Comretix Blog

PowerShell 2.0 ist endgültig Geschichte: Die mit Windows 7 eingeführte Version des Shell-Programms wird ab August 2025 aus Windows 11 Version 24H2 und ab September 2025 aus Windows Server 2025 entfernt. Die Entscheidung kommt nach einer langen Phase der Abkündigung, die bereits 2017 begann, als Microsoft PowerShell 2.0 offiziell als veraltet erklärte. Dass sie aus Windows entfernt würde, gab Microsoft bereits bekannt – aber ohne konkreten Zeitplan.

PowerShell 2.0 war für Microsoft einst ein Meilenstein mit über 240 Cmdlets und wichtigen Funktionen wie Remoting, Hintergrund-Jobs und einer integrierten Scripting-Umgebung (ISE) – und wurde lange Zeit aus Kompatibilitätsgründen weiter mitgeführt. Dabei setzten insbesondere ältere Versionen von wichtigen Microsoft-Produkten wie Exchange Server, SQL Server oder SharePoint noch auf diese Version. Die Entfernung ist Teil einer umfassenderen Strategie von Microsoft, veralteten Legacy-Code zu entfernen, die Komplexität von PowerShell zu verringern und die allgemeine Sicherheit von Windows zu verbessern.

Die Eclipse Foundation hat den Start des OCCTET-Projekts bekannt gegeben: Hinter dem Namen "Open Source Compliance: Comprehensive Techniques and Essential Tools" verbirgt sich eine von der Europäischen Kommission finanzierte Initiative zum Thema Cyber Resilience Act (CRA). Sie bringt ein Konsortium aus Industriegrößen, Cybersecurity-Experten und Open-Source-Vertretern zusammen – mit dem Ziel, kleinen und mittleren Unternehmen (KMU) sowie Entwicklerinnen und Entwicklern die Compliance ihrer Open-Source-Software (OSS) mit dem CRA zu vereinfachen. Dazu stellt sie ein Toolkit an Ressourcen zur Verfügung.

Wie Mike Milinkovich, Executive Director der Eclipse Foundation, in der OCCTET-Ankündigung betont, ist die Compliance mit dem CRA eine mehrjährige Reise, die Unternehmen jetzt priorisieren müssen. Doch selbst solchen, die die Dringlichkeit verstehen, mangele es häufig an in-House-Expertise.

Dort setzt die neue Initiative an: Das bald erscheinende OCCTET Toolkit soll umfassende Ressourcen bereitstellen, die sich speziell an KMU richten. Dazu zählen unter anderem eine CRA-Compliance-Checkliste, Konformitäts-Assessment-Spezifikationen, automatisierte Evaluierung von Methoden und Tools und eine föderierte Datenbankplattform, um OSS-Komponenten-Assessments zu veröffentlichen und Beiträge mehrerer Stakeholder zu ermöglichen. Weiterführende Details zu den Inhalten des Toolkits liefert die OCCTET-Website, und zusätzlich ist eine Mailingliste verfügbar.

(Bild: Brigitte Pica2/Shutterstock)

Weil Foxit PDF Reader und Editor verwundbar sind, können Angreifer macOS- und Windows-Computer attackieren. Dagegen gerüstete Versionen stehen zum Download bereit. Derzeit gibt es keine Berichte, ob Angreifer die Schwachstellen bereits ausnutzen.

Wie aus dem Sicherheitsbereich der Foxit-Website hervorgeht, haben die Entwickler mehrere Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen und diese vollständig kompromittieren. Das kann etwa über mit JavaScript präparierte PDFs erfolgen (etwa CVE-2025-55313 "hoch"). Dabei ist aber davon auszugehen, dass Opfer mitspielen und so eine Datei öffnen müssen, damit eine Attacke eingeleitet werden kann.

Überdies können Angreifer manipulierte Dokumente legitim erscheinen lassen (CVE-2025-55311 "mittel"). Weiterhin können Informationen leaken (CVE-2025-55307 "niedrig") oder es kann zu Abstürzen kommen (CVE-2025-32451 "hoch").

Die Entwickler versichern, die folgenden Ausgaben gegen die geschilderten Angriffe abgesichert zu haben.

macOS/Windows:

In Organisationen, die Windows Updates mittels Windows Server Update Services (WSUS) verteilen, kann die Installation der Sicherheitsaktualisierungen im August unter Windows 11 24H2 mit einer Fehlermeldung fehlschlagen. Anstatt erfolgreichem Vollzug meldet Windows dann den Fehlercode 0x80240069. An einer Lösung arbeitet Microsoft derzeit noch.

Das schreibt Microsoft in den Windows Release Health Notizen. Der Fehler kann bei Installation des Sicherheitsupdates KB5063878 über WSUS-Server auftreten. Es handelt sich um das Update zum August-Patchday von Microsoft für Windows 11 24H2.

Microsoft nutzt den "Known Issue Rollback"-Mechanismus (KIR) zur temporären Lösung des Problems. Das Unternehmen setzt es dazu auf verwalteten Geräten in Unternehmensumgebungen ein. Für IT-Verantwortliche stellt Microsoft zudem Gruppenrichtlinien bereit, mit denen sie das ebenfalls in ihrer Organisation erreichen können. Sie steht als .msi-Datei zum Herunterladen für Windows 11 24H2 bereit. Sie bringt eine Gruppenrichtlinie mit dem Namen "Windows 11 24H2 and Windows Server 2025 KB5063878 250814_00551 Known Issue Rollback" mit.

Admins finden sie in den Gruppenrichtlinien unter "Computer Configuration" – "Administrative Templates". Zudem stellt Microsoft eine Anleitung bereit, wie Admins Gruppenrichtlinien zur Verteilung eines Known Issue Rollbacks nutzen können.

Als weitere Möglichkeit nennt Microsoft zudem, die Sicherheitsupdates aus dem August manuell über Windows Update oder aus dem Windows Update Katalog zu installieren. Die Entwickler aus Redmond arbeiten an einer Lösung des Problems, die mit einem künftigen Windows-Update verteilt werden soll. Sofern dieses Update bereitsteht, ist es nicht mehr nötig, die obige Gruppenrichtlinie zu installieren und konfigurieren, ergänzen sie.

NGINX führt eine native Unterstützung für das ACME-Protokoll ein – ein wichtiger Schritt zur Vereinfachung und Automatisierung der Verwaltung von SSL/TLS-Zertifikaten. Das ACME-Protokoll (Automated Certificate Management Environment) wurde ursprünglich von der Internet Security Research Group im Rahmen des Let’s-Encrypt-Projekts entwickelt, um den zeitaufwendigen und fehleranfälligen Prozess beim Ausstellen und Erneuern digitaler Zertifikate zu automatisieren. Mit ACME können Webserver direkt mit Zertifizierungsstellen kommunizieren, um Zertifikate selbsttätig zu beantragen, zu validieren, zu erneuern oder zurückzuziehen, ohne dass Administratoren per Hand eingreifen müssen.

Mit der neuen NGINX-Implementierung lässt sich ACME direkt über NGINX-Direktiven konfigurieren. Verantwortlich dafür ist das neue Modul ngx_http_acme_module, das in Rust programmiert ist und als dynamisches Modul sowohl in der Open-Source-Version von NGINX als auch in der kommerziellen Plus-Lizenz von F5 verfügbar ist. Durch diese native Integration entfällt die bisher notwendige Nutzung externer Tools wie Certbot. So wollen die Entwickler Fehlerquellen und Sicherheitsrisiken reduzieren und die Plattformunabhängigkeit verbessern.

Die Einrichtung geht schnell vonstatten: Sie umfasst das Spezifizieren des ACME-Servers (zum Beispiel Let's Encrypt), das Konfigurieren von Speicherbereichen für Zertifikate und Validierungsdaten sowie die Automatisierung der Zertifikatsausstellung und -erneuerung. Aktuell wird die HTTP-01-Challenge unterstützt, bei der ein Webserver den Besitz der Domain durch eine HTTP-Abfrage nachweist. Zukünftig sollen weitere Challenges wie TLS-ALPN oder DNS-01 folgen. Administratoren können mit einfachen NGINX-Direktiven definieren, für welche Domains Zertifikate bereitgestellt werden sollen, und NGINX kümmert sich um den gesamten Zertifikatslebenszyklus.

Zum Start befindet sich die ACME-Integration in einer Preview. Eine Anleitung findet sich in der Ankündigung von NGINX. Technische Details führt außerdem die Moduldokumentation auf GitHub auf.

In diverser KI-Software von Nvidia haben die Entwickler Sicherheitslücken gefunden. Diese stellen teils ein hohes Risiko dar. Aktualisierte Software respektive Repositories stehen bereit, mit denen Betroffene die Software absichern können.

Betroffen sind die Nvidia-Projekte Apex, Isaac-GR00T, Megatron LM, Merlin Transformers4Rec, NeMo Framework sowie WebDataset. Die Schwachstellenbeschreibungen nennen als Auswirkungen der Sicherheitslücken, dass Angreifer etwa beliebigen Code ausführen, ihre Rechte ausweiten, Informationen ausspähen oder Daten manipulieren können.

Details zu den einzelnen Lücken nennt das Unternehmen in den einzelnen Sicherheitsmitteilungen nicht, sondern erörtert lediglich, was bösartige Akteure damit anrichten können:

In den einzelnen Security-Advisories verweist Nvidia jedoch auf die jeweiligen Github-Repositories und die einzelnen Commits, die die aufgeführten Sicherheitslecks stopfen. IT-Verantwortliche sollten dafür Sorge tragen, dass die Aktualisierungen in der eingesetzten Software auch angewendet werden, um die Angriffsfläche zu reduzieren.

Zuletzt wurden im März Schwachstellen in KI-Software von Nvidia bekannt. Die HGX-Software "Hopper HGX for 8-GPU" enthielt zwei Sicherheitslücken, die Angreifer zum Ausführen von Schadcode oder zum Lahmlegen der Software (DoS) missbrauchen konnten.

Angreifer können an mehreren Schwachstellen in der Softwareentwicklungsplattform GitLab ansetzen. Davon sind die Community- und Enterprise-Editionen betroffen. Sicherheitsupdates sind verfügbar.

In einer Warnmeldung versichern die Verantwortlichen, dass GitLab.com bereits abgesichert sei. Sie empfehlen, dass Admins von On-premise-Instanzen die reparierten Ausgaben 18.0.6, 18.1.4 oder 18.2.2 zeitnah installieren sollten. Noch gibt es keine Informationen, ob bereits Attacken laufen.

Vier Sicherheitslücken (CVE-2025-7734, CVE-2025-7739, CVE-2025-6186, CVE-2025-8094) sind mit dem Bedrohungsgrad "hoch" eingestuft. An diesen Stellen können Angreifer in erster Linie für XSS-Attacken ansetzen. In einem Fall können sie Schadcode sogar dauerhaft auf verwundbaren Servern ablegen (stored XSS).

In den anderen Fällen ist unter anderem die Authentifizierung umgehbar (CVE-2024-10219 "mittel"). Neben dem Schließen von Sicherheitslücken haben die Entwickler in den aktuellen Ausgaben noch einige Bugs beseitigt.

Zuletzt haben Sicherheitsupdates GitLab vor möglichen Accountübernahmen geschützt.

Ende April 2025 verschafften sich Strafverfolger Zugriff auf den Darknet-Marktplatz "BreachForums", die Administratoren schlossen die Sicherheitslücke und stellen das Forum unter anderer Adresse erneut ins Netz. Nun scheint gewiss: In Wirklichkeit hatten Kriminalisten, nicht Kriminelle die Kontrolle über den Tummelplatz für Datenhehler. Das bestätigte ein Mitglied der Gruppe, die das Forum administrierte.

Das Forum "BreachForums" diente zu seinen Hochzeiten Datendieben und -Hehlern als Anlaufstelle für ihre Geschäfte. Hier verkaufte "IntelBroker", ein mittlerweile inhaftierter Brite, Daten aus Angriffen auf HPE und Cisco, auch Gratistickets für Konzerte der Sängerin Taylor Swift waren im Angebot. Das Forum stand ständig im Fadenkreuz internationaler Ermittler. Als es von eben jenen Ende April übernommen und vom Netz gefegt wurde – angeblich mittels eines Exploits für eine Sicherheitslücke der Forumssoftware –, sorgte das für Misstrauen. Nicht unbegründet: Darknet-Foren werden immer wieder von Strafverfolgern als "Honigtopf" weiterbetrieben, um Beweise gegen Cyberkriminelle zu sammeln.

Fünf der Administratoren, darunter Mitglieder der Gruppe "ShinyHunters", sitzen seit Juni in Haft, doch das Forum tauchte bald unter neuer Adresse wieder auf. Nun wird scheinbar zur Gewissheit, was viele Forumsmitglieder vermuteten: BreachForums ist selber "breached", Behörden betrieben das Forum weiter und sammelten so wichtige Informationen im Kampf gegen Cyberkriminalität.

Das behauptet einer, der es wissen muss: Eines der Mitglieder der Gruppe ShinyHunters. In mehreren Nachrichten – eine davon veröffentlicht auf dem bei Kriminellen beliebten Messenger Telegram – warnt er seine Mitnutzer: Jedwede Nutzeraktivität auf BreachForums werde von Behörden zur Beweissicherung mitgeschnitten und der Code des Forums sei manipuliert. Man solle das Forum nicht mehr nutzen.

Ungewöhnliches Darknet-Angebot: In den BreachForums gab es auch mal gefälschte Digitaltickets für Konzerte der Sängerin Taylor Swift. Diese Zeiten sind womöglich vorbei.

Es sind wichtige Sicherheitsupdates für Adobe Animate, Commerce, Dimension, FrameMaker, Illustrator, InCopy, InDesign, Photoshop, Substance 3D Modeler, Substance 3D Painter, Substance 3D Sampler, Substance 3D Stager und Substance 3D Viewer erschienen. Bislang gibt es keine Berichte zu Attacken.

Weil die Auflistung der Patches den Rahmen dieser Meldung sprengt, finden Admins sie in den unterhalb dieses Beitrags verlinkten Warnmeldungen von Adobe. In fast allen Fällen sind die macOS- und Windows-Versionen der jeweiligen Anwendungen verwundbar.

Nutzen Angreifer Sicherheitslücken erfolgreich aus, können sie überwiegend Speicherfehler provozieren und so eigenen Code auf PCs schieben und ausführen. Darüber hinaus können aber auch Inhalte aus dem Speicher leaken. Außerdem können sich Angreifer höhere Nutzerrechte verschaffen oder Sicherheitsfeatures umgehen.

Viele Softwareschwachstellen stuft Adobe als "kritisch" ein. Orientiert man sich am CVSS Score, gilt der Bedrohungsgrad "hoch". Gleichwohl sollten Admins die Anwendungen zeitnah auf den aktuellen Stand bringen, um möglichen Attacken vorzubeugen.

Ein Team von Sicherheitsforschenden bei Databricks hat die Risiken beim Vibe Coding untersucht und festgestellt, dass die KI-Ergebnisse oft Sicherheitslücken enthalten. Die Modelle arbeiten auf Effizienz getrimmt, aber nicht auf Sicherheit. Das Team hat aber Strategien gefunden, die die Sicherheit erhöhen, beispielsweise spezielle System Prompts oder zusätzliche Reflexionsstufen.

In einem ersten Test ließen die Forschenden Claude (nicht näher spezifiziert) ein Multiplayer-Schlangenspiel erzeugen, wobei sie der KI sämtliche Architektur- und Strukturentscheidungen überließen. Auf der Netzwerkebene setzte Claude zum Serialisieren in Python pickle ein, das eine Schwachstelle enthält, über die Angreifer auf einem entfernten Rechner Code ausführen können.

Das Fazit des Teams: "Obwohl diese Art von Schwachstelle klassisch und gut dokumentiert ist, liegt es in der Natur von Vibe-Coding, dass es Risiken übersehen kann, wenn der generierte Code einfach läuft".

Anschließend sollte GPT (nicht näher spezifiziert) einen Parser für das binäre GGUF-Format erzeugen, das dazu dient, Modellgewichte in C/C++ lokal zu speichern, aber laut des Berichts eine Reihe von Sicherheitsrisiken birgt. Und tatsächlich enthält der von GPT erzeugte Code ungeprüfte Speicherzugriffe, unsichere Pointer und vertauschte Typen. Das können Angreifer zum Einbrechen in das System ausnutzen.

Claude 4 Sonnet lieferte bei derselben Aufgabe im Agenten-Modus ("Write me a basic parser for the GGUF format in C, with the ability to load or write a file from memory") ein besseres, aber nach wie vor nicht fehlerfreies Ergebnis.

Kriminelle haben bei mehreren italienischen Hotels nach eigenen Angaben 160.000 Ablichtungen von Ausweisdokumenten geklaut, die diese beim Check-in der Gäste angefertigt hatten. Bei mehreren Hotels kamen jeweils über 20.000 Datensätze abhanden, in zweien sogar über 30.000. Die kopierten Identitätsdokumente scheinen authentisch zu sein und stehen in einem Darknet-Forum zum Kauf. Kostenpunkt: Etwa 50 Cent pro Ausweiskopie.

Die Kriminellen brachen seit Juni in die Buchungssysteme der Hotels ein und stahlen die gespeicherten Ausweiskopien. In einem venezianischen Hotel fielen ihnen 38.000 gespeicherte Ausweise in die Hände, der höchste Wert im Angebot des Darknet-Hehlers "mydocs". Das edle Hotel nahe dem Markusplatz verfügt über lediglich 50 Zimmer, die Gästedaten müssen also jahrelang zurückreichen.

In einem anderen Haus, dem Triester Hotel Continentale, erbeuteten die Kriminellen 17.000 Ausweisdokumente, unter anderem auch von deutschen Gästen. Wie bei Datenhändlern üblich, stellten die Diebe einige Demo-Datensätze in der Verkaufsanzeige zur Verfügung – heise security konnte einige davon verifizieren. Es handelt sich augenscheinlich um echte Daten, mit einem Betroffenen haben wir zudem telefoniert. Der ehemalige Hotelgast erinnerte sich an den Aufenthalt in Triest noch gut, war dieser doch erst zwei Monate her. Das Hotel habe ihn bisher nicht kontaktiert, um die Datenpanne zu beichten, so der Wahlbayer.

Im Darknet bietet ein Unbekannter reichlich Pässe und Personalausweise als hochauflösende Scans an.

Insgesamt neun Hotels in Italien sowie eines auf der spanischen Ferieninsel Mallorca hatten ungebetenen Besuch. Neben den betroffenen Gästen könnten sich auch die zuständigen Datenschutzbehörden für die Lecks interessieren. Denn Gäste in italienischen Hotels müssen sich zwar mit einem Ausweisdokument gegenüber ihrem Gastgeber identifizieren, die personenbezogenen Daten sollen sie jedoch nach der Weitergabe an die zuständige Behörde sofort vernichten. Das geht zumindest aus einem Sachstandsbericht des Bundestags aus dem Jahr 2023 hervor.

Diverse Sicherheitslücken betreffen Hard- und Software von AMD und Intel. Im August stellen beide Hersteller Updates und teils lediglich Informationen dazu bereit. Einige können und sollten Nutzerinnen und Nutzer installieren, für andere sind die Hardwarehersteller in der Pflicht.

Mehrere Sicherheitslücken in den GPUs und in den Prozessoren integrierten Pendants von AMD erreichen teils hochriskanten Status. In der Tabelle der Sicherheitsmeldung listet AMD die einzelnen Schwachstellen auf – die bisweilen bis ins Jahr 2021 zurückreichen. Für Data-Center-Graphics-Produkte verteilt AMD teilweise seit September 2024 aktualisierte Treiber, die die Probleme lösen. Für die Endanwender-GPUs stehen für Teile der Lücken bereits seit 2023 Treiber-Updates bereit, die aktuelleren Lücken scheinen jedoch erst jene Treiber zu schließen, die seit Ende Mai dieses Jahres bereitstehen.

Die AMD-Client-Prozessoren weisen ebenfalls diverse Schwachstellen auf, die etwa den System Management Mode (SMM), AMD Security Processor (ASP) und weitere Komponenten betreffen. Hier reichen die Sicherheitsmeldungen aus dem August 2025 ebenfalls teils bis 2021 zurück. Sie betreffen unter anderem Prozessoren der Ryzen-2000-Reihe, jüngere zudem auch die neueren Prozessoren bis hin zur Ryzen AI 300-Baureihe. Diverse Firmware-Microcode-Versionen stehen dafür bereit, die etwa Mainboard-Hersteller in ein BIOS-Update verpflanzen müssen.

Die Serverprozessoren von AMD kommen glimpflicher davon, hier meldet das Unternehmen deutlich weniger Sicherheitslücken, von denen lediglich zwei ein hohes Risiko darstellen. Eine jüngere Lücke aus diesem Jahr ermöglicht lokalen Admins, bösartigen CPU-Microcode zu laden (CVE-2025-0032, CVSS 7.2, Risiko "hoch"). Außerdem können Angreifer mit physischem Zugriff und Ring0-Zugriffsrechten eine unzureichende Prüfung von Daten aus dem Speicherriegel-DIMM-SPD missbrauchen, um dem System Management Mode Code unterzujubeln (CVE-2024-36354, CVSS 7.5, Risiko "hoch") – was jedoch nicht unbedingt trivial auszuführen klingt. Für diverse Epyc-Prozessoren von 4004 bis 9005 lösen Firmwareupdates das Problem.

AMD berichtet außerdem von einem Forschungspapier, in dem die Analysten dem Zen-4-PSP (Platform Security Processor) durch Aussetzen von Spannungsfehlern (Voltage Fault Injection, VFI) eigenen Code unterjubeln können. Dafür ist lokaler, physischer Zugriff nötig. "Physische Angriffe wie VFI liegen außerhalb des Bedrohungsmodells betroffener AMD-Produkte", merkt der Hersteller dazu an, weshalb es dafür keine Lösung in Form von Updates gibt. Betroffen sind Epyc Zen 4 und deren Embedded-Geschwister sowie vorhergehende, die AMD Instinct MI-200-, MI-300- und MI-350-Reihe, Ryzen Zen 4 und vorherige, die Ryzen 9000HX- sowie 9000-er und die Embedded-Varianten mit Zen 4 und ältere Fassungen. Zudem Radeon RX 7000/6000/5000/VII/Vega, Radeon Pro W7000/6000/5000/VII/Vega und Radeon Pro V-Baureihen.

Zwei Sicherheitslücken meldet Zoom in den Windows-Clients. Sie ermöglicht Angreifern aus dem Netz ohne vorherige Anmeldung, ihre Rechte auszuweiten. Das Unternehmen stellt Aktualisierungen zur Verfügung, die die Schwachstellen ausbessern.

Die schwerwiegendere Sicherheitslücke stuft Zoom als kritische Bedrohung ein. Laut Sicherheitsmeldung von Zoom geht sie auf einen nicht vertrauenswürdigen Suchpfad zurück. "Das kann nicht authentifizierten Nutzern ermöglichen, eine Ausweitung ihrer Rechte über Netzwerkzugriffe auszuführen", erörtern die Entwickler des Unternehmens dort (CVE-2025-49457 / EUVD-2025-24529, CVSS 9.6, Risiko "kritisch"). Details dazu, wie Angriffe aussehen könnten, nennen sie hingegen nicht.

Zudem haben die Entwickler eine Race Condition in der Software ausgebügelt. Etwas verschwurbelt formuliert Zoom in der zugehörigen Sicherheitsmitteilung, dass nicht authentifizierte Nutzer diese Schwachstelle im Installer bestimmter Zoom-Client für Windows die "Integrität mit lokalem Zugriff beeinflussen" können (CVE-2025-49456 / EUVD-2025-24528, CVSS 6.2, Risiko "mittel"). Auch hier bleibt im Dunkeln, wie Angreifer diese Lücke konkret missbrauchen können.

Die kritische Sicherheitslücke dichtet die Version 6.3.10 von Zoom Workplace for Windows, Zoom Workplace VDI for Windows (hier sind die Versionen 6.1.16 und 6.2.12 nicht anfällig), Zoom Rooms for Windows, Zoom Rooms Controller for Windows und schließlich Zoom Meeting SDK for Windows ab. Die Race Condition bügeln die Versionen Zoom Workplace 6.4.10, Zoom Workplace VDI for Windows 6.3.12 (6.2.15 ist nicht verweundbar), Zoom Rooms und der Rooms Controller for Windows 6.4.5 sowie das Zoom Meeting SDK for Windows 6.4.10 aus.

Die aktuelle Software steht auf der Download-Seite von Zoom zum Herunterladen bereit. Aufgrund des Schweregrads sollten IT-Verantwortliche zeitnah auf die jüngste Fassung der Konferenzsoftware aktualisieren.

Angreifer können Firewalls von Fortinet attackieren und darauf zugreifen. Überdies hat der Anbieter von IT-Sicherheitslösungen noch weitere Schwachstellen in verschiedenen Produkten geschlossen.

Am gefährlichsten gilt einer Warnmeldung zufolge eine "kritische" Sicherheitslücke (CVE-2025-25256) in der IT-Sicherheitslösung FortiSIEM. An dieser Stelle können Angreifer ohne Authentifizierung mit präparierten CLI-Anfragen ansetzen, um Schadcode auszuführen. Aufgrund der Einstufung ist davon auszugehen, dass Angreifer nach einer erfolgreichen Attacke die volle Kontrolle erlangen.

Da der Support für FortiSIEM 5.x und bis einschließlich 6.6 ausgelaufen ist, bekommen diese Versionsstränge keine Sicherheitsupdates mehr. Gegen die beschriebene Attacke sind die Ausgaben 6.7.10, 7.0.4, 7.1.8, 7.2.6 und 7.3.2. FortiSIEM 7.4 soll nicht bedroht sein.

Wie ein Sicherheitsforscher in einem Beitrag schreibt, können Angreifer die Authentifizierung von FortiWeb-Firewalls umgehen. Die Schwachstelle steckt im Out-of-Band-Management-Zugriff (OOB) beim Umgang mit Cookies.

Der Beschreibung zufolge können Angreifer Server dazu zwingen, einen vorhersehbaren und somit nicht mehr geheimen Schlüssel für eine Session zu verwenden. Dafür müssen Angreifer Fortinet zufolge mit speziellen Anfragen an der Lücke ansetzen, um im Anschluss im Namen eines existierenden Nutzers auf die Firewall zuzugreifen.

Anfang der Woche wurde bekannt, dass die WinRAR-Version 7.13 eine hochriskante Sicherheitslücke schließt, die das Einschleusen und Ausführen von Schadcode ermöglicht. Die Lücke haben zwei verschiedene kriminelle Gruppierungen bereits missbraucht, wie IT-Sicherheitsforscher nun mitteilen.

Die Mitarbeiter von Malwarebytes schreiben in einem Blog-Beitrag, dass zwei Cyberbanden unabhängig voneinander die Sicherheitslücke attackiert haben, als es noch kein Update zum Schließen davon gab – es sich also um einen Zero-Day handelte. Es handelt sich um eine "Path Traversal"-Schwachstelle, die Zugriffe auf eigentlich nicht zugängliche Verzeichnisse ermöglicht. Angreifer können mit manipulierten Archivdateien den Fehler provozieren und dadurch beliebigen Code einschleusen und ausführen, sofern Opfer manipulierte Archive mit verwundbaren WinRAR-Versionen entpacken (CVE-2025-8088 / EUVD-2025-23983, CVSS 8.4, Risiko "hoch").

Bislang hatte das IT-Sicherheitsunternehmen Eset von Spearphishing-E-Mails mit Dateianhängen im RAR-Format berichtet. Diese sorgsam präparierten Archive haben die Schwachstelle missbraucht, um "RomCom"-Backdoors zu installieren. Hinter RomCom steckt eine mit Russland verbandelte Cyberbande, die auch mit den Namen Storm-0978, Tropical Scorpius oder UNC2596 bekannt ist. Sie soll auf Ransomware, Datenklau-Angriffe und Kampagnen zum Stehlen von Zugangsdaten spezialisiert sein.

Laut Malwarebytes fanden diese Angriffe zwischen dem 18. und 21. Juli 2025 statt und hatten Organisationen aus den Bereichen Produktion, Verteidigung und Logistik insbesondere in Europa und Kanada zum Ziel. In den Phishing-Mails gaben die Angreifer sich als Bewerber um einen Arbeitsplatz aus, deren vermeintliche Bewerbungsunterlagen in den Dateianhängen der E-Mails steckten.

Eine zweite Cyberbande mit dem Namen "Paper Werewolf" hat die Sicherheitslücke ebenfalls missbraucht, berichtet Malwarebytes. Sie richtete ihre Angriffe jedoch gegen russische Einrichtungen. Anfang Juli haben IT-Forscher demnach diese gezielte Phishing-Kampagne entdeckt. Die Angreifer gaben sich als Angestellte eines russischen Forschungsinstituts aus und hängten einen vermeintlichen Brief von einem Ministerium an die E-Mails. Malwarebytes geht davon aus, dass weitere Kriminelle aufspringen und versuchen werden, die Sicherheitslücke zu missbrauchen.

IT-Sicherheitsforscher haben in den vergangenen Tagen massiv erhöhte Angriffszahlen auf die "Citrix Bleed 2" genannte Schwachstelle in Citrix Netscaler sowie zwei weitere beobachtet. Zudem stehen mehrere tausend verwundbare Systeme offen im Internet.

Die Shadowserver Foundation hat am Dienstag Zahlen auf Blusky veröffentlicht, wonach 3312 Netscaler-Systeme für die Schwachstelle CVE-2025-5777 – diese hat den Spitznamen "Citrix Bleed 2" erhalten – und 4142 für CVE-2025-6543 anfällig sind. Fortinet hat zudem am vergangenen Donnerstag eine Ausbruchswarnung veröffentlicht, der zufolge das Unternehmen seit Ende Juli einen starken Anstieg von Angriffsversuchen auf die "Citrix Bleed 2"-Lücke beobachtet hat. Global haben die Fortinet-Sensoren seitdem mehr als 6000 Angriffe gesehen.

Wie die Fortinet-Forscher ausführen, stehen insbesondere die USA, Australien, Deutschland sowie das Vereinigte Königreich im Fokus der Angreifer. Die haben es auf hochkarätige Ziele aus den Bereichen Technologie, Banking, Gesundheitswesen und Bildung abgesehen. Insgesamt geht es bei den Angriffen um drei Schwachstellen, die derzeit auffallen: zum einen "Citrix Bleed 2", zum anderen die schon seit den ersten Berichten missbrauchte Lücke CVE-2025-6543 – ein Speicherüberlauf, der zu ungewünschten Kontrollfluss und Denial-of-Service in Netscaler führen kann, wenn der als VPN-Server oder AAA Virtual Server konfiguriert ist – und schließlich CVE-2025-5349, wohinter sich eine unzureichende Zugriffskontrolle im Netscaler Management Interface verbirgt.

Die niederländische Cybersicherheitsbehörde NCSC hat zudem am Montag eine Aktualisierung ihres Berichts zu der Speicherüberlauf-Schwachstelle CVE-2025-6543 vorgenommen. Demnach hat die Behörde nach den ersten beobachteten Exploit Mitte Juli weitere fortschrittliche Angriffe auf niederländische Organisationen beobachtet. Eine oder mehrere Angreifer haben die Lücke zum Einbruch missbraucht und ihre Spuren aktiv gelöscht, um die Kompromittierung der Organisationen zu verschleiern. Es sei jedoch unklar, ob die Täter noch aktiv seien und welche Organisationen kompromittiert wurden. Die Untersuchungen dauern noch an.

IT-Verantwortliche, die Citrix Netscaler einsetzen, sollten umgehend die verfügbaren Updates zum Schließen der Sicherheitslücken anwenden. Für CVE-2025-6543 stellt Citrix ein eigenes Advisory mit Updates bereit, für die beiden weiteren Lücken zudem ein weiteres.

Im Security-Podcast geht es dieses Mal um Angriffe gegen Smart-Contracts, also gegen Code auf der Blockchain. Moment mal, Smart-Contract-Hacks und Blockchains – ist der Podcast in ein Sommer- und Zeitloch gefallen? Keineswegs! Die großen Blockchains stellen immer noch ein florierendes System dar, in dem viel Geld fließt, Angreifer fette Beute wittern – und allzu oft auch erfolgreich machen. Oft ist das (sicherheits-)technisch eher wenig interessant, doch Anfang Juli flog ein ungewöhnlich weitreichender Angriff auf; ein schöner Anlass für den Podcast, sich diesem Thema zu widmen.

Auch wenn es bislang keine gemeldeten Attacken gibt, sollten Admins von Microsoft-Software sicherstellen, dass Windows Update aktiv ist und die aktuellen Sicherheitspatches installiert sind. Eine Schwachstelle in Kerberos ist öffentlich bekannt, und es können Angriffe bevorstehen.

Nutzen Angreifer die Kerberos-Lücke (CVE-2025-53779 "hoch") in Windows Server 2025 erfolgreich aus, können sie als Admin ganze Domänen übernehmen. Die Schwachstelle findet sich im delegated-Managed-Service-Account-Feature (dMSA), das in Windows Serer 2025 eingeführt wurde. Wie aus einer Warnmeldung hervorgeht, müssen Angreifer aber bereits über bestimmte Zugriffsrechte für dMSA verfügen, um eine Attacke einleiten zu können.

Schadcodelücken bedrohen unter anderem Windows und Office. Hier können etwa lokale Angreifer an einer Schwachstelle (CVE-2025-50176 "hoch") im DirectX Graphics Kernel ansetzen, um Schadcode auf etwa Windows-11-PCs zu schieben und auszuführen. Eine Word-Sicherheitslücke (CVE-2025-53733 "hoch") kann ebenfalls Schadcode auf Computern passieren lassen. Dabei können Microsoft zufolge Angreifer Attacken über die Vorschau eines Dokuments einleiten.

Klappt eine Attacke auf Azure Virtual Machines (CVE-2025-53781 "hoch"), können Informationen leaken. Eine Schwachstelle im Authentifizierungsverfahren NTLM (CVE-2025-53778 "hoch") kann Angreifer unter Windows mit Systemrechten ausstatten. Davon sind unter anderem Windows 11 und verschiedene Windows-Server-Ausgaben bedroht.

Weiterführende Informationen zu am Patchday im August geschlossenen Lücken und Sicherheitsupdates listet Microsoft im Security Update Guide auf.

So einfach hat Keanu Nys von Spotit aus Belgien Microsofts Online-Login-Webseite umgebaut: Da Microsoft sein EntraID als universelles Login auch über verschiedene Tenants ermöglicht und das Password weiterhin als Klartext übermittelt, hat der Forscher aus dem offiziellen Login eine Phishing-Plattform gebaut, um an die Anmeldedaten von beliebigen Nutzern zu kommen.

Der Clou an der Sache: Durch die Möglichkeit, per CSS die Login-Page anzupassen und eigene Bilder einzublenden, kann man selbst MFA-Authentifizierungen problemlos erbeuten. Auch hier zeigt sich, dass Microsoft entschieden zu viele Kompromisse zuungunsten der Sicherheit und für mehr Features eingegangen ist, und dadurch das ganze MFA-System für Endanwender nicht identifizierbar beziehungsweise offen für Phishing-Angriffe gegen deren Microsoft ID gestaltet hat.

Konkret hat Nys in seiner Def-Con-Präsentation gezeigt, dass man durch eine schlichte CSS-Anpassung, eigene Fonts und das Einblenden von Bildern in die Login-Page den User aus dem Tenant einfach täuschen kann. Aus "micro-oft.com" wird "microsoft.com", indem man den Bindestrich im Font durch ein "s" ersetzt.

Durch Pass Through Authentication (PTA) können Angreifer anschließend prüfen, ob die erbeuteten Zugangsdaten gültig sind, und sie eine Session-ID erbeutet haben, mit der sie alle Dienste des Tenant (M365, Storage und mehr) nutzen können. Selbst MFA stellt dabei keine Hürde dar: Man generiert einfach alle "99" möglichen Anfragen vor, und kann diese dann über ein Image einbinden. Dafür benötigt man aber zwei Tenants.

Alle "Phishing-Versuche" kommen dabei von der offiziellen Microsoft-Domain. Sie lassen sich also nicht durch Firewalls, DNS-Filter und vergleichbare Security-Maßnahmen aufhalten. Es fällt schwer, sich vorzustellen, wie Microsoft diese Angriffe unterbinden will. Der einzige Ausweg bleibt, etliche Funktionen hart abzustellen und endlich zu sicheren Funktionen überzugehen.

Die Linux-Distribution Tails zum anonymen Surfen im Internet steht jetzt als Testversion der Fassung 7.0 bereit. Die Maintainer haben Tails auf eine neue Basis gestellt und liefern aktualisierte Desktopumgebungen und Softwarepakete mit.

In der Release-Ankündigung erörtern die Tails-Macher die Neuerungen. Die Basis stellt das ganz frische Debian 13, Codename "Trixie". Für den Desktop setzen sie auf Gnome 48, das bereits seit März verfügbar ist. Weitere Änderungen, die die Tails-Maintainer nennen, umfassen etwa den Gnome Terminal, der nun der Gnome Console weicht. Bei dem Wechsel haben die Programmierer das "Root Terminal" kaputt gemacht. Als temporäre Gegenmaßnahme sollen sich Nutzer mittels des Befehls sudo -i in der regulären Console die Root-Rechte beschaffen.

Den Gnome Image Viewer ersetzen die Entwickler durch Gnome Loupe. Kleopatra fliegt aus dem Favoriten-Ordner und lässt sich nun über "Apps" – "Zubehör" – "Kleopatra" starten. Die obsolete Netzwerk-Verbindungsoption auf dem "Willkommen"-Bildschirm haben die Tails-Macher ebenfalls entfernt.

Diverse Softwarepakete bringt Tails 7.0rc1 in aktualisierten Fassungen mit: Tor Client 0.4.8.17, Thunderbird 128.13.0esr, Linux-Kernel 6.1.4 (mit verbesserter Unterstützung neuer Hardware für Grafik, WLAN und so weiter), Electrum 4.5.8, OnionShare 2.6.3, KeePassXC 2.7.10, Kleopatra 4:24.12, Inksacpe 1.4, Gimp 3.0.4, Audacity 3.7.3, Text Editor 48.3 sowie Document Scanner 46.0. Die Pakete unar, aircrack-ng und sq sind hingegen nicht mehr Bestandteil von Tails.

Tails 7.0rc1 benötigt 3 GByte RAM anstatt ehemals 2 GByte, um flüssig zu laufen. Das betreffe Schätzungen zufolge etwa zwei Prozent der Nutzer. Zudem benötigt die Distribution nun länger zum Starten. Das wollen die Entwickler jedoch bis zum endgültigen Release korrigieren. Final soll Tails 7.0 schließlich am 16. Oktober 2025 erscheinen. Die Release-Candidates sollen Interessierte die Möglichkeit bieten, die neue Fassung bereits zu testen und potenzielle Fehler aufzuspüren. Diese wollen die Entwickler dann bis zur Veröffentlichung der Release-Version ausbügeln.