrichtung jetzt Stellung zu einer erfolgreichen Phishingattacke. Ein Mitarbeiter ist auf seinem Arbeits-PC auf eine Fake-Warnmeldung hereingefallen und hat so Cyberkriminellen Zugriff auf seinen Computer gewährt.

Es bleibt unklar, ob die Kriminellen die persönlichen Daten wie Adressen und Namen von rund 2500 Personen, die Hilfe bei der Regierungseinrichtung gesucht haben, kopieren konnten. Inzwischen kontaktiert die Behörde proaktiv die potenziell Betroffenen.

Microsoft hat seit Montag dieser Woche Störungen seiner Microsoft-365-Dienste zu beklagen. Exchange Online, Outlook und Teams waren dadurch teils nur eingeschränkt nutzbar. Die Probleme sollen zum Meldungszeitpunkt weitgehend wieder behoben sein.

Anzeige

Microsofts Cloud-Status zeigt noch andauernde Probleme mit den Microsoft-365-Diensten.

(Bild: Screenshot / dmk)

Im Cloud-Status-Monitor von Microsoft wird derzeit die Störung als noch akut andauernd angezeigt. Demnach können Nutzerinnen und Nutzer von Outlook.com etwa auf ihre Mailboxen nicht zugreifen, weder mit Outlook on the Web, noch mit dem Outlook-Desktop-Client, nicht mittels REST-API und auch nicht über Exchange ActiveSync (EAS). "Nutzer könnten Verzögerungen beim Mail-Transport bemerken", schreibt das Unternehmen dort.