Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Android Patchday: System-Komponente ermöglicht Codeschmuggel aus dem Netz

Google hat zum Oktober-Patchday in Android mehrere Sicherheitslücken ausgebessert. Den Entwicklern zufolge ist eine Lücke in der System-Komponente am schwerwiegendsten. Sie ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen, ohne dass dazu weitere Rechte angefordert oder benötigt würden.

Anzeige

In Googles Security-Bulletin zum Android-Patchday listen die Entwickler zum Patch-Level 2024-10-01 drei Schwachstellen im Framework auf. Diese wurden allesamt als hohes Risiko eingestuft und betreffen Android 12, 12L, 13 und 14 – sowie zwei davon sogar das neue Android 15, dessen Quellcode seit rund einem Monat verfügbar ist. Vier der Schwachstellen finden sich in der System-Komponente von Android; drei betreffen die Version 12, 12L, 13 und 14, eine davon zudem ebenfalls Android 15. Die vierte Schwachstelle ist ausschließlich in Android 14 zu finden.

Zudem gesellen sich Sicherheitslücken in der ART-Laufzeitumgebung von Android und in den WiFi-Komponenten, die jedoch mit Google Play-Systemupdates geschlossen werden. Der Sicherheits-Patch-Level 2024-10-05 bessert noch weitere Schwachstellen in der Software der Prozessorhersteller aus, darunter Imagination Technologies, MediaTek und Qualcomm.

Smartphone-Hersteller haben laut Google die Quellcode-Flicken bereits vor vier Wochen erhalten. Sie hatten daher schon Zeit, aktualisierte Firmwares für ihre Geräte zu entwickeln. In Kürze sollten Android-Smartphones, die noch Support erhalten, daher mit Firmware-Updates rechnen können. Die Firmware-Aktualisierungen für Googles Pixel-Smartphones stehen zum Meldungszeitpunkt noch aus. Dort ist derzeit der Stand September 2024 noch aktuell. Gleiches Bild zeigt sich zurzeit bei Samsungs S24-Flaggschiff-Generation.

Weiterlesen
  47 Aufrufe

Oktober-Patchday: Google schließt schwerwiegende Lücken in Android

Google hat das Oktober-Sicherheitsbulletin für sein Mobilbetriebssystem Android veröffentlicht. Die neuen Patches beseitigen 28 Schwachstellen, von denen ein hohes Sicherheitsrisiko ausgeht. Eine Anfälligkeit in der Komponente System erlaubt Google zufolge auch ohne eine unbefugte Rechteausweitung das Einschleusen und Ausführen von Schadcode aus der Ferne.

Gestopft wird dieses Loch mit der Sicherheitspatch-Ebene 1. Oktober. Davon betroffen sind Android 12, 12L, 13 und 14. Weitere Schwachstellen, unter anderem im Android Framework, stecken auch in Android 15.

Mit der Sicherheitspatch-Ebene 5. Oktober beheben die Entwickler weitere sicherheitsrelevante Fehler in Komponenten von Imagination Technologies, MediaTek und Qualcomm. Sie werden unter anderem in Komponenten wie WLAN, Display und Modem korrigiert.

Darüber hinaus liefert Google auch zwei Patches für Geräte mit Android 10 und neuer über Google Play aus. Sie sind für die WiFi-Komponente und die Android Runtime (ART).

Googles Android-Partner wurde bereits vor mindestens einem Monat über die Details des Patchdays informiert. Deren Sicherheitsupdates sollten in den kommenden Woche und Monaten zum Download bereitstehen. Die Verteilung der Korrekturen erfolgt wie immer Over-the-Air.

Original Autor: Stefan Beiersmann

  55 Aufrufe

Amazon Prime Deal Days: Phishing-Mails und Scam-Seiten

Am 8. und 9. Oktober 2024 bietet Amazon zu seinen Prime Deal Days allen Prime-Mitgliedern wieder exklusive Rabatte an und Cyber-Kriminelle versuchen abermals aus der gestiegenen Kaufbereitschaft Kapital zu schlagen. Checkpoint hat über 1000 neu registrierte, auf Amazon bezogene Domains identifiziert, von denen 88 Prozent als bösartig oder verdächtig eingestuft wurden. Eine von 54 enthielt den Begriff „Amazon Prime“. Viele dieser Domains waren noch nicht aktiv, könnten aber für Phishing-Angriffe genutzt werden. Eine so geparkte Domain ist ein registrierter Domainname, der derzeit nicht für eine Website oder einen E-Mail-Hosting-Dienst verwendet wird. Stattdessen wird er für eine spätere Verwendung bereitgehalten. Folgende Beispiele für betrügerische Domains im Zusammenhang mit Amazon sind:

amazonprimemotels[.]comamazonprimeresort[.]comamazonprimeresorts[.]comDiese betrügerische Website bietet Sonderangebote an und nutzt das offizielle Amazon-Logo mit leichten Änderungen (Quelle: Check Point Software Technologies Ltd.).

Zudem hat CPR über 100 verschiedene betrügerische E-Mails beobachtet, die im Zusammenhang mit den Prime Deal Days an Organisationen und Verbraucher verschickt werden. In einer Reihe dieser E-Mails geben sich die Betrüger als Amazon Financial Services aus und fordern die Verbraucher auf, ihre Zahlungsmethoden zu aktualisieren. Betrüger kontaktieren Prime-Mitglieder sogar mit unaufgeforderten Anrufen, in denen sie auf dringende Probleme mit dem Konto hinweisen und nach Zahlungsinformationen fragen.

E-Mails besonders aufmerksam prüfen

Diese Art von Phishing-Versuchen kann jeden treffen – Mitarbeiter von Unternehmen und Organisation jeder Art, von der Beschaffungsabteilung über Verwaltungsassistenten bis hin zu Führungskräften. Langfristig können Opfer und Organisationen dadurch finanzielle Verluste, Rufschädigung der Marke, Vertrauensverlust der Kunden, Ressourcen-Engpässe und Identitätsdiebstahl erleiden. Da die Big Deal Days von Amazon Prime näher rücken, wird Verbrauchern empfohlen, besonders aufmerksam zu sein und bei E-Mails, die sich auf Prime-Mitgliedschaften und Bestellbestätigungen beziehen, besonders vorsichtig zu sein.

Einige Betrüger rufen auch unaufgefordert an, um Prime-Mitglieder darüber zu informieren, dass etwas mit ihrer Mitgliedschaft nicht stimmt und dass Bankkonto- oder andere Zahlungsinformationen erforderlich sind, um ein bestimmtes Konto wiederherzustellen. Die Entwicklung und der Einsatz von Betrugsmaschen ist für Cyber-Kriminelle durch künstliche Intelligenz außerdem einfacher als je zuvor geworden. Im Gegenzug wird es immer schwieriger, Betrugsversuche zu erkennen. Organisationen wird empfohlen, in verbesserte IT-Sicherheitsmaßnahmen, wie Anti-Phishing-Technologie, zu investieren, um Phishing-Versuche zu verhindern.

Links eine Aufforderung zur Eingabe von Zahlungsinformationen nach einer scheinbar fehlgeschlagenen Transaktion, rechts eine fingierte Benachrichtigung zum Abschluss einer Prime-Mitgliedschaft. (Quelle: Check Point Software Technologies Ltd.).

Genau hinschauen und keine persönlichen Daten weitergeben

Ein paar Tipps, wie man sich gegen Cyberkriminalität schützen kann.

Weiterlesen
  56 Aufrufe

Microsoft: Word-Fehler löscht Dokumente, statt sie zu speichern

Unter Umständen speichert Word Dokumente nicht, wenn es danach fragt, sondern löscht diese. Betroffen ist Word mit der Versionsnummer 2409 aus dem Microsoft-365-Softwarebundle.

Anzeige

In den Optionen zum Speichern in Word soll das setzen der gerahmten Option Abhilfe schaffen.

(Bild: Screenshot / dmk)

Ein Support-Artikel von Microsoft erläutert das Problem. "Nutzerinnen und Nutzer von Word Build 2409 können auf ein Problem stoßen, wodurch ihre Dateien gelöscht anstatt gespeichert werden, sofern der Name eine Dateierweiterung in Großschrift enthält (.DOCX, .RTF) oder das Zeichen '#'", erklären die Entwickler. "Das Problem tritt auf, nachdem die Datei verändert wurde und der Speichern-Dialog erscheint, wenn man versucht, Word zu schließen", schließt die Fehlerbeschreibung.

Weiterlesen
  60 Aufrufe

Identitätsmanagement: Keycloak 26 setzt auf persistierende Benutzer-Sessions

Rund vier Monate nach Keycloak 25 steht nun Version 26 bereit. Das neueste Release der quelloffenen Software für Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) entkoppelt die Veröffentlichung mancher Keycloak Client Libraries vom Releasezyklus des Keycloak-Servers, bringt Neuerungen für das Persistieren von User-Sessions und präsentiert eine Preview für Distributed Tracing mit dem Open-Source-Framework OpenTelemetry.

Anzeige

Künftig besitzen drei Keycloak-Client-Libraries einen vom Keycloak-Server unabhängigen Releasezyklus. Im aktuellen Release erscheinen die Libraries noch gemeinsam mit dem Server, doch das könnte laut dem Entwicklungsteam zum letzten Mal der Fall sein.

Die betreffenden Client-Libraries sind die Maven-Artefakte Java Admin Client (org.keycloak:keycloak-admin-client), Java Authorization Client (org.keycloak:keycloak-authz-client) und Java Policy Enforcer (org.keycloak:keycloak-policy-enforcer). Diese sind mit Java 8 kompatibel und lassen sich daher mit Clientanwendungen nutzen, die auf älteren Anwendungsservern deployt sind. In Zukunft könnten weitere Libraries hinzukommen.

Keycloak 25 brachte die Funktion persistent-user-sessions, mit der sich alle User-Sessions in der Datenbank persistieren lassen – im Gegensatz zum vorherigen Verhalten, als dies nur für Offline-Sessions galt. In Keycloak 26 ist dies nun standardmäßig aktiviert. Somit bleiben Nutzerinnen und Nutzer auch nach einem Neustart oder Upgrade aller Keycloak-Instanzen eingeloggt.

Weiterlesen
  63 Aufrufe

Nobelpreis geht an Victor Ambros und Gary Ruvkun für ihre Forschung zur microRNA

Nach der Auszeichnung von Entwicklern eines Corona-Impfstoffs im Vorjahr geht der Nobelpreis für Medizin in diesem Jahr an Victor Ambros und Gary Ruvkun für ihre Entdeckung der microRNA und ihre Rolle in der posttranskriptionalen Genregulation. Das hat die Nobelversammlung des Stockholmer Karolinska-Instituts bekanntgegeben.

Anzeige

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen. YouTube-Video immer laden

Die beiden Wissenschaftler haben ein grundlegendes Prinzip entdeckt, das bestimmt, wie die Aktivität von Genen reguliert wird. Sie erforschten seit Ende 1980 die Entwicklung des Fadenwurms C. elegans und dass seine Entwicklung vom Ei bis zum erwachsenen Wurm sich verändern lässt und wie sich verschiedene Zelltypen dabei entwickeln. Mehrere Jahre verbrachten sie damit, die Funktionen der Zellen zu erforschen.

Dabei stießen sie auf die microRNA, eine neue Klasse von RNA-Molekülen, die eine entscheidende Rolle in der Genregulation spielen. Ihre revolutionäre Entdeckung offenbarte ein völlig neues Prinzip der Genregulation, das sich als essenziell für vielzellige Organismen, einschließlich des Menschen, herausstellte. Heute weiß man, dass das menschliche Genom für über tausend microRNAs kodiert.

Ambros und Ruvkun entdeckten beim Wurm C. elegans eine neue Dimension der Genregulation, die für alle komplexen Lebensformen von wesentlicher Bedeutung ist.

Weiterlesen
  55 Aufrufe

Linux: Kritik, Gründe und Folgen der CVE-Schwemme im Kernel

Allerlei Administratoren und Entwickler klagen seit einigen Monaten lautstark: Mussten sie jahrelang nur auf meist vier bis sechs Sicherheitslücken pro Woche beim Linux-Kernel reagieren, sind es seit Februar mehr als zehnmal so viele. Prominente Kernel-Entwickler haben jüngst in Vorträgen und Diskussionsrunden zur Schwemme von CVE-Kennzeichnungen betont, die neue Situation sei etwas Gutes. Dabei deuteten sie an, darüber jammernde Distributoren würden mit ihren Klagen zu erkennen geben, die Sicherheitsproblematik zuvor nicht ernst genommen zu haben – und somit wichtige, aber nicht explizit als Security-Fix ausgewiesene Korrekturen ignoriert zu haben.

Anzeige

Einige größere Unternehmen haben das offenbar eingesehen und erwägen verschiedene Aktivitäten, um die neue Lage für sich und ihre Kunden erträglicher zu machen. Das dürfte irgendwann auch Hobby-Admins zugutekommen. Weil dazu aber enorm viel Arbeit an verschiedenen Fronten nötig ist, könnte das eine Weile dauern, wie sich bei genauerem Hinsehen zeigt.

Ursache für die veränderte Lage sind die Entwickler des Linux genannten Kernels. Jahrzehntelang hatten sie sich kein bisschen um Kennzeichnungen wie CVE (Common Vulnerabilities and Exposures) geschert; immer wieder haben sie sogar CVE-IDs verschwiegen oder gar aus Patch-Beschreibungen entfernt, um den Sicherheitsaspekt von Änderungen zu verschleiern. Aber weil Externe immer häufiger CVEs für fragwürdige Kernel-Lücken bewilligt erhielten, sahen sich die Entwickler Anfang des Jahres gezwungen, zur CNA (CVE Numbering Authority) zu werden, um die Vergabe von CVE für Linux selbst zu kontrollieren – ähnlich wie andere Open-Source-Projekte zuvor.

Die zuständigen Linux-Entwickler haben seit Februar rund 3375 CVE-Kennzeichnungen vergeben, darunter aufgrund von Vorgaben bei der Gründung auch allerlei für in den Vorjahren gestopfte Schwachstellen. Nach Einsprüchen haben die Zuständigen rund hundert dieser CVEs zurückgezogen. Viele Externe, aber auch allerlei Entwickler des offiziellen Kernels kritisieren indes, viele der anderen CVE seien auch ungerechtfertigt, weil keine echte Schwachstelle geflickt wurde.

Weiterlesen
  69 Aufrufe

Nach USA-Bann: Google wirft Kaspersky aus Play Store

Der US-Bann von Kaspersky bekommt globale Auswirkungen. Die US-Regierung hat den Verkauf der Software des Herstellers verboten. Google zieht daraus die Konsequenz und entfernt sowohl die Software als auch die Konten des Unternehmens aus Google Play.

Anzeige

Damit ist von dem Verbot in den USA nicht mehr nur der dortige Markt betroffen, sondern unter anderem auch der deutschsprachige Raum. Apps von Kaspersky lassen sich auch hier nicht mehr im Google Play Store finden und installieren.

Im Kaspersky-Forum schreibt ein Angestellter des Unternehmens, dass Downloads und Updates von Kaspersky-Software im Google Play Store "temporär nicht verfügbar seien". Das Unternehmen untersuche die Umstände des Problems und eruiere mögliche Lösungen, um Nutzerinnen und Nutzer der Software diese aus dem Play Store wieder herunterladen und aktualisieren lassen zu können. Kaspersky entschuldige sich für die Unannehmlichkeiten, die das verursacht haben könne.

Gegenüber US-Medien hat Google den Rausschmiss bestätigt: "Das US-Handelsministerium hat kürzlich Kaspersky mit einer Reihe an Restriktionen belegt. Als Ergebnis daraus haben wir Kaspersky-Apps aus Google Play entfernt". Kaspersky schlägt vor, dass Interessierte aus alternativen Quellen und App-Stores an die Kaspersky-Software und zugehörige Updates kommen könnten. Als Beispiele nennen die Russen den Samsung Galaxy Store, Huawais AppGallery oder Xiaomis GetApps.

Weiterlesen
  77 Aufrufe

US-Netzbetreiber offenbar im Visier chinesischer Cyberkrimineller

Bei einem kürzlich entdeckten Cyberangriff, der der chinesischen Regierung zugeschrieben wird, wurden möglicherweise die Netzwerke mehrerer US-amerikanischer Netzbetreiber infiltriert. Betroffen sein könnten unter anderem AT&T, Verizon und Lumen Technologies. Dies berichtet das Wall Street Journal (WSJ) unter Berufung auf interne Quellen.

Anzeige

Demnach wurde der Angriff erst in den vergangenen Wochen entdeckt. Sicherheitsexperten und die US-Regierung würden den Vorfall untersuchen. Die Kampagne scheint auf Informationsbeschaffung ausgerichtet zu sein und gilt als potenziell katastrophale Sicherheitsverletzung. Bisher haben sich AT&T, Verizon oder Lumen gegenüber dem WSJ nicht zu der Kampagne geäußert.

Über mehrere Monate oder länger könnten die Cyberkriminellen, die Salt Typhoon, GhostEmperor oder FamousSparrow genannt werden, laut WSJ Zugang zu Netzwerkinfrastrukturen gehabt haben. Zudem hatten die Angreifer Zugang zu anderen, allgemeineren Internetdaten. Nach Informationen aus einem Eintrag der Malpedia-Datenbank des Fraunhofer FKIE kam dafür ein Rootkit für Windows-Kernel namens Demodex zum Einsatz.

Die möglicherweise betroffenen Überwachungssysteme werden zur Zusammenarbeit bei Anfragen nach inländischen Informationen im Zusammenhang mit strafrechtlichen und nationalen Sicherheitsermittlungen verwendet. Unklar ist, ob auch Systeme, die ausländische Geheimdienstüberwachungen unterstützen, von dem Einbruch betroffen waren.

Weiterlesen
  69 Aufrufe

Linux-Malware "Perfectl" befällt offenbar schon seit Jahren Linux-Server

Eine jetzt entdeckte Malware hat es auf Linux-Server abgesehen: Wie die Experten der Cybersecurity-Beratung Aqua Security berichten, ist das Programm namens "Perfectl" vermutlich schon seit 2021 im Umlauf und befällt Linux-Systeme, um diese heimlich als Proxyserver und für Cryptomining zu nutzen. Das Schadprogramm kann auch als Loader für weitere unerwünschte Programme fungieren.

Anzeige

"Perfectl" hat laut dem Analysebericht vermutlich bereits Millionen von Servern attackiert. Die Zahl der Geräte, welche die Malware erfolgreich befallen konnte, geht in die Tausende, schätzen die Verfasser des Berichts, Assaf Morag und Idan Revivo. "Perfectl" sucht demzufolge nach rund 20.000 verschiedenen Arten von Fehlkonfigurationen, welche Linux-Server potenziell aufweisen können – die Chance, dass das eigene System befallen ist, bestehe im Grunde, sobald der Server mit dem Internet verbunden ist, stellen Morag und Revivo klar.

In allen bekannten Fällen habe die Malware einen Kryptominer ausgeführt. In einigen Fällen sei auch eine Proxy-Jacking-Software zu Einsatz gekommen, heißt es in dem Bericht. Während die beiden Analysten Sandbox-Tests mit der Malware durchführten, machten sie zudem eine Beobachtung: Diese installierte im Hintergrund weitere Programme, um das Geschehen heimlich mitverfolgen zu können.

Das Schadprogramm tarnt sich besonders gut und hält sich hartnäckig auf den Zielgeräten. Aqua Security konnte eine Reihe von Taktiken aufdecken. So nutzt "Perfectl" Rootkits, um seine Präsenz zu verbergen. Loggt sich ein neuer Benutzer ein, beendet die Malware sofort alle Aktivitäten, die auffällig sein könnten. Loggt sich der Nutzer wieder aus, gehen die Aktivitäten wieder weiter.

Weiterlesen
  106 Aufrufe

Exploits beobachtet: CISA warnt Nutzer von Ivanti- und Zimbra-Software

Die US-Cybersicherheitsbehörde CISA warnt vor einem kritischen Sicherheitsleck in Ivanti Endpoint Manager und einer Lücke in der Groupware Zimbra. Sie hat die Bugs mit den CVE-IDs CVE-2024-29824 und CVE-2024-45519 in ihre Liste der "Known Exploited Vulnerabilities" (KEV) aufgenommen. Während der Ivanti-Fehler bereits im Mai publik wurde, weiß die Öffentlichkeit erst seit wenigen Tagen von der Codeschmuggel-Lücke in Zimbra.

Anzeige

Bereits im Mai machte Ivanti den nun aktiv ausgenutzten Fehler in einem Security Advisory öffentlich, zusammen mit nicht weniger als neun weiteren SQL-Injection-Bugs in allen Versionen bis einschließlich 2022 SU5 des Endpoint Managers. Der Hersteller hatte den kritischen Fehler zwar zunächst mit einem Hotfix vorübergehend behoben, der sorgte jedoch für Ungemach an anderer Stelle. Jetzt wird es für Administratoren mit diesen veralteten Versionen des Ivanti Endpoint Managers höchste Zeit, auf eine neuere Version zu wechseln, zumal seit Monaten Exploit-Skripte auf GitHub existieren.

Wesentlich neueren Datums ist hingegen die kritische Lücke in Zimbra – erste Exploitversuche datieren auf den 28. September. Ob die US-Behörde CISA nun weitere Informationen über Angriffskampagnen gegen Zimbra-Installationen erhalten hat, ist unklar. Administratoren sollten schleunigst ihre Zimbra-Server aktualisieren oder den postjournal-Dienst deaktivieren.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dr. Christopher Kunz)

  104 Aufrufe

heise-Angebot: iX-Workshop: Aufgaben eines Informationssicherheitsbeauftragten

In einer Zeit, in der Informationssicherheit immer wichtiger wird, sind kompetente Informationssicherheitsbeauftragte (ISB) gefragter denn je. Sie spielen eine Schlüsselrolle, wenn es darum geht, Sicherheitsrisiken zu minimieren und den Schutz sensibler Daten zu gewährleisten. Mitarbeiter werden zu Informationssicherheitsbeauftragten (ISB) ernannt. Hierbei sollte für Leitung wie auch zukünftige Beauftragte klar sein, welche Erwartungen, Verantwortlichkeiten und Befugnisse mit der Rolle verbunden sind und welche Kompetenzen hierfür erforderlich sind.

Anzeige

Der Einstiegsworkshop Startklar: Ihre Rolle als Informationssicherheitsbeauftragte bietet einen umfassenden Überblick über die Aufgaben und Verantwortlichkeiten von ISBs, wie auch die Anforderungen, die an diese gestellt werden. Die Schulung erläutert zudem den Stellenwert des ISB im Unternehmen, sowie die notwendigen Rahmenbedingungen, die von der Organisationsleitung geschaffen werden müssen, damit ein ISB seine Rolle effektiv steuern und angehen kann.

Zu Beginn des Workshops werden Grundlagen zur Informationssicherheit und zum Informationssicherheitsmanagement vorgestellt. Wir stellen dar, weshalb die Tätigkeiten von ISBs in ein Managementsystem integriert sein sollten und wie diese arbeiten. Prototypisch orientieren wir uns an einem ISMS nach ISO 27001 als international führenden Standard.

Im weiteren Verlauf stellen wir Aufgaben und Verantwortlichkeiten sowie die Stellung innerhalb einer Organisation vor. Wir betrachten, welche Kenntnisse in Bezug auf Informationssicherheit, IT und soziale Fähigkeiten von Vorteil sind. Zudem werden die Schnittstellen des ISB zu internen und externen Akteuren, Teamarbeit, notwendige fachliche Kenntnisse und Soft-Skills besprochen. Der Workshop schließt mit einer Übersicht über relevante Schulungen und unterstützende Tools.

Weiterlesen
  86 Aufrufe

Sicherheitsupdates: Cisco patcht Lücken in Produkten quer durch die Bank

Mit einem guten Dutzend Sicherheitshinweisen behebt Cisco einige Lücken in VPN-Routern, Security-Appliances der Meraki-Baureihe, Blade-Centern und der Cloud-Netzwerkverwaltung "Nexus Dashboard". Für die Sicherheitslücken gibt es Softwareflicken, aber keine Workarounds – Admins sollten also ihren Gerätepark auf den neuesten Stand bringen.

Anzeige

Die gefährlichste Lücke betrifft den Nexus Dashboard Fabric Controller (NDFC), eine Software zur Verwaltung von Netzwerkgeräten. Der Bug erlaubt einem Angreifer mit gültigem Benutzerkonto, beliebigen Code auf einem durch eine angreifbare NDFC-Instanz verwalteten Gerät auszuführen. Die Kommandos lassen sich sowohl über die Weboberfläche als auch über das RESTful API einschleusen – nur die Tatsache, dass ein Nutzerkonto notwendig ist, bewahrt CVE-2024-20432 vor der CVSS-Höchstwertung. Mit einem Wert von 9,9 Punkten ist die Sicherheitslücke dennoch kritisch.

Auch über das Secure Copy Protocol (SCP) kann ein Missetäter eigenen Code am NDFC vorbei auf Netzwerkgeräten einschleusen. Dazu lädt er diesen einfach per SCP hoch und macht sich eine mangelhafte Pfadprüfung zunutze – die schädlichen Kommandos werden mit den Rechten des Nutzers "root" ausgeführt und bescheren der Sicherheitslücke mit CVE-ID CVE-2024-20449 ein hohes Risiko und CVSS 8,8 von 10.

Mehrere weitere Lücken im Nexus-Dashboard (CVE-2024-20385, CVE-2024-20438, CVE-2024-20441, CVE-2024-20442, CVE-2024-20490, CVE-2024-20491, CVE-2024-20444 und CVE-2024-20448) bringen ein mittleres Risiko mit sich und rangieren von TLS-Zertifikatsproblemen über Autorisierungsmängel bis zu Informationslecks.

Weiterlesen
  99 Aufrufe

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

Die Kampagnen verbreiten im großen Stil Fehlinformationen und sind immer raffinierter aufgesetzt. Große Sprach- und Bildmodelle bieten Cyberkriminellen, die auf politische Einflussnahme abzielen, effektive Werkzeuge für die Erstellung anspruchsvoller, individualisierter Inhalte in großem Maßstab. Diese Projekte waren bislang schwierig zu realisieren und sehr arbeitsintensiv, die neuen Technologien sorgen aber dafür, dass das von böswilligen Akteuren ausgehende Risiko neue Dimensionen erreicht.

In letzter Zeit tauchen immer häufiger Fälle auf, in denen Kriminelle KI missbrauchen, wie zum Beispiel die Verwendung generativer Texte beim Versenden von Nachrichten an Betrugsopfer, die Nutzung generativer Bilder zur Erstellung irreführender Social-Media-Beiträge oder der Einsatz von „Deepfake“-Videos und -Stimmen für Social Engineering. Dieselben Instrumente kommen zunehmend im Rahmen politischer Fehlinformations- und Täuschungskampagnen zum Einsatz.

Generative KI schreibt maßgeschneiderte Fehlinformationen

Cybersecurity-Experten von Sophos X-Ops wollten es daher genau wissen und haben in einer Machbarkeitsstudie dokumentiert, welche zunehmend wichtige Rolle generative KI-Technologien spielen, wenn es darum geht, mit Desinformationen wirkungsvolle Veränderungen im politischen Bereich herbeizuführen.

„In unserer Analyse untersuchen wir eine der größten neuen Bedrohungen durch den böswilligen Einsatz generativer KI: maßgeschneiderte Fehlinformationen“, sagt Ben Gelman, Senior Data Scientist bei Sophos. „Während ein Großteil der Empfänger einer unpersönlichen Massen-E-Mail mit Fehlinformationen, die mit dem Inhalt nicht einverstanden sind, aus einer Kampagne aussteigen, werden im Micro Targeting Desinformationen nur an solche Personen versandt, die höchstwahrscheinlich damit einverstanden sind. Dadurch entsteht eine erschreckende, neue Effizienz solcher Kampagnen.“

Test: Automatisch gestartete E-Commerce-Betrugskampagne

Der aktuelle Report basiert auf bereits von Sophos X-Ops durchgeführten Untersuchungen, bei denen ein speziell für diese Zweck entwickeltes Tool zum Einsatz kam. Dieses startet automatisch eine E-Commerce-Betrugskampagne auf der Grundlage KI-generierter Texte, Bilder und Audiodateien, in deren Rahmen in hoher Anzahl überzeugende, betrügerische Webshops erstellt werden können. Nach einer Neukonfiguration konnten mit dem Tool Websites für politische Kampagnen mit beliebigen Merkmalen erstellt werden. Durch die Kombination gefälschter Social-Media-Profile mit mehreren Kampagnen-Webseiten waren die Forscher in der Lage, überzeugende, personalisierte E-Mails zu erstellen, die individuelle Argumente verwenden, um Menschen bestmöglich davon zu überzeugen, an eine Kampagne zu glauben – auch wenn die Menschen diesen Ideen im Allgemeinen nicht zustimmen.

Weiterlesen
  95 Aufrufe

Star Blizzard: Microsoft und US-Justiz gelingt Schlag gegen Cyberkriminelle

Microsoft und der US-Justiz ist ein Schlag gegen eine Gruppe russischer Cyberkrimineller gelungen, die Journalisten und Nicht-Regierungs-Organisationen ins Visier nahm. In einer gemeinsamen Aktion mit dem US-Justizministerium wurden mehr als 100 Websites der Gruppe, die Microsoft unter dem Namen "Star Blizzard" führt, aus dem Verkehr gezogen. Die mindestens seit 2017 aktiven Hacker wurden bereits unter anderem von Großbritannien dem russischen Geheimdienst zugerechnet.

Anzeige

Infrastruktur in dieser Größenordnung neu aufzubauen, werde die Kriminellen Zeit und Geld kosten, betonte Microsoft in einem Blogeintrag. "Star Blizzard" griff demnach in den vergangenen Jahren speziell frühere Geheimdienst-Mitarbeiter, Russland-Experten und russische Staatsbürger in den USA an.

Die Gruppe setzt dafür personalisierte Phishing-Mails ein, die die Zielpersonen dazu verleiten sollen, Login-Daten preiszugeben. Die Cyberkriminellen hätten sich in der Vergangenheit schnell umgruppiert, wenn Teile ihrer Infrastruktur aufgeflogen seien.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von dpa)

  91 Aufrufe

Thailändische Regierung von neuem APT "CeranaKeeper" angegriffen

Die Sicherheitsforscher von Eset haben eine nach ihren Angaben neue Gruppe eines "Advanced Persistent Threat"-Akteurs (APT) entdeckt. Als solche werden kriminelle Organisationen bezeichnet, die für ein Ziel maßgeschneiderte Angriffe über einen längeren Zeitraum durchführen. Oft werden solche APTs staatlichen Institutionen wie Geheimdiensten zugeordnet.

Anzeige

Die von den Entdeckern "CeranaKeeper" getaufte Gruppe soll seit Mitte 2023 große Mengen sensibler Daten von einer namentlich nicht genannten Regierungsbehörde in Thailand erbeutet haben. Dabei nutzten sie unter anderem Tools der APT-Gruppe Mustang Panda, die in Verbindung mit China stehen soll. Daher ordnet Eset auch CeranaKeeper chinesischen Akteuren zu. Die neuen Angreifer entwickelten aber zusätzliche Programme, vor allem, um die Daten möglichst unbemerkt aus dem System ihres Ziels zu schleusen.

Sie verwendeten der ausführlichen Beschreibung der Sicherheitsforscher zufolge unter anderem Dropbox und OneDrive zum Speichern der erbeuteten Daten. Eset nimmt an, dass diese häufig genutzten Dienste herangezogen wurden, weil Datenverkehr damit dann weniger auffällt. Damit die Administratoren des Ziels nicht gleich auf das Ausschleusen aufmerksam wurden, waren die Informationen verschlüsselt. Ein weiterer Dienst, der für den Angriff missbraucht wurde, ist Github.

Dort diente ein privates Repository als Command & Control-Server für die Attacken. Mit immer wieder neu geschlossenen Pull-Requests verschleierte CeranaKeeper seine Aktivitäten. Dafür geschriebene Tools tauchten auf Github noch im Februar 2024 auf, die Angriffe dauerten also mindestens über ein halbes Jahr an. Eines der neuen, nicht von Mustang Panda genutzten Tools, heißt "BingoShell".

Weiterlesen
  97 Aufrufe

"Alptraum": Daten aller niederländischen Polizisten geklaut – von Drittstaat?

Die Kontaktdaten aller rund 65.000 Mitarbeiter der niederländischen Polizei sind nach offiziellen Angaben wohl in die Hände eines ausländischen Staates geraten. Ermittlungen der Geheim- und Sicherheitsdienste hielten es für "sehr wahrscheinlich", dass ein fremder Staat für den Cyberangriff in der vorigen Woche verantwortlich sei, teilte Justizminister David van Weel dem Parlament in Den Haag mit.

Anzeige

Wie vergangene Woche bekanntgeworden war, waren Hacker in einen Polizeicomputer eingedrungen und hatten so die Kontaktdaten aller Polizeimitarbeiter erbeutet. Es seien E-Mail-Adressen, Namen und Positionen der "gesamten Organisation" abgeschöpft worden, hatte der Minister für Justiz und Sicherheit, David van Weel, dem Parlament in Den Haag der Nachrichtenagentur ANP zufolge mitgeteilt.

Unter den Betroffenen sind auch verdeckt tätige Mitarbeiter. "Es gibt bestimmte Gruppen, denen wir jetzt besondere Aufmerksamkeit widmen, darunter auch verdeckt arbeitende Personen", hatte der Minister demnach erklärt. Einzelheiten dazu wollte Van Weel laut ANP "aus Sicherheitsgründen" nicht nennen. Es seien aber keine Daten zu polizeilichen Ermittlungsvorgängen abgeflossen.

Nach Angaben von Polizeipräsidentin Janny Knol war ein Polizeikonto gehackt worden. Die genaue Zahl der Betroffenen wurde in dem Zusammenhang nicht genannt. Laut dem Jahresbericht des Ministeriums gab es Ende 2022 in den Niederlanden rund 64.000 Vollzeitstellen für Polizisten und andere Beschäftigte im Polizeibereich.

Weiterlesen
  93 Aufrufe

Verbraucherzentrale warnt vor online-wohngeld.de

Der Verbraucherzentrale Bundesverband (vzbv) warnt aktuell vor dem Angebot online-wohngeld.de. Das erweckt demnach den Eindruck, dass Interessierte dort Wohngeld beantragen könnten. Dem ist nicht so, zudem kostet das auch noch Geld, erklärt der vzbv.

Anzeige

Auf der Webseite der Verbraucherzentrale NRW erörtert der vzbv, dass die Webseite mit "Wohngeld jetzt online beantragen" Verbraucherinnen und Verbraucher glauben lässt, dass sie dort Wohngeld beantragen können. Es werde aber nicht deutlich, dass im Anschluss eine Rechnung in derzeitiger Höhe von 29,99 Euro zu begleichen sei und der Antrag gar nicht an eine zuständige Behörde weitergeleitet werde. Am Ende ist das Geld futsch, und Bedürftige haben gar keinen Antrag auf Wohngeld gestellt.

"Die angeblichen Anträge werden vom Betreiber der Website, der SSS-Software Special Service GmbH, an das Bauministerium (BMWSB) weitergeleitet. Nach Angaben des BMWSB sind dort bereits tausende Anträge per Post eingegangen. Allerdings ist das Ministerium nicht zuständig und wird diese Anträge nicht bearbeiten", erklären die Verbraucherschützer. Der Bundesverband der Verbraucherzentralen warnt konkret, weil kein Antrag bei der zuständigen Wohngeldbehörde gestellt wird. Die Webseitenbetreiber behaupten, es würden "formlose fristwahrende Erstanträge" erstellt. Diese Einschätzung teilt der vzbv nicht, die Webseite helfe nicht bei der Wahrung von Fristen.

Außerdem lasse sich bei normaler Bildschirmauflösung der Preis nicht wahrnehmen, sondern potenzielle Interessenten würden eher oben auf der Seite direkt auf "Jetzt beantragen" klicken. Daraufhin scrollt die Seite zum Eingabeformular hinunter. Der Preis wird in der Nähe der Schaltfläche "kostenpflichtig bestellen" nicht genannt. Eine klare Kommunikation, was die Webseite für Nutzerinnen und Nutzer leiste, finde nicht statt.

Weiterlesen
  94 Aufrufe

heise-Angebot: iX-Praxis-Workshop: Leitfaden für Cloud-Native-Architekturen und Kubernetes

Heutzutage ist es einfach, bestehende Services in einer Cloud zu nutzen. Diese Cloud-Umgebung sicher, vollautomatisiert, stabil und wartungsarm aufzubauen, erfordert jedoch viel Wissen und Erfahrung. Denn bereits die ersten Technologie- und Architekturentscheidungen entscheiden über Erfolg oder Misserfolg des Projekts. Erschwerend kommt hinzu, dass es sehr viele Cloud-Anbieter mit einer Vielzahl von Service-Angeboten gibt.

Anzeige

In dem Hands-On Powerkurs – Aufbau einer Cloud-native-Umgebung lernen Sie, wie Sie eine IT-Infrastruktur und Anwendungsarchitektur entwerfen und umsetzen, die speziell für den Einsatz in der Cloud optimiert ist. Dies umfasst die Gestaltung und Bereitstellung von Anwendungen, die Cloud-Technologien wie Microservices, Container, Continuous Delivery und skalierbare Infrastrukturen nutzen. Dazu erstellen Sie unter Anleitung von Victor Getz eine komplette, produktiv nutzbare und dynamisch konfigurierbare Cloud-Umgebung auf Basis eines hochverfügbaren Kubernetes-Clusters und automatischer Skalierung.

Dieser Workshop richtet sich an Personen, die in den Bereichen DevOps und CloudOps arbeiten und ist sowohl für Anfänger als auch für Anwender geeignet und behandelt Best Practices für CloudOps einschließlich Terraform, Kubernetes und GitOps.

Victor Getz ist der CTO von iits-consulting und seit über 10 Jahre in der Softwareentwicklung tätig. Als Cloud-Architekt erstellte er bereits eine Vielzahl von Cloud-Architekturen und begleitete deren Migrationen.

Weiterlesen
  93 Aufrufe

Malware-Kampagne gefährdet Smartphones und Bankkonten

Laut Zimperium kombiniert die Malware-Kampagne die Funktionen zweier Schadprogramme. Aktuell werden sowohl Gigabud- als auch Spynote-Samples über Domänen mit ähnlichen Strukturen und Subdomains verbreitet. Ziel der weltweit koordinierten Phishing-Website-Kampagne ist die Installation bösartiger Mobil-Apps für verschiedene Finanzinstitute.

Volle Kontrolle über infizierte Mobilgeräte

Der Banking-Trojaner Gigabud verleitet Benutzer dazu, sensible Berechtigungen freizugeben, was zu betrügerischen Transaktionen führt, während die Android-Malware Spynote es Angreifern ermöglicht, die volle Kontrolle über infizierte Mobilgeräte zu übernehmen. Angreifer verschaffen sich so Fernsteuerungsmöglichkeiten, um infizierte Geräte ausspähen, sensible Nutzerdaten mitlesen und Passwörter stehlen zu können. Das koordinierte Zusammenwirken von Gigabud und Spynote erhöht die Bedrohungslage nicht nur für Endverbraucher, sondern auch für Geschäftsanwender, die mit einem kompromittierten Gerät arbeiten.

Die Analysen von Zimperium zeigen viele Überschneidungen zwischen beiden Malware-Familien auf. So werden Gigabud und Spynote über die gleichen Domains verbreitet, was eine koordinierte Vorgehensweise der gleichen Hinterleute nahelegt. Die Bedrohungsakteure nutzen Spynote, um Geräte fernzusteuern, Daten zu stehlen oder den Standort nachzuverfolgen. Mit Gigabud wiederum lassen sich die Anmeldedaten von Banking-Apps rauben.

Getarnte Phishing-Websites

Betroffen von der weltweiten Kampagne sind unterschiedliche Finanzinstitute, wobei die eingesetzten Phishing-Websites als Webplattformen großer Fluggesellschaften, E-Commerce-Plattformen und Regierungsstellen getarnt werden. Zimperium identifizierte elf Command-and-Control-Server und 79 Phishing-Websites, die vertrauenswürdige Anbieter kopierten. Die Domänen verleiten Benutzer dazu, bösartige Mobil-Apps herunterzuladen oder umfangreiche Berechtigungen zu erteilen, mit denen Angreifer vollen Zugriff auf mobile Endgeräte erhalten.

Mittlerweile verlagern die Bedrohungsakteure ihren Fokus immer stärker von gefälschten Behördenseiten auf vermeintlich legitime Angebote großer Finanzinstitute. Zimperiums zLabs-Forscher entdeckten über 50 mobile Banking-Apps von mehr als 40 Banken und weitere zehn Kryptowährungsplattformen, die im Rahmen der Kampagne zum Einsatz kommen.

Weiterlesen
  85 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image