Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Gdata: Update-Probleme im Telekom-Netz

Der Virenschutz von Gdata hat derzeit sporadisch Probleme beim Herunterladen von Antiviren-Updates. Der Hersteller bestätigt gegenüber heise online das Problem.

Anzeige

"Es hat im Verlaufe des gestrigen Tages bei uns einige Anfragen gegeben, in denen Kunden Verbindungsprobleme zu unseren Updateservern meldeten", erklärte uns eine Pressesprecherin des Unternehmens. Die bestätigten Probleme traten am Montag dieser Woche auf. Gdata habe die "eigene Infrastruktur auf Unregelmäßigkeiten geprüft, welche die geschilderten Probleme erklären könnten. Diese Prüfung förderte keinerlei Auffälligkeiten zutage".

"In einigen Fällen erhielten wir eine positive Rückmeldung auf den Rat, einmal den Router neu zu starten", ergänzte die Unternehmenssprecherin. Als Gemeinsamkeit der Kunden, die sich mit diesem Problem gemeldet haben, fand sich der Internet-Provider Telekom. Nach bisherigen Kenntnissen scheinen ausschließlich Telekom-Kunden von dem Problem betroffen zu sein.

Gdata erörterte weiter: "Wir konnten inzwischen diese Konstellation erfolgreich nachstellen und haben denselben Fehler gesehen (keine Verbindung auf Port 443 zum Update-Server). Bei einem erneuten Test funktionierte jedoch alles normal."

Weiterlesen
  78 Aufrufe

Monitoring-Software Icinga: Updates schließen kritische Sicherheitslücke

Neue Software-Versionen der Monitoring-Software Icinga, die als Fork aus dem Nagios-Projekt hervorging, stopfen eine kritische Sicherheitslücke. Aufgrund des Schweregrads haben die Entwickler sogar eine Vorankündigung der am heutigen Dienstag erscheinenden Updates veröffentlicht.

Anzeige

In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch"). Dadurch können Angreifer bösartig manipulierte Konfigurationen oder sogar auszuführende bösartige Befehle einschleusen, abhängig von den konfigurierten Optionen für den ApiListener. Temporäre Gegenmaßnahmen gibt es nicht, lediglich Zugriffsbeschränkungen des API-Ports mittels Firewall auf vertrauenswürdige Adressen verringere die Angriffsfläche etwas.

Das Changelog zu den neuen Versionen ist zum Meldungszeitpunkt noch nicht verfügbar. Ob die neuen Fassungen weitere Probleme ausbessern, ist daher unklar. Die Versionen 2.14.3, 2.13.10, 2.12.11 und 2.11.12 enthalten die Lücke demzufolge nicht mehr. Admins sollten sie umgehend installieren.

Zudem stellt das Icinga-Projekt aktualisierte Pakete für folgende Umgebungen bereit:

Weiterlesen
  78 Aufrufe

Europol warnt vor Rekrutierung Minderjähriger durch organisiertes Verbrechen

Die europäische Polizeibehörde Europol warnt aktuell davor, dass Netzwerke des organisierten Verbrechens zunehmend Minderjährige zur Ausübung krimineller Handlungen rekrutieren. Damit versuchen die Kriminellen, der Entdeckung, Gefangennahme und Verurteilung zu entgehen. Die Minderjährigen gehen sie etwa auf sozialen Medien an.

Anzeige

Grundsätzlich sei das Phänomen nicht neu, schreibt Europol in einer geheimdienstlichen Benachrichtigung. Minderjährige seien jüngsten Daten von Europol zufolge in mehr als 70 Prozent der kriminellen Märkte involviert. Die Märkte, die häufig Minderjährige ausbeuten, umfassen Cyberkriminalität und Online-Betrug, Drogenschmuggel und zugehörige Gewalt, Schleuserkriminalität und Eigentumsdelikte.

In den vergangenen Jahren habe sich dieser Trend auf mehr Länder ausgeweitet, schreibt Europol. Die Rekrutierungsmethoden würden weiterentwickelt und Minderjährige mit gewaltsamen Aufgaben wie Erpressung oder Tötung beauftragt.

Verschlüsselte Nachrichtendienste in sozialen Medien und anpassbare Privatsphäreneinstellungen ermöglichen die Erstellung anonymer Gruppen und Kanäle. Diese würden oft eingesetzt, um illegale Aktivitäten zu organisieren – mit minimalem Risiko der Entdeckung. Die Täter könnten Nachrichten zur Selbstzerstörung senden, Nachrichtenverläufe löschen und den Gruppenzugriff auf verifizierte Mitglieder beschränken. Das mache es schwierig, die Kommunikation zu überwachen, da Interaktionen ohne hinterbleibenden digitalen Fußabdruck möglich seien.

Weiterlesen
  74 Aufrufe

MOVEit Transfer: Gestohlene Daten von Amazon und Co. stehen zum Verkauf

Im digitalen Untergrund stehen Daten von Angestellten großer und namhafter Unternehmen zum Kauf. Betroffen sind unter anderem Amazon, HP, HSBC, Lenovo und weitere.

Anzeige

In einem bekannten Untergrundforum stehen die Angestelltendaten namhafter Unternehmen zum Verkauf.

(Bild: Screenshot / cku)

Die Daten hat der User-Account "Nam3l3ss" am Wochenende im Breachforum eingestellt. Das hat das IT-Sicherheitsunternehmen Hudson Rock zuerst auf X gemeldet. Dort stießen die Beobachter der Malware-Szene von vx-underground auf die Datenveröffentlichung.

Weiterlesen
  76 Aufrufe

Dell SmartFabric OS10: Angreifer können Schadcode ausführen

Fünf Sicherheitslücken gefährden Dell SmartFabric OS10. Im schlimmsten Fall können Angreifer Schadcode ausführen und Netzwerke kompromittieren.

Anzeige

Um dem entgegenzuwirken, haben die Entwickler die Lücken (CVE-2024-48837 "hoch", CVE-2024-48838 "niedrig", CVE-2024-49557 "hoch", CVE-2024-49558 "hoch", CVE-2024-49560 "hoch") in den Versionen 10.5.4.13, 10.5.5.12 und 10.5.6.6 des Netzwerkbetriebssystems geschlossen. Das geht aus einer Warnmeldung hervor.

Installieren Admins die Sicherheitsupdates nicht, können Angreifer die Schwachstellen ausnutzen und sich höhere Nutzerrechte aneignen oder sogar Schadcode ausführen. Dafür müssen sie der Beschreibung der Lücken zufolge aber bereits über niedrige Rechte verfügen und lokalen Zugriff haben. Die Entwickler führen zurzeit nicht aus, wie konkrete Angriffe ablaufen könnten.

Bislang warnt Dell nicht vor Attacken. Netzwerk-Admins sollten die Installation der Sicherheitsupdates aber nicht auf die lange Bank schieben.

Weiterlesen
  78 Aufrufe

SAP Patchday: Acht neue Sicherheitslücken, davon eine hochriskant

SAP hat die Sicherheitsflicken zum November-Patchday veröffentlicht. Sie behandeln acht neu gemeldete Schwachstellen. Aktualisierungen gibt es zudem für zwei ältere Sicherheitsnotizen.

Anzeige

In der Patchday-Übersicht listet SAP die einzelnen Sicherheitsnotizen auf. Am schwersten wiegt eine Cross-Site-Scripting-Lücke im SAP Web Dispatcher. Angreifer können ohne vorherige Anmeldung einen bösartigen Link erstellen und veröffentlichen. Klickt ein Opfer darauf, kommen die darin übergebenen Daten in dessen Kontext zur Ausführung (CVE-2024-47590, CVSS 8.8, Risiko "hoch"). Die Einschätzung des Risikos durch die SAP-Entwickler verpasst also nur knapp den Schweregrad "kritisch". IT-Verantwortliche sollten zügig das hierfür bereitstehende Update anwenden.

Sechs weitere Sicherheitslücken in SAP-Produkten bedeuten für Betroffene ein mittleres Risiko. Eine weitere Schwachstelle ordnen die Walldorfer als niedrigen Bedrohungsgrad ein. Die beiden aktualisierten Sicherheitsnotizen betreffen zudem ein hohes Sicherheitsrisiko aufgrund fehlender Autorisierungsprüfung in SAP PDCE (am Juli-Patchday korrigiert) sowie ein niedriges Risiko bei einem gleichartigen Fehler in SAP Bank Account Management aus dem Mai.

Die einzelnen neuen Sicherheitsnotizen betreffen folgende Produkte:

Weiterlesen
  77 Aufrufe

Veeam Backup Enterprise Manager: Unbefugte Zugriffe durch Angreifer möglich

Angreifer können Veeam Backup Enterprise Manager (VBEM) ins Visier nehmen und sich in Verbindungen einklinken. Ein Sicherheitspatch steht zum Download bereit.

Anzeige

Mit VBEM managen Admins die Backuplösung Backup & Replication (VBR) über eine Webkonsole. Die Managementlösung ist optional. Mit den folgenden Befehlen können Admins prüfen, ob VBEM auf ihren Systemen installiert ist:

Get-VBRServer | Out-Null
[Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-List

Setzen Angreifer erfolgreich an der Schwachstelle (CVE-2024-40715 "hoch") an, können sie die Authentifizierung umgehen und Verbindungen als Man-in-the-Middle belauschen. Wie das im Detail ablaufen könnte, ist bislang nicht bekannt. In einer Warnmeldung verlinken die Entwickler die dagegen abgesicherte Version VBEM 12.2.0.334.

Weiterlesen
  89 Aufrufe

Trojaner tarnt sich als AutoCAD

Kaspersky weist darauf hin, dass Cyberkriminelle weiterhin auf Cracks beliebter Anwendungen setzen, um Schadsoftware zu verbreiten. Derzeit wird demnach der Trojaner SteelFox in angeblichen geknackten Versionen kostenpflichtiger Anwendungen wie Foxit PDF Editor, JetBrains und AutoCAD versteckt.

Die Angriffswelle betrifft laut einer Analyse von Kaspersky weltweit über 11.000 Nutzer, darunter auch Opfer in Deutschland und Österreich. Die Kampagne startete bereits im August 2024. Die Cracks wiederum werden über Forumsbeiträge und Torrent-Tracker in Umlauf gebracht.

Die Hintermänner sammeln mit dem Trojaner SteelFox zahlreiche Informationen von infizierten Rechnern, darunter Browserdaten, Zugangsdaten und Kreditkarteninformationen von Nutzern sowie Details zu installierter Software und Antivirus-Lösungen. Außerdem greifen sie WLAN-Passwörter, Systeminformationen und Zeitzonendaten ab. Zusätzlich nutzen die Cyberkriminellen eine modifizierte Version des Open-Source-Miners ‚XMRig‘ zur Zweckentfremdung der Rechnerleistung für Krypto-Mining, vermutlich für die Währung Monero.

Die Ergebnisse der Forscher zeigen auch, dass SteelFox mindestens seit Februar 2023 aktiv ist. Wenngleich die Cyberkriminellen die Funktionen von SteelFox kaum verändert hätten, modifizierten sie dessen Techniken und Code, um einer Entdeckung zu entgehen.

„Die Angreifer haben ihre Infektionsvektoren schrittweise diversifiziert und sich anfangs auf Nutzer des Foxit Readers konzentriert“, kommentiert Dmitry Galov, Head of Research Center for Russia and CIS im Global Research and Analysis Team (GReAT) bei Kaspersky. „Nachdem sich die Wirksamkeit der schädlichen Kampagne bestätigt hatte, erweiterten sie ihre Reichweite um Cracks für JetBrains-Produkte. Drei Monate später begannen sie auch, den bekannten Namen von AutoCAD auszunutzen. Die Kampagne ist weiterhin aktiv und wir gehen davon aus, dass die Angreifer ihre Malware unter dem Deckmantel anderer, noch beliebterer Produkte weiter verbreiten werden.“

Original Autor: Stefan Beiersmann

  88 Aufrufe

Ymir: Ransomware mit ausgeklügelter Verschleierung

Laut dem Kaspersky Emergency Response Team kombiniert die Ymir-Ransomware besondere technische Merkmale und Taktiken, die ihre Wirksamkeit steigern. Angreifer nutzten eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen – malloc, memmove und memcmp –, um Schadcode direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen Ablauf anderer Ransomware ab und verbessert so die Verschleierung. Mit der –path-Kommandozeile können die Angreifer zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht. Dateien auf der Whitelist werden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermöglicht.

Initial Access Brokerage

Dem Ransomware-Angriff ging ein Einsatz eines Infostealers voraus: Im von Kaspersky beobachteten Angriff nutzten die Angreifer RustyStealer, um Zugangsdaten von Mitarbeitern zu stehlen. Damit konnten sich die Angreifer Zugriff auf die Systeme des Unternehmens verschaffen und lange genug die Kontrolle behalten, um in einem weiteren Schritt die Ransomware zu installieren. Diese Art von Angriff ist als Initial Access Brokerage bekannt, bei dem die Angreifer in Systeme eindringen und einen Zugang längerfristig sicherstellen. Normalerweise verkaufen Initial Access Broker solch einen Zugang im Dark Web an andere Cyberkriminelle weiter; in diesem Fall scheinen die Angreifer jedoch selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.

Die Ransomware verwendet ChaCha20, ein modernes Strom-Chiffre-Verfahren, das für seine Geschwindigkeit und Sicherheit bekannt ist und sogar den Advanced Encryption Standard (AES) in einigen Aspekten übertrifft.

Unklar, wer hinter der Ransomware steckt

„Wenn die Initial Access Broker tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies der Beginn eines neuen Trends sein, der ohne traditionelle Ransomware-as-a-Service (RaaS)-Gruppen auskommt“, sagt Cristian Souza von Kaspersky. „Wir haben bisher keine neuen Ransomware-Gruppen auf dem Untergrundmarkt entdeckt. Üblicherweise nutzen Angreifer Schattenforen oder Portale, um Informationen zu leaken und so Druck auf die Betroffenen auszuüben, damit sie das Lösegeld zahlen. Bei Ymir ist dies jedoch bisher nicht der Fall. Daher bleibt unklar, wer hinter der Ransomware steckt.“

 

Original Autor: ZDNet-Redaktion

  86 Aufrufe

heise-Angebot: iX-Workshop: Lokales Active Directory gegen Angriffe absichern

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München.

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Weiterlesen
  85 Aufrufe

Sicherheitsupdates: Dell Enterprise SONiC für mehrere Attacken anfällig

Drei "kritische" Sicherheitslücken gefährden Netzwerke, in denen Admins Dell Enterprise SONiC nutzen. Angreifer können die Anmeldung umgehen und eigene Befehle ausführen. Aufgrund der Einstufung der Lücken ist nach einer erfolgreichen Attacke von einer vollständigen Kompromittierung von Systemen auszugehen.

Anzeige

Mit Dells Betriebssystems Software for Open Networking in the Cloud (SONiC) verwalten und managen Netzwerk-Admins unter anderem Switches. Die Software dient zur Konfiguration und Überwachung. Nun führt der Netzwerkausrüster in einem Beitrag drei Schwachstellen (CVE-2024-45763 "kritisch", CVE-2024-45764 "kritisch", CVE-2024-45765 "kritisch") auf und hat Sicherheitsupdates veröffentlicht. Dell warnt zurzeit nicht vor laufenden Attacken, rät Admins aber zu einem zügigen Update, um Netzwerke zu schützen.

Setzen Angreifer erfolgreich an den Lücken an, können sie die Authentifizierung umgehen. Dafür müssen sie aber aus der Ferne auf verwundbare Instanzen zugreifen können. Weil bestimmte Eingaben nicht ausreichend bereinigt werden, können Angreifer mit hohen Nutzerrechten und Zugriff auf Enterprise SONiC eigene Befehle ausführen. Wie solche Attacken im Detail ablaufen könnten, ist derzeit nicht bekannt. Unklar bleibt bislang auch, wie Admins bereits erfolgte Angriffe erkennen können.

Um Systeme gegen mögliche Attacken zu rüsten, müssen Admins Dell Enterprise SONiC Distribution 4.1.6 oder 4.2.2 installieren. Alle vorigen Ausgaben sollen bedroht sein. Eine Übergangslösung, um Systeme temporär zu schützen, gibt es derzeit nicht, sodass Admins die Patches zügig installieren müssen. Zwei der Lücken haben Sicherheitsforscher von QI-ANXIN entdeckt und an Dell gemeldet.

Weiterlesen
  94 Aufrufe

RansomHub hebt Datenerpressung auf höhere Stufe

Dies geht aus einem aktuellen Bericht zu Ransomware-Aktivitäten und -Trends von Check Point Research (CPR) hervor. RansomHub hat sich zur am schnellsten wachsenden Ransomware-Gruppe entwickelt, die über Ransomware-as-a-Service (RaaS) operiert. Im September 2024 waren 19 Prozent aller auf Ransomware-Shame-Seiten veröffentlichten Betroffenen ein Opfer der Gruppe RansomHub gewesen, was eine Verschiebung in der Landschaft der Cyber-Kriminalität markiert. Auf diesen Shame-Seiten machen Hacker öffentlich bekannt, welche Organisationen sie erfolgreich mit Ransomware infiltriert haben, um sie bloßzustellen. Lockbit, die einst dominierende Ransomware-Gruppe, hat einen deutlichen Rückgang verzeichnet und ist nur noch für 5 Prozent der neuen Opfer verantwortlich, von denen viele bereits zum wiederholten Male attackiert wurden.

Die hohe Erfolgsquote von RansomHub liegt vor allem darin begründet, dass sie sich der fortschrittlichen Methode der Fernverschlüsselung bedienen. Diese gefährliche Innovation wurde von Check Point erstmals 2023 beobachtet und hat sich im Jahr 2024 rasant ausgebreitet. Dem Angreifer reicht bei dieser Taktik ein einziger ungeschützter Endpunkt, beispielsweise ein Mobiltelefon, um Daten auf anderen Geräten im selben Netzwerk zu verschlüsseln. Die Hacker rufen dabei die Daten über das ungeschützte Gerät ab, verschlüsseln sie und ersetzen die Originaldateien durch die verschlüsselten.

Verschlüsselung über einen infizierten Endpunkt

Der Clou: Bisher versuchten Hacker, die Dateien direkt vom verwalteten und geschützten Endpunkt aus zu verschlüsseln. Bei einer Fernverschlüsselung wird keine Malware/Ransomware direkt auf dem verschlüsselten Gerät ausgeführt, sondern nur auf dem einen, infizierten Endpunkt. Von dort erfolgt die Verschlüsselung im restlichen Netzwerk. Die Cyber-Kriminellen müssen keine Ransomware mehr durch die Netzwerke hüpfen lassen. Angreifer suchen daher im Unternehmensnetzwerk ungesicherte Geräte oder Server, und führen von diesem Gerät die Verschlüsselung im gesamten Netzwerk aus. Das bedeutet, dass mehrere Geräte/Server im Netzwerk ohne eine geeignete Endpunktlösung ein erhebliches Risiko für das gesamte Netzwerk darstellen. Da die betroffenen Geräte ungesichert sind, ist es erheblich schwerer, diese Angriffe zu erkennen und unschädlich zu machen.

RansomHub, Lockbit und Meeow

Aufstieg von RansomHub
Seit seiner Gründung im Februar 2024 ist RansomHub schnell gewachsen und hat es auf Unternehmen in den USA abgesehen. Obwohl die Gruppe zunächst erklärte, gemeinnützige Organisationen und Krankenhäuser zu meiden, sind unter den Opfern auch bekannte Namen aus dem Gesundheitswesen. Die Gruppe betreibt ein RaaS-Modell, was es Dritten erlaubt, Angriffe mit ihren Tools und ihrer Infrastruktur durchzuführen, und hat so bedeutende Erfolge erzielt.

Lockbits Niedergang
Während Lockbit in den Jahren 2022 und 2023 noch für satte 40 Prozent aller Ransomware-Opfer verantwortlich war, liegt der Anteil der Gruppe heute nur noch bei 5 Prozent. Fast die Hälfte der benannten Opfer sind jedoch Namen, die die Gruppe in der Vergangenheit bereits angegriffen hat, was darauf hindeutet, dass Größe und Ressourcen der Bande erheblich zurückgegangen sind. CPR vermutet, dass die Täter sich entweder mit fremden Federn schmücken und Betroffene anderer Gruppen als ihre eigenen deklarieren oder ihre vorherigen Opfer erneut in den Mittelpunkt rücken, um die Fassade andauernder Operationen aufrechtzuerhalten.

Weiterlesen
  94 Aufrufe

heise-Angebot: heise security Webinar: M365-Sicherheit selbst testen und verbessern

ScubaGear ist ein Tool zum Überprüfen der Sicherheitseinstellungen in M365. Entwickelt hat es die US-Sicherheitsbehörde CISA, damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst checken und verbessern können. ScubaGear deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Dieses heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen vergleichbaren Werkzeugen – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare auch später in der exklusiven PRO-Mediathek abrufen.

Weiterlesen
  80 Aufrufe

Palo Alto untersucht mögliche Sicherheitslücke in PAN-OS-Webinterface

Palo Alto untersucht eine angebliche Codeschmuggel-Sicherheitslücke in der Verwaltungsoberfläche des Firewall-Betriebssystems PAN-OS. Der Hersteller empfiehlt Administratoren, Sicherheitsmaßnahmen zu ergreifen, um Angriffe von außen zu erschweren.

Anzeige

In einer Sicherheitsmitteilung schreiben die Palo-Alto-Entwickler, dass das Unternehmen von einer angeblichen Sicherheitslücke im PAN-OS-Managementinterface wisse, die das Einschleusen und Ausführen von Schadcode erlauben solle. Details zu der Lücke kennen die Mitarbeiter nicht, beobachten die Lage jedoch nach Anzeichen von Missbrauch. Sie glauben, dass Prisma Access und Cloud NGFW nicht betroffen seien, nennen dafür jedoch keine Gründe.

Palo Alto empfiehlt Kunden dringend, sicherzustellen, dass der Zugang zur Verwaltungsoberfläche korrekt und im Einklang mit den empfohlenen Best-Practices-Richtlinien erfolgt. Dafür stellt das Unternehmen auch eine Anleitung bereit. Um potenziell betroffene Geräte zu identifizieren, sollen Kunden sich ins Kundenportal einloggen und dort unter "Products" – "Assests" – "All Assets" – "Remediaten Required" nachschauen. Palo Alto scannt das Internet regelmäßig auf öffentlich erreichbare Palo-Alto-Geräte. Geräte, die dort mit "PAN-SA-2024-0015" markiert wurden, bedürfen der Aufmerksamkeit von Admins.

Indizien für Angriffe (Indicators Of Compromise, IOCs) könne man nicht nennen. Auch wisse der Hersteller nichts von aktiven Exploitversuchen.

Weiterlesen
  84 Aufrufe

Windows-Update für Windows Update rüstet Nachricht zu Support-Ende nach

Am Oktober-Patchday, der am 10. Oktober 2024 stattfand, hat Microsoft auch ein Update für die Windows-Update-Komponenten veröffentlicht. Die weitgehend unbeachtet gebliebene Aktualisierung hat jedoch praktische Funktionen nachgerüstet. Microsoft installiert es auch nur auf bestimmten Windows-Versionen.

Anzeige

In einem Support-Artikel beschreibt Microsoft den Inhalt der Aktualisierung. Die Updates zum KB5001716-Artikel sorgen dafür, dass Nutzerinnen und Nutzer eine Benachrichtigung erhalten, dass eine installierte Windows-Version keine Aktualisierung mehr erhält und am Ende des Lebenszyklus angelangt ist.

Die Autoren schreiben: "Nach der Installation dieses Updates zeigt Windows möglicherweise in regelmäßigen Abständen eine Benachrichtigung an, die Sie über Probleme informiert, die Windows Update daran hindern, Ihr Gerät auf dem neuesten Stand zu halten und vor aktuellen Bedrohungen zu schützen. So kann beispielsweise eine Benachrichtigung angezeigt werden, die Sie darüber informiert, dass auf Ihrem Gerät derzeit eine Version von Windows ausgeführt wird, deren Support-Lebenszyklus abgelaufen ist, oder dass Ihr Gerät nicht die Mindestanforderungen an die Hardware für die derzeit installierte Version von Windows erfüllt."

Diese Benachrichtigungen sollen Betroffene jedoch nicht stören. Sie berücksichtigen laut Microsoft aktivierten Vollbildmodus etwa bei Spielen, Ruhezeiten (Nicht-stören-Modus) oder einen eingeschalteten Fokus-Modus von Windows.

Weiterlesen
  94 Aufrufe

Dresden: Admin hat im großen Stil Daten von Wahlberechtigten abgezogen

Die Staatsanwaltschaft und die Polizei Dresden ermitteln gegen einen Systemadministrator, der eine komplette Wahlbenachrichtigungsdatei mit personenbezogenen Daten von 430.000 Bürgern der sächsischen Hauptstadt rechtswidrig auf mindestens einen externen Datenträger kopiert haben soll. Dieses Verzeichnis enthält die Namen, Anschriften und Geburtsdaten aller Dresdner Wahlberechtigten.

Anzeige

Der Beschuldigte war im kommunalen Eigenbetrieb IT-Dienstleistungen verantwortlich für die datentechnische Unterstützung der Wahlen für das Bürgeramt, erklärte die Stadtverwaltung am Freitag. Die Erstellung und Speicherung des Wählerverzeichnisses sei Teil seiner Arbeit gewesen. Für die dienstliche Verwendung der Kopie soll es aber keine Anhaltspunkte gegeben haben.

Die Behörden werfen dem 54-Jährigen auch vor, zwischen Mai und dem 22. Oktober wiederholt unbefugt externe private Speichermedien an dienstliche IT-Technik der Landeshauptstadt Dresden angeschlossen und dabei insgesamt rund 270.000 Dateien transferiert zu haben. Der Verdacht des Datenschutzverstoßes sei bei regulären Prüfungen zum dienstgerechten Umgang mit personenbezogenen Informationen durch den IT-Eigenbetrieb Ende Oktober festgestellt worden, führt die Kommunalverwaltung aus.

Der Dienststellenleiter habe unverzüglich sämtliche Zugriffe des Beschuldigten gesperrt, heißt es weiter. Er habe Dienstgeräte sicherstellen lassen und ein Hausverbot erteilt. Parallel sei der Sicherheitsvorfall bei der sächsischen Datenschutzbeauftragten, beim Security-Notfallteam Sax.cert und beim Landeskriminalamt angezeigt worden.

Weiterlesen
  103 Aufrufe

Cyberkriminelle zielen mit neuartiger macOS-Malware auf Kryptofirmen

IT-Sicherheitsforscher von Sentinel haben eine neue Malware-Kampagne entdeckt, die sie der nordkoreanischen Cyberkriminellen-Gruppierung Blue Noroff zuschreiben. Mit einer macOS-spezifischen mehrstufigen Malware zielen die Angreifer auf Firmen aus dem Kryptowährungssektor ab.

Anzeige

Die Angreifer ködern ihre Opfer laut der IT-Forscher mit E-Mails, die sie als Newsletter über die Kryptowährungstrends tarnen. Die Angreifer nutzen den Namen einer realen Person als Absender, die die Mail eines Krypto-Influencers weiterleitet. Die Opfer infizieren sich, wenn sie auf einen Link zu vermeintliche PDF-Dateien in der Mail klicken, der mit Titeln wie "Das versteckte Risiko hinter dem neuen Bitcoin-Preisanstieg" lockt. Angelehnt an den PDF-Namen haben die Forscher die Kampagne HiddenRisk genannt.

Bei der initialen Infektion gelangt ein sogenannter Dropper auf das betreffende System. Dabei handelt es sich um ein Softwarepaket, das einen Virus enthält. Dieser nistet sich auf dem System ein, um dann weitere Schadsoftware nachzuladen.

Der in der von Apple entwickelten Programmiersprache Swift geschriebene Dropper wurde am 19. Oktober von der Apple-Developer-ID “Avantis Regtech Private Limited (2S8XHJ7948)” signiert und notarisiert. Mittlerweile hat Apple die Signatur widerrufen. Eigentlich dient eine solche Signatur und Notarisierung der Bestätigung von Funktionalität und Sicherheit einer Software.

Weiterlesen
  105 Aufrufe

Russische Zensurbehörde blockiert Cloudflare wegen Verschlüsselungsoption

Russische Webseiten-Betreiber und -Nutzer sollen Abstand von Diensten des US-Anbieters Cloudflare nehmen, empfiehlt die Zensur- und Aufsichtsbehörde Roskomnadzor. Grund dafür ist die Einführung einer TLS-Erweiterung namens Encrypted Client Hello (ECH) durch Cloudflare. Die russische Aufsichtsbehörde sieht dadurch die Sicherheit im Land gefährdet, da sie nun bestimmte Webseiten nicht mehr blockieren kann. Deswegen blockiert sie rundheraus alle von Cloudflare ausgelieferten Webseiten mit ECH.

Anzeige

Dessen Nutzung sei gesetzeswidrig und verstoße gegen "Technische Maßnahmen zur Bekämpfung von Bedrohungen" ("техническими средствами противодействия угрозам"), so Rozkomnadzor in einer Mitteilung. Die ECH-Erweiterung verschlüsselt den Domainnamen beim Aufruf einer Webseite per HTTPS so, dass mithorchende Firewalls oder Zensurstellen diesen nicht mehr einsehen können, sondern lediglich eine generische Domain (im Falle Cloudflares "cloudflare-ech.com") ermitteln. Sie ersetzt das unsichere SNI (Server Name Indication), das diesen Domainnamen unverschlüsselt zwischen Client und Server übertrug.

Die Cloudflare-ECH-Domain blockieren russische Provider nun, sofern ein zweites Kriterium ebenfalls zutrifft: Die ECH-Protokollerweiterung ist gesetzt. Trifft eines der beiden Kriterien nicht zu, so lassen die russischen Zensurmechanismen das Paket passieren. Damit sind alle über Cloudflares CDN (Content Delivery Network) ausgelieferten Webseiten inner- und außerhalb Russlands potenziell betroffen.

Wie groß die Auswirkungen dieser Blockade sind, ist unklar: Cloudflare hat auf eine Anfrage der heise-Redaktion bislang nicht geantwortet. Wir werden diese Meldung ergänzen, sobald eine Stellungnahme aus San Francisco eingeht.

Weiterlesen
  100 Aufrufe

Backup-Appliance PowerProtect DD von Dell als Einfallstor für Angreifer

Eigentlich soll Dells Backup-Appliance PowerProtect DD die Ausfallsicherheit bei Cyberattacken steigern. Aufgrund von mehreren Softwareschwachstellen können Angreifer nun aber Systeme attackieren. Dagegen stehen abgesicherte Ausgaben zum Download.

Anzeige

Wie aus einer Warnmeldung hervorgeht, finden sich die Lücken in verschiedenen Komponenten, die PowerProtect DD nutzt. Davon sind neun Schwachstellen (CVE-2022-1996, CVE-2022-32207, CVE-2022-32221, CVE-2023-38545, CVE-2023-23914, CVE-2024-23652, CVE-2024-23653, CVE-2019-14889, CVE-2022-29361 ) mit dem Bedrohungsgrad "kritisch" eingestuft. Neben aktuellen Lücken schließen die Sicherheitspatches auch ältere Lücken.

Die Schwachstellen betreffen unter anderem Apache Tomcat, curl und OpenSSL. Setzen Angreifer etwa an einer Lücke (CVE-2024-23652 "kritisch") in Buildkit an, können sie Dateien manipulieren. Durch eine Schwachstelle (CVE-2023-51257 "hoch") in Jasper kann Schadcode auf Systeme gelangen.

Darüber hinaus können Angreifer die Authentifizierung umgehen (Komponente containerd CVE-2022-1996 "kritisch") oder eigentlich verschlüsselte Daten im Klartext einsehen (Komponente curl CVE-2023-23914 "kritisch").

Weiterlesen
  93 Aufrufe

CISA warnt vor vier aktiv angegriffenen Sicherheitslücken

Die US-amerikanische IT-Sicherheitsbehörde CISA hat vier Sicherheitslücken neu in den Known-Exploited-Vulnerabilitites-Katalog aufgenommen. Dort sammelt die Behörde Schwachstellen, auf die Angriffe in freier Wildbahn beobachtet wurden. IT-Verantwortliche sollten daher prüfen, ob die dort gelisteten Sicherheitslücken in ihren Organisationen geschlossen wurden.

Anzeige

Die CISA schreibt in ihrer Ankündigung, dass jetzt Sicherheitslecks in Android, Cyberpanel, Nostromo nhttpd und Palo Alto Expedition attackiert wurden. Von zwei der genannten Schwachstellen war das bereits zuvor bekannt. Die November-Patchsammlung zum Android Patchday brachte bereits ein Update mit, das die Sicherheitslücke in der Google-Docs-Bedienoberfläche schließt und von der Google dort berichtete, dass sie angegriffen wurde (CVE-2024-43093).

In der Vorwoche wurden zudem Angriffe auf Server bekannt, auf denen Cyberpanel installiert ist. Die Cybergang Psaux steckt hinter den Attacken auf die kritische Sicherheitslücke CVE-2024-51567 und ist rund 22.000 Instanzen angegangen. Vor einer Schwachstelle in Palo Altos Migrationswerkzeug Expedition hatte der Hersteller bereits im Juli dieses Jahres gewarnt. Die Lücke mit dem CVE-Eintrag CVE-2024-5910 gilt ebenfalls als kritisch und ermöglicht die Kompromittierung von Netzwerken. Der Fehler liegt in einer fehlenden Authentifizierung, die die Übernahme des Expedition-Admin-Kontos ermöglicht.

Die vierte in Angriffen beobachtete Sicherheitslücke betrifft den Nostromo nhttpd-Server. Sie wurde bereits 2019 gemeldet, Updates zum Stopfen des Sicherheitslecks stehen seitdem bereit. In freier Wildbahn haben bösartige Akteure nun die Directory-Traversal-Lücke missbraucht, die in der Funktion http_verify der Software steckt und das Ausführen von eingeschleustem Schadcode führen kann – dazu reicht das Senden sorgsam präparierter HTTP-Anfragen (CVE-2019-16278, CVSS 9.8, Risiko "kritisch").

Weiterlesen
  93 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image