Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Sonicwall: Tausende Geräte für trivial angreifbare SSL-VPN-Lücke anfällig

Anfang Januar hat Sonicwall Updates zum Schließen einer Zero-Day-Schwachstelle in Sonicwalls SSL-VPN und SSH-Management veröffentlicht. Der Hersteller warnte vor möglichem Missbrauch durch Angreifer. Stand Mitte vergangener Woche sind jedoch noch mehr als 5000 Sonicwall-Appliances verwundbar.

Anzeige

Die IT-Sicherheitsforscher von Bishop Fox haben die Sicherheitslücke untersucht und konnten sie erfolgreich mit Exploit ausnutzen, um damit etwa Zugänge zu übernehmen. "Unsere aktuelle Untersuchung deutet darauf hin, dass mehr als 5000 verwundbare Sonicwall-Geräte im Internet erreichbar sind", schreiben sie in ihrer Analyse. "Obwohl signifikante Reverse-Engineering-Anstrengungen nötig waren, die Schwachstelle zu finden und auszunutzen, war der Exploit selbst recht trivial", ergänzen sie.

Die IT-Forscher erörtern zudem ihren Zeitplan. Im Rahmen einer Responsible Disclosure wollen sie weitergehende Details 90 Tage nach der Benachrichtigung des Herstellers veröffentlichen. Am 5. November 2024 war das der Fall, Sonicwall hat Updates am 7. Januar 2025 herausgegeben. Damit IT-Verantwortliche einen vollen Monat Zeit für die Aktualisierung haben, will das Unternehmen die Details des Exploit-Codes am 10. Februar veröffentlichen.

Da noch tausende Sonicwall-Appliances im Netz erreichbar sind, die offenbar für die Sicherheitslücke anfällig sind, sollten die Admins jetzt zügig die Aktualisierung nachholen. Möglicherweise ist die Information am Jahresanfang untergegangen, weshalb so viele Sonicwall-Firewalls noch ungepatcht blieben.

Weiterlesen
  28 Aufrufe

heise-Angebot: secIT 2025: So werfen Sie Angreifer zuverlässig aus dem Firmennetzwerk

Cyberattacken gehören leider zum Admin-Alltag, doch dagegen kann man einiges unternehmen. Und selbst wenn Angreifer bereits Firmeninterna kopieren, kann man immer noch etwas retten. Wie man IT-Angriffen vorbeugt und wie man sich nach einer bereits erfolgten Attacke am effektivsten verhält, erläutern die Referenten auf der secIT 2025.

Anzeige

Der Großteil des Programms wurde von den Redaktionen von c’t, heise security und iX handverlesen. In diesen redaktionellen Vorträgen gibt es keine Werbung, sondern ausschließlich hilfreiche Fakten, die Admins direkt für mehr Sicherheit in Unternehmen umsetzen können.

Die secIT findet vom 18. bis 20 März 2025 im Hannover Congress Centrum (HCC) statt. Bis zum 15. Februar gibt es im Ticketshop vergünstigte Eintrittskarten. Ein Tagesticket kostet bis dahin 79 statt 99 Euro und für ein Dauerticket werden 119 statt 139 Euro fällig.

In seiner Abschlusskeynote führt Volker Kozok aus, welche Rolle KI im aktuellen Cybercrimegeschehen spielt.

Weiterlesen
  28 Aufrufe

Cyberkriminalität: Anklage gegen mutmaßlichen Cybererpresser

Die Generalstaatsanwaltschaft Karlsruhe hat Anklage gegen einen Cyberkriminellen erhoben. Der Mann soll Cyberattacken auf zahlreiche deutsche Unternehmen und Institutionen verübt und Lösegeld erpresst haben. Das berichtete Spiegel Online am Montag.

Anzeige

Der 45-jährige Tatverdächtige war nach mehrjährigen internationalen Ermittlungen des Landeskriminalamts Baden-Württemberg im Juni vergangenen Jahres in Zusammenarbeit mit den slowakischen Behörden in Bratislava verhaftet und im September nach Deutschland ausgeliefert worden. Nach Angaben der Strafverfolger steht der Mann im Verdacht, im Jahr 2019 die Daten von 22 deutschen Firmen und Einrichtungen mit Schadsoftware verschlüsselt und Lösegeld für die Freigabe gefordert zu haben. Zu den Betroffenen der Cyberangriffe gehörten u. a. das Württembergische Staatstheater Stuttgart sowie mehrere Hersteller von medizinischen Produkten. Durch die Datenverschlüsselung und den Systemausfall entstand ein geschätzter wirtschaftlicher Schaden von über 2,4 Millionen Euro.

Die Staatsanwaltschaft wirft dem mutmaßlichen Cyberkriminellen unter anderem banden- und gewerbsmäßigen Computerbetrug vor. Der aus der Ukraine stammende Mann gehört nach Angaben der Ermittler der weltweit agierenden Cybercrime-Gruppe "GandCrab" an, die mit Verschlüsselungsangriffen Geld von ihren Opfern erpresst hat. Der weltweit entstandene wirtschaftliche Schaden durch die Gruppierung wird auf mehr als 100 Millionen Euro geschätzt.

Die Ransomware GandCrab befiel seit 2018 unzählige Windowsrechner weltweit. Die Malware lauerte unter anderem hinter Fake-Software-Cracks und in gefälschten Bewerbungsmails. Zudem versuchte der Erpressungstrojaner, sich durch verschiedene Sicherheitslücken zu fressen. Anfang Juni 2019 gaben die Entwickler der Schadsoftware deren Ende bekannt. Nach eigenen verdienten sie pro Woche 2,5 Millionen US-Dollar. Abgelöst wurde GandCrab mutmaßlich von der Malware "Revil".

Weiterlesen
  34 Aufrufe

iOS 18.3 Release: Apple gibt Update für iPhones & Co frei

Apple hat iOS 18.3 am Montagabend zum Download freigegeben – ebenso wie iPadOS 18.3 und macOS 15.3. Die jüngsten Betriebssystemversionen lassen sich wie üblich über die integrierte Software-Aktualisierung auf den Geräten laden. Nachdem iOS 18.1 und 18.2 eine größere Zahl an Neuerungen nachlieferten, hat das dritte größere Update für iOS 18 nur wenig Neues zu bieten. Für iPhone- und iPad-Nutzer in der EU gibt es nur ein weiteres Hintergrundbild zum Black History Month. Außerdem kehrt eine Funktion zurück: Drückt man die Plustaste erneut, wiederholt Apples Rechner-App die letzte Rechenoperation.

Anzeige

Zugleich macht Apple mit iOS 18.3, iPadOS 18.3 und macOS 15.3 Apple Intelligence zu einem standardmäßig aktivierten Teil des Betriebssystems. Die KI-Modelle werden also automatisch geladen und das ganze KI-System ist jetzt Opt-out statt Opt-in, wie Apple jüngst ankündigte. Nutzer, die die Apple-KI gar nicht verwenden wollen, müssen Apple Intelligence also nachträglich wieder abschalten. Das KI-System ist in der EU bislang nur auf Macs verfügbar und auch nur, wenn das Betriebssystem auf Englisch verwendet wird. Auf iPhones und iPads lässt sich Apple Intelligence über Umwege aktivieren.

In der EU will Apple das System im April wohl mit iOS 18.4 ausliefern, möglicherweise dann auch mit dem bislang noch fehlenden Support für Deutsch.

Auf Geräten mit Apple Intelligence nehmen iOS 18.3 & Co außerdem eine wichtige Änderung bei der Zusammenfassung von Mitteilungen vor: Diese sind nach Beschwerden der BBC über verfälschte Headlines vorerst für die App-Kategorien "News" und "Entertainment" deaktiviert. Bei anderen Mitteilungen stellt Apple die KI-Zusammenfassung jetzt kursiv dar.

Weiterlesen
  28 Aufrufe

Kritische Schwachstelle: Kubernetes anfällig für Remotecodeausführung

Akamai warnt vor einer kritischen Sicherheitslücke in Kubernetes. Die Schwachstelle mit der Kennung CVE-2024-9042 ermöglicht das Einschleusen und Ausführen von Schadcode aus der Ferne auf Windows-Endpunkten innerhalb eines Kubernetes-Clusters. Der Fehler tritt allerdings nur auf, wenn der Protokollierungsmechanismus „Log Query“ aktiviert ist.

Entdeckt wurde die Anfälligkeit vom Akamai-Mitarbeiter Tomer Peled. Ihm zufolge kann die Schwachstelle durch eine einfache GET-Anfrage an den Remote-Knoten ausgelöst werden. Ein erfolgreicher Angriff könnte zur vollständigen Übernahme aller Windows-Knoten in einem Cluster führen.

„Besonders beunruhigend ist, dass diese Schwachstelle auf Standardinstallationen von Kubernetes ausgenutzt werden kann, die sich entschieden haben, Beta-Funktionen zu verwenden, und in Versionen vor 1.32.1 implementiert ist. Dies wurde sowohl in lokalen Bereitstellungen als auch im Azure Kubernetes Service getestet“, teilte Akamai mit.

Inzwischen steht ein Update für die Sicherheitslücke zur Verfügung. Nutzer sollten auf eine der fehlerbereinigten Versionen 1.32.1, 1.31.1, 1.30.9 oder 1.29.13 umsteigen. Zudem rät das Kubernetes Security Response Committee, die Logs von Windows-Knoten nach verdächtigen Einträgen zu durchsuchen, um mögliche Angriffe auf die Schwachstelle aufzudecken.

Original Autor: Stefan Beiersmann

  34 Aufrufe

Gdata Security Client und Management Server erlauben Rechteausweitung

Dem Virenschutz Gdata Security Client und der Verwaltungssoftware Gdata Management Server haben Angreifer aufgrund von Sicherheitslücken Schadcode unterschieben können. Inzwischen stehen Updates bereit, die die sicherheitsrelevanten Fehler korrigieren.

Anzeige

In einem Github-Projekt wurden die Schwachstellen von dem User mit dem Handle nullby73 gemeldet. Im Gdata Management Server findet sich eine Sicherheitslücke im Gdmms-Dienst. Dieser starte einen Prozess, der nach einer ZIP-Datei in einem von Nutzern beschreibbaren Verzeichnis sucht. Beim Entpacken des Archivs findet keine Prüfung auf relative Pfade innerhalb des Archivs statt. Das führe zu einer sogenannten "Zip Slip"-Lücke, die das Schreiben oder Überschreiben beliebiger Dateien mit SYSTEM-Rechten erlaubt. Das mündet in einer Rechteausweitung (CVE-2025-0542, CVSS 7.8, Risiko "hoch").

In Gdatas Security Client klafft eine Sicherheitslücke, da der SetupSVC-Dienst, der in unregelmäßigen Intervallen gestartet wird, eine ausführbare Datei aus einem von Nutzern beschreibbaren Verzeichnis starten will. Zudem versucht die Software, zwei nicht existierende DLLs zu laden – abermals aus einem Benutzer-beschreibbaren Ordner, was in einer DLL-Injection-Schwachstelle endet. Durch das Platzieren einer bösartigen Datei anstelle einer der beiden Bibliotheken lässt sich beliebiger Code mit SYSTEM-Rechten ausführen, sobald der SetupSVC-Dienst startet (CVE-2025-0543, CVSS 7.8, hoch).

Die Sicherheitslücken hat nullby73 bereits Anfang April 2024 an Gdata gemeldet. Seit Anfang Dezember stehen beide betroffenen Softwarepakete in der fehlerkorrigierten Version 15.8.333 zur Verfügung; am Wochenende erfolgte jetzt die koordinierte Veröffentlichung der Lücke. Wer diese Gdata-Software einsetzt, sollte daher prüfen, ob in der eigenen Organisation die Software schon per automatischem Update auf die fehlerbereinigte oder neuere Version aktualisiert wurde. Gegebenenfalls sollten Admins dies manuell nachholen.

Weiterlesen
  36 Aufrufe

Silicon Labs: Software- und Treiber-Installer mit DLL-Injection-Lücken

Silicon Labs stellen insbesondere Schaltkreise für die Anbindung etwa von älteren seriellen Schnittstellen(-protokollen) auf USB her. Die Installationsprogramme für zugehörige Treiber und Software weisen in vielen Fällen eine Sicherheitslücke auf, die das Unterschieben von eigenen Bibliotheken und somit das Einschleusen von eigenem Code ermöglicht.

Anzeige

Eine Zusammenfassung versteckt Silicon Labs hinter einem Log-in. Jedoch sind die CVE-Einträge zu den verwundbaren Produkten öffentlich. Denen zufolge filtern die Installer den Suchpfad nicht ordentlich, was diese sogenannten DLL-Injection-Lücken aufreißt. Das können Angreifer zum Ausweiten ihrer Rechte oder der Ausführung beliebigen Codes beim Start der Installer ausnutzen.

Insgesamt sind die Installationspakete zu zehn Produkten von Silicon Labs davon betroffen:

Silicon Labs (8-Bit) IDE (CVE-2024-9490, CVSS 8.6, Risiko "hoch")Silicon Labs Configuration Wizard 2 (CVE-2024-9491, CVSS 8.6, hoch)Silicon Labs Flash Programming Utility (CVE-2024-9492, CVSS 8.6, hoch)Silicon Labs ToolStick (CVE-2024-9493, CVSS 8.6, hoch)Silicon Labs CP210 VCP Win 2k (CVE-2024-9494, CVSS 8.6, hoch)Silicon Labs CP210x VCP Windows (CVE-2024-9495, CVSS 8.6, hoch)Silicon Labs USBXpress Dev Kit (CVE-2024-9496, CVSS 8.6, hoch)Silicon Labs USBXpress 4 SDK (CVE-2024-9497, CVSS 8.6, hoch)Silicon Labs USBXpress SDK (CVE-2024-9498, CVSS 8.6, hoch)Silicon Labs USBXpress Win 98SE Dev Kit (CVE-2024-9499, CVSS 8.6, hoch)

Die Installationsprogramme für veraltete Betriebssysteme, etwa USBXpress, sind in offenbar verwundbaren Versionen auf der Download-Seite von Silicon Labs verfügbar. Wer diese Software noch benötigt, sollte den Support des Unternehmens kontaktieren und um fehlerkorrigierte Installationsprogramme bitten. Bis auf einen universellen Windows-Treiber für die CP210x-VCP-Module sind auch die Installer für die USB-Konverter noch älterem Datums. Gegebenenfalls hilft auch hier, beim Hersteller-Support nach fehlerkorrigierten Installationspaketen zu fragen.

Weiterlesen
  35 Aufrufe

l+f: Scriptkiddies verbrennen sich an verseuchtem Trojaner-Baukasten

Derzeit fallen Scriptkiddies weltweit offensichtlich auf Betrüger herein und hantieren mit einem manipulierten Malware-Baukasten, der ihre Systeme mit Schadcode infiziert.

Anzeige

Darauf sind Sicherheitsforscher von CloudSEK gestoßen, die ihre Erkenntnisse in einem Beitrag zusammengefasst haben. Ihnen zufolge ist eine trojanisierte Version vom XWorm RAT Builder in Umlauf. Das ist ein Baukasten, mit dem man mit vergleichsweise wenig Aufwand Trojaner erstellen kann. Diese Variante ist aber selbst Schadcode und kopiert etwa Passwörter von PCs.

Der präparierte Baukasten wird den Sicherheitsforschern zufolge in erster Linie von Scriptkiddies von Github und anderen Plattformen heruntergeladen. Eigentlich kostet so ein Baukasten Geld, doch die Betrüger bewerben ihn sozialen Netzwerken als kostenlos.

Weltweit soll die Malware mehr als 18.000 Geräte infiziert haben. Der Großteil davon ist in den USA und Russland. Welches Ziel die Drahtzieher hinter dieser Kampagne konkret verfolgen, bleibt unklar. Zum jetzigen Zeitpunkt soll die Malware mehr als 1 Terabyte an Log-in-Daten kopiert haben.

Weiterlesen
  29 Aufrufe

Mehr Cybersicherheitsvorfälle gegen kritische Infrastruktur

Einrichtungen der sogenannten kritischen Infrastruktur haben im vergangenen Jahr deutlich mehr Cybersicherheitsvorfälle gemeldet als in den Jahren zuvor. Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der FDP-Fraktion hervor.

Anzeige

Demnach gab es 2024 insgesamt 769 solcher Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) – rund 43 Prozent mehr als im Jahr zuvor, als 537 Meldungen das BSI erreichten. In den Jahren 2021 und 2022 waren beim BSI 385 Meldungen beziehungsweise 475 Meldungen zu Cybersicherheitsvorfällen eingegangen. Betreiber von Anlagen und Einrichtungen, die als kritische Infrastruktur gelten, sind verpflichtet, solche Vorfälle unverzüglich dem BSI zu melden.

Die Bundesregierung weist in ihrer Antwort allerdings darauf hin, dass nicht hinter jeder Meldung notwendigerweise ein Cyberangriff steht. Nicht in jedem Fall habe der Betreiber aufklären können, ob dem Cybersicherheitsvorfall ein Angriff oder eine andere Ursache zugrunde lag.

Daher sei auch der Anteil von Vorfällen, die auf staatliche Akteure zurückgehen, nicht bekannt. Zur kritischen Infrastruktur zählen beispielsweise Energie- und Transportunternehmen, Telekommunikationsanbieter, Kliniken und Kläranlagen.

Weiterlesen
  26 Aufrufe

heise-Angebot: heise security Webinar: Wie sag ich’s meinem Chef? – Gesprachsführung für ITler

Als ITler wissen Sie recht gut, was für einen sicheren Betrieb des Unternehmens nötig wäre. Aber vor der Umsetzung gilt es, die Geschäftsführung von der Notwendigkeit zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef Themen der Informationssicherheit richtig "zu verkaufen".

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch in der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Weiterlesen
  0 Aufrufe

Kritische Schwachstelle in Kubernetes

Akamai-Sicherheitsforscher haben eine erhebliche Sicherheitslücke in Kubernetes aufgedeckt, die als CVE-2024-9042 markiert wurde. Diese Schwachstelle ermöglicht die Remote-Code-Ausführung (RCE) mit SYSTEM-Rechten auf allen Windows-Endpunkten innerhalb eines Kubernetes-Clusters. Um diese Lücke auszunutzen, muss der Cluster so konfiguriert sein, dass der neue Protokollierungsmechanismus „Log Query“ aktiviert ist.

Die Schwachstelle kann durch eine einfache GET-Anfrage an den Remote-Knoten ausgelöst werden. Ein erfolgreicher Angriff könnte zur vollständigen Übernahme aller Windows-Knoten in einem Cluster führen. Besonders beunruhigend ist, dass diese Schwachstelle auf Standardinstallationen von Kubernetes ausgenutzt werden kann, die sich entschieden haben, Beta-Funktionen zu verwenden, und in Versionen vor 1.32.1 implementiert ist. Dies wurde sowohl in lokalen Bereitstellungen als auch im Azure Kubernetes Service getestet.

 

Original Autor: ZDNet-Redaktion

  26 Aufrufe

Apples USB-C-Controller aus dem iPhone entschlüsselt

Einem Sicherheitsforscher ist es gelungen, Apples neuen USB-C-Controller zu entschlüsseln, der seit dem iPhone 15 in den Smartphones des Konzerns steckt. Einen entsprechenden Talk gab es bereits auf dem letzten Chaos Communication Congress (38C3) Ende Dezember in Hamburg, das Video dazu ist nun publiziert worden. Thomas Roth alias stacksmashing, Gründer des Security-Education-Unternehmens hextree.io, der sich unter anderem auf iOS-Reverse-Engineering spezialisiert hat, zeigt darin, was der sogenannte ACE3 alles kann – und wie er potenziell angreifbar ist.

Anzeige

Der Mikrocontroller stammt eigentlich von Texas Instruments (TI), wurde aber speziell für Apple angepasst. Neben dem iPhone 15 in allen vier Varianten soll er auch in allen iPhone-16-Modellen sowie demnächst im kommenden iPhone SE 4 stecken. Apple hatte aufgrund der USB-C-Pflicht der Europäischen Union zuvor alle iPhones mit proprietärem Lightning-Anschluss vom Markt genommen. Der ACE3 gilt als grundsätzlich bekannt, da er auf dem ACE2 im MacBook Pro basiert. Hier gelang es Roth bereits, mit einem eigenen macOS-Kernelmodul (das sich allerdings nur von Admins installieren lässt) eine persistente Backdoor einzubauen, die auch vollständige System-Restore-Prozesse überlebt.

Beim ACE3 ist das aber nicht mehr so "leicht" möglich. Laut dem Sicherheitsexperten hat Apple angepasste Firmware-Updates pro Gerät implementiert, das Debug-Interface abgeschnitten und eine Flash-Validierung eingebaut. Zudem fehlen Teile der Firmware. Roth musste zum Reverse Engineering mit verschiedenen komplexen Methoden arbeiten, darunter RF-Sidechannel-Analysen und Faultinjection auf elektromagnetische Art. So sei es ihm gelungen, eine Code-Ausführung auf dem ACE3 zu ermöglichen, inklusive ROM-Dump.

Das komplexe Reverse Engineering offenbart einige potenzielle Zugangswege. Der ACE3 soll einen vollwertigen USB-Stack enthalten und verbindet sich mit internen Komponenten wie dem SPMI-Bus und dem JTAG-Application-Prozessor. Dennoch dürfte es schwierig sein, die von Roth vorgeführten Angriffe breit anzuwenden. Er selbst arbeitet aber daran, die notwendigen Hardwarekosten auf unter 100 US-Dollar zu senken.

Weiterlesen
  31 Aufrufe

heise-Angebot: Online-Konferenz zu NIS2-Regulierung: Was Unternehmen jetzt tun müssen

Noch in diesem Jahr wird die deutsche Umsetzung der NIS2-Regulierung wirksam werden. Die europäische Cybersicherheits- und Resilienzrichtlinie NIS2 verpflichtet rund 30.000 – auch mittelständische – Unternehmen in Deutschland zu Maßnahmen zur Stärkung ihrer Resilienz gegenüber Cyberangriffen. Betroffen sind zudem Zulieferer und Dienstleister dieser Unternehmen: NIS2 bezieht ausdrücklich auch die Sicherheit der Lieferkette mit ein.

Anzeige

Die Online-Konferenz NIS2 – was jetzt zu tun ist liefert kompakt an einem Tag Antworten auf die wichtigsten Fragen: Welche Unternehmen sind betroffen? Welche Maßnahmen müssen umgesetzt werden? Welche Fristen gelten dabei? Welche Schwierigkeiten und Fallstricke lauern bei der Betroffenheitsprüfung? Wie läuft die Umsetzung in der Praxis? Und, da NIS2 auch Schulungen von Mitarbeitenden und Geschäftsführung fordert: Wer muss wie geschult werden?

Erfahren Sie am 3. April von rennommierten Expertinnen und Experten für IT-Sicherheit und IT-Recht, was Sie jetzt tun müssen, um Ihr Unternehmen auf NIS2 vorzubereiten. Dabei ist viel Raum für Ihre Fragen vorgesehen. Veranstalter der Konferenz sind iX, das heise-Magazin für professionelle IT, und Sigs Datacom. Bei Buchung bis zum 28. Februar profitieren Sie von 20 Prozent Frühbucherrabatt.

Weiterlesen
  28 Aufrufe

Palo-Alto: Sicherheitslücken in Firmware und Bootloadern von Firewalls

In Hardware-Appliances von Palo Alto Networks klaffen Sicherheitslücken in den Firmwares und Bootloadern. Der Hersteller beschwichtigt, diese Lücken seien kaum ausnutzbar, arbeitet jedoch an korrigierten Firmwares und Bootloadern.

Anzeige

In der Sicherheitsmitteilung von Palo Alto erklären die Entwickler des Unternehmens, dass es von der "Behauptung von mehreren Schwachstellen in Hardware-Geräte-Firmware und Bootloadern als Teil unserer PA-Baureihe an (Hardware-)Firewalls" wisse. "Es ist bösartigen Akteuren oder PAN-OS-Administratoren nicht möglich, diese Schwachstellen unter normalen Bedingungen in PAN-OS-Versionen mit aktuellen, gesicherten Verwaltungsschnittstellen auszunutzen, die den Best-Practices-Regeln entsprechend aufgesetzt wurden", schreiben sie weiter.

User und Admins hätten keinen Zugriff auf die BIOS-Firmware oder die Rechte, sie zu ändern. Angreifer müssten das System kompromittieren und schließlich Linux-Root-Rechte erlangen, um die Lücken zu missbrauchen. Die Schwachstellen hat die IT-Sicherheitsfirma Eclypsium aufgespürt und merkt dazu etwas ironisch an: "Glücklicherweise für Angreifer (und unglücklich für Verteidiger), ist das Erlangen von Root-Rechten auf Palo Alto PAN-OS-Geräten möglich durch das Kombinieren von Exploits für zwei Schwachstellen, CVE-2024-0012 und CVE-2024-9474" –Ende November wurden dadurch weltweit mehr als 2000 Palo-Alto-Geräte geknackt.

Die Sicherheitsmitteilung listet eine Reihe älterer Sicherheitslücken auf, für die jeweils einige konkret untersuchte Geräte-Reihen anfällig sind. Dazu gehört etwa die BootHole genannte Schwachstelle, die im Jahr 2020 bekannt wurde und aufgrund von Fehlern im Bootloader Grub2 trotz Secure Boot Angreifern ermöglicht, sich in den Boot-Prozess einzuklinken und quasi unsichtbare Schadsoftware einzuschleusen.

Weiterlesen
  26 Aufrufe

LKA Niedersachsen warnt vor gefälschten "eister.de"-Steuerrückzahlungsmails

In den Posteingängen von Internetnutzern landen abermals Phishing-Mails, die Opfer mit einer vermeintlichen Steuerrückzahlung ködern. Auffällig bei der aktuell laufenden Masche: Die Absender-Domain nutzt einen "Tipp-Fehler" mit "i" anstatt "l", also als Absender-Domain "eister.de".

Anzeige

Die angebliche Steuerrückzahlung kommt angeblich von der Domain "eister.de" anstatt "elster.de".

(Bild: polizei-praevention.de)

Das LKA Niedersachsen erörtert in der Warnung, dass solche Buchstabenverdreher bereits länger zum Einsatz kommen und ausnutzen, dass Empfänger sie beim flüchtigen Lesen nicht erkennen. Die konkret gezeigte E-Mail landete "bei einer Mitarbeiterin des Landesamtes für Steuern Niedersachsen, die die Fälschung natürlich sofort erkannte". Auffällig ist unter anderem auch die Frist, die bis zum 01.02.2024 läuft – hier könnten Empfänger aufmerken, da wir inzwischen im Jahr 2025 unterwegs sind.

Weiterlesen
  23 Aufrufe

Jeder zweite Betrieb von Netzwerkangriffen betroffen

Unternehmen in Deutschland sind mit vielfältigen Sicherheitsvorfällen konfrontiert. Den Ergebnissen einer Studie des Sicherheitsdienstleisters Kaspersky zufolge waren über die Hälfte (54 Prozent) im vergangenen Jahr von Netzwerkangriffen betroffen, während bei 42 Prozent sogar bereits schädlicher Code innerhalb des Unternehmensnetzwerks ausgeführt wurde. Eine der Herausforderungen im Sicherheitskonzept scheinen Mitarbeitende zu sein: Bei knapp einem Drittel (31 Prozent) wurde ein Angreifer durch das Verhalten der eigenen Mitarbeiter begünstigt.

Cyberkriminelle können Schwachstellen – sowohl technischer als auch menschlicher Natur – ausnutzen, um sensible Daten zu stehlen oder Arbeitsabläufe zu beeinträchtigen. Dabei haben sie in Unternehmen vielfältige Einfallstore, die sie nutzen können.

Wie die Studie zeigt, sieht sich die Mehrheit der Unternehmen in Deutschland hauptsächlich mit drei Arten von Sicherheitsvorfällen konfrontiert:

–  Versuchte Angriffe auf das Unternehmensnetzwerk: 54 Prozent

–  Ausgeführter Schadcode innerhalb des Netzwerks: 42 Prozent

Weiterlesen
  28 Aufrufe

Urteil: Google haftet bei betrügerischen Anzeigen als Störer nach dem DSA

Das Landgericht Düsseldorf hat in einem Verfahren zwischen der Stuttgarter Firma Skinport und Google Irland eine einstweilige Verfügung erlassen und nach einer mündlichen Verhandlung nun auch bestätigt. Der Online-Marktplatz für sogenannte Skins für Counter Strike 2 ist damit nicht nur in erster Instanz erfolgreich gegen unzulässige Phishing-Werbeanzeigen über Google Ads vorgegangen. Vielmehr hat die zuständige Zivilkammer auch entschieden, dass Google in solchen Fällen als Störer nach dem Digital Services Act (DSA) haftet: Der Betreiber des Werbedienstes muss demnach verhindern, dass Betrüger "kerngleiche" – also ähnlich gestrickte – Anzeigen über ihn schalten können.

Anzeige

Mit der im deutschen Recht verankerten Störerhaftung lassen sich Dritte, die zur Verletzung eines geschützten Gutes nur beitragen, zur Verantwortung ziehen. Nach Artikel 8 DSA wird Anbietern von Vermittlungsdiensten – wie in diesem Fall Google – keine allgemeine Pflicht auferlegt, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hindeuten. Der EU-Gesetzgeber hat damit im Kern die Haftungsfreistellung aus der E-Commerce-Richtlinie übernommen, die sich hierzulande im Telemediengesetz (TMG) niederschlug. Ob die Störerhaftung mit den DSA-Vorgaben vereinbar ist, bereitet Juristen bislang Kopfschmerzen.

Google brachte vor dem Landgericht vor: Man habe keine "haftungsbegründende Kenntnis". Der Konzern hat nach Darstellung seiner Anwälte von der umstrittenen Textanzeige vom 8.6. 2023 erstmals mit der Zustellung des ersten gerichtlichen Beschlusses vom 20.6. 2023 erfahren. Die Reklame und der Werbetreibende seien sodann gesperrt worden, damit dieser keine vergleichbaren Phishing-Anzeigen mehr schalten könne. Die Voraussetzungen einer Haftung als Betreiber eines Hosting-Dienstes nach Artikel 6 DSA seien aber nicht erfüllt. Auch bestehe keine Pflicht, vorbeugend gegen einschlägige künftige Rechtsverletzungen vorzugehen.

"Der Widerspruch ist unbegründet", erklärt die Zivilkammer dagegen in ihrem jetzt veröffentlichten Urteil vom 15. Januar (Az.: 2a O 112/23). Google hafte zwar nicht als Täter oder Teilnehmer, aber als Störer. Denn: "Die Störerhaftung steht in Einklang mit den Vorgaben" des nunmehr geltenden Artikel 6 DSA für Vermittlungsdienstleister. Auch damit bleibe die Option bestehen, "dass eine Justiz- oder Verwaltungsbehörde nach dem Rechtssystem eines Mitgliedstaats vom Diensteanbieter verlangt, eine Zuwiderhandlung abzustellen oder zu verhindern".

Weiterlesen
  20 Aufrufe

Nach Sicherheitslücke bei D-Trust: CCC spricht von "Cyber-Augenwischerei"

Der Chaos Computer Club (CCC) wirft dem Vertrauensdiensteanbieter D-Trust "Cyber-Augenwischerei" vor, statt sich seiner Verantwortung nach Entdeckung eines Sicherheitslecks zu stellen. Deswegen schlägt CCC-Sprecher Linus Neumann dem Unternehmen einen 5-Punkte-Plan vor.

Anzeige

Der Entdecker der API-Schwachstelle hatte sich an den CCC gewandt, statt direkt mit D-Trust zu kommunizieren. Grund sei die fehlende rechtliche Absicherung für Sicherheitsforscher, so Neumann. Während D-Trust von einer "gezielten Manipulation" spricht und Strafanzeige erstattete, betont der CCC, dass kein Zugriffsschutz umgangen wurde.

Der CCC empfiehlt nach diesem Vorfall einen 5-Punkte-Plan, nachdem das Unternehmen unter anderem Verantwortung tragen, den Stand der Technik und damit "Sicherheitsstandards des aktuellen Jahrhunderts" einhalten müsse. Zudem fordert der CCC erneut eine Abschaffung des Hackerparagraphen und eine Bestrafung durch die Bundesbeauftragte für Datenschutz und Informationsfreiheit.

Im Podcast "Logbuch:Netzpolitik" sagte Neumann, dass seiner Ansicht nach diejenigen eine Strafanzeige erhalten müssten, die für die offene API Verantwortung tragen. Stattdessen seien die Daten ohne angemessenen Schutz ins Internet gestellt worden, was D-Trust laut Neumann erklären müsse.

Weiterlesen
  34 Aufrufe

Malvertising: Mac-Homebrew-User im Visier

Eine Malvertising-Kampagne läuft bei Google: Mit Links, die vermeintlich auf die Homebrew-Webseite führen, versuchen die Täter ihre Opfer zu ködern. Wer genau hinschaut, entdeckt den kleinen Fehler in der URL.

Anzeige

Die Webseite brew.sh ist die offizielle Webseite zum Homebrew-Projekt, das diverse Open-Source-Programme für macOS verfügbar macht. Es handelt sich um einen – oder eigentlich korrekter, den – Open-Source-Paketmanager für Macs.

Homebrew ist äußerst populär. Daher könnten Opfer auf solche Werbeanzeigen bei Google hereinfallen, die vermeintlich auf die Homewbrew-Webseite verweisen. Die Werbung scheint auch noch korrekte URLs zu verwenden: An mehreren Stellen findet sich die URL "brew.sh" respektive "https://www.brew.sh".

Klicken potenzielle Opfer auf den Link, landen sie auf einer Webseite, die der Original-Homebrew-Webseite zum Verwechseln ähnelt. Die URL lautet jedoch "brewe[.].sh", mit einem zusätzlichen "e" am Ende. Der angegebene Konsolenbefehl, der zur Installation des brew-Systems dient, verweist jedoch nicht auf das reguläre Homebrew-Installationsskript unter "githubusercontent.com", sondern auf eine eher beliebige, vermutlich kompromittierte URL.

Weiterlesen
  38 Aufrufe

heise-Angebot: iX-Workshop: AWS-Sicherheit - Angriffe erkennen und abwehren

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

März
06.03. – 07.03.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 05. Feb. 2025

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 6. und 7. März 2025 statt

Weiterlesen
  0 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image