Comretix Blog

In einem Maßnahmenpaket zur Bekämpfung der Cyberkriminalität versteckt das russische Ministerium für digitale Entwicklung eine Legalisierung bestimmter dDoS-Angriffe. Das Gesetzesvorhaben ist derzeit in Abstimmung mit Behörden und Industrievertretern und enthält mehrere Dutzend neue Maßnahmen.

Verteilte Denial-of-Service-Angriffe (dDoS) sind seit Jahrzehnten eines der größten Probleme für Internetanbieter und Seitenbetreiber. Bei den mittlerweile auf Terabits an Daten angeschwollenen Attacken setzen Cyberkriminelle oder Aktivisten durch Paketfluten Webserver, Apps oder andere Dienste außer Gefecht. Kriminelle nutzen dDoS zur Erpressung, russische Gruppierungen wie Noname057(16) aber auch zum Ausdruck ihrer Unterstützung des Angriffskriegs gegen die Ukraine.

Künftig könnten sie das womöglich mit dem Segen des russischen Justizapparats tun, wenn sie ihre Ziele entsprechend aussuchen. In dem Paket "Betrugsbekämpfung 2.0" (russ.: "Антифрод 2.0") soll dDoS mit empfindlichen Strafandrohungen von bis zu zwei Millionen Rubel Geld-, 8 Jahren Freiheitsstrafe und zwischen einem und drei Jahren Berufsverbot versehen werden. Dazu soll ins russische Strafgesetzbuch der Artikel 272.2 aufgenommen werden, berichtet die russische Tageszeitung Kommersant.

Doch der Entwurf sieht eine Ausnahme vor, wenn Angreifer sich Ziele ausgesucht haben, "deren Zugriff gesetzlich verboten oder eingeschränkt ist". Werden sie bei einem dDoS gegen derlei Ressourcen erwischt, gehen sie straffrei aus. Die Liste dieser eingeschränkten Ressourcen ist in Russland lang. Sie umfasst große soziale Netzwerke wie Instagram, X, Discord und Youtube, fast alle ukrainischen Medienseiten, aber auch Amnesty International und sogar eine Webseite für Schachfreunde.

Somit könnten russische Netzvandalen ungehindert gegen Unternehmen und Dienste vorgehen, solange diese nur auf der Sperrliste von Roskomnadzor, der russischen Aufsichtsbehörde verzeichnet sind. Diese können Interessierte online abfragen, sie war am frühen Freitagnachmittag von mehreren Testpunkten in Deutschland jedoch nicht aufrufbar. Womöglich wegen einer Netzsperre oder gar wegen eines dDoS-Angriffs? Dieser dürfte dann auch nach neuer russischer Rechtsauffassung strafbar sein.

In dieser Woche wurden drei Datenlecks nach IT-Vorfällen bei renommierten Handelsketten bekannt. Kriminelle konnten sensible Daten bei Cartier, Northface und Victoria's Secret kopieren.

Wie der Nachrichtendienst Reuters mitteilte, hat der Luxus-Juwelier Cartier Anfang der Woche in einer E-Mail Kunden darüber informiert, dass es einen Einbruch in die Webseite des Unternehmens gab und einige Kundendaten dabei entwendet wurden. Demnach haben sich "Unbefugte vorübergehend Zugang zu unserem System verschafft". Dabei seien Zugriffe auf "eingeschränkte Kundeninformationen" erfolgt, etwa Namen, E-Mail-Adressen und Länder. "Die betroffenen Informationen enthielten keine Passwörter, Kreditkartendaten oder andere Bankinformationen", man habe den Vorfall seitdem behoben.

Der Bekleidungshersteller The Northface hat ebenfalls Mails an Kunden versendet, die über einen Datenschutz-Vorfall vom 23. April des Jahres informieren. Darin heißt es, dass an dem Tag ungewöhnliche Aktivitäten auf der Webseite aufgefallen seien. Eine Credential-Stuffing-Attacke, bei der Angreifer Zugangsdaten und Passwörter aus vorherigen Datendiebstählen ausprobieren, sei in kleinem Umfang erfolgt. Solche Angriffe versprechen insbesondere dann Erfolg, wenn User Passwörter für andere Dienste wiederverwenden.

Northface informiert die Kunden mit der Nachricht, dass den eigenen Recherchen zufolge die Angreifer zuvor Zugriff auf E-Mail-Adresse und Passwörter der Nutzer erlangt und diese Informationen auf der Northface-Webseite wiederverwendet haben, um auf das Nutzerkonto zuzugreifen. Sofern der Zugriff gelang, können die Angreifer auf Daten wie gekaufte Produkte, Lieferadresse, E-Mail-Adressen, Vor- und Nachname, Geburtsdatum und Telefonnummer zugreifen, sofern Kunden diese angegeben haben. Nicht zugreifbar seien hingegen Zahlungsinformationen wie Kredit- oder Debit-Karten.

Bei dem Luxus-Wäscheanbieter Victoria's Secret hingegen verzögert sich die Bekanntgabe der Unternehmensergebnisse aufgrund eines IT-Sicherheitsvorfalls. Am 24. Mai sei dort ein Sicherheitsvorfall in den IT-Systemen aufgefallen. Als Vorsichtsmaßnahme seien die Unternehmenssysteme und die E-Commerce-Webseite am 26. Mai heruntergefahren worden. Am 29. Mai habe das Unternehmen die Webseite wiederhergestellt. Arbeiten seien noch im Gange, vollen Zugriff auf die Unternehmenssysteme wiederzuerlangen. Es waren auch einige Funktionen in den Victoria's-Secret- und Pink-Geschäften betroffen, die jedoch größtenteils ebenfalls wiederhergestellt seien. Materielle Einbußen habe der Vorfall bislang nicht verursacht.

Bei mindestens einem US-Provider sind mutmaßlich zur chinesischen Regierung gehörende Angreifer schon ein Jahr früher in die Systeme eingebrochen als im Rahmen des umfangreichen Angriffs auf Netzbetreiber, der im Herbst bekannt wurde. Das berichtet Bloomberg unter Berufung auf anonyme Quellen und ein Dokument, das bereits vor Monaten an Geheimdienste verschickt wurde. Demnach wurde bei der Analyse des massiven Cyberangriffs auf mehrere Provider bei einem davon die Malware entdeckt, die dort seit 2023 installiert war. Ob dieser Angriff mit der späteren Attacke zusammenhängt, sei zwar nicht klar, aber die entdeckte Malware werde mit jener Gruppe in Verbindung gebracht, die dafür verantwortlich sein soll.

Wie Bloomberg in Erinnerung ruft, ist im Lauf der Untersuchung des großen Cyberangriffs immer wieder darauf hingewiesen worden, dass der über ein Rootkit für Windows-Kernel namens Demodex erfolgt war. Das wird der Gruppe namens "Salt Typhoon", "GhostEmperor" beziehungsweise "FamousSparrow" zugeschrieben, die der chinesischen Regierung nahestehen soll. Bei einem der Provider sei dann entdeckt worden, dass dieses Rootkit deutlich früher installiert wurde, nämlich bereits 2023. Ob das aber mit dem Großangriff in Zusammenhang steht, sei trotzdem nicht klar. Auch welcher Provider betroffen war, hat Bloomberg nicht erfahren. Was die Verantwortlichen genau in den Systemen wollten, sei ebenfalls nicht geklärt.

Dass es Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren, ist Anfang Oktober bekannt geworden. Der Gruppe ging es dabei offenbar um Informationsbeschaffung. Es handle sich um den "größten Telekommunikationshack in der US-Geschichte – und zwar mit Abstand", hat der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses schon im November gesagt. Eine dazu laufende Untersuchung wurde von der neuen US-Regierung unter Donald Trump im Januar abrupt gestoppt, als alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen wurden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

In der umfangreichen Virenschutz- und Backup-Software Acronis Cyber Protect hat der Hersteller mehrere, teils höchst kritische Sicherheitslücken entdeckt. Diese stopfen die Entwickler mit aktualisierter Software.

Angreifer können durch die Schwachstellen vertrauliche Daten abgreifen und manipulieren oder ihre Rechte im System ausweiten. Drei Schwachstellen stellen den schlimmstmöglichen Fall dar und erreichen die Höchstwertung CVSS 10 von 10 möglichen "Punkten". Details nennt Acronis keine, lediglich eine knappe Beschreibung. Einmal können Angreifer sensible Daten auslesen und verändern aufgrund unzureichender Authentifizierung (CVE-2025-30411 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Denselben Effekt hat eine fehlende Autorisierung (CVE-2025-30416 / noch kein EUVD, CVSS 10.0, Risiko "kritisch") sowie eine weitere unzureichende Authentifizierung (CVE-2025-30412 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Die Schwachstellen betreffen Acronis Cyber Protect 16 für Linux und Windows vor der Build-Nummer 39938.

Aufgrund einer weiteren fehlenden Authentifizierung gelingen unbefugte Zugriffe und potenzielle Manipulationen von sensiblen Daten neben der älteren vorgenannten Acronis-Cyber-Protect-16-Builds auch unter Linux und zudem im Acronis Cyber Protect Cloud Agent für Linux, macOS und Windows vor Build 39870 (CVE-2025-30410 / kein EUVD, CVSS 9.8, Risiko "kritisch"). In Acronis Cyber Protect 16 für Windows vor dem Build 39938 klafft zudem eine Sicherheitslücke, die Angreifern aufgrund von unsicheren Ordner-Berechtigungen ermöglicht, ihre Rechte im System auszuweiten (CVE-2025-48961 / EUVD-2025-16875, CVSS 7.3, Risiko "hoch").

Acronis Cyber Protect 16 für Linux, macOS und Windows nutzt vor Build 39938 außerdem einen schwachen Server Key für die TLS-Verschlüsselung (CVE-2025-48960 / EUVD-2025-16874, CVSS 5.9, Risiko "mittel"). Außer unter macOS können Angreifer darin zudem eine Server-Side-Request-Forgery (SSRF) zum Ausspähen sensibler Informationen missbrauchen (CVE-2025-48962 / EUVD-2025-16876, CVSS 4.3, Risiko "mittel").

Updates stehen seit etwa einem Monat in Form von Acronis Cyber Protect 16 Update 4 für Linux, macOS und Windows sowie Acronis Cyber Protect Cloud Agent Update C25.03 Hotfix 2 bereit. Wer Acronis einsetzt, sollte die Aktualisierungen zügig installieren, um die Angriffsfläche zu minimieren.

Eine kriminelle Gruppe, die Googles Threat Intelligence Group (GTIG) UNC6040 nennt – was nichts mit der SMD-Bauform mit 6 mal 4 mm Größe zu tun hat – und deren Aktivitäten die IT-Forscher beobachten, greift Salesforce-Nutzerinnen und -Nutzer an, um Daten zu stehlen und die betroffenen Unternehmen damit zu erpressen. Google beschreibt die Gruppierung dabei als opportunistisch und finanziell motiviert, mit Spezialisierung auf Vishing (Voice Phishing).

In der Analyse des GTIG schreiben die Autoren, dass UNC6040 Kampagnen speziell darauf auslegt, die Salesforce-Instanzen von Organisationen zu kompromittieren, um im großen Stil Daten abzugreifen und im Anschluss die Organisation zu erpressen. In den vergangenen Monaten sei die Gruppe mehrfach damit erfolgreich gewesen. Die Mitglieder gaben sich dabei bei Telefonanrufen als IT-Support-Personal aus und überzeugten Mitarbeiter mittels Social Engineering, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen – in allen beobachteten Fällen haben die Angreifer die Endnutzer manipuliert und keine etwaige Sicherheitslücke in Salesforce missbraucht. Im Visier stehen meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.

Die Angreifer verleiten die Opfer dazu, eine bösartige Connected-App für das Salesforce-Portal ihres Unternehmens zu autorisieren. Bei einem Vishing-Anruf leiten die Täter die Opfer zu der Salesforce Connected-App-Setup-Seite, um eine Version der Data-Loader-App mit vom Original abweichenden Namen oder Branding zu legitimieren. Bei dieser Anwendung handelt es sich häufig um eine modifizierte Variante des Data Loader von Salesforce, die nicht von Salesforce autorisiert wurde. Das gibt der UNC6040-Gruppe schließlich umfassende Möglichkeiten, sensible Informationen direkt aus der kompromittierten Salesforce-Umgebung des Opfers zuzugreifen, abzufragen und auszuleiten.

Die Angreifer zeigen sich oftmals von ihrer geduldigen Seite. Teils vergingen Monate nach der Kompromittierung, bis der unbefugte Datenabzug erfolgte. Google schließt daraus, dass UNC6040 sich mit weiteren Bedrohungsakteuren zusammengeschlossen hat, um die erbeuteten Daten zu monetarisieren.

Die kriminelle Vereinigung nutzt Infrastruktur zum Zugriff auf Salesforce-Apps, die auch ein Okta-Phishing-Panel hostet. Bei den Anrufen haben die Täter die Opfer dazu verleitet, dieses mit ihrem Smartphone oder Arbeits-PC zu besuchen. Dabei haben sie direkt die Zugangsdaten und Multifaktor-Authentifizierungscodes der Opfer abgefragt, um sich anzumelden und die Salesforce-Data-Loader-App hinzuzufügen und damit die Daten zu exfiltrieren.

Broadcom warnt vor teils hochriskanten Sicherheitslücken in der Netzwerkvirtualisierungs- und Sicherheitsplattform VMware NSX. Angreifer können unter anderem Schadcode einschleusen und ausführen. IT-Verantwortliche sollten zügig auf die fehlerbereinigten Versionen aktualisieren.

In einer Sicherheitsmitteilung schreibt Broadcom, dass die Schwachstellen im Privaten an das Unternehmen gemeldet wurden. Aktive Angriffe darauf sind demnach noch nicht bekannt.

Am gravierendsten gilt dem Hersteller eine Stored Cross-Site-Scripting-Lücke (XSS) in der Manager-UI. Die kann aufgrund unzureichender Prüfung von übergebenen Daten auftreten. Angreifer mit Berechtigungen, Netzwerkeinstellungen zu erstellen oder zu modifizieren, können dadurch bösartigen Code einschleusen, der bei der Anzeige der Netzwerkeinstellungen zur Ausführung kommt (CVE-2025-22243 / EUVD-2025-16910, CVSS 7.5, Risiko "hoch").

In der Gateway Firewall können Angreifer ebenfalls eine Stored Cross-Site-Scripting-Lücke missbrauchen. Wenn sie Rechte besitzen, die Antwort-Seite für URL-Filterung zu erstellen oder zu verändern, können sie bösartigen Code einschleusen, der bei versuchtem Zugriff auf eine gefilterte Webseite ausgeführt wird (CVE-2025-22244 / EUVD-2025-16909, CVSS 6.9, Risiko "mittel"). Auch im Router-Port führt unzureichende Filterung von Eingaben dazu, dass Angreifer eine Stored Cross-Site-Scripting-Schwachstelle zum Einschleusen von Schadcode missbrauchen können, sofern sie Rechte zum Erstellen oder Verändern von Router-Ports haben. Der Code wird ausgeführt, sofern jemand versucht, auf den Router-Port zuzugreifen (CVE-2025-22245 / EUVD-2025-16908, CVSS 5.9, Risiko "mittel").

Die Schwachstellen korrigiert Broadcom in VMware NSX 4.2.2.1, 4.2.1.4 und 4.1.2.6 sowie in VMware Cloud Foundation 4.2.2.1 und 4.1.2.6. Für die verwundbaren VMware Telco Cloud Platform und Infrastructure nennt Broadcom Aktualisierungsmöglichkeiten in einem eigenen Knowledgebase-Artikel.

Apple ist mit seinem Passwort-Monitoring-Dienst von Java zu Swift und Vapor gewechselt und verkündet nun einen Performancegewinn von vierzig Prozent. Zusätzlich hat sich laut Apple die Skalierbarkeit, Sicherheit und Verfügbarkeit erhöht, die Zahl der Codezeilen hingegen um 85 Prozent verringert. Das unter Apache-Lizenz stehende Swift wurde 2014 von Apple selbst erfunden und seitdem weiterentwickelt.

Der Monitoring-Dienst gehört zu Apples Passwortmanager-App und prüft, ob Passwörter geleakt wurden, also zum Beispiel irgendwo im Darknet auftauchen (ähnlich wie Have I been Pwnd). Um die Sicherheit der anvertrauten Passwörter zu schützen, betreibt das Monitoring einen hohen Aufwand an Verschlüsselung, soll aber gleichzeitig schnell reagieren.

Swift verbraucht weniger Hardware-Ressourcen und verbessert die Performance.

Diesen Anforderungen wurde Java dem Apple-Team nicht mehr gerecht: "Der Ansatz zur Speicherverwaltung bei Java entspricht nicht mehr unseren wachsenden Anforderungen und Zielen für die Effizienz." Auch der verbesserte G1 Garbage Collector der JVM brachte dem Team nicht die gewünschte Performance. Probleme bereiteten insbesondere lange Pausen der Collectors unter hoher Last und die Schwierigkeiten des Finetunings für verschiedene Workloads. Garbage Collectors stehen wegen Engpässen immer wieder in der Kritik.

Auch beim schnellen Skalieren des Diensts unter wechselnder, regional bedingter Last sah das Apple-Team Mängel bei Java.

Der Streit über die Frage, wer den Chefankläger des Internationalen Strafgerichtshofs (IStGH), Karim Khan, von seinem Microsoft-basierten E-Mail-Konto abgekoppelt hat, geht weiter. Microsofts Präsident Brad Smith betonte am Mittwoch vor Journalisten, Microsoft habe seine Dienste für das Den Haager Gericht weder beendet noch ausgesetzt. Wörtlich sagte der 66-Jährige Berichten zufolge: Die von Microsoft ergriffenen Maßnahmen hätten "in keiner Weise die Einstellung der Dienste für den IStGH" umfasst. Zuvor hatte die Nachrichtenagentur AP gemeldet, Microsoft habe Khans E-Mail-Account aufgrund von Sanktionen gesperrt, die US-Präsident Donald Trump gegen den Gerichtshof verhängte.

Ein Microsoft-Sprecher erläuterte gegenüber heise online schon damals vage: "Seit Februar stehen wir während des gesamten Vorgangs, der zum Ausschluss des sanktionierten Beamten von den Microsoft-Diensten führte, mit dem IStGH in Kontakt." Der Konzern habe seine Services für das Gericht zu jeder Zeit aufrechterhalten. Auch Smith wollte sich nun aber nicht zu den genauen Umständen äußern, die zur Abschaltung von Khans E-Mail-Zugang führten. Der IStGH lehnte eine Stellungnahme ebenfalls ab. Laut der WirtschaftsWoche will Microsoft einen Weg aus der "Trump-Falle" gefunden haben. Der US-Konzern hoffe, Sanktionen des Republikaners erfüllen zu können, ohne Kundenkonten abzuschalten. Anwälte seien zu der Ansicht gelangt, dass Microsoft lediglich eine technische Plattform bereitstelle. Die Kunden müssten so selbst entscheiden, ob sie ihren Mitarbeitern Zugriff auf die Dienste gewährten. Microsoft werde in Szenarien wie dem IStGH-Fall nicht mehr eingreifen.

Die Open Source Business Alliance (OSBA) bezeichnete das Vorgehen von Microsoft "in diesem Kontext und dieser Auswirkung" im Mai als beispiellos. Die von den USA angeordneten und Microsoft mit umgesetzten Sanktionen gegen den Strafgerichtshof müssten "ein Weckruf für alle sein, die für die sichere Verfügbarkeit staatlicher und privater IT- und Kommunikationsinfrastrukturen verantwortlich sind". Auch Digitalstaatssekretär Thomas Jarzombek (CDU) unterstrich mit Blick auf den Fall, dass Deutschland seine Anstrengungen für digitale Souveränität erhöhen müsse. Bart Groothuis, ein niederländischer liberaler EU-Abgeordneter, drängt aus dem gleichen Grund auf die Schaffung einer unabhängigen europäischen Cloud. Er hob jüngst hervor: "Die Welt hat sich verändert."

Smith kündigte parallel in Berlin den Start eines "europäischen Sicherheitsprogramms" an. Damit werden "wir unser langjähriges Engagement zur Verteidigung von Europas Cybersicherheit ausweiten", erklärte der Manager. Microsoft setze damit von ihm unlängst in Brüssel vorgestellte "digitale Zusicherungen" um.

Konkret versprach Smith einen verstärkten Austausch von KI-basierten Bedrohungsinformationen mit europäischen Regierungen und zusätzliche Investitionen zur Stärkung von Cybersicherheitskapazitäten und Resilienz. Das Unternehmen will ferner Partnerschaften zur Abwehr von Cyberangriffen und zum Zerschlagen cyberkrimineller Netzwerke ausbauen.

Angreifer können an einer Schwachstelle in Dells NAS-Betriebssystem PowerScale OneFS ansetzen und Dateien löschen. Außerdem macht eine Lücke im Bluetooth-Treiber unzählige Dell-PCs angreifbar. Sicherheitsupdates stehen zum Download. Admins sollten sie zeitnah installieren, um ihre Computer zu schützen.

Die Lücke (CVE-2025-53298) im NAS-System ist mit dem Bedrohungsgrad "kritisch" eingestuft. Weil die Authentifizierung beim NFS-Export fehlt, können Angreifer aus der Ferne ohne Anmeldung die Schwachstelle ausnutzen, erläutern die Entwickler in einer Warnmeldung. Davon soll PowerScale OneFS 9.5.0.0 bis einschließlich 9.10.0.1 betroffen sein.

Außerdem haben die Entwickler noch weitere Lücken (etwa CVE-2025-32753 "mittel") in PowerScale OneFS geschlossen. An diesen Stellen können Angreifer unter anderem für DoS-Attacken ansetzen. Dagegen sind die Ausgaben 9.5.1.3, 9.7.1.8 und 9.10.1.2 gerüstet.

Unzählige Dell-Computer von etwa der Alienware- und Inspiron-Serie sind einem Beitrag zufolge über eine Sicherheitslücke (CVE-2024-11857 "hoch") im Realtek-Bluetooth-Treiber attackierbar. Die vollständige Liste der betroffenen PC-Modelle findet sich im verlinkten Beitrag. Für eine erfolgreiche Attacke müssen Angreifer aber lokal authentifiziert sein. Ist das gegeben, können sie über eine symbolische Verknüpfung Dateien löschen.

Dagegen sind die Treiberversionen 2024.10.143.0 und 6001.15.156.200 geschützt. Bislang sind keine Berichte zu laufenden Attacken bekannt. Unklar bleibt bislang, woran Admins bereits erfolgreich attackierte Systeme erkennen können.

Der Netzwerkausrüster Cisco warnt vor möglichen Attacken auf Identity Services Engine (ISE) und Customer Collaboration Platform (CCP). Weiterhin gibt es noch Sicherheitsupdates für weitere Produkte.

Wie aus einer Warnmeldung hervorgeht, ist ISE nur im Kontext von Amazon Web Services, Microsoft Azure und Oracle Cloud Infrastructure angreifbar, wenn der primäre Admin Node in der Cloud bereitgestellt wird. On-premises-Instanzen sind nicht verwundbar.

Sind diese Voraussetzungen erfüllt, sollen entfernte Angreifer an der "kritischen" Lücke (CVE-2025-20286) ansetzen können. Das Sicherheitsproblem besteht darin, dass in dieser Konfiguration Zugangsdaten nicht verlässlich randomisiert erzeugt werden, sodass identische Log-in-Daten vergeben werden. Können Angreifer diese Daten extrahieren, haben sie im Anschluss Zugriff auf verschiedene Instanzen. Dann können sie unter anderem Konfigurationsdaten von Systemen modifizieren und vertrauliche Daten einsehen.

Die Entwickler versichern, das Problem in den ISE-Ausgaben 3.3P8 und 3.4P3 gelöst zu haben. Admins, die noch ISE 3.1 oder 3.2 nutzen, müssen auf eine höhere Version upgraden. Das Sicherheitsupdate für 3.5 soll im August 2025 folgen.

Weil Exploitcode in Umlauf ist, können Attacken bevorstehen. Das gilt auch für eine Schwachstelle in CCP. Hier können Angreifer einem Beitrag zufolge mit präparierten HTTP-Anfragen an der Schwachstelle (CVE-2025-20129 "mittel") ansetzen und so Daten leaken.

Der russisch-niederländische Webkonzern Yandex und der amerikanische Social-Media-Platzhirsch Meta bedienten sich eines schmutzigen Tricks, um Werbeprofile zu erstellen und ihre Kunden auszuspionieren. Dazu bauten sie heimlich zwischen ihren Apps und dem Browser auf Android-Geräten eine Datenverbindung auf. So konnten sie Nutzer eindeutig identifizieren, mutmaßlich um ihre Daten an Werbetreibende zu verhökern.

Ein Team von Wissenschaftlern aus den Niederlanden und Spanien fand heraus, mit welchem Trick die Konzerne ihre Nutzer ausspionierten. Und das teilweise seit Jahren: Yandex bedient sich des Hacks seit 2017, Meta immerhin seit September 2024. Die Konzerne machen sich verschiedene technische Möglichkeiten der Android-Browser und -Apps zunutze, um vom Betriebssystem eingezogene Kommunikationsbarrieren zu umgehen, vor allem über lokale "Listening Ports".

Diese sind für die Kommunikation zwischen einem Client (wie einem Browser) und einem Server (zum Beispiel dem Meta-Webserver) gedacht, können aber auch von innerhalb einer App zum Lauschen geöffnet werden. Dazu benötigt diese keine besonderen Privilegien oder Einwilligung des Nutzers – so kann eine Meta-App (Facebook oder Instagram sind betroffen) auf der Adresse localhost:12387 auf eingehende Verbindungen lauschen. Und das auch, wenn der Nutzer die App gerade nicht nutzt – sie läuft und lauscht im Hintergrund weiter.

So schleust Meta Daten zwischen Android-App und Browser hin und her.

(Bild: A. Girish, G. Acar, et al., "Local Mess")

Connectwise hat derzeit nicht nur mit Angriffen auf Schwachstellen in seiner ScreenConnect-Fernwartungssoftware zu kämpfen. Das Unternehmen hat mitgeteilt, dass offenbar staatlich unterstützte Kriminelle in die Netze des Anbieters eingebrochen sind.

Laut der Sicherheitsmitteilung von Connectwise fand der IT-Vorfall bereits Ende Mai statt. "ConnectWise hat vor kurzem verdächtige Aktivitäten in unserer Umgebung entdeckt, von denen wir glauben, dass sie mit einem fortschrittlichen staatlichen Akteur in Verbindung stehen und die eine sehr kleine Anzahl von ScreenConnect-Kunden betreffen", schreibt das Unternehmen. Der Vorfall datiert auf den 28. Mai zurück.

Für die Untersuchung habe Connectwise die IT-Forensikexperten von Googles Tochter Mandiant eingebunden. Alle betroffenen Kunden seien informiert worden, außerdem koordiniere das Unternehmen sich mit den Strafverfolgern. Connectwise hat mit Mandiants Unterstützung erweitertes Monitoring eingerichtet und Härtungsmaßnahmen über die gesamte IT-Umgebung ergriffen.

Weitere verdächtige Aktivitäten habe Connectwise in etwaigen Kunden-Instanzen demnach nicht mehr beobachtet. Nach dem Installieren des Sicherheitsupdates von Ende April für ScreenConnect auf die Cloud-Instanzen sei dort nichts Verdächtiges mehr aufgetreten. Gemeint ist offenbar eine Lücke, die Angreifern das Einschleusen von Schadcode aufgrund einer ViewState-Code-Injection-Schwachstelle ermöglicht (CVE-2025-3935 / EUVD-2025-12502, CVSS 8.1, Risiko "hoch").

Details zu den Angriffen und ihrer Auswirkungen sind eher dünn gesät: Bisherige Untersuchungsergebnisse deuten demnach darauf, dass der Vorfall auf ScreenConnect, und dort offenbar die Cloud-Instanzen, beschränkt war. Ob der Einbruch durch die genannte Sicherheitslücke erfolgte, kann Connectwise derzeit noch nicht sagen. Daher empfiehlt das Unternehmen, bei OnPremises-Installationen die Sicherheitsupdates aus dem April anzuwenden.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt aktuell vor laufenden Angriffen auf mehrere Sicherheitslücken in Connectwise ScreenConnect, Craft CMS und Asus-Router. Die Hersteller stellen Updates zum Schließen der Sicherheitslecks bereit – Admins sollten sie zügig installieren.

In der Warnung nennt die CISA lediglich die Schwachstellen und die Produkte, auf die Angriffe in freier Wildbahn beobachtet wurden. In der Fernwartungssoftware Connectwise ScreenConnect haben die Entwickler Ende April mit Updates eine als hochriskant eingestufte Schwachstelle ausgebessert. Bei der Sicherheitslücke handelt es sich um ViewState-Code-Injection, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2025-3935 / EUVD-2025-12502, CVSS 8.1, Risiko "hoch"). Ein Update auf ScreenConnect 25.2.4 oder neuer bessert den sicherheitsrelevanten Fehler aus, auf den die CISA nun Angriffe im Netz beobachtet.

In Asus-Routern der Modellreihe GT-AC2900 attackieren Kriminelle eine Sicherheitslücke, für die der Hersteller im Jahr 2021 Firmware-Aktualisierungen bereitgestellt hat (CVE-2021-32030 / EUVD-2021-18896, CVSS 9.8, Risiko "kritisch"). Auch in Asus-RT-AX55-Routern können Angreifer unbefugt Befehle einschleusen, wenn das Firmware-Update aus 2023 oder neuere nicht angewendet wurden – und machen das nun auch (CVE-2023-39780 / EUVD-2023-43480, CVSS 8.8, Risiko "hoch").

Außerdem greifen Online-Kriminelle Schwachstellen in CraftCMS an. Angreifer können durch die eine Sicherheitslücke Schadcode aus dem Netz einschleusen und ausführen (CVE-2024-56145 / EUVD-2024-3545, CVSS 9.3, Risiko "kritisch") und eine zweite, die im Zusammenspiel mit weiteren Schwachstellen das Ausführen von untergejubeltem Code ermöglicht (CVE-2025-35939 / EUVD-2025-13951, CVSS 5.3, Risiko "mittel"). Craft CMS 5.7.5 und 4.15.3 sowie neuere Fassungen bessern die Schwachstellen aus.

Die CISA nennt keine weiteren Details zu den beobachteten Angriffen. Art und Umfang ist dadurch unklar, auch Angaben zur Erkennung (erfolgreicher) Attacken fehlen. IT-Verantwortliche mit betroffenen Produkten sollten die verfügbaren Aktualisierungen jedoch so schnell wie möglich herunterladen und installieren.

Angreifer können an mehreren Softwareschwachstellen in verschiedenen Androidversionen ansetzen, um Geräte zu kompromittieren. Qualcomm berichtet von Attacken auf Geräte mit bestimmten Prozessoren. Der Patchstand ist in diesem Fall aber unklar.

In einer Warnmeldung stufen die Android-Entwickler eine Sicherheitslücke (CVE-2025-26443 "hoch") in einer nicht näher beschriebenen Systemkomponente als am gefährlichsten ein. Davon sind Smartphones und Tablets mit Android 13, 14 und 15 betroffen.

An dieser Stelle sollen Angreifer ansetzen könne, um sich höhere Nutzerrechte zu verschaffen. Das klappt der knappen Beschreibung aber nur, wenn Opfer mitspielen. Wie eine solche Attacke ablaufen könnte, ist bislang unklar.

Außerdem können im Kontext von weiteren Systemschwachstellen (etwa CVE-2025-26441 "hoch") Daten leaken. Über Lücken im Framework können Angreifer DoS-Zustände erzeugen (zum Beispiel CVE-2025-26432 "hoch").

Überdies können noch Lücken in Komponenten von Drittanbietern wie Arm und Qualcomm als Einfallstor für Angreifer dienen. Qualcomm warnt derzeit davor, dass Angreifer zwei Schwachstellen (CVE-2025-21479 "hoch", CVE-2025-21480 "hoch") ausnutzen. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt. Die Lücken betreffen die Adreno-GPU-Treiber bestimmter Prozessoren wie Snapdragon 685. Damit rechnen unter anderem diverse Xiaomi-Smartphones wie das Redmi Note 13.

In der WebPKI tut sich etwas – Sylvester und Christopher stürzen sich sofort darauf. Was der Verzicht auf "Client Authentication" für digitale Zertifikate bedeutet und ob Googles Browser Chrome hier seine Marktmacht ausnutzt, erörtern die beiden in der aktuellen Folge des Podcasts von heise security ausgiebig.

Doch auch anderen Themen widmen sich die beiden Sicherheitsexperten in der knapp zweistündigen Folge. So stellt Sylvester ein kleines Werkzeug namens oniux vor und illustriert an dessen Beispiel einige Fallstricke, die durch onion-URLs des Tor-Netzwerks und andere reservierte Domains (wie .local oder .invalid) entstehen können. Und Christopher erzählt vom Krieg gegen die Cyberkriminalität: In der Operation Endgame 2.0 haben Ermittler einige Kriminelle hochgehen lassen.

"Cyberkriminalität ist eine zunehmende Bedrohung für unsere Sicherheit", stellt Bundesinnenminister Alexander Dobrindt (CSU) am Vormittag in Berlin fest. Sie würde immer aggressiver – aber die Gegenstrategien auch immer professioneller. Mit der Digitalisierung ergäben sich immer mehr Tatgelegenheiten und Angriffsmöglichkeiten etwa auf Kritische Infrastrukturen. Mit der KI-Nutzung beim Phishing entstünden durch die vermeintliche Authentizität neue Probleme, so Dobrindt. Das genaue Ausmaß dieses neuen Problems sei aber noch nicht absehbar.

Bei Ransomware-Attacken sei hingegen ein Rückgang zu verzeichnen, was an gestärkten Gegenmaßnahmen liege, berichtet der Bundesinnenminister. Etwa die Operation Endgame 2.0 habe hier Wirkung entfaltet, weil dabei 300 Server, davon 50 in Deutschland, dem Zugriff der Täter entzogen wurden.

Deutschland würde immer stärker von Kriminellen aus dem Ausland ins Visier genommen, meint Dobrindt. Die verfolgten inzwischen nicht mehr nur kriminelle Motive, "sondern sehr stark politische Ziele", sagte der Bundesinnenminister. Es gebe auch immer wieder kombinierte Zielstellungen: Bislang als gewinnorientierte Kriminelle eingeordnete Täterorganisationen würden für staatliche Ziele angeworben oder bezahlt. Das Ziel dabei sei, sagt der Bundesinnenminister, die politische Stabilität anzugreifen.

Dass insbesondere aus dem Ausland begangene Taten eine große Rolle spielen, daran besteht kaum ein Zweifel. Bislang aber gab es wenige verlässliche Daten dazu, wie groß das Problem ist. Erstmals weist das BKA-Lagebild nun einheitlich Ursprungsorte aus: in der polizeilichen Kriminalstatistik werden nun 131.000 begangene Cybercrime-Fälle im Inland und 201.877 aus dem Ausland aufgeführt. Das spiegele die Realität dennoch "nur bedingt wider", mahnt BKA-Präsident Holger Münch. Er rechne mit einem Dunkelfeld von etwa 90 Prozent.

Insbesondere bei aus dem Ausland begangenen Taten gibt es aus Ermittlersicht ein weiteres Problem. Die Täter hielten sich in Staaten auf, in denen die Strafverfolgung unmöglich sei, wie das Beispiel Endgame 2.0 zeige, sagt Münch: "Von den 20 mit Haftbefehlen Gesuchten halten sich alle Täter derzeit in Russland auf."

Europol hat am 27. Mai dieses Jahres einen Aktionstag gegen Ausbeutung und Radikalisierung Minderjähriger durch Online-Inhalte veranstaltet. Dabei wurden mehr als 2000 Links auf dschihadistische, rechtsextremistische und terroristische Propaganda gemeldet, die sich an Minderjährige wendeten.

Die Behörde warnt schon seit einiger Zeit, dass Netzwerke der organisierten Kriminalität zunehmend Minderjährige rekrutieren. Ende April hat Europol zudem eine Taskforce eingesetzt, die Violence-as-a-service ("Gewalt als Dienstleistung") und die Rekrutierung junger Täter durch organisierte Kriminalität bekämpfen soll. "Der Schutz von Kindern vor der Rekrutierung und Ausbeutung durch kriminelle Netzwerke ist eine der wichtigsten Prioritäten", betont Europol in der Mitteilung zum Aktionstag.

Den Strafverfolgern zufolge haben die Terrororganisationen demnach neue Taktiken zur Rekrutierung von Anhängern entwickelt. Sie passen Botschaften individuell an und investierten in neue Technologien und Plattformen, um Minderjährige zu erreichen und zu manipulieren. Der Einsatz von KI, insbesondere zur Erstellung von Bildern, Texten und Videos, soll ein jüngeres Publikum ansprechen. Die Propagandisten investierten in sorgsam gestylte Inhalte, Kurzvideos und Memes, "um Minderjährige und Familien anzusprechen, die anfällig für extremistische Manipulation sein könnten". Außerdem investierten sie in Inhalte, die "spielerische Elemente mit terroristischem Audio- und Video-Material" kombinierten.

Bei einer weiteren Art von zielgerichteten Inhalten glorifizieren die Drahtzieher Minderjährige, die in terroristische Angriffe verwickelt sind. Die terroristische Propaganda richtet sich vorwiegend an männliche Jugendliche, die sie zum Beitreten in die Extremistengruppen animieren soll, indem sie Heldensagen bewirbt und sie als Krieger und Hoffnung der Gesellschaft darstellt. Weniger überraschend sprechen die Extremisten weibliche Minderjährige seltener an, wobei ihre Rolle sich im Wesentlichen auf das Aufziehen und Indoktrinieren künftiger Kämpfer "für die Sache" beschränkt.

Als weitere Manipulationstechnik nennt Europol die Opferrolle und Opfererzählung, teils bebildert mit verwundeten oder getöteten Kindern in Konfliktgebieten. Sie dient zwei Zielen: Sie führt zur emotionalen Identifizierung mit den Opfern, während sie gleichzeitig das Bedürfnis nach Vergeltung und weiterer Gewalt anheizt. An dem Aktionstag haben zahlreiche Länder teilgenommen: Albanien, Belgien, Bosnien-Herzegowina, Dänemark, Deutschland, Irland, Malta, Österreich, Portugal, Serbien, Slowenien, Spanien, Tschechische Republik, die Ukraine und das Vereinigte Königreich.

Webadmins sollten ihre Roundcube-Webmail-Instanzen zeitnah auf den aktuellen Stand bringen. In aktuellen Ausgaben haben die Entwickler eine Sicherheitslücke geschlossen, über die Schadcode auf Systeme gelangen kann.

Wie aus einem Beitrag hervorgeht, haben sie die "kritische" Sicherheitslücke (CVE-2025-49113) in den Ausgaben 1.5.10 und 1.6.11 geschlossen. Alle vorigen Versionen sollen verwundbar sein.

Trotz der kritischen Einstufung müssen Angreifer authentifiziert sein, um an der Schwachstelle ansetzen zu können. Weil der from-Parameter in URLs unter program/actions/settings/upload.php nicht ausreichend überprüft wird, können Angreifer eigenen Code ausführen. Es ist davon auszugehen, dass Instanzen nach einer erfolgreichen Attacken vollständig kompromittiert sind.

Auch wenn es noch keine Hinweise auf laufende Attacken gibt, sollten Admins nicht zu lange zögern und das Sicherheitsupdate zeitnah installieren. Dazu raten auch die Entwickler. Den Entdeckern der Schwachstelle von FearsOff zufolge existiert sie seit zehn Jahren und betrifft über 53 Millionen Hosts.

Dass die US-Regierung an der Cybersicherheit herumschraubt, ist seit Längerem klar. Auch Stellenstreichungen wurden bekannt. Nun legte das Heimatschutzministerium (DHS) sein Budget für das kommende Jahr vor: Fast eine halbe Milliarde Dollar soll die Cybersicherheitsbehörde CISA im Jahr 2026 einsparen.

Die Einsparungen sind spürbar: Der Etat der CISA sinkt von 2,8 auf knapp 2,4 Milliarden Dollar, somit um etwa 17 Prozent. Das sieht der Etatüberblick vor, den die Behörde dem US-Kongress präsentierte. Allein bei den Personalkosten will man über 95 Millionen US-Dollar einsparen – unter anderem durch über 1000 Stellenstreichungen. Auch externe Berater dürften künftig weniger Aufträge bei der CISA erhalten: Der Etatposten "Beratungs- und Unterstützungsdienstleistungen" sinkt um 289 Millionen auf immerhin noch 1,3 Milliarden US-Dollar.

In der Cybersicherheit streicht die CISA 186 Stellen und spart über 216 Millionen US-Dollar ein, im Bereich Infrastruktursicherheit zusätzliche zehn Stellen. Dieser Bereich erhält jedoch im Jahr 2026 eine Etat-Aufstockung um 143 Millionen Dollar und wird damit finanziell gestärkt. Das hatte Heimatschutzministerin Noem angeordnet: Man möge sich mehr auf den Schutz der Behördennetze und kritischer Infrastrukturen konzentrieren.

315 Stellen sollen durch ein freiwilliges Programm wegfallen, das CISA-Mitarbeitern mit Abfindungen, Frührente und anderen finanziellen Anreizen den Abschied versüßt. Der zweitgrößte Streichposten betrifft Stellen bei der Behörde, die gar nicht besetzt sind: Für über 300 offene Positionen fand die CISA bislang keine geeigneten Kandidaten, nun fallen sie weg. Die Behörde schreibt dazu, dies ermögliche effiziente Mittelverwendung ohne Auswirkungen auf den Betrieb.

Mehrere Abteilungen schließt die Behörde komplett. Dazu gehört das 14-köpfige Team für Wahlsicherheit – angesichts des persönlichen Kleinkriegs des US-Präsidenten gegen Ex-CISA-Chef Chris Krebs wenig überraschend. Dieser hatte Trumps Vorwürfe des Wahlbetrugs vehement bestritten und darüber seinen Job verloren. Auch eine Abteilung für Infrastruktursicherheit im Chemiesektor soll es 2026 nicht mehr geben, was jedoch bereits 2023 beschlossene Sache war und nun umgesetzt wird.