Comretix Blog

Die Endpoint-Management-Plattform HCL BigFix ist verwundbar. Admins sollten sicherstellen, dass ihre Systeme über die verfügbaren Sicherheitsupdates vor möglichen Attacken geschützt sind. Über eine "kritische" Lücke kann Schadcode auf Computer gelangen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, betreffen die Softwareschwachstellen verschiedene Komponenten das WebUI. Insgesamt geben die Entwickler an, 13 Lücken geschlossen zu haben. Am gefährlichsten gilt eine Lücke (CVE-2024-38996 "kritisch") über die Angreifer Instanzen via DoS-Attacke lahmlegen können. Unter Umständen kann es sogar zur Ausführung von Schadcode kommen. In so einem Fall gelten Systeme in der Regel als vollständig kompromittiert. Wie so eine Attacke im Detail ablaufen könnte, ist derzeit nicht bekannt.

Zwei Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-45590, CVE-2024-45296). An diesen Stellen können Angreifer mit präparierten Anfragen DoS-Zustände erzeugen. Die verbleibenden Schwachstellen sind mit "mittel" eingestuft. Hier können unter anderem Informationen leaken.

Ob es bereits Attacken gibt und wie Admins bereits attackierte Instanzen erkennen können, führt HCLSoftware zurzeit nicht aus. Um Systeme zu schützen, müssen Admins im WebUI sicherstellen, dass die abgesicherten Versionen der betreffenden Komponenten installiert sind:

Das FBI Atlanta hat unlängst eine Warnung herausgegeben, dass Cyberkriminelle auf Session-Cookie-Diebstahl setzen, um E-Mail-Konten zu übernehmen. Die Methode ist nicht neu, scheint aber zuzunehmen. Das Perfide daran: Auch sicherere Anmeldemethoden, etwa Passkeys oder die verschiedenen Arten der Zwei-Faktor-Authentifizierung, schützen nicht vor einer Account-Übernahme auf diesem Weg.

Anzeige

An einer Lösung für das Problem arbeitet Google schon seit einiger Zeit: Sogenannte Device Bound Session Credentials sollen künftig verhindern, dass Angreifer eine aktive Sitzung aus der Ferne übernehmen können. Die Entwicklung findet in einem öffentlichen GitHub-Projekt statt. Ziel ist die Schaffung eines offenen Webstandards. Aktive Sitzungen sollen mit Device Bound Session Credentials an das jeweilige Gerät gebunden werden. Gestohlene Cookies könnten dann nicht mehr genutzt werden, um sich aus der Ferne in einen Account einzuloggen.

Der Mechanismus erinnert ein wenig an Passkeys: Wie das Anmeldeverfahren setzt er auf Public-Key-Kryptografie: Beim Einloggen bei einem Dienst wird ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel generiert. Der private Schlüssel soll sicher auf dem jeweiligen Gerät gespeichert werden, der öffentliche Schlüssel auf dem Server des jeweiligen Webdienstes. Um den privaten Schlüssel sicher zu verwahren, wollen die Entwickler geschützte Hardwaremodule wie beispielsweise das Trusted Plattform Module (TPM) eines Windows-Rechners einspannen. Nutzer sollen einmal generierte Schlüssel jederzeit in den Browser-Einstellungen löschen können.

Bis es soweit ist, kann man sich gegen Session Cookie Diebstahl schützen, indem man sich keine Malware einfängt, die die Cookies stiehlt. Wichtig ist etwa, dass man nur über sichere Verbindungen im Netz surft und nicht auf Phishingmails hereinfällt, in denen sich etwa ein Link zum Download einer solchen Malware verbirgt. Um die Chancen weiter zu minimieren, sollte man sich immer von einem Dienst abmelden, statt einfach das Browserfenster oder den Tab zu schließen. Durch Beenden des Browsers werden aktive Sitzungen ebenfalls beendet und das Session Cookie ungültig.

Cisco hat in der Nacht zum Donnerstag 15 neue Sicherheitsmitteilungen veröffentlicht. Sie decken eine ganze Palette an Produkten ab. Darunter finden sich eine als kritisches Risiko und zwei als hochriskant betrachtete Sicherheitslücken. IT-Verantwortliche sollten prüfen, ob sie verwundbare Geräte einsetzen, und die bereitstehenden Aktualisierungen zeitnah anwenden.

Anzeige

In der Cisco Unified Industrial Wireless Software findet sich eine Schwachstelle (CVE-2024-20418), die mit einer CVSS-Einstufung 10 von 10 möglichen Punkten das höchstmögliche Risiko, "kritisch", darstellt. Sie findet sich in der webbasierten Verwaltungsoberfläche von Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points. Nicht authentifizierte Angreifer aus dem Netz können dadurch Befehle einschleusen, die mit root-Rechten im Betriebssystem ausgeführt werden. Dazu reicht das Senden manipulierter HTTP-Anfragen an die Verwaltungsoberfläche. Für die betroffenen Catalyst IW9165D Heavy Duty Access Points, Catalyst IW9165E Rugged Access Points und Wireless Clients und Catalyst IW9167E Heavy Duty Access Points stehen Updates bereit, die das Sicherheitsleck abdichten.

In Ciscos Nexus Dashboard Fabric Controller können angemeldete Angreifer aus dem Netz, die lediglich Leserechte besitzen, zudem eine SQL-Injection-Schwachstelle in einem REST-API-Endpunkt sowie in der webbasierten Verwaltungsoberfläche missbrauchen, um beliebige SQL-Befehle auf verwundbaren Geräten zu missbrauchen. Das ermöglicht ihnen, beliebige Daten einer internen Datenbank zu lesen, verändern oder zu löschen, was "Auswirkungen auf die Verfügbarkeit" angegriffener Geräte haben kann (CVE-2024-20536, CVSS 8.8, hoch).

Ebenfalls als hohes Risiko betrachten Ciscos Entwickler eine Denial-of-Service-Lücke in Ciscos Enterprise Chat und Email. Nicht authentifiziertebösartige Akteure aus dem Netz können die Schwachstelle in der External Agent Assignment Service (EAAS)-Funktion provozieren, indem sie speziell präparierten Media Routing Peripheral Interface Manager (MR PIM)-Traffic an verwundbare Geräte senden (CVE-2024-20484, CVSS 7.5, hoch).

Microsoft hat Probleme mit gestörten Office-Apps gemeldet, die nach einem Upgrade auf Windows 11 24H2 auftreten können. Ursache dafür war Sicherheitssoftware von Crowdstrike.

Anzeige

Die bislang kaum beachtete Mitteilung von Microsoft geht bereits auf Mitte Oktober zurück. "Office-Apps können betroffen sein. Das Problem tritt auf, wenn Antimalware-Sicherheitslösungen bestimmte Funktionen aktivieren", fassen die Entwickler von Microsoft das Problem zusammen.

"Nach der Installation von Windows 11 24H2, können Microsoft- und Dritthersteller-Apps nicht mehr reagieren, wenn Antimalware-Sicherheitslösungen bestimmte Funktionen aktivieren. Office-Anwendungen wie Word und Excel können betroffen sein", schreiben die Autoren. Auf betroffenen Geräten laufe Crowdstrikes Falcon-Sensor mit der aktivierten Richtlinie "Enhanced Exploitation Visibility" in der Prevention-Richtlinie für den Host.

Die meisten betroffenen Organisationen berichteten Microsoft zufolge, dieses Verhalten nach InPlace-Upgrades und Neuinstallationen von Windows 11 24H2 beobachtet zu haben. Microsoft untersuche, ob das Problem mit vorherigen Windows-Versionen und anderer Dritthersteller-Sicherheitssoftware auftreten könne. Es seien lediglich Organisationen und IT-Umgebungen betroffen, die verwaltet werden. Nutzerinnen und Nutzer von Home- oder Pro-Versionen von Windows, die nicht von einer IT-Abteilung verwaltet werden, würden das Verhalten wahrscheinlich nicht beobachten.

"Mehr als 22.000 schädliche IP-Adressen offline genommen", feiert Interpol. Die Koordinierungseinrichtung hat Zusammenarbeit von Polizeibehörden in 95 Ländern organisiert, die fünf Monate lang gemeinsam gegen Phishing, Infostealer und Ransomware vorgegangen sind. Dabei haben sie 59 Server beschlagnahmt und 41 Personen festgenommen. Das sind annähernd 0,003 Festnahmen pro Tag und Land.

Anzeige

Zusätzlich zu den 59 Servern wurden 43 elektronische Geräte, darunter Laptops, Handys und Festplatten, beschlagnahmt, elf davon in Madagaskar. Gegen 65 weitere Personen wird noch ermittelt. Interpol nennt die Kampagne "Operation Synergia II".

Immerhin dürfte die Zahl der dabei offline genommenen (aber nicht beschlagnahmten) Server im fünfstelligen Bereich liegen. Genaue Angaben macht Interpol dazu nicht; die Organisation hebt lediglich fünf Gebiete hervor: In Hongkong wurden demnach 1.037 Server offline genommen, nebenan in Macao weitere 291. Aus Estland wird über die Beschlagnahme von "80 GByte Serverdaten" berichtet. In der Mongolei gab es 21 Hausdurchsuchungen, einen beschlagnahmten Server und 93 Verdächtige. Madagaskar zählt elf beschlagnahmte elektronische Geräte und hat ebenso viele Personen ausgemacht, die "Verbindung" zu Malware-Servern haben sollen.

Einbezogen in die Operation Synergia II waren die IT-Sicherheitsunternehmen Group-IB, Trend Micro, Kaspersky und Team Cymru. Sie haben verdächtige Aktivitäten gemeldet, die von insgesamt 30.000 IP-Adressen ausgegangen sind. Davon haben die 95 teilnehmenden Interpol-Mitgliedsstaaten zwei Drittel stillgelegt. Interpol hat 196 Mitglieder, von Afghanistan bis Vietnam. Welche davon sich beteiligt haben, sagt die Koordinierungseinrichtung nicht.

Das Landgericht Aachen hat die Berufung des von Software-Anbieter "Modern Solution" angezeigten und anschließend verurteilten Programmierers am Montag als unbegründet abgewiesen. Damit hat das Urteil der Vorinstanz Bestand. Das Urteil ist aber noch nicht rechtskräftig und die Verteidigung teilte heise online mit, in Revision gehen zu wollen (LG Aachen Az 74 NBs 34/24).

Anzeige

Der Programmierer war im Januar vom Amtsgericht Jülich zu einer Geldstrafe von 3000 Euro verurteilt worden, weil er sich im Zuge der Enthüllung einer Sicherheitslücke des unbefugten Zugriffs auf fremde Computersysteme und Ausspähens von Daten schuldig gemacht hatte (AG Jülich Az 17 Cs 55/23). Modern Solution hatte den Experten angezeigt, anstatt ihn für das Finden der Sicherheitslücke zu belohnen.

Der in diesem Fall angeklagte freiberufliche IT-Dienstleister hatte im Juni 2021 für einen Kunden die Software der Gladbecker Firma Modern Solution wegen eines Datenbankfehlers untersucht. Dabei entdeckte er eine gravierende Sicherheitslücke, die den Zugriff auf persönliche Daten von knapp 700.000 Online-Shop-Kunden ermöglichte. Der Programmierer veröffentlichte die Existenz der Sicherheitslücke, nachdem diese durch die Firma behoben worden war, mithilfe eines in der E-Commerce-Branche einschlägigen Blogs. Einige Monate später durchsuchte die Polizei seine Geschäftsräume und beschlagnahmte sein Arbeitsmaterial.

Das Amtsgericht Jülich hatte den Fall 2023 zuerst abgelehnt. In der von der Staatsanwaltschaft Köln eingelegten Berufung entschied das Landgericht Aachen, dass die Richter in Jülich den Fall neu zu verhandeln hätten. In der Verhandlung Anfang des Jahres wollte die Staatsanwaltschaft dem Angeklagten nachweisen, mit einem Dekompilierer ein Passwort aus der Modern-Solution-Software extrahiert zu haben.

Beim Industrietechnologie-Unternehmen Schneider Electric kam es offenbar zu einem Cybervorfall. Kriminelle geben an, in die IT-Systeme des Unternehmens eingebrochen zu sein und dort große Mengen an Daten entwendet zu haben. Sie fordern Lösegeld.

Anzeige

Im Darknet hat die kriminelle Gruppierung Hellcat eine Lösegeldforderung an Schneider Electric gestellt. Hier gewünschte Währung: Baguettes.

(Bild: Screenshot / dmk)

Im Darknet-Auftritt der kriminellen Online-Gruppe Hellcat haben die Täter eine Lösegeldforderung veröffentlicht. Demnach haben sie Zugriff auf das Atlassian-Jira-System von Schneider Electric erlangt und daraus kritische Daten, einschließlich Projekten, Problemen und Plug-ins sowie 400.000 Datenbankzeilen an Nutzerdaten mit einem Gesamtumfang von mehr als 40 GByte an komprimierten Daten abgezogen.

Eine neuartige Angriffskette haben IT-Forscher von Securonix entdeckt. Die Malware besteht dabei aus einer emulierten Linux-Umgebung, die die Angreifer als Backdoor auf kompromittierte Systeme installieren.

Anzeige

Wie die Securonix-Mitarbeiter in einer detaillierten Analyse beschreiben, setzen die Angreifer auf einer QEMU-Linux-Box auf, um Persistenz auf den Endpoints zu erlangen, in die sie einbrechen konnten. Der Angriff selbst erfolgt dabei mit Phishing-E-Mails, die Opfer zum Herunterladen und Ausführen der Malware verleiten sollen.

Die Analyse startet bei einer Phishing-Kampagne, die eine bösartige .lnk-Datei verteilt. Bei der Ausführung entpackt die Datei eine leichtgewichtige, angepasste Linux-Umgebung, die in einer QEMU-Emulation läuft. Die kommt mit einer vorkonfigurierten Backdoor daher, die sich auf einen von den Angreifern kontrollierten Command-and-Control-Server (C2) verbindet. Das erlaube den Angreifern, versteckt auf den Maschinen der Opfer aktiv zu bleiben und weitere bösartige Aktionen in der verdeckten Umgebung auszuführen – deren Erkennung durch Antivirensoftware dadurch massiv erschwert werde. Insbesondere, da QEMU in der Softwareentwicklung und Forschung häufig anzutreffen sei, löst dessen Anwesenheit keinen Sicherheitsalarm aus, erörtert Securonix.

In ihrer Analyse gehen die IT-Forscher in die Details. Vermutlich stehen Opfer in den USA im Fokus, da die entdeckten Phishing-E-Mails einen Link auf eine ZIP-Datei enthielten, die auf eine Umfrage hindeute. Die ZIP-Datei und der enthaltene Shortcut hießen "OneAmerica Survey.zip" respektive "OneAmerica Survey.lnk". Der Umfang der ZIP-Datei war mit 285 MByte ungewöhnlich groß für ein Phishing-Dokument. Nach dem Entpacken des ZIPs bleibt ein Verzeichnis "data" mit dem vollständigen QEMU-Installationsverzeichnis und die Verknüpfung "OneAmerica Survey". Die .lnk-Datei ruft die Powershell auf und führt einen einfachen Befehl aus, der die ZIP-Datei in ein Verzeichnis im Benutzerverzeichnis extrahiert und schließlich die Datei "start.bat" aus diesem neuen Unterverzeichnis startet.

Wer Googles Cloud Platform (GCP) nutzt, benötigt zur Anmeldung neben seinem Passwort demnächst noch einen Code. Um Accountübernahmen durch Angreifer einzudämmen, will Google das Anmeldeverfahren härten und auf eine obligatorische Multi-Faktor-Authentifizierung (MFA) umstellen. Der Prozess startet ab sofort und soll im Laufe des Jahres 2025 für jeden Cloud-Nutzer verpflichtend sein.

Anzeige

Das geht aus einem aktuellen Blogbeitrag von Google hervor. Ab sofort sollen Hinweise in der Google-Cloud-Konsole auf MFA aufmerksam machen und ausführen, warum die Umstellung für die Sicherheit von Konten wichtig ist.

Hat ein Angreifer derzeit Zugriff auf Log-in-Daten, kann er einen Account vergleichsweise einfach kapern. Ist MFA aktiv, reicht die alleinige Eingabe eines Passworts nicht mehr aus, um auf ein Konto zuzugreifen. Für den Zugriff ist dann zusätzlich ein MFA-Code nötig, den etwa eine Authenticator-App erzeugt. Demzufolge kann ein Angreifer ein Passwort kennen, das Einloggen ist aber ohne den MFA-Code nicht möglich.

Anfang 2025 will Google mit dem Rollout von MFA für existierende Konten starten. Neue Nutzer können ab dann nur noch Accounts mit MFA erstellen. Bis zum Ende des Jahres 2025 soll das Anmeldeverfahren für alle Cloud-Nutzer verpflichtend sein. Google gibt an, dass sie mit Geschäftskunden und Identitätsprovidern zusammenarbeiten, um die MFA-Umstellung so reibungslos wie möglich zu gestalten. Derzeit sollen bereits rund 70 Prozent der Cloud-Kunden MFA nutzen.

Der zweitägige Online-Workshop Windows 11 im Unternehmen absichern zeigt, wie Sie die Betriebssysteme Windows 11 Pro und Enterprise sicher im Unternehmensnetz betreiben. Dabei werden sowohl klassische On-Premise-Installationen von Windows 11 als auch hybride Modelle in Kombination mit Entra ID und Microsoft Endpoint Manager (Intune) berücksichtigt.

Anzeige

Anhand praktischer Demonstrationen typischer Bedrohungsszenarien lernen Sie Schwachstellen und die typischen Werkzeuge von Angreifern kennen und stellen diesen konkrete Härtungs- und Schutzmaßnahmen gegenüber. Microsoft bietet hierfür sinnvolle Sicherheitsfunktionen an, die jedoch nicht automatisch aktiv sind, sondern erst konfiguriert werden müssen. In diesem Workshop lernen Sie, wie Sie die Sicherheitsmechanismen und -tools einsetzen, um Ihre Systeme abzusichern. Dieser Workshop bietet viel Raum für Fragen und Austausch.

Referent Christian Biehler ist Experte für Informationsmanagement und IT-Sicherheit. Seine Themenschwerpunkte sind die Sicherheit von Netzwerken und Anwendungen sowohl in klassischen On-Premise-Umgebungen als auch im hybriden Windows-Umfeld.

Kanadische Behörden haben einen verdächtigen Mann verhaftet, der hinter den Einbrüchen und Datenklau beim Cloud-Anbieter Snowflake stecken soll. In 165 Kundenkonten soll er eingebrochen sein.

Anzeige

Wie Bloomberg berichtet, haben die Kanadier den Verdächtigen Alexander M. auf Bitten der USA mit einem vorläufigen Haftbefehl bereits am 30. Oktober des Jahres verhaftet. Das habe das kanadische Justizministerium verlautbart. Am Dienstag sollte er dem Richter vorgeführt werden.

Die Anklagegründe blieben vorerst unklar. Auslieferungsanträge seien vertrauliche zwischenstaatliche Kommunikation, wozu er keinen Kommentar abgeben könne, sagte ein Sprecher des kanadischen Justizministeriums gegenüber Bloomberg. Zwei anonym bleibende Menschen hätten den Verdächtigen M. jedoch als die Person hinter den Snowflake-Angriffen identifiziert.

Der Verdächtige soll Konten von AT&T, Ticketmaster und zahlreichen weiteren geknackt und Daten davon kopiert sowie die Unternehmen erpresst haben. Laut 404media erschien er ohne Anwalt vor dem Gericht, das über seine Auslieferung entscheidet. Er war demnach telefonisch aus dem Gefängnis in die Anhörung zugeschaltet und gab an, keinen Anwalt beauftragt zu haben, da das Gefängnis in einem Lockdown war. Ein anwesender Anwalt gab an, von M.s Familie kontaktiert worden zu sein, um zu schauen, ob der Verdächtige ihn behalten wolle. Nach einer kurzen Sitzungsunterbrechung kehrte das Paar zurück und äußerte, dass M. Prozesskostenhilfe beantrage. Am Ende der Sitzung antwortete der Verdächtige auf die Frage, ob er noch etwas hinzuzufügen hätte: "Nichts weiter."

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

HPE Aruba warnt vor kritischen Sicherheitslücken, die die Access Points betreffen. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung beliebigen Code einschleusen und ausführen. Aktualisierte Software soll die Schwachstellen ausbessern. IT-Verantwortliche sollten sie zügig installieren.

Anzeige

In der Sicherheitsmitteilung schreiben die HPE-Aruba-Entwickler, dass die Updates insgesamt sechs Sicherheitslücken stopfen. Der Schweregrad von zweien ist kritisch, drei stufen die Entwickler als hohes Risiko ein und eine gilt noch als mittleres Risiko.

Durch das Senden sorgsam präparierter Netzwerkpakete können Angreifer eine Schwachstelle im PAPI-Protokoll missbrauchen, um Befehle an den darunterliegenden Command-Line-Interface-Dienst (CLI) zu schmuggeln. Das führt zur Ausführung beliebigen Codes mit Rechten eines privilegierten Users im Betriebssystem (CVE-2024-42509, CVSS 9.8, Risiko "kritisch"). Eine weitere Sicherheitslücke hat eine identische Beschreibung (CVE-2024-47460, CVSS 9.0, kritisch).

Angemeldete Nutzerinnen und Nutzer können im Instant AOS-8- sowie AOS-10-Betriebssystem ebenfalls Befehle an den CLI-Dienst durchstechen. Auch das führt zur Ausführung von eingeschleustem Code und kann zur vollständigen Kompromittierung des Betriebssystems führen (CVE-2024-47461, CVSS 7.2, hoch). Außerdem können authentifizierte User beliebige Dateien in Instant AOS-8 und AOS-10 erstellen. Dadurch ist es Angreifern möglich, beliebigen Code auszuführen (CVE-2024-47462, CVE-2024-47463, CVSS 7.2, hoch). Nicht autorisierter Dateizugriff ist aufgrund einer Path-Traversal-Schwachstellte möglich, wodurch angemeldete Nutzerinnen und Nutzer in Instant AOS-8 und AOS-10 beliebige Dateien kopieren können (CVE-2024-47464, CVSS 6.8, mittel).

Synology hat weitere Sicherheitsmitteilungen zu teils kritischen Sicherheitslücken in den NAS-Systemen des Herstellers veröffentlicht. Diese wurden im Rahmen des Pwn2Own-Wettbewerbs in Irland entdeckt, der Ende Oktober stattgefunden hat.

Anzeige

Die Sicherheitslücken betreffen demnach Synology DSM, Synology Drive Server, Synology Replication Service und Synology BeeStation. Bis auf die Sicherheitslecks in Drive Server, die von Synologys Entwicklern als "wichtig" eingestuft wurde, gelten alle Schwachstellen als kritisches Sicherheitsrisiko. CVE-Schwachstelleneinträge wurden noch nicht vergeben oder veröffentlicht, eine Bewertung nach CVSS-System fehlt ebenfalls.

Die Schwachstellen deuten die Sicherheitsmitteilungen nur vage an. In Synology Beestation können Angreifer aus dem Netz demnach beliebigen Code ausführen, bestimmte Dateien lesen oder Man-in-the-Middle-Angreifer bestimmte Dateien schreiben. Betroffen sind Beestation 1.0 und 1.1, das Upgrade auf 1.1-65374 oder neuer korrigiert die Fehler. Der Replication-Service hingegen ermöglicht Angreifern aus dem Netz, beliebige Befehle auszuführen. DSM 7.1 und 7.2 sind dafür anfällig, das Update auf Version 1.2.2-0353 sowie 1.3.0-0423 oder jeweils neuer korrigiert die Fehler. Für das verwundbare DSMUC 3.1 soll innerhalb von 30 Tagen ein Sicherheitsupdate erscheinen.

Fünf Sicherheitslücken in Synology DSM ermöglichen Angreifern aus dem Netz ebenfalls, Schadcode auszuführen, bestimmte Dateien auszulesen oder Angreifern in Man-in-the-Middle-Position, an Admin-Sessions zu gelangen oder bestimmte Dateien zu schreiben. Lediglich für DSM 7.2 steht die fehlerbereinigte Version 7.2.2-72806-1 oder neuer bereit, für die verwundbaren DSM 7.1 und DSMUC 3.1 sollen innerhalb der nächsten 30 Tage Aktualisierungen erscheinen. Die immerhin als "wichtig" eingestufte Lücke in Synology Drive Server ermöglicht Angreifern aus dem Netz, Web-Sessions zu übernehmen und SQL-Befehle einzuschleusen. DSM 7.2 enthält ab Fassung 3.5.1-26102 den Fehler nicht mehr, für DSM 7.1 ist ein Update in den kommenden 30 Tagen angekündigt.

In Veritas Netbackup klafft eine Sicherheitslücke, die Angreifern das Ausweiten ihrer Rechte an verwundbaren Systemen ermöglicht. Betroffen ist die Software unter dem Windows-Betriebssystem.

Anzeige

In einer Sicherheitsmitteilung warnt Veritas, dass Angreifer, die Schreibzugriff auf das Systemlaufwerk haben, auf dem Netbackup installiert ist, eine bösartige DLL installieren können. Beim Ausführen bestimmter Netbackup-Befehle durch den Nutzer oder etwa dem Überzeugen anderer Nutzer mittels Social Engineering, diese Befehle auszuführen, werde die bösartige DLL geladen und so Code der Angreifer im Sicherheitskontext der Benutzer ausgeführt.

Eine CVE-Nummer haben die Entwickler erst beantragt, sie wurde noch nicht vergeben. Der CVSS-Wert beträgt 7.8, was einem hohen Risiko entspricht. Betroffen sind Netbackup Primary Server, Media Server und Clients, die in Windows laufen, in den Versionen 10.0, 10.0.0.1, 10.1, 10.1.1, 10.2, 10.2.0.1, 10.3, 10.3.0.1, 10.4 und 10.4.0.1. Ältere VErsionen können ebenfalls verwundbar sein, erhalten jedoch keine Unterstützung mehr, erklärt Veritas.

Veritas empfiehlt, die Version Netbackup 10.5, oder 10.4.0.1 und den zugehörigen Hotfix oder 10.3.0.1 und den dazu gehörenden Hotfix zu installieren. Sollte ein Update noch nicht möglich sein, gebe es zudem eine temporäre Gegenmaßnahme. Im Wurzelverzeichnis des Laufwerks, auf dem Netbackup installiert ist, soll ein Verzeichnis namens "bin" erstellt und der Zugriff darauf auf administrative Nutzer beschränkt werden. Wenn Netbackup auf dem Laufwerk C: installiert ist, wäre das Verzeichnis C:\bin derart anzulegen.

Die Android-Updates für den November-Patchday hat Google jetzt freigegeben. Insgesamt 17 hochriskante Lücken schließt der Patch-Level 2024-11-01, dazu kommen noch vier Schwachstellen, die Google-Play-Systemupdates korrigieren. Der Patchlevel 2024-11-05 bessert noch eine kritische Lücke in Qualcomm-Closed-Source-Komponenten sowie 22 Lücken mit hohem Risiko in Dritthersteller-Treibern und -Komponenten, die von den Herstellern der eingesetzten SoCs stammen.

Anzeige

Die Entwickler von Google schreiben im Security-Bulletin zum Patchday, dass die gravierendste mit den Updates geschlossene Sicherheitslücke in der System-Komponente lauert. Sie hat ein hohes Risiko und kann Angreifern das Ausführen von Code aus dem Netz ohne zusätzliche Ausführungsrechte erlauben. Sie gehört zu dem Patch-Level 2024-11-01. Darin schließt Google zudem sieben Sicherheitslücken im Framework, einige betreffen alle Android-Versionen: 12, 12L, 13, 14 und 15. Insgesamt zehn Lecks stopfen die Programmierer zudem in der System-Komponente. Die vier Lücken, die die Google Play System-Updates ausbessern, zählen zu de Project-Mainline-Komponenten und betreffen die Module Documents-UI, Mediaprovider, Permission-Controller und WiFi.

Der Patchlevel 2024-11-05 korrigiert noch weitere sicherheitsrelevante Fehler. Zwei hochriskante Lecks sind im Kernel und betreffen die Net- und Binder-Komponente. Der LTS-Kernel, der zu Android 12 gehört, wurde zudem auf die Versionen 5.4.274 respektive 4.19.312 aktualisiert. Sicherheitslücken bessert die neue Software zudem in den PowerVR-GPUs von Imagination Technologies sowie in Mediatek- und Qualcomm-Komponenten aus.

Auch die Hersteller der Prozessoren und SoCs, die in Android-Smartphones zum Einsatz kommen, haben eigene Sicherheitsmitteilungen veröffentlicht. Qualcomm listet etwa die Sicherheitslücken auf, die mit Patchlevel 2024-11-05 geschlossen werden, ergänzt jedoch weitere Informationen wie betroffene Prozessoren. Samsung führt eine längere Reihe an CVE-Schwachstelleneinträgen auf, die das Security Maintenance Release (SMR) im November korrigiert. Zudem hat Mediatek eine Liste an Sicherheitslücken zusammengestellt, die im November geschlossen werden – davon sind lediglich zwei als hohes Risiko eingestuft, zahlreiche erhalten die Einordnung als mittlerer Bedrohungsgrad.

Dass Kriminelle sich der künstlichen Intelligenz bedienen, um Malware oder geschliffenere Texte für Social-Engineering-Angriffe zu erstellen, ist hinlänglich bekannt. Nun haben unabhängig zwei Unternehmen, Google und Greynoise, Erfolge auf der anderen Seite gemeldet: Sie haben Sicherheitslücken mit KI aufgespürt.

Anzeige

Google schreibt in einem Blog-Beitrag, dass die Entwickler an einem Projekt namens Naptime gearbeitet und dabei evaluiert haben, ob sie Large Language Models (LLM) für offensive Sicherheit einsetzen können. Der inzwischen im Nachfolgeprojekt daraus resultierende "Big Sleep Agent" hat nun einen von Angreifern missbrauchbaren Puffer-Unterlauf in der weit verbreiteten, quelloffenen SQLite-Datenbank-Engine entdeckt. Die Zero-Day-Lücke konnte dadurch gemeldet und von den Entwicklern geschlossen werden, bevor sie in einem offiziellen Release öffentlich wurde, und so zum Schutz von Nutzerinnen und Nutzern beitragen. Das sei das erste öffentliche Beispiel einer KI, die einen zuvor unbekannten ausnutzbaren Speicher-Sicherheitsfehler in einer oft genutzten Real-World-Software entdeckt habe, glauben Googles Autoren.

Das IT-Sicherheitsunternehmen Greynoise nutzt ein KI-gestütztes System namens Sift, um täglich rund zwei Millionen HTTP-Ereignisse auf etwa 50 einzudampfen, auf die IT-Analysten einen konkreten Blick werfen sollten. Das System hat aus dem Rauschen Malware herausgefischt, mit der ausführbare Skripte auf Servern (/cgi-bin/param.cgi) angegriffen wurden.

Bei der Untersuchung dieser von KI herausgefilterten Ereignisses haben sich veritable, offenbar bereits angegriffene Zero-Day-Sicherheitslücken in recht hochpreisigen Pan-Tilt-Zoom-Kameras (PTZ) des OEM-Herstellers ValueHD Corporation (VHD) gefunden, die mit Netzwerkschnittstellen ausgestattet sind; die Geräte sind etwa unter dem Namen PTZOptics PT30X-SDI/NDI im Umlauf. Das mündete in zwei CVE-Einträgen, CVE-2024-8957 mit CVSS 9.8 als kritisches Risiko bewertet, sowie CVE-2024-8956, CVSS 9.1, ebenfalls kritisch. Am Montag dieser Woche hat die US-amerikanische IT-Sicherheitsbehörde CISA die beiden Lücken folgerichtig in den Katalog der Known-Exploited-Vulnerabilities aufgenommen.

Wer IT-Sicherheitslücken aufspüren und schließen will, soll dafür keine Strafe riskieren. Dies sicherzustellen ist Ziel eines Entwurfs für eine Reform des Computerstrafrechts aus dem Bundesjustizministerium, der zur Stellungnahme an Länder und Verbände verschickt wurde. Der Entwurf sieht zugleich vor, dass das Ausspähen und Abfangen von Daten in besonders schweren Fällen in Zukunft härter bestraft werden soll als bisher.

Anzeige

Ein besonders schwerer Fall im Sinne des Entwurfs liegt in der Regel dann vor, wenn der Täter aus Gewinnsucht handelt, gewerbsmäßig oder als Mitglied einer Bande agiert oder wenn mit der Tat ein großer Verlust von Vermögen für den Betroffenen einhergeht. Ebenfalls von der geplanten Verschärfung erfasst werden sollen beispielsweise Fälle, in denen – etwa aus dem Ausland – die Funktionsfähigkeit der kritischen Infrastruktur oder die Sicherheit der Bundesrepublik oder eines Bundeslandes beeinträchtigt wird. Der Strafrahmen soll auf drei Monate bis fünf Jahre Haft erhöht werden. Aktuell kann das Ausspähen von Daten mit einer Freiheitsstrafe von bis zu drei Jahren und das Abfangen von Daten mit bis zu zwei Jahren Haft bestraft werden.

Bei Sicherheitsforschern, die in guter Absicht in IT-Systeme eindringen, um für einen besseren Schutz dieser Systeme zu sorgen, sollen den Angaben zufolge drei Voraussetzungen erfüllt sein müssen, damit ihr Verhalten als nicht strafbar gilt. Erstens muss das Eindringen in der Absicht erfolgt sein, eine Sicherheitslücke festzustellen. Zweitens muss die Absicht bestehen, eine verantwortliche Stelle, die diese Lücke schließen kann, darüber zu informieren. Drittens muss diese Handlung erforderlich sein, um eine Sicherheitslücke festzustellen.

"Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt", sagt Bundesjustizminister Marco Buschmann (FDP). Denn Cyberkriminelle und fremde Mächte könnten solche Lücken als Einfallstore nutzen, etwa um Krankenhäuser, Verkehrsunternehmen oder Kraftwerke lahmzulegen, persönliche Daten auszuspionieren oder Unternehmen zu ruinieren.

In ManageEngine ADManager Plus klafft eine Sicherheitslücke, die Angreifern unbefugten Zugriff ermöglicht. Sie können beliebige SQL-Abfragen einschleusen. Eine Softwareaktualisierung steht bereit, die das Sicherheitsleck stopft.

Anzeige

Im am heutigen Montag veröffentlichten CVE-Eintrag CVE-2024-48878 zur ManageEngine-Schwachstelle ordnen die Entwickler die Lücke als hohes Risiko mit einem CVSS-Wert von 8.3 ein. Im Archived Audit Report vom Admanager Plus findet sich die verantwortliche SQL-Injection-Lücke. "Diese Schwachstelle kann authentifizierten Angreifern erlauben, eigene Abfragen auszuführen und unbefugten Zugriff auf Datenbank-Tabellen-Einträge durch die verwundbare Anfrage zu erlangen", erklären die ManageEngine-Entwickler in einer Sicherheitsmitteilung.

Der sicherheitsrelevante Fehler betrifft ManageEngine ADManager Plus in Version 7241 und ältere Fassungen. Die Build-Nummer 7250 soll den Fehler ausbügeln, erklären die Autoren der Sicherheitsmitteilung. Laut den Release-Notes ist die Version 7250 zusammen mit 7251 bereits Anfang Oktober erschienen. Sie nennen jedoch keine sicherheitsrelevanten Änderungen in den neuen Versionen.

Admins können das Service-Pack respektive inzwischen eine neuere Version von der ADManager-Plus-Service-Pack-Seite herunterladen. Da der Hersteller die Lücke als hochriskant einstuft, sollten IT-Verantwortliche das Update rasch anwenden, um die Angriffsfläche für bösartige Akteure zu minimieren.