Comretix Blog

Microsoft gibt keine Garantie, dass EU-Daten nie an die US-Regierung weitergegeben werden: Das sagte Anton Carniaux, Chefjustiziar von Microsoft France, bei einer Anhörung vor dem französischen Senat des Parlaments aus. Konkret ging es um Daten, die Microsoft von der Union des Groupements d'Achats Publics (UGAP) erhält, der zentralen Beschaffungsstelle des öffentlichen Sektors für Schulen, Rathäuser und kommunale Verwaltungen. Auf die Frage, ob der Konzern niemals deren Informationen an die US-Regierung ohne ausdrückliche Zustimmung der französischen Behörden übermitteln würde, antwortete Carniaux, dass er das unter Eid nicht garantieren könne.

Allerdings fügte er hinzu, dass die Situation noch nie eingetreten sei. Carniaux führte aus, dass Microsoft Informationsanfragen der USA nur dann ablehnen könne, wenn sie formal unbegründet sind. Entsprechend würde Microsoft die Gültigkeit aller Anfragen sehr genau überprüfen – die US-Regierung könne keine Anfragen stellen, die nicht genau definiert sind. Doch bei korrekten Anfragen müsse Microsoft auf jeden Fall seiner Verpflichtung nachkommen und die angefragten Daten weitergeben. Der Konzern wolle ferner die betroffenen Kunden hierüber informieren, müsse bei den US-Behörden jedoch erst um eine Erlaubnis hierzu bitten.

Die schwere Sharepoint-Sicherheitslücke "ToolShell" hält Microsoft-Admins und Sicherheitsexperten weiter in Atem. Der Softwarekonzern hat nun erste Patches für die on-premise-Versionen seines Kollaborationswerkzeugs bereitgestellt. Doch Administratoren müssen weitere Maßnahmen ergreifen, um mögliche Hintertüren zu beseitigen.

Für die beiden betroffenen Major-Versionen Sharepoint Enterprise Server 2016 und Sharepoint Server 2019 hat Microsoft jetzt Updates bereitgestellt. Die fehlerbereinigte Version Sharepoint Enterprise Server 2016 16.0.5508.1000 und Sharepoint Server 2019 16.0.10417.20027 stehen auf den Hilfeseiten des Konzerns bereit. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net "Machine Keys" rotiert werden müssen, was mit einem IIS-Neustart einhergeht. Auf den Hilfeseiten zu ToolShell finden sich entsprechende Powershell-Commandlets. Microsofts Cloudangebote sind nicht betroffen, lediglich "On-Premise"-Installationen sind gefährdet. Deren Admins sollten unverzüglich handeln.

Auch die US-Cybersicherheitsbehörde CISA warnt mittlerweile in ihrer "Known Exploited Vulnerabilities Database" vor der Sicherheitslücke und hat einen eigenen Überblicksartikel verfasst, der im Wesentlichen auf Microsofts Hinweisen beruht. Anweisungen der CISA sind für US-Behörden bindend. Das Sicherheitsunternehmen Eye Security hält in seinem Blog eine ausführliche Analyse nebst Zeitstrahl vor – demnach begann die Ausnutzung der Lücke in der Nacht vom 18. auf den 19. Juli und Dutzende Systeme sind "geownt".

Bei der Sicherheitslücke mit der CVE-ID CVE-2025-53770 handelt es sich um eine Variante der auf der Pwn2Own Berlin genutzten Lücken CVE-2025-49706 & CVE-2025-49704. Sie erlaubt mit einer HTTP-Anfrage aus der Ferne die Übernahme des Sharepoint-Servers. Wie die deutsche "Code White GmbH" auf X demonstriert, reicht es aus, an der richtigen Stelle ein Systemkommando einzuschleusen. So konnten die bislang unbekannten Angreifer die Systeme übernehmen und die "Machine Keys" abziehen. Mit diesen ist es möglich, sich dauerhaften Zugriff auf den Sharepoint-Server zu sichern.

Auf Social Media und anderen Kanälen warnt Microsofts Sicherheitsteam vor einer neuen Lücke in Sharepoint On-Prem. Man wisse bereits von Kunden-Servern, die darüber attackiert wurden. Patch gibt es noch keinen; dafür erklärt Microsoft, man könne und solle sich mit "Microsoft Defender Antivirus" schützen.

Bei der aktuellen Sicherheitslücke mit dem Bezeichner CVE-2025-53770 handelt es sich offenbar um eine Variante des Problems CVE-2025-49706, das Microsoft erst am 8. Juli mit einem Security-Update adressierte. Es beruht auf einer fehlerhaften Deserialisierung von Daten. Ersten Gerüchten auf X zufolge können Angreifer darüber den sogenannten MachineKey des Servers stehlen und sich damit das Ausführen von Code auf dem Server ermöglichen. Damit wäre die Lücke in der obersten Kategorie anzusiedeln; die europäische ENISA bewertet den zugehörigen EUVD-2025-21981 mit dem CVSS-Rating 9,8 (kritisch).

Microsoft empfiehlt in Kundenhinweisen zur SharePoint-Schwachstelle CVE-2025-53770, zum Schutz das neue Antimalware Scan-Interface AMSI zu aktivieren und dann den hauseigenen Virenjäger Defender AV auf allen Servern zu installieren. Das ist eine überaus unbefriedigende Situation, da nicht einmal klar ist, ob und wie das bereits installierte Security-Software beeinflusst. Doch andere Schutzmaßnahmen nennt Microsoft nicht; uns sind bisher auch keine alternativen Mitigations bekannt. Wenn sich da etwas Neues ergibt, werden wir das hier nachtragen.

Betroffen sind offenbar ausschließlich On-Prem-Installationen von Microsoft Sharepoint; SharePoint Online in Microsoft 365 ist laut Microsoft nicht anfällig. Weitere Erklärungen, wie das kommt, gibt Microsoft nicht. Details zu den bisherigen Angriffen über diese Lücke nennt Microsoft ebenfalls nicht, gibt jedoch rudimentäre Tipps, wie man infizierte Server identifizieren kann. Offenbar kam bei den Angriffen eine Datei namens "spinstall0.aspx" zum Einsatz.

Die Situation um diese Sicherheitslücke dürfte sich in den nächsten Stunden und Tagen ständig weiterentwickeln. Wir werden diese Entwicklung beobachten und weiter berichten. Mitglieder von heise security PRO können ihre Erfahrungen mit Mitigations auch hier im PRO-Forum diskutieren.

Ganz schlecht, wenn der Computer plötzlich nicht mehr funktioniert wie gewohnt und der CEO anstelle von Katzenvideos eine Lösegeldforderung sieht: Cybercrime nimmt zu. Die Szene differenziert sich aus. Die Behörden reagieren: Manche Landeskriminalämter werden zu Anlaufstellen, fast wie Verbraucherzentralen. Dabei sind die Rahmenbedingungen bei Polizeibehörden oft vor-digital, also ist Hilfe zur Selbsthilfe auch im eigenen Interesse der Polizeien.

Aber wie sieht es aus mit politisch motivierten Angriffen? Immer mehr Cyberkriminelle agieren vom Ausland aus und vielen geht es nicht mehr nur um Geld, sondern auch um Politik – vor allem pro-Russland, pro-China und anti-Israel. Und nun hätte das BKA gern mehr Kompetenzen gegen Wirtschafts- und Polit-Cyberkriminelle.

Laut BKA ist der wirtschaftliche Schaden durch Cyberdelikte von 148,2 Milliarden Euro im Jahr 2023 auf 178,6 Milliarden Euro gestiegen. Dazu komme ein Dunkelfeld von rund 90 Prozent – diese Zahl basiert auf einer Befragung des Kriminologischen Forschungsinstituts Niedersachsen von 2020. Groß geändert hat sich seitdem wahrscheinlich nichts, aber die "Sensibilität der Firmen, diese Angriffe auch polizeilich zu melden, ist in den letzten Jahren bewusster geworden", so etwa das LKA Sachsen-Anhalt.

Schon vor mehreren Jahren wurden bei den Polizeien des Bundes und der Länder "Zentrale Ansprechstellen Cybercrime" (ZAC) eingerichtet, die miteinander vernetzt sind. Unternehmen und Institutionen bekommen dort Informationen zum Selbstschutz und können sich natürlich auch bei entsprechenden Straftaten melden. Auf polizei.de findet man eine Tabelle mit den ZAC-Stellen samt Telefonnummern und E-Mail-Adressen bzw. dem Link zu einer eigenen Website. Das ist – vorausgesetzt, dass es funktioniert – sehr "kunden"freundlich.

Die Polizeien bauen dies Angebot unterschiedlich aus. Mitarbeiter der ZAC Baden-Württemberg etwa "haben hierzu auch die Möglichkeit, unsere Task Force Digitale Spuren aufzurufen. In dieser sind Experten aus allen Spezialisierungsbereichen der Abteilung Cybercrime und Digitale Spuren vertreten", erklärt das LKA.

Die Cyberattacke auf einen Server für Polizei-Diensthandys wird im Landtag von Mecklenburg-Vorpommern weiterhin lebhaft diskutiert. Die Oppositionsparteien CDU und AfD erneuerten in Schwerin ihre Forderungen nach konsequenter Aufklärung der Hintergründe. Damit die IT der Polizei künftig besser geschützt ist, fordern sie technische Konsequenzen. Allerdings fanden weder der Maßnahmenkatalog der CDU noch die Forderung der AfD nach Einsetzung eines Sonderermittlers eine Mehrheit im Parlament.

Innenminister Christian Pegel (SPD) räumte erneut ein, dass Defizite im internen Meldesystem den Erfolg des Hackerangriffs begünstigt hatten. Warnhinweise zu Lücken in der Betreibersoftware des Servers für die Polizei-Handys seien mit deutlicher Verzögerung bei den zuständigen Stellen im Land angekommen. Gegenmaßnahmen seien so zu spät erfolgt. „Wir werden, und das ist unstreitig, in der Landespolizei künftig durch weitergehende organisatorische Absicherungen sicherstellen müssen, dass solche Warnmeldungen die zuständigen Beteiligten sicher erreichen“, sagte Pegel.

Nach seinen Angaben arbeitet eine Task Force aus Computerspezialisten des Landeskriminalamtes (LKA) weiterhin daran, Wege, Umfang und Auswirkungen des vermutlich von China aus erfolgten Hackerangriffs zu ermitteln. Der infiltrierte Server werde ersetzt, da nicht ausgeschlossen werden könne, dass dort dauerhaft Schadsoftware installiert wurde, die einen illegalen Datenabfluss ermöglicht.

Unklar sei auch noch, ob tatsächlich Daten abgegriffen wurden, sagte Pegel. Immerhin sei sicher, dass keine sensiblen Ermittlungsakten nach außen gelangten, da diese auf besonders gesicherten, separaten Servern lägen. Zurzeit werde weiter untersucht, welche Auswirkungen der Hackerangriff auf die Polizei-Handys hatte, die aktuell nicht verwendet werden. Falls die rund 4000 Smartphones aus Sicherheitsgründen ersetzt werden müssen, ginge der Schaden in die Millionen. Für den neuen Server ist laut Pegel ein „niedriger sechsstelliger Betrag“ erforderlich.

Die CDU-Abgeordnete Ann Christin von Allwörden warf der Landesregierung vor, unzureichend auf Hinweise zu „Defiziten in der IT-Sicherheitsarchitektur“ reagiert zu haben. Schwachstellen seien offenkundig nicht beseitigt worden. Allwörden forderte, die IT-Sicherheitsorgane im Land sowohl personell als auch technisch angemessen auszustatten. Zudem müsse das Frühwarnsystem zur Erkennung und Abwehr von Cyberangriffen verbessert werden.

Am Samstag jährt sich das Crowdstrike-Debakel. Ein guter Anlass, zurückzublicken. Was war passiert? Am 19. Juli 2024 rollte Crowdstrike ein fehlerhaftes Update auf alle Endpoint-Security-Agenten mit Crowdstrikes EDR-System Falcon aus, das Millionen von Windows-Rechnern zum Absturz brachte. Erschwerend kam hinzu, dass die Systeme dabei so nachhaltig beschädigt wurden, dass ein manueller Eingriff vor Ort erforderlich war, um sie wieder benutzbar zu machen.

Das hieß, dass manche Admins tatsächlich zu tausenden Windows-Rechnern gehen mussten, was sich teils über Tage hinzog. Die damit verursachten Schäden belaufen sich auch nach konservativen Schätzungen auf viele Milliarden US-Dollar.

Die zentrale Ursache war Crowdstrikes miserable Qualitätssicherung beim Verteilen von derart kritischen Updates an Millionen von Systemen. Crowdstrike hat dieses Update vorab praktisch nicht getestet und es auf einen Schlag an alle Systeme verteilt. Üblich ist es, das gestaffelt in mehreren Phasen zu machen. Und schließlich haben sie auf die quasi sofort auftretenden Abstürze erst viel zu spät und unzureichend reagiert.

Hinzu kam die System-Architektur bei Windows, die es erlaubte, dass ein solches Channel-Update eine Speicherverletzung im Kernel verursachte. Denn beträchtliche Teile der Sicherheits-Software liefen direkt als Teil des Betriebssystemkerns, was bei Fehlern nicht nur ein Programm, sondern das komplette System zum Absturz bringt. Das hätte man technisch besser lösen können – übrigens auch unter Windows.

Apropos: Mit Windows traf das Problem ein Betriebssystem, das selbst nicht resilient genug konzipiert war. Der Linux-Kernel etwa bietet mit eBPF (extended Berkeley Packet Filter) eine Schnittstelle an, über die Sicherheits-Software auf Kernel-Ressourcen zugreifen kann, ohne selbst im Kernel-Modus zu agieren. Ziel ist es, möglicherweise weniger zuverlässigen Code aus dem Kern des Systems herauszuhalten. Unter Windows hingegen fehlten sowohl Unterstützung als auch Regeln für den Zugriff auf den Kern. Deshalb operieren alle Hersteller – einschließlich Crowdstrike – mit eigenen Treibern selbst im Windows-Kern herum. Und beim Laden dieses Crowdstrike-Treibers stürzte Windows ab.

Die Sicherheitslücke mit dem Spitznamen "Citrix Bleed 2" ist Angreifern offenbar schon länger bekannt als zunächst angenommen. Das hat ein Anbieter von Lösungen zur Angriffserkennung herausgefunden. Mittels historischer Daten, die sie mit den Signaturen des Exploits verglichen, fanden sie am 23. Juni 2025 einen Angriffsversuch auf einen ihrer Honeypots, also einen nur zum Schein verwundbaren Server.

Das ist fast genau eine Woche nach den durch Citrix veröffentlichten Patches für CVE-2025-6543 und CVE-2025-5777, den später von Sicherheitsforscher als "Citrix Bleed 2" getauften kritischen Fehler. Das Sicherheitsunternehmen ReliaQuest hatte ebenfalls bereits Ende Juni gemutmaßt, es gebe einen aktiv ausgenutzten Exploit, fand jedoch nur Indizien und keine harten Beweise.

Diese Beweise sind nun da, schreibt Greynoise. Und offenbar handelt es sich nicht um ungerichtete Scans, sondern um gezielte Angriffsversuche, die einen als veralteter Netscaler verkleideten Honeypot angingen. Diese frühen Angriffsversuche kamen von IP-Adressen aus China, berichtet Greynoise.

Auch der Sicherheitsforscher Kevin Beaumont wies bereits vor einigen Tagen auf die frühen Versuche hin, die Lücke auszunutzen. Citrix hatte zu diesem Zeitpunkt noch abgestritten, dass "Citrix Bleed 2" im Arsenal von Cyberkriminellen oder staatlichen Hackern gelandet sei. Spätestens am 10. Juli war es mit den Dementis hingegen vorbei: Da nahm die US-Cybersicherheitsbehörde CISA die Lücke in ihren "Known Exploited Vulnerabilities Catalog" auf. Einen Tag später berichtete Imperva, ein weiteres Unternehmen aus dem Bereich der "Threat Intelligence", von über 11,5 Millionen Angriffsversuchen, überwiegend auf Ziele in den USA, Spanien und Japan.

Mittlerweile ist das Angriffsvolumen stabil. Das Shadowserver-Projekt verzeichnete am zwischen dem 14. und 16. Juli täglich etwa 3000 Angriffsversuche auf dreißig bis vierzig Ziele, Greynoise hat im Tagesverlauf des 17. Juli lediglich drei Angreifer-IPs verzeichnet. Die Anzahl verwundbarer Geräte machte jedoch Mitte Juli einen überraschend großen Sprung und steht den Shadowserver-Statistiken zufolge nun bei über 4.500. Admins von Netscaler-Installationen sollten also tunlichst ihre Geräte überprüfen und schnellstmöglich aktualisieren.

Die Kryptowährungsbörse BigONE hat einen Cyberangriff auf die bei ihr verwalteten digitalen Einlagen zugegeben, bei dem Bitcoin, Ethereum und andere Token im Wert von insgesamt 27 Millionen US-Dollar gestohlen wurden. Immerhin versichern die Betreiber, dass keine privaten Schlüssel und Nutzerdaten betroffen sind. Zudem übernimmt die Kryptobörse die Verantwortung und ersetzt den betroffenen Kunden die Verluste.

Laut Marktforschern haben die Kryptodiebstähle dieses Jahres die entsprechenden Verluste des gesamten Vorjahres bereits übertroffen. Das liegt zum Großteil am größten Krypto-Coup aller Zeiten, bei dem Bybit 1,5 Milliarden Dollar verloren hat. Nach ersten Untersuchungsdetails zum Fall Bybit konnten Cyberkriminelle diesen hohen Wert an Kryptowährungen stehlen, weil es ihnen gelang, das vom betroffenen Unternehmen genutzte Wallet des Anbieters "Safe{Wallet}" zu manipulieren. Das FBI macht die mit dem nordkoreanischen Staat in Verbindung stehende Gruppe "TraderTraitor" verantwortlich.

Jetzt haben die Marktforscher von Chainalysis die Kryptodiebstähle dieses Jahres aufsummiert und kommen in ihrem Halbjahres-Update dabei auf über 2,17 Milliarden Dollar, die 2025 von Kryptodiensten gestohlen wurden. Das ist bereits mehr als im gesamten Vorjahr 2024, als es weniger als 2 Milliarden Dollar waren. Derzeit gehen die Marktforscher davon aus, dass die 2025 insgesamt gestohlenen Kryptowährungen einen Wert von 4 Milliarden Dollar übersteigen werden, sollte sich der aktuelle Trend fortsetzen.

Der Angriff auf BigONE ist dagegen relativ klein und im Bericht der Marktforscher noch nicht einmal berücksichtigt, denn er geschah erst diese Woche. Am Mittwoch setzte die Kryptobörse zunächst das Einzahlen und den Handel aus, weil ungewöhnliche Aktivitäten bei einem Teil der auf der Plattform hinterlegten Anlagen entdeckt wurden. Bei der Untersuchung der Vorfälle arbeitet BigONE mit der IT-Sicherheitsfirma SlowMist zusammen, die auch schon im Bybit-Fall beraten hatte.

Im Bericht zu den Sicherheitsvorfällen erklärt BigONE, dass "der Angriff identifiziert und eingedämmt wurde, sodass keine weiteren Verluste entstehen". Nach den gemeinsam mit SlowMist durchgeführten Untersuchungen "handelte es sich um das Ergebnis eines Angriffs Dritter, der auf unsere Hot Wallet abzielte". Nach Angaben von SlowMist handelt es sich um einen Lieferkettenangriff. BigONE verspricht, die "volle Haftung für alle Verluste zu übernehmen, die durch diesen Vorfall entstehen". Die Einlagen der Kunden sollen nicht wesentlich beeinträchtigt werden.

Die Worte, die der Bundesrechnungshof kürzlich in einem internen, geleakten Bericht für die Cybersicherheit des Bundes fand, sind hart, aber notwendig: "Die IT des Bundes ist nicht bedarfsgerecht geschützt. Haushaltsmittel alleine schaffen keine Cybersicherheit."

Danach folgt Backpfeife um Backpfeife in einem Bericht, der nicht nur ITlern die Haare zu Berge stehen lässt. Nicht einmal zehn Prozent der über einhundert deutschlandweit verteilten Rechenzentren, auf denen die IT des Bundes aufbaut, erfüllen die Mindeststandards für den Krisenfall.

Soweit man weiß jedenfalls, denn bereits die Informationslage ist mangelhaft: Dem BSI, das die Sicherheit der staatlichen Rechenzentren überprüft, fehlt es an Kontrolleuren. Erst 20 von 112 Prüfer-Stellen sind besetzt, nur drei kümmern sich um das gesamte Bundesgebiet. Dass manche Rechenzentren noch nicht einmal genug Treibstoff für die vorgeschriebene Notstromversorgung besitzen, ist daher nur die Spitze des Eisbergs. Wie viele der tragenden IT-Säulen marode sind, ist also nicht einmal völlig klar.

Cisco hat vier neue Sicherheitsmitteilungen veröffentlicht und eine ältere aktualisiert. Eine der behandelten Schwachstellen erhält die Einstufung als kritisches Risiko mit Höchstwertung. Eine weitere der Lücken gilt als hochriskant.

In Ciscos Identity Services Engine (ISE) können Angreifer aus dem Netz ohne vorhergehende Authentifizierung Befehle ins Betriebssystem einschleusen, die im Kontext des root-Users ausgeführt werden. Die Sicherheitsmitteilung stammt ursprünglich von Ende Juni. Jetzt hat Cisco ihr jedoch ein Update verpasst und den bislang bekannten Schwachstellen mit den Nummern CVE-2025-20281 und CVE-2025-20282 den neuen Eintrag CVE-2025-20337 / EUVD-2025-21708 beiseitegestellt. "Angreifer benötigen keinerlei gültige Zugriffsdaten, um die Lücke zu missbrauchen. [..] Sie können sie durch das Senden einer manipulierten API-Anfrage ausnutzen. Bei Erfolg erhalten Angreifer root-Rechte auf betroffenen Geräten", erklärt Cisco dazu. Betroffen sind Cisco ISE und ISE-PIC 3.3 und 3.4, die Versionen 3.3 Patch 7 sowie 3.4 Patch 2 schließen die neu bekannt gewordene Sicherheitslücke.

In Ciscos Unified Intelligence Center können Angreifer mit gültigem Zugang hingegen aufgrund einer Schwachstelle im Web-basierten Management-Interface beliebige Dateien auf verwundbare Systeme hochladen. "Ein erfolgreicher Exploit erlaubt Angreifern, bösartige Dateien im System abzulegen und beliebige Befehle im Betriebssystem auszuführen", erklärt Cisco in der Sicherheitsmitteilung. Zum Missbrauch müssen bösartige Akteure mindestens Zugriff auf Ebene "Report Designer" haben (CVE-2025-20274 / EUVD-2025-21714, CVSS 6.3, Risiko laut Cisco jedoch "hoch"). Das höher eingestufte Risiko erklärt Cisco damit, dass Angreifer ihre Rechte zu root ausweiten können.

Cisco hat noch weitere Schwachstellen gemeldet, die der Hersteller mit Updates ausbessert.

IT-Verantwortliche sollten die Aktualisierungen für bei ihnen eingesetzte Geräte zeitnah anwenden.

Oracle hat in der Nacht zum Mittwoch seinen quartalsweise stattfindenden "Critical Patch Update" genannten Patchday begangen. Dabei hat das Unternehmen 309 Sicherheitspatches für Produkte quer durch sein Portfolio veröffentlicht.

In der Übersicht zum Oracle CPU im Juli listet das Unternehmen die einzelnen Schwachstellen in den Produkten auf. Von den 309 Schwachstellen stufen Oracles Entwickler neun als kritisches Risiko ein. Weitere 144 gelten als hochriskant und haben einen CVSS-Wert von 7.0 bis 8.9. Die meisten dieser Lücken lassen sich von Angreifern aus dem Netz missbrauchen, in weiten Teilen ohne Privilegien am System, also etwa ohne vorherige Authentifizierung.

Insgesamt 111 Produkte sind laut Oracles Auflistung von Sicherheitslücken betroffen. IT-Verantwortliche sollten prüfen, ob sie davon welche einsetzen, und die verfügbaren Updates zügig installieren. Oracle weist zudem darauf hin, dass ausschließlich für Produkte Updates bereitstehen, die noch "Premier Support" erhalten oder in der erweiterten Support-Phase sind; wer ältere Softwarestände einsetzt, sollte zunächst auf noch unterstützte Fassungen aktualisieren.

Der vorherige Oracle CPU fand im April statt. Da musste der Hersteller sogar 378 Schwachstellen ausbessern. Der Großteil davon ließ sich da aus der Ferne ohne vorherige Anmeldung ausnutzen.

Microsoft bringt die mitgelieferten Standard-Apps auf den Windows-Installationsmedien auf aktuellen Stand. Außerdem liefert das Unternehmen nun auch Hotpatching für ARM-Prozessor-basierte Windows-PCs.

Das hat Microsoft im Message-Center der Windows-Release-Health-Notizen angekündigt. Das Unternehmen erklärt zu den Installationsmedien, dass mit Medien für Windows 11 24H2 sowie Windows Server 2025, die nach dem Juni 2025 erstellt wurden, die neuen Programm-Versionen direkt verfügbar sind. Sie brauchen dann keine unmittelbare Aktualisierung aus dem Microsoft Store. Das soll für ein sichereres, Richtlinien-getreues und nutzerfreundliches Deployment sorgen. Die Apps schließen in den aktualisierten Fassungen unter anderem Sicherheitslücken.

Bislang waren die Release-to-manufacturing-Fassungen (RTM) auf den Medien vorzufinden. Betroffen sind unter Windows 11 Alarms & Clock, App Installer, AV1 Video Extension, AVC Encoder Extension, Bing Search, Calculator, Camera, Clipchamp, Cross Device Experience Host, Get Help, HEIF Image Extension, HEVC Video Extension, Media Player, Microsoft Store, Microsoft To Do, Notepad, Office Hub, Paint, Phone Link, Photos, Power Automate, Quick Assist, Raw Image Extension, Snipping Tool, Solitaire Collection, Sound Recorder, Sticky Notes, Store Purchase App, VP9 Video Extension, Weather, Web Media Extensions, WebP Image Extension, Windows Security, Windows Web Experience Pack, Xbox Game Bar und Xbox Speech-to-Text-Overlay – insgesamt 36 Apps. Bei Windows Server 2025 ist die Liste deutlich übersichtlicher, hier sind die aktuellen Fassungen von App-Installer und Windows Security dabei.

Außerdem verkündet Microsoft die allgemeine Verfügbarkeit von Hotpatching für Windows 11 24H2 auf ARM64-Geräten. Für AMD- und Intel-basierte X64-Rechner hatte Microsoft bereits im April Hotpatching freigegeben. Seitdem beobachtet das Unternehmen eine rasant steigende Nutzung der Hotpatching-Funktion. Millionen von Geräten und Tausende von Kunden haben bereits Hotpatches in den Hotpatch-Update-Monaten erhalten.

Die Hotpatches ermöglichen die Installation und Aktivierung von Sicherheitsupdates, ohne dass ein Geräteneustart nötig wäre. Die sieht Microsoft für Hotpatch-aktivierte Geräte nur noch viermal im Jahr vor, anstatt bislang jeden Monat zu den Sicherheitsupdates zum Patchday. Um Hotpatching auf ARM-Geräten zu nutzen, müssen Interessierte jedoch "Compiled Hybrid Portable Executable" (CHPE) deaktivieren. Das ist ein Kompatibilitäts-Layer zur Ausführung von x86-Binärdateien auf den ARM-PCs.

Deutsche und internationale Strafverfolgungsbehörden sind bei einer gemeinsamen Aktion gegen die Hacker-Gruppe "NoName057(16)" vorgegangen. Nach Angaben des Bundeskriminalamts (BKA) wurde dabei ein aus weltweit verteilten Servern bestehendes Botnetz abgeschaltet, das für gezielte digitale Überlastungsangriffe auf Internetseiten (dDoS) eingesetzt wurde.

Das BKA nennt NoName057(16) ein "ideologisch geprägtes Hacktivisten-Kollektiv", das als Unterstützer Russlands Cyberangriffe durchführt. Mit seinen Aktionen reagiere die Gruppe auf politische Ereignisse.

Seit Beginn der Ermittlungen im November 2023 sei Deutschland das Ziel von insgesamt 14 Angriffswellen der Gruppe gewesen, so das BKA weiter. Die Aktionen zielten darauf ab, das gesamtgesellschaftliche und politische Gefüge der Bundesrepublik nachhaltig zu stören. Auch Ziele in anderen Ländern hatte die Gruppe im Visier.

Die Attacken hätten teilweise mehrere Tage gedauert und insgesamt rund 250 Unternehmen und Einrichtungen betroffen. Zu den Zielen in Deutschland gehörten demnach Unternehmen der kritischen Infrastruktur (u. a. Rüstungsbetriebe, Stromversorger, Verkehrsbetriebe), öffentliche Einrichtungen und Behörden. Die Angriffe auf Websites verschiedener Bundesländer im Frühjahr 2023 werden ebenfalls der Gruppe zugerechnet.

Die Gruppe habe seit Beginn des russischen Angriffskriegs in der Ukraine öffentliche Aufmerksamkeit über Messenger erregt und Unterstützer rekrutiert. Nach Einschätzung der Strafverfolgungsbehörden umfasst das Unterstützernetzwerk mehr als 4000 Nutzer.

In VMware ESXi, Workstation, Fusion und Tools hat der Hersteller Broadcom vor zum Teil kritischen Sicherheitslücken gewarnt. Die Entwickler haben aktualisierte Softwarepakete geschnürt, die die Schwachstellen ausbessern sollen.

In der Sicherheitsmitteilung von Broadcom erläutern sie die vier neu entdeckten Sicherheitslücken. In VMware ESXi, Workstation und Fusion können Angreifer mit Admin-Rechten in einer VM mit einem virtuellen VMXNET3-Netzwerkadapter einen Integer-Überlauf provozieren. Dadurch können sie Code im Host-System ausführen (CVE-2025-41236 / EUVD-2025-21544, CVSS 9.3, Risiko "kritisch"). In derselben Software lässt sich zudem ein Integer-Unterlauf im VMCI-Code (Virtual Machine Communication Interface) auslösen, der zu Schreibzugriffen außerhalb vorgesehener Speicherbereiche führt. Admins in einer VM können dadurch Code mit den Rechten des VMX-Prozesses auf dem Host ausführen (CVE-2025-41237 / EUVD-2025-21543, CVSS 9.3, Risiko "kritisch").

Die dritte kritische Schwachstelle findet sich im paravirtualisierten SCSI-Controller (PVSCSI) von den drei Produkten. Admins in virtuellen Maschinen können einen Heap-basierten Pufferüberlauf darin provozieren und in dessen Folge außerhalb vorgesehener Speichergrenzen schreiben. Damit können sie Code mit den Rechten des VMX-Prozesses auf dem Host laufen lassen. Auf VMware ESXi soll die VMX-Sandbox Exploits in Schach halten und die Lücke nur in nicht unterstützten Konfigurationen missbrauchbar sein (CVE-2025-41238 / EUVD-2025-21542, CVSS 9.3, Risiko "kritisch").

Als letzte Lücke meldet Broadcom eine Nutzung von nicht initialisiertem Speicher in vSockets von VMware ESXi, Workstation, Fusion und den VMware Tools. Bösartige Akteure mit Admin-Rechten in einer VM können das missbrauchen, um Speicherbereiche aus Prozessen, die mit vSockets kommunizieren, auszuleiten und zu lesen .

In der Sicherheitsmitteilung listet Broadcom die genauen betroffenen VMware-Produktversionen auf und verlinkt zudem die aktualisierten Softwarepakete. Da die Sicherheitslücken zum Großteil als kritisches Risiko gelten, sollten Admins nicht lange zögern, sondern die Updates zeitnah installieren.

In der vorhergehenden Folge wurde es bereits angedroht versprochen, nun ist es tatsächlich so weit: Eine ganze Folge mit Neuigkeiten über Public-Key-Zertifikate. Los geht es aber nicht mit der Web-PKI, sondern einem Anbieter von VoIP-Telefonen, der die Konfiguration dieser Telefone – verständlicherweise – mit Zertifikaten absichert. Leider enthält jedes Telefon auch gleich eine passende Zertifizierungsstelle samt privatem Schlüssel – was weit weniger verständlich und vor allem sehr unsicher ist. Die Podcast-Hosts Christopher und Sylvester diskutieren, was es damit auf sich hat.

Erneut muss Google Sicherheitslücken im Webbrowser Chrome abdichten, von denen eine in freier Wildbahn bereits von Angreifern missbraucht wird. Wer Chrome nutzt, sollte sicherstellen, dass der Browser in aktueller Version läuft.

In der Versionsankündigung schreibt Google, dass das Update insgesamt sechs Schwachstellen ausbessert. Lediglich zu dreien davon gibt Google Hinweise auf deren Natur, die wurden offenbar von externen IT-Sicherheitsforschern gemeldet. Die Entwickler stufen alle drei als hohes Risiko ein. "Google ist bekannt, dass ein Exploit für CVE-2025-6558 in freier Wildbahn existiert", schreiben die Entwickler dort förmlich. Zuletzt hatte Google vor rund zwei Wochen eine bereits von bösartigen Akteuren missbrauchte Schwachstelle im Chrome-Browser stopfen müssen.

"Inkorrekte Prüfung von nicht vertrauenswürdigen Eingaben in ANGLE und GPU" beschreibt Google die angegriffene Sicherheitslücke knapp (CVE-2025-6558 / EUVD-2025-21546, CVSS 8.8, Risiko "hoch"). Hinter ANGLE verbirgt sich die von Google entwickelte "Almost Native Graphics Layer Engine", die standardmäßig als WebGL-Backend in Chrome (und in Firefox) zum Einsatz kommt und Grafik-Funktionsaufrufe etwa in DirectX, OpenGL oder ähnliche Abstraktionsschichten übersetzt. GPU ist hingegen der beschleunigte Compositor im Browser.

Zudem können Angreifer einen Integer-Überlauf in der Javascript-Engine V8 missbrauchen (CVE-2025-7656 / EUVD-2025-21547, CVSS 8.8, Risiko "hoch") sowie eine Use-after-free-Lücke in WebRTC (CVE-2025-7657 / EUVD-2025-21545, CVSS 8.8, Risiko "hoch"). Details nennt Google nicht, aber in der Regel können Angreifer derart eingestufte Sicherheitslücken etwa mit manipulierten Webseiten angreifen und dabei eingeschleusten Schadcode ausführen.

Die fehlerbereinigten Browser-Versionen sind Chrome 138.0.7204.157 für Android, 138.0.7204.156 für iOS, 138.0.7204.157 für Linux und 38.0.7204.157/.158 für macOS und Windows.

Die US-Bundespolizei Federal Bureau of Investigation (FBI) hat mehrere Online-Marktplätze mit illegalen Kopien von Videospielen hat beschlagnahmt. Wie das FBI Ende vergangener Woche mitteilte, wurde das FBI-Büro in Atlanta bei den Emittlungen von der niederländischen Steuerfahndung Fiscale Inlichtingen- en Opsporingsdienst (FIDO) unterstützt.

Das FBI hat eigenen Angaben zufolge die Domains beschlagnahmt und die Infrastruktur der Webseiten abgeschaltet. Auf den betroffenen Seiten seien seit mehr als vier Jahren widerrechtliche Kopien von stark nachgefragten Spielen Tage oder gar Wochen vor dem offiziellen Veröffentlichungstermin erhältlich gewesen. Zwischen dem 28. Februar und 28. Mai dieses Jahres seien 3,2 Millionen Downloads über diese Seiten erfolgt. Das FBI beziffert den Schaden auf rund 170 Millionen US-Dollar.

Das FBI hat die Domains mehrerer Webseiten beschlagnahmt, darunter "nsw2u.com", "nswdl.com", "game-2u.com", "bigngame.com", "ps4pkg.com", "ps4pkg.net" und "mgnetu.com". Diese Domains haben demnach Zugriff auf die gehosteten Videospiele gewährt. Wer diese Webseiten jetzt ansurft, bekommt das FBI-Banner zur Beschlagnahmung der Domain zu Gesicht.

Zu den Drahtziehern und Betreibern hinter diesen Angeboten macht das FBI keine Angaben. Es ist nicht erkenntlich, ob den Strafverfolgern dazu keine Informationen vorliegen oder die Täter schlicht nicht greifbar sind.

Nicht nur US-amerikanische Strafverfolger können Erfolge gegen Kriminelle vorweisen. Ende Mai hat etwa Europol zusammen mit Microsoft die Lumma-Malware zerschlagen. Die hatte fast 400.000 PCs infiziert und dort Zugangsdaten, Kryptowährungen und Dokumente gestohlen.

„Hass im Netz, digitale Gewalt, Hasskommentare, das macht etwas mit allen, die davon betroffen sind“, sagt Josephine Ballon, Geschäftsführerin der Organisation HateAid. Die Zahlen des Bundeskriminalamts bestätigen das Problem: Die bei der Polizei gemeldeten strafbaren Hassbeiträge haben sich zwischen 2021 und 2024 vervierfacht. Doch was ist rechtlich überhaupt strafbar und wie können sich Betroffene wehren? Im heise-Podcast "Bits & Böses" erklären Expertinnen und Experten, welche Werkzeuge es gegen digitale Gewalt gibt.

Die rechtliche Einordnung ist oft schwierig, erklärt Joerg Heidrich, Rechtsanwalt und Justiziar für heise medien. Es kollidieren zwei Grundrechte: die Meinungsfreiheit und das Persönlichkeitsrecht. Die Grenze sei dort überschritten, "wo es nicht mehr darum geht, sich mit einer Meinung, mit einer Tatsache auseinanderzusetzen, sondern wo es offensichtlich nur um die Schmähung von einer Person geht." Straftatbestände wie Beleidigung, üble Nachrede, Verleumdung oder Bedrohung seien klar, doch gerade bei politischen Auseinandersetzungen sei der Grat schmal. Bei vielen Äußerungen, von denen "in der Bevölkerung angenommen wird, das sei schon strafbar, ist meistens noch ordentlich Luft nach oben", so Heidrich.

Organisationen wie HateAid unterstützen Menschen, die von digitaler Gewalt betroffen sind. "Wir unterstützen Menschen dabei, dass sie trotz digitaler Gewalt, trotz Hass und Anfeindungen, denen sie tagtäglich im Netz ausgesetzt sind, sich nicht zurückziehen müssen", erklärt Geschäftsführerin Josephine Ballon. HateAid bietet psychosoziale Beratung, hilft bei der Sicherung persönlicher Daten und finanziert über ein Solidaritätsprinzip Prozesskosten. Oft geht es den Betroffenen nicht um eine Geldentschädigung, sondern darum, sich überhaupt wehren zu können. Ballon betont die kleinen Erfolge: "Das sind dann Erfolge, wo Menschen zunächst gar nicht daran geglaubt haben, dass überhaupt irgendwas passiert und dann vor Freude schon fast platzen, weil sie das erste Mal das Gefühl haben, dass sie tatsächlich sich wehren konnten."

Ein besonders gravierendes Problem stellen Deepfakes dar, vor allem KI-generierte Bilder oder Videos, die Menschen in herabwürdigender oder sexualisierter Weise zeigen. Hier sieht Jurist Joerg Heidrich eine gefährliche Gesetzeslücke. Der aktuelle Straftatbestand fordere das "Herstellen einer Bildaufnahme", ein KI-generiertes Bild falle aber nicht unter diese Definition. "Das heißt, wir brauchen hier vermutlich ein neues Gesetz." Ein erster Gesetzesentwurf aus Bayern sei jedoch untauglich gewesen, da er auch harmlose KI-Bilder wie den Papst auf einem Drachen unter Strafe gestellt hätte. Nötig sei eine Regelung, die gezielt die Erstellung von Inhalten verbietet, "um jemanden zu verletzen in sexualisierter Absicht".

Microsoft erinnert an das dräuende Support-Ende von Windows 10 22H2 in 90 Tagen. Zudem konkretisiert der Hersteller den Zeitplan für die Unterstützung von Microsoft-365-Apps unter dem alten Betriebssystem.

Im Message-Center der Windows-Release-Health-Seiten hat Microsoft an das Ende von Windows 10 erinnert. Am 14. Oktober, also in 90 Tagen, ist das Service-Ende von Windows 10 22H2 in den Editionen Home, Pro, Enterprise, Education und IoT Enterprise, bekräftigen die Redmonder. Zugleich bedeutet das auch das Support-Ende von Windows 10 2015 LTSB und Windows 10 IoT Enterprise LTSB 2015. Im Oktober erhalten diese Versionen ihr letztes Sicherheitsupdate, danach gibt es keine Aktualisierungen mehr dafür, um sie vor den jüngsten Sicherheitsbedrohungen zu schützen.

Es gebe aber die Option, auch privat genutzte Windows-10-PCs im erweiterten Support-Programm (Extended Security Updates, ESU) teilnehmen zu lassen. Details dazu hat Microsoft Ende Juni erörtert. Privatkunden können sogar "kostenlos" ein Jahr länger Sicherheitsupdates erlangen, müssen dafür jedoch Online-Dienste von Microsoft nutzen und dort Daten hinterlassen.

Bislang fand ein weiteres Support-Dokument von Ende Juni wenig Beachtung, das die Situation mit den Microsoft-365-Apps, also Microsofts Office, ausführlicher erklärt. Bislang war lediglich klar, dass Microsoft die Drei-Jahres-ESU-Version für den Business-Bereich mit Support für MS365-Apps unter Windows 10 mit weiterem Support unterstützt, bis Oktober 2028.

Jetzt erörtert Microsoft jedoch präziser, welcher Versionszweig wie lange Unterstützung erhält. Demnach erhalten Geräte mit Microsoft-365-Apps unter Windows 10 künftig Aktualisierungen, bis Version 2608 erscheint. Der "Current Channel", einschließlich der Versionen für Individuen und Familien, bekommt bis August 2026 Updates. Der monatliche Enterprise-Kanal erhält noch bis Oktober 2026 Softwareflicken, und der halbjährliche (semi-annual) Enterprise-Kanal sogar bis Januar 2027. Die Updates umfassen dann jedoch nur noch Sicherheitsprobleme. Wenn der Support Fehler auf die Nutzung unter Windows 10 zurückzuführen kann, lautet die Lösung, auf Windows 11 zu migrieren.