Comretix Blog

Die Verschlüsselung mit DES gilt seit Langem, bereits länger als zwei Dekaden, als unsicher. Nun macht Microsoft Nägel mit Köpfen: Die DES-Verschlüsselung fliegt endgültig aus Windows raus.

Anzeige

Windows wird im September 2025 die DES-Verschlüsselung gestutzt.

(Bild: Screenshot / dmk)

Bereits 1998 haben IT-Sicherheitsforscher demonstriert, dass DES-Schlüssel, die aufgrund US-amerikanischer Export-Beschränkungen zudem auf 56 Bit Länge beschränkt waren, innerhalb von nicht einmal drei Tagen und mit begrenztem Budget zu knacken waren. Die damalige US-Regierung argumentierte, dass das lediglich mit wesentlich höherem Aufwand möglich und die kurzen Schlüssel daher kein Problem seien. Die Forscher haben das mit einem von der Electronic Frontier Foundation (EFF) damals selbst gebauten "Supercomputer" mit knapp 2000 speziell designten CPUs (ASICs) mit weniger als 40 MHz Taktfrequenz, der etwa 250.000 US-Dollar kostete, widerlegt.

Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten, und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären.

Anzeige

Angreifer können Sicherheitsbeschränkungen von IBMs Middleware für die Transaktionsverarbeitung umgehen und so PCs attackieren. Dagegen stehen gerüstete Versionen zum Download bereit.

Anzeige

In einer Warnmeldung führen die Entwickler aus, dass die "kritische" Lücke (CVE-2022-46337) die in TXSeries enthaltene Komponente Apache Derby betrifft. Angreifer aus dem Netz können auf einem nicht näher ausgeführten Weg an einer LDAP-Schwachstelle ansetzen, um Sicherheitsbeschränkungen auszuhebeln. Im Anschluss können sie unter anderem sensible Daten einsehen und manipulieren.

Davon sind die Versionen 8.1, 8.2, 9.1 und 10.1 von IBM TXSeries for Multiplatform bedroht. In der Warnmeldung listen die Entwickler Informationen zu den Sicherheitspatches auf. Zurzeit gibt es keine Berichte über Attacken. Dennoch sollten Admins den Sicherheitspatch zeitnah installieren.

Die kriminelle Online-Bande Cl0p ist für das Kopieren von Daten von Unternehmen und die darauf folgende Erpressung mit der Datenveröffentlichung bekannt. Etwa durch Sicherheitslücken in Datentransfer-Software wie MOVEit Transfer oder Cleo stiehlt sie den Opfern im großen Stil Daten. Jetzt haben die Täter 230 neue Unternehmen als Opfer auf ihrer Darknet-Webseite aufgelistet.

Anzeige

Hunderte neue Opfer listet Cl0p im Darknet, darunter HP und HPE.

(Bild: Screenshot / dmk)

In der umfangreichen Liste der neu bestohlenen Unternehmen finden sich abermals lediglich wenige namhafte. Am bekanntesten sind die angeblichen Opfer Hewlett Packard und Hewlett Packard Enterprise (HP und HPE). Danach fällt die Bekanntheit schon deutlich ab, aber die Liste enthält etwa auch Homedepot Mexiko.

Die israelische Sicherheitsfirma Cellebrite hat serbischen Sicherheitsbehörden den Einsatz von Spyware-Tools des Herstellers untersagt. Damit reagiert das Unternehmen laut einem Blogeintrag auf einen Bericht der Menschenrechtsorganisation Amnesty International vom Dezember 2024. In dem hatte Amnesty kritisiert, dass serbische Behörden die Software von Cellebrite gegen Journalisten und Aktivisten einsetzen.

Anzeige

Cellebrite hatte daraufhin eine Untersuchung angekündigt. Nach rund zwei Monaten teilte das Unternehmen nun mit, es sei "angebracht, die Nutzung unserer Produkte durch die betreffenden Kunden zu unterbinden". Einzelheiten zu den Ergebnissen der Untersuchung nennt Cellebrite dabei nicht. Man nehme ernst, wenn Kunden ein Missbrauch der Technik und Verstöße gegen die Nutzungsbedingungen vorgeworfen würden, versichert das Unternehmen.

Mitte Dezember hat Amnesty berichtet, dass die serbische Polizei und der serbische Geheimdienst forensische Werkzeuge von Cellebrite einsetzt, um Daten von Mobilgeräten zu extrahieren, die Medienschaffenden sowie Aktivisten und Aktivistinnen gehören. Dabeo sollen Geräte von Personen während ihrer Festnahme oder Befragung durch Strafverfolgungsbehörden mit maßgeschneiderter Spyware infiziert worden sein. Amnesty hatte die Werkzeuge von Cellebrite "als Instrumente einer umfassenderen staatlichen Kontrolle und Repression gegen die Zivilgesellschaft" bezeichnet.

Cellebrite hat sich auf das Knacken von Mobilgeräten spezialisiert und bietet seine Dienste nach eigenen Angaben nur "demokratisierten Nationen" in aller Welt an. Beim Einsatz der Technik müssten diese sich an "ethische und rechtmäßige" Grundsätze halten. Eingesetzt wurde die Software unter anderem bei der Einsichtnahme in das Smartphone des Attentäters, der im vergangenen Sommer versucht hatte, den US-Präsidentschaftskandidaten Donald Trump zu erschießen. Immer wieder gibt es aber auch Vorwürfe an Cellebrite und andere Firmen, dass ihre Werkzeuge nicht nur von demokratischen Staaten benutzt werden, sondern auch in autokratischen Staaten und dort gegen die Zivilbevölkerung.

Es können Attacken auf das Netzwerkbetriebssystem Arista EOS bevorstehen. Ansatzpunkte sind zwei Schwachstellen, die in aktuellen Ausgaben geschlossen wurden. Arista gibt an, dass es derzeit noch keine Hinweise auf Attacken gibt.

Anzeige

Davon sind unter anderem verschiedene Switch-Modelle bedroht. Die verwundbaren Produkte und Softwareversionen listet der Netzwerkausrüster in einer Warnmeldung auf. Die Entwickler versichern, die zwei Lücken in den EOS-Ausgaben 4.28.13, 4.29.10, 4.30.9, 4.31.6, 4.32.4 und 4.33.2 geschlossen zu haben. In beiden Fällen können Angreifer die Authentifizierung umgehen. Die Schwachstellen wurden intern entdeckt.

Geräte sollen aber nur angreifbar sein, wenn die Managementoption OpenConfig aktiv ist. Ob diese Einstellung standardmäßig eingeschaltet ist, geht aus der Warnmeldung nicht hervor. Ist die Option aktiv, können Angreifer mit einer gNOI-Anfrage, die das System eigentlich ablehnen sollte, Attacken einleiten. Wie so eine Attacke im Detail anlaufen könnte, ist bislang unbekannt.

Die "kritische" Lücke (CVE-2025-1260) befähigt Angreifer dazu, die Konfiguration zu manipulieren. Nutzen sie die zweite Schwachstelle (CVE-2025-1259 "hoch") erfolgreich aus, können sie eigentlich abgeschottete Daten einsehen.

Aufgrund zunehmender Betrugsfälle beim Deutschlandticket hatte der Rhein-Main-Verkehrsverbund (RMV) kürzlich die Zahlungsmethoden eingeschränkt. Insbesondere wurden Lastschrift und Kreditkarte als Zahlungsoptionen in der RMVgo-App für Neukunden deaktiviert, wie die FAZ berichtete. Diese Maßnahmen habe der RMV ergriffen, nachdem aufgefallen war, dass es zu einer "sehr hohen Anzahl von automatisiert vorgenommenen Betrugsversuchen gekommen sei". Laut FAZ war dem RMV bereits Anfang des vergangenen Jahres durch derartige Betrugsfälle ein Schaden von rund einer Million Euro entstanden. Über alle Verkehrsverbünde hinweg dürften sich die entgangenen Einnahmen sogar im dreistelligen Millionenbereich bewegen.

Anzeige

Die auch als "Dreiecksbetrug" bekannte Masche läuft im Falle der Deutschlandtickets folgendermaßen ab: Betrüger bieten auf dubiosen Plattformen Deutschlandtickets zu Niedrigpreisen an. Kaufinteressenten übermitteln ihre Daten, während die Betrüger mit gestohlenen Bankdaten Dritter echte Tickets bei einem Verkehrsverbund erwerben und diese an die Käufer weiterleiten. Bemerken die rechtmäßigen Karteninhaber die unerlaubten Abbuchungen und stornieren die Tickets, werden diese ungültig. Oft geschieht das zu spät, sodass die Käufer unbehelligt mit dem so lange gültigen Deutschlandticket fahren können. Andernfalls stehen sie plötzlich ohne gültiges Ticket da.

Bei unseren Recherchen sind wir auf mehrere illegale Shops gestoßen, die häufig über Telegram(-Bots) Deutschlandtickets anbieten – zwischen 5 und 30 Euro, nicht selten auch auf Russisch. Ein Betreiber eines solchen Kanals gibt der potenziellen Kundschaft explizite Tipps: "Für Eure und meine Sicherheit, Tickets immer mit einem kleinen Fehler im Namen erwerben". Außerdem erklärt er, warum nur Deutschlandtickets und keine ICE-Tickets angeboten werden, weil die "derzeitigen Methoden Schäden für Dritte verursachen könnten. Dies könnte zu rechtlichen Konsequenzen führen, und ich möchte vermeiden, dass irgendjemand Unannehmlichkeiten erleidet, mich eingeschlossen". Spätestens bei solchen Erklärungen dürfte den Käufern klar sein, dass es sich um illegale Angebote handelt, mal abgesehen davon, dass es keine offiziellen Verkaufskanäle für Deutschlandtickets auf Telegram unter Namen wie "DB Ticket Store" oder "D-Ticket Manager" gibt.

Bei der Untersuchung solcher betrügerischen Ticketshops entdeckten Q Misell vom Max-Planck-Institut für Informatik und andere auch die Webseite dticket.online, die sich bei genauerer Untersuchung als eine der Quellen des Zahldatenbetrugs zulasten des Rhein-Main-Verkehrsverbunds und anderen Verkehrsunternehmen herausstellte. Aufgrund von Schwachstellen im System (etwa die Nutzung von Django im Debug-Modus in der Produktionsumgebung) konnten die Sicherheitsexperten fast 1200 der im dortigen "Ticketportal" hinterlegten Tickets abrufen und analysieren. Auf dticket.online gab es zu dem Zeitpunkt der Recherche keine aktive Kauffunktion: Der Bestellen-Button führte zurück auf die Webseite. In einer archivierten Fassung der Webseite war dort jedoch ein Link auf einen Telegram-Kanal hinterlegt.

In Internet-Foren häufen sich die Fragen nach der App "Android System SafetyCore", die seit Kurzem offenbar auf vielen Smartphones stillschweigend neu installiert wird. Entwarnung vorweg: Bei der App handelt es sich nicht um Schadsoftware. Möglicherweise wollen sie aber nicht alle behalten.

Anzeige

Im Google-Play-Store erörtert der Hersteller die Funktion von Android System SafetyCore. Das Unternehmen schreibt: "SafetyCore ist ein Google-Systemdienst für Geräte mit Android 9 und neueren Fassungen. Es liefert die unterliegende Technik für Funktionen wie die kommenden Inhaltswarnungen in Google Messages, die Nutzerinnen und Nutzern helfen, sich zu schützen, sofern sie potenziell unerwünschte Inhalte erhalten." Google ergänzt: "Während das Verteilen von SafetyCore bereits im vergangenen Jahr startete, wird die Funktion "Sensible Inhalte-Warnung" in Google Messages schrittweise 2025 ausgerollt."

Google betont zudem: "Die Verarbeitung für die Funktion "Sensible Inhalte-Warnung" erfolgt auf dem Gerät und alle Bilder oder spezifische Ergebnisse und Warnungen bleiben privat bei den Nutzern." Etwas untergegangen ist ein Beitrag in Googles Sicherheits-Blog aus dem vergangenen Oktober. Darin erläutert das Unternehmen die geplanten Sicherheitsverbesserungen in Googles Messages-App.

Dort schreiben die Entwickler, dass sie "Sicherheit zu einer Top-Priorität" gemacht und "leistungsstarke, auf dem Gerät laufende, KI-basierte FIlter und fortschrittliche Sicherheit" programmiert haben, die Nutzerinnen und Nutzer vor zwei Milliarden verdächtigen Nachrichten im Monat schützen sollen. Google nennt etwa Schutz vor Betrugsnachrichten zu Paketlieferungen oder Job-Angeboten, "intelligente Warnungen" vor potenziell gefährlichen Links sowie Blockade-Möglichkeiten für Nachrichten von unbekannten internationalen Absendern.

Cisco warnt in neuen Sicherheitsmitteilungen vor Schwachstellen in Switches der Nexus-3000- und Nexus-9000-Baureihen sowie im Application Policy Infrastructure Controller (APIC). Die Nexus-Switches lassen sich dadurch lahmlegen oder Befehle unterschieben, bei Ciscos APIC sieht es ähnlich aus, es kommen aber Lücken hinzu, die Unbefugten Zugriff auf Informationen geben.

Anzeige

Am gravierendsten ordnet Cisco eine Lücke in den Cisco Nexus 3000- und 9000-Switches ein, die Angreifer durch das Senden manipulierter Ethernet-Pakete attackieren können. Die Switches müssen dafür im Standalone-Modus von NX-OS laufen, erklärt Cisco in der Warnung. Angreifer benötigen keine vorherige Authentifizierung. Als Reaktion auf solche präparierte Ethernet-Frames starten die Switches unerwartet neu, was in eine Denial-of-Service-Situation mündet (CVE-2025-20111, CVSS 7.4, Risiko "hoch").

Eine weitere Sicherheitsmitteilung von Cisco erörtert, dass authentifizierte, lokale Angreifer mit Administrator-Zugang Befehle an das unterliegende Betriebssystem einschleusen können. Das gehe auf unzureichende Prüfungen bestimmter, nicht genauer erläuterter Elemente in einem Software-Image zurück; durch das Installieren eines manipulierten Images können bösartige Akteure das missbrauchen, um Befehle im Betriebssystem als "root"-Nutzer auszuführen (CVE-2025-20161, CVSS 5.1, mittel). Admins sollten daher vor der Installation von Software-Images deren Hash-Werte prüfen.

Die dritte Sicherheitsmitteilung von Cisco befasst sich mit den Application Policy Infrastructure Controllern (APIC). Darin finden sich drei Sicherheitslücken, durch die authentifizierte Angreifer auf sensible Informationen zugreifen, beliebige Befehle ausführen und Cross-Site-Scripting-Angriffe ausführen oder Denial-of-Service provozieren können. Voraussetzung dafür sind gültige Administrator-Zugangsdaten.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Sicherheitslücken in mehreren Produkten, die bereits angegriffen werden. Laut der Behörde werden Schwachstellen in Microsofts Partner Center sowie in der Groupware Zimbra aktuell im Internet angegriffen.

Anzeige

Davor warnt die CISA in einer Sicherheitsmitteilung, die US-Behörden drei Wochen Zeit einräumt, die Lücken zu schließen. Die Sicherheitslücke im Microsoft Partner Center wurde bereits im vergangenen November bekannt. Sie erlaubt Angreifern aus dem Netz, ohne vorherige Authentifizierung ihre Rechte zu erhöhen – Zugriffsrechte wurden nicht korrekt angewendet (CVE-2024-49035, CVSS nach NIST-Einschätzung inzwischen 9.8, kritisch; Microsoft evaluiert mit CVSS 8.7 das Risiko als "hoch"). Bereits im November galt die Lücke als in freier Wildbahn angegriffen, es ist unklar, ob die CISA nun spät dran ist oder neue Attacken beobachtet wurden.

Weiter hat die CISA vor Angriffen auf die Groupware Zimbra gewarnt. Kriminelle haben eine Cross-Site-Scripting-Lücke im Visier, die Angreifern aus dem Netz nach einer Anmeldung erlaubt, beliebigen Code mit einem manipulierten Skript in der /h/autoSaveDraft-Funktion einzuschleusen (CVE-2023-34192, CVSS 9.0, Risiko "kritisch"). Betroffen war Zimbra ZCS 8.8.15, neuere Versionen bessern die Schwachstelle aus.

Die US-Behörde CISA nennt keine weiteren Informationen zu den beobachteten Angriffen auf die Sicherheitslücken. Es bleibt daher unklar, in welchem Umfang sie auftreten oder woran sie zu erkennen wären. Auch Hilfen zur Abwehr, etwa mit Hinweisen auf Kompromittierung (Indicators of Compromise, IOCs) gibt es leider nicht.

In LibreOffice klafft eine Sicherheitslücke, die Angreifer mit manipulierten Links in Dokumenten missbrauchen können. Sie können dadurch unter Windows ausführbare Dateien aufrufen und damit möglicherweise Schaden anrichten. Eine aktualisierte Version der Bürosoftware-Suite steht zum Download bereit, die die Lücke schließt.

Anzeige

Die Entwickler von LibreOffice haben eine Sicherheitsmitteilung herausgegeben, die das Problem erörtert. Die Software unterstützt eine Funktion, mit der Hyperlinks in Dokumenten mit einem Klick bei gedrückter "Strg"-Taste direkt geöffnet werden können. Unter Windows ist es möglich, dass ein Link an die Systemfunktion ShellExecute zur weiteren Verarbeitung durchgereicht wird. Ein Mechanismus in LibreOffice soll Pfade zu ausführbaren Dateien blockieren, die an ShellExecute durchgereicht werden, um zu verhindern, dass dadurch ausführbare Dateien aufgerufen werden.

Diesen Sicherheitsmechanismus können Angreifer mit sorgsam prapärieren Links in Dokumenten umgehen. Das gelingt durch die Nutzung von Nicht-Datei-URLs, die von ShellExecute als Windows-Dateipfade interpretiert werden können (CVE-2025-0514, CVSS 7.2, Risiko "hoch"). Wie solche Links aussehen würden und wie man erkennt, ob diese Lücke missbraucht wird, erörtern die Entwickler von LibreOffice jedoch nicht.

Die fehlerkorrigierten Versionen blockieren solche Umgehungsversuche. Betroffen ist LibreOffice ab Version 24.8. Die seit einigen Tage erhältliche Version 24.8.5 und neuere Fassungen weisen diesen Fehler nicht mehr auf. Die LibreOffice-Entwickler empfehlen insbesondere Windows-Nutzern, das Update auf diese oder neuere Versionen durchzuführen. Sie steht auf der Download-Seite von LibreOffice zum Herunterladen bereit.

Das Archiv der Datenleck-Such-Website Have I Been Pwned (HIBP) wächst und wächst: Jüngst haben die Verantwortlichen Zugangsdaten von rund 284 Millionen Accounts aus verschiedenen Datenkeaks hinzugefügt.

Anzeige

Auf der HIBP-Website kann man prüfen, ob die eigene E-Mail-Adresse oder Passwörter in Datenleaks auftauchen. Die Einzelsuche ist kostenlos. Neuerdings können Website-Betreiber gegen Gebühr zwei neue APIs anzapfen, um etwa von Datenleaks betroffene Kunden ausfindig zu machen.

Das Datenpaket stammt aus einem Telegram-Kanal mit der Bezeichnung ALIEN TXTBASE. Der Betreiber von HIBP Troy Hunt gibt in einem Beitrag an, die geleakten Zugangsdaten geprüft zu haben und er stuft sie als echt ein.

Infostealer verstecken sich oft in gecrackter Software von etwa Adobe. In einigen Fällen tauchen als legitime Anwendung getarnte Trojaner sogar ganz oben in den Ergebnissen einer Internetsuche auf.

Im X.org X11-Server und Xwayland wurden mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern unter Umständen etwa das Einschleusen und Ausführen von Schadcode. Die großen Linux-Distributionen verteilen bereits aktualisierte Pakete.

Anzeige

Der Entdecker der Lücken, Jan-Niklas Sohn, hat laut Ubuntu die acht Schwachstellen gemeldet. Als Zusammenfassung schreiben die Ubuntu-Maintainer, dass der X.org X-Server bestimmte Speicher-Operationen nicht korrekt gehandhabt hat: "Angreifer können diese Probleme nutzen, um den X-Server zum Absturz zu bringen, was in einen Denial-of-Service mündet, oder möglicherweise beliebigen Code ausführen." Wie solche Angriffe genauer aussehen könnten und sich erkennen ließen, erörtern die Autoren der Sicherheitsmitteilung jedoch nicht.

Ubuntu verteilt bereits aktualisierte Pakete, für Ubuntu 20.04, 22.04, 24.04 und 24.10. Nach der Installation der Updates sollen Betroffene die Systeme neu starten, um die nötigen Änderungen vornehmen zu lassen. Redhat hat ebenfalls Updates im Programm. Zum Meldungszeitpunkt scheint SUSE noch an aktualisierten Paketen zu arbeiten, auf der Debian "Security-Announce"-Mailingliste finden sich im Februar ebenfalls noch keine Hinweise auf Updates. Diese dürften jedoch in Kürze erscheinen. Admins sollten sie bei Verfügbarkeit zügig anwenden, sofern der X.Org-Server und Xwayland etwa aus Kompatibilitätsgründen noch auf den Systemen installiert sind.

Die Sicherheitslücken im Einzelnen:

Nvidias KI-Plattformen Jetson und IGX Orin sind verwundbar. Stimmen die Voraussetzungen, können Angreifer an einer UEFI-Schwachstelle ansetzen und im schlimmsten Fall Schadcode ausführen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, sind Attacken auf die Sicherheitslücke (CVE-2025-0148 "hoch") nur möglich, wenn Angreifer physischen Zugriff auf Geräte haben. Ist das gegeben, können sie an der Schwachstelle im ReCovery Mode (RCM) des Tegra-Prozessors ansetzen. Für eine erfolgreiche Attacke müssen sie über keine besonderen Nutzerrechte verfügen.

Ist ein Angriff erfolgreich, können sie unter anderem DoS-Zustände erzeugen, eigentlich abgeschottete Informationen einsehen oder sogar Schadcode ausführen. Wie ein solcher Angriff im Detail ablaufen könnte und ob es bereits Attacken gibt, ist derzeit nicht bekannt.

Die Entwickler geben an, das Sicherheitsproblem in IGX 1.1 und Jetson Linux 36.4.3 gelöst zu haben. Admins sollten diese Versionen zeitnah installieren.

Eine offenbar unzureichend gepatchte Sicherheitslücke in Parallels Desktop könnte es einem lokalen Angreifer ermöglichen, Root-Rechte in macOS zu erlangen – und damit die Kontrolle über den Computer zu übernehmen. Den zugehörigen Zero-Day-Exploit für diese Schwachstelle hat ein Sicherheitsforscher nun in zwei Varianten öffentlich preisgegeben. Er wolle damit ein Problembewusstsein schaffen und Kunden der Software dazu drängen, "Risiken proaktiv zu minimieren", betonte der Sicherheitsforscher Mickey Jin – schließlich könnten Angreifer den Fehler "in freier Wildbahn" ausnutzen.

Anzeige

Parallels Desktop ist eine Software, mit der sich andere Betriebssysteme unter macOS virtualisieren lassen, darunter Windows und Linux. Das Tool richtet sich an Privatanwender ebenso wie an den Einsatz in Firmen, um etwa eine bestimmte Windows-Software parallel auf den Macs von Mitarbeitern einsetzen zu können.

Die Exploits nutzen eine Schwachstelle, die eine Rechteausweitung ermöglicht. Dieser im vergangenen Jahr gemeldete Bug (CVE-2024-34331) wurde von Parallels Desktop mit einem Update behoben. Der Patch lasse sich aber "richtig leicht umgehen", schreibt Jin. Er habe das damals umgehend an die Zero Day Initiative (ZDI) sowie den Hersteller Parallels gemeldet. Bei letzterem sei der Eingang seines sicherheitskritischen Bug-Reports zwar bestätigt worden, anschließend habe es aber keine weitere Reaktion mehr gegeben. ZDI habe sich mehr als einen Monat Zeit gelassen und konnte den ersten Exploit dann offenbar nicht reproduzieren, weil inzwischen eine neue Parallels-Version vorlag.

Letztlich reagierte der Hersteller seit Ende Juli 2024 nicht mehr auf seine Nachfragen, so Jin – deshalb habe er sich jetzt zur Veröffentlichung entschieden.

Ein wichtiges Sicherheitsupdate schließt eine "kritische" Schwachstelle im Wordpress-Plug-in Everest Forms. Sind Attacken erfolgreich, können Angreifer Schadcode ausführen und im schlimmsten Fall die volle Kontrolle über Websites erlangen.

Anzeige

Davor warnt Wordfence in einem Beitrag. Sie geben an, dass die Lücke (CVE-2025-1128) über ihr Bug-Bounty-Programm gemeldet wurde. An der Schwachstelle sollen entfernte Angreifer ohne Authentifizierung ansetzen können. Darüber können sie Schadcode hochladen, umso mit Wordpress erstellte Internetseiten zu kompromittieren.

Everest Forms weist der Plug-in-Website zufolge mehr als 100.000 aktive Installationen auf. Damit kann man unter anderem Kontaktformulare aufsetzen. Der Fehler findet sich den Sicherheitsforschern zufolge in der EVF_Form_Fields-Upload-Klasse.

Aufgrund von unzureichenden Überprüfungen können Angreifer an dieser Stelle Schadcode hochladen und Dateien einsehen und sogar löschen. Wie solche Attacken im Detail ablaufen können, erläutert Wordfence in seinem Beitrag zur Sicherheitsproblematik.

Deutsche IT-Sicherheitsforscher aufgepasst: Im Mai dieses Jahres kommt der Pwn2Own-Wettbewerb nach Berlin. Dort nutzen Teilnehmer unter bestimmten Spielregeln in einem Zeitlimit Sicherheitslücken aus. Klappt das, können sie eine Geldprämie einstreichen. Details zu den Lücken werden unter Verschluss gehalten, bis Softwareanbieter Sicherheitsupdates fertiggestellt haben. Zum ersten Mal können sich die Teilnehmer über Anwendungen und Tools im KI-Kontext hermachen.

Anzeige

Trend Micros initialer Pwn2Own-Wettbewerb startete 2007 in Vancouver. Seitdem tourt das Event durch die ganze Welt und macht nun im Rahmen der OffensiveCon vom 15. bis 17. Mai 2025 erstmals in Berlin halt. Die Konferenz ist jedoch bereits ausverkauft, aber die Veranstalter vom Pwn2Own gehen in einem Beitrag davon aus, dass es zeitnah noch einmal Tickets geben wird.

Ziel des Wettbewerbs ist es, Geräte und Software sicherer zu machen. Dabei nehmen die Teilnehmer Sicherheitslücken in unter anderem Anwendungen, Betriebssystemen und Webbrowsern ins Visier. In diesem Jahr ist die gesamte Geldprämie auf 1 Million US-Dollar festgesetzt.

Überdies stehen noch E-Autos im Fokus. Tesla ist ein Partner des Events und regelmäßig nutzen Teilnehmer etwa Schadcodelücken in Fahrzeugen aus. Vergangenes Jahr führten die Veranstalter die Cloud-Native/Container-Kategorie ein. Dieses Jahr werden Sicherheitsforscher erstmals auf KI-Tools losgelassen. Darunter sind unter anderem Produkte von Chroma und Nvidia. Schafft es ein Teilnehmer, in diesem Kontext Schadcode auszuführen, winken maximal 40.000 US-Dollar.

IT-Forscher haben ein Botnet aus mehr als 130.000 infizierten Systemen dabei beobachtet, wie es Password-Spraying-Angriffe auf Microsoft-365-Konten ausführt. Durch das Probieren von Nutzernamen-Passwort-Kombinationen kann der Zugriff auf nur einfach gesicherte Konten gelingen.

Anzeige

Laut einer Analyse des Unternehmens SecurityScorecard haben die Angreifer insbesondere nicht-interaktive Zugänge mit sogenannter Basic-Authentication im Visier. Dadurch umgehen sie etwa Schutzmechanismen wie Mehr-Faktor-Authentifizierung (MFA). IT-Security-Teams hätten in dieser Kombination oftmals einen blinden Fleck vorzuweisen. Bei den Angriffen setzen die kriminellen Drahtzieher auf Zugangsdaten, die etwa Infostealer bei Opfern abgegriffen haben, und testen sie systematisch für viele Zugänge aus.

Den IT-Forschern zufolge haben Angreifer global mehrere Microsoft-365-Tenants derart attackiert. Das lasse auf eine weiterverbreitete und weiter bestehende Bedrohung schließen. Nicht-interaktive Log-ins dienen üblicherweise der Maschine-zu-Maschine-Kommunikation oder etwa für veraltete Protokolle wie POP, IMAP und SMTP – hierfür komme in vielen Konfigurationen keine MFA zum Einsatz. Organisationen, die lediglich auf Anmeldungs-Überwachung interaktiver Log-ins setzen, seien dafür zudem blind.

SecurityScorecard hat direkte Belege für dieses Verhalten in den nicht-interaktiven Anmelde-Protokollen entdeckt und rät allen Organisationen mit Microsoft-365-Tenants, zügig zu prüfen, ob sie ebenfalls betroffen sind. Sollte das der Fall sein, empfehlen die Autoren der Analyse, die Zugangsdaten zu allen Konten aus den Protokollen zurückzusetzen.