Comretix Blog

Ein angebliches Datenleck bei der Spieleplattform Steam soll 89 Millionen Datensätze enthalten – ein Unbekannter versucht seit vergangenem Samstag, sie im Darknet für 5.000 US-Dollar zu verkaufen. Doch die Resonanz ist mau und die Brisanz der Daten fraglich.

Im Darknet kursieren immer wieder Daten aus Angriffen gegen Spielepublisher und Vertriebsplattformen. Besonders begehrt: Marktführer Steam, der über 130 Millionen Kunden vorweisen kann. Neben Kreditkarten- oder Paypal-Zahlungsinformationen gibt es für Kriminelle in Steam-Konten auch virtuelle Sammelgegenstände zu erbeuten, die erkleckliche Summen einbringen können. Das Verkaufsangebot des Nutzers "Machine1337" in einem einschlägigen Forum sorgte daher schnell für Aufregung im Clearweb: 89 Millionen Datensätze wollte er erbeutet haben und nun für 5.000 Dollar verkaufen.

Auf Darknet-Marktplätzen steht das Wort "Datensatz" (engl. Record) oft für einzelne Datenzeilen, nicht jedoch für unterschiedliche Konten. So auch hier: Was Machine1337 feilbietet, sind offenbar Protokolle des Versands von Zwei-Faktor-SMS an Steam-Nutzer. In einer dreitausend Zeilen umfassenden Testdatei finden sich etwa 1.800 verschiedene portugiesische Rufnummern sowie Metadaten über den Versand, dessen Kosten und der Text der versendeten SMS. Die Authentizität der Daten lässt sich nicht unabhängig überprüfen, auf den ersten Blick sieht die Datei jedoch plausibel aus.

Fein säuberlich inklusive Sortiermöglichkeit: Im Excel finden sich SMS-Codes und Rufnummern, jedoch keine Zugangsdaten.

(Bild: heise security)

Unbekannte haben sich Ende März Zugriff auf Online-Konten des Portals der Bundesagentur für Arbeit (BA) verschafft. Einen entsprechenden Cyberangriff hat die Bundesregierung in einer jetzt veröffentlichten Antwort auf eine Anfrage der AfD-Fraktion bestätigt. Die Zugangsdaten sind demnach mittels kompromittierter private Endgeräte abgegriffen worden, nicht über Systeme der Nürnberger Behörde. Insgesamt seien 831 Accounts von Leistungsempfängern durch Dritte angegriffen worden. In 121 davon sei es den Cyberkriminellen gelungen, die Internationale Bankkontonummer (IBAN) zu ändern.

"Von diesen 121 Online-Accounts befanden sich vier in einem laufenden, aktiven Leistungsbezug", berichtet das zuständige Bundesinnenministerium. Nach derzeitigem Kenntnisstand sei der BA und den Leistungsempfängern aber "kein Schaden" entstanden. Die Agentur habe alle von der Cyberattacke umfassten Profile deaktiviert und verhindert, "dass es zu unrechtmäßigen Zahlungen an Dritte gekommen ist".

Ob die Urheber des Online-Angriffs möglicherweise der Organisierten Kriminalität zuzuordnen sind, vermag die Exekutive nicht zu sagen. Die Arbeitsagentur habe Strafanzeige erstattet. Erkenntnisse aus dem Ermittlungsverfahren lägen ihr bislang aber nicht vor. Die Behörde könne grundsätzlich nicht verhindern, dass unbekannte Dritte Zugangsdaten bei Nutzern des Online-Portals entwendeten. Seit dem 24. April 2025 seien Online-Änderungen der Bankverbindung aber nur noch mit der BundID und dem damit verknüpften Vertrauensniveau "substanziell" möglich.

Seit dem 29. April 2025 müssen alle Online-Accounts verpflichtend einen zweiten Faktor für die Anmeldung im Portal der Agentur nutzen, teilt die Regierung weiter mit. Für diese Form der Authentifizierung kämen neben der 2024 bei der BA eingeführten BundID etwa Passkeys mit einem biometrischen Verfahren oder Time-based one-time Passwords (TOTP) infrage. Die Nürnberger Behörde hatte zuvor nur eine Mehr-Faktor-Authentifizierung empfohlen.

Die BA selbst informierte Ende März zunächst nur darüber, dass sie aufgrund des Angriffs im Bereich der persönlichen Daten auf allen Online-Accounts derzeit eine "technische Wartungsseite" eingerichtet habe. Dies wirke sich auf Kunden aus, die online Leistungen wie das Arbeitslosengeld neu beantragen wollten. Die Agentur bat Betroffene daher übergangsweise, die Daten in ihrer jeweiligen Dienststelle wie einem Jobcenter erfassen zu lassen. Neben der Polizei habe man die Bundesdatenschutzbeauftragte und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ins Boot geholt.

Ein neuer Angriffstyp auf Intel-Prozessoren ermöglicht das Auslesen von Passwörtern, selbst wenn alle bisherigen Schutzmechanismen gegen Spectre-artige Angriffe aktiv sind. Die Computer Security Group (Comsec) der ETH Zürich nutzt dazu eine Eigenheit in Intels Sprungvorhersage aus. Sie nennt die Sicherheitslücke Branch Predictor Race Conditions (BPRC) und den Angriffstyp Branch Privilege Injection (BPI).

Wie schon der Angriffstyp Training Solo erfordert BPI physischen Zugriff auf ein System. Daher sind die zugehörigen CVE-Nummern CVE-2024-43420, CVE-2025-20623 und CVE-2024-45332 nur mit dem Schweregrad Medium bewertet. AMD- und ARM-Prozessoren sind nicht betroffen. BPI stellt vor allem bei Cloudservern ein Risiko dar, auf denen Anwendungen beziehungsweise Container und virtuelle Maschinen unterschiedlicher Anwender parallel laufen. Bei privat genutzten Desktop-PCs und Notebooks steigert BPI nach derzeitiger Kenntnis das Malware-Risiko nicht nennenswert.

Bei Intel aktualisiert die Sprungvorhersageeinheit (Branch Prediction Unit, BPU) den Fluss an Instruktionen sowie die Berechtigungsdomäne asynchron. Das steigert die Performance und stellt im Normalfall kein Problem dar, weil die Berechtigungen zum Abschluss einer Operation eigentlich klar sind.

Das Forschungsteam der ETH manipuliert den Instruktionsstrom allerdings derart, dass die Privilegien bis zum Abschluss einer Operation nicht aktualisiert werden. Folglich verschwimmen die Berechtigungsgrenzen – Angreifer können Daten eines eigentlich abgeschotteten, privilegierten Prozesses auslesen. Bei einem Proof of Concept (POC) funktioniert das mit 5,6 KByte/s. In einer Videodemonstration zeigt Comsec, wie ihre Anwendung ein komplexes Passwort ausliest.

In diversen Produkten von Fortinet schlummern Sicherheitslücken, für die das Unternehmen nun Updates zum Schließen anbietet. EIne Sicherheitslücke in FortiVoice wird bereits in freier Wildbahn angegriffen. Admins sollten die Aktualisierungen daher zügig installieren.

Die schwerwiegendste Sicherheitslücke betrifft FortiCamera, FortiMail, FortiNDR, FortiRecorder und FortiVoice. Angreifer können mit manipulierten HTTP-Anfragen einen Stack-basierten Pufferüberlauf provozieren, der zur Ausführung von beliebigen Code oder Befehlen führt. Derartige Angriffe hat Fortinet der Sicherheitsmitteilung zufolge bereits auf FortiVoice-Geräte beobachtet.

Bei den Angriffen haben die bösartigen Akteure zunächst das Geräte-Netzwerk gescannt, anschließend System-Absturzberichte gelöscht und "fcgi-Debugging" aktiviert, um Zugangsdaten des Systems oder von SSH-Log-in-Versuchen mitzuprotokollieren. Am Ende der Sicherheitsmitteilung nennt Fortinet einige Hinweise, die auf Angriffe hindeuten (Indicators of Compromise, IOCs).

Fortinet stellt Updates bereits, die die Lücke schließen. Allerdings müssen einige ältere Versionen auf eine unterstützte Version aktualisiert werden. Das Sicherheitsleck stopfen FortiCamera 2.1.4, FortiMAil 7.6.3, 7.4.5, 7.2.8 und 7.0.9, FortiNDR 7.4.8, 7.2.5 und 7.0.7, FortiRecorder 7.2.4, 7.0.6 und 6.4.6 sowie FortiVoice 7.2.1, 7.0.7 und 6.4.11 oder jeweils neuere.

Fortinet hat am Dienstag noch weitere aktuelle Sicherheitsmitteilungen zu diversen Produkten veröffentlicht. Admins sollten schauen, ob die von ihnen eingesetzten Fortinet-Appliances und -Systeme betroffen sind und gegebenenfalls die bereitstehenden Updates installieren:

Europol hat eine Operationen gegen ein kriminelles Netzwerk koordiniert, das Online-Investmentbetrug begeht. Strafverfolger haben am Dienstag dieser Woche acht Orte zeitgleich in Albanien, Israel und Zypern durchsucht. Die Behörden beschlagnahmten dabei Beweise für die weitere Untersuchung, darunter elektronische Geräte, Dokumente sowie Bargeld. Ein Verdächtiger wurde zudem in Zypern festgenommen, mit dem Ziel, ihn nach Deutschland auszuliefern.

Es handelt sich dabei um die zweite Aktion in Fällen von Online-Investment-Betrug, bei der die Täter mehr als 100 Opfer um mehr als 3 Millionen Euro gebracht haben. Die Masche war perfide, wie Europol in einer Mitteilung erklärt: Opfer machten eingangs kleinere Überweisungen und wurden dann dazu gedrängt, größere Mengen an Geld zu investieren. Die Täter haben die Opfer dahingehend mit gefälschten Diagrammen, mit ausgedachten Gewinnen, manipuliert. Kriminelle gaben sich als Investment-Broker aus und haben psychologische Tricks genutzt, um die Opfer zur Überweisung substanzieller Beträge zu bringen. Das Geld haben die Betrüger jedoch nie angelegt, sondern sich selbst in die Taschen gesteckt.

Deutsche Behörden haben die Untersuchungen angestoßen, nachdem ein verheiratetes Paar der Betrugsmasche zum Opfer gefallen war. Die Untersuchung offenbarte ein größeres kriminelles Netzwerk. Erste Durchsuchungen gegen die kriminelle Bande fanden bereits im September 2022 in Belgien und Lettland statt. Zwei Verdächtige wurden damals verhaftet und wichtige Beweise gesichert. Damit konnten sieben weitere Mitglieder des Netzwerks identifiziert werden, einschließlich der Manager von Call-Centern, über die Opfer betrogen wurden.

Neben Europol half auch Eurojust aus, um die rechtliche Kooperation über die Grenzen hinweg sicherzustellen. Die Untersuchungen dauern derweil an. Aus Deutschland ist die Abteilung für die Bekämpfung von Internetkriminalität der Staatsanwaltschaft beim Landgericht Itzehoe sowie das LKA Kiel involviert. Zudem sind Strafverfolger aus Albanien, Isreal, dem Vereinigten Königreich sowie Zypern dabei.

Mitte April hat Europol sogar mehr als 230 Festnahmen bei Drogenrazzien gemeldet. Auf die Spur kamen die Strafermittler den Verdächtigen aufgrund von Erkenntnissen aus geknackten Messaging-Diensten.

Fake-Shops im Internet locken regelmäßig Verbraucher in die Falle: Jeder Vierte (24 Prozent) hierzulande ist schon einmal Opfer von Online-Betrug geworden, wie eine Umfrage im Auftrag der Schufa unter 1.000 Erwachsenen im Februar ergab. Ebenso viele Menschen (25 Prozent) kennen eine Person in ihrem Umkreis, der dies schon einmal passiert ist.

Der Schaden sei oft erheblich: Sechs von zehn Betrugsopfern (61 Prozent) erlitten nach eigenen Angaben einen finanziellen Schaden – etwa, weil ihnen keine oder minderwertige Ware geliefert wurde. Weitere Betrugsmaschen, mit denen Kriminelle oft Erfolg haben:

In einem Drittel aller Fälle von Online-Betrug (34 Prozent) lag der Schaden bei 100 bis 1.000 Euro, etwas mehr als jeder Vierte (28 Prozent) hat einen Schaden zwischen 1.000 und 10.000 Euro erlitten. In vier Prozent der Fälle waren es mehr als 10.000 Euro.

Auch sensible Daten wie Passwörter (16 Prozent), Bankdaten oder Kreditkarteninformationen (17 Prozent) sowie persönliche Daten wie Adresse und Geburtsdatum (19 Prozent) gelangten nach Angaben der Geschädigten in die Hände von Kriminellen.

Um sich vor Internetkriminalität zu schützen, setzen Verbraucherinnen und Verbraucher vor allem auf möglichst sichere Passwörter (58 Prozent). Gut ein Drittel (35 Prozent) derjenigen, die bereits Opfer von Online-Betrug geworden sind, hat nach eigenen Angaben danach Login-Daten geändert.

Das Unternehmen Zoom hat in den Workplace Apps der gleichnamigen Videokonferenzsoftware mehrere Sicherheitslücken entdeckt. Die Entwickler haben aktualisierte Software bereitgestellt, die diese Lücken abdichtet. IT-Verantwortliche sollten die Updates zügig herunterladen und installieren.

Die schwerwiegendste Sicherheitslücke stammt von einer Race-Condition, die sich aufgrund des Prüfungszeitpunkts und des davon abweichenden Einsatzzeitpunkts einer Komponente auftut (Time-of-Check Time-of-Use). Zoom erläutert in der Sicherheitsmeldung nicht, welcher Bestandteil betroffen ist oder wie Angreifer das konkret missbrauchen können. Jedoch können angemeldete Nutzer mit lokalem Zugriff auf das System ihre Rechte dadurch ausweiten (CVE-2025-30663 / noch keine EUVD, CVSS 8.8, Risiko "hoch").

Die Lücken betreffen die Versionen vor den fehlerbereinigten Fassungen der Zoom Workplace (Desktop) App for Android, iOS, Linux, macOS und Windows 6.4.0, dem Workplace VDI Client for Windows 6.3.10 (mit Ausnahme der Fassungen 6.1.16 und 6.2.12), Rooms Controller for Android, Linux, macOS und Windows 6.4.0, Rooms Client for Android, iPad, macOS und Windows 6.4.0 sowie dem Zoom Meeting SDK for Android, iOS, Linux, macOS und Windows 6.4.0. Die aktualisierten Versionen stellt Zoom im Download-Portal zum Herunterladen bereit.

Außerdem haben die Entwickler weitere Sicherheitslücken in den Zoom Workplace Apps in Angriff genommen. Auch dafür stehen Updates bereit, mit denen Admins ihre Systeme gegen Angriffe absichern können. Es handelt sich um folgende Sicherheitslecks in absteigender Reihenfolge des Risikos:

Mitte März mussten IT-Admins mit Zoom-Software in ihren Netzen zuletzt aktiv werden. Updates haben mehrere, teils hochriskante Sicherheitslücken abgedichtet.

Ivanti hat zwei Sicherheitsmitteilungen herausgegeben. Darin warnt der Hersteller vor laufenden Angriffen auf Schwachstellen in Ivantis Endpoint Manager Mobile (EPMM) und stopft ein Sicherheitsleck in Ivanti Neurons for ITSM. IT-Verantwortliche sollten umgehend die bereitstehenden Aktualisierungen anwenden.

In der Sicherheitsmeldung zu Ivantis Endpoint Manager Mobile informieren die Entwickler über zwei Sicherheitslücken. Die gravierendere Schwachstelle erlaubt das Einschleusen von Schadcode (CWE-94, Improper Control of Generation of Code). Ivanti liefert keinerlei Details dazu, sondern schreibt lediglich, dass Angreifer aus dem Netz Schadcode auf dem Zielsystem ausführen können (CVE-2025-4428 / EUVD-2025-14387, CVSS 7.2, Risiko "hoch").

Die zweite Lücke ermöglicht Ivantis Beschreibung zufolge die Umgehung der Authentifizierung und dadurch unbefugten Zugriff auf eigentlich geschützte Ressourcen (CVE-2025-4427 / EUVD-2025-14388, CVSS 5.3, Risiko "mittel"). "Wenn die Lücken verknüpft werden, kann ein erfolgreicher Missbrauch zur Ausführung von Schadcode ohne vorherige Authentifizierung führen", schreibt Ivanti. Das Unternehmen weiß demnach von einer begrenzten Zahl von Kunden, deren Installationen zum Meldungszeitpunkt erfolgreich attackiert wurden.

Für mehrere Versionszweige von Ivanti Endpoint Manager Mobile stellt Ivanti aktualisierte Softwarefassungen bereit: 12.5.0.1, 12.4.0.2, 12.3.0.2 und 11.12.0.5. Sie sind im Download-Portal von Ivanti verfügbar.

Außerdem warnt Ivanti vor einer kritischen Sicherheitslücke in Ivanti Neurons for ITSM, die On-Premises-Installationen betrifft. Je nach Konfiguration erlaubt sie Angreifern, administrativen Zugang zum System zu erlangen. Es handelt sich um eine mögliche Umgehung der Authentifizierung, die Ivanti EPMM 2024.3, 2024.2 und 2023.4 betrifft. Der Mai-2025-Sicherheitspatch stopft das Leck (CVE-2025-22462 / EUVD-2025-14498, CVSS 9.8, Risiko "kritisch").

Broadcom warnt vor einer hochriskanten Sicherheitslücke in VMware Aria Automation. Angreifer können sich dadurch unbefugt Zugriff verschaffen. Aktualisierte Software steht zum Herunterladen bereit, die die Schwachstelle ausbessert.

In einer Sicherheitsmitteilung liefert Broadcom einige Informationen zur Sicherheitslücke. Demnach hat der IT-Sicherheitsforscher Bartosz Reginiak in VMware Aria Automation eine DOM-basierte Cross-Site-Scripting-Lücke entdeckt und den Hersteller darüber informiert. Bei dieser Art von Schwachstellen kann durch fehlende Filterung von übergebenen Parametern in URLs Code aus einem Link im Kontext eines Opfers zur Ausführung kommen. Angreifer müssen allerdings ihre Opfer dazu bewegen, zunächst auf einen sorgsam präparierten Link zu klicken.

Angreifer können dadurch an den Zugangstoken von angemeldeten Nutzern gelangen und erhalten dadurch unbefugt Zugriff aufs System. Die Schwachstelle hat den Eintrag CVE-2025-22249 / EUVD-2025-14367 erhalten. Die VMware-Entwickler schätzen das Risiko mit einem CVSS-Wert von 8.2 als "hoch" ein.

Die Sicherheitslücke betrifft neben VMware Aria Automation auch die VMware Cloud Foundation und VMware Telco Cloud Platform. IT-Verantwortliche müssen zur Absicherung vor möglichen Attacken die bereitstehenden Aktualisierungen herunterladen und anwenden. Für VMware Aria Automation sowie VMware Telco Cloud Platform steht das Update auf Version 8.18.1 Patch 2 bereit. Für die VMware Cloud Foundation verlinkt Broadcom zu den Release-Notes des Updates auf Fassung 8.18.1 Patch 2 – darin wird die Cloud Foundation jedoch gar nicht erwähnt.

Zuletzt hatte Broadcom Anfang April vor einer Schwachstelle in VMware Aria Operations gewarnt. Angreifer konnten dadurch ihre Rechte im System ausweiten: "Bösartige Akteure können ihre Rechte zu 'root' auf der Appliance ausweiten", schrieben die Entwickler dazu, ohne jedoch zu erläutern, wie Attacken aussehen könnten.

In den USA ist das Portal eines Anbieters kompromittiert worden, der im Auftrag von Behörden E-Mails an Bürger und Bürgerinnen schickt. In der Folge wurden von staatlichen E-Mail-Adressen Nachrichten mit betrügerischen Links verschickt, berichtet TechCrunch. Darin wurde demnach etwa behauptet, dass die Empfänger oder Empfängerinnen ausstehende Gebühren von mautpflichtigen Straßen bezahlen sollen. Wer auf den mitgeschickten Link geklickt hat, landete aber nicht auf der offiziellen Seite, sondern auf einer nachgebauten Kopie. Die Kampagne erfolgte demnach über einen Dienstleister, dessen Vertrag mit den Behörden schon im Dezember beendet wurde, dessen Zugang aber noch bestanden hat.

Der Einbruch erfolgte laut TechCrunch über einen Account des IT-Unternehmens Granicus, das für Regierungsstellen Dienstleistungen bereitstellt. Eine davon heißt GovDelivery und ermöglicht es Behörden und staatlichen Stellen, Informationen per E-Mail, SMS oder sozialen Netzwerken zu verbreiten. Wie das Unternehmen nun gegenüber der Nachrichtenseite bestätigt hat, haben Unbekannte einen Zugang zu diesem System kompromittiert und so die betrügerischen Nachrichten verschickt. In die Systeme von Granicus selbst sei nicht eingebrochen worden. Das Unternehmen könne sogar herausfinden, an wie viele Individuen die falschen Nachrichten verschickt wurden. Zahlen dazu habe die Firma aber nicht genannt.

Eingestanden wurden die Probleme jetzt von der Regierung des US-Bundesstaats Indiana, mindestens eine Kommune in New Mexico war ebenfalls betroffen. Weiterhin wurde TechCrunch von einer E-Mail berichtet, in der es um angebliche Mautgebühren in Texas ging. Wie weit verbreitet die Betrugskampagne war und ob sie inzwischen komplett beendet ist, ist deshalb unklar. Betrügerische Mails mit Zahlungsaufforderungen sind keine Seltenheit, aber von staatlichen E-Mail-Adressen wirken sie besonders überzeugend. Außergewöhnlich ist in diesem Fall auch noch, dass die Kampagne über Systeme eines Dienstleisters erfolgt, der für die Dienste überhaupt nicht mehr zuständig ist. Der Vertrag mit Indiana ist zum Jahreswechsel ausgelaufen.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Verschiedene Anwendungen von Adobe sind aufgrund von Schwachstellen verwundbar. Sicherheitsupdates von Adobe zum Mai-Patchday schließen Lücken in Animate, Bridge, ColdFusion, Connect, Dreamweaver, InDesign, Illustrator, Lightroom, Photoshop, Substance 3D Modeler, Substance 3D Painter und Substance 3D Stager.

Admins sollten sicherstellen, dass die Anwendungen auf dem aktuellen Stand sind. Folgende Ausgaben haben die Entwickler gegen mögliche Attacken gerüstet:

Wer die Updates nicht installiert, riskiert Denial-of-Service- und Schadcode-Attacken. Über eine "kritische" Lücke (CVE-2025-43567) in Connect können sich Angreifer auf einem nicht näher beschriebenen Weg höhere Nutzerrechte verschaffen. Ebenfalls "kritisch" gelten mehrere Schwachstellen (etwa CVE-2025-43559) in ColdFusion. An diesen Stellen können Angreifer unter anderem auf eigentlich nicht zugängliche Dateien zugreifen.

Bislang gibt es keine Berichte, dass Angreifer die Sicherheitslücken bereits ausnutzen. Admins sollten mit der Installation der Patches aber nicht zu lange warten. Weiterführende Informationen listet Adobe in den folgenden Warnmeldungen auf:

Derzeit haben Angreifer verschiedene Windows- und Windows-Server-Versionen im Visier und nutzen fünf Sicherheitslücken aus. Darunter auch etwa Windows 11 und Windows Server 2022. Im schlimmsten Fall kann Schadcode auf Computer gelangen und Systeme kompromittieren. Zwei weitere Schwachstellen sind bekannt, und es können Attacken bevorstehen.

Die fünf bereits ausgenutzten Lücken (CVE-2025-30400, CVE-2025-30397, CVE-2025-32709, CVE-2025-32701, CVE-2025-32706) betreffen verschiedene Windows-Komponenten. Sie sind alle mit dem Bedrohungsgrad "hoch" eingestuft.

Entfernte Angreifer bringen bei den Attacken etwa Opfer dazu, auf einen präparierten Link zu klicken. Im Anschluss wird Edge in den Internet-Explorer-Modus versetzt, in dem er verwundbar ist. Für den Internet Explorer ist der Support im Juni 2022 ausgelaufen und der Webbrowser bekommt keine Sicherheitsupdates mehr. Weiterhin verschaffen sich Angreifer über eine Schwachstelle im Common-Log-File-System-Treiber System-Rechte.

Sicherheitslücken in Microsoft Defender (CVE-2025-26685, "mittel") und Visual Studio (CVE-2025-32702, "hoch") sind öffentlich bekannt. Microsoft schätzt, dass Attacken darauf bevorstehen können. Auch hier können Angreifer unter anderem Schadcode auf Systeme verfrachten.

Azure ist unter anderem über zwei "kritische" Schwachstellen (CVE-2025-29827, CVE-2025-29972) angreifbar. Hier können sich Angreifer höhere Nutzerrechte verschaffen. Der Großteil der verbleibenden Sicherheitslücken ist mit dem Bedrohungsgrad "hoch" versehen. An diesen Stellen sind unter anderem Schadcode-Attacken auf Excel möglich.

Anlässlich der Android-Show hat Google einen Überblick über neue und teils auch seit kurzer Zeit bekannte Sicherheitsfunktionen gegeben. Android 16 soll das Schutzniveau noch einmal verbessern.

Google zählt dazu viele Features auf. So soll Android 16 den Schutz vor betrügerischen Anrufen verbessern. Da Betrüger oftmals ihre Opfer dazu bewegen, Aktionen auszuführen, die den Angreifern Zugang zu den Geräten gewähren, lassen sich während eines Telefonats bestimmte Einstellungen nicht mehr vornehmen: etwa Google Play Protect deaktivieren, Sideloading von Apps mittels Webbrowser, Nachrichten-App oder ähnlichen, oder Änderungen von Einstellungen zur Barrierefreiheit, wodurch bösartige Apps Kontrolle über das Gerät erlangen können. Sofern das Teilen des Bildschirms bei einem Anruf aktiviert wurde, erinnert Android 16 nach dessen Ende daran, dass das Screensharing beendet werden sollte.

Betrug unter Einbeziehung von Screensharing ist laut Google ein zunehmend "normaler" Angriffsvektor. In der Pilotphase warnt Android (ab Version 11) vor dem Öffnen von Banking-Apps teilnehmender Banken während einer Screensharing-Sitzung mit einem unbekannten Kontakt. Dabei erhalten Betroffene die Möglichkeit, den Anruf und das Screensharing mit einem Tipper auf den Bildschirm zu beenden. Kürzlich hat Google zudem die Echtzeit-Betrugserkennung mittels Künstlicher Intelligenz in Messages und der Telefon-App ergänzt, die ebenfalls vor Betrug schützen sollen.

Was Messenger wie Signal schon lange können, bringt Google nun mit dem Key Verifier auch der Kontakte-App bei. Mittels QR-Codes können sich bekannte Nutzerinnen und Nutzer gegenseitig einmalig ausweisen. Das Verfahren nutzt Public-Key-Kryptografie, womit dann auch Nachrichten in Google Messages Ende-zu-Ende-verschlüsselt werden. Das soll sicherstellen, dass man wirklich mit der richtigen Person am anderen Ende kommuniziert und die Konversation vertraulich bleibt.

Auch den Diebstahlschutz hat Google verbessert. Mehrere Funktionen sollen im Falle eines Diebstahls die Daten und Finanzen der Opfer schützen. Seit der Freigabe der Features im vergangenen Jahr hätten diese bereits in hunderttausenden Fällen Daten auf Geräten geschützt, die in falsche Hände geraten sind. Dazu zählen Smartphones, die mittels "Remote Lock" oder "Theft Detection Lock" automatisch gesperrt wurden und mehr als 48 Stunden in diesem Zustand blieben. Diese Funktionen will Google weiter härten: Die Gerätesperre aus der Ferne soll eine Sicherheitsfrage erhalten. Der Schutz vor Zurücksetzen auf die Werkseinstellungen soll dieses Jahr folgen, wodurch Funktionen auf Geräten eingeschränkt werden, die ohne Autorisierung der Besitzer zurückgesetzt wurden.

SAP veröffentlicht im Mai 2025 insgesamt 16 neue Sicherheitsmeldungen. Sie behandeln teils kritische Sicherheitslücken in diversen Produkten aus dem Business-Softwarekatalog des Unternehmens.

Der Patchday-Übersicht von SAP lässt sich entnehmen, dass die Entwickler des Unternehmens eine Schwachstelle in SAP Netweaver als kritisches Risiko betrachten. Dazu kommen vier weitere, die einen hohen Bedrohungsgrad tragen.

Die Liste der Sicherheitsmitteilung absteigend nach Schweregrad sortiert:

Aktualisiert hat SAP zudem die Meldung zur bereits attackierten, kritischen SAP-Netweaver-Lücke CVE-2025-31324 / EUVD-2025-11987 sowie zu einer bereits im Juli 2024 gemeldeten Schwachstelle in SAP PDCE (CVE-2024-39592 / EUVD-2024-38112, CVSS 7.7, Risiko "hoch").

IT-Verantwortliche sollten prüfen, ob sie verwundbare Software im Einsatz haben, und zügig die bereitstehenden Aktualisierungen anwenden. Dass es eine gute Idee ist, auch für SAP-Software zügig bereitstehende Aktualisierungen anzuwenden, hat jüngst eine kritische Sicherheitslücke in SAP Netweaver belegt. Ende April wurde bekannt, dass die Schwachstelle mit Höchstwertung des Risikos, CVSS 10.0, aktiv im Netz angegriffen wird; trotzdem standen hunderte verwundbare Server im Netz. Derweil laufen offenbar weitere Angriffswellen auf die Schwachstelle CVE-2025-31324 / EUVD-2025-11987.

Bisherige Schutzmechanismen schützen nicht immer gegen Spectre-artige Seitenkanalangriffe auf Prozessoren, selbst wenn sie perfekt implementiert sind und verschiedene Domains voneinander abschotten. Zu dem Ergebnis kommen Forscher der Systems and Network Security Group an der Vrije Universiteit Amsterdam (VUSec).

Auf Basis von Spectre v2 stellen sie den Angriffsvektor Training Solo vor: Ein Angreifer (etwa ein nicht privilegierter Benutzer auf demselben System) kann das Opfer (etwa einen Kernel) dazu verleiten, sich selbst zu trainieren. Eine derart beeinflusste Sprungvorhersage ermöglicht das Auslesen von Daten.

Zuvor zielten Spectre-artige Angriffe auf domainübergreifende Prozesse ab – eine Anwendung im User-Space etwa konnte die Sprungvorhersage im Kernel beeinflussen. Schutzmechanismen wie Intels Indirect Branch Restricted Speculation (IBRS) verhindern, dass sich mehrere Prozesse über Domaingrenzen hinweg beeinflussen. Training Solo umgeht diese Einschränkung durch das Training innerhalb einer einzelnen Domain.

Bisher leifen Spectre-Angriffe domainübergreifend. Training Solo verleitet den Kernel dagegen zum Selbsttraining.

(Bild: Sander Wiebing, Cristiano Giuffrida, VUSec)

Die US-Cybersicherheitsbehörde CISA schraubt weiter an ihren Informationsangeboten für die Sicherheitsgemeinde. Nun dampft sie eine Webseite ein, die CISA-Alarme und -Sicherheitshinweise übersichtlich bündelte und RSS-Feeds anbot. Wer die Benachrichtigungen weiter erhalten will, muss sie von sozialen Medien besorgen oder sich bei einem Warndienst der US-Regierung anmelden. Zur Begründung gibt die CISA an, sie wolle wirklich dringenden Warnhinweisen die notwendige Aufmerksamkeit garantieren.

In einer am 12. Mai veröffentlichten Ankündigung führt die US-Cybersicherheitsbehörde als weiteren Grund an, Nutzer-Feedback habe bei der Veränderung eine Rolle gespielt. Welche Kategorien von Warnmeldungen genau betroffen sind, erwähnt die Ankündigung nur vage: "Cybersecurity-Updates und die Veröffentlichung neuer Anleitungen" würden nicht mehr in der Übersicht veröffentlicht. Darunter dürften Sicherheitshinweise (Advisories) fallen, aber auch detaillierte Analysen und Handlungsempfehlungen für US-Behörden.

Doch die Inhalte verschwinden nicht komplett – sie werden lediglich weniger prominent platziert. Ihrer Präsenz auf der Plattform X wird die CISA hingegen künftig mehr Bedeutung beimessen: Auf dem Konto @CISACyber erhalten Interessierte "zügige Cybersicherheits-Updates", erklärt die Behörde.

Auch der Katalog der "Known Exploited Vulnerabilities" (KEV, etwa: "bekannte ausgenutzte Schwachstellen") ist von den Veränderungen betroffen. Er büßt seine prominente Position auf der CISA-Übersichtsseite ein, auf der die Behörde noch bis zum 7. Mai 2025 jede Neuaufnahme in den Katalog veröffentlichte. Zudem fliegen die bekannten Schwachstellen aus den RSS-Feeds der Behörde, was die Arbeitsabläufe mancher Sicherheitsexperten und -werkzeuge stören könnte. Wer über bekannte Schwachstellen weiter auf dem Laufenden bleiben will, dem bleiben neben dem Blick auf X noch eine JSON- und eine CSV-Version der "Known Exploited Vulnerabilities". Letztere eignen sich besonders gut zur Weiterverarbeitung in Skripten und Automatismen.

Admins, die Installationen von IBM App Connect und Storage Scale verwalten, sollten die Software zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und Systeme kompromittieren. Bislang sind keine Berichte zu Attacken bekannt.

Die Integrationssoftware App Connect ist über Schwachstellen in verschiedenen Komponenten wie Node.js und einem Python-Modul angreifbar. So können Angreifer Sicherheitsmaßnahmen umgehen oder Speicherfehler auslösen (beispielsweise CVE-2025-6827 "hoch"), was in der Regel zu Abstürzen führt. Außerdem werden Daten in einer Datenbank gespeichert, deren kryptografische Absicherung schwächer ist, als eigentlich angenommen (CVE-2025-1993 "mittel").

Wie konkrete Attacken ablaufen könnten, ist bislang nicht bekannt. Die Sicherheitsupdates für App Connect listet IBM in den unterhalb dieser Meldung verlinkt Warnbeiträgen auf.

IBM Storage Scale fasst unter anderem Daten, die an unterschiedlichen Standorten liegen, zusammen und stellt sie zum Abruf bereit. Hier sind unter anderem im Kontext von SSH-Verbindungen (CVE-2025-22869 "hoch") DoS-Attacken möglich. In einem Beitrag geben die Entwickler an, die Lücken in den Ausgaben 5.1.9.9 und 5.2.3.0 geschlossen zu haben.

Zuletzt sorgten mehrere Sicherheitslücken in IBM Business Automation Workflow für Schlagzeilen. In diesem Fall können Angreifer unter anderem auf eigentlich abgeschottete Zugangsdaten zugreifen.

Im WordPress-Plug-in TheGem, das mehr als 82.000-mal verkauft wurde und daher auf ähnlich vielen WordPress-Instanzen aktiv ist, haben IT-Forscher zwei Schwachstellen entdeckt. Eine kann Angreifern ermöglichen, Schadcode einzuschleusen und auszuführen. Eine aktualisierte Fassung steht bereit, die die Sicherheitslücken schließt.

TheGem ist ein Multifunktions-Plug-in, es stellt neben Themes auch direkt nutzbare Funktionen für selbst erstellte Webseiten bereit. Es ist kompatibel zu den populären WordPress-Website-Baukästen Elementor, WPBakery und WooCommerce.

Die IT-Sicherheitsforscher von Wordfence haben über ihr Bug-Bounty-Programm zwei Sicherheitslücken gemeldet bekommen. Aufgrund einer fehlenden Dateityp-Prüfung in der Funktion thegem_get_logo_url() können Angreifer beliebige Dateien hochladen, wodurch die Ausführung von eingeschleustem Schadcode und schließlich die vollständige Kompromittierung der Instanz möglich wird. Die Angreifer benötigen dafür mindestens Zugriffsrechte auf "Subscriber"-Level (CVE-2025-4317, CVSS 8.8, Risiko "hoch").

Die zweite Schwachstelle ermöglicht die Veränderung von Daten, da die ajaxApi()-Funktion unzureichende Prüfungen vornimmt. Dadurch können Angreifer mit "Subscriber"-Level-Zugang oder höheren Rechten beliebige Optionen des Themes aktualisieren (CVE-2025-4339, CVSS 4.3, Risiko "mittel").

Betroffen sind die TheGem-Versionen bis einschließlich 5.10.3, die Schwachstellen bessert hingegen das Update auf Version 5.10.3.1 aus. WordPress-Admins sollten die Aktualisierung zügig anwenden.