Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Roundcube Webmail: Angriffe mit gefälschten Anhängen

Im Webmailer Roundcube, der etwa im universitären Umfeld und auch bei Regierungsorganisationen häufig zum Einsatz kommt, versuchen Angreifer, eine Sicherheitslücke zu missbrauchen. Die Angreifer versuchten konkret, Zugangsdaten und weitere Mails der potenziellen Opfer abzugreifen, sie also auszuspähen.

Anzeige

Positive Technologies schreibt in einer Analyse, dass sie die Angriffe im September 2024 entdeckt haben. Eine E-Mail, die auf den Juni datierte, wurde dort an eine Regierungsorganisation eines GUS-Staates gesendet. Die E-Mail schien keinen Text zu enthalten, lediglich einen Anhang. Im Client wurde der Anhang jedoch nicht angezeigt. Ein Java-Befehl im Mail-Body dekodierte Javascript-Code, der ausgeführt wird. Der Attribut-Name "href " mit einem zusätzlichen Leerzeichen sei Indiz dafür gewesen, dass die Sicherheitslücke CVE-2024-37383 in Roundcube attackiert wurde.

Bei der Schwachstelle handelt es sich um eine Cross-Site-Scripting-Lücke bei der Verarbeitung von SVG-Animate-Attributen. Sie wurde in den Versionen Roundcube 1.5.7 und 1.6.7 im Mai geschlossen. Durch die Lücke können Angreifer Javascript-Code im Kontext von Nutzern ausführen lassen.

Die Angreifer-Mail hat mit den dekodierten Javascript-Anweisungen ein leeres Dokument "Road map.docx" gespeichert, das Base64-kodiert wurde. Zudem versuchten sie, Nachrichten vom Mailserver mit dem Managesieve-Plug-in zu erhalten. Außerdem zeigte der Code ein Autorisierungsformular für die Zugangsdaten zum Roundcube-Client an. Hier hoffen die Angreifer, dass die Felder automatisch oder manuell von den Opfern befüllt werden, die glauben, dass sie sich erneut anmelden müssen.

Weiterlesen
  75 Aufrufe

Bug-Bounty-Programm: Sicherheitsforscher sollen Googles Cloud quälen

Um die Sicherheit seiner Cloud-Dienste zu verbessern, hat Google ein neues Bug-Bounty-Programm gestartet. Dabei können Sicherheitsforscher bis zu 100.000 US-Dollar für das Entdecken einer Sicherheitslücke kassieren. Das geht aus einem aktuellen Beitrag hervor.

Anzeige

Das Ziel ist es, Sicherheitslücken vor Angreifern zu entdecken und die Schwachstellen zu schließen. Google gibt an, dass Sicherheitsforscher ab sofort mehr als 150-Cloudservices unter die Lupe nehmen können, die sensible Nutzerdaten verarbeiten. Darunter sind Dienste wie Cloud Scheduler, Looker und Vertex AI.

In einem Beitrag hat Google die Spielregeln für das Bug-Bounty-Programm zusammengetragen. Nur wenn sich Sicherheitsforscher daran halten, haben sie Anspruch auf eine Geldprämie. Beispielsweise zählen Attacken durch Sicherheitslücken in veralteten Browser-Plug-ins nicht.

Erfüllt ein Bericht eines Sicherheitsforschers die Anforderungen und entdeckt er in einem Cloud-Produkt auf Tier 1 eine Schadcode-Lücke, winken maximal 101.010 US-Dollar. Auch die Qualität eines Reports zu einer Lücke beeinflusst die Höhe des Geldbetrags. Wichtig ist vor allem eine nachvollziehbare Beschreibung, sodass die Google-Techniker den Bug nachvollziehen können. Hinweise zu Schwachstellen reichen Sicherheitsforscher über ein Onlineformular ein.

Weiterlesen
  70 Aufrufe

Verbraucherzentrale warnt vor falscher Elster-App und "GEZ"-Rückzahlung

Online-Betrüger versuchen inzwischen, potenzielle Opfer zur Installation bösartiger Apps zu verleiten. Zudem versuchen sie, an Daten von Empfängern zu gelangen, die auf eine Rundfunkgebühren-Erstattung hoffen. Davor warnt die Verbraucherzentrale Nordrhein-Westfalen.

Anzeige

Die Online-Betrüger schicken Nachrichten, die Druck aufbauen, sodass Opfer die bösartige "ElsterSecure+"-App installieren.

(Bild: Verbraucherzentrale NRW)

In einer aktuellen Mitteilung erklären die Verbraucherschützer, dass zum vorvergangenen Wochenende Phishing-E-Mails in den Postfächern von Empfängern landeten, die diese mit dem Betreff "Ihr Digitales Zertifikat - Handlungsbedarf" zur Installation der App "ElsterSecure+" aufforderten. Druck baut der Nachrichtentext dadurch auf, dass er auf "Mitwirkungspflicht im Rahmen der steuerlichen Nachweisführung" hinweist. Die Installation der App sei nötig, sie diene "der sicheren Authentifizierung und dem Schutz ihrer sensiblen Daten im Rahmen der digitalen Steuerkommunikation".

Weiterlesen
  61 Aufrufe

Microsoft Azure: TLS 1.0 und 1.1 fliegen am 31. Oktober raus

Microsoft beendet nun in den Azure-Cloud-Systemen die Unterstützung der Protokolle TLS 1.0 und TLS 1.1. Zum 31. Oktober zieht das Unternehmen den als veraltet geltenden Protokollen dort den Stecker. Das hat Auswirkungen, etwa auf spezielle Anwendungen.

Anzeige

Ende August hatte Microsoft nochmals auf das Support-Ende der als unsicher geltenden TLS-Altlasten hingewiesen. Nach dem 31.10.2024 erfordern Verbindungen für Interaktionen mit den Azure-Diensten demnach mindestens eine Sicherung mit TLS 1.2 oder höher. Microsoft will damit die Sicherheit erhöhen und eine "erstklassige Verschlüsselung ihrer Daten" gewährleisten.

Dem gehen jedoch keine konkreten Angriffe voraus, es sei "nicht bekannt, dass die Microsoft-Implementierung älterer TLS-Versionen gefährdet ist". Bezüglich des Schutzes vor Knacken mitgeschnittener Kommunikation mittels "Perfect Forward Secrecy" und allgemein stärkeren Cipher Suites böten TLS 1.2 und spätere Versionen jedoch bessere Sicherheit.

Ein jüngerer Microsoft-Artikel von Ende September spricht jedoch davon, dass etwa Azure Front Door TLS 1.0 und TLS 1.1 noch bis Ende November 2024 unterstützt. Das betreffe auch Nutzerinnen und Nutzer des Dienstes Azure CDN. Warum Microsoft hier unterschiedliche Daten nennt, bleibt unklar.

Weiterlesen
  74 Aufrufe

Sicherheitsupdates: DoS-Attacken auf IBM-Software möglich

Mehrere Anwendungen von IBM sind für DoS-Attacken anfällig. Nun sind Sicherheitsupdates erschienen, die mehrere Lücken schließen.

Anzeige

Am gefährlichsten gilt in diesem Kontext eine Schwachstelle (CVE-2023-51775 "hoch") in SPSS Collaboration and Deployment Services von WebSphere Application Server. Konkret betrifft die Lücke die jose4j-Bibliothek.

Wie so eine Attacke ablaufen könnte, ist derzeit nicht bekannt. Unklar bleibt auch, ob es bereits Attacken gibt und wie Admins bereits kompromittierte Systeme erkennen können. Wie aus einer Warnmeldung hervorgeht, ist die Ausgabe 8.5.0.0-IM-ScaDS-REPOSITORYSERVER-IF014 gegen die geschilderte Attacke gerüstet.

Darüber hinaus haben die Entwickler noch weitere DoS-Schwachstellen (CVE-2024-45085 "mittel", CVE-2024-7254 "hoch") in WebSphere Application Server geschlossen. An dieser Stelle betrifft eine Schwachstelle etwa die Google-Protocol-Buffers-Bibliothek.

Weiterlesen
  87 Aufrufe

heise-Angebot: iX-Workshop: Aufgaben eines Informationssicherheitsbeauftragten

In einer Zeit, in der Informationssicherheit immer wichtiger wird, sind kompetente Informationssicherheitsbeauftragte (ISB) gefragter denn je. Sie spielen eine Schlüsselrolle, wenn es darum geht, Sicherheitsrisiken zu minimieren und den Schutz sensibler Daten zu gewährleisten. Mitarbeiter werden zu Informationssicherheitsbeauftragten (ISB) ernannt. Hierbei sollte für Leitung wie auch zukünftige Beauftragte klar sein, welche Erwartungen, Verantwortlichkeiten und Befugnisse mit der Rolle verbunden sind und welche Kompetenzen hierfür erforderlich sind.

Anzeige

Der Einstiegsworkshop Startklar: Ihre Rolle als Informationssicherheitsbeauftragte bietet einen umfassenden Überblick über die Aufgaben und Verantwortlichkeiten von ISBs, wie auch die Anforderungen, die an diese gestellt werden. Die Schulung erläutert zudem den Stellenwert des ISB im Unternehmen, sowie die notwendigen Rahmenbedingungen, die von der Organisationsleitung geschaffen werden müssen, damit ein ISB seine Rolle effektiv steuern und angehen kann.

Zu Beginn des Workshops werden Grundlagen zur Informationssicherheit und zum Informationssicherheitsmanagement vorgestellt. Wir stellen dar, weshalb die Tätigkeiten von ISBs in ein Managementsystem integriert sein sollten und wie diese arbeiten. Prototypisch orientieren wir uns an einem ISMS nach ISO 27001 als international führenden Standard.

Im weiteren Verlauf stellen wir Aufgaben und Verantwortlichkeiten sowie die Stellung innerhalb einer Organisation vor. Wir betrachten, welche Kenntnisse in Bezug auf Informationssicherheit, IT und soziale Fähigkeiten von Vorteil sind. Zudem werden die Schnittstellen des ISB zu internen und externen Akteuren, Teamarbeit, notwendige fachliche Kenntnisse und Soft-Skills besprochen. Der Workshop schließt mit einer Übersicht über relevante Schulungen und unterstützende Tools.

Weiterlesen
  89 Aufrufe

Atlassian: Schwachstellen machen Bitbucket, Confluence und Jira verwundbar

Atlassian hat das Security-Bulletin für den Oktober veröffentlicht. Darin beschreibt das Unternehmen sechs Sicherheitslücken, die in Bitbucket, Confluence und Jira klaffen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert.

Anzeige

In der Sicherheitsmitteilung erörtern Atlassians Entwickler, dass etwa die gebündelte Java Runtime Environment (JRE) in Bitbucket Data Center und Server nicht authentifizierten Angreifern ermöglicht, unbefugt Daten lesen, löschen, schreiben oder verändern können (CVE-2024-21147, CVSS 7.4, Risiko "hoch"). Bitbucket Datacenter 9.2.1 und 8.19.19 (LTS) korrigieren die Fehler, ebenso Bitbucket Data Center und Server 8.9.20 (LTS) – und natürlich jeweils neuere Fassungen.

In Confluence Data Center und Server hingegen gefährden etwa eine Stored Cross-Site-Scripting-Lücke (CVE-2024-4367, CVSS 8.1, hoch), eine Regular Expression Denial-of-Service (ReDoS)-Lücke (CVE-2022-31129, CVSS 7.5, hoch), eine Directory-Traversal-Schwachstelle (CVE-2022-24785, CVSS 7.5, hoch) sowie eine Denial-of-Service-Sicherheitslücke (CVE-2024-29131, CVSS 7.3, hoch) die Sicherheit der Software. Confluence Data Center neuer als 9.0.0 oder von 8.9.3 bis 8.9.7 und Confluence Data Center und Server 8.5.11 bis 8.5.16 sowie 7.19.26 bis 7.19.28 (LTS) und aktueller stopfen die Sicherheitslecks.

In Jira Data Center und Server hingegen können Angreifer aus dem Netz ohne vorherige Authentifizierung einen Stack-basierten Pufferüberlauf auslösen (CVE-2024-7254, CVSS 7.5, hoch). Dies habe lediglich Einfluss auf die Dienstverfügbarkeit, erörtern Atlassians Entwickler. Es handelt sich offenbar um eine DoS-Lücke, sie scheint der Beschreibung nach keine Ausführung von eingeschleustem Code zu erlauben, was bei Pufferüberläufen oft der Fall ist. Jira Data Center 10.1.1 und 5.17.4 sowie Jira Data Center und Server 5.12.14 (LTS) korrigieren den sicherheitsrelevanten Fehler.

Weiterlesen
  79 Aufrufe

Millionenschwere Transaktion: Sophos übernimmt Secureworks

Das IT-Sicherheitsunternehmen Sophos wird die US-amerikanische Cybersecurityfirma Secureworks übernehmen. Eine entsprechende endgültige Übernahmevereinbarung für 859 Millionen US-Dollar in bar machte das in Großbritannien ansässige Unternehmen am Montag öffentlich. Sophos hofft, durch den Deal seine Produktpalette für Unternehmenskunden weltweit zu stärken.

Anzeige

"Die Erfahrung und der Ruf von Sophos als führender Anbieter von Managed Security Services und End-to-End-Sicherheitsprodukten in Kombination mit dem in die Taegis-Plattform eingebrachten Fachwissen von Secureworks im Bereich der Sicherheitsabläufe wird voraussichtlich zu weiteren ergänzenden fortschrittlichen MDR- und XDR-Lösungen führen, von denen ihre globalen Kunden profitieren", heißt es in einer Pressemitteilung von Sophos. XDR (Extended Detection and Response) und MDR (Managed Detection and Response) sind fortschrittliche Konzepte in der IT-Sicherheit. Sie zielen auf eine umfassende Bedrohungserkennung und -abwehr ab. Sophos hat seine Stärken bei Cloud- und Netzwerksicherheitslösungen, während die Dell Technologies-Tochter Secureworks Produkte für die Erkennung fortgeschrittener Cyber-Bedrohungen anbietet, wie die erwähnte Cloud-basierte Plattform Taegis.

"Sophos plant, die Lösungen beider Unternehmen in ein breiteres und stärkeres Sicherheitsportfolio zu integrieren", erklärte ein Unternehmenssprecher gegenüber heise online. "Dazu gehört, dass Sophos sein aktuelles Portfolio um weitere neue Angebote wie Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR), SIEM-Funktionen der nächsten Generation, Sicherheit in der operativen Betriebstechnologie (OT) und verbesserte Priorisierung von Schwachstellenrisiken erweitert."

Laut der Nachrichtenagentur Reuters hat Secureworks trotz Anwendungen wie Taegis Schwierigkeiten, seine Produkte im Wettbewerb mit größeren Cybersicherheitsanbietern zu unterscheiden. Im zweiten Quartal des Jahres meldete das Unternehmen demnach einen Verlust von 17 US-Cent pro Aktie. Eigentümer Dell Technologies ließ daraufhin das Interesse von potenziellen Käufern an einer Übernahme prüfen. Frühere Verkaufsversuche waren erfolglos geblieben.

Weiterlesen
  79 Aufrufe

heise-Angebot: iX-Workshop: Rechtskonform – IT-Produkte nach EU-Recht prüfen und zertifizieren

Neue regulatorische Anforderungen auf EU-Ebene durch den Cyber-Security-Act veranlassen Hersteller, ihre erstellte Software und Hardware in Bezug auf Sicherheit zu prüfen und zertifizieren zu lassen. Doch welche Richtlinien und Vorgaben müssen in Deutschland und auf dem europäischen Markt berücksichtigt werden?

Anzeige

In unserem Online-Workshop CRA-konform: Digitale Produkte auf Sicherheit prüfen und zertifizieren erhalten Sie an zwei Vormittagen einen umfassenden Einblick in die gängigen Verfahren auf diesem Gebiet. Dazu gehören unter anderem die Common Criteria for Information Technology Security Evaluation (CC), das beschleunigte Sicherheitszertifizierungsverfahren (BSZ) des Bundesamtes für Sicherheit in der Informationstechnik sowie das Sicherheitsframework NESAS (Network Equipment Security Assurance Scheme) und Prüfungen nach IEC 62443-4-2 (Industrial Security).

Sie gewinnen ein Verständnis für die angewandten Prüfungsmethoden und lernen, wie Sie die notwendigen Schutzmaßnahmen in Ihre IT-Produkte integrieren können. Ihr Trainer Sebastian Fritsch ist Leiter der BSI Common Criteria (CC) Prüfstelle der secuvera und verfügt über mehr als 10 Jahre Erfahrung als Gutachter, Auditor und Berater.

Der nächste Workshop findet am 19. und 20. November 2024 jeweils von 9:00 bis 12:30 Uhr statt. Die Schulung bietet ausreichend Gelegenheit für individuelle Fragen und den Austausch mit Experten.

Weiterlesen
  90 Aufrufe

Zugriff auf Kamera, Mikrofon und Browser-Daten: Microsoft entdeckt Safari-Lücke

Microsoft hat Details zu einer macOS-Lücke veröffentlicht, mit der es unter Umständen möglich war, sensible Browser-Daten in Apples Safari abzugreifen – darunter auch den Zugriff auf Kamera, Mikrofon und weitere Informationen. Betroffen waren Firmen- und Bildungskunden, deren Geräte mittels Mobile Device Management (MDM) administriert werden, nicht jedoch reguläre Anwender.

Anzeige

Der Fehler trägt die CVE-ID 2024-44133 und wurde im Rahmen der Veröffentlichung von macOS 15 Sequoia am 16. September behoben – in macOS 14.7, das gleichzeitig veröffentlicht wurde, allerdings aus bislang unklaren Gründen nicht. Apple beschreibt den Bug selbst so: "Auf Geräten, die über MDM verwaltet werden, kann eine App möglicherweise bestimmte Datenschutzeinstellungen umgehen." Betroffen sind alle aktuellen Macs: iMac ab 2019, iMac Pro ab 2017, Mac Studio ab 2022, Mac Pro ab 2019, Mac mini ab 2018, MacBook Air ab 2020 und MacBook Pro ab 2018.

Der Fehler, den Microsofts Sicherheitsteam "HM Surf" getauft hat, betrifft die Art, wie macOS Zugriff auf sensible Systemfunktionen erteilt – im Rahmen der TCC-Technik (Transparency, Consent and Control). Wie Microsoft festgestellt hat, wurden für Safari verschiedene lokale Dateien vorgehalten, die die TCC-Policy für den Browser steuern. Sie schreiben unter anderem fest, wenn man einer Website Zugriff auf Kamera oder Mikrofon erteilt hat.

Den Microsoft-Forschern gelang es, die TCC-Dateien zu verändern, indem sie das Home-Verzeichnis kurzzeitig veränderten, was durch TCC eigentlich nicht möglich sein dürfte. Dabei setzten sie das Kommandozeilenwerkzeug DSCL ein. Nach Veränderung des Home-Verzeichnisses war es möglich, die Safari-TCC-Konfiguration zu verändern; anschließend wurde das Home-Verzeichnis wieder zurückgesetzt, sodass die veränderte Konfiguration ausgelesen wurde, um einer Angreifer-Website Zugriff auf die Kamera oder das Mikrofon zu erteilen.

Weiterlesen
  79 Aufrufe

heise-Angebot: IT-Sicherheitstag Gelsenkirchen: Jetzt noch Frühbucherrabatt sichern

Wie eng verzahnt und anfällig für Achillesfersen die IT-Infrastruktur ist, hat zuletzt das Crowdstrike-Debakel gezeigt, bei dem ein Softwarefehler weltweit bei 8,5 Millionen Windows-System zu Totalausfällen führte. Der IT-Sicherheitstag an der Westfälischen Hochschule Gelsenkirchen zeigt am 21. November, wie Sicherheitsverantwortliche, Security-Experten und IT- Projektleiter mit der steigenden Komplexität der Systeme in ihren Unternehmen umgehen können.

Anzeige

Das Programm bietet den Teilnehmern dabei viele Möglichkeiten, sich untereinander und mit den Referenten zu vernetzen – letztere stehen in offenen Diskussionsrunden zur Beantwortung der drängendsten Fragen bereit. Veranstalter sind das Institut für Internetsicherheit und die heise academy.

Neben einer allgemeinen Einordnung zu Sicherheitswerkzeugen und Technologien, mit der Unternehmen die Komplexität managen können, beleuchtet eine Panel-Diskussion, wie man den regulatorischen Anforderungen begegnet und gegenüber sich ständig wandelnden Bedrohungen wettbewerbsfähig und resilient bleibt. Außerdem geht es darum, wie man seine empfindlichen Unternehmensdaten clientseitig verschlüsselt, damit das Lagern der Daten bei Cloudanbietern zu weniger Kopfschmerzen führt. Ein weiterer Vortrag zeigt, wie man digitale Signaturen nutzt, um seine Unternehmenskommunikation gegen Spear-Phishing-Angriffe zu wappnen.

Besonders ärgerlich ist es, wenn man selbst abgesichert ist, es aber einen Dienstleister in der eigenen Supply Chain trifft, von dem aus sich der Angriff ins eigene Netz ausbreitet. Auch im Zuge von NIS2 und dem Cyber Resilience Act (CRA) der EU müssen sich Unternehmen Gedanken über die Sicherheit ihrer IT-Lieferkette machen oder sich bewusst sein, dass sie ein wichtiges Kettenglied für andere Firmen darstellen. Die Software Bill of Materials (SBOM) hilft Unternehmen, die Anforderungen in Verträge und Prozesse zu integrieren, um rechtliche Risiken zu minimieren und die Sicherheit ihrer IT-Lieferketten zu gewährleisten.

Weiterlesen
  64 Aufrufe

Ubiquiti Unifi Network Server: Hochriskantes Leck ermöglicht Rechteausweitung

Ubiquiti warnt vor einer Sicherheitslücke im selbst gehosteten Unifi Network Server des Unternehmens. Das darin klaffende Sicherheitsleck ermöglicht Angreifern das Ausweiten ihrer Rechte und gilt dem Hersteller als schwerwiegende Schwachstelle.

Anzeige

Unter dem Namen Unifi bietet Ubiquiti Router, Switches, WLAN-Access-Points sowie Überwachungskameras oder "smarte" Türklingeln an. Diese lassen sich mit Admin-Oberflächen verwalten, die entweder in der Cloud beim Hersteller oder auf einem Unifi Network Server liegen, der On-Premises gehostet wird.

Ohne genauere Details zur Schwachstelle zu nennen, beschreibt Ubiquiti die Lücke folgendermaßen: Eine lokale Rechteausweitungslücke in selbst gehosteten Unifi Network Servern (Version 8.4.62 und ältere) ermöglicht bösartigen Akteuren mit lokalem Betriebssystem-Nutzerkonto, Aktionen mit hohen Privilegien auf dem Unifi Network Server auszuführen (CVE-2024-42028, CVSS 8.8, Risiko "hoch"). Um die Schwachstelle auszunutzen, scheinen aufgrund der hohen Risikobewertung keine größeren Klimmzüge nötig zu sein. Wie Admins einen erfolgreichen Missbrauch der Lücke erkennen können, erwähnen Ubiquitis Entwickler jedoch nicht.

Die Sicherheitslücke schrammt nur knapp an der höchsten Risikostufe "kritisch" vorbei. IT-Verantwortliche mit selbst gehosteten Unifi-Network-Servern sollten daher die bereitstehende Aktualisierung zügig herunterladen und installieren. Die zugrundeliegenden Fehler korrigiert die Unifi Network Application in Version 8.5.6 oder neuer.

Weiterlesen
  62 Aufrufe

Nächster Cyberangriff auf das Internet Archive: Zugriff auf unzählige E-Mails

Das Internet Archive wird weiterhin angegriffen. Laut The Verge und Einträgen auf Reddit haben Unbekannte offenbar Zugriff auf Systeme der Organisation und damit am Sonntag massenhaft E-Mails verschickt. Die seien an Adressen gegangen, über die Kontakt zum Internet Archive aufgenommen wurde. In den Mails wurde demnach beklagt, dass beim Internet Archive noch immer nicht gründlich genug gegen den Cyberangriff vorgegangen werde. Abschließend heißt es: "Wir hoffen, dass sie sich jetzt zusammenreißen können."

Anzeige

Vom Internet Archive selbst gibt es bislang noch keine Stellungnahme zu dem jüngsten Vorgang. Laut den E-Mails, deren Wortlaut The Verge öffentlich gemacht hat, haben die Unbekannten dank eines nicht ungültig gemachten Zugangs-Token Zugriff auf den Zendesk-Account des Internet Archive. Damit können sie nach eigenen Angaben mehr als 800.000 Support-Anfragen einsehen – und beantworten – die seit 2018 an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. gesendet wurden. Dass der Token weiterhin gültig sei, sei die Schuld des Internet Archive, heißt es in den E-Mails. Nur deshalb hätten die Informationen in die Hände "irgendeines Typs" gelangen können: "Wenn nicht ich, dann jemand anders."

Das Internet Archive ist seit Anfang des Monats im Visier unbekannter Angreifer. Unter anderem war es dabei gelungen, 30 Millionen Nutzerdaten von der Organisation zu erbeuten. Dahinter steckt wohl eine russische Hackergruppe. Hinzu kamen ein DDoS-Angriff und eine Defacement-Attacke, wobei es zwischen den Vorgängen wohl keinen direkten Zusammenhang gab. Auch deshalb ist unklar, von wem jetzt die E-Mails versendet wurden und in wessen Händen die dafür benötigten Zendesk-Daten sind. Unbekannt ist auch, warum die Organisation überhaupt so umfangreich attackiert wird.

Das Internet Archive hat es sich zur Aufgabe gemacht, flüchtige Daten für die Nachwelt aufzubewahren: Webseiten, Bücher, aber auch historische Software, Apps und Filme. Die nach US-Recht gemeinnützige Organisation hat dafür seit fast 30 Jahren einen gewaltigen Datenschatz angesammelt. Besonders bekannt und beliebt ist die Wayback Machine, mit der man sich alte Versionen von Internetseiten ansehen kann. Außerdem hat die Organisation den kleinen Inselstaat Aruba dabei unterstützt, große Teile des kulturellen Erbes zu digitalisieren und die Dokumente dann im Internet verfügbar gemacht.

Weiterlesen
  59 Aufrufe

Erfolge im Kampf gegen Cyber-Täter - Experten weiter gesucht

Um Kriminalität im Netz besser bekämpfen zu können, hält das Land Baden-Württemberg Ausschau nach mehr Experten. "Mit dem Cybercrime-Zentrum Baden-Württemberg konnten wir in den letzten Monaten bedeutende Erfolge bei der Bekämpfung komplexer Cyberkriminalität erzielen", betonte Justizministerin Marion Gentges (CDU).

Anzeige

Solche Erfolge seien nur möglich mit einer hohen fachlichen Kompetenz und außerordentlichem Engagement. Dem Ministerium zufolge wurde der IT-Bereich in dem neuen Zentrum deshalb kontinuierlich verstärkt. Doch die Gewinnung von IT-Personal sei angesichts des Wettbewerbs um qualifizierte Arbeitskräfte "besonders herausfordernd".

Das Cybercrime-Zentrum bei der Generalstaatsanwaltschaft Karlsruhe ging Anfang des Jahres an den Start. Es ist landesweit zuständig für besonders anspruchsvolle Verfahren der Cyberkriminalität, also von Straftaten, die sich gegen informationstechnische Systeme richten oder mit Computer- und Informationstechnik durchgeführt werden. An der Spitze des Zentrums steht die Leitende Oberstaatsanwältin Tomke Beddies.

Für das Zentrum sind 50,5 neue Stellen vorgesehen. Zum 1. Dezember dieses Jahres sind laut Ministerium 33 Personen dort tätig, darunter 16 Staatsanwälte und zwei IT-Referenten. Mit dem Cybercrime-Zentrum will das Land hochprofessionell agierenden Tätern geballte Kompetenz entgegensetzen.

Weiterlesen
  67 Aufrufe

Spring Framework: Angreifer können Dateien einsehen

Softwareentwickler, die mit Spring Framework arbeiten, sollten die Entwicklungsumgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls können Angreifer an zwei Sicherheitslücken ansetzen und Systeme attackieren.

Anzeige

In einer Warnmeldung führen die Entwickler zwei Sicherheitslücken (CVE-2024-38819 "hoch", CVE-2024-38820 "mittel") auf. Sie geben an, die Schwachstellen in der Ausgabe 6.1.14 geschlossen zu haben. Der Support für Spring Framework 5.3.x und 6.0.x ist einem Supportbeitrag zufolge im August dieses Jahres ausgelaufen. Die kommerziellen Releases 5.3.41 und 6.0.25 sollen den Fix aber enthalten.

Spring Boot ist in den Versionen 2.7.22.2, 3.0.17.2 und 3.1.13.2 abgesichert.

Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem über präparierte HTTP-Anfragen beliebige Dateien auf Systemen einsehen. Bislang gibt es keine Meldungen zu bereits laufenden Attacken.

Weiterlesen
  78 Aufrufe

Sicherheitsupdates: Angreifer können über Grafana-Lücke eigene Befehle ausführen

Eine "kritische" Sicherheitslücke in Grafana gefährdet Systeme. Admins sollten zügig eine der abgesicherten Versionen installieren.

Anzeige

Grafana ist eine plattformübergreifende Open-Source-Anwendung, die Daten aus verschiedenen Quellen wie MySQL oder Prometheus zusammenträgt und visualisiert. Nun können Angreifer eine Schwachstelle (CVE-2024-9264) ausnutzen, um Computer zu attackieren. Klappt so eine Attacke, haben Angreifer den Grafana-Entwicklern zufolge Zugriff auf alle Dateien eines Host-PCs. Darunter können auch unverschlüsselte Passwörter sein, die Angreifer für eine weitere Ausbreitung (Network Lateral Movement) gebrauchen können.

In einer Warnmeldung geben die Entwickler an, dass davon ausschließlich die Versionszweige 11.0.x, 11.1.x und 11.2.x betroffen sind. Grafana 10.x ist von der Lücke nicht bedroht. Aufgrund von unzureichenden Überprüfungen können Angreifer im Kontext des SQL-Expressions-Experimental-Features über duckdb-Anfragen eigene Befehle einschleusen und ausführen. Wie so eine Attacke konkret im Detail ablaufen könnte, ist derzeit nicht bekannt.

Die Entwickler versichern, die Schwachstelle in den folgenden Versionen geschlossen zu haben:

Weiterlesen
  65 Aufrufe

Cisco bestätigt Attacke auf DevHub-Portal und nimmt es offline

Cisco hat aktuell laufende Untersuchungen zu einem IT-Sicherheitsvorfall vorangetrieben und nun eine Attacke bestätigt. Dabei sollen Angreifer Zugriff auf nicht für die Öffentlichkeit bestimmte Daten gehabt haben.

Anzeige

Das geht aus einem aktualisierten Statement zum Vorfall hervor. Erst vor wenigen Tagen sorgte der Verkauf von angeblich bei einem Hack des Netzwerkausrüsters kopierter Daten für Schlagzeilen. Darunter sollen sich unter anderem API Tokens, Geschäftsdokumente und private Schlüssel befinden. Zu diesem Zeitpunkt prüfte Cisco den Vorfall noch.

Nun bestätigt das Unternehmen, dass Angreifer sich Zugriff auf eine DevHub-Umgebung verschaffen konnten. Mittlerweile wurde die Instanz offline genommen. Wie der Zugriff vonstattengeht, bleibt unklar. Die Umgebung war dem Statement zufolge öffentlich zugänglich und enthielt für Kunden unter anderem Softwarecode und Skripte. Bei dem Sicherheitsvorfall seien aber auch Daten geleakt, die nicht für den öffentlichen Download vorgesehen seien. Darunter sollen sich aber keine Finanzdaten befinden, führt Cisco aus.

Die Untersuchungen dauern noch an und der Netzwerkausrüster gibt an, proaktiv auf betroffene Kunden zuzugehen.

Weiterlesen
  72 Aufrufe

Angreifer können PCs mit Virenschutz von Bitdefender und Trend Micro attackieren

Sicherheitslücken in Virenschutz-Software von Bitdefender und Trend Micro gefährden Systeme. Admins sollten die verfügbaren Sicherheitsupdates zeitnah installieren, um Attacken vorzubeugen.

Anzeige

Weil es bei Bitdefender Total Security in der HTTPS-Scanfunktion zu Problemen bei der Zertifikatsüberprüfung kommt, können sich Angreifer als Man-in-the-Middle in Verbindungen einklinken und so den Datenverkehr zwischen einem Opfer und einer Website belauschen.

Im Supportbereich der Bitdefender-Website geben die Entwickler an, in diesem Kontext insgesamt fünf Sicherheitslücken (CVE-2023-49567, CVE-2023-49570, CVE-2023-6055, CVE-2023-6056, CVE-2023-6057) mit dem Bedrohungsgrad "hoch" geschlossen zu haben. Damit so eine Attacke klappt, können Angreifer etwa über Hashkollsionen (MD5 und SHA1) Zertifikate erzeugen, die als legitim durchgewunken werden.

Die Sicherheitsprobleme sollen in der sich automatisch installierenden Total-Security-Version 27.0.25.11 gelöst sein. Ob es bereits Attacken gibt und an welchen Parametern Admins bereits attackierte Computer erkennen können, führen die Entwickler derzeit nicht aus. Unklar bleibt auch, welche Betriebssysteme von der Sicherheitsproblematik betroffen sind.

Weiterlesen
  67 Aufrufe

heise-Angebot: iX-Workshop: Nach dem Einbruch – Digital Forensics & Incident Response (DFIR)

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

Weiterlesen
  119 Aufrufe

Apple Passwörter: So lautet das Rezept für generierte Passwörter

20 Zeichen sind sie lang und fallen durch zweisilbige Wörter und den gleichförmigen Gebrauch von Bindestrichen auf: In einem Blogpost gewährt der Leiter der Softwareentwicklung in Apples Team für die Authentication Experience, Ricky Mondello, einen Einblick, wie genau diese auf Wunsch des Nutzers generierten Passwörter zustande kommen und was Apple sich dabei gedacht hat. Mit iOS 18, iPadOS 18 und macOS Sequoia liefert Apple die Passwörter-Funktion erstmals als eigenständige System-App aus.

Anzeige

Zunächst einmal bestätigt Mondello, dass tatsächlich konsequent auf zweisilbige Wörter gesetzt werde. Bei der Entscheidung hierfür hatten die Apple-Entwickler im Sinn, dass Nutzer mitunter ihre Passwörter auch auf ungewohnten Tastaturen und ohne Zuhilfenahme der Autofill-Funktion eingeben müssen. Das Silben-Prinzip, gepaart mit einem Muster aus Konsonant-Vokal-Konsonant-Abfolge, erleichtere es, sich die Passwortbestandteile zu merken, etwa beim Ablesen aus der Passwörter-App und gleichzeitiger Eingabe auf einem Gerät.

Aus diesem Grunde dominiere bei den Passwörtern auch die Kleinschreibung, erklärte er bereits im Jahr 2018 auf einer Sicherheitskonferenz in Stockholm. Das erleichtere es, Passwörter zum Beispiel mit Game-Controllern einzugeben, bei denen das Umschalten zwischen Klein- und Großschreibung nicht so einfach ist.

Beim Plaudern aus dem Passwort-Nähkästchen verriet Mondello auch, dass Apple nicht alle möglichen Zeichen als Konsonanten betrachtet, sondern genau 19 Zeichen als solche festgelegt hat. Als Vokale werden sechs Zeichen betrachtet, die nach dem Zufallsprinzip ausgewählt werden. Um vorzubeugen, dass bei den Fantasiebegriffen mal etwas Unanständiges herauskommt, findet ein Abgleich mit einem internen Wörterbuch statt, wodurch fragwürdige Wörter aussortiert werden.

Weiterlesen
  88 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image