Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Microsoft 365 Admin-Center: Multi-Faktor-Authentifizierung bald obligatorisch

Microsoft will Microsoft-365-Konten effektiver vor Cyberattacken schützen und verschärft dafür die Anmeldung im Admin-Center. Anfang 2025 soll die Einführung einer verpflichtenden Multi-Faktor-Authentifizierung (MFA) beginnen.

Anzeige

Ist MFA aktiv, benötigt man neben dem Passwort noch einen Code zum Einloggen. Diesen erzeugt etwa eine Authenticator-App. Kennt ein Angreifer bereits ein Kennwort, reicht das mit aktiver MFA nicht mehr aus, um auf einen Account zuzugreifen und ihn zu kompromittieren. Neben dem Passwort ist noch ein MFA-Code zum Anmelden notwendig.

In einem Beitrag führt Microsoft aus, dass MFA für das Admin-Center von Microsoft 365 verpflichtend werden soll. Damit wollen sie eigenen Angaben zufolge ab Februar 2025 starten. Natürlich können Admins MFA schon jetzt in den Kontoeinstellungen aktivieren. Dort können sie auch prüfen, ob das erweiterte Anmeldeverfahren bereits aktiv ist.

Um die Umstellung zu erleichtern, stellt Microsoft in einem Beitrag Informationen zur gehärteten Anmeldung zusammen. Dort findet sich auch eine FAQ zur Thematik, und es gibt etwa Vorschläge, wie die Umstellung im Kontext von Third-Party-Identity-Anbietern funktioniert.

Weiterlesen
  129 Aufrufe

Sicherheitsupdates: PostgreSQL für Schadcode-Attacken anfällig

In aktuellen PostgreSQl-Versionen haben die Entwickler vier Softwareschwachstellen geschlossen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen und diese kompromittieren. Sicherheitsupdates sind verfügbar. Für einen Versionsstrang sind das aber die letzten Patches.

Anzeige

Im Sicherheitsbereich der Websites des Datenbankmanagementsystems führen die Entwickler die gegen mögliche Attacken gerüsteten Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 auf. Am gefährlichsten gilt eine Lücke (CVE-2024-10979 "hoch") die die PL/Perl-Komponente betrifft. An dieser Stelle können Angreifer ohne Authentifizierung Umgebungsvariablen manipulieren, um Schadcode auszuführen.

Setzen Angreifer erfolgreich an den anderen Schwachstellen (CVE-2024-10976 "mittel", CVE-2024-10977 "niedrig", CVE-2024-10978 "mittel") an, können sich sich unter anderme als Man-in-the-Middle in Verbindungen einklinken.

Bislang gibt es noch keine Berichte zu laufenden Attacken. Admins sollten trotzdem zügig handeln und Instanzen absichern. Die Entwickler weisen darauf hin, dass für PostgreSQL 12 der Support ausgelaufen ist und dieser Versionsstrang nun zum letzten Mal Sicherheitsupdates bekommt. Ab jetzt auftauchende Lücken werden nicht mehr geschlossen und die Software kann Systeme gefährden. Um Computer auch weiterhin zu schützen, müssen Admins ein Upgrade auf eine noch unterstützte Ausgabe durchführen.

Weiterlesen
  99 Aufrufe

Palo-Alto: Ungepatchter Zero-Day für Security-Appliances aufgetaucht

Administratoren von Palo-Alto-Firewalls erwartet neues Ungemach. Für eine Sicherheitslücke, die in der vergangenen Woche vom Hersteller gemeldet wurde, wird nun in einem Untergrundforum ein Exploit verkauft. Palo Alto hat seinen Sicherheitshinweis dementsprechend erweitert, aber keine Patches bereitgestellt. Betroffene sollen die Web-Verwaltungsoberfläche vom Internet nehmen.

Anzeige

Die Sicherheitslücke versteckt sich in der Web-GUI und erlaubt unangemeldeten Angreifern, eigenen Code einzuschleusen, so der Sicherheitshinweis. Dieser geizt jedoch mit Details oder einer CVE-ID, der CVSS-Punktwert von 9,3 lässt jedoch erahnen, wie heikel der Fehler ist. Er sei leicht aus der Ferne durch Angreifer auszunutzen, die dafür keine Anmeldung benötigen – und das ohne Zutun eines legitimen Nutzers. Exploits mit einer solchen Beschreibung eignen sich hervorragend für die automatisierte Ausnutzung.

Und offenbar passiert genau das bereits, denn im Untergrundforum "Exploit" steht Angriffscode zum Verkauf. Palo Alto hat bereits drei VPN-Adressen ausfindig gemacht, die die Lücke offenbar erfolgreich ausnutzten, weitere dürften folgen. Die Angreifer luden eine "Webshell", also ein Skript zur Ausführung beliebiger Kommandos über eine Weboberfläche, auf den übernommenen Geräten hoch.

Erste Meldungen über die Sicherheitslücke gab es bereits vergangene Woche, Patches oder genaue Versionsinformationen suchen Administratoren auf der Palo-Alto-Seite jedoch vergeblich. Man solle sich über die Geräteverwaltung im eigenen Supportkonto informieren, welche Geräte der Aufmerksamkeit bedürfen, so der Hersteller lediglich. Das Management-Interface darf nicht über das Internet zugreifbar sein, was gemäß verschiedener internetweiter Scans trotzdem noch bei zwischen 9.000 und 31.000 Palo-Alto-Geräten der Fall ist.

Weiterlesen
  95 Aufrufe

Vor 40 Jahren: der Btx-Hack feiert fröhliche Urständ​

In der Nacht vom 16. auf den 17. November 1984 wählten sich zwei Mitglieder der "Btx-Redaktion" des Chaos Computer Clubs (CCC) über das Ortsnetz der Deutschen Bundespost mit der Kennung und dem Passwort der Hamburger Sparkasse in das junge Btx-System ein. Sie starteten ein 31 Zeilen langes Basic-Programm, das 14 Stunden lang eine kostenpflichtige Anbieter-Seite des CCC ansteuerte. Sie enthielt nur einen seltsamen Text: "Es erfordert ein bemerkenswertes Team, den Gilb zurückzudrängen und ein Volk von 60 Millionen Menschen zu befreien." Für jeden Aufruf dieser Seite gab es 9,97 Mark, die theoretisch dem CCC zustanden. Mit diesem "Bankraub" wurde der CCC schlagartig bekannt.

Anzeige

Die Geschichte des berühmten Btx-Hacks hat eine Vorgeschichte und eine Nachgeschichte. Beginnen wir mit der Nachgeschichte: Vor zehn Jahren lud die Wau-Holland-Stiftung zwei noch lebende Protagonisten des "Bankraubes" zu einer Veranstaltung ins Berliner bcc, dem Ort vieler Chaos Computer Congresse. Steffen Wernéry, im Btx-System als Leitstelle 23 unterwegs und Erik Danke, technischer Leiter des Btx-Systems bei der damals gelben Post, bestritten das Programm. Beide blieben bei ihren höchst unterschiedlichen Darstellungen. Erik Danke behauptete, dass jemand dem CCC eine Btx-Kennung mit dem zugehörigen Passwort verraten haben muss, Wernéry erklärte, dass man bei einem technisch provozierten Seitenüberlauf eine Kennung gefunden habe und später das Passwort usd7000 ermittelte. Auf der von der Stiftung akribisch dokumentierten Veranstaltung forderte ein junger Zuhörer die Überprüfung des Quellcodes. Doch der ist frühzeitig beim Lieferanten des Systems in den IBM-Archiven verloren gegangen.

Nicht nur die Öffentlichkeit, sondern auch die Btx-Betreiber wurden von der Aktion überrascht, mit der der CCC virtuell 134.634,88 DM einnehmen konnte. Um sich händische Arbeit bei der Bedienung von Btx zu sparen, schrieb Wau Holland ein Programm für den programmierbaren Taschenrechner Olivetti M10. Das Programm steuerte das Kassettenrecorder-Motor-Relais des Rechners an, um die Tastendrücke zu automatisieren:

10 REM Bankraub.ba20 REM Version 1.0030 REM (c) 1984 by Wau40 MOTOR OFF:´Relais f. Geldtaste100 CLS:PRINT"Bankraub.ba -Wiederanlaufprozedur"110 INPUT "Geldeingang bisher: ";GELD120 EIN=52:´Timewert Taste an130 AUS=169:´Timewert Taste aus150 CLS:PRINT@0,"DM ";GELD,"ein: ";EIN;" aus: ";AUS;160 PRINT@90,"a<<<< aus >>>>A"170 PRINT@130,"e<<<< ein >>>>E"180 PRINT@170,"Halt mit x "190 PRINT@210,TIME$:GOTO 1100200 REM Rautenschleife210 MOTOR ON:PRINT@40,"EIN":PRINT@60,TIME$:FOR I=1 TO EIN:GOSUB 1000:NEXT I220 MOTOR OFF:PRINT@40,"AUS":FOR I=1 TO EIN:GOSUB 1000:NEXT I230 MOTOR ON:PRINT@40,"EIN":FOR I=1 TO EIN:GOSUB 1000:NEXT I240 MOTOR OFF:PRINT@40,"AUS":FOR I=1 TO AUS:GOSUB 1000:NEXT I250 GELD=GELD+9.97:PRINT@0,"DM";GELD,"Ein: ";EIN;" Aus: ";AUS;260 GOTO 2001000 REM Geschwindigkeit1010 X$=INKEY$:IF X$="" THEN RETURN1020 IF X$="a" THEN AUS=AUS-1:RETURN1030 IF X$="A" THEN AUS=AUS+1:RETURN1040 IF X$="e" THEN EIN=EIN-1:RETURN1050 IF X$="E" THEN EIN=EIN+1:RETURN1060 IF X$<>"x" THEN RETURN1100 PRINT@170,"Weiter mit x "1110 MOTOR OFF:PRINT@40,"AUS"1120 X$=INKEY$:IF X$="x" THEN 1150 ELSE 11201150 PRINT@170,"Halt mit x ":GOTO 200

Das Programm steuerte eine vom CCC eingerichtete Btx-Spendenseite an, über die man dem Verein 9,97 DM zukommen lassen konnte, um die Schwachstelle zu demonstrieren. In der besagten Nacht machte es 13.504 Mal Klack-Klack, summa summarum 13.504 × 9,97 DM = 134.634,88 DM.

Weiterlesen
  111 Aufrufe

heise-Angebot: iX-Workshop: Sicherer Betrieb von Windows 11 in Unternehmen

Der zweitägige Online-Workshop Windows 11 im Unternehmen absichern zeigt, wie Sie die Betriebssysteme Windows 11 Pro und Enterprise sicher im Unternehmensnetz betreiben. Dabei werden sowohl klassische On-Premise-Installationen von Windows 11 als auch hybride Modelle in Kombination mit Entra ID und Microsoft Endpoint Manager (Intune) berücksichtigt.

Anzeige

Anhand praktischer Demonstrationen typischer Bedrohungsszenarien lernen Sie Schwachstellen und die typischen Werkzeuge von Angreifern kennen und stellen diesen konkrete Härtungs- und Schutzmaßnahmen gegenüber. Microsoft bietet hierfür sinnvolle Sicherheitsfunktionen an, die jedoch nicht automatisch aktiv sind, sondern erst konfiguriert werden müssen. In diesem Workshop lernen Sie, wie Sie die Sicherheitsmechanismen und -tools einsetzen, um Ihre Systeme abzusichern. Dieser Workshop bietet viel Raum für Fragen und Austausch.

Referent Christian Biehler ist Experte für Informationsmanagement und IT-Sicherheit. Seine Themenschwerpunkte sind die Sicherheit von Netzwerken und Anwendungen sowohl in klassischen On-Premise-Umgebungen als auch im hybriden Windows-Umfeld.

Weiterlesen
  0 Aufrufe

WTF: Sicherheitsforscher finden beim Nachstellen einer Lücke drei neue

"Manchmal hat man kein Glück und dann kommt auch noch Pech dazu", dieses geflügelte Wort aus der Fußballwelt dürfte den Entwicklern von Fortinet derzeit auf der Zunge liegen. In ihrem FortiManager, einer Verwaltungssoftware für FortiGate-Appliances, tauchten in den vergangenen Monaten immer wieder schwere Sicherheitslücken auf. Nun haben Sicherheitsforscher drei weitere entdeckt – ohne sie zu suchen.

Anzeige

Eine besonders heikle Sicherheitslücke namens "FortiJump" wurde vor wenigen Wochen veröffentlicht und schlug hohe Wellen, unter anderem in mehreren heise-Meldungen und einem empörten Jürgen Schmidt: "Zu den technischen Fehlern gesellt sich ein haarsträubendes Kommunikationsverhalten. Über Tage hinweg rätselten Sicherheitsforscher und auch Fortigate-Kunden, was es mit den Updates und den Gerüchten über aktive Angriffe auf FortiManager auf sich haben könnte", barmte der Gründer von heise security im Newsletter des Fachdienstes heise security PRO. Die Google-Tochter Mandiant konstatierte bereits am 24. Oktober eine massenhafte Ausnutzung, veranstaltete Webinare zum Thema und veröffentlichte "Indicators of Compromise" für die Suche nach Angreifern.

Die Sicherheitsexperten von Watchtowr Labs wollten den genannten Exploit (CVE-2024-47575) nun lediglich in einer kontrollierten Laborumgebung nachstellen. Doch ein ruhiger Experimentiernachmittag war ihnen nicht vergönnt, stattdessen sprang den überraschten Exploit-Testern eine weitere schwere Lücke ins Auge. Und – wer da hat, dem wird gegeben – zwei triviale Crashbugs gab's als Gratisbeigabe obendrein.

Der unterhaltsame und mit reichlich Meme-Material angereicherte Blogeintrag "Hop-Skip-FortiJump-FortiJump-Higher" des Watchtowr-Teams liest sich wie eine Abrechnung mit haarsträubend schlechten Sicherheitspraktiken bei einem Anbieter von Sicherheitsappliances: "Die niedrige Komplexität der Sicherheitslücken wirft die grundsätzliche Frage nach der FortiManager-Codequalität auf", konstatierten die Autoren und entschlossen sich zu dem ungewöhnlichen Schritt, die neu entdeckte Sicherheitslücke zu veröffentlichen, bevor sie von Fortinet gepatcht wurde.

Weiterlesen
  113 Aufrufe

Mögliches Destatis-Datenleck soll keine Wahlauswirkungen haben

Am Donnerstag wurde ein mögliches Datenleck beim Statistischen Bundesamt bekannt, Cyberkriminelle bieten rund 3,8 GByte an angeblich dort erbeuteten Daten im digitalen Untergrund an. Das IDEV-System wurde Offline genommen, nun gibt es weitere Maßnahmen: "Die Sicherheitsbehörden wurden eingeschaltet und das Bundesamt für Sicherheit in der Informationstechnik (BSI) analysiert den Sachverhalt", teilte das Statistische Bundesamt (Destatis) in Wiesbaden mit. Auf die Frage, ob Cyberkriminelle für das Datenleck verantwortlich sein könnten, hieß es, vorerst lägen "noch keine gesicherten Erkenntnisse vor". Die Sicherheitsbehörden arbeiteten in enger Abstimmung mit dem Bundesamt intensiv an der Aufklärung des Vorfalls, sagte der Sprecher.

Anzeige

Die Präsidentin des Statistischen Bundesamts, Ruth Brand, ist zugleich Bundeswahlleiterin. Die IT-Systeme des Statistischen Bundesamts und die IT-Systeme der Bundeswahlleiterin seien technisch getrennt und eigenständig, erklärte ein Sprecher des Bundesamts und der Bundeswahlleiterin auf Anfrage. Die Vorbereitungen zur Bundestagswahl 2025 verliefen planmäßig. Das Statistische Bundesamt benutze verschiedene Systeme zur Datenerhebung und -verarbeitung.

Das betroffene Meldesystem IDEV (Internet Datenerhebung im Statistischen Verbund) ist ein Internetportal, "über das Meldungen zu verschiedenen amtlichen Statistiken an die Statistischen Ämter des Bundes und der Länder übermittelt werden können. Die vorgeschriebenen Meldefristen sind bis zur Klärung des Sachverhalts ausgesetzt", hieß es weiter.

Vorerst gebe es keine Hinweise darauf, dass auch die IDEV-Systeme der Bundesländer betroffen sein könnten. "Rein vorsorglich haben jedoch die Länder bis zur Aufklärung des Sachverhalts ihre Systeme ebenfalls vom Netz genommen", ergänzte das Statistische Bundesamt in Wiesbaden. Seine eigenen statistischen Informationen für die Öffentlichkeit waren zunächst weiterhin auf seinen Internetseiten zu finden.

Weiterlesen
  116 Aufrufe

Sicherheitsfunktionen: Android soll Scam-Anrufe und Malware-Apps besser erkennen

Googles mobiles Betriebssystem Android bekommt neue Sicherheitsfunktionen und soll ab sofort in Echtzeit vor betrügerischen Anrufen und mit Schadcode verseuchten Apps warnen. Doch diese Funktionen sind bislang nur für ausgewählte Geräte und zum Teil nur für Beta-Nutzer nutzbar.

Anzeige

In einem Beitrag beschreibt Google die neuen Sicherheitsmechanismen. Anhand von Echtzeitanalysen auf KI-Basis soll die Telefon-App beim Telefonieren erkennen, ob ein Betrüger am anderen Ende der Leitung ein Opfer aufs Glatteis führen will. Besteht ein Betrugsverdacht, weist das Smartphone in Form einer Mitteilung darauf hin und man kann den Anruf über ein Dialogfeld beenden.

Derzeit kann die Telefonbetrugserkennung nur englischsprachige Anrufe analysieren.

(Bild: Google)

Weiterlesen
  110 Aufrufe

Wordpress-Plug-in Really Simple Security gefährdet 4 Millionen Websites

In dem Wordpress-Plug-in "Really Simple Security" klafft eine kritische Sicherheitslücke, die Angreifern die Übernahme einer Wordpress-Seite ermöglicht. Sie können unter Umständen die Authentifizierung umgehen. Das Plug-in kommt auf mehr als vier Millionen Wordpress-Webseiten zum Einsatz, erklärt das IT-Sicherheitsunternehmen Wordfence.

Anzeige

In einem Blog-Beitrag schreibt Wordfence, dass das Plug-in zuvor unter dem Namen Really Simple SSL bekannt war und nun in den Versionen Free, Pro und Pro Multisite bekannt ist. Alle Fassungen sind in den Version 9.0.0 bis 9.1.1.1 verwundbar.

In diesen betroffenen Fassungen können Angreifer aufgrund einer unzureichenden User-Check-Fehlerbehandlung in der Zwei-Faktor-REST-API der Funktion check_login_and_get_user auch ohne vorherige Authentifizierung als existierender Nutzer in der Website anmelden (CVE-2024-10924, CVSS 9.8, Risiko "kritisch"). Etwa mit dem Administrator-Konto. Dafür muss jedoch die Zwei-Faktor-Authentifizierung aktiviert sein – die ist zwar standardmäßig aus, jedoch empfehlen IT-Sicherheitsexperten stets, diesen Sicherheitsmechanismus zu aktivieren.

In dem Blog-Eintrag analysieren die Wordfence-Autoren die Schwachstelle für Interessierte ausführlicher.

Weiterlesen
  107 Aufrufe

CopyRhadamantys greift weltweit Unternehmen an

Die von Check Point Research entdeckte Kampagne nutzt KI-gesteuerte Marketing-Taktiken, um ihre Reichweite und ihren Aktionsradius zu vergrößern, und macht sich die Fähigkeit der Rhadamanthys-Malware zunutze, der Erkennung zu entgehen. Die Angreifer setzen geschickt KI ein, um ihre Operationen zu optimieren, so dass die Kampagne hoch skalierbar und weltweit wirksam ist.

Hightech-Unternehmen dominieren Imitationen

Nahezu 70 Prozent der imitierten Unternehmen gehören zu Hightech-Branchen wie Unterhaltung, Medien, Technologie und Software. Die digitale Präsenz dieser Branchen und die häufige Kommunikation über Urheberrechte machen sie zu idealen Zielen für Cyberkriminelle, die die vermeintliche Legitimität ihrer Phishing-Kampagnen erhöhen wollen. Durch die Automatisierung von Phishing-Techniken haben sie die Reichweite ihrer Kampagnen erheblich ausgeweitet und erreichen verschiedene Branchen in Nordamerika, Europa, dem Nahen Osten und Asien.

Die Kampagne CopyRh(ight)adamantys, die von der als „Void Manticore“ bekannten cyberkriminellen Gruppe organisiert wird, nutzt falsche Anschuldigungen von Urheberrechtsverletzungen, um Empfänger zu manipulieren. Die Angreifer, die sich als Vertreter bekannter Unternehmen ausgeben, kontaktieren Einzelpersonen und Unternehmen und behaupten fälschlicherweise, dass deren Social-Media-Inhalte gegen das Urheberrecht verstoßen. Sie stellen realistische Gmail-Konten und sorgfältig vorbereitete Nachrichten zur Verfügung, die den Kommunikationsstil legitimer Unternehmen widerspiegeln. Die Opfer werden dann aufgefordert, eine Datei herunterzuladen, um das Problem zu „beheben“, die in Wirklichkeit Rhadamanthys Stealer installiert und wertvolle Informationen wie Anmeldeinformationen und Finanzdaten abfängt.

Infektionskette von CopyRhadamanthys

Wichtigste Merkmale der Kampagne

Große globale Reichweite
Phishing-Versuche wurden in Nordamerika, Europa, dem Nahen Osten und Asien entdeckt.

Ausgefeilte Taktiken
Die Angreifer verwenden stark personalisierte E-Mails, oft in lokalen Sprachen, wodurch die Glaubwürdigkeit und Reichweite ihrer Botschaften erhöht wird.

Weiterlesen
  116 Aufrufe

CISA warnt vor Angriffen auf Palo-Alto-Software

Im Oktober hatte Palo Alto Networks mehrere, teils kritische Sicherheitslücken im Migrationswerkzeug Expedition gemeldet und Updates zum Stopfen der Lecks bereitgestellt. Jetzt warnt die US-amerikanische IT-Sicherheitsbehörde CISA, dass Angriffe auf diese Schwachstellen in freier Wildbahn beobachtet wurden.

Anzeige

Konkret warnt die CISA davor, dass zwei der vor rund einem Monat korrigierten Lücken angegriffen werden und sie diese Schwachstellen daher in den Katalog der angegriffenen Sicherheitslücken aufnimmt ("Known Exploited Vulnerabilities"-Katalog). Es handelt sich um eine Befehlsschmuggel-Lücke (CVE-2024-9463, CVSS 9.9, Risiko "kritisch") sowie um eine SQL-Injection-Schwachstelle (CVE-2024-9465, CVSS 9.2, kritisch) in Palo Altos Expedition.

Angreifer können verwundbare Appliances vollständig kompromittieren, denn Palo Alto erklärt die Auswirkungen der Lücke in der Sicherheitsmitteilung: Die Schwachstellen ermöglichen Angreifern demnach, Datenbankinhalte und beliebige Dateien zu lesen sowie beliebige Dateien in temporäre Verzeichnisse zu schreiben. In Kombination sind dadurch Nutzernamen, Klartext-Passwörter, Gerätekonfigurationen und API-Keys von PAN-OS-Firewalls zugreifbar.

Die Sicherheitslecks betreffen Palo Alto Expedition vor der fehlerkorrigierten Version 1.2.96. IT-Verantwortliche sollten umgehend die Aktualisierung anwenden. Außerdem sollen sie sicherstellen, dass die Software nicht aktiv ist, sofern sie nicht gebraucht wird.

Weiterlesen
  102 Aufrufe

Sicherheitspatches: Apache Traffic Server über mehrere Lücken angreifbar

Apache Traffic Server (ATS) optimiert als Web-Proxy-Cache den Datenverkehr in großen Netzwerken. Unter anderem Internetkonzerne wie Yahoo! nutzen ATS. Nun können Angreifer an mehreren Sicherheitslücken ansetzen und unter anderem Instanzen abstürzen lassen.

Anzeige

Wie aus einem Beitrag auf einer Mailingliste hervorgeht, haben die Entwickler in den aktuellen Ausgaben 9.2.6 und 10.0.2 insgesamt drei Schwachstellen (CVE-2024-38479 "hoch", CVE-2024-50305 "hoch", CVE-2024-50306 "kritisch") geschlossen.

Durch das erfolgreiche Ausnutzen der kritischen Lücke können Angreifer ATS dazu bringen, dass Privilegien beim Start des Servers erhalten bleiben. Attacken auf eine andere Schwachstelle können zu Abstürzen führen. Zurzeit gibt es noch keine Berichte, dass bereits Angriffe stattfinden.

Weiterlesen
  106 Aufrufe

Fehlerhafte Patches: Microsoft stoppt Exchange-Server-Updates

Die in der Nacht zum Mittwoch dieser Woche veröffentlichten Updates zum Microsoft Patchday haben unerwünschte Nebenwirkungen. Microsoft stellt daher vorerst die Verteilung auf Exchange-Server 2016 und 2019 ein.

Anzeige

In einem Techcommunity-Artikel hatte Microsoft zunächst die Inhalte und Verbesserungen der Updates zum Microsoft-Patchday für Exchange erläutert. In der Nacht zum Freitag hat der Hersteller den Artikel jedoch aktualisiert und erläutert darin nun, dass die Aktualisierungen vorerst gestoppt wurden. Insbesondere für die Versionen Exchange Server 2019 CU13 und CU14 sowie Exchange Server 2016 CU23 hat Microsoft die Verteilung ausgesetzt.

"Uns ist bekannt, dass Kunden ein Problem mit regelmäßig ausfallenden Transport-Regeln nach der Installation des Updates haben"; erörtert Microsoft. "Unseren initialen Untersuchungen zufolge kann das auftreten, sofern Kunden eigene Transport- oder DLP-Regeln einsetzen". Sofern man auf dieses Problem stoße, müsse das November-Update deinstalliert werden, bis es (korrigiert) wiederveröffentlicht werde, ergänzen Microsofts Entwickler.

"Wir setzen unsere Untersuchungen fort und arbeiten an einer permanenten Korrektur des Problems. Wir veröffentlichen sie dann, wenn sie fertig ist. Wir haben zudem den Rollout des November-2024-Service-Updates auf Windows- respektive Microsoft-Update pausiert", ergänzen die Redmonder. "Kunden, die keine Transport- oder DLP-Regeln verwenden und in keine Probleme mit solchen Regeln gelaufen sind, können das November-Update weiter verwenden".

Weiterlesen
  88 Aufrufe

Gegen Enkeltrickbetrug: KI-Omi soll Kriminelle in endlose Gespräche verwickeln

Der Mobilfunkprovider O2 hat nach eigenen Angaben eine KI-Technik entwickelt, die am Telefon eine alte Frau imitieren und Betrüger möglichst lange beschäftigen kann. Das teilte O2 jetzt mit und ergänzte, dass die Technik bereits Anrufe aus betrügerischen Absichten entgegengenommen hätte. Ziel sei es, dass die in Echtzeit generierten Antworten und Monologe von "Daisy" die Betrüger so lange wie möglich hinhalten, damit sie in der Zeit keine echten Menschen kontaktieren können. Damit sie überhaupt angerufen wird, würden zugehörige Telefonnummern auf Listen mit angeblich lohnenswerten Zielen hinzugefügt, die solche Betrüger verwenden.

Anzeige

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen. Videos immer laden (Quelle: virginmediao2.co.uk)

Scam-Anrufe sind seit Jahren ein großes Problem, mit unterschiedlichen Vorgehensweisen wird dabei versucht, die Opfer dazu zu bringen, Geld auszuhändigen. Dem kann im Prinzip jeder zum Opfer fallen, besonders häufig trifft es aber alte Menschen. Denen wird beispielsweise vorgetäuscht, dass ein Familienmitglied in ernsten Schwierigkeiten steckt und schnell Geld benötigt. Zuletzt war die Sorge gewachsen, dass die Kriminellen auf KI-Technik setzen könnten, um ihre Betrugsgeschichten noch glaubhafter zu machen und mehr Anrufe zu tätigen. O2 will zeigen, dass das auch andersherum geht. Ob und wie erfolgreich die Methode ist, muss sich zeigen, hierzulande wird die Gefahr durch die englischsprachige Technik nicht verringert.

Die KI-Omi ist auch nur darauf ausgelegt, Telefon-Scam abzufangen, der auf das direkte Gespräch setzt. Immer öfter erfolgen die Betrugsversuche aber auch über WhatsApp. Unter dem Vorwand, dass das Familienmitglied eine neue Handynummer habe, schreibt der Betrüger Personen an. Recht schnell wird auch in diesem Fall nach Geld gefragt. Dafür wird behauptet, dass ein Telefonat nicht möglich ist und es keine Zeit für Erklärungen gibt. All diese Erzählungen sind ebenfalls frei erfunden, aber oft genug erfolgreich. Auch gegen andere Betrugsformen, wie etwa jene über angeblichen Tech-Support, kann "Daisy" nichts ausrichten.

Selbst wenn "Daisy" so funktioniert, wie O2 das jetzt behauptet, wird die KI-Technik die Betrugsversuche also nicht unterbinden können. Bestenfalls handelt es sich nur um den nächsten Schritt im anhaltenden Katz-und-Maus-Spiel. Um sich zu schützen, hält man sich am besten weiterhin an eine Reihe von Fragen bereit, die man bei Telefonaten im Hinterkopf haben sollte. Außerdem sollte man nie Geld an unbekannte (ausländische) Bankkonten überweisen und übers Telefon keine persönlichen Daten weitergeben, darunter etwa Bankinformationen wie die IBAN. Anrufende sollten nie den Zugriff auf Computer erhalten. Ist das Geld einmal weg, sind Versuche, es wiederzuholen, meist aussichtslos.

Weiterlesen
  93 Aufrufe

heise-Angebot: iX-Workshop: Nach dem Einbruch – Digital Forensics & Incident Response (DFIR)

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

Weiterlesen
  0 Aufrufe

Chinas Cyberspione greifen Telefondaten und -gespräche von US-Netzbetreibern ab

Kommerzielle Netzbetreiber der USA wie AT&T und Verizon sind Opfer chinesischer Cyberspione geworden. Dabei haben die von der Regierung Chinas unterstützten Angreifer Zugriff auf Telefonaufzeichnungen und -daten von Kunden sowie private Kommunikationsdaten von Politikern und Regierungsangehörigen erlangt. Sogar von Polizeibehörden durchgeführte und gerichtlich genehmigte Abhörungen wurden abgegriffen. Das FBI und die US-Cybersicherheitsbehörde CISA bezeichnen es als "umfassende und bedeutende Cyberspionagekampagne".

Anzeige

Damit haben das FBI und die CISA (Cybersecurity and Infrastructure Security Agency) bestätigt, was zuvor bereits bekannt geworden war. Anfang Oktober wurde berichtet, dass AT&T, Verizon und Co. angeblich von einer chinesischen Spionagegruppe infiltriert worden seien. Die Kampagne scheint auf Informationsbeschaffung ausgerichtet zu sein und gilt als potenziell katastrophale Sicherheitsverletzung. Denn über mehrere Monate oder länger könnten die Cyberkriminellen Zugang zu Netzwerkinfrastrukturen gehabt haben.

Details zum Umfang und der Dauer des Cyberangriffs bleibt die gemeinsame Erklärung von FBI und CISA schuldig, aber die Verbindung der Angreifer zur Volksrepublik China wird mehrfach erwähnt. Die Untersuchung der Vorfälle dauert an, betroffene Opfer werden informiert. Namen werden nicht genannt, aber im Visier der Cyberspione waren etwa der gerade zum US-Präsidenten gewählte Donald Trump sowie sein designierter Vizepräsident J.D. Vance, schreibt Politico.

Demnach hätten die Cyberspione Zugriff auf Telefondaten mehrerer Millionen US-Amerikaner gehabt, aber nicht jede einzelne Person sei dabei überwacht worden. Die Angreifer hätten anfangs rund 40 Opfer gesucht, um diese auszuspionieren. Allerdings hat sich diese Zahl mittlerweile erhöht und könnte sogar mehr als Tausend Individuen umfassen, heißt es. Insgesamt seien rund 10 Telekommunikationsunternehmen betroffen, darunter Verizon, AT&T und Lumen Technologies.

Weiterlesen
  97 Aufrufe

Google wagt Ausblick auf die IT-Sicherheitslage 2025

Google schaut in die Glaskugel: Ein fast 20-seitiges PDF liefert Einschätzungen der zu erwartenden IT-Bedrohungslage 2025 von Googles Cloud-Security-Köpfen. Neben dem Führungspersonal kommen auch IT-Forscher aus den diversen IT-Sicherheitsteams von Google und der Google-Tochter Mandiant zu Wort.

Anzeige

Google wählt dem zugehörigen Blog-Beitrag zufolge einen konservativen Ansatz und extrapoliert zu Erwartendes aus den derzeit beobachteten Trends. Das soll einen realistischen Ausblick liefern, anhand dessen sich Organisationen darauf vorbereiten können, was im kommenden Jahr auf sie zukomme.

Das hat aber auch zur Folge, dass keine überraschenden Informationen darin auftauchen. Google erörtert, dass bösartige Akteure vermehrt auf KI für verfeinertes Phishing, Vishing und Social Engineering setzen werden. Zudem sei eine Zunahme an Deepfake-Einsätzen für Identitätsbetrug und -Diebstahl, Betrug oder zur Umgehung von Sicherheitsmaßnahmen zu erwarten. Mittels KI werden die Täter außerdem ihre Schlagzahl optimieren: Skalierung der Inhaltserzeugung, Erstellen von mehr überzeugenden Inhalten, oder Verbesserung von nicht authentischen Persönlichkeiten.

Die sogenannten "Big Four", namentlich China, Iran, Nordkorea und Russland werden weiterhin aktiv bleiben und sich weiter in Spionageaktivitäten stürzen, Cybercrime begehen und Ausspähoperationen in Verknüpfung mit ihren geopolitischen Interessen verfolgen. Auch zum Teil staatlich gelenkt: Ransomware und vielschichtige Erpressung bleiben die am meisten störenden Formen der Cyberkriminalität, schätzt Google, die Auswirkungen auf diverse Sektoren und Länder haben.

Weiterlesen
  113 Aufrufe

heise-Angebot: Last Call: IT-Sicherheitstag Gelsenkirchen – Komplexität managen

Anzeige

Der IT-Sicherheitstag an der Westfälischen Hochschule Gelsenkirchen zeigt am 21. November, wie Sicherheitsverantwortliche, Security-Experten und IT-Projektleiter mit der steigenden Komplexität der Systeme in ihren Unternehmen umgehen können. Dass das Zusammenspiel der Komponenten im Systemverbund leicht aus dem Tritt gerät, hat zuletzt der Crowdstrike-Vorfall gezeigt.

Das Programm des IT-Sicherheitstags bietet den Teilnehmern dabei viele Möglichkeiten, sich untereinander und mit den Referenten zu vernetzen – letztere stehen in offenen Diskussionsrunden zur Beantwortung der drängendsten Fragen bereit. Veranstalter sind das Institut für Internetsicherheit und die heise academy.

Neben einer allgemeinen Einordnung zu Sicherheitswerkzeugen und Technologien, mit der Unternehmen die Komplexität managen können, beleuchtet eine Panel-Diskussion, wie man den regulatorischen Anforderungen begegnet und gegenüber sich ständig wandelnden Bedrohungen wettbewerbsfähig und resilient bleibt. Außerdem geht es darum, wie man seine empfindlichen Unternehmensdaten clientseitig verschlüsselt, damit das Lagern der Daten bei Cloudanbietern zu weniger Kopfschmerzen führt. Ein weiterer Vortrag zeigt, wie man digitale Signaturen nutzt, um seine Unternehmenskommunikation gegen Spear-Phishing-Angriffe zu wappnen.

Besonders ärgerlich ist es, wenn man selbst abgesichert ist, es aber einen Dienstleister in der eigenen Supply Chain trifft, von dem aus sich der Angriff ins eigene Netz ausbreitet. Auch im Zuge von NIS2 und dem Cyber Resilience Act (CRA) der EU müssen sich Unternehmen Gedanken über die Sicherheit ihrer IT-Lieferkette machen oder sich bewusst sein, dass sie ein wichtiges Kettenglied für andere Firmen darstellen. Die Software Bill of Materials (SBOM) hilft Unternehmen, die Anforderungen in Verträge und Prozesse zu integrieren, um rechtliche Risiken zu minimieren und die Sicherheit ihrer IT-Lieferketten zu gewährleisten.

Weiterlesen
  106 Aufrufe

Destatis: Cyberkriminelle erbeuten offenbar 3,8 GByte an Daten

Cyberkriminellen ist es anscheinend gelungen, auf eine oder mehrere Datenbanken des Statistischen Bundesamts (Destatis) Zugriff zu erlangen. Dabei haben sie angeblich Unternehmensdaten in einem Umfang von 3,8 GByte kopiert. Diese stehen nun im digitalen Untergrund zum Verkauf.

Anzeige

Die Destatis-Datenbank steht in einem Untergrundforum zum Verkauf.

(Bild: Screenshot / cku)

Die Daten umfassen etwa Kontaktdaten, Anschrift, Unternehmensabteilung, Umsatzsteuernummern, Bundesland, Titel, Namen, Telefon- und Fax-Nummern, E-Mail-Adresse und einige Dokumente, behaupten die Täter in ihrem Angebotstext im Untergrundforum. Ob da auch sensible respektive vertrauliche Informationen drunter sind, ist bislang unklar.

Weiterlesen
  99 Aufrufe

Updates verfügbar: Mehrere Sicherheitslücken bedrohen Gitlab

Die Gitlab-Entwickler empfehlen, die aktuellen Sicherheitspatches für Gitlab Community Edition (CE) und Enterprise Edition (EE) für selbst gehostete Instanzen zeitnah zu installieren. Geschieht das nicht, können Angreifer an mehreren Lücken ansetzen und sich unter anderem Zugriff auf eigentlich abgeschottete Bereiche des Entwicklungsservers verschaffen. Gitlab.com ist ihnen zufolge bereits abgesichert.

Anzeige

Insgesamt haben die Entwickler einer Warnmeldung zufolge in den aktuellen Versionen 17.3.7, 17.4.4 und 17.5.2 sechs Sicherheitslücken geschlossen. Bis auf eine Schwachstelle sind alle Lücken mit dem Bedrohungsgrad "mittel" eingestuft.

Sind Attacken erfolgreich, können sich Angreifer unter anderem Zugriff auf den Kubernetes Cluster Agent verschaffen (CVE-2024-9693 "hoch"). Unbefugte Zugriffe sind auch über OAuth möglich (CVE-2024-7404 "mittel"). Über weitere Lücken können noch Informationen leaken (CVE-2024-10240 "mittel). Außerdem sind DoS-Attacken vorstellbar (noch keine CVE-Nummer zugeteilt).

Bislang gibt es noch keine Berichte, dass Angreifer bereits Lücken ausnutzen. Leider geben die Entwickler Nutzern keine Orientierungspunkte, an denen bereits erfolgte Attacken erkennbar sind.

Weiterlesen
  108 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image