Comretix Blog

Besitzer von Nvidia-Grafikkarten sollten sicherstellen, dass aktuelle GPU-Treiber installiert sind und die vGPU-Software auf dem aktuellen Stand ist. Andernfalls können Angreifer an mehreren Sicherheitslücken ansetzen, um Linux- und Windows-PCs zu attackieren.

Wie aus einer Warnmeldung hervorgeht, kann dabei im schlimmsten Fall Schadcode auf Systeme gelangen und diese vollständig kompromittieren. Der Großteil der Softwareschwachstellen in GPU-Treibern für Linux und Windows ist mit dem Bedrohungsgrad "hoch" eingestuft (etwa CVE-2025-23276 und CVE-2025-23277).

Setzt ein Angreifer erfolgreich an der ersten Lücke an, kann er sich höhere Nutzerrechte verschaffen und im Anschluss eigenen Code ausführen. In der Regel erlangen Angreifer in solchen Fällen die volle Kontrolle über Computer. Im zweiten Fall können unter anderem Informationen leaken oder es kommt zu DoS-Zuständen, was Abstürze auslöst.

Wie solche Attacken ablaufen könnten, ist bislang unklar. Derzeit gibt es keine Berichte zu Attacken. Das kann sich aber schnell ändern und Admins sollten zeitnah reagieren und gegen die geschilderten Angriffe abgesicherte Versionen installieren.

Nvidia vGPU-Software ist an mehreren Stellen verwundbar. Zwei Schwachstellen sind mit dem Bedrohungsgrad "hoch" versehen (CVE-2025-23283, CVE-2025-23284). Sie betreffen im Kontext von Linux-Hypervisoren den virtuellen GPU-Manager. An diesen Stellen kann es etwa zur Ausführung von Schadcode kommen. Außerdem könnten Angreifer Daten manipulieren und Dienste crashen lassen.

Die Ransomware-Gang Blacksuit muss wohl vorerst auf Einnahmen aus Erpressungen verzichten: Eine Gruppe aus internationalen Strafverfolgern unter deutscher Beteiligung hat im Rahmen der "Operation Checkmate" ihre Darknet-Infrastruktur lahmgelegt. "This Domain has been seized", verkündet die von den Ermittlern platzierte Botschaft.

Blacksuit hieß früher einmal Royal und war unter diesem Namen schon seit 2022 aktiv. Im August 2024 erfolgte dann die Umbenennung – eine beliebte Strategie vor allem dann, wenn Ermittler den Gangstern allzu dicht an den Fersen kleben.

Wie viele andere Akteure bedient sich Blacksuit einer doppelten Erpressungsstrategie: Vor dem Verschlüsseln exfiltriert sie sensible Daten von Unternehmen und Organisationen, um diese dann mit der Veröffentlichung zu erpressen. Laut einer älteren Sicherheitswarnung der Cybersecurity and Infrastructure Security Agency (CISA) zu Blacksuit bewegen sich die typischen (Bitcoin-)Forderungen der Gruppe zwischen einer und zehn Millionen US-Dollar. Insgesamt habe die Gruppe (Stand August 2024) über 500 Millionen US-Dollar gefordert; mittlerweile dürften zahlreiche weitere Erpressungen hinzugekommen sein.

Sowohl die Veröffentlichung exfilitrierter Daten (und deren Androhung) als auch die Lösegeld-Verhandlungen selbst erfolgten über die nun beschlagnahmten Onion-Sites. Die Gruppe wird also erst einmal umbauen müssen. Zudem bleibt abzuwarten, ob nicht noch weitere Maßnahmen im Rahmen von "Operation Checkmate" ihr Fortbestehen und ihre Operationen beeinträchtigen werden. Bislang ist über Haftbefehle, Hausdurchsuchungen oder gar Festnahmen nichts bekannt geworden.

Derweil berichtet Ciscos Talos Intelligence Group über verstärkte Aktivitäten einer noch recht neuen Ransomware namens Chaos.

Ein Software-Supply-Chain-Angriff hat das beliebte JavaScript-Paket is getroffen, das es auf knapp 2,7 Millionen Downloads pro Woche bringt.

Der Maintainer Jordan Harband schreibt auf Bluesky, dass Angreifer den Account eines anderen Projektverantwortlichen übernommen hatten. Betroffen sind die Versionen 3.3.1 und 5.0.0 des Pakets.

Die Sommerflaute nutzen die beiden Hosts des c't-Datenschutz-Podcasts für einen bunten Ritt durch die Datenschutzwelt. Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich präsentieren in Episode 139 ihre persönliche Auswahl aktueller Fälle und Entwicklungen.

Den Auftakt macht das obligatorische "Bußgeld der Woche", diesmal aus Italien: Die Autostrade per l'Italia muss 420.000 Euro zahlen, weil sie private Facebook-Posts und WhatsApp-Nachrichten einer Mitarbeiterin für ein Disziplinarverfahren verwendet hatte. Die italienische Datenschutzbehörde Garante betont, dass online verfügbare Daten nicht automatisch für jeden Zweck genutzt werden dürfen. Die Behörde sah darin einen Verstoß gegen die Zweckbindung personenbezogener Daten. Bleich und Heidrich diskutieren, ob zumindest öffentliche Social-Media-Posts tatsächlich nicht für andere Zwecke verwendet werden dürfen.

Einiges Rumoren in der Datenschutz-Community erzeugt ein Urteil des Landgerichts (LG) Leipzig: 5000 Euro Schadensersatz sprach es einem Nutzer zu, der sich von den Meta-Business-Tools im Web überwacht fühlt. Viele Website-Betreiber nutzen diese Tools, etwa in Form von Social-Plug-ins. Meta könne damit allerdings "jeden Nutzer zu jeder Zeit individuell erkennbar [machen], sobald er sich auf Drittwebseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Instagram- oder Facebook-Account angemeldet hat", so das Gericht.

Die Höhe des Schmerzensgeldes nach Art. 82 DSGVO müsse demnach über die in der nationalen Rechtsprechungspraxis etablierten Beträge hinausgehen. Das Gericht sieht eine systematische Überwachung und spricht von einem Signal gegen Meta. Die Hosts zeigen sich überrascht von der Höhe des Schadensersatzes, der ohne konkrete Schadensdarlegung allein auf Basis eines "Überwachungsgefühls" zugesprochen wurde. Dies könne für Meta tatsächlich gravierende Folgen haben, wenn sich die Ansicht des LG Leipzig an anderen Gerichten durchsetzen sollte.

Derweil gerät Microsoft in Erklärungsnot: Nachdem der Konzern vollmundig eine undurchlässige "EU Data Boundary" für die Kundschaft in der EU versprochen hatte, räumte der französische Chefjustiziar nun ein, dass US-Behörden über den Cloud-Act weiterhin auf europäische Kundendaten zugreifen können. Bleich zeigt sich wenig überrascht, aber verärgert über die irreführenden Versprechen. Ein weiteres Mal stehe die Glaubwürdigkeit von Datenschutzversprechen großer US-Tech-Konzerne in Frage.

Eine kritische Sicherheitslücke bedroht drei Produkte für den sicheren mobilen Fernzugriff (Secure Mobile Access, SMA) aus der SMA100-er Serie von Sonicwall: SMA 210, 410 und 500v.

Der Hersteller rät dringend zum zügigen Firmware-Upgrade, auch wenn es bislang noch keine Hinweise auf aktive Exploits gebe. Ein "potenzielles Risiko" bestehe; insbesondere vor dem Hintergrund, dass Googles Threat Intelligence Group kürzlich in einer Veröffentlichung auf aktuelle Attacken in freier Wildbahn hinwies, die allerdings auf ältere, schon früher bekannte Sicherheitslücken in der SMA 100er-Serie abzielen.

Ausdrücklich nicht von der aktuellen Schwachstelle betroffen sei die SMA1000er-Serie.

Verwundbar sind Firmware-Versionen bis einschließlich 10.2.1.15-81sv. Versionen ab 10.2.2.1-90sv aufwärts sind abgesichert. Einen Workaround gibt es nicht. Dringend zu beachten sind die zusätzlichen Hinweise im Abschnitt "Comments" von Sonicwalls Sicherheitswarnung mit Schritt-für-Schritt-Handlungsanweisungen, insbesondere für SMA 500v:

Die betreffende kritische Lücke mit der ID CVE-2025-40599 (CVSS-Score 9.1) kann laut Sonicwall unter bestimmten Voraussetzungen von einem entfernten Angreifer ausgenutzt werden, um beliebige Dateien auf das System zu schleusen und schlimmstenfalls Code zur Ausführung zu bringen (Remote Code Execution). Voraussetzung hierfür ist allerdings, dass er über Admin-Rechte verfügt.

Gelingt Strafverfolgungsbehörden ein größerer Schlag gegen Akteure und Infrastrukturen des Cybercrime, so ist der Rückgang der verbrecherischen Aktivitäten selten von Dauer: Nach ein paar internen Umbauten setzen sie ihre Angriffe häufig fort, als sei (fast) nichts geschehen.

So auch im Falle zweier Gruppen, die erst kürzlich zum Ziel internationaler Operationen wurden: Sicherheitsforscher haben neue Aktivitäten des berüchtigten Infostealers Lumma beobachtet, und auch die politisch motivierte russische dDoS-Gruppe (distributed Denial-of-Service) NoName057(16) attackierte schon nach wenigen Tagen Funkstille wieder munter deutsche Websites.

Parallel dazu wächst offenbar eine neue Bedrohung heran: US-Behörden haben eine gemeinsame Warnmeldung zu einer Ransomware namens Interlock veröffentlicht. Die ist zwar schon länger aktiv, soll nun jedoch ihre Aktivitäten ausgeweitet haben.

Erst Ende Mai dieses Jahres war einem Kollektiv aus Cloud- und Sicherheitsunternehmen, angeführt von Europol und Microsoft, ein empfindlicher Schlag gegen Lumma gelungen. Nachdem Microsoft allein zwischen Mitte März und Mitte Mai rund 400.000 infizierte Windows-Rechner registriert hatte, schlug das Unternehmen zu: Es leitete die Kommunikation zwischen dem Schadprogramm und den Command-and-Control-Servern (C2) der Angreifer zu eigenen Servern um (Sinkholing) und unterband so die kriminellen Aktivitäten. Außerdem wurden nach Angaben Microsofts im Austausch mit Europol ermittelte Angreifer-Domains identifiziert und beschlagnahmt.

Zur "Zerschlagung" des Lumma-Stealers, der auf infizierten Rechnern unter anderem Browserdaten, Krypto-Wallets, VPN-Konfigurationen und Dokumente im PDF- oder Word-Format abgreift, reichte das aber nicht. Sicherheitsforscher von Trend Micro haben beim gezielten Monitoring von Lumma-Aktivitäten festgestellt, dass der Informationsdiebstahl mittlerweile wieder in vollem Gange ist.

Im internationalen Kampf gegen Cyberkriminalität ist den französischen und ukrainischen Behörden offenbar ein weiterer Coup gelungen. Koordiniert durch Europol, verhafteten Beamte des SBU (Служба безпеки України, Inlandsgeheimdienst der Ukraine) und der französischen Polizei einen Mann in Kyjiw. Er habe eine Schlüsselrolle beim Betrieb des Untergrundforums XSS gespielt und über Jahre mehr als sieben Millionen Euro damit verdient, sagen die Behörden.

Der Hauptverdächtige habe nicht nur die technische Plattform verwaltet, sondern kriminelle Geschäfte ermöglicht, lautet der Vorwurf. Er habe als vertrauenswürdiger Dritter ("Escrow") Transaktionen abgesichert und Meinungsverschiedenheiten zwischen Cyberganoven geschlichtet. Für diese sogenannte Arbitrage gibt es bei XSS ein eigenes Unterforum. Durch Provisionen und Werbeeinnahmen habe er mehr als sieben Millionen Euro Umsatz erwirtschaftet.

Das Forum existiert seit mehr als 20 Jahren und wurde 2004 unter dem Namen DaMaGeLaB gegründet – der nun Festgenommene soll fast ebenso lange Verbindungen zu Cyberkriminellen gepflegt haben. Bei XSS gingen prominente Namen ein und aus – etwa der Kopf hinter der Lockbit-Ransomware, von Ermittlern als der Russe Dmitry K. identifiziert. Oder "Lumma", der oder die Erfinder der gleichnamigen Infostealer-Malware. Beide haben derzeit Hausverbot bei XSS und Ärger mit internationalen Ermittlungsbehörden.

Kurz nach Bekanntgabe der Verhaftung schien es, als sei auch das Forum nebst aller Nutzerdaten den Ermittlern in die Hände gefallen: Auf der Domain "xss.is" prangt das für derlei digitale Razzien übliche Banner der beteiligten Ermittlungsbehörden. Auch die über das Tor-Netzwerk erreichbare Onion-Adresse von XSS war am 23. Juli offline, ist mittlerweile jedoch wieder erreichbar. Im Forum herrscht jedoch Misstrauen: Viele Nutzer gehen davon aus, dass Europol die Administration übernommen hat und für eine Weile mitliest, um die Ermittlung voranzutreiben.

Das war wohl niXSS: Ermittler haben eine Domain des Untergrundforums beschlagnahmt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem eco-Verband und dem Bitkom das E-Mail-Sicherheitsjahr 2025 ausgerufen. Ziel des Ganzen ist, den E-Mail-Verkehr in Deutschland flächendeckend sicherer zu gestalten.

Alle Unternehmen und Organisationen werden aufgerufen, als Teil der Cybernation mitzuwirken. Unabhängig von ihrer Größe dürfen sie sich noch bis zum 15. August 2025 zur Teilnahme anmelden und sich für die Hall of Fame des BSI bewerben.

Unternehmen und Organisationen, die eine eigene E-Mail-Infrastruktur betreiben oder eine solche Kunden anbieten, werden vom BSI aufgerufen, zwei Technischen Richtlinien zum Sicheren E-Mail-Transport (BSI TR-03108) und zur E-Mail-Authentifizierung (BSI TR-03182) umzusetzen. Die beiden umzusetzenden technischen Richtlinien adressieren dabei sechs Maßnahmen:

Das BSI setzt dabei nicht voraus, dass Unternehmen und Organisationen jetzt schon alle Kriterien erfüllen. Aber das verbindliche Zugeständnis, diese bald umzusetzen und schon gestartet zu haben, reicht aus, um auf der Hall of Fame gelistet zu werden.

Zur Erklärung und Umsetzung gibt es weitere Hilfestellungen seitens der BSI Allianz für Cybersicherheit. Des Weiteren werden vom BSI Webinare, How-to-Guides, Tipps & Tricks via E-Mail, Live-Veranstaltungen, Podcasts, Kooperationsprogramme, Starterpakete, Kompetenzgruppentreffen, E-Mail-Checker, Beratungen, Messungen, Vernetzungen und Best-Practices-Austausche zwischen den Unternehmen und Organisationen angeboten. All das soll den Umstieg in eine sichere E-Mail-Umgebung gemeinsam erleichtern.

Die neue Version 141 von Mozillas Browser Firefox ist da und hat Security-Fixes im Gepäck. Auch den ESR-Versionen (Extended Support Releases) hat Mozilla Sicherheitsverbesserungen in Gestalt der abgesicherten Versionen ESR 115.26, ESR 128.13 und ESR 140.1 spendiert. Gleiches gilt für den Mail-Client Thunderbird, der jetzt ebenfalls in Version 141 sowie in den gefixten ESR-Fassungen 128.13 und 140.1 vorliegt.

Die gefährlichsten unter den geschlossenen Sicherheitslücken wurden mit "High" bewertet; Einstufungen als "kritisch" sind nicht dabei. Ein Warnhinweis des Bundesamts für Sicherheit in der Informationstechnik (BSI) fasst die Bedrohungen kurz zusammen. Demnach könnten einige der Lücken unter bestimmten Voraussetzungen aus der Ferne ausgenutzt werden, um etwa im Kontext der Software Programmcode auszuführen, Denial-of-Service-Zustände hervorzurufen oder an sensible Daten zu gelangen.

Wer sich für nähere Schwachstellen-Details interessiert, findet diese in Mozillas Advisories zu den jeweiligen neuen Versionen.

Zu den neuen Features in Firefox 141 zählen unter anderem ein KI-Assistent für die Tab-Organisation, eine bessere Anpassbarkeit der vertikalen Tableiste sowie diverse Optimierungen für einen reduzierten RAM-Bedarf. Den Details haben wir eine eigene Meldung gewidmet:

Für Googles Chrome-Browser gab es am gestrigen Dienstag ein sogenanntes Stable Channel Update auf die Versionen 138.0.7204.168/.169 (Windows, macOS) beziehungsweise 138.0.7204.168 (Linux).

Ende Juni warnte Cisco erstmals vor den kritischen Sicherheitslücken CVE-2025-20281 und CVE-2025-20282 in der Identity Services Engine (ISE) und im ISE Passive Identity Connector (ISE-PIC). Mitte Juli kam mit CVE-2025-20337 eine dritte, verwandte Lücke hinzu.

Alle drei wurden mit dem höchstmöglichen Schweregrad (10.0, kritisch) eingestuft. Angreifer können sie missbrauchen, um aus dem Netz ohne vorhergehende Authentifizierung beliebige Befehle oder Schadcode ins Betriebssystem einzuschleusen und diese(n) dann im Kontext des root-Users auszuführen.

Nun hat das Unternehmen die Sicherheitsmitteilung zu den drei Schwachstellen nochmals aktualisiert: Das interne Product Security Incident Response Team habe aktive Angriffe in freier Wildbahn beobachtet.

Wer die verfügbaren ISE-Patches noch nicht angewendet hat, sollte das jetzt nachholen. Das Release 3.4 Patch 2 ist grundsätzlich nicht bedroht; für die verwundbaren Releases nebst verschiedenen Hotpatch-Konstellationen gibt Ciscos Advisory Update-Empfehlungen zum Absichern.

Seit Veröffentlichung der ersten Fassung der Sicherheitsmitteilung hat das Unternehmen nach eigenen Angaben verbesserte, abgesicherte Releases veröffentlicht. Somit sollten auch Nutzer, die bereits gepatcht haben, noch einmal einen Blick auf die aktualisierten Informationen werfen.

In Großbritannien soll es staatlichen Einrichtungen und Betreibern kritischer Infrastruktur verboten werden, nach einem Angriff mit Ransomware Lösegeld zu bezahlen. Unternehmen, die das nicht betrifft, sollen dazu verpflichtet werden, die Regierung zu informieren, bevor sie eine solche Zahlung tätigen. Das hat die Regierung angekündigt, nachdem der öffentliche Konsultationsprozess für die Maßnahme jetzt abgeschlossen wurde. Laut der Mitteilung haben sich fast drei Viertel der Beteiligten für die Pläne ausgesprochen. Ziel des Plans ist es, das Geschäftsmodell hinter den Ransomware-Attacken ins Visier zu nehmen und öffentliche Einrichtungen zu einem weniger interessanten Ziel zu machen.

Das Verbot der Lösegeldzahlung würde demnach etwa für das staatliche Gesundheitssystem in Großbritannien, Kommunalverwaltungen und Schulen gelten, erklärt die Regierung. Unternehmen, die nicht darunter fallen und die eine Zahlung planen, sollen beraten und eventuell gewarnt werden, wenn sie damit möglicherweise gegen Sanktionen verstoßen würden. Das könnte der Fall sein, wenn das Geld an eine der vielen Ransomware-Gruppen geht, die aus Russland kommen. Zudem bereite man eine Berichtspflicht vor, die es den Strafverfolgungsbehörden erleichtern würde, gegen die Verantwortlichen solcher Schadsoftware vorzugehen.

In der Mitteilung drängt die Regierung die unterschiedlichen Organisationen im Land auch erneut, mehr für die Cybersicherheit zu tun. Dazu gehörten offline vorgehaltene Backups, Pläne für einen längeren Betrieb ohne IT und eine "gut eingeübte Praxis bei der Wiederherstellung von Daten aus Backups". Cyberkriminalität, etwa mit Ransomware, habe Schäden in Milliardenhöhe verursacht und gefährde auch Menschenleben. Erst vor Kurzem wurde öffentlich gemacht, dass ein Cyberangriff erstmals zum Tod eines Menschen beigetragen hat. Der hatte nachweislich zu einer Verzögerung der Patientenversorgung und damit zu dem Todesfall geführt.

Lösegeldzahlungen nach Angriffen mit Ransomware sind 2024 merklich zurückgegangen, hat Anfang des Jahres ein Blockchain-Analysefirma ermittelt. Chainalysis hat dafür Maßnahmen von Strafverfolgungsbehörden, eine bessere internationale Zusammenarbeit und die häufigere Zahlungsverweigerung verantwortlich gemacht. Vor allem letztere möchte London nun weiter vorantreiben. Aber auch die geringe Zuverlässigkeit der Kriminellen hat wohl dazu beigetragen, die Opfer können einfach nicht davon ausgehen, dass sie nach der Zahlung ihre Daten zurückbekommen. Das war das Ergebnis einer Studie vor einem Jahr. In der hieß es damals auch, dass ein Verbot solcher Zahlungen bis dahin keinen merklichen Effekt gehabt hatte.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Microsoft hat drei verschiedene Gruppen aus China ausgemacht, die aktuelle Toolshell-Angriffe auf Sharepoint-Server durchgeführt haben. Zwei dieser Gruppierungen stehen laut Softwarekonzern mit der chinesischen Regierung in Verbindung. Die Angreifer haben demnach die schwere Sicherheitslücke "Toolshell" in selbst gehosteten Versionen von Microsoft Sharepoint ausgenutzt und könnten dabei sensible Daten und Kennwörter erbeutet sowie Zugriff auf angeschlossene Systeme erlangt haben.

Erst vor wenigen Tagen wurde diese zuvor unbekannte Sicherheitslücke in den On-Premise-Versionen von Sharepoint festgestellt, für die zunächst kein Patch verfügbar war. Mittlerweile hat Microsoft die ersten Patches für Toolshell veröffentlicht, doch offenbar wurden schon am Wochenende 100 Organisationen kompromittiert. Nach ersten Ermittlungen der Sicherheitsfirma Check Point waren Dutzende Regierungseinrichtungen sowie Telekommunikations- und Softwarefirmen in Nordamerika und Westeuropa Ziel dieser Attacken.

Zu den ersten Angreifern zählt Microsoft die beiden chinesischen Gruppen "Linen Typhoon" und "Violet Typhoon", die demnach von der Regierung in Peking unterstützt werden und die Schwächen in Sharepoint-Servern mit Internetverbindung ausgenutzt haben. Als weitere Gruppierung aus China nennt Microsoft "Storm-2603", die entsprechende Toolshell-Angriffe durchgeführt haben. Die Untersuchungen dauern allerdings noch an, um weitere Angreifer identifizieren zu können. Microsoft rechnet mit weiteren Attacken auf nicht gepatchte Sharepoint-Systeme, sodass Updates dringlich eingespielt werden sollten.

Allerdings ist Patchen nicht genug nach Angriffen auf Microsoft Sharepoint. Denn gegen aktuelle Toolshell-Attacken könnte das Schließen der Lücken nicht ausreichen, wenn die Angreifer bereits in das System gelangt sind. Es ist deshalb unabdingbar festzustellen, ob tatsächlich ein Angriff erfolgte und vielleicht sogar Erfolg hatte. Microsoft empfiehlt zum Aufspüren den eigenen Defender Antivirus sowie das "Antimalware Scan Interface" (AMSI), aber Anwender sollten zusätzlich die Maschinenschlüssel für ASP.NET der Sharepoint-Server ändern und die "Internet Information Services" (IIS) neu starten.

Die Cybersicherheitsbehörde der USA, die CISA, hat die Sharepoint-Lücke mittlerweile in ihren Katalog bekannter und ausgenutzter Sicherheitslücken aufgenommen. Diese als CVE-2025-53770 geführte Schwachstelle ermöglicht das Ausführen von fremdem Code auf den angegriffenen Systemen. "Diese als 'Toolshell' bezeichnete Angriffsaktivität ermöglicht unauthentifizierten Zugriff auf Systeme und ermöglicht böswilligen Akteuren den vollständigen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen sowie die Ausführung von Code über das Netzwerk", schreibt die CISA.

Die aktuell beobachteten Angriffe auf SharePoint-Server nutzen eine bis 20. Juli 2025 unbekannte Lücke in lokalen Installationen von Microsoft Sharepoint aus (CVE-2025-53770). Da es bis vor Kurzem kein Update gab, mit dem man sich schützen konnte – es handelte sich um eine Zero-Day-Schwachstelle – konnten die Angreifer die verwundbaren Systeme nach Belieben übernehmen und sich dort einnisten. Dieses Problem wird auch durch das Einspielen der Patches nicht beseitigt; Angreifer könnten auch danach Zugriff auf den Sharepoint-Server und weitere Systeme haben.

Wir beschreiben, wie die Angreifer bei ihren bisherigen Angriffen vorgegangen sind, welche Spuren sie dabei hinterlassen haben und wie man die gezielt aufspüren kann, um sich Gewissheit zu verschaffen, ob das eigene Unternehmen betroffen ist. Anschließend geben wir Tipps für die gezielte Suche und Reinigung betroffener Systeme. Wer die Zusammenfassung überspringen möchte, liest direkt bei "Was Betroffene jetzt tun sollten" weiter.

Angreifer nutzen eine Kombination mehrerer Schwachstellen aus, um ohne Authentifizierung beliebigen Code auf SharePoint-Servern auszuführen. Dabei wird über speziell präparierte HTTP-Anfragen eine ASPX-Webshell ins SharePoint-Dateisystem geschrieben, die anschließend für beliebige Befehlsausführung genutzt werden kann. Die bekannteste Kampagne nutzt eine Webshell mit dem Namen spinstall0.aspx. Daneben beschrieb Palo Alto Networks mindestens zwei weitere Exploit-Varianten – darunter Varianten mit leicht abgewandelten Namen, dem Einsatz von sleep() sowie dem Ablegen von Konfigurationsdaten in Dateien wie debug_dev.js.

Die ausgenutzte Schwachstelle betrifft ausschließlich On-Premises-Installationen von SharePoint. Cloud-basierte Varianten wie SharePoint Online (Microsoft 365) sind nicht betroffen. Warum diese nicht anfällig sind, ist derzeit nicht bekannt.

Trotz der öffentlichen Warnungen sind weiterhin hunderte verwundbare SharePoint-Systeme im Internet erreichbar. Listen mit bereits kompromittierten Systemen zirkulieren in einschlägigen Kreisen – samt der zugehörigen Webshells, die öffentlich erreichbar und benutzbar sind. Es ist davon auszugehen, dass diese Systeme eher früher als später ungebetenen Besuch bekommen.

Frische Hotfixes für die Sophos Firewall schließen insgesamt fünf Sicherheitslücken, von denen zwei als "kritisch", zwei mit einem hohen und eine mit mittlerem Schweregrad bewertet wurden. Sie könnten unter bestimmten Bedingungen zur Codeausführung aus der Ferne missbraucht werden – in zwei Fällen ohne vorherige Authentifizierung.

Verwundbar sind die Versionen v21.0 GA (21.0.0) und älter (CVE-2024-13974, CVE-2024-13973) sowie die Versionen v21.5 GA (21.5.0) und älter (CVE-2025-6704, CVE-2025-7624, CVE-2025-7382).

Dass die kritischen Schwachstellen CVE-2025-6704 und CVE-2025-7624 laut Sophos nur 0,05 beziehungsweise 0,73 Prozent aller Geräte betreffen, sollte niemanden davon abhalten, die bereitgestellten Aktualisierungen zügig anzuwenden. In der Standardeinstellung der Firewall ("Allow automatic installation of hotfixes") passiert das Update laut Sophos bei unterstützten Versionen automatisch. Dennoch ist es dringend ratsam, der bereitgestellten Anleitung zum Prüfen der Firewall auf die aktuellen Hotfixes zu folgen.

Zusätzliche Details zur Zuordnung zwischen Firewall-Versionen und erforderlichen Hotfixes sowie zu den Sicherheitslücken nennt das Sophos-Advisory.

Das Team hinter der Open-Source-Schutzsoftware CrowdSec hat aktive Angriffe über zwei Schwachstellen registriert, die hunderte Multifunktionsdrucker-Modelle verschiedener Hersteller betreffen.

CVE-2024-51977 und CVE-2024-51978 sind bereits seit Ende Juni bekannt – heise online hat damals berichtet. Neu ist jedoch, dass tatsächlich Exploit-Versuche stattfinden. Wer die bereits seit einigen Wochen verfügbaren Firmware-Updates sowie die zusätzlich empfohlenen Sicherheitsmaßnahmen noch nicht eingespielt beziehungsweise ergriffen hat, sollte dies spätestens jetzt nachholen.

Zu den potenziell verwundbaren Geräten gehören mindestens 689 verschiedene Multifunktionsdrucker, Scanner und Etikettendrucker von Brother, 46 Druckermodelle von Fujifilm, fünf Drucker von Ricoh, zwei Modelle von Toshiba und sechs Geräte von Konica Minolta.

Das Rapid7-Team hat die derzeit ausgenutzten Schwachstellen entdeckt. Das Team beschreibt sie zusammen mit weiteren, dieselben Geräte betreffenden Lücken in einem Blogeintrag. Zu aktiven Angriffen auf die übrigen Schwachstellen ist nichts bekannt.

CrowdSecs Intrusion Prevention System analysiert Angriffe böswilliger IP-Adressen, um diese später gezielt erkennen und blockieren zu können. In diesem Zusammenhang entdeckte das Team laut Mitteilung eine "breit angelegte Scan-Kampagne" nach Druckern, die im Netzwerk erreichbar und von CVE-2024-51977 als initialem Einfallstor betroffen sind.

Passkeys sind ein in der IT-Security seltener Glücksfall. Sie machen etwas deutlich sicherer, nämlich das Anmelden bei Internetdiensten. Anders als üblich wird dies aber nicht komplizierter, sondern für den Nutzer sogar bequemer. Im Idealfall genügt ein Fingerabdruck oder ein Blick in die Kamera. Und zwar ohne dabei seine biometrischen Daten an irgendwelche Datenkraken auszuliefern. Das ist so etwas wie der Sechser im Lotto. Theoretisch jedenfalls, in der Praxis fällt der Gewinn dann doch kleiner aus.

Der größte Stolperstein auf dem Weg zum Hauptgewinn ist bisher der Vendor-Lock-in: Passkeys leben in den Ökosystemen der großen Anbieter Apple, Google und Microsoft. Innerhalb derer werden sie auch automatisch über Gerätegrenzen hinweg synchronisiert: Mein auf dem iPhone erstellter Passkey für Dienst XYZ funktioniert quasi sofort auch auf meinem MacBook. Ich kann mich dort sofort mit einem Fingerabdruck anmelden (der dabei übrigens nur lokal verwendet wird). Aber wenn ich mich auf meinem Windows-Arbeitsplatz bei XYZ anmelden will, schaue ich in die Röhre. Das ist schlicht nicht vorgesehen.

Doch da zeichnet sich Besserung ab: Apple stellt offiziell Funktionen zum Im- und Export von Passkeys vor, die genau das ermöglichen sollen. Das ist auch kein Alleingang, sondern ist eingebettet in eine Initiative der FIDO-Allianz, die mit dem Credential Exchange Protocol (CXP) und Credential Exchange Format (CXF) die notwendigen Standards dafür schuf. Und Google baut offenbar ebenfalls schon Import-/Export-Funktionen für Passkeys in Android ein. Auch wenn es da noch keine offizielle Timeline gibt – das ist ein gutes Zeichen.

Fehlt also einmal mehr nur noch Microsoft. Die hinkten bei den Passkeys bereits mehrfach hinterher – etwa mit dem Versprechen, diese nur Ende-zu-Ende-verschlüsselt zu synchronisieren, ohne dass eine Kopie bei Microsoft landet. Doch angesichts der Tatsache, dass auch sie die Integration mit Android und iPhones benötigen, rechne ich nicht damit, dass sie sich da querstellen. Oder, Microsoft? Oder?

HPE Aruba Networking hat eine Sicherheitswarnung für seine "Instant On" Access Points veröffentlicht. Das Unternehmen warnt darin vor zwei Schwachstellen, von denen eine als kritisch eingestuft wurde.

Nutzer sollten sicherstellen, dass ihre Access-Point-Software auf dem aktuellen Stand ist: Versionen ab 3.2.1.0 sind abgesichert. Laut HPEs Security Advisory sollte die Aktualisierung in der Standardkonfiguration bereits automatisch erfolgt sein; bei Bedarf ist aber auch ein manuelles Upgrade über die Instant-On-App oder das Web-Portal möglich. HPE Networking Instant On Switches sind von den Schwachstellen nicht betroffen.

HPEs Security Advisory nennt Details zu den Schwachstellen. Demnach basiert CVE-2025-37103 (CVSS-Score 9.8, "critical") auf fest hinterlegten Login-Daten. Ein entfernter Angreifer mit Kenntnis dieser Credentials könnte sich mit Admin-Rechten anmelden und so die Kontrolle übernehmen.

CVE-2025-37102 (7.2, "high") erlaubt das Einschleusen von Befehlen aus der Ferne über die Kommandozeile – allerdings müsste der Angreifer hierfür bereits über erweiterte Zugriffsrechte verfügen.

Für die kritische Sicherheitslücke CVE-2025-53770 mit dem Spitznamen "Toolshell" gibt es nun weitere Patches. Microsoft veröffentlichte eine Aktualisierung für SharePoint Enterprise Server 2016 sowie für die englischen Sprachpacks dieser und der 2019er-Edition. Damit sind alle aktuell unterstützten SharePoint-Versionen geflickt – was bitter nötig war: Groß angelegte Angriffskampagnen laufen bereits seit Tagen.

Das Microsoft Security Response Center (MSRC) pflegt einen ausführlichen Überblicksartikel zur Toolshell-Lücke und kündigte dort am Montag die Sicherheitsaktualisierungen an. Die folgenden Updates sind jetzt über Microsoft Update, den Microsoft Update-Katalog oder das Microsoft Download Center erhältlich.

Der Satz gerinnt beinahe zur Floskel, dennoch: Administratoren von "on-premises", also im Unternehmen betriebenen SharePoint-Servern sollten die Aktualisierungen zügig einspielen. Angriffskampagnen laufen bereits und Berichten zufolge sind über 100 Organisationen kompromittiert.

Doch mit dem Update ist es nicht getan, denn der SharePoint-Server könnte bereits erfolgreich von Angreifern übernommen worden sein. Daher drängt Microsoft auf zusätzliche Maßnahmen:

Eine umfangreiche Liste mit "Indicators of Compromise", also Hinweisen auf einen erfolgreichen Angriff, pflegt das Sicherheitsunternehmen Eye Security in seinem Blogartikel zu der Toolshell-Lücke. So sollten Systemverwalter nicht nur verdächtige Dateinamen, sondern auch bestimmte HTTP-Anfragen (wie etwa POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx)und -User-Agents im Auge behalten. Der Sicherheitsforscher Florian Roth weist zudem darauf hin, dass diese Indikatoren sich bei der nächsten Angriffswelle ändern könnten.

Noch bevor Microsoft die ersten Patches für die schwere Sicherheitslücke "ToolShell" in selbst gehosteten Versionen von Sharepoint veröffentlicht hat, sind die Installationen von etwa 100 Organisationen kompromittiert worden. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf das Sicherheitsunternehmen Eye Security, das die Lücke publik gemacht hat und die Angriffe darauf analysiert. Derweil ergänzt die Washington Post unter Berufung auf Googles Sicherheitsabteilung Mandiant, dass mindestens einer der Akteure, die für die erste Angriffswelle verantwortlich waren, nach China zurückverfolgt worden sei. Die meisten kompromittierten Installationen haben sich einer dieser ersten Analysen zufolge in den USA und Deutschland befunden.

Das Vorhandensein der kritischen Sicherheitslücke in den on-premise-Versionen von Sharepoint wurde am Wochenende von Microsoft publik gemacht. Schon da erklärte der US-Konzern, dass man von Angriffen auf die verwundbaren Server wisse, einen Patch gab es anfangs aber nicht. Microsoft erklärte lediglich, dass man sich mit "Microsoft Defender Antivirus" schützen solle. Später waren für zwei Sharepoint-Versionen die ersten Updates verfügbar gemacht worden, deren Installation alleine reicht aber nicht für eine Absicherung. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net "Machine Keys" rotiert werden müssen, was mit einem IIS-Neustart einhergeht.

Während Microsoft, die Verantwortlichen der Sharepoint-Installationen und die IT-Sicherheitsbranche weiter mit der Absicherung beschäftigt sind, läuft die Suche nach denjenigen, die sich die Lücke zunutze gemacht haben. TechCrunch zitiert einen IT-Sicherheitsexperten, der beobachtet hat, dass sich die ersten Angriffe gegen eine vergleichsweise kleine Zahl von Zielen gerichtet haben. Nach dem Bekanntwerden der Lücke dürften sich längst viel mehr an den Angriffsversuchen beteiligen. Mehrfach war die Rede von etwa 9000 bis 10.000 verwundbaren Sharepoint-Instanzen vor der Verfügbarkeit der Patches. Zu den ersten Opfern gehörte ein großes Energieunternehmen und mehrere Regierungseinrichtungen in Europa, zitiert die Washington Post noch Erkenntnisse von Eye Security.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)