Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Cisco: Brute-Force-Schutz für mehr ASA- und FTD-Versionen verfügbar

Seit im April vermehrt Password-Spraying- und Brute-Force-Attacken auf VPN-Log-ins vorkamen, hatte Cisco Tipps zur Absicherung von VPNs gegeben. Inzwischen hat Cisco die Anleitung mehrfach aktualisiert – und auch weitere Firmware-Versionen von ASA- und FTD-Appliances mit aktivierbaren Schutzfunktionen ausgestattet. Admins sollten sie kennen und aktivieren.

Anzeige

Die Anleitung mit den Tipps von Cisco gibt zunächst Einblick in das grundsätzliche Problem: Angreifer versuchen, unbefugten Zugriff zu Nutzerkonten zu erlangen, indem sie einige üblicherweise verwendete Passwörter für mehrere Konten ausprobieren. Schlimmstenfalls erlangen die Angreifer Vollzugriff und können betroffene Geräte vollständig kompromittieren, aber auch das Aufbrauchen von Ressourcen und ein damit einhergehender Denial-of-Service können die Folge sein. Andere Nutzerinnen und Nutzer können dann etwa VPN zum Netzwerkzugriff nicht mehr nutzen.

Um Angriffe etwa mittels Password-Spraying-Attacken zu erkennen, sei eine Überwachung der Systemprotokolle und der Einsatz bestimmter "show"-Befehle nötig. Etwa eine unüblich hohe Rate von zurückgewiesenen Authentifizierungsversuchen deute auf einen Angriff, was etwa durch die ASA-Syslog-IDs %ASA-6-113015, %ASA-6-113005 oder %ASA-6-716039 in den Protokollen auffällt.

Um solche Ereignisse zu sehen, muss zunächst das Logging aktiviert werden. Im zweiten Schritt soll die Konfiguration von den Bedrohungserkennungen für die VPN-Dienste (Remote Access VPN Services) erfolgen. Diese ermöglichen dann für IPv4-Verbindungen automatische Blockade nach Überschreiten einstellbarer Schwellwerte. Die neuen Erkennungen stehen bereit für "Repeated failed authentication attempts" (wiederholte fehlgeschlagene Authentifizierungsversuche), "Client initiation attacks" (Angreifer starten einen Verbindungsversuch, beenden ihn aber nicht) sowie "Connection attempts to invalid remote access VPN services" (Angreifer versuchen, auf Tunnel-Gruppen zu verbinden, die ausschließlich für interne Gerätefunktionen gedacht sind).

Weiterlesen
  98 Aufrufe

"Passwort" Folge 17: News von Cybercrimegruppen bis zu Zertifikatsplänen

Anzeige

Die siebzehnte Episode von "Passwort", dem Podcast von heise security, bringt wieder verschiedene Themen mit, die die Branche in den vergangenen Wochen bewegten (und welche die Hosts für erzählenswert erachteten). Zum Warmwerden erzählt Christopher die Ereignisse rund um "Final Exchange" und "Operation Endgame" nach. Was klingt wie Arcade-Shooter aus den späten Achtzigern, sind tatsächlich die Codenamen für zwei Aktionen der Strafverfolgungsbehörden gegen Krypto-Börsen und digitale Geldwäscher. Ob dabei dicke Fische ins Netz gingen und wer bei der Verhaftungsaktion unerwartet rege mitmischte, ist Gegenstand der ersten halben Stunde der Podcastfolge.

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden

Mit einer überraschend vielseitigen Linux-Malware geht's weiter. Perfctl kennt über 20.000 Sicherheitslücken und Fehlkonfigurationen auf Serversystemen und nutzt diese für maliziöse Zwecke. Dabei ist die Schadsoftware gewieft, versteckt sich vor neugierigen Adminblicken und kann auch sonst allerlei Tricks. "Metasploit für Cyberkriminelle", konstatieren die Hosts.

Eine neue Variante der Spectre-Lücke in Intel- und AMD-CPUs ist ebenso Gegenstand der zweiundneunzig bunten Minuten wie eine Verkettung unglücklicher Lücken zu einem Exploit gegen das Unix-Drucksystem CUPS. Und dann war da natürlich auch noch eine Meldung aus der fast schon obligatorischen Rubrik "Neues aus der Zertifikatswelt", dieses Mal zu Apples umstrittenen Vorschlag, die Maximallaufzeit digitaler Zertifikate für Webserver ab 2027 auf 45 Tage zu beschränken.

Die neueste Folge von "Passwort - der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

Weiterlesen
  94 Aufrufe

Google Chrome: Kritische Sicherheitslücke gestopft

Die Entwickler von Google haben mit dem wöchentlichen Chrome-Update zwei Sicherheitslücken in dem Webbrowser geschlossen. Eine davon stufen sie als kritisches Risiko ein – Nutzerinnen und Nutzer sollten daher vor dem Weitersurfen sicherstellen, die abgesicherten Versionen einzusetzen.

Anzeige

In einem Blog-Beitrag erläutern die Google-Programmierer, dass die Aktualisierung aus der Nacht zum Mittwoch zwei Schwachstellen ausbessert. Bei der einen handelt es sich um potenzielle Schreibzugriffe außerhalb dafür vorgesehener Grenzen in der Dawn-Komponente von Chrome (CVE-2024-10487, kein CVSS-Wert, Risiko laut Google "kritisch"). Dawn ist die Umsetzung des WebGPU-Standards in Chrome. Schreibzugriffe auf dafür nicht vorgesehene Speicherbereiche erlaubt Angreifern oftmals, Schadcode einzuschleusen und auszuführen. Die Anzeige einer manipulierten Webseite scheint dafür auszureichen und das Provozieren der Lücke nicht schwer zu sein, was die Risikoeinstufung nahelegt.

Zudem haben die Programmierer eine Use-after-free-Lücke in der WebRTC-Umsetzung abgedichtet. Dabei können Angreifer auf bereits freigegebene Ressourcen zugreifen, deren Inhalte dadurch nicht definiert sind, was sich ebenfalls häufig zum Ausführen von eingeschleustem Code missbrauchen lässt (CVE-2024-10488, kein CVSS-Wert, Risiko laut Google "hoch"). WebRTC umfasst Protokolle und Programmschnittstellen für die Echtzeitkommunikation.

Die Sicherheitslücken hat Google in Chrome für Android 130.0.6723.86, für iOS 130.0.6723.90, für Linux in Fassung 130.0.6723.91 sowie mit Version 130.0.6723.91/.92 für macOS und Windows geschlossen. Auch die "Extended Stable"-Version ist jetzt in Version 130.0.6723.92 für macOS und Windows abgesichert. Häufig dichtet Google mit den regelmäßigen Updates Sicherheitslecks ab, die maximal den Schweregrad hoch erreichen; als kritische Bedrohung eingestufte oder bereits in freier Wildbahn ausgenutzte Schwachstellen sind vergleichsweise selten – zuletzt war das Ende August der Fall. Wer Chrome einsetzt, sollte daher sicherstellen, die neuen Versionen zu verwenden.

Weiterlesen
  92 Aufrufe

"Playboy": Angeblicher Cyberangriff auf DIHK

Im Darknet ist eine Cybergang mit dem Namen "Playboy" zum vergangenen Wochenende erstmalig in Erscheinung getreten. Ein Eintrag auf deren Leak-Site erwähnt nun die Deutsche Industrie- und Handelskammer (DIHK), dazu zählt ein Countdown herunter. Er endet am 5. November um 15 Uhr mitteleuropäischer Zeit.

Anzeige

Der Eintrag zur DIHK im Darknet-Auftritt von "Playboy" liefert keine Details, was die Gruppe veröffentlichen will.

(Bild: Screenshot / dmk)

Der Eintrag auf der Darknet-Seite der Ransomware-Vereinigung liefert lediglich den Countdown, einen Umsatz von 28 Millionen US-Dollar und eine Kurzbeschreibung zur DIHK. Was die mutmaßlichen Kriminellen in knapp einer Woche veröffentlichen wollen, bleibt unklar. Auch eine konkrete Lösegeldforderung ist dort nicht öffentlich zu sehen.

Weiterlesen
  88 Aufrufe

US-Zahlungsdienstleister: Krankendaten von 100 Millionen Menschen gestohlen​

Nach einem Ransomware-Angriff im Februar Anfang des Jahres bestätigt die UnitedHealth Group einen Datenabfluss, von dem mehr als 100 Millionen Menschen betroffen sind. Anfang Mai gab UnitedHealth bereits zu, dass ein Drittel der US-Bevölkerung von dem Vorfall betroffen sein könnte. Jetzt hat das "U.S. Department of Health and Human Services Office for Civil Rights" in seinem Data-Breach-Portal die Gesamtzahl der betroffenen Personen zu ebendiesem Drittel aktualisiert. Das entspricht 100 Millionen betroffenen US-Amerikanern.

Anzeige

Zu den gestohlenen Daten gehören Versicherungsinformationen, medizinische Dokumente, Zahlungsdaten sowie Sozialversicherungsnummern. Die Angreifer nutzten eine Sicherheitslücke bei der UnitedHealth-Tochter Change Healthcare [--] dem größten Bezahldienstleister im US-Gesundheitswesen.

Infolge eines Angriffs hatte die Ransomware-Gang AlphV, auch bekannt als BlackCat, laut Bleeping Computer rund 6 Terabyte an Daten erbeutet und Lösegeld gefordertgezahlt wurde mehrfach. Zudem hatte der Vorfall erhebliche Auswirkungen auf die Patientenversorgung, Ärzte und Apotheker, aber auch auf US-Militär-Krankenhäuser weltweit. Patienten mussten teils in Vorleistung gehen und hohe Kosten für Medikamente selbst tragen. Seit dem Vorfall im Februar war es vielen Ärzten und Apotheken nicht möglich, die Systeme von UnitedHealth zu nutzen.

Change Healthcare bot den betroffenen Personen nach Bekanntwerden des Angriffs kostenlosen Identitätsschutz und Kreditüberwachung für zwei Jahre an. Zudem kooperiert das Unternehmen mit Cybersicherheitsexperten und Strafverfolgungsbehörden, um den Vorfall aufzuklären.

Weiterlesen
  96 Aufrufe

Sicherheitsupdates: Firefox und Thunderbird gegen Schadcode-Attacken gerüstet

Wer mit Firefox oder Firefox ESR surft und mit Thunderbird E-Mails abruft, sollte die Browser und den Mailclient aus Sicherheitsgründen zeitnah aktualisieren.

Anzeige

Geschieht das nicht, können Angreifer aktuellen Beiträgen im Sicherheitsbereich der Mozilla-Website zufolge an mehreren Sicherheitslücken ansetzen und Systeme im schlimmsten Fall kompromittieren. Dabei kann unter anderem Schadcode auf PCs gelangen.

Wenn Barrierefreiheitsoptionen aktiv sind, können Angreifer auf einem nicht näher ausgeführten Weg Abstürze auslösen (CVE-2024-10459 "hoch"). Außerdem sind Schadcode-Attacken denkbar (CVE-2024-10467 "mittel").

Die Entwickler geben an, die Sicherheitslücken in Firefox 132, Firefox ESR 115.17, Firefox ESR 128.4, Thunderbird 128.4 und Thunderbird 132 geschlossen zu haben. Welche Betriebssysteme konkret bedroht sind, geht aus den Warnmeldungen nicht hervor. Unklar bleibt auch, wie Attacken im Detail ablaufen könnten und ob es bereits Angriffe gibt.

Weiterlesen
  90 Aufrufe

Ransomware-Angriffe auf Sonicwall SSL-VPNs

Die IT-Sicherheitsforscher von Arctic Wolf haben erhöhte Aktivitäten der Akira- und Fog-Ransomware beobachtet. Sie haben Schwachstellen in Sonicwalls SSL-VPNs für den Einstieg in Netzwerke missbraucht.

Anzeige

In einer ausführlichen Analyse erörtern die Arctiv-Wolf-Analysten, dass sie mindestens 30 Einbrüche mit Akira und Fog quer durch alle möglichen Branchen seit dem frühen August beobachtet haben. Sie alle haben gemein, dass Sonicwalls SSL-VPN früh in der Ereigniskette auftaucht.

Wie die IT-Forscher erklären, kamen die bösartigen VPN-Log-ins aus Netzwerken, die mit VPS-Hosting (Virtuelle Private Server) in Zusammenhang stehen. Das deutet darauf hin, dass entweder bei den Hosting-Providern Maschinen geknackt und missbraucht wurden, oder möglicherweise auch von den Cyberkriminellen direkt gemietet wurden. Die IP-Adressen lieferten einen guten Ansatzpunkt für die Verteidigung vor den Angriffen, um sie zu entdecken und zu blockieren.

Die Sonicwall-Geräte, durch die die Täter einbrechen konnten, waren allesamt nicht gegen die Schwachstelle CVE-2024-40766 gepatcht – mit einem CVSS-Wert von 9.3 gilt sie als kritisches Risiko. Anfang September warnte Sonicwall, dass diese Sicherheitslücke in den SSL-VPNs bereits aktiv angegriffen wird, und wies nochmals auf die verfügbaren Updates hin, die das Sicherheitsleck stopfen. Allerdings kann Arctic Wolf nicht konkret sagen, ob es tatsächlich diese Schwachstelle ist, die bei den Ransomware-Angriffen missbraucht wurden – aber der Patch-Stand liefert zumindest ein Indiz.

Weiterlesen
  93 Aufrufe

Angreifer nutzten gefälschte AWS-Domains in Phishingkampagne

Sicherheitsforscher des AWS Security Team haben eine Phishing-Kampagne gestoppt, bei der tausende gefälschte AWS-Domains genutzt wurden. Amazon hat seit der Entdeckung der Kampagne massenweise Domains abgeschaltet. Die AWS-Sicherheitsforscher und das Computer Emergency Response Team der Ukraine, CERT-UA, bezichtigen die russische Cyberkriminellen-Gruppierung APT29. Die Angreifer haben demnach versucht, mit den gefälschten AWS-Domains Anmeldedaten von ukrainischsprachigen Zielen zu erbeuten.

Anzeige

Die gefälschten AWS-URLs dienten offenbar als Köder. Nachdem die Opfer auf den Link einer solchen URL geklickt hatten, landeten sie auf einer Malware-Downloadseite, die einen sogenannten RDP-Trojaner installiert, der Anmeldedaten von Windows-Systemen stiehlt.

Amazons Chief Information Security Officer CJ Moses schrieb in einem Posting auf LinkedIn, dass Amazon selbst nicht im Visier der Angreifer war. Auch zielten die Angriffe nicht auf Anmeldedaten von AWS-Kunden ab. Stattdessen hatten die Angreifer Ziele mit Verbindungen zu Regierungsbehörden, Unternehmen und dem ukrainischen Militär im Visier. Laut dem AWS-CISO entspricht das Vorgehen der Gruppe in diesem Fall nicht ihrem sonstigen Verhalten: APT29 verfolgte sonst eher einen enger gefassten Ansatz – dieses Mal seien die Phishingmails an viele Ziele verschickt worden.

Das ukrainische CERT hat ein Advisory mit weiteren Details zu dem Fall veröffentlicht. Cybercrime spielt im Krieg Russlands gegen die Ukraine auf beiden Seiten eine Rolle. Im Juni etwa machten die ukrainischen Behörden Personen dingfest, die sie der Cyberkriminalität verdächtigten, die mutmaßlich im Dienst russischer Auftraggeber handelten. Und laut einem Bericht der russischen Nachrichtenagentur Ria Novosti strebt Russland offenbar die Schaffung einer Cybersicherheitsbehörde an.

Weiterlesen
  96 Aufrufe

Operation Magnus: Internationale Strafermittler sprengen große Malware-Plattform

Der Taskforce "Operation Magnus" ist ein empfindlicher Schlag gegen ein weltweit agierendes Malware-Netzwerk gelungen. Dabei handele es sich global betrachtet um eine der größten Malware-Plattformen. Daran waren unter anderem die niederländische Polizei, das FBI und Strafermittler aus Australien beteiligt.

Anzeige

Wie aus einer Pressemitteilung hervorgeht, hat die Agentur der EU für justizielle Zusammenarbeit Eurojust die Ermittlungen koordiniert. Dabei wurden unter anderem drei Server in den Niederlanden aus dem Verkehr gezogen. Außerdem hat die Polizei zwei Verdächtige in Belgien festgenommen. Überdies haben die Ermittler Kommunikationskanäle der Kriminellen stillgelegt. Die Mitteilung liest sich so, als wäre bislang nicht das komplette Netzwerk lahmgelegt.

Den Ermittlern zufolge sollen die Kriminellen über ihr Malware-Netzwerk die Infostealer Redline und Meta weltweit an Millionen Opfer verteilt haben. Derartige Trojaner sind auf Log-in-Daten von Opfern aus. Diese werden dann oft im Darknet zum Verkauf angeboten. Darunter fallen Daten wie Nutzernamen nebst Passwörtern von Onlineaccounts, Cookies und Wallets für Kryptowährung. Derartige Daten dienen unter anderem für Betrug, aber auch Spionage.

Die Ermittler geben an, dass sie im Besitz von internen Daten der Kriminellen sind. Darunter sind unter anderem IP-Adressen, Passwörter und Sourcecode der Infostealer. Nun beabsichtigen sie, die Daten auszuwerten, um die Ermittlungen voranzutreiben. Davor warnen sie die Kriminellen in einem Video auf einer extra für Operation Magnus angelegten Website. Es ist davon auszugehen, dass die Ermittler in den kommenden Tagen weitere Server offline nehmen und Personen verhaften.

Weiterlesen
  86 Aufrufe

Raspberry Pi OS: Wayland jetzt für alle!

Das Raspberry-Pi-Projekt hat das daran angepasste Raspberry Pi OS aktualisiert. Die wichtigste Neuerung darin ist die Unterstützung von Wayland auf allen Raspberry-Pi-Modellen. Auch sonst gibt es einige kleinere Verbesserungen, etwa bei der Unterstützung von Touch-Displays.

Anzeige

Wie die Raspberry-Pi-OS-Maintainer in einem Artikel erklären, soll Wayland das betagte X Window System ablösen. Wayland verspreche mehr Geschwindigkeit und Sicherheit. Unter anderem, da die Apps nicht alle mit dem Display-Server kommunizieren, sondern Wayland diese auf Compositor-Ebene isoliert, können diese einander nicht beobachten. Daher war im vergangenen Jahr der Wechsel zu Wayland mit dem Compositor "wayfire" eine der größeren Neuerungen, die jedoch nur für die leistungsstärkeren und neueren Raspberry 4 und 5 zur Verfügung stand.

Bei der Suche nach einem besseren Compositor, der auch eher mit den Zielen der Raspberry-Pi-Maintainer zusammenpasst, sind sie auf "labwc" gestoßen. Das basiere auf einem Satz an Bibliotheken, die unter dem Namen "wlroots" die Grundfunktionen eines Wayland-Systems bereitstellen. Ein darauf basierender Wayland-Compositor müsse das Rad nicht neu erfinden, weshalb die Maintainer die Entscheidung zur Umstellung getroffen haben. Die meiste Zeit des vergangenen Jahres haben sie damit verbracht, labwc auf den Raspberry-Pi-Desktop zu portieren. Die Entwickler von labwc und wlroots haben dabei kräftig mitgeholfen. Am Ende der Bemühungen steht nun Wayland auf allen Raspberry-Pi-Modellen zur Verfügung.

Nach einem Update einer bestehenden Bookworm-Installation fragt Raspberry Pi OS, ob die Nutzer auf labwc wechseln oder bei wayfire verbleiben wollen. Die Entwickler empfehlen ausdrücklich den Wechsel auf labwc. Kommende Updates erhalten keinen weiteren Support für wayfire. Bisherige wayfire-Nutzer auf Raspi 4- und 5-Boards sollten keine Änderungen bemerken, außer einigen fehlenden Animationen, die die Maintainer noch nicht in labwc umgesetzt haben. Auch diejenigen, die jetzt noch X einsetzen, sollten wechseln. Die mitgelieferte Xwayland-Bibliothek liefert eine virtuelle X-Implementierung, durch die sonst nicht mit Wayland kompatible Apps trotzdem laufen können. Damit lassen sich ältere Apps weiternutzen, und dennoch die Vorteile von den jüngsten Sicherheits- und Performance-Updates einstreichen. Sollten Probleme auftreten, sei zudem jederzeit ein Wechsel zurück zu X möglich. Der Aufruf an der Kommandozeile von "raspi-config" mittels sudo raspi-config hat dafür unter "6 Advanced Options" die Option "W1 X11 Openbox window manager with X11 backend" im Unterpunkt "A6 Wayland"; nach einem Neustart des Raspis läuft dann wieder X.

Weiterlesen
  98 Aufrufe

Apple stellt iOS 17.71, macOS 14.7.1 und macOS 13.7.1 bereit, stopft Lücken

Apple hat neben seinen großen Updates auf iOS 18.1, iPadOS 18.1, macOS 15.1, tvOS 18.1, watchOS 11.1 sowie visionOS 2.1 auch ältere Betriebssysteme mit Aktualisierungen versorgt. Seit Montagabend stehen nun auch macOS 14.7.1 (Sonoma), macOS 13.7.1 (Ventura) sowie iOS 17.7.1 und iPadOS 17.7.1 zum Download bereit. Wie üblich gibt es hier keine neuen Features, dafür eine ganze Reihe von Sicherheitsfixes, weshalb ein schnelles Einspielen angeraten ist. Eine einzelne Aktualisierung für den Apple-Browser Safari gab es hingegen nicht, was verwirrt, weil in macOS 15.1 mehrere Fehlerbehebungen für Bugs in der Browser-Engine WebKit stecken.

Anzeige

macOS 14.7.1 enthält fast 40 Fixes, die zahlreiche Bereiche betreffen. Darunter sind AppleMobileFileIntegrity, CUPS, DiskArbitration, Find My (sensible Ortsdaten lesbar), PackageKit, der Kernel sowie Siri (Auslesen sensibler Daten durch eine App in einer Sandbox). Drei weitere Fehler in NetworkExtension, Security und Spotlight benennt Apple nicht näher.

Auch die Beschreibungen der Fehler, die von der Modifizierung geschützter Systembereiche über Denial-of-Service-Angriffe bis hin zum Auslesen privater Informationen reichen, fallen leider seit kurzem sehr knapp aus. Warum Apple so vorgeht, ist unklar. macOS 13.7.1 kommt mit über 30 Fixes und drei nicht näher ausgeführten Problemstellen. Auch hier gibt es Lücken problematischer Art. iOS 17.7.1 und iPadOS 17.7.1 enthalten 16 Fixes plus drei nicht näher ausgeführte (die auch in den beiden alten macOS-Versionen behandelt wurden).

Apple hat inzwischen auch die Listen mit den in macOS 15.1, iOS 18.1 und iPadOS 18.1 sowie watchOS 11.1, tvOS 18.1 und visionOS 2.1 enthaltenen sicherheitskritischen Änderungen publiziert. In Sequoia behebt Apple fast 50 Fehler, in iOS 18.1 und iPadOS 18.1 sind es knapp 25. In Sequoia konnten Angreifer unter anderem sensible Dateien verändern (PackageKit), Kontakte auslesen (Fotos), Teile der Private-Browsing-History auslesen (Safari) oder sensible Ortsdaten auslesen (Find My). Auch Denial-of-Service-Angriffe und die Modifizierung von Systemteilen waren möglich.

Weiterlesen
  81 Aufrufe

heise-Angebot: IT-Sicherheitstag Gelsenkirchen: Letzte Chance für Frühbucher

Anzeige

Der IT-Sicherheitstag an der Westfälischen Hochschule Gelsenkirchen zeigt am 21. November, wie Sicherheitsverantwortliche, Security-Experten und IT-Projektleiter mit der steigenden Komplexität der Systeme in ihren Unternehmen umgehen können. Dass das Zusammenspiel der Komponenten im Systemverbund leicht aus dem Tritt gerät, hat zuletzt der Crowdstrike-Vorfall gezeigt.

Das Programm des IT-Sicherheitstags bietet den Teilnehmern dabei viele Möglichkeiten, sich untereinander und mit den Referenten zu vernetzen – letztere stehen in offenen Diskussionsrunden zur Beantwortung der drängendsten Fragen bereit. Veranstalter sind das Institut für Internetsicherheit und die heise academy.

Neben einer allgemeinen Einordnung zu Sicherheitswerkzeugen und Technologien, mit der Unternehmen die Komplexität managen können, beleuchtet eine Panel-Diskussion, wie man den regulatorischen Anforderungen begegnet und gegenüber sich ständig wandelnden Bedrohungen wettbewerbsfähig und resilient bleibt. Außerdem geht es darum, wie man seine empfindlichen Unternehmensdaten clientseitig verschlüsselt, damit das Lagern der Daten bei Cloudanbietern zu weniger Kopfschmerzen führt. Ein weiterer Vortrag zeigt, wie man digitale Signaturen nutzt, um seine Unternehmenskommunikation gegen Spear-Phishing-Angriffe zu wappnen.

Besonders ärgerlich ist es, wenn man selbst abgesichert ist, es aber einen Dienstleister in der eigenen Supply Chain trifft, von dem aus sich der Angriff ins eigene Netz ausbreitet. Auch im Zuge von NIS2 und dem Cyber Resilience Act (CRA) der EU müssen sich Unternehmen Gedanken über die Sicherheit ihrer IT-Lieferkette machen oder sich bewusst sein, dass sie ein wichtiges Kettenglied für andere Firmen darstellen. Die Software Bill of Materials (SBOM) hilft Unternehmen, die Anforderungen in Verträge und Prozesse zu integrieren, um rechtliche Risiken zu minimieren und die Sicherheit ihrer IT-Lieferketten zu gewährleisten.

Weiterlesen
  69 Aufrufe

heise-Angebot: iX-Workshop für KMUs: Schritt für Schritt zur sicheren IT

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

Weiterlesen
  0 Aufrufe

Über Strava: Bodyguards machen Aufenthaltsorte von Staatschefs publik

Bodyguards und Angestellte von Geheimdiensten, die für den Schutz von Staatsoberhäuptern zuständig sind, teilen ihre Fitnessaktivitäten gerne über Strava und geben damit deren Aufenthaltsorte preis. Das hat die französische Zeitung Le Monde herausgefunden und weist darauf hin, dass das zugrunde liegende Problem bereits vor sechs Jahren erkannt, aber weiterhin nicht vollständig behoben wurde. Bestätigt wurde das mögliche Sicherheitsrisiko demnach für US-Präsident Joe Biden, seine Vize Kamala Harris, den Ex-Präsidenten Donald Trump, Frankreichs Präsidenten Emmanuel Macron und sein russisches Pendant Wladimir Putin. Auch Jill Biden und Melania Trump seien betroffen.

Anzeige

Le Monde hat nach eigenen Angaben 26 Angestellte des Secret Service der USA, 12 der französischen Groupe de sécurité de la présidence de la République und sechs des Schutzdiensts FSO des russischen Präsidenten identifiziert, die ihre Fitnessaktivitäten öffentlich auf Strava teilen. Darüber lasse sich nachvollziehen, wo sie und ihre Staatschefs sich aufhalten. Im Falle von Macron sei auf diesem Weg ein Wochenendausflug erkennbar, der nicht publik gemacht worden war. Außerdem würden die Bodyguards auf diesem Weg ungewollt etwa ihre Wohnorte und private Gewohnheiten enthüllen, was sie potenziell für Erpressungsversuche angreifbar mache.

Mit den potenziell gefährlichen Daten konfrontiert, die auf diesem Weg einsehbar gemacht werden, hätten sowohl die Zuständigen in den USA als auch jene in Frankreich abgewiegelt. Behörden seien über die Aufenthaltsorte von Macron & Co. informiert und für eine ausreichende Absicherung sei immer gesorgt. Das Risiko "ist nicht existent", wird Macrons Büro zitiert. Auch der Secret Service meint demnach, dass Aufenthaltsorte regelmäßig publik gemacht würden und man keine Auswirkung auf die Sicherheit sehe. Trotzdem solle das Personal über die mögliche Gefahrenquelle informiert werden. Le Monde sieht aber ein Risiko, etwa wenn die Leibwache vorab zu geheimen Aufenthaltsorten reist und die dann über Strava enthüllt.

Die Enthüllung, die Le Monde unter dem Titel StravaLeaks jetzt öffentlich macht, ruft ähnliche aus den vergangenen Jahren in Erinnerung. Ihren Anfang hatten die im Jahr 2018 genommen, als bemerkt wurde, dass sportliche Soldaten und Soldatinnen über Aktivitätstracker eigentlich vertrauliche Daten über sich, ihre Kameraden und ihre Armeen offenlegen. Auf einer "Global Heatmap" von Strava zur Visualisierung von mehr als einer Milliarde Aktivitäten waren auch Daten von westlichen Soldaten etwa in Afghanistan enthalten. Dadurch ließen sich etwa vormals unbekannte Außenposten erkennen. Auch vier Jahre später hatte Strava noch sensible Informationen über Militärangehörige und Geheimdienste offengelegt.

Weiterlesen
  84 Aufrufe

Nach IT-Großausfall: Delta Airlines hat Klage gegen CrowdStrike eingereicht

Die Fluglinie Delta Airlines macht Ernst: Sie hat bei einem Bezirksgericht an ihrem Firmensitz im US-Bundesstaat Georgia Klage gegen CrowdStrike eingereicht. Der Grund der Klage ist keine Überraschung, Delta hätte gern Schadenersatz für die Ereignisse rund um den IT-Großausfall am 19. Juli.

Anzeige

Das fehlerhafte Signatur-Update für CrowdStrikes "Falcon"-Sicherheitssoftware hatte die Reisepläne von mehr als einer Million Delta-Kunden durcheinandergebracht und für 7000 Flugstornierungen gesorgt. Die dadurch entstandenen Umsatzeinbußen und die Kosten der Reparaturmaßnahmen möchte man sich nun von CrowdStrike zurückholen. Über 500 Millionen US-Dollar soll der IT-Dienstleister zahlen, wenn es nach den Anwälten der Fluglinie geht. Verantwortlich für das Desaster war ein trivialer Programmierfehler.

CrowdStrike indes winkt ab und wählte in einer Erklärung gegenüber dem US-Sender CNBC deutliche Worte. Die Ansprüche der Fluglinie basierten auf widerlegten Falschinformationen, zeigten Schwierigkeiten beim Verständnis moderner Cybersicherheit auf und spiegelten den verzweifelten Versuch wider, die Schuld abzuwälzen. Delta habe es versäumt, die antiquierte IT-Landschaft zu modernisieren.

Auch Microsoft hatte bereits im August ins selbe Horn geblasen und konstatierte damals, Delta habe im Gegensatz zu Konkurrenten wie American und United Airlines Erneuerungen seiner Systeme verschlafen und die lange Ausfallzeit so selbst verschuldet.

Weiterlesen
  83 Aufrufe

IBM App Connect Enterprise: Angreifer können Anmeldung umgehen

IBM App Connect Enterprise Certified Container ist mit bestimmten Einstellungen verwundbar und Angreifer können an zwei Schwachstellen ansetzen. Admins sollten sicherstellen, dass eine gegen mögliche Attacken abgesicherte Version installiert ist.

Anzeige

Unternehmen setzen die Integrationssoftware ein, um Geschäftsinformationen über mehrere Hardware- und Softwareplattformen hinweg zu verarbeiten. Nun haben die Entwickler einer Warnmeldung zufolge zwei Sicherheitslücken (CVE-2024-48948 "hoch", CVE-2024-48949 "hoch") im Elliptic-Modul von Node.js zum Überprüfen von Signaturen geschlossen.

Davon sind aber nur Instanzen bedroht, die COS S3 Storage nutzen. Ist das der Fall, können Angreifer etwa mit speziell präparierten Hash-Anfragen Sicherheitseinschränkungen umgehen und sich so unberechtigt Zugriff verschaffen. Darüber hinaus ist es möglich, dass gültige Signature im Zuge eines Angriffs als nicht vertrauenswürdig abgewiesen werden.

Die Entwickler geben an, die Problematik in App Connect Enterprise Certified Container 11.6.0 (Continuous Delivery) geschlossen zu haben. Außerdem müssen Admins sicherstellen, dass alle Dashboard-Komponenten mindestens die Version 12.0.12.2-r1 aufweisen.

Weiterlesen
  87 Aufrufe

VMware Tanzu Spring Security: Umgehung von Autorisierungsregeln möglich

In VMware Tanzu Spring Security können Angreifer eine kritische Sicherheitslücke missbrauchen, um Autorisierungsregeln zu umgehen. Aktualisierte Software steht bereit, die das Sicherheitsleck stopft.

Anzeige

Bei Spring Security handelt es sich um ein weitreichend konfigurierbares Authentifizierungs- und Zugriffskontroll-Framework, das quasi den Standard zur Sicherung von Spring-basierten Anwendungen darstellt. In einer Sicherheitsmitteilung warnen die Spring-Security-Entwickler, dass unter gewissen Umständen in Spring Webflux-Anwendungen, die Spring-Security-Autorisierungsregeln auf statistische Ressourcen einsetzen, jene Regeln umgehbar sind (CVE-2024-38821, CVSS 9.1, Risiko "kritisch"). Konkret müsse es eine Webflux-Anwendung sein, die den Support für statische Ressourcen von Spring nutzt und eine "nicht alles erlauben"-Regel für diese statischen Ressourcen anwende.

Die Sicherheitslücke betrifft Spring Security 5.7.0-5.7.12, 5.8.0-5.8.14, 6.0.0-6.0.12, 6.1.0-6.1.10, 6.2.0-6.2.6, 6.3.0-6.3.3 sowie ältere, inzwischen nicht mehr unterstützte Versionen. Die Versionen 5.7.13, 5.8.15, 6.0.13 und 6.1.11 sind mit Enterprise-Support erhältlich. Die aktualisierten Fassungen 6.2.7 und 6.3.4 stehen als Open Source Software zur Verfügung.

Wer Spring Security einsetzt, sollte die nun verfügbaren Aktualisierungen zügig herunterladen und installieren, da die damit geschlossene Sicherheitslücke als kritisches Risiko eingeordnet wurde. Andernfalls hätten Angreifer ein leichtes Spiel, die Schwachstelle zu missbrauchen.

Weiterlesen
  86 Aufrufe

Lagebericht 2024: Fast 8 Millionen Mal installierte Malware in Google Play

Das IT-Sicherheitsunternehmen Zscaler hat die ThreatLabz-Analyse der vergangenen 12 Monate bezüglich mobiler Malware herausgegeben. Heraus stechen etwa die fast acht Millionen Mal installierten Malware-infizierten Apps. Von denen hat Zscaler mehr als 200 im Google Play Store entdeckt.

Anzeige

Der Report lässt sich nach Angabe von E-Mail-Adresse und Namen bei Zscaler herunterladen. Einige Erkenntnisse heben die Verfasser hervor. So haben sie eine Zunahme von 29 Prozent bei mobiler Banking-Malware ausgemacht, und sogar eine 111-Prozent-Zunahme bei Spyware im Zeitraum der letzten 12 Monate. Knapp die Hälfte der mobilen Angriffe machten demnach Trojaner aus. Die finanzielle Motivation zeige sich auch darin, dass die Malware oftmals in der Lage ist, Multi-Faktor-Authentifizierung zu umgehen und oftmals Phishing-Versuche starte, etwa mit gefälschten Log-in-Seiten für unterschiedliche Finanzinstitutionen.

Im Google Play Store hat Zscaler demnach in dem Beobachtungszeitraum mehr als 200 bösartige Apps aufgespürt. Sie kommen zusammen auf fast acht Millionen Installationen. Als Beispiel heben die Autoren die Anatsa-Malware hervor, die in Asien und Europa aktiv sei und sich oftmals als PDF- oder QR-Code-Reader-Apps tarnen, um den bösartigen Code zu verteilen. Anatsa greife mehr als 650 Finanzinstitutionen weltweit an und reiche damit bis nach Deutschland, Finnland, Spanien, Singapur und Südkorea.

Am häufigsten werden die Bereiche Industrie und Bildung mit mobiler Malware angegriffen, gefolgt von Produktion. Die globale Verteilung überrascht ein wenig: Indien ist mit Abstand das am häufigsten mit Mobile-Malware attackierte Land, gefolgt von den USA und schließlich Kanada. Erst an vierter Stelle steht mit den Niederlanden ein europäisches Land. Deutschland taucht in den Top Ten laut der Zscaler-Messung nicht auf.

Weiterlesen
  81 Aufrufe

Pwn2Own Irland: Samsung S24 geknackt, mehr als eine Million US-Dollar Prämien

Die Zero Day Initiative (ZDI) von Trend Micro hat den Hacker-Wettbewerb Pwn2Own dieses Jahr in Irland veranstaltet. In der vergangenen Woche konnten IT-Sicherheitsforscher dort Prämien für die erfolgreiche Ausnutzung von Zero-Day-Sicherheitslücken einstreichen. Dieses Jahr hätten die Preisgelder erstmals die Gesamtsummer von einer Million US-Dollar überstiegen, die die Gewinner für mehr als 70 Zero-Days einstreichen konnten.

Anzeige

Unter anderem standen Geräte der Internet-of-Things-Klasse, Network-Attached-Storage-Systeme (NAS), Mobiltelefone oder Drucker auf der Liste der angegriffenen Geräte. Am ersten Tag gelang es Teilnehmern etwa, NAS von QNAP oder Synology, Netzwerkdrucker von Canon und HP, Sonos-Lautsprecher, die Kameras Ubiquiti AI Bullet und Lorex 2K WiFi zu knacken. Insgesamt wurden bereits für mehr als 50 Zero-Days Prämien in Höhe von 516.000 US-Dollar ausgezahlt.

Am zweiten Tag kamen weitere 358.000 US-Dollar an Preisgeldern hinzu. IT-Forschern gelang die unbefugte Installation einer App nach der Erlangung des Zugriffs auf eine Shell beim Samsung Galaxy S24. Weitere erfolgreiche Angriffe zeigten sie auf Sicherheitslücken in Canon- und HP-Druckern, Sonos-Speakern sowie QNAP- und Synology-NAS.

Am dritten Tag gelang den Teilnehmern etwa das Kompromittieren von QNAP- und Synology-NAS sowie Lexmark-Druckern. Außerdem kam es zur Vorführung von Bugs, die andere Gruppen ebenfalls gefunden und schon an den Vortagen gezeigt hatten, sogenannte Kollisionen. Am vierten Tag gab es weitere solche Kollisionen, aber eine weitere Gruppe führte vor, wie sie Zugriff auf ein QNAP-NAS und von dort weiter auf einen Lexmark-Drucker erlangten. Ein weiteres Team zeigte zudem eine direkt missbrauchte Lücke in dem Lexmark-Drucker.

Weiterlesen
  86 Aufrufe

Nvidia: Rechteausweitung durch Sicherheitslücken in Grafiktreiber möglich

Nvidia hat Sicherheitslücken in den Treibern zu den Grafikkarten entdeckt. Sie ermöglichen Angreifern unter anderem, ihre Rechte im System auszuweiten. Aktualisierte Treiber stehen bereit, die die Schwachsstellen ausbessern.

Anzeige

In einer Sicherheitsmitteilung listet Nvidia die einzelnen Sicherheitslücken und ihre Auswirkungen auf. Sie betreffen Geforce-Grafikkarten sowie Nvidia Quadro, RTX, NVS und Karten mit Tesla-Streamingprozessoren. Die Treiber sind sowohl in den Linux- als auch den Windows-Versionen anfällig.

Informationen zu den Schwachstellen selbst hält Nvidia dezent zurück. Die gravierendste Sicherheitslücke beschreiben die Entwickler etwa folgendermaßen: Nvidia GPU Display-Treiber für Linux und Windows enthalten eine Schwachstelle, die Angreifern mit Zugriffsrechten die Ausweitung ihrer Rechte ermöglicht. Ein erfolgreicher Missbrauch der Schwachstelle könnte zur Ausführung von Code, einem Denial-of-Service, Rechteausweitung, Informationsabfluss oder Datenmanipulation führen (CVE‑2024‑0126, CVSS 8.2, Risiko "hoch"). Es fehlen jedoch etwaige Details, worin die Lücke genau besteht und wie sie sich missbrauchen lässt, wie Angriffe aussehen würden und wie Betroffene diese erkennen könnten.

Weitere fünf Sicherheitslücken finden sich demnach im Windows-Treiber im Usemode-Code, die Nutzern ohne signifikante Rechte im System etwa Lesezugriffe außerhalb vorgesehener Grenzen ermöglichen (CVE‑2024‑0117, CVE‑2024‑0118, CVE‑2024‑0119, CVE‑2024‑0120, CVE‑2024‑0121; alle CVSS 7.8, hoch). Die Auswirkungen sind im Wesentlichen dieselben wie bei der schwerwiegendsten Sicherheitslücke.

Weiterlesen
  97 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image