Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Digitale Produkte „cyberfit“ machen

Mit seiner Verkündung im Amtsblatt der EU am 20. November 2024 hat der Cyber Resilience Act (CRA) die Anforderungen an digitale Produkte in der EU verschärft. Hersteller, Importeure und Vertreiber müssen ihre Cybersicherheitsrichtlinien und -praktiken dahingehend anpassen. Im Fokus stehen ein umfassendes Schwachstellen-Management, die verpflichtende CE-Kennzeichnung, die Cybersicherheit von digitalen Produkten und strenge Meldepflichten von Sicherheitsvorfällen. Die neue Verordnung gilt für Produkte wie Smart TVs, Firmware, Sensoren zur Überwachung von Maschinen oder sogar für Produkte, die in Industrieanlagen eingesetzt werden. Ausgenommen sind unter anderem Medizinprodukte und Sicherheitssysteme für Kraftfahrzeuge und die zivile Luftfahrt, für die eigene branchenspezifische Anforderungen gelten.

Hohe Geldstrafen und Verlust der Zulassung

Der CRA stellt neue verbindliche und umfangreiche Anforderungen an die Cybersecurity von vernetzten Hardware- und Software-Produkten in der Europäischen Union. „Ziel ist, sogenannte ‚Produkte mit digitalen Elementen‘ sicherer zu machen. Darüber hinaus sollen Hersteller zum Schutz von Unternehmen und Verbrauchern während des gesamten Produktlebenszyklus für die Cybersicherheit der Produkte verantwortlich sein“, sagt Maxime Hernandez, IoT Cybersecurity Program Manager bei TÜV SÜD. Wer nicht CRA-konforme digitale Produkte herstellt, vertreibt oder importiert, riskiert hohe Geldstrafen und verliert die Zulassung für den europäischen Markt. „Um sich gegen immer komplexere Cyberbedrohungen zu wappnen, muss nicht nur der Betrieb des digitalen Produkts, sondern sein gesamter Lebenszyklus, vom Entwurf über die Entwicklung und Herstellung etc. berücksichtigt werden“, so Maxime Hernandez weiter.

Wie die CRA-Konformität nachgewiesen werden muss, hängt ab von der Risikoklasse des Produkts. Für digitale Produkte, die nicht als kritisch oder hochkritisch eingestuft sind, genügt zum Beispiel die Selbsterklärung durch die Hersteller gemäß Modul A einschließlich der Technischen Dokumentation als Nachweis für die Konformität mit den grundlegenden Anforderungen. Kritische Produkte müssen Hersteller und Händler jedoch durch eine Benannte Stelle wie TÜV SÜD bewerten lassen und sich dabei auf harmonisierte Normen stützen, sobald diese zur Verfügung stehen. Darunter fallen in der so genannten Klasse I etwa Netzwerk-Managementsysteme, Passwort-Manager oder Smart-Home-Produkte mit Sicherheitsfunktionalitäten. Klasse II umfasst digitale Produkte mit einem höheren Cyberrisiko wie Firewalls, manipulationssichere Mikroprozessoren und Microcontroller. Maxime Hernandez: „Dafür bieten wir Audits, Tests und Risikobewertungen basierend auf unserer langjährigen Erfahrung mit den für diese Produktkategorie maßgeblichen Normen an.“

Risikobewertung über gesamten Lebenszyklus

Vernetzte Produkte müssen nach CRA unter anderem über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen und eine sichere Standardkonfiguration bieten. Es reicht nicht mehr aus, dass Hersteller beim Inverkehrbringen nachweisen, dass sie cybersicher sind. Vielmehr muss über den gesamten Lebenszyklus der Produkte eine Risikobewertung erfolgen. „Wenn zum Beispiel Hersteller Komponenten zukaufen, müssen sie eine Due Diligence vornehmen, um Sicherheitslücken beim Endprodukt auszuschließen, die sich durch den Zukauf ergeben könnten“, sagt Maxime Hernandez. Der Umgang mit Sicherheitslücken ist eine zentrale Pflicht der Hersteller. „Nur wer Sicherheitslücken früh entdeckt und bewertet, kann angemessen darauf reagieren.“ Hersteller müssen während der gesamten Lebensdauer ihrer Produkte für Sicherheits-Updates sorgen. Tritt in dieser Zeit eine Sicherheitslücke auf, müssen die Hersteller Security Advisories herausgeben und kostenlose Updates bereitstellen.

Hersteller haben zudem eine Meldepflicht von Sicherheitsvorfällen – gegenüber der ENISA (Agentur der Europäischen Union für Cybersicherheit), dem Produktnutzer und gegebenenfalls dem Beauftragten für Wartung und Instandhaltung. Insbesondere bei digitalen Produkten mit Schwachstellen müssen Produktnutzer schnell reagieren und Sicherheits-Patches installieren, sobald diese Updates verfügbar sind, oder das Produkt in der Zwischenzeit, während sie auf den Sicherheits-Patch warten, isolieren. TÜV SÜD unterstützt Hersteller dabei, Prozesse zur Meldung solcher Vorfälle zu implementieren und die CRA-Vorgaben zur technischen Dokumentation einzuhalten.

Weiterlesen
  94 Aufrufe

Studie: Unternehmen an Feiertagen und Wochenenden​ anfälliger für Cyberangriffe

Unternehmen sind an Feiertagen und Wochenenden besonders gefährdet für Cyberangriffe, da das Sicherheitspersonal in dieser Zeit oft reduziert ist. Das bestätigt jetzt auch eine neue Studie zu Ransomware-Angriffen von Semperis, einem Anbieter im Bereich identitätsbasierter Cyber-Resilienz. Demnach wurden im Durchschnitt 86 Prozent der befragten Unternehmen aus den USA, Großbritannien, Frankreich und Deutschland an Feiertagen oder am Wochenende angegriffen.

Anzeige

Laut dem Report reduzieren 75 Prozent der Unternehmen hierzulande ihr Sicherheitspersonal in diesen Zeiträumen um bis zu 50 Prozent. Zudem wurden 50 Prozent der angegriffenen Befragten während wichtiger Unternehmensereignisse wie Fusionen oder Übernahmen ins Visier genommen. Das passierte beispielsweise auch nach der Übernahme des Zahlungsdienstleisters Change Healthcare durch UnitedHealth, woraufhin es Cyberkriminellen gelang, über eine Sicherheitslücke im Remote-Zugang die Systeme zu kompromittieren.

Bei neun von zehn Ransomware-Angriffen zielten Cyberkriminelle laut Bericht auf den Identitätsdienst eines Unternehmens ab und kompromittierten dies, meist Microsoft Active Directory (AD) oder Entra ID, da diese am meisten verbreitet sind. 35 Prozent der Unternehmen gaben an, kein ausreichendes Budget für die Abwehr der Angriffe einzuplanen und 61 Prozent gaben an, nicht über entsprechende Backup-Systeme für ihre Identitätsdienste zu verfügen.

81 Prozent der Befragten sind der Ansicht, über das notwendige Fachwissen zu verfügen, um sich vor identitätsbezogenen Angriffen zu schützen. Dennoch erlitten 83 Prozent der Befragten in den letzten zwölf Monaten einen erfolgreichen Ransomware-Angriff.

Weiterlesen
  101 Aufrufe

Yubikey-Seitenkanal: Weitere Produkte für Cloning-Attacke anfällig

Die auch als "Yubikey-Cloning-Attacke" bekanntgewordene Sicherheitslücke EUCLEAK betrifft weitere Produkte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Sicherheitslösungen wie TPM-Chips mit zugehöriger Software, die Daten geschützt ablegen, nach sogenannten Common Criteria. Einige vom BSI zertifizierte Lösungen wiesen offenbar die EUCLEAK-Lücke auf und mussten rezertifiziert werden, da sie nur mit aktualisierter Software den Sicherheitskriterien entsprechen.

Anzeige

Durch die EUCLEAK-Seitenkanalschwachstelle lässt sich das Secret für digitale Signaturen ergattern und damit digitale Signaturen auch ohne Besitz des Sicherheitstokens erstellen und somit fälschen. Kurz nach Bekanntwerden kam die Befürchtung auf, dass einige Varianten des ePerso betroffen sein könnten, da auch darin unter anderem Infineon-ICs zum Einsatz kommen. Das BSI hatte hier jedoch Mitte September Entwarnung gegeben: Der Perso ist nicht verwundbar.

Organisationen und Hersteller, teils auch in staatlichem Auftrag, verlassen sich auf die Sicherheit von derart zertifizierten Produktkombinationen, die sie etwa in eigenen Produkten wie Ausweisen einsetzen. Thomas Roche warf gegenüber heise online die Frage auf, ob möglicherweise weitere Produkte die EUCLEAK-Lücke aufweisen, die das BSI als renommierte IT-Sicherheitsbehörde zertifiziert hat. Auf unsere Nachfrage hat das BSI nach einiger Zeit zurückgemeldet, dass einige Rezertifizierungen von TPMs erfolgt sind, die mit aktualisierter Software die EUCLEAK-Schwachstelle ausgebessert haben.

Konkret sind demnach bislang drei Zertifikate neu ausgestellt worden für TPMs mit aktualisierter Software: BSI-DSZ-CC-1244-2024, BSI-DSZ-CC-1245-2024 und BSI-DSZ-CC-1246-2024. Dabei handelt es sich um Infineon-TPM-Chips der Spezifikation 2.0 mit konkret neueren Firmware- respektive Software-Versionen. Welche Einrichtungen die in welchen Produkten einsetzen, ist jedoch nicht bekannt. Die "Analyse und Bewertung von Produkten, die auf Infineon-Chips und deren Kryptobibliotheken aufbauen" dauert einer BSI-Sprecherin zufolge noch an. Sie ergänzte, dass es "detaillierter Abstimmungen unter Einbezug von Herstellern, Prüfstellen und gegebenenfalls weiterer externer Stellen" bedarf.

Weiterlesen
  90 Aufrufe

Trend Micros Deep Security Agent ermöglicht Einschleusen von Schadcode

Trend Micros Deep Security Agent plagt ein Sicherheitsleck, durch das Angreifer Schadcode einschleusen können. Der Hersteller stellt aktualisierte Software bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

In einer Sicherheitsmitteilung schreiben Trend Micros Entwickler, dass Angreifer durch die Sicherheitslücke auf verwundbaren Maschinen ihre Rechte ausweiten und beliebigen Code ausführen können. Unter nicht genauer genannten Umständen können Angreifer, die Zugang zur Domäne haben, auch auf anderen Maschinen in der Domäne aus der Ferne Code einschmuggeln (CVE-2024-51503, CVSS 8.0, Risiko "hoch").

Um die Lücke zu missbrauchen, benötigten Angreifer physischen oder Fernzugriff auf eine verwundbare Maschine, schränkt Trend Micro ein. Der Schweregrad der Schwachstelle verrät jedoch auch, dass das keine allzu hohe Hürde darstellt. Der Hersteller schreibt daher folgerichtig: "Trend Micro empfiehlt Kunden nachdrücklich, so schnell wie möglich auf die jüngsten Builds zu aktualisieren."

Betroffen sind der Deep Security Agent für Windows vor der korrigierten Fassung 20.0.1-21510 sowie Deep Security Notifier on DSVA Version 20.0.0-8438 für Windows VMs. Deep Security 20.0.1-21510 für Windows (20 LTS Update 2024-10-16) steht zum Herunterladen bereit. Wer den Deep Security Notifier on DSVA nutzt, solle das volle Deep-Security-Agent-Paket 20.0.1 installieren, das auch den Notifier aktualsiert. Trend Micro betont, dies seien die Mindestversionen für diese Fehlerkorrekturen und empfiehlt, die jüngste verfügbare Fassung der Software herunterzuladen und zu installieren.

Weiterlesen
  86 Aufrufe

Microsoft KI und Cloud: Neues Bug-Bounty-Event mit 4 Millionen US-Dollar Prämie

Microsoft will die Sicherheit seiner Angebote und Dienste steigern und ruft Sicherheitsforscher zur Teilnahme am erweiterten Bug-Bounty-Programm Zero Day Quest auf. Das Event lockt mit 4 Millionen US-Dollar an Prämien, für das Auffinden von Sicherheitslücken. Im Anschluss untersucht das Technologieunternehmen die Schwachstellen und entwickelt Sicherheitsupdates.

Anzeige

Wie aus einem Beitrag hervorgeht, stehen dabei vor allem KI- und Cloud-Dienste im Fokus. Das Event läuft ab sofort bis 19. Januar 2025, führt Microsoft aus. Die zehn besten und 45 basierend auf ihren Einreichungen ausgewählte Sicherheitsforscher werden im Anschluss zum Onsite-Hacking-Event auf dem Microsoft-Campus in Redmond, Washington, eingeladen.

Die Jagd auf Sicherheitslücken umfasst Azure, Dynamics 365, M365, Identity, Microsoft AI und Power Platform. Microsoft gibt an, die Prämien für Softwareschwachstellen in AI-Produkten dauerhaft verdoppelt zu haben. Maximal sind 30.000 US-Dollar für eine Lücke drin, über die Angreifer beispielsweise Schadcode ausführen können. Für die Dauer des Events gibt es auf ausgewählte Bereiche plus 50 Prozent auf bestimmte Geldprämien.

Eine Auszahlung gibt es aber nur, wenn Sicherheitsforscher die Regeln für das Auffinden von Lücken befolgen. Unter anderem müssen die Microsoft-Ingenieure alle Schritte einer Attacke nachvollziehen können. Entsprechen Einreichungen nicht den Kriterien, werden sie abgelehnt. DoS-Attacken zählen nicht.

Weiterlesen
  87 Aufrufe

heise-Angebot: heise security Webinar: Wie sag ich’s meinem Chef? – Gesprachsführung für ITler

Wichtige Security-Projekte stehen an – doch es fehlt das Budget und die Zustimmung der Geschäftsführung. In der Situation finden sich Sicherheitsverantwortliche immer wieder. Als Fachleute wissen Sie, was für einen sicheren Betrieb des Unternehmens notwendig wäre, es gelingt Ihnen jedoch nicht, die Geschäftsführung davon zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef das Thema Informationssicherheit richtig "zu verkaufen".

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Weiterlesen
  127 Aufrufe

Angreifer attackieren Oracle Agile PLM

Oracles Agile-Product-Lifecycle-Management-Lösung (PLM) ist in der Version 9.3.6 verwundbar, und Angreifer nutzen derzeit aktiv eine Sicherheitslücke aus. Der Softwarehersteller rät Admins zu einem dringenden Update.

Anzeige

In einer Warnmeldung beschreiben die Entwickler, dass die Lücke (CVE-2024-21287 "hoch") im Agile-PLM-Framework die Komponenten Software Development Kit, Process Extension betrifft. Attacken sollen aus der Ferne, ohne Authentifizierung, möglich sein. Ist ein Angriff erfolgreich, können Angreifer Dateien einsehen.

Wie die Attacken im Detail ablaufen und in welchem Umfang sie stattfinden, ist derzeit nicht bekannt. Oracle führt zurzeit auch nicht aus, an welchen Parametern Admins bereits angegriffene Systeme erkennen können. Oracle nennt die gegen die Attacken abgesicherte Ausgabe in der Warnmeldung nicht. Das verlinkte Supportportal ist nur mit einem Oracle-Account aufrufbar.

In der Regel veröffentlicht der Softwarehersteller Sicherheitsupdates immer quartalsweise. Zuletzt war das im Oktober der Fall. Bei Attacken werden aber auch Patches außerhalb der Reihe veröffentlicht.

Weiterlesen
  95 Aufrufe

WebKit-Exploit: Apple aktualisiert iOS, iPadOS, visionOS, macOS 15 und Safari

Apple hat in der Nacht zum Mittwoch alle seine Betriebssysteme aktualisiert, um gefährliche Sicherheitslücken in der Browser-Engine WebKit zu schließen. Diese wurden von Clément Lecigne und Benoît Sevens aus der Threat Analysis Group (TAG) von Google entdeckt. Apple zufolge gibt es Berichte, laut denen die Bugs bereits aktiv gegen – nicht näher genannte – Zielpersonen eingesetzt werden, es existieren also bereits Exploits. Entsprechend sollte man schnell aktualisieren.

Anzeige

Geschlossen werden die insgesamt zwei Lücken mit Updates auf iOS 18.1.1 und iPadOS 18.1.1, macOS 15.1.1 sowie visionOS 2.1.1. Weiterhin versorgt Apple auch Nutzer von iOS 17 und iPadOS 17 mit Fixes, diese stecken in den neuen Versionen iOS 17.7.2 und iPadOS 17.7.2. Verwender von macOS 13 und 14 (Ventura und Sonoma) müssen ihr Betriebssystem nicht aktualisieren, bei diesen reicht es, ein Update auf Safari 18.1.1 vorzunehmen. Wie üblich werden alle Aktualisierungen über die Systemeinstellungen angestoßen.

Die gepatchten Bugs tragen die CVE-IDs 2024-44308 und 2024-44309 (WebKit-Bugzilla: 283063 und 283095). Der erste Fehler steckt in JavaScriptCore und kann zur Ausführung beliebigen Codes führen, nur wenn man eine Website aufruft. Apple behebt dies mit "verbesserten Checks". Der zweite Fehler erlaubt Cross-Site-Scripting-Angriffe ebenfalls über manipulierte Websites. Hier gab es ein Cookie-Management-Problem, das Apple behoben hat.

Beide Bugs wurden womöglich in Kombination ausgenutzt; wie genau, ist aber noch unklar. Laut Apple wurden bislang aber nur Intel-basierte Mac-Systeme angegriffen, doch die Lücke betrifft auch Apple Silicon. Es ist zu hoffen, dass sich Googles TAG künftig mit näheren Details äußert, im offiziellen Blog des Sicherheitsteams war bislang noch kein neuer Eintrag zu finden.

Weiterlesen
  83 Aufrufe

Apache OfBiz: Schwachstelle ermöglicht Codeschmuggel

In der Enterprise-Resource-Planning-Software (ERP) Apache OfBiz klaffen zwei Sicherheitslücken, durch die Angreifer etwa Schadcode einschleusen können. Eine aktualisierte Softwareversion bessert die Schwachstellen aus.

Anzeige

Eine Einordnung als kritisches Risiko verpasst die schwerwiegendere Sicherheitslücke nur äußerst knapp. Laut Kurzbeschreibung können Angreifer die Same-Site-Bechränkungen umgehen und mit URL-Parametern auf andere Ziele umleiten. Das Problem basiert auf der unzureichenden Kontrolle von generiertem Code in Verbindung mit einer Cross-Site-Request-Forgery (CSRF) sowie einer unzureichenden Filterung von Elementen in der Template-Engine von OfBiz (CVE-2024-48962, CVSS 8.9, Risiko "hoch").

Die Sicherheitslücke mit der CVE-Nummer CVE-2024-47208 hat noch keine konkrete Einstufung nach CVSS-Skala erhalten. "URLs erlauben die Nutzung von Groovy Expressions, was zur Ausführung von Code aus dem Netz führt", beschreiben die Entwickler die Lücke. Die Schwachstelle stufen sie als Server-Side-Request-Forgery (SSRF) sowie unzureichende Überwachung bei der Code-Generierung ("Code injection") ein und klassifizieren sie als "wichtig".

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) stuft die Sicherheitslücken sogar als kritisch ein und kommt auf einen CVSS-Wert von 9.8 (Risiko kritisch). Beide Schwachstellen betreffen Apache OfBiz vor der aktuellen Version 18.12.17. Diese oder neuere Fassungen korrigieren diese sicherheitsrelevanten Fehler in der Business-Software. Die Entwickler empfehlen den Nutzern, auf diese Version zu aktualisieren.

Weiterlesen
  82 Aufrufe

heise-Angebot: iX-Workshop: IT-Systeme absichern – Pentesting mit Open-Source-Werkzeugen

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Dezember
11.-13.12.2024
Online-Workshop, 09:00 – 17:00 Uhr

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Weiterlesen
  0 Aufrufe

Nach Cyberattacke: Neuordnung der Führungsstruktur bei Südwestfalen-IT

Das kommunale Dienstleistungsunternehmen Südwestfalen-IT (SIT) hat nach dem folgenschweren Cyberangriff im vergangenen Jahr personelle Konsequenzen gezogen. Einem ehemaligen Geschäftsführer, der noch Gehalt kassierte, wurde gekündigt. Gegen weitere Mitarbeiter wurden Disziplinarmaßnahmen eingeleitet. Das meldete am Montag der Branchendienst it-daily.net.

Anzeige

Laut dem Bericht des Online-Portals ordnet die SIT zudem ihre Führungsstruktur komplett neu. Die bisherige Organisationsform mit einer "aufgeblähten" 119-köpfigen Verbandsversammlung und einem von Politikern dominierten Vorstand werde reformiert, heißt es. Künftig sollen mehr IT-Experten dem Gremium angehören. Überdies sollen "klare Verantwortlichkeiten, gestraffte Entscheidungswege und professionellere Führungsstrukturen" in Zukunft Sicherheitspannen verhindern helfen.

Zwei frühere Geschäftsführer der SIT wurden nach Recherchen der Lokalzeitung Westfalenpost entlassen. Einer beiden ist zwar seit März 2022 nicht mehr in der aktiven Geschäftsführung tätig, bezog aber weiterhin volles Gehalt. Der andere Geschäftsführer verließ das kommunale Unternehmen kurz vor der folgenschweren Cyberattacke vom 30. Oktober 2023. Laut einem Compliance-Bericht der Anwaltskanzlei CMS haben beide grundlegende Sicherheitsvorkehrungen missachtet.

Die Ransomware-Bande Akira machte sich ein schwaches Passwort, fehlende Mehrfaktor-Authentifizierung und eine schlecht gepflegte VPN-Appliance für den Angriff zunutze. Die bislang folgenreichste Attacke auf den öffentlichen Sektor in der Bundesrepublik betraf über 70 Kommunen mit insgesamt rund 1,7 Millionen Einwohnern. Die Kommunen finanzieren die SIT und haben ihre IT weitgehend an das Unternehmen ausgelagert. Trotz der katastrophalen Auswirkungen der Attacke lehnten die Südwestfalen-IT und die Kommunen eine Lösegeldzahlung ab. Erst neun Monate nach der Attacke waren die Auswirkungen des Cyberangriffs weitgehend behoben.

Weiterlesen
  86 Aufrufe

Windows 11: Security-Updates für "das sicherste Betriebssystem der Welt"

Im Rahmen der Ignite kündigt Microsoft wichtige Aktualisierungen für Windows an. Insbesondere der Bereich Sicherheit steht im Fokus der diesjährigen Hausmesse – immerhin sei Windows 11 bereits "das sicherste Betriebssystem der Welt", wie die Ankündigung betont. Da das aber augenscheinlich nicht genügt, hat Microsoft jetzt die Windows Resiliency Initiative ins Leben gerufen. Sie soll in vier Schritten die Security verbessern.

Anzeige

Als Erstes will Microsoft aus den Erkenntnissen lernen, die die Windows-Entwickler nach dem CrowdStrike-Desaster gewonnen haben. Außerdem sollen mehr Anwendungen und Nutzer ohne Admin-Rechte auskommen. Hinzu kommen ferner strengere Kontrollen, welche Applikationen und Treiber ausgeführt werden dürfen. Und schließlich will Microsoft den Identitätsschutz verbessern, um Phishing-Angriffe zu verhindern.

Was bedeutet das konkret? Infolge des CrowdStrike-Ausfalls veröffentlicht Microsoft die Funktion Quick Machine Recovery. Hierüber können Administratoren spezifische Fixes via Windows Update ihrer verwalteten Systeme vornehmen – und das auch aus der Ferne, ein physischer Zugang ist nicht nötig. So sollen die Anwender bei einem Fehler wieder schneller als bislang mit ihren Rechnern arbeiten können. Windows Insider können das Feature ab Anfang 2025 testen.

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Dezember-iX: PyCharm, VS Code und Neovim als Entwicklungsumgebungen für Python.

Weiterlesen
  88 Aufrufe

heise-Angebot: iX-Workshop für KMUs: Schritt für Schritt zur sicheren IT

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

Weiterlesen
  0 Aufrufe

Malvertising: Fake-Werbung auf Facebook zielt auf Bitwarden-Nutzer ab

Sicherheitsforscher von Bitdefender Labs beschreiben auf ihrem Blog eine sogenannte Malwaretising-Kampagne, die offenbar vor allem auf Facebook-Business-Accounts abzielt. Opfern drohten möglicherweise finanzielle Verluste.

Anzeige

Cyberkriminelle haben demnach Werbeanzeigen auf der Plattform geschaltet, um Malware zu verbreiten. Der sogenannte Sponsored Post bewarb ein vermeintliches Sicherheitsupdate der Chrome-Erweiterung des Passwortmanagers Bitwarden. Die Werbung verlinkte auf eine Fake-Webseite, die dem offiziellen Google Chrome Web Store nachempfunden war.

Mit der Installationsanleitung auf der gefälschten Webseite versuchten die Cyberkriminellen, ihre Opfer dazu zu verleiten, die Sicherheitsprüfmechanismen des Browsers zu umgehen: Nach dem Klick auf den "Add to Chrome"-Button auf der Webseite wurde das Opfer zu einem Google-Drive-Link weitergeleitet, der die Malware enthielt, verpackt in eine -zip-Datei. Als Nächstes sollten die Opfer die .zip-Datei entpacken und dann in den Chrome-Einstellungen in den Developer-Modus wechseln, um anschließend die entpackte, schädliche Erweiterung manuell zu installieren.

Einmal installiert, fragt die Malware weitreichende Berechtigungen an, die es ihr ermöglichen, die Online-Aktivitäten der Nutzer zu manipulieren: etwa Berechtigungen, um mit Webseiten zu interagieren, Netzwerkanfragen zu modifizieren sowie Zugriff auf Cookies und Storage. Das Herzstück des Angriffs ist ein Skript namens "background.js". Es extrahiert IP- und Standortdaten sowie Facebook-Cookies und Account-Daten, darunter auch Zahlungsinformationen wie Kreditkartendaten und Rechnungsadressen. Das background.js-Skript leitet diese an eine Google Apps Skript URL weiter, die den Angreifern als Command-and-Control-Server dient.

Weiterlesen
  83 Aufrufe

Sicherheitslücke: Azure Stack HCI für Attacke anfällig

Wenn Admins virtuelle Maschinen mit Azure Stack HCI hosten, sollten sie die aktuelle Version installieren, um Attacken vorzubeugen.

Anzeige

In einer Warnmeldung schreibt Microsoft, dass die Sicherheitslücke (CVE-2024-49060) mit dem Bedrohungsgrad "hoch" eingestuft ist. Bislang sind den Autoren zufolge keine Angriffe bekannt, sie könnten aber bevorstehen. Abhilfe schafft ein Sicherheitsupdate, das ab Azure Stack HCI 2411 implementiert ist.

Sind Attacken erfolgreich, können sich Angreifer höhere Rechte aneignen. Wie das im Detail ablaufen könnte, ist bislang nicht bekannt. Microsoft gibt an, dass Angreifer für eine Attacke bereits authentifiziert sein müssen, um auf einen verwundbaren Azure Stack HCI Cluster zugreifen zu können. Das könne etwa über SSH gelingen.

Weiterlesen
  88 Aufrufe

Pistorius: "Niemand glaubt, dass diese Kabel aus Versehen durchtrennt wurden"

Der Ausfall von zwei Datenkabeln in der Ostsee ist laut Bundesverteidigungsminister Boris Pistorius wahrscheinlich auf Sabotage zurückzuführen. Man müsse davon ausgehen, dass die zwei Seekabel absichtlich beschädigt wurden, sagte Pistorius am Rande eines Treffens von EU-Amtskollegen in Brüssel.

Anzeige

"Niemand glaubt, dass diese Kabel aus Versehen durchtrennt worden sind", sagte Pistorius. "Von daher müssen wir konstatieren – ohne konkret zu wissen, von wem es kommt – dass es sich um eine hybride Aktion handelt." Beweise für eine Sabotage gebe es derzeit aber noch nicht.

Am Montag hatte die finnische Staatsfirma Cinia mitgeteilt, dass das Seekabel C-Lion1 zwischen Deutschland und Finnland defekt ist. Der Grund für den Ausfall werde aktuell untersucht, erklärte ein Cinia-Sprecher. "Störungen treten von Zeit zu Zeit auf, und dafür kann es verschiedene Gründe geben. Zum Beispiel sind Seekabel anfällig für Witterungseinflüsse und Schäden durch den Transport. Das Wichtigste ist, dass das Problem erkannt und Abhilfe geschaffen wird."

Das finnische Außenministerium und das Auswärtige Amt in Berlin zeigten sich über den Ausfall "zutiefst besorgt". Bereits am Sonntag war zudem ein Datenkabel zwischen Litauen und Schweden beschädigt worden.

Weiterlesen
  84 Aufrufe

Veritas Enterprise Vault: Kritische Codeschmuggel-Lücken in Archivsoftware

Die E-Mail-Archivierung- und Datenaufbewahrungssoftware Veritas Enterprise Vault ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen und auszuführen. Ein Update ist offenbar erst später im kommenden Jahr geplant ("third quarter of CY25", vermutlich für Calendar Year 25). IT-Verantwortliche sollten bis dahin temporäre Gegenmaßnahmen ergreifen, um den Missbrauch der Schwachstellen weniger wahrscheinlich zu machen.

Anzeige

In einer Sicherheitsmitteilung weist Veritas auf die Softwarefehler hin. Insgesamt sieben als kritisches Risiko eingestufte Sicherheitslecks hat demnach Trend Micros Zero-Day-Initiative (ZDI) an Veritas gemeldet. Ohne die extern gemeldeten Ergebnisse zu würdigen, schreibt Veritas darüber: "Veritas hat ein Problem entdeckt, bei dem Veritas Enterprise Vault das Ausführen von Code aus dem Netz auf verwundbaren Enterprise Vault Servern erlaubt".

CVE-Schwachstelleneinträge gibt es derzeit noch nicht. Jedoch schreibt Veritas, dass die Lücken einen CVSS-Wert von 9.8 erreichen und damit als kritisches Sicherheitsrisiko gelten. Beim Starten der Enterprise-Vault-App startet diese wiederum Dienste, die auf zufälligen .Net-Remoting-TCP-Ports auf Befehle von Client-Apps lauschen. Diese TCP-Ports lassen sich missbrauchen aufgrund von Schwachstellen, die vom .Net-Remoting-Dienst stammen. Angreifer können sowohl TCP-Remoting-Dienste als auch lokale IPC-Dienste auf dem Enterprise-Vault-Server attackieren. Der Schwachstellentyp lautet "Ausführung von Schadcode aus dem Netz aufgrund Deserialisierung von nicht vertrauenswürdigen Daten".

Es müssen einige Bedingungen erfüllt sein, damit die Lücken angreifbar sind: Angreifer müssen RDP-Zugriff auf eine VM im Netzwerk haben. Dazu müssen sie einen Zugang mit einem Konto erlangen, das Mitgleid der RDP-Nutzergruppe ist. Zudem müssen Angreifer die IP-Adresse des Enterprise-Vault-Servers kennen, die zufälligen Prozess-IDs davon, die dynamisch vergebenen TCP-Ports sowie "Remotable Object"-URIs des Servers. Als weitere Hürde müsse die Firewall auf dem Server unzureichend konfiguriert sein. Sind diese Voraussetzungen gegeben – der CVSS-Wert spricht dafür, dass das schwerer klingt, als es praktisch ist –, können bösartige Akteure durch das Senden präparierter Anfragen aus dem Netz Schadcode einschleusen und ausführen.

Weiterlesen
  102 Aufrufe

Sicherheitsupdates für Nextcloud: Unberechtigte Zugriffe möglich

Alert!

Mehrere Komponenten von Nextcloud sind verwundbar. Admins sollten ihre Instanzen zeitnah mittels verfügbarer Sicherheitspatches absichern.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Anzeige

Wer Daten in seiner eigenen Cloud mittels Nextcloud speichert, sollte die Filehostingsoftware aus Sicherheitsgründen auf den aktuellen Stand bringen. In aktuellen Versionen haben die Entwickler mehrere Schwachstellen geschlossen.

Anzeige

Weiterlesen
  86 Aufrufe

Attackierte Lücken: FortiClient, Kemp Loadmaster, PAN-OS, VMware vCenter

Aktuell kommt es zu vermehrten Angriffen auf Sicherheitslücken in weiter verbreiteter Soft- und Hardware. Neue Warnungen vor beobachteten Attacken in freier Wildbahn auf Schwachstellen in FortiClient, Kemp Loadmaster, PAN-OS und VMware vCenter haben die Hersteller oder Behörden herausgegeben.

Anzeige

Die US-amerikanische IT-Sicherheitsbehörde CISA etwa warnt davor, dass zwei Sicherheitslücken in Palo Alto Networks PAN-OS aktiv missbraucht werden (CVE-2024-0012, CVE-2024-9474). Um diese Lücken gab es in den vergangenen Tagen jedoch bereits Aufregung. Hierfür stehen offenbar Updates bereit, die Lücken zu schließen – am Montag war das noch nicht der Fall. Außerdem greifen bösartige Akteure eine Codeschmuggel-Lücke im Loadbalancer Kemp Loadmaster an, für die sie nicht einmal eine Authentifizierung benötigen (CVE-2024-1212, CVSS 10.0, Risiko "kritisch"). Der Hersteller Progress hat dafür bereits im Februar Software-Updates zum Schließen der Lücke veröffentlicht.

Zwei Sicherheitslücken in VMware vCenter Server hat Broadcom im September mit einem Update geschlossen. Eine davon gilt als kritisch und ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen. Die zweite Lücke erlaubt Angreifern, ihre Rechte im System auszuweiten. Genau das machen Cyberkriminelle derzeit. In der Sicherheitsmitteilung schreibt Broadcom mit einer Aktualisierung vom Montag dieser Woche: "VMware by Broadcom bestätigt, dass aktiver Missbrauch in freier Wildbahn für CVE-2024-38812 aufgetreten ist". Dasselbe wiederholt der Hersteller für die Lücke CVE-2024-38813. Es gab zudem ein weiteres Problem mit den Updates aus dem September, sie haben die Sicherheitslücken nicht ausreichend ausgebessert. Am 21. Oktober haben die Entwickler daher nochmals aktualisierte Patches veröffentlicht. IT-Verantwortliche, die vor diesem Datum das Update instaliiert haben und sich sicher wähnen, sollten dennoch aktiv werden und den korrekten Fix anwenden.

Vom Wochenende stammt noch eine Warnung vor einer Sicherheitslücke in dem Windows-VPN-Client Forticlient von Fortinet. Bei der Analyse einer Malware im Juli dieses Jahres stießen die IT-Sicherheitsforscher von Volexity auf eine Schwachstelle im Forticlient 7.4.0. Der VPN-Client behält Zugangsdaten auch nach der Authentifizierung im VPN im Prozessspeicher. Die mutmaßlich chinesischen Angreifer haben diese Zero-Day-Lücke im südostasiatischen Raum missbraucht. "Volexity hat die Schwachstelle am 18. Juli 2024 an Fortinet gemeldet, und Fortinet bestätigte das Problem am 24. Juli 2024. Zum Mitteilungszeitpunkt bleibt das Problem ungelöst und Volexity hat keine Kenntnis einer zugeteilten CVE-Schwachstellennummer", schreiben die Forscher am 15. November. Zum Schutz sollen Admins die Hinweise für einen Angriff (IOCs) blockieren, die Volexity hier gesammelt hat. Die IT-Forscher stellen zudem YAR-Regeln bereit, die IT-Verantwortliche einsetzen können.

Weiterlesen
  82 Aufrufe

Kritische Palo-Alto-Lücke: Patches sind da, CISA warnt vor Exploit

Nach mehreren Warnungen und zwischenzeitlich publik gewordenen Angriffen hat Palo Alto nun Patches für eine seit Anfang November bekannte Lücke in seinem Betriebssystem PAN-OS herausgegeben. Zudem teilt der Firewallhersteller mit, dass es sich bei dem zum Codeschmuggel genutzten Softwarefehler tatsächlich um zwei handelt: Zunächst können sich Angreifer an der Anmeldung vorbeimogeln und dann dem Gerät eigenen Programmcode unterschieben.

Anzeige

Der in Untergrundforen kursierende Exploit macht sich offenbar beide Lücken nacheinander zunutze. Die Umgehung der Anmeldung ermöglicht der mit CVE-2024-0012 bezeichnete Fehler (CVSS 9,3, kritisch), er verschafft einem anonymen Angreifer über das Netz Administratorprivilegien. Mithilfe des zweiten Bugs, CVE-2024-9474 (CVSS 6,9, mittel) schmuggeln Cracker dann eigenen Code ein – in bekannt gewordenen Angriffen war das eine Webshell zur Ausführung beliebiger Systemkommandos. Beide Lücken klaffen in der Web-Verwaltungsoberfläche von PAN-OS.

Palo Alto hat mittlerweile zwei separate Sicherheitshinweise für die Lücken CVE-2024-0012 (Codeschmuggel) und CVE-2024-9474 (Rechteausweitung) veröffentlicht. Die betroffenen Versionen von PAN-OS sind in beiden Fällen 10.1, 10.2, 11.0, 11.1 und 11.2 in allen Ausgaben.

Die Patches tragen die Versionsnummern

Weiterlesen
  77 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image