Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Trellix: Update dichtet Sicherheitslücken in Enterprise Security Manager ab

In Trellix Enterprise Security Manager (ESM) klaffen Sicherheitslücken, die der Hersteller mit einem Sicherheitsupdate schließt. Die Überwachungssoftware zur Darstellung der Sicherheitslage des eigenen Netzwerks sollten Admins zügig aktualisieren.

Anzeige

In der Versionsankündigung listet Trellix die einzelnen Komponenten der Aktualisierung auf Version 11.6.13 auf. "Dieses Update ist für alle Umgebungen empfohlen. Wenden Sie das Update so bald wie möglich an"; schreibt das Unternehmen.

Auf konkrete Sicherheitslücken geht Trellix nicht weiter ein. Jedoch aktualisiert Trellix ESM 11.6.13 etwa Azul Java und geht damit mehrere nicht aufgelistete CVEs an. Ebenso bessert die mitgelieferte libcurl-Bibliothek zwei Sicherheitslücken aus (CVE-2023-38545, CVSS 9.8, Risiko "kritisch"; CVE-2023-38546, CVSS 3.7, niedrig). Auch im "Snow Service" lauerten zuvor zwei "Reverse Shell"-Schwachstellen (CVE-2024-1148, CVSS 9.8, kritisch; CVE-2024-11482 [noch nicht öffentlich]). Das CERT-Bund des BSI stuft die Sicherheitslücken mit einem maximalen CVSS-Wert von 9.8 als kritisches Risiko ein und warnt davor, dass sie Angreifern das "Umgehen von Sicherheitsvorkehrungen" ermöglichen.

Neben den geschlossenen Sicherheitslücken gibt es jedoch auch Verbesserungen im Produkt. So können ESET- und Sentinel-Sicherheitslösungen jetzt ebenfalls als Datenquellen für Trellix ESM dienen. Seit Version 11.6 unterstützt die Software keine Konfiguration als verteiltes System. Wer auf den 11.6-er-Versionszweig von Trellix Enterprise Security Manager aktualisieren möchte, findet hier eine Anleitung des Unternehmens zum Upgrade auf HA Receivers.

Weiterlesen
  86 Aufrufe

l+f: Wenn nach dem Datenleak die Yakuza-Mafia anklopft

Das Kumamoto Prefecture Violence Prevention Movement Promotion Center bietet unter anderem eine Beratung für Opfer an, die von der japanischen Mafia Yakuza erpresst werden. Darunter fallen auch Mitglieder, die austreten wollen und Eltern, deren Kinder mit einem Yakuza-Mitglied liiert sind. Nun könnten die Betroffenen in Gefahr sein.

Anzeige

In einem Beitrag bezieht die Regierungseinrichtung jetzt Stellung zu einer erfolgreichen Phishingattacke. Ein Mitarbeiter ist auf seinem Arbeits-PC auf eine Fake-Warnmeldung hereingefallen und hat so Cyberkriminellen Zugriff auf seinen Computer gewährt.

Es bleibt unklar, ob die Kriminellen die persönlichen Daten wie Adressen und Namen von rund 2500 Personen, die Hilfe bei der Regierungseinrichtung gesucht haben, kopieren konnten. Inzwischen kontaktiert die Behörde proaktiv die potenziell Betroffenen.

Weiterlesen
  80 Aufrufe

Microsoft-365-Störungen "weitgehend behoben"

Microsoft hat seit Montag dieser Woche Störungen seiner Microsoft-365-Dienste zu beklagen. Exchange Online, Outlook und Teams waren dadurch teils nur eingeschränkt nutzbar. Die Probleme sollen zum Meldungszeitpunkt weitgehend wieder behoben sein.

Anzeige

Microsofts Cloud-Status zeigt noch andauernde Probleme mit den Microsoft-365-Diensten.

(Bild: Screenshot / dmk)

Im Cloud-Status-Monitor von Microsoft wird derzeit die Störung als noch akut andauernd angezeigt. Demnach können Nutzerinnen und Nutzer von Outlook.com etwa auf ihre Mailboxen nicht zugreifen, weder mit Outlook on the Web, noch mit dem Outlook-Desktop-Client, nicht mittels REST-API und auch nicht über Exchange ActiveSync (EAS). "Nutzer könnten Verzögerungen beim Mail-Transport bemerken", schreibt das Unternehmen dort.

Weiterlesen
  77 Aufrufe

Dell Wyse Management Suite: Angreifer können Sicherheitsmechanismen umgehen

Admins, die in Unternehmen Clients mit Dell Wyse Management Suite (WMS) verwalten, sollten die Software zeitnah aktualisieren. Sonst können Angreifer an fünf Sicherheitslücken ansetzen und unter anderem Dateien löschen.

Anzeige

Einer Warnmeldung zufolge sind unter anderem DoS-Attacken (CVE-2024-49595 "hoch") denkbar, außerdem können Angreifer nicht näher beschriebene Sicherheitsmechanismen umgehen (CVE-2024-49597 "hoch"). In beiden Fällen sind Attacken aus der Ferne möglich, Angreifer benötigen aber bereits hohe Nutzerrechte.

Bislang gibt es noch keine Hinweise auf Attacken seitens des Computerherstellers. Die Entwickler geben an, die Sicherheitsprobleme in Dell WMS 4.4.1 gelöst zu haben. Alle vorigen Ausgaben seien verwundbar.

Weiterlesen
  75 Aufrufe

Wordpress-Plug-in Anti-Spam by Cleantalk gefährdet 200.000 Seiten

Das Wordpress-Plug-in Anti-Spam by Cleantalk kommt auf mehr als 200.000 Wordpress-Seiten zum Einsatz. Darin wurden zwei kritische Sicherheitslücken entdeckt, die Angreifern aus dem Netz ohne vorherige Authentifizierung ermöglichen, verwundbare Instanzen vollständig zu kompromittieren.

Anzeige

Die IT-Sicherheitsforscher von Wordfence haben eine Sicherheitslücke extern gemeldet bekommen, durch die Angreifer die Autorisierung aufgrund einer Reverse-DNS-Spoofing-Schwachstelle in Anti-Spam by Cleantalk umgehen können. Nicht authentifizierte Angreifer können dadurch auf angreifbaren Wordpress-Instanzen beliebige Plug-ins installieren und aktivieren und somit am Ende beliebigen Code ausführen (CVE-2024-10542, CVSS 9.8, Risiko "kritisch"). Die Wordfence-Analysten haben kurz darauf eine gleichartige Sicherheitslücke in dem Plug-in mit denselben Auswirkungen entdeckt (CVE-2024-10781, CVSS 9.8, kritisch).

Das Plug-in kann auf Anfragen aus der Ferne (Remote Calls) reagieren und Aktionen wie die Installation von weiteren Plug-ins ausführen. Um zu prüfen, ob ein Aufruf legitim ist, prüft das Plug-in die rückwärts aufgelöste IP-Adresse mittels der Funktion strpos(), ob an beliebiger Stelle des Namens "cleantalk.org" auftaucht. Dadurch lässt sich mit einer Subdomain die Prüfung faktisch ausschalten: cleantalk.org.boese.domain darf diese Plug-in-Funktionen aufrufen und ausführen.

Das Plug-in autorisiert Token nach erfolgreichem Vergleich des Hash-Wertes mit dem API-Key, erörtert Wordfence die zweite Sicherheitslücke. Der Plug-in-Code verhindert jedoch die Autorisierung nicht, wenn der API-Key leer ist. Sofern der API-Key noch nicht konfiguriert wurde, können Angreifer sich autorisieren, indem sie einen Token schicken, der dem leeren Hash-Wert entspricht und können ebenfalls die Plug-in-Funtkionen etwa zur Installation weiterer Plug-ins aufrufen.

Weiterlesen
  66 Aufrufe

Mehrere Softwareschwachstellen gefährden Qnap NAS

Es sind wichtige Sicherheitsupdates für verschiedene NAS-Modelle von Qnap erschienen. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall eigene Befehle ausführen und Geräte kompromittieren. Qnaps Routerbetriebssystem QuRouter OS ist ebenfalls verwundbar.

Anzeige

Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, sind neben den NAS-Betriebssystemen QTS und QuTS hero noch die NAS-Anwendungen AI Core, OpenSSH, Media Streamin Add-on, Notes Station 3 und QuLog Center angreifbar.

Bislang hat Qnap keine Attacken vermeldet. Besitzer von NAS-Geräten sollten die verfügbaren Sicherheitsupdates gleichwohl zeitnah installieren.

Die Schwachstelle in QuLog Center (CVE-2024-48862 "hoch") lässt unbefugte Zugriffe auf Daten zu. Eine "kritische" Lücke (CVE-2024-38645) in Notes Station 3 sorgt ebenfalls für einen möglichen Datenleak. Der Großteil der Lücken in QTS und QuTS hero ist mit dem Bedrohungsgrad "mittel" eingestuft (etwa CVE-2024-37024). In diesem Beispiel können sich Angreifer höhere Nutzerrechte verschaffen.

Weiterlesen
  85 Aufrufe

Prochinesische Desinformation: Google entfernt 1000 Domains von Google News

Google hat in den vergangenen zwei Jahren mehr als 1000 Websites von Google News und Google Discover ausgeschlossen, die als angeblich unabhängige Nachrichtenportale getarnt waren, aber für chinesische Positionen werben sollten. Das teilte die Threat Intelligence Group des US-Konzerns mit und ergänzte, dass alle Seiten von gerade einmal vier Firmen betrieben wurden, die damit gegen die Vorgaben für "irreführendes Verhalten und redaktionelle Transparenz" verstoßen hätten. Wer genau dahinter steckt, kann Google nach eigener Aussage nicht angeben, es erwecke aber den Anschein, als handle es sich um einen "gemeinsamen Kunden", der die Verbreitung von Propaganda für die Volksrepublik outgesourct habe. Es handle sich um ein weiteres Beispiel für privatwirtschaftliche PR-Firmen, die koordinierte Kampagnen zur Meinungsbeeinflussung übernehmen. Die eigentlichen Verantwortlichen könnten auf diesem Weg jegliche Verbindung leugnen.

Anzeige

Auf Basis der Domainnamen hat man bei Google zusammengetragen, dass die Seiten für Menschen in den unterschiedlichsten Ländern gedacht waren. In der Aufzählung finden sich auch Deutschland, Österreich und die Schweiz sowie die USA, Russland, Frankreich, Polen, Japan und viele mehr. Außerdem sei teilweise gezielt die chinesische Diaspora angesprochen worden. Herausgestochen ist demnach eine PR-Firma namens "Haixun", von der mehr als 600 Domains entfernt wurden. Über Angebote zur Verbreitung von Pressemitteilungen sei es der Firma im vergangenen Jahr sogar gelungen, "Pro-Peking-Inhalte" auf Subdomains legitimer Nachrichtenportale zu platzieren. Trotzdem seien die meisten Inhalte von geringer Qualität, neben der Propaganda gebe es auch Füllmaterial, "etwa zum Metaverse". Eine andere Firma habe Seiten erstellt, die angeblich Lokalnachrichten enthalten.

Das in einem ausführlichen Blogeintrag beschriebene Vorgehen zeige, wie bestimmte Akteure neue Taktiken entwickelt hätten, die über soziale Netzwerke hinausgingen, um Meinungen zu beeinflussen, schreibt Google. Ähnliche Versuche habe man auch bereits von Verantwortlichen aus Russland und dem Iran beobachtet. Indem die ihre Angebote als unabhängige und oft lokale Nachrichtenseiten ausgeben, könnten sie ihre Inhalte als legitim tarnen. Dabei seien die aber von PR-Firmen erstellt und verbreitet worden, ohne dass diese Hintergründe transparent gemacht werden. Die Darstellung als lokale und unabhängige Berichterstattung sei eine aktive Falschdarstellung. Man werde die intern als "Glassbridge" bezeichnete Kampagne weiter im Blick behalten und die Inhalte von Googles Seiten fernhalten.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Martin Holland)

  83 Aufrufe

ChatGPT: Code mit betrügerischer API kostet Programmierer 2500 US-Dollar

Ein Kryptowährung-Interessierter hat auf X berichtet, dass sein Programmierversuch mit ChatGPT ihn um 2500 US-Dollar gebracht hat. Er wollte mit der künstlichen Intelligenz einen sogenannten Bump Bot programmieren, um seine Token auf einer Kryptowährungshandelsplattform auf Discord-Servern zu bewerben.

Anzeige

Womit er nicht gerechnet habe sei, dass ChatGPT ihm eine betrügerische Solana-API-Webseite vorschlagen würde. Er erklärt, dass er von ChatGPT vorgeschlagenen Code übernommen habe, der den privaten Key über die API überträgt. Außerdem habe er seine Haupt-Solana-Wallet benutzt. "Wenn du in Eile bist und so viele Dinge auf einmal machst, ist es leicht, Fehler zu machen", resümiert der Programmersteller mit dem Handle "r_ocky.eth".

r_ocky.eth ist offenbar nicht weiterreichend mit Sicherheit oder Programmierung vertraut: Private Schlüssel gibt man nicht heraus, sondern nutzt sie, um damit Nachrichten zu verschlüsseln. Softwareentwicklung sollte zudem nie mit einem "Produktivkonto" erfolgen, sondern mit einem gesonderten Test-Konto. Der Codeschnipsel, von dem er einen Screenshot zeigt, nennt sogar offen, was er anstellt: "Payload for POST request" ist als Kommentar zu lesen, worauf als Erstes bereits der private Schlüssel folgt, den Programmierer eintragen sollen.

Der Betrüger hinter der API war schnell, berichtet der Betrogene, kurz nach der Nutzung der API habe er alle seine Krypto-Assets aus der Wallet an seine eigene übertragen. Das erfolgte bereits innerhalb von 30 Minuten, nachdem er eine Anfrage übertragen hatte. Schließlich habe er das Gefühl gehabt, etwas falsch gemacht zu haben, aber er habe sein Vertrauen in OpenAI verloren. Den Chatverlauf mit dem betrügerischen Programmcode habe er an OpenAI gemeldet. Über das betrügerische Repository habe er Github informiert, woraufhin es rasch entfernt wurde.

Weiterlesen
  76 Aufrufe

Social Media erst ab 16: Elon Musk mischt sich in australische Debatte ein

In Australien haben die entscheidenden Auseinandersetzungen über ein geplantes Gesetz begonnen, das Kindern und Jugendlichen unter 16 Jahren die Nutzung von sozialen Netzwerken verbieten soll. Die Regierungskoalition plädiert für eine Verabschiedung noch in dieser Woche, nachdem die Pläne erst Anfang des Monats konkretisiert worden waren. Vor dem Wochenende hat sich dann auch der einflussreiche US-Milliardär Elon Musk eingemischt und behauptet, die Pläne sähen nach einer Hintertür aus, um den Zugang zum Internet für alle Menschen in Australien zu kontrollieren. Finanzminister Jim Chalmers hat das zurückgewiesen und versichert, dass es für seine Regierung "keine besonders große Überraschung" sei, dass Musk mit dem Plan nicht sehr zufrieden ist. Aber das beunruhige ihn nicht, immerhin gehe es um den Schutz von Kindern.

Anzeige

Der Anfang November vorgestellte Vorstoß sieht vor, dass es Kindern ausnahmslos untersagt werden soll, soziale Netzwerke zu benutzen. Auch eine Erlaubnis von Erziehungsberechtigten würde daran nichts ändern. Betroffen wären laut der Nachrichtenagentur AP der Kurznachrichtendienst X (von Elon Musk), TikTok, Facebook, Snapchat, Reddit und Instagram. Auch YouTube könnte das Verbot unter Umständen treffen. Das Gesetz soll in dieser Woche im Parlament beraten und schon am Donnerstag beschlossen werden. Während es aber anfangs noch eine breite Zustimmung auch in der Opposition dafür gab, hat sich der Wind zuletzt womöglich gedreht. Laut dem Sydney Morning Herald sind zuletzt Sorgen gestiegen, dass es sich tatsächlich um einen ersten Schritt hin zu einer strikteren Kontrolle des Internets handelt. Sollte der Gesetzentwurf verabschiedet werden, könnte das Gesetz in einem Jahr in Kraft treten.

Im Rahmen der Beratungen hat am Montag die Chefin einer Lobbygruppe für große IT-Konzerne mehr Zeit gefordert, berichtet AP. Vom Parlament werde erwartet, dass es ein Gesetz verabschiedet, von dem es nicht wisse, wie es funktioniert, kritisierte sie demnach. Vorgesehen sind demnach unter anderem mehr als 30 Millionen Euro Strafe für Anbieter, die systematisch daran scheitern, Kindern den Zugang zu verweigern. Die Lobbyistin wurde intensiv befragt, schreibt die Nachrichtenagentur weiter, und der Wahrheitsgehalt einiger Behauptungen sei angezweifelt worden. So habe ein Abgeordneter erfahren wollen, wie es seinem zehnjährigen Stiefsohn eigentlich gelungen sein könne, schon seit seinem achten Lebensjahr Accounts auf Instagram, Snapchat und YouTube zu haben. Nominell liegt das Mindestalter dort bei 13 Jahren. In diesem Bereich müsse sich die Industrie verbessern, so die Antwort.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Martin Holland)

  81 Aufrufe

heise-Angebot: iX-Workshop: Innerdeutsche E-Rechnungspflicht - Software richtig implementieren

Ab 2025 tritt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich in Kraft. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Januar
13.01. + 15.01. + 17.01.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 15. Dez. 2024
Februar
17.02. + 19.02. + 21.02.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 19. Jan. 2025

Der Workshop findet vom 13. bis 17. Januar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (13., 15. und 17. Januar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

Weiterlesen
  67 Aufrufe

NAS nicht benutzbar: Qnap streicht fehlerhaftes Sicherheitsupdate

Derzeit mehren sich im Internet Probleme mit Netzwerkspeichern (NAS) von Qnap: Nach der Installation eines aktuellen Sicherheitsupdates können sich Nutzer unter anderem nicht mehr anmelden oder auf Freigaben zugreifen. Mittlerweile hat der Hersteller die Probleme bestätigt und den fehlerhaften Patch zurückgezogen.

Anzeige

Das problematische Update trägt die Kennung QTS 5.2.2.2950 build 20241114 und wurde am 15. November 2024 veröffentlicht. Dem Beitrag zu dieser Version zufolge hat es unter anderem mehrere Sicherheitsprobleme gelöst. Welche das konkret sind, geht aus dem Beitrag aber nicht hervor.

Nach der Installation kommt es bei Nutzern zu Problemen und sie können nicht mehr auf ihre SMB-Freigaben zugreifen. Andere können sich nicht mehr anmelden. Mittlerweile hat Qnap das Problem bestätigt und die Firmware zurückgezogen.

Der Fehler findet sich dem Qnap-Support zufolge im Kontext der DOM-sekundären Partition. Wann die Entwickler das Problem lösen, ist bislang nicht bekannt. Um wieder Zugriff zu bekommen, sollen Betroffene via Qfinder Pro auf die Firmware 5.2.1 downgraden. Daraus folgernd müssten die Geräte auch wieder anfällig für Attacken auf die mit 5.2.2 geschlossenen Sicherheitslücken sein.

Weiterlesen
  79 Aufrufe

Neue Wireshark-Version schließt zwei Absturz-Lücken

Sind Attacken auf Wireshark erfolgreich, können Angreifer die Anwendung abstürzen lassen. Aktuelle Versionen sind vor solchen Angriffen geschützt.

Anzeige

In einem Beitrag geben die Entwickler an, zwei Sicherheitslücken in der aktuellen Ausgabe 4.4.2 geschlossen zu haben. Setzen Angreifer erfolgreich an der ersten Softwareschwachstelle an, können sie durch das Versenden eines präparierten Pakets die CPU überlasten (CVE-2024-11595 "hoch"). Im zweiten Fall kann die Anwendung durch die Verarbeitung einer speziellen Anfrage abstürzen (CVE-2024-11596 "hoch").

Neben Wireshark 4.4.2 sei auch die Version 4.2.9 gegen die geschilderten Attacken geschützt. Die Entwickler geben an, dass es zurzeit keine Hinweise auf Exploits für die Lücken gibt.

Die Entwickler haben aber nicht nur Sicherheitsprobleme gelöst, sondern auch einige Bugs beseitigt. So wird etwa das iPhone-Mirroring unter macOS nicht mehr unterbrochen. Außerdem gelingt die Verarbeitung von RTCP-Paketen wieder, sie war ab Version 4.4.1 gestört. Zusätzlich unterstützt die aktuelle Ausgabe nun neue Protokolle wie ARTNET und ZigBEE ZCL.

Weiterlesen
  75 Aufrufe

Sicherheitsupdates für Drupal: Schadcode-Attacken auf Webbrowser möglich

Mangelhafte Input Validation macht bisherige Versionen von Drupal angreifbar. Stimmen die Voraussetzungen, können Angreifer über kompromittierte, mit Drupal erstellte Websites Schadcode im Webbrowser von Opfern ausführen. Es sind noch weitere Attacken denkbar. Sicherheitspatches sind verfügbar.

Anzeige

Wie aus einer Warnmeldung hervorgeht, ist von der Webbrowser-Schadcode-Attacke ausschließlich Drupal 7 mit aktiviertem Overlay-Modul gefährdet. Weil in diesem Kontext Nutzereingaben nicht ausreichend überprüft werden, können Angreifer im Zuge einer Reflected-XSS-Attacke Schadcode im Webbrowser von Opfern ausführen. Die Entwickler führen keine CVE-Nummer auf. Sie stufen die Gefahr als "kritisch" ein. Dagegen ist Drupal 7.102 gerüstet.

Der Großteil der verbleibenden Schwachstellen ist als "moderat kritisch" gekennzeichnet. An diesen Stellen kann es unter anderem zu einer PHP Code Injection kommen, sodass Angreifer eigenen Code ausführen können. In einem anderen Fall ist die Authentifizierung umgehbar und Angreifer können sich mit einer E-Mail-Adresse eines anderen Nutzers anmelden. Von diesen Lücken sind verschiedene Ausgaben von Drupal 7, 8, 10 und 11 betroffen.

Bislang gibt es noch keine Hinweise auf bereits laufende Attacken. Website-Admins sollten aber dennoch zügig handeln und die verfügbaren Sicherheitsupdates installieren.

Weiterlesen
  76 Aufrufe

Phishing-Warnung: Kriminelle missbrauchen Black-Friday-Trubel

Die Angebotswochen rund um den "Black Friday" haben begonnen. Online-Betrüger nutzen die Gelegenheit, um Opfer mit gefälschten Warnungen vor unbefugten Zugriffen etwa aus den Niederlanden zu ködern.

Anzeige

Mit solchen Mails versuchen Phisher, ihren Opfern unbekannte Malware – möglicherweise Spyware – unterzuschieben.

(Bild: Phishingradar / Verbraucherzentrale.de)

Im Phishingradar warnen die Verbraucherzentralen, dass seit Freitag betrügerische E-Mails im Umlauf sind, die zum Gegenstand haben, dass unbekannte Zugriffe auf das Konto zu einer vorübergehenden Sperrung des Kontos führe. Die Betreffzeile laute etwa "Wichtige Warnung: Ungewöhnliche Aktivität erkannt". Mit dem Amazon-Logo wird der wohl größte Online-Händler, bei dem besonders viele bestellen, als Aufhänger missbraucht.

Weiterlesen
  70 Aufrufe

Nearest Neighbor Attack: Angriff über WLAN des Nachbarn

Die Security-Welt kennt jetzt eine neue Angriffsmethode auf geschützte Netzwerke: Die "Nearest Neighbor Attack", also: Angriff über den nahesten Nachbarn. Mit diesem Verfahren gelang es mutmaßlich den russischen Cyberangreifern der Gruppe APT28 in das Netz einer Firma in den USA einzudringen. Sie griffen dabei sowohl die Infrastruktur dieser Firma wie auch die eines benachbarten Unternehmens am selben Ort an.

Anzeige

Wie die Sicherheitsberater von Volexity berichten, erwischte es dabei einen ihrer Kunden. Der stellte verdächtige Zugriffe auf seine Systeme fest, konnte sich aber nicht erklären, wie die Angreifer in das Netz gelangen konnten. Eineinhalb Monate untersuchte Volexity den Vorfall, und kam zu mehreren Erkenntnissen: Die Eindringlinge hatten gezielt dieses Unternehmen im Februar 2022 angegriffen, weil es nicht näher benannte "Projekte in der Ukraine" betrieb, nach Daten dazu gesucht, und dafür auch eine Zero-Day-Lücke eingesetzt. Kurz darauf begann die russische Invasion der Ukraine.

In der Kombination, und weil man schon früher mit dieser Organisation zu tun hatte, ordnet Volexity den Angriff APT28 zu, die auch unter Namen wie Fancy Bear, Forest Blizzard, Sofacy oder, wie von Volexity bisher verwendet, GruesomeLarch bekannt sind. All diese Bezeichnungen, die von Sicherheitsforschern als Arbeitsnamen vergeben werden, meinen dieselbe Gruppe, die einen "Advanced Persistent Threat" (APT) darstellt, also eine Organisation, die über lange Zeit mit ausgeklügelten Methoden und hohem Aufwand eine Bedrohung darstellt.

Dahinter stecken laut gängiger Meinung von Sicherheitsforschern in der Regel Staaten, welche die Gruppen finanzieren, schützen und beispielsweise mit dem Übermitteln von Sicherheitslücken unterstützen. Die Zuordnung der Attacke auf den Kunden von Volexity war letztendlich nur möglich, weil Microsoft im April 2024 eine Methode von APT28 beschrieb, mit der diese eine Lücke in Windows ausgenutzt hatten. Volexity fand Teile dieses Verfahrens auch bei dem Angriff auf seinen Kunden. Das Tool dafür heißt "GooseEgg", und enthielt den Exploit, den man im Februar 2022 bei dem angegriffenen US-Unternehmen fand. Genauer: Teile davon, denn die Eindringlinge hatten viele ihrer Spuren verwischt, unter anderem, durch sicheres Überschreiben von freiem Speicherplatz mit dem in Windows integrierten Tool "cipher.exe".

Weiterlesen
  70 Aufrufe

heise-Angebot: iX-Workshop: Nach dem Einbruch – Digital Forensics & Incident Response (DFIR)

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

Weiterlesen
  0 Aufrufe

Minispiel auf Steam: Hacky macht Spieler zum filmreifen Meister-Hacker

Manchmal finden sich auf Steam kleine Perlen, die für ein paar unterhaltsame Stunden gut sind. Für Möchtegern-Computerhacker ist Hacky eine solche Perle. Das Spiel ist von den Hacking-Minispielen der Deus-Ex-Saga inspiriert und sorgt zwischendurch ohne große Einarbeitung und Hintergrundgeschichte für Kurzweil.

Anzeige

Hacky kommt in typischer Retrografik daher und kennt keinen "Light mode" – der Bildschirmhintergrund ist stets dunkel. Auf Wunsch lässt sich ein CRT-Effekt zuschalten, der die Krümmung der Bildröhre auch auf flunderflachen Laptopbildschirmen simuliert. Auch die Bedienung gemahnt an die neunziger Jahre: Gespielt wird mit der Tastatur, die Maus kommt nur in Menüs zum Einsatz.

Hackys Darstellung und Spielmechaniken erinnern an die Hacker-Szenen in Filmen der neunziger und frühen Nullerjahre. In Jurassic Park ("Das ist ein UNIX-System, damit kenne ich mich aus!"), Hackers und Password: Swordfish manipulierten die Protagonisten oft neongrüne Symbole und Zeichenketten mit beherztem Tastaturklappern, meist unter Zeitdruck oder Lebensgefahr.

Die Hintergrundgeschichte ist schnell erzählt: Im Auftrag einer mysteriösen Figur mit Kapuze übernimmt der Spieler – eine ebenfalls mysteriöse, jedoch etwas putzigere Figur mit Kapuze – die Kontrolle über Netzwerke, indem er sich von Knoten zu Knoten hangelt. Zum Sprung auf einen Netzknoten gibt der Spieler dessen Hostname ein und drückt die Entertaste; je nach Knotentyp kann er dann über weitere Kommandos Bitcoins, Mikrochips oder Kryptoschlüssel einsammeln.

Weiterlesen
  84 Aufrufe

"Schlimmsten-Liste": CISA veröffentlicht die Top 25 Softwarelücken des Jahres

Die Cybersecurity and Infrastructure Security Agency (CISA) hat in Zusammenarbeit mit dem von MITRE betriebenen Homeland Security Systems Engineering and Development Institute (HSSEDI) eine Top-25-Liste der gefährlichsten Software-Schwachstellen des Jahres 2024 veröffentlicht. Die 25 sind laut MITRE die am häufigsten vorkommenden und schwerwiegendsten hinter den 31,770 CVE-Datensätzen des Jahres 2024. Sie würden von Angreifern häufig genutzt, um Systeme zu kompromittieren, sensible Daten zu stehlen oder kritische Systeme zu sabotieren, schreibt die CISA auf ihrer Website.

Anzeige

Unternehmen und öffentlichen Stellen empfiehlt die Behörde, die Liste bei ihrer Software-Security-Strategie zu beachten. Die gelisteten Schwachstellen in Entwicklungs- und Procurementprozessen zu berücksichtigen, helfe, Sicherheitslücken im Kern des Softwarelebenszyklus zu vermeiden. So sollen Security-Verantwortliche die Top 25 bei Schwachstellenmanagement und Application-Testing-Prozessen berücksichtigen, Entwickler sollen sie zurate ziehen, um mögliche Schwachstellen mit hoher Priorität zu identifizieren. Laut Mitre können so ganze Fehlerklassen eliminiert werden, etwa solche, die die Speichersicherheit betreffen. Produkt- und Entwicklerteams sollen nach Möglichkeit die sogenannten Secure-by-Design-Praktiken in ihre Entwicklungsprozesse integrieren. Secure by Design meint, dass Hersteller von Software Best Practices aus dem Bereich der IT-Sicherheit im gesamten Design- und Entwicklungsprozess befolgen.

Daneben richtet sich die Liste an Einkäufer und Risikomanager: Sie sollen die Liste beim Einschätzen von Anbietern heranziehen und sogenannte Secure-by-Demand-Prinzipien in ihre Prozesse integrieren. Secure by Demand wiederum meint, dass Einkäufer darauf achten, Software nur bei Anbietern zu erwerben, die die Secure by-Design-Richtlinien der CISA befolgen.

Laut Mitre kann das Einbeziehen der Liste in die genannten Prozesse nicht nur das Auftreten von Sicherheitslücken verhindern, sondern auch bei der Analyse von Trends und der Priorisierung von Risiken helfen und unter Umständen eine Kostenreduktion herbeiführen. Transparenz im Umgang mit Schwachstellen und deren Management könne außerdem das Vertrauen der Kunden steigern.

Weiterlesen
  67 Aufrufe

Black Friday: Vorsicht vor schädlichen QR-Codes

Dazu gibt es neue Trends mit Bildern, denen man nicht ansieht, dass es QR-Codes sind. Cisco Talos hat QR-Codes aus Bildern in E-Mail-Nachrichten und angehängten PDF-Dateien zur Analyse extrahiert. Dabei kam heraus, dass QR-Codes effektiv die meisten Anti-Spam-Filter umgehen, sodass eine beträchtliche Anzahl ihren Weg in die E-Mail-Postfächer der Nutzer findet. “Besonders zur Schnäppchenzeit sollten Online-Shopper sehr genau abwägen, ob sie einen QR-Code scannen oder nicht – er könnte direkt zu kompromittierten Webseiten führen, auf denen dann zum Beispiel Bezahldaten gestohlen werden”, warnt  Thorsten Rosendahl von Cisco Talos in Deutschland.

Laut Talos-Daten sind etwa 60 Prozent aller E-Mails, die einen QR-Code enthalten, Spam. Wirklich bösartige QR-Codes sind in einer viel geringeren Anzahl von Nachrichten zu finden. Diese E-Mails enthalten zum Beispiel Links zu Phishing-Seiten.

Bei den häufigsten bösartigen QR-Codes handelt es sich in der Regel um Anfragen zur Multifaktor-Authentifizierung, die zum Phishing von Benutzerdaten verwendet werden. Das Scannen eines unbekannten oder verdächtigen QR-Codes ist gleichbedeutend mit einem Klick auf eine verdächtige URL.

Um die Situation noch komplizierter zu machen, gibt es inzwischen QR-Code-Bilder, die als „QR-Code-Art“ bezeichnet werden – Bilder, die die Datenpunkte eines QR-Codes nahtlos in ein künstlerisches Bild einfügen, so dass das Ergebnis überhaupt nicht wie ein QR-Code aussieht.

 

Original Autor: ZDNet-Redaktion

  81 Aufrufe

Black Friday: Zahl der ominösen Shopping-Websites steigt

Auch in diesem Jahr lockt der Black Friday zur Vorweihnachtszeit wieder mit zahlreichen Angeboten und Rabatten. Damit das Weihnachtsgeschäft keine bösen Überraschungen bereithält, hat Check Point Research (CRP) die Augen nach betrügerischen Websites, Markenimitation und Phishing-Methoden offengehalten, damit Verbraucher die hinterhältigen Nachahmungen frühzeitig erkennen ihre Geldbörse schützen können.

89 Prozent mehr Websites in Verbindung mit Black Friday als 2023

Ein Vergleich mit den Vorjahren zeigt einen auffälligen Trend: In den Wochen vor dem Black Friday ist die Zahl der neu registrierten Websites enorm gestiegen. Das laufende Jahr ist dafür exemplarisch: Zwei Wochen vor dem Black Friday sind im Vergleich zu 2023 satte 89 Prozent mehr Websites registriert worden, die thematisch mit dem Black Friday in Verbindung stehen. Noch beeindruckender ist, dass sich diese Zahl im Vergleich zu den Zahlen aus dem Jahr 2022 mehr als verdreifacht hat – ein Zeugnis dafür, dass Cyber-Kriminelle mit ihren Operationen erfolgreich sind und sich das finstere Geschäft mit dem Shopping-Rausch rasant herumgesprochen hat.

Obwohl nicht alle dieser Websites mit böswilliger Absicht erstellt wurden, zeigt die Analyse von CPR eine besorgniserregende Statistik: Etwa drei Prozent werden als riskant oder geradezu böswillig eingestuft, während praktisch keine als „sicher“ eingestuft werden konnte. Beim Großteil dieser Websites ist das Motiv hinter der Erstellung nicht klar identifizierbar, in der Regel handelt es sich um standardmäßige „geparkte“ Webseite, die mit Werbung und Links überladen sind. Dieses harmlose Erscheinungsbild kann sich jedoch schnell ändern und aus diesen Websites Plattformen für Phishing-Angriffe machen.

Die eindeutig bösartigen Websites, die CPR beobachtet hat, deuten auf einen weiteren beunruhigenden Trend hin. Die Websites geben sich nicht nur als bekannte globale Marken (auch „Brand Spoofing“ genannt) aus, sondern zielen auch auf kleinere Boutique-Marken, die möglicherweise weniger bekannt sind. Viele dieser betrügerischen Websites weisen ähnliche Designelemente und Formatierungen auf, was darauf hindeutet, dass hinter diesen betrügerischen Praktiken möglicherweise eine koordinierte Aktion steckt.

Beispiele für gefälschte „Black Friday“-Marken-Websites

Stüssy (Straßenkleidung): stussycanadablackfriday[.]comLongchamp (Taschen): longchampblackfriday[.]comWayfair (Online-Händler für Inneneinrichtung): wayfareblackfriday[.]comSOREL (Schuhe): soreloutletblackfriday[.]comJ.Crew (Einzelhandel): jcrewblackfriday[.]comIUN (Schuhe): blackfriday-shoe[.]top

„Sortiment“ der Fake-Websites: jcrewblackfriday[.]com, soreloutletblackfriday[.]com und longchampblackfriday[.]com (Quelle: Check Point Software Technologies Inc.)Recycelte Phishing-Kampagnen

Die Hauptmethode, um Opfer zu erreichen, besteht darin, betrügerische Phishing-E-Mails zu versenden, in denen erhebliche Rabatte und exklusive Angebote angeboten werden. Diese E-Mails sollen Benutzer verleiten, auf einen Link zu klicken, der sie auf eine gefälschte Website weiterleitet. Ein bemerkenswerter Trend, den wir in diesem Jahr beobachtet haben, ist, dass Angreifer immer wieder fast identische E-Mails und Websites verwenden und nur die E-Mail-Absender und Links ändern. Die folgenden Beispiele zeigen Nachahmungen der Luxusmarken Rolex und Louis Vuitton, die von den Drahtziehern fast eins zu eins vom Vorjahr übernommen wurden – lediglich mit neuen Absender-Adressen und URLs. Obwohl diese Phishing-Mails leichte Unterschiede aufweisen, bleibt das allgemeine Angriffsformat sehr ähnlich. Dies zeigt, dass Angreifer nur minimale Änderungen vornehmen müssen, um ihre groß angelegten Operationen fortzusetzen.

Weiterlesen
  87 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image