Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

heise-Angebot: IT-Security-Konferenz secIT im März 2025 hilft Admins

Am 19. und 20. März 2025 treffen sich IT-Security-Verantwortliche in Hannover auf der secIT 2025. Der Star der Konferenzmesse sind die von c't, heise security und iX ausgewählten Programmpunkte. Diese Vorträge und Workshops über unter anderem Active Directory, NIS2 und Zero Trust sind werbefrei und die Referenten vermitteln wertvolle Fakten, die Admins direkt in Unternehmen umsetzen können.

Anzeige

Die secIT 2025 findet am 19. und 20. März 2025 im Hannover Congress Centrum (HCC) statt. Bereits am 18. März gibt es vor Ort mehrere Ganztagsworkshops zu aktuellen IT-Sicherheitsthemen. Wer bereit ist, seine Daten mit dem Veranstalter und den Partnern zu teilen, erhält das Ticket gratis. Wer das nicht möchte, bekommt ein Tagesticket noch bis 30. November 2024 für 59 statt 99 Euro. Ein Dauerticket für beide Tage kostet 99 statt 139 Euro. Tickets sind ab sofort im Onlineshop buchbar.

Zusätzlich zum Vortragsprogramm gibt es auch noch eine Ausstellung, in der sich Interessierte aktuelle Sicherheitslösungen vorführen lassen können. Natürlich stehen unsere Partner an ihren Ständen auch für Gespräche bereit.

Damit Firmen bei der Umsetzung der NIS2-Richtlinie nicht verzweifeln, leisten mehrere Vorträge und Workshops Hilfestellung. Auch die Podiumsdiskussion dreht sich um das Thema. Überdies gibt es Vorträge zu unter anderem Deepfakes in Telefonaten, Active Directory in Windows Server 2025 und wie man Cloud-Umgebungen effektiv gegen Attacken rüstet.

Weiterlesen
  43 Aufrufe

heise-Angebot: iX-Workshop: Rechtskonform – IT-Produkte nach EU-Recht prüfen und zertifizieren

Neue regulatorische Anforderungen auf EU-Ebene durch den Cyber-Security-Act veranlassen Hersteller, ihre erstellte Software und Hardware in Bezug auf Sicherheit zu prüfen und zertifizieren zu lassen. Doch welche Richtlinien und Vorgaben müssen in Deutschland und auf dem europäischen Markt berücksichtigt werden?

Anzeige

In unserem Online-Workshop CRA-konform: Digitale Produkte auf Sicherheit prüfen und zertifizieren erhalten Sie an zwei Vormittagen einen umfassenden Einblick in die gängigen Verfahren auf diesem Gebiet. Dazu gehören unter anderem die Common Criteria for Information Technology Security Evaluation (CC), das beschleunigte Sicherheitszertifizierungsverfahren (BSZ) des Bundesamtes für Sicherheit in der Informationstechnik sowie das Sicherheitsframework NESAS (Network Equipment Security Assurance Scheme) und Prüfungen nach IEC 62443-4-2 (Industrial Security).

Sie gewinnen ein Verständnis für die angewandten Prüfungsmethoden und lernen, wie Sie die notwendigen Schutzmaßnahmen in Ihre IT-Produkte integrieren können. Ihr Trainer Sebastian Fritsch ist Leiter der BSI Common Criteria (CC) Prüfstelle der secuvera und verfügt über mehr als 10 Jahre Erfahrung als Gutachter, Auditor und Berater.

Der nächste Workshop findet am 19. und 20. November 2024 jeweils von 9:00 bis 12:30 Uhr statt. Die Schulung bietet ausreichend Gelegenheit für individuelle Fragen und den Austausch mit Experten.

Weiterlesen
  0 Aufrufe

Ivanti patcht Endpoint Manager, Avalanche, VPN- und NAC-Software

Ivanti hat Sicherheitsupdates für mehrere Produkte herausgegeben, die teils kritische Sicherheitslücken darin schließen. Administratorinnen und Administratoren sollten rasch handeln und die Aktualisierungen anwenden.

Anzeige

Am gravierendsten sind die Sicherheitslücken in der VPN- und NAC-Software von Ivanti, die die Entwickler in einer Sicherheitsmitteilung beschreiben. Sie betreffen Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC). Ein angemeldeter Angreifer aus dem Netz mit Admin-Zugang kann in Anfragen Argumente einschmuggeln und damit Schadcode einschleusen und ausführen (CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712; alle CVSS 9.1, Risiko "kritisch"). Zudem können sie das auch mit in Anfragen eingeschmuggelten Befehlen (CVE-2024-11007, CVE-2024-11006, CVE-2024-11005; alle CVSS 9.1, kritisch). Die Produkte sind von zahlreichen weiteren, als hohes Risiko eingestuften Schwachstellen betroffen.

Eine weitere Sicherheitsmitteilung von Ivanti listet Lücken im Endpoint Manager auf. Angreifer aus dem Netz können ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle zum Einschleusen von Schadcode missbrauchen (CVE-2024-50330, CVSS 9.8, kritisch). Außerdem können bösartige Akteure aus dem Netz ohne vorherige Anmeldung eine Path-Traversal-Lücke attackieren, was ebenfalls in der Ausführung von Code aus dem Netz führt. Hierfür ist jedoch eine Nutzerinteraktion nötig, was die Risikobewertung ganz knapp unter kritisch drückt (CVE-2024-50329, CVSS 8.8, hoch). Die aktualisierten Versionen schließen noch zahlreiche weitere, als hochriskant eingestufte Sicherheitslecks.

Für die Mobile-Device-Management-Software (MDM) Avalanche listet Ivanti fünf Sicherheitslücken mit einer Risikoeinschätzung als hoher Bedrohungsgrad auf. Sofern Angreifer die Lücken erfolgreich missbrauchen, können sie den Dienst für legitime Nutzer lahmlegen (Denial of Service) oder unbefugt auf sensible Informationen zugreifen. Das Problem löst Ivanti Avalanche in Version 6.4.6 oder neueren, die im Download-Portal unter der Wavelink-Domain verfügbar ist.

Weiterlesen
  49 Aufrufe

Stromanbieter Tibber gehackt, 50.000 deutsche Kunden betroffen

Hacker haben sich am Stromanbieter Tibber vergriffen und Daten geklaut. Das bestätigte das Unternehmen gegenüber heise security. Betroffen sind offenbar über 50.000 Kunden, allesamt aus Deutschland. Die Angreifer bieten ihre Beute im Darknet zum Kauf an.

Anzeige

Seit dem 11. November steht in einem populären Darknet-Forum ein Datensatz mit dem Titel "Tibber Data Breach - Leaked, Download" bereit. Einige Beispielzeilen enthalten Name, E-Mail-Adresse, Bestellbetrag und unvollständige Adressdaten.

Sie sind authentisch: Die Datensätze stammen aus einem Einbruch in den Tibber-Shop. Das gab das Unternehmen gegenüber heise security zu. In seinem Online-Laden verkauft Tibber Smart-Energy-Hardware wie den Strom-Tracker "Pulse". Ein Unternehmenssprecher betont jedoch, dass weder Zahlungs- noch Verbrauchsdaten abhanden gekommen seien, auch die genauen Adressen und Passwörter hätten die Hacker nicht erbeutet.

Der Umfang der gestohlenen Datensätze unterscheidet sich von der Darstellung der Hacker. Diese behaupten, 243.000 Datenzeilen aufgefunden zu haben, laut Tibber sind jedoch lediglich 50.000 Kunden betroffen. Die Diskrepanz könnte sich durch Mehrfachnennungen oder in mehrere Zeilen aufgeteilte Datensätze erklären.

Weiterlesen
  44 Aufrufe

Patchday Adobe: Schadcode-Attacken auf After Effects & Co. möglich

Angreifer können Adobe After Effects, Audition, Bridge, Commerce, Illustrator, InDesign, Photoshop oder Substance 3D Painter ins Visier nehmen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen. Weiterführende Informationen zu den Sicherheitslücken und abgesicherten Versionen finden Admins in den unterhalb dieser Meldung verlinkten Warnhinweisen.

Anzeige

After Effects ist unter macOS und Windows angreifbar. Die Entwickler geben an, in den Ausgaben 24.6.3 und 25.0 sechs Sicherheitslücken geschlossen zu haben. Darunter sind mehrere Schwachstellen, über die Angreifer Schadcode auf PCs schieben und ausführen können (etwa CVE-2024-47441 "hoch"). Dafür müssen Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler (Out-of-bounds) auslösen.

Substance 3D Painter ist ebenfalls über mehrere Schadcode-Schwachstellen attackierbar. Hier schafft Ausgabe 10.1.1 für alle Plattformen Abhilfe. Illustrator ist in den Versionen 28.7.2 und 29.0.0 unter macOS und Windows gegen Schadcode-Attacken gerüstet.

Durch Lücken InDesign kann auch Schadcode auf Systeme gelangen und diese kompromittieren. Die Schwachstellen haben die Entwickler in den Ausgaben ID18.5.3, ID18.5.4 und ID20.0 geschlossen. Photoshop 2023 24.7.4 und Photoshop 25.12 sind auch gegen das Ausführen von Schadcode (CVE-2024-49514 "hoch") gerüstet.

Weiterlesen
  49 Aufrufe

Patchday Microsoft: Internet-Explorer-Komponente ermöglicht Attacken

Derzeit nutzen Angreifer zwei Sicherheitslücken in Windows aus. Weitere Sicherheitslücken sind öffentlich bekannt, sodass zusätzliche Attacken bevorstehen können. Admins sollten sicherstellen, dass Windows Update aktiv ist und die aktuellen Patches installiert sind.

Anzeige

Der Internet Explorer ist zwar Geschichte, die HTML-Rendering-Engine des Webbrowsers MSHTML ist aber nach wie vor in Windows aktiv. Darin klafft eine Schwachstelle (CVE-2024-43451, Risiko "mittel"), die Angreifer derzeit ausnutzen. Aus einer Warnmeldung von Microsoft geht aber nicht hervor, in welchem Umfang die Attacken ablaufen oder wie sie zu erkennen wären.

Im Zuge der Attacken schieben Angreifer Opfern präparierte Dateien unter. Bereits ein Klick auf diese Datei soll ausreichen, um den Angriff einzuleiten. Im Anschluss können Angreifer NTLMv2-Hashes erbeuten, mit denen sie sich dann an anderen Stellen authentifizieren können. Davon sind aktuelle und ältere Windows-Desktop- und Windows-Server-Versionen betroffen.

Die zweite ausgenutzte Schwachstelle (CVE-2024-49039, "hoch") betrifft den Windows Task Scheduler. Attacken sind einem Beitrag zufolge aber nur möglich, wenn Angreifer bereits authentifiziert sind, um eine präparierte Applikation zu starten. Ist das gegeben, kann der Angreifer aus einem AppContainer ausbrechen und Code mit unter Umständen erhöhten Rechten (Medium Integrity Level) ausführen.

Weiterlesen
  48 Aufrufe

Citrix stopft Sicherheitslecks in Netscaler ADC und Gateway und weitere

Citrix hat Updates zum Schließen von Sicherheitslücken veröffentlicht. Für Angriffe verwundbar sind Citrix Netscaler ADC, Netscaler Gateway und Session Recording. Die US-amerikanische IT-Sicherheitsbehörde CISA geht davon aus, dass einige der Lücken Angreifern die Übernahme der Kontrolle von betroffenen Systemen ermöglichen.

Anzeige

In der Sicherheitsmitteilung von Citrix zu den Schwachstellen in Netscaler ADC und Netscaler Gateway erklären die Entwickler, dass es "zu Speicherschutzverletzungen kommen kann, die zu Speicherbeschädigungen und Denial-of-Service" führen können. Es sind also offenbar Zugriffe auf Speicher außerhalb vorgesehener Grenzen möglich. Konkrete Auswirkungen neben DoS nennt Citrix nicht, aber der Schweregrad legt nahe, dass dadurch Codeschmuggel möglich ist (CVE-2024-8534, CVSS 8.4, Risiko "hoch"). Zudem können authentifizierte Angreifer unbefugt auf Funktionen zugreifen, was offenbar mit einer KCDAccount-Konfiguration zusammenhängt, die auf Kerberos SSO zum Zugriff auf Backend-Ressourcen setzt (CVE-2024-8535, CVSS 5.8, mittel).

Zudem meldet Citrix Sicherheitslücken im Session Recording von Citrix Virtual Apps and Desktops. Angreifer können ihre Rechte zum NetworkService-Account ausweiten (CVE-2024-8068, CVSS 5.1, mittel) oder begrenzt Schadcode aus dem Netz mit diesen Rechten ausführen (CVE-2024-8069, CVSS 5.1, mittel). Die aktualisierten Software-Versionen sind in der Citrix-Meldung verlinkt.

Die Schwachstellen bessern die Versionen Netscaler ADC und Netscaler Gateway 14.1-29.72 und 13.1-55.34 sowie Netscaler ADC FIPS 13.1-37.207, 12.1-55.321 und 12.1-55.321 aus. Netscaler ADC und Netscaler Gateway 12.1 und 13.0 sind ebenfalls verwundbar, aber an ihrem End-of-Lifecycle angelangt und erhalten daher kein Update – Betroffene sollen ihre Appliances auf eine unterstützte Version aktualisieren. Die Cloud-Dienste von Citrix hat der Hersteller bereits gepatcht, hier müssen IT-Verantwortliche nicht weiter aktiv werden.

Weiterlesen
  42 Aufrufe

"Passwort" Folge 18: Löcher in der Zwiebel? Ein Blick auf das Tor-Netzwerk

18 Folgen ist "Passwort" nun lang. Gibt es so was wie Episoden-Volljährigkeit? Jedenfalls nutzt der Podcast von heise security sein Erwachsenwerden prompt, um sich ins Darknet zu begeben. Konkret sehen sich die Hosts in dieser Episode das Tor-Netzwerk an. Ein Overlay-Netz, das die anonyme Nutzung von Internetdiensten ermöglicht und damit ein wichtiges Werkzeug für Dissidenten oder Journalisten darstellt – aber auch für Kriminelle aller Couleur und viele andere Betätigungsfelder.

Anzeige

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden

Die Hosts erörtern grob, wie Tor funktioniert, bevor sie sich Angriffen zuwenden, die diese Infrastruktur und darauf aufbauende Dienste bedrohen. Ebenfalls diskutiert werden Gegenmaßnahmen des Tor-Projekts und wie sie verschiedene Angriffe unterbinden oder zumindest erschweren können. Im Fokus steht dabei das eigentliche Netzwerk, denn offenbar ist es deutschen Ermittlungsbehörden gelungen, dort anzusetzen und einen Tor-Nutzer zu de-anonymisieren. Christopher und Sylvester diskutieren, welche Schwachstellen die Behörden vermutlich ausgenutzt haben.

Außerdem geht es darum, ob und wie sich diese Schwachstellen beseitigen ließen und inwieweit sie vielleicht sogar schon behoben sind. Denn das Tor-Projekt befindet sich in einem ständigen Wettrüsten mit seinen Angreifern, sodass auch hier – so viel sei verraten – regelmäßige Updates absolut unerlässlich sind.

Nicht in die Folge geschafft hat es ein aktueller Angriff auf das Tor-Netzwerk, der auf unfreiwillige Mithilfe der Hosting-Provider setzte. Mit gefälschten Portscans und fingierten Abuse-Meldungen sollten diese dazu gebracht werden, Tor-Relays vom Netz zu nehmen. Ob das gelang und wer dahinterstecken könnte, diskutieren die Hosts in der nächsten Folge.

Weiterlesen
  35 Aufrufe

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Microsoft hat die Updates für den November-Patchday freigegeben. Sie beseitigen unter anderem mehrere Zero-Day-Lücken, von denen mindestens zwei bereits aktiv ausgenutzt werden. Betroffen sind alle unterstützten Versionen von Windows und Windows Server

Bei der ersten Schwachstelle, die Cyberkriminelle derzeit einsetzen, handelt es sich um eine Spoofing-Lücke, die es Angreifern erlaubt, auf einen NTLMv2 Hash zuzugreifen. Das erlaubt es Unbefugten unter Umständen, sich als der angemeldete Nutzer zu authentifizieren – allerdings nur nach Interaktion mit einem Nutzer.

Außerdem wird eine Anfälligkeit im Windows Task Scheduler angegriffen, die eine nicht autorisierte Ausweitung von Benutzerrechten erlaubt. Ein Angreifer kann möglicherweise einen App-Container verlassen und Code mit höheren Rechten ausführen.

Darüber hinaus stuft Microsoft vier Anfälligkeiten als kritisch ein. Sie stecken in .NET und Visual Studio, Airlift.microsoft.com, Windows VMSwitch und Windows Kerberos. Sie ermöglichen eine Ausweitung von Benutzerrechten oder das Einschleusen und Ausführen von Schadcode aus der Ferne.

Weitere Patches stehen für SQL Server, SMBv3, Windows DNS, Windows Update Stack, Hyper-V, Kernel, Secure Kernelmodus und Windows USB-Videotreiber zur Verfügung. Außerdem sind Excel, Word, Exchange Server und Microsoft PC Manager angreifbar.

Original Autor: Stefan Beiersmann

  37 Aufrufe

heise-Angebot: iX-Workshop: Angriffe auf Entra ID abwehren

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 4. bis 5. Dezember 2024 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Weiterlesen
  47 Aufrufe

Gdata: Update-Probleme im Telekom-Netz

Der Virenschutz von Gdata hat derzeit sporadisch Probleme beim Herunterladen von Antiviren-Updates. Der Hersteller bestätigt gegenüber heise online das Problem.

Anzeige

"Es hat im Verlaufe des gestrigen Tages bei uns einige Anfragen gegeben, in denen Kunden Verbindungsprobleme zu unseren Updateservern meldeten", erklärte uns eine Pressesprecherin des Unternehmens. Die bestätigten Probleme traten am Montag dieser Woche auf. Gdata habe die "eigene Infrastruktur auf Unregelmäßigkeiten geprüft, welche die geschilderten Probleme erklären könnten. Diese Prüfung förderte keinerlei Auffälligkeiten zutage".

"In einigen Fällen erhielten wir eine positive Rückmeldung auf den Rat, einmal den Router neu zu starten", ergänzte die Unternehmenssprecherin. Als Gemeinsamkeit der Kunden, die sich mit diesem Problem gemeldet haben, fand sich der Internet-Provider Telekom. Nach bisherigen Kenntnissen scheinen ausschließlich Telekom-Kunden von dem Problem betroffen zu sein.

Gdata erörterte weiter: "Wir konnten inzwischen diese Konstellation erfolgreich nachstellen und haben denselben Fehler gesehen (keine Verbindung auf Port 443 zum Update-Server). Bei einem erneuten Test funktionierte jedoch alles normal."

Weiterlesen
  43 Aufrufe

Monitoring-Software Icinga: Updates schließen kritische Sicherheitslücke

Neue Software-Versionen der Monitoring-Software Icinga, die als Fork aus dem Nagios-Projekt hervorging, stopfen eine kritische Sicherheitslücke. Aufgrund des Schweregrads haben die Entwickler sogar eine Vorankündigung der am heutigen Dienstag erscheinenden Updates veröffentlicht.

Anzeige

In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch"). Dadurch können Angreifer bösartig manipulierte Konfigurationen oder sogar auszuführende bösartige Befehle einschleusen, abhängig von den konfigurierten Optionen für den ApiListener. Temporäre Gegenmaßnahmen gibt es nicht, lediglich Zugriffsbeschränkungen des API-Ports mittels Firewall auf vertrauenswürdige Adressen verringere die Angriffsfläche etwas.

Das Changelog zu den neuen Versionen ist zum Meldungszeitpunkt noch nicht verfügbar. Ob die neuen Fassungen weitere Probleme ausbessern, ist daher unklar. Die Versionen 2.14.3, 2.13.10, 2.12.11 und 2.11.12 enthalten die Lücke demzufolge nicht mehr. Admins sollten sie umgehend installieren.

Zudem stellt das Icinga-Projekt aktualisierte Pakete für folgende Umgebungen bereit:

Weiterlesen
  48 Aufrufe

Europol warnt vor Rekrutierung Minderjähriger durch organisiertes Verbrechen

Die europäische Polizeibehörde Europol warnt aktuell davor, dass Netzwerke des organisierten Verbrechens zunehmend Minderjährige zur Ausübung krimineller Handlungen rekrutieren. Damit versuchen die Kriminellen, der Entdeckung, Gefangennahme und Verurteilung zu entgehen. Die Minderjährigen gehen sie etwa auf sozialen Medien an.

Anzeige

Grundsätzlich sei das Phänomen nicht neu, schreibt Europol in einer geheimdienstlichen Benachrichtigung. Minderjährige seien jüngsten Daten von Europol zufolge in mehr als 70 Prozent der kriminellen Märkte involviert. Die Märkte, die häufig Minderjährige ausbeuten, umfassen Cyberkriminalität und Online-Betrug, Drogenschmuggel und zugehörige Gewalt, Schleuserkriminalität und Eigentumsdelikte.

In den vergangenen Jahren habe sich dieser Trend auf mehr Länder ausgeweitet, schreibt Europol. Die Rekrutierungsmethoden würden weiterentwickelt und Minderjährige mit gewaltsamen Aufgaben wie Erpressung oder Tötung beauftragt.

Verschlüsselte Nachrichtendienste in sozialen Medien und anpassbare Privatsphäreneinstellungen ermöglichen die Erstellung anonymer Gruppen und Kanäle. Diese würden oft eingesetzt, um illegale Aktivitäten zu organisieren – mit minimalem Risiko der Entdeckung. Die Täter könnten Nachrichten zur Selbstzerstörung senden, Nachrichtenverläufe löschen und den Gruppenzugriff auf verifizierte Mitglieder beschränken. Das mache es schwierig, die Kommunikation zu überwachen, da Interaktionen ohne hinterbleibenden digitalen Fußabdruck möglich seien.

Weiterlesen
  45 Aufrufe

MOVEit Transfer: Gestohlene Daten von Amazon und Co. stehen zum Verkauf

Im digitalen Untergrund stehen Daten von Angestellten großer und namhafter Unternehmen zum Kauf. Betroffen sind unter anderem Amazon, HP, HSBC, Lenovo und weitere.

Anzeige

In einem bekannten Untergrundforum stehen die Angestelltendaten namhafter Unternehmen zum Verkauf.

(Bild: Screenshot / cku)

Die Daten hat der User-Account "Nam3l3ss" am Wochenende im Breachforum eingestellt. Das hat das IT-Sicherheitsunternehmen Hudson Rock zuerst auf X gemeldet. Dort stießen die Beobachter der Malware-Szene von vx-underground auf die Datenveröffentlichung.

Weiterlesen
  43 Aufrufe

Dell SmartFabric OS10: Angreifer können Schadcode ausführen

Fünf Sicherheitslücken gefährden Dell SmartFabric OS10. Im schlimmsten Fall können Angreifer Schadcode ausführen und Netzwerke kompromittieren.

Anzeige

Um dem entgegenzuwirken, haben die Entwickler die Lücken (CVE-2024-48837 "hoch", CVE-2024-48838 "niedrig", CVE-2024-49557 "hoch", CVE-2024-49558 "hoch", CVE-2024-49560 "hoch") in den Versionen 10.5.4.13, 10.5.5.12 und 10.5.6.6 des Netzwerkbetriebssystems geschlossen. Das geht aus einer Warnmeldung hervor.

Installieren Admins die Sicherheitsupdates nicht, können Angreifer die Schwachstellen ausnutzen und sich höhere Nutzerrechte aneignen oder sogar Schadcode ausführen. Dafür müssen sie der Beschreibung der Lücken zufolge aber bereits über niedrige Rechte verfügen und lokalen Zugriff haben. Die Entwickler führen zurzeit nicht aus, wie konkrete Angriffe ablaufen könnten.

Bislang warnt Dell nicht vor Attacken. Netzwerk-Admins sollten die Installation der Sicherheitsupdates aber nicht auf die lange Bank schieben.

Weiterlesen
  48 Aufrufe

SAP Patchday: Acht neue Sicherheitslücken, davon eine hochriskant

SAP hat die Sicherheitsflicken zum November-Patchday veröffentlicht. Sie behandeln acht neu gemeldete Schwachstellen. Aktualisierungen gibt es zudem für zwei ältere Sicherheitsnotizen.

Anzeige

In der Patchday-Übersicht listet SAP die einzelnen Sicherheitsnotizen auf. Am schwersten wiegt eine Cross-Site-Scripting-Lücke im SAP Web Dispatcher. Angreifer können ohne vorherige Anmeldung einen bösartigen Link erstellen und veröffentlichen. Klickt ein Opfer darauf, kommen die darin übergebenen Daten in dessen Kontext zur Ausführung (CVE-2024-47590, CVSS 8.8, Risiko "hoch"). Die Einschätzung des Risikos durch die SAP-Entwickler verpasst also nur knapp den Schweregrad "kritisch". IT-Verantwortliche sollten zügig das hierfür bereitstehende Update anwenden.

Sechs weitere Sicherheitslücken in SAP-Produkten bedeuten für Betroffene ein mittleres Risiko. Eine weitere Schwachstelle ordnen die Walldorfer als niedrigen Bedrohungsgrad ein. Die beiden aktualisierten Sicherheitsnotizen betreffen zudem ein hohes Sicherheitsrisiko aufgrund fehlender Autorisierungsprüfung in SAP PDCE (am Juli-Patchday korrigiert) sowie ein niedriges Risiko bei einem gleichartigen Fehler in SAP Bank Account Management aus dem Mai.

Die einzelnen neuen Sicherheitsnotizen betreffen folgende Produkte:

Weiterlesen
  52 Aufrufe

Veeam Backup Enterprise Manager: Unbefugte Zugriffe durch Angreifer möglich

Angreifer können Veeam Backup Enterprise Manager (VBEM) ins Visier nehmen und sich in Verbindungen einklinken. Ein Sicherheitspatch steht zum Download bereit.

Anzeige

Mit VBEM managen Admins die Backuplösung Backup & Replication (VBR) über eine Webkonsole. Die Managementlösung ist optional. Mit den folgenden Befehlen können Admins prüfen, ob VBEM auf ihren Systemen installiert ist:

Get-VBRServer | Out-Null
[Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-List

Setzen Angreifer erfolgreich an der Schwachstelle (CVE-2024-40715 "hoch") an, können sie die Authentifizierung umgehen und Verbindungen als Man-in-the-Middle belauschen. Wie das im Detail ablaufen könnte, ist bislang nicht bekannt. In einer Warnmeldung verlinken die Entwickler die dagegen abgesicherte Version VBEM 12.2.0.334.

Weiterlesen
  60 Aufrufe

Trojaner tarnt sich als AutoCAD

Kaspersky weist darauf hin, dass Cyberkriminelle weiterhin auf Cracks beliebter Anwendungen setzen, um Schadsoftware zu verbreiten. Derzeit wird demnach der Trojaner SteelFox in angeblichen geknackten Versionen kostenpflichtiger Anwendungen wie Foxit PDF Editor, JetBrains und AutoCAD versteckt.

Die Angriffswelle betrifft laut einer Analyse von Kaspersky weltweit über 11.000 Nutzer, darunter auch Opfer in Deutschland und Österreich. Die Kampagne startete bereits im August 2024. Die Cracks wiederum werden über Forumsbeiträge und Torrent-Tracker in Umlauf gebracht.

Die Hintermänner sammeln mit dem Trojaner SteelFox zahlreiche Informationen von infizierten Rechnern, darunter Browserdaten, Zugangsdaten und Kreditkarteninformationen von Nutzern sowie Details zu installierter Software und Antivirus-Lösungen. Außerdem greifen sie WLAN-Passwörter, Systeminformationen und Zeitzonendaten ab. Zusätzlich nutzen die Cyberkriminellen eine modifizierte Version des Open-Source-Miners ‚XMRig‘ zur Zweckentfremdung der Rechnerleistung für Krypto-Mining, vermutlich für die Währung Monero.

Die Ergebnisse der Forscher zeigen auch, dass SteelFox mindestens seit Februar 2023 aktiv ist. Wenngleich die Cyberkriminellen die Funktionen von SteelFox kaum verändert hätten, modifizierten sie dessen Techniken und Code, um einer Entdeckung zu entgehen.

„Die Angreifer haben ihre Infektionsvektoren schrittweise diversifiziert und sich anfangs auf Nutzer des Foxit Readers konzentriert“, kommentiert Dmitry Galov, Head of Research Center for Russia and CIS im Global Research and Analysis Team (GReAT) bei Kaspersky. „Nachdem sich die Wirksamkeit der schädlichen Kampagne bestätigt hatte, erweiterten sie ihre Reichweite um Cracks für JetBrains-Produkte. Drei Monate später begannen sie auch, den bekannten Namen von AutoCAD auszunutzen. Die Kampagne ist weiterhin aktiv und wir gehen davon aus, dass die Angreifer ihre Malware unter dem Deckmantel anderer, noch beliebterer Produkte weiter verbreiten werden.“

Original Autor: Stefan Beiersmann

  53 Aufrufe

Ymir: Ransomware mit ausgeklügelter Verschleierung

Laut dem Kaspersky Emergency Response Team kombiniert die Ymir-Ransomware besondere technische Merkmale und Taktiken, die ihre Wirksamkeit steigern. Angreifer nutzten eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen – malloc, memmove und memcmp –, um Schadcode direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen Ablauf anderer Ransomware ab und verbessert so die Verschleierung. Mit der –path-Kommandozeile können die Angreifer zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht. Dateien auf der Whitelist werden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermöglicht.

Initial Access Brokerage

Dem Ransomware-Angriff ging ein Einsatz eines Infostealers voraus: Im von Kaspersky beobachteten Angriff nutzten die Angreifer RustyStealer, um Zugangsdaten von Mitarbeitern zu stehlen. Damit konnten sich die Angreifer Zugriff auf die Systeme des Unternehmens verschaffen und lange genug die Kontrolle behalten, um in einem weiteren Schritt die Ransomware zu installieren. Diese Art von Angriff ist als Initial Access Brokerage bekannt, bei dem die Angreifer in Systeme eindringen und einen Zugang längerfristig sicherstellen. Normalerweise verkaufen Initial Access Broker solch einen Zugang im Dark Web an andere Cyberkriminelle weiter; in diesem Fall scheinen die Angreifer jedoch selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.

Die Ransomware verwendet ChaCha20, ein modernes Strom-Chiffre-Verfahren, das für seine Geschwindigkeit und Sicherheit bekannt ist und sogar den Advanced Encryption Standard (AES) in einigen Aspekten übertrifft.

Unklar, wer hinter der Ransomware steckt

„Wenn die Initial Access Broker tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies der Beginn eines neuen Trends sein, der ohne traditionelle Ransomware-as-a-Service (RaaS)-Gruppen auskommt“, sagt Cristian Souza von Kaspersky. „Wir haben bisher keine neuen Ransomware-Gruppen auf dem Untergrundmarkt entdeckt. Üblicherweise nutzen Angreifer Schattenforen oder Portale, um Informationen zu leaken und so Druck auf die Betroffenen auszuüben, damit sie das Lösegeld zahlen. Bei Ymir ist dies jedoch bisher nicht der Fall. Daher bleibt unklar, wer hinter der Ransomware steckt.“

 

Original Autor: ZDNet-Redaktion

  52 Aufrufe

heise-Angebot: iX-Workshop: Lokales Active Directory gegen Angriffe absichern

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München.

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Weiterlesen
  51 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image