Comretix Blog

"Manchmal hat man kein Glück und dann kommt auch noch Pech dazu", dieses geflügelte Wort aus der Fußballwelt dürfte den Entwicklern von Fortinet derzeit auf der Zunge liegen. In ihrem FortiManager, einer Verwaltungssoftware für FortiGate-Appliances, tauchten in den vergangenen Monaten immer wieder schwere Sicherheitslücken auf. Nun haben Sicherheitsforscher drei weitere entdeckt – ohne sie zu suchen.

Anzeige

Eine besonders heikle Sicherheitslücke namens "FortiJump" wurde vor wenigen Wochen veröffentlicht und schlug hohe Wellen, unter anderem in mehreren heise-Meldungen und einem empörten Jürgen Schmidt: "Zu den technischen Fehlern gesellt sich ein haarsträubendes Kommunikationsverhalten. Über Tage hinweg rätselten Sicherheitsforscher und auch Fortigate-Kunden, was es mit den Updates und den Gerüchten über aktive Angriffe auf FortiManager auf sich haben könnte", barmte der Gründer von heise security im Newsletter des Fachdienstes heise security PRO. Die Google-Tochter Mandiant konstatierte bereits am 24. Oktober eine massenhafte Ausnutzung, veranstaltete Webinare zum Thema und veröffentlichte "Indicators of Compromise" für die Suche nach Angreifern.

Die Sicherheitsexperten von Watchtowr Labs wollten den genannten Exploit (CVE-2024-47575) nun lediglich in einer kontrollierten Laborumgebung nachstellen. Doch ein ruhiger Experimentiernachmittag war ihnen nicht vergönnt, stattdessen sprang den überraschten Exploit-Testern eine weitere schwere Lücke ins Auge. Und – wer da hat, dem wird gegeben – zwei triviale Crashbugs gab's als Gratisbeigabe obendrein.

Der unterhaltsame und mit reichlich Meme-Material angereicherte Blogeintrag "Hop-Skip-FortiJump-FortiJump-Higher" des Watchtowr-Teams liest sich wie eine Abrechnung mit haarsträubend schlechten Sicherheitspraktiken bei einem Anbieter von Sicherheitsappliances: "Die niedrige Komplexität der Sicherheitslücken wirft die grundsätzliche Frage nach der FortiManager-Codequalität auf", konstatierten die Autoren und entschlossen sich zu dem ungewöhnlichen Schritt, die neu entdeckte Sicherheitslücke zu veröffentlichen, bevor sie von Fortinet gepatcht wurde.

Am Donnerstag wurde ein mögliches Datenleck beim Statistischen Bundesamt bekannt, Cyberkriminelle bieten rund 3,8 GByte an angeblich dort erbeuteten Daten im digitalen Untergrund an. Das IDEV-System wurde Offline genommen, nun gibt es weitere Maßnahmen: "Die Sicherheitsbehörden wurden eingeschaltet und das Bundesamt für Sicherheit in der Informationstechnik (BSI) analysiert den Sachverhalt", teilte das Statistische Bundesamt (Destatis) in Wiesbaden mit. Auf die Frage, ob Cyberkriminelle für das Datenleck verantwortlich sein könnten, hieß es, vorerst lägen "noch keine gesicherten Erkenntnisse vor". Die Sicherheitsbehörden arbeiteten in enger Abstimmung mit dem Bundesamt intensiv an der Aufklärung des Vorfalls, sagte der Sprecher.

Anzeige

Die Präsidentin des Statistischen Bundesamts, Ruth Brand, ist zugleich Bundeswahlleiterin. Die IT-Systeme des Statistischen Bundesamts und die IT-Systeme der Bundeswahlleiterin seien technisch getrennt und eigenständig, erklärte ein Sprecher des Bundesamts und der Bundeswahlleiterin auf Anfrage. Die Vorbereitungen zur Bundestagswahl 2025 verliefen planmäßig. Das Statistische Bundesamt benutze verschiedene Systeme zur Datenerhebung und -verarbeitung.

Das betroffene Meldesystem IDEV (Internet Datenerhebung im Statistischen Verbund) ist ein Internetportal, "über das Meldungen zu verschiedenen amtlichen Statistiken an die Statistischen Ämter des Bundes und der Länder übermittelt werden können. Die vorgeschriebenen Meldefristen sind bis zur Klärung des Sachverhalts ausgesetzt", hieß es weiter.

Vorerst gebe es keine Hinweise darauf, dass auch die IDEV-Systeme der Bundesländer betroffen sein könnten. "Rein vorsorglich haben jedoch die Länder bis zur Aufklärung des Sachverhalts ihre Systeme ebenfalls vom Netz genommen", ergänzte das Statistische Bundesamt in Wiesbaden. Seine eigenen statistischen Informationen für die Öffentlichkeit waren zunächst weiterhin auf seinen Internetseiten zu finden.

Googles mobiles Betriebssystem Android bekommt neue Sicherheitsfunktionen und soll ab sofort in Echtzeit vor betrügerischen Anrufen und mit Schadcode verseuchten Apps warnen. Doch diese Funktionen sind bislang nur für ausgewählte Geräte und zum Teil nur für Beta-Nutzer nutzbar.

Anzeige

In einem Beitrag beschreibt Google die neuen Sicherheitsmechanismen. Anhand von Echtzeitanalysen auf KI-Basis soll die Telefon-App beim Telefonieren erkennen, ob ein Betrüger am anderen Ende der Leitung ein Opfer aufs Glatteis führen will. Besteht ein Betrugsverdacht, weist das Smartphone in Form einer Mitteilung darauf hin und man kann den Anruf über ein Dialogfeld beenden.

Derzeit kann die Telefonbetrugserkennung nur englischsprachige Anrufe analysieren.

(Bild: Google)

In dem Wordpress-Plug-in "Really Simple Security" klafft eine kritische Sicherheitslücke, die Angreifern die Übernahme einer Wordpress-Seite ermöglicht. Sie können unter Umständen die Authentifizierung umgehen. Das Plug-in kommt auf mehr als vier Millionen Wordpress-Webseiten zum Einsatz, erklärt das IT-Sicherheitsunternehmen Wordfence.

Anzeige

In einem Blog-Beitrag schreibt Wordfence, dass das Plug-in zuvor unter dem Namen Really Simple SSL bekannt war und nun in den Versionen Free, Pro und Pro Multisite bekannt ist. Alle Fassungen sind in den Version 9.0.0 bis 9.1.1.1 verwundbar.

In diesen betroffenen Fassungen können Angreifer aufgrund einer unzureichenden User-Check-Fehlerbehandlung in der Zwei-Faktor-REST-API der Funktion check_login_and_get_user auch ohne vorherige Authentifizierung als existierender Nutzer in der Website anmelden (CVE-2024-10924, CVSS 9.8, Risiko "kritisch"). Etwa mit dem Administrator-Konto. Dafür muss jedoch die Zwei-Faktor-Authentifizierung aktiviert sein – die ist zwar standardmäßig aus, jedoch empfehlen IT-Sicherheitsexperten stets, diesen Sicherheitsmechanismus zu aktivieren.

In dem Blog-Eintrag analysieren die Wordfence-Autoren die Schwachstelle für Interessierte ausführlicher.

Im Oktober hatte Palo Alto Networks mehrere, teils kritische Sicherheitslücken im Migrationswerkzeug Expedition gemeldet und Updates zum Stopfen der Lecks bereitgestellt. Jetzt warnt die US-amerikanische IT-Sicherheitsbehörde CISA, dass Angriffe auf diese Schwachstellen in freier Wildbahn beobachtet wurden.

Anzeige

Konkret warnt die CISA davor, dass zwei der vor rund einem Monat korrigierten Lücken angegriffen werden und sie diese Schwachstellen daher in den Katalog der angegriffenen Sicherheitslücken aufnimmt ("Known Exploited Vulnerabilities"-Katalog). Es handelt sich um eine Befehlsschmuggel-Lücke (CVE-2024-9463, CVSS 9.9, Risiko "kritisch") sowie um eine SQL-Injection-Schwachstelle (CVE-2024-9465, CVSS 9.2, kritisch) in Palo Altos Expedition.

Angreifer können verwundbare Appliances vollständig kompromittieren, denn Palo Alto erklärt die Auswirkungen der Lücke in der Sicherheitsmitteilung: Die Schwachstellen ermöglichen Angreifern demnach, Datenbankinhalte und beliebige Dateien zu lesen sowie beliebige Dateien in temporäre Verzeichnisse zu schreiben. In Kombination sind dadurch Nutzernamen, Klartext-Passwörter, Gerätekonfigurationen und API-Keys von PAN-OS-Firewalls zugreifbar.

Die Sicherheitslecks betreffen Palo Alto Expedition vor der fehlerkorrigierten Version 1.2.96. IT-Verantwortliche sollten umgehend die Aktualisierung anwenden. Außerdem sollen sie sicherstellen, dass die Software nicht aktiv ist, sofern sie nicht gebraucht wird.

Apache Traffic Server (ATS) optimiert als Web-Proxy-Cache den Datenverkehr in großen Netzwerken. Unter anderem Internetkonzerne wie Yahoo! nutzen ATS. Nun können Angreifer an mehreren Sicherheitslücken ansetzen und unter anderem Instanzen abstürzen lassen.

Anzeige

Wie aus einem Beitrag auf einer Mailingliste hervorgeht, haben die Entwickler in den aktuellen Ausgaben 9.2.6 und 10.0.2 insgesamt drei Schwachstellen (CVE-2024-38479 "hoch", CVE-2024-50305 "hoch", CVE-2024-50306 "kritisch") geschlossen.

Durch das erfolgreiche Ausnutzen der kritischen Lücke können Angreifer ATS dazu bringen, dass Privilegien beim Start des Servers erhalten bleiben. Attacken auf eine andere Schwachstelle können zu Abstürzen führen. Zurzeit gibt es noch keine Berichte, dass bereits Angriffe stattfinden.

Die in der Nacht zum Mittwoch dieser Woche veröffentlichten Updates zum Microsoft Patchday haben unerwünschte Nebenwirkungen. Microsoft stellt daher vorerst die Verteilung auf Exchange-Server 2016 und 2019 ein.

Anzeige

In einem Techcommunity-Artikel hatte Microsoft zunächst die Inhalte und Verbesserungen der Updates zum Microsoft-Patchday für Exchange erläutert. In der Nacht zum Freitag hat der Hersteller den Artikel jedoch aktualisiert und erläutert darin nun, dass die Aktualisierungen vorerst gestoppt wurden. Insbesondere für die Versionen Exchange Server 2019 CU13 und CU14 sowie Exchange Server 2016 CU23 hat Microsoft die Verteilung ausgesetzt.

"Uns ist bekannt, dass Kunden ein Problem mit regelmäßig ausfallenden Transport-Regeln nach der Installation des Updates haben"; erörtert Microsoft. "Unseren initialen Untersuchungen zufolge kann das auftreten, sofern Kunden eigene Transport- oder DLP-Regeln einsetzen". Sofern man auf dieses Problem stoße, müsse das November-Update deinstalliert werden, bis es (korrigiert) wiederveröffentlicht werde, ergänzen Microsofts Entwickler.

"Wir setzen unsere Untersuchungen fort und arbeiten an einer permanenten Korrektur des Problems. Wir veröffentlichen sie dann, wenn sie fertig ist. Wir haben zudem den Rollout des November-2024-Service-Updates auf Windows- respektive Microsoft-Update pausiert", ergänzen die Redmonder. "Kunden, die keine Transport- oder DLP-Regeln verwenden und in keine Probleme mit solchen Regeln gelaufen sind, können das November-Update weiter verwenden".

Der Mobilfunkprovider O2 hat nach eigenen Angaben eine KI-Technik entwickelt, die am Telefon eine alte Frau imitieren und Betrüger möglichst lange beschäftigen kann. Das teilte O2 jetzt mit und ergänzte, dass die Technik bereits Anrufe aus betrügerischen Absichten entgegengenommen hätte. Ziel sei es, dass die in Echtzeit generierten Antworten und Monologe von "Daisy" die Betrüger so lange wie möglich hinhalten, damit sie in der Zeit keine echten Menschen kontaktieren können. Damit sie überhaupt angerufen wird, würden zugehörige Telefonnummern auf Listen mit angeblich lohnenswerten Zielen hinzugefügt, die solche Betrüger verwenden.

Anzeige

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

Kommerzielle Netzbetreiber der USA wie AT&T und Verizon sind Opfer chinesischer Cyberspione geworden. Dabei haben die von der Regierung Chinas unterstützten Angreifer Zugriff auf Telefonaufzeichnungen und -daten von Kunden sowie private Kommunikationsdaten von Politikern und Regierungsangehörigen erlangt. Sogar von Polizeibehörden durchgeführte und gerichtlich genehmigte Abhörungen wurden abgegriffen. Das FBI und die US-Cybersicherheitsbehörde CISA bezeichnen es als "umfassende und bedeutende Cyberspionagekampagne".

Anzeige

Damit haben das FBI und die CISA (Cybersecurity and Infrastructure Security Agency) bestätigt, was zuvor bereits bekannt geworden war. Anfang Oktober wurde berichtet, dass AT&T, Verizon und Co. angeblich von einer chinesischen Spionagegruppe infiltriert worden seien. Die Kampagne scheint auf Informationsbeschaffung ausgerichtet zu sein und gilt als potenziell katastrophale Sicherheitsverletzung. Denn über mehrere Monate oder länger könnten die Cyberkriminellen Zugang zu Netzwerkinfrastrukturen gehabt haben.

Details zum Umfang und der Dauer des Cyberangriffs bleibt die gemeinsame Erklärung von FBI und CISA schuldig, aber die Verbindung der Angreifer zur Volksrepublik China wird mehrfach erwähnt. Die Untersuchung der Vorfälle dauert an, betroffene Opfer werden informiert. Namen werden nicht genannt, aber im Visier der Cyberspione waren etwa der gerade zum US-Präsidenten gewählte Donald Trump sowie sein designierter Vizepräsident J.D. Vance, schreibt Politico.

Demnach hätten die Cyberspione Zugriff auf Telefondaten mehrerer Millionen US-Amerikaner gehabt, aber nicht jede einzelne Person sei dabei überwacht worden. Die Angreifer hätten anfangs rund 40 Opfer gesucht, um diese auszuspionieren. Allerdings hat sich diese Zahl mittlerweile erhöht und könnte sogar mehr als Tausend Individuen umfassen, heißt es. Insgesamt seien rund 10 Telekommunikationsunternehmen betroffen, darunter Verizon, AT&T und Lumen Technologies.

Google schaut in die Glaskugel: Ein fast 20-seitiges PDF liefert Einschätzungen der zu erwartenden IT-Bedrohungslage 2025 von Googles Cloud-Security-Köpfen. Neben dem Führungspersonal kommen auch IT-Forscher aus den diversen IT-Sicherheitsteams von Google und der Google-Tochter Mandiant zu Wort.

Anzeige

Google wählt dem zugehörigen Blog-Beitrag zufolge einen konservativen Ansatz und extrapoliert zu Erwartendes aus den derzeit beobachteten Trends. Das soll einen realistischen Ausblick liefern, anhand dessen sich Organisationen darauf vorbereiten können, was im kommenden Jahr auf sie zukomme.

Das hat aber auch zur Folge, dass keine überraschenden Informationen darin auftauchen. Google erörtert, dass bösartige Akteure vermehrt auf KI für verfeinertes Phishing, Vishing und Social Engineering setzen werden. Zudem sei eine Zunahme an Deepfake-Einsätzen für Identitätsbetrug und -Diebstahl, Betrug oder zur Umgehung von Sicherheitsmaßnahmen zu erwarten. Mittels KI werden die Täter außerdem ihre Schlagzahl optimieren: Skalierung der Inhaltserzeugung, Erstellen von mehr überzeugenden Inhalten, oder Verbesserung von nicht authentischen Persönlichkeiten.

Die sogenannten "Big Four", namentlich China, Iran, Nordkorea und Russland werden weiterhin aktiv bleiben und sich weiter in Spionageaktivitäten stürzen, Cybercrime begehen und Ausspähoperationen in Verknüpfung mit ihren geopolitischen Interessen verfolgen. Auch zum Teil staatlich gelenkt: Ransomware und vielschichtige Erpressung bleiben die am meisten störenden Formen der Cyberkriminalität, schätzt Google, die Auswirkungen auf diverse Sektoren und Länder haben.

Anzeige

Der IT-Sicherheitstag an der Westfälischen Hochschule Gelsenkirchen zeigt am 21. November, wie Sicherheitsverantwortliche, Security-Experten und IT-Projektleiter mit der steigenden Komplexität der Systeme in ihren Unternehmen umgehen können. Dass das Zusammenspiel der Komponenten im Systemverbund leicht aus dem Tritt gerät, hat zuletzt der Crowdstrike-Vorfall gezeigt.

Das Programm des IT-Sicherheitstags bietet den Teilnehmern dabei viele Möglichkeiten, sich untereinander und mit den Referenten zu vernetzen – letztere stehen in offenen Diskussionsrunden zur Beantwortung der drängendsten Fragen bereit. Veranstalter sind das Institut für Internetsicherheit und die heise academy.

Neben einer allgemeinen Einordnung zu Sicherheitswerkzeugen und Technologien, mit der Unternehmen die Komplexität managen können, beleuchtet eine Panel-Diskussion, wie man den regulatorischen Anforderungen begegnet und gegenüber sich ständig wandelnden Bedrohungen wettbewerbsfähig und resilient bleibt. Außerdem geht es darum, wie man seine empfindlichen Unternehmensdaten clientseitig verschlüsselt, damit das Lagern der Daten bei Cloudanbietern zu weniger Kopfschmerzen führt. Ein weiterer Vortrag zeigt, wie man digitale Signaturen nutzt, um seine Unternehmenskommunikation gegen Spear-Phishing-Angriffe zu wappnen.

Besonders ärgerlich ist es, wenn man selbst abgesichert ist, es aber einen Dienstleister in der eigenen Supply Chain trifft, von dem aus sich der Angriff ins eigene Netz ausbreitet. Auch im Zuge von NIS2 und dem Cyber Resilience Act (CRA) der EU müssen sich Unternehmen Gedanken über die Sicherheit ihrer IT-Lieferkette machen oder sich bewusst sein, dass sie ein wichtiges Kettenglied für andere Firmen darstellen. Die Software Bill of Materials (SBOM) hilft Unternehmen, die Anforderungen in Verträge und Prozesse zu integrieren, um rechtliche Risiken zu minimieren und die Sicherheit ihrer IT-Lieferketten zu gewährleisten.

Cyberkriminellen ist es anscheinend gelungen, auf eine oder mehrere Datenbanken des Statistischen Bundesamts (Destatis) Zugriff zu erlangen. Dabei haben sie angeblich Unternehmensdaten in einem Umfang von 3,8 GByte kopiert. Diese stehen nun im digitalen Untergrund zum Verkauf.

Anzeige

Die Destatis-Datenbank steht in einem Untergrundforum zum Verkauf.

(Bild: Screenshot / cku)

Die Daten umfassen etwa Kontaktdaten, Anschrift, Unternehmensabteilung, Umsatzsteuernummern, Bundesland, Titel, Namen, Telefon- und Fax-Nummern, E-Mail-Adresse und einige Dokumente, behaupten die Täter in ihrem Angebotstext im Untergrundforum. Ob da auch sensible respektive vertrauliche Informationen drunter sind, ist bislang unklar.

Die Gitlab-Entwickler empfehlen, die aktuellen Sicherheitspatches für Gitlab Community Edition (CE) und Enterprise Edition (EE) für selbst gehostete Instanzen zeitnah zu installieren. Geschieht das nicht, können Angreifer an mehreren Lücken ansetzen und sich unter anderem Zugriff auf eigentlich abgeschottete Bereiche des Entwicklungsservers verschaffen. Gitlab.com ist ihnen zufolge bereits abgesichert.

Anzeige

Insgesamt haben die Entwickler einer Warnmeldung zufolge in den aktuellen Versionen 17.3.7, 17.4.4 und 17.5.2 sechs Sicherheitslücken geschlossen. Bis auf eine Schwachstelle sind alle Lücken mit dem Bedrohungsgrad "mittel" eingestuft.

Sind Attacken erfolgreich, können sich Angreifer unter anderem Zugriff auf den Kubernetes Cluster Agent verschaffen (CVE-2024-9693 "hoch"). Unbefugte Zugriffe sind auch über OAuth möglich (CVE-2024-7404 "mittel"). Über weitere Lücken können noch Informationen leaken (CVE-2024-10240 "mittel). Außerdem sind DoS-Attacken vorstellbar (noch keine CVE-Nummer zugeteilt).

Bislang gibt es noch keine Berichte, dass Angreifer bereits Lücken ausnutzen. Leider geben die Entwickler Nutzern keine Orientierungspunkte, an denen bereits erfolgte Attacken erkennbar sind.

Die aktualisierte Version der Open-Source-Software Jenkins dichtet mehrere Sicherheitslücken ab. Diese stufen die Entwickler zum Großteil als hochriskant ein.

Anzeige

Jenkins ist ein webbasiertes Software-Entwicklungs-Tool mit zahlreichen Plug-ins, das wiederkehrende Aufgaben wie den Build-Prozess von Software automatisiert und dabei das Zusammenfassen von Funktionen mit APIs und Bibliotheken erlaubt.

In einer Sicherheitsmitteilung schreiben die Jenkins-Entwickler, dass Sicherheitslücken in insgesamt sieben Plug-ins entdeckt wurden. Davon ordnen sie sechs als hohes und eines als mittleres Risiko ein.

Die Sicherheitslücken finden sich in folgenden Plug-ins von Jenkins:

ShrinkLocker hat es auf Windows-PCs abgesehen, verschlüsselt Festplatten und erpresst Lösegeld. Nun haben Sicherheitsforscher von Bitdefender Schwachstellen in der Vorgehensweise der Ransomware entdeckt und für Opfer ein kostenloses Entschlüsselungstool veröffentlicht.

Anzeige

Wie aus einer Analyse der Sicherheitsforscher hervorgeht, nutzt der PC-Schädling keinen Verschlüsselungsalgorithmus, sondern Microsofts legitimes Windows-Sicherheitsfeature Bitlocker, das Festplatten verschlüsselt. In diesem Fall kennen aber nur die Täter den zufällig generierten Schlüssel, den sie Opfern gegen eine Lösegeldzahlung anbieten.

Um das zu bewerkstelligen, nutzt ShrinkLocker den Forschern zufolge ein Visual Basic Script, dessen Code aber ziemlich veraltet und fehlerhaft sein soll. Darüber sollen die Angreifer Bitlocker-Konfigurationen modifizieren und dann Systemfestplatten verschlüsseln. Im Anschluss werden Opfer von einem Bitlocker-Bildschirm begrüßt, der zur Eingabe des Passworts zum Entschlüsseln hinweist. Über eine eingeblendete E-Mail-Adresse können Opfer die Angreifer für die Lösegeldzahlung kontaktieren. ShrinkLocker nutzt Group Policy Objects (GPOs) und geplante Aufgaben, um weitere Systeme im Netzwerk zu verschlüsseln. So können Angreifer ganze Domänen in Mitleidenschaft ziehen.

Bei der Analyse der Malware stießen die Forscher eigenen Angaben zufolge auf mehrere Fehler im Code. Ihr Tool setzt zur Datenwiederherstellung in einem bestimmten Zeitfenster im Bitlocker-Recovery-Modus an. Wie das im Detail funktioniert, steht im Beitrag der Forscher. Das Tool steht kostenlos zum Download. So können Opfer ohne Lösegeldzahlung wieder auf ihre Daten zugreifen.

Erneut gibt ein Anbieter für Bonitätsauskünfte unfreiwillig höchst sensible Daten preis. Wie die Hackerin Lilith Wittmann mittels eines prominenten Opfers zeigte, lässt sich "it's my data" Informationen über die Zahlungsmoral prominenter Politiker entlocken, aber auch beliebiger anderer Personen. Ursache: Ein ungenügend abgesicherter API-Aufruf.

Anzeige

Auskunfteien wie die Schufa oder Infoscore geben Einschätzungen über die Kreditwürdigkeit möglicher Vertragspartner ab – nicht nur Banken und Unternehmen, sondern auch Vermieter fordern diese Informationen routinemäßig an. Das Start-up "it's my data" macht aus diesem Umstand gleich mehrere Produkte wie einen "Bonitätspass" und eine "Mietermappe" zur Vorlage beim Vermieter.

Die itsmydata-Produkte seien von Maklern empfohlen, 100 Prozent DSGVO-konform und zertifiziert für digitale Transparenz, so die Eigenwerbung des Unternehmens. Doch Hackerin Wittmann stellte mehr Transparenz her als vom Anbieter beabsichtigt. Nachdem sie ein Konto bei itsmydata angelegt hatte, konnte sie mithilfe eines ungeschützten API-Calls ihre eigenen Daten wie Name und Meldeadresse ändern und durch die einer fremden Person ersetzen. Deren Bonitätsauskunft erhielt sie dann im praktischen PDF-Format. Laut Wittmann lässt sich dieses Vorgehen mehrfach wiederholen.

Derlei Lücken sind für die Berlinerin nichts Neues: Bereits vor gut einem Jahr hatte Wittmann sich die App "Bonify", eine Schufa-Tochter, vorgenommen und ebenfalls Bonitätsdaten eines Prominenten abgerufen. Die Kreditwürdigkeit des Ex-CDU-Gesundheitsministers habe sich immerhin ein wenig verbessert, bemerkte Wittmann belustigt in den sozialen Netzwerken.

Windows-Nutzerinnen und -Nutzer, die bestimmte Tools zum Öffnen von ZIP-Dateien verwenden, stehen im Visier von Cyberkriminellen. Sie senden speziell präparierte ZIP-Dateien, die von Virenscannern nicht angemeckert werden, aber sich mit bestimmten Programmen öffnen lassen.

Anzeige

Im konkreten Fall haben die IT-Forscher von PerceptionPoint verkettete ZIP-Archive mit Schadsoftware darin entdeckt und beschreiben den Fall in einer Analyse. Ein Trojaner, der als Frachtpapier-Dateianhang getarnt war, versteckte sich in einem verketteten ZIP. Dieser Dateianhang an der E-Mail wird von vielen Anti-Malware-Programmen nicht entdeckt. Auf den Windows-Schädling in diesem manipulierten Archiv ließ sich etwa mit WinRAR jedoch zugreifen.

Die Erkennung durch Antivirensoftware lässt sich mit ZIP-Dateien umgehen, die einfach aneinander kopiert wurden: An das harmlose .zip-Archiv eins hängen die Täter einfach das zweite .zip, das den Schädling enthält. Unter Windows würde etwa der Befehl copy /b Archiv-*.zip VerkettetesArchiv.zip die Dateien zusammenführen, die etwa als Archiv-1.zip und Archiv-2.zip in dem Verzeichnis vorliegen.

Die Ursache des Problems liegt im Umgang unterschiedlicher Software mit solchen Dateien. Die IT-Sicherheitsforscher haben das verkettete ZIP mit mehreren Programmen getestet: 7zip zeigt die Inhalte der ersten Datei und eine Warnung, dass weitere Daten nach dem Ende des Archivs vorliegen. Das im Windows Explorer ZIP-Tool liefert unterschiedliche Ergebnisse. Mit der Dateiendung .zip kann es die Datei gar nicht öffnen, sofern das präparierte Archiv jedoch in .rar umbenannt wird, taucht der Inhalt des zweiten Archivs mit der Malware auf. WinRAR hingegen liest das zentrale Verzeichnis des zweiten .zip und zeigt dessen Inhalt an. Ein derartiger Angriff ist also nur auf Nutzerinnen und Nutzer mit WinRAR erfolgversprechend, oder mit geändertem Dateinamen auf Windows-Nutzer mit Windows-Bordmitteln. Die Phishing-Mail in dem analysierten Fall enthielt dieses verkettete ZIP-Archiv mit dem Dateinamen "SHIPPING_INV_PL_BL_pdf.rar". Auf die Malware war dadurch mit Windows-eigenen Tools und WinRAR zugreifbar.