Comretix Blog

Sind Attacken auf IBM AIX/VIOS erfolgreich, kann es unter anderem zu Fehlern im Betrieb kommen. Nun sind Sicherheitsupdates erschienen.

Wie aus einer Warnmeldung hervorgeht, sind mehrere Module der Python-Komponente wie Expat und SQLite betroffen. Eine Lücke (CVE-2025-6965) gilt als "kritisch". Nach erfolgreichen Attacken kommt es zu Speicherproblemen (Memory corruption).

Setzen Angreifer an einer weiteren Schwachstelle (CVE-2025-59375 "hoch") an, können sie Speicherressourcen blockieren. Davon sind den Entwicklern zufolge AIX 7.3 und VIOS 4.1 betroffen. Gegen die geschilderten Attacken sollen python3.9.base 3.9.23.0 und python3.11.base 3.11.13.0 gerüstet sein. Bislang gibt es keine Berichte über laufende Attacken.

Erst kürzlich haben IBMs Entwickler Sicherheitsprobleme in AIX und QRadar SIEM gelöst.

Der Virenscanner ClamAV soll wieder deutlich schlanker werden. Die Entwickler reduzieren die Virensignaturen, was die Größe der Datenbank spürbar verringert. Zudem fliegen alte Docker-Images raus, es sollen nur noch Images aktiv supporteter ClamAV-Builds weiter gepflegt werden.

Die unter Ciscos Führung laufende Entwicklung des Open-Source-Projekts ClamAV hat auf der Projekt-Webseite die Entrümpelungsaktion angekündigt. "ClamAV wurde erstmals im Jahr 2002 vorgestellt. Seitdem wuchs der Signatursatz unbeschränkt, um der Community so viele Erkennungen wie möglich zu liefern", leiten die Entwickler ein und erklären weiter: "Durch die kontinuierlich wachsende Datenbankgröße und Nutzerzahl sehen wir uns signifikanten Kostensteigerungen für die Verteilung des Signatursatzes an die Community gegenüber."

Cisco Talos habe daher evaluiert, wie relevant und effizient alte Signaturen noch sind. Als Ergebnis daraus schicken die Entwickler Signaturen, die aktuell keinen Wert mehr für die Community haben, in Rente. "Unser erster Durchlauf dieser Verrentungsaktion wird eine signifikante Reduktion der Datenbankgröße sowohl für die daily.cvd als auch die main.cvd haben", führen sie aus.

"Unser Ziel ist es sicherzustellen, dass die Erkennungsinhalte auf aktuell aktive Bedrohungen und Kampagnen ausgerichtet sind. Wir beurteilen dies anhand von Signaturerkennungen, die wir über einen längeren Zeitraum in unseren Datenfeeds und jenen unserer Partner feststellen", erklärt Cisco Talos. Die Programmierer ergänzen: "Wir werden weiterhin die Erkennungshäufigkeit für ausgemusterte Signaturen bewerten und alte Signaturen bei Bedarf wieder in den aktiven Signaturensatz aufnehmen, um die Community zu schützen."

In Zukunft wolle man einen Signatursatz zusammenstellen, der die aktuelle Bedrohungslandschaft abbilde. Das könne zu einer noch weiteren Reduktion der Anzahl Signaturen im Signaturensatz führen – neben dem normalen Wachstum, das durch die Abdeckung neuer Bedrohungen kommt.

Microsoft hat Nerv-Probleme nach der Installation der Sicherheitsupdates aus dem Juli oder neuerer in Windows 11 24H2 eingeräumt. Die treten insbesondere bei nicht-persistenten Windows-Installationen auffallend in Erscheinung.

Das erklärt Microsoft in einem Support-Artikel. "Nach dem Ausstatten eines PCs mit einem kumulativen Update aus dem Juli 2025 oder neuer für Windows 11 24H2 (KB5062553) können diverse Apps wie StartMenuExperiencehost, Search, SystemSettings, Taskbar oder Explorer Schwierigkeiten haben", schreibt Microsoft dort. Das passiere nach dem ersten Nutzer-Log-in nach dem Anwenden des Updates – und bei allen Nutzer-Anmeldungen auf nicht persistenten Betriebssysteminstallationen wie in einer virtuellen Desktop-Infrastruktur (VDI) oder ähnlichen Umgebungen, bei denen App-Pakete bei jedem Log-in installiert werden müssen. Nicht-persistente Installationen kommen etwa in großen Organisationen vor, bei denen kein größerer Grad an Personalisierung des Windows-Desktops nötig ist und in denen sich Nutzerinnen und Nutzer an unterschiedlichen Arbeitsplätzen anmelden können.

Die Fehler treten typischerweise nach Aktualisierungen für mitgelieferte Abhängigkeitspakete auf, die XAML-Komponenten enthalten. Dann können einige Komponenten nicht starten und Fehlermeldungen auf den Bildschirm bringen. Dazu gehören Explorer.exe, ImmersiveShell, ShellHost.exe oder etwa StartMenuExperienceHost. Außerdem können Anwendungsabstürze beim Initialisieren von XAML-Ansichten auftreten oder der Explorer laufen, ohne in der Taskleiste einen Eintrag anzuzeigen. Konkret lassen sich etwa Abstürze des Explorers beobachten, das Startmenü öffnet sich nicht und zeigt eine kritische Fehlermeldung, die Systemeinstellung "Start" – "Einstellungen" – "Systems" startet einfach nicht ohne weitere Rückmeldung oder die ShellHost.exe stürzt ab.

Die Problemursache hat Microsoft inzwischen gefunden und bestätigt. Die betroffenen Apps haben Abhängigkeiten von XAML-Paketen, die nach der Installation des Updates nicht rechtzeitig registriert werden. Zwar arbeitet Microsoft an einer automatischen Lösung für das Problem, liefert im Support-Beitrag aber auch Hinweise, wie IT-Verantwortliche in betroffenen Umgebungen sich behelfen können.

Dazu gehört das manuelle Registrieren der fehlenden Pakete in der Nutzersitzung und ein anschließender Neustart des SiHost. Microsoft stellt dazu drei Befehle zur Verfügung, die die Registrierung übernehmen. Zudem stellt Microsoft ein Powershell-Skript für nicht persistente Umgebungen bereit. Das sollen Admins als Log-on-Skript laufen lassen.

Die IT-Sicherheitslösung Email Security und die Fernzugriffssoftware SonicOS SSLVPN von SonicWall sind verwundbar. Nutzen Angreifer die mittlerweile geschlossenen Sicherheitslücken aus, können Sie Systeme im schlimmsten Fall vollständig kompromittieren. Auch wenn es bislang keine Berichte zu laufenden Attacken gibt, sollten Admins ihre Instanzen zeitnah durch die Installation von Sicherheitsupdates schützen.

Email Security ist einer Warnmeldung zufolge über zwei Softwareschwachstellen attackierbar. Weil beim Download von Code die Dateiintegrität nicht geprüft wird, können Angreifer Systemdateien modifizieren. Auf diesem Weg können sie sich etwa über ein mit Schadcode präpariertes Root-Dateisystem-Image dauerhaft im System verankern. Die Lücke (CVE-2025-40604) ist mit dem Bedrohungsgrad "hoch" eingestuft. Damit eine solche Attacke klappt, müssen Angreifer aber Zugriff auf den Datenspeicher oder VMDK haben.

Auch über die zweite Lücke (CVE-2025-40605 "mittel") können sie Daten manipulieren. Konkret bedroht sind Email Security Appliance 5000, 5050, 7000, 7050, 9000, VMware und Hyper-V. Die Entwickler versichern, die Schwachstellen in den Versionen 10.0.34.8215 und 10.0.34.8223 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein.

SonicOS SSLVPN ist laut den Informationen in einer Warnmeldung über eine Lücke (CVE-2025-40601 "hoch") angreifbar. An dieser Stelle können Angreifer Speicherfehler auslösen, was zu Abstürzen führt. Wie solche DoS-Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

Davon sind verschiedene Gen7- und Gen8-Firewalls betroffen, die die Entwickler in der Warnmeldung auflisten. Um Systeme zu schützen, müssen Admins mindestens die Version 7.3.1-7013 oder 8.0.3-8011 installieren.

Nach zwei Jahren hat die US-Börsenaufsicht ihre Klage gegen den US-Softwareanbieter Solarwinds und dessen Chief Information Security Officer (CISO) fallen lassen, in der es um einen weitreichenden Cyberangriff gegangen war. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf die Securities and Exchange Commission (SEC). Damit endet ein mit großer Aufmerksamkeit verfolgtes Verfahren, in dem es um den weitreichenden Vorwurf gegangen ist, dass SolarWinds vor dem Angriff mit einer potenten Malware gewusst haben soll, dass die eigene IT mangelhaft war. Man hoffe, dass diese Entscheidung die Sorgen anderer Sicherheitschefs zerstreuen helfe, zitiert Reuters das Unternehmen. Das Vorgehen habe abschreckend gewirkt.

In der Klage hat die SEC Solarwinds und CISO Timothy G. Brown persönlich vorgeworfen, "Investoren betrogen zu haben". Die öffentlichen Äußerungen von Solarwinds über die hauseigenen Cybersicherheitspraktiken und -risiken hätten im Widerspruch zu internen Einschätzungen gestanden, der Betrug habe über zwei Jahre angedauert. Brown sei sich der Cybersicherheitsrisiken und -schwachstellen von SolarWinds bewusst gewesen, habe es aber versäumt, die Probleme zu lösen oder sie teilweise auch nur intern anzusprechen. Das Unternehmen hat das entschieden zurückgewiesen und erklärt, dass das Vorgehen die nationale Sicherheit der USA gefährden würde. Die Klage sollte Firmen und Cybersicherheitsexperten alarmieren, warnte Solarwinds damals.

Von dem Cyberangriff auf Solarwinds' Software für das IT- und Netzwerkmanagement waren 2019 zahlreiche Regierungsbehörden und Konzerne betroffen. Cyberkriminelle hatten unbemerkt Schadcode in deren Systeme eingeschleust. Die Angreifer mussten keine Code-Signing-Zertifikate oder -Schlüssel stehlen, da sie bösartigen Code bereits während des Build-Prozesses einfügten, die das Unternehmen am Ende der Entwicklung selbst signierte. Die Auswirkungen der Attacke waren gravierend, Microsoft-Präsident Brad Smith etwa sprach vom "größten und raffiniertesten Angriff, den die Welt je gesehen hat".

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Etwa 30 Namen von Unternehmen sind auf der Darknet-Seite der kriminellen Vereinigung cl0p neu aufgetaucht. Darunter sind auch einige bekannte und global aktive.

Auf der Darknet-Seite von cl0p sind einige renommierte Unternehmen aufgetaucht.

(Bild: heise medien)

Unter den angeblich betroffenen Unternehmen finden sich Größen wie Broadcom, Canon, Mazda (und zusätzlich Mazda USA) oder auch der Reifenhersteller Michelin. Es finden sich von den betroffenen Unternehmen bislang noch keine Stellungnahmen oder Bestätigungen von etwaigen Datenlecks, die kürzlich erfolgt wären. Die Täter haben auf der Darknet-Leaksite von cl0p derzeit lediglich allgemeine Unterseiten ohne Details oder Ausschnitte aus den abgezogenen Daten angelegt. Es ist also unklar, in welchem Umfang und was für Daten die Kriminellen erlangt haben wollen.

Bislang waren angekündigte Datendiebstähle von cl0p echt, es handelte sich regelmäßig nicht um Bluffs. Etwa Anfang des Monats nahm cl0p Logitech und die Washington Post in die Liste der kompromittierten Unternehmen auf. Rund eine Woche später bestätigte Logitech, dass Angreifer Zugriff auf Computersysteme erlangt und dabei Daten von Kunden und Mitarbeitern kopiert haben. Die Washington Post hat Anfang der Woche ebenfalls mit einer Meldung eines Datenschutzvorfalls eingeräumt, dass Daten von knapp 10.000 ehemaligen und aktuellen Mitarbeitern sowie Auftragnehmern von kriminellen Eindringlingen kopiert wurden.

Salesforce untersucht derzeit ungewöhnliche Aktivitäten von Gainsight-Applications. Die Apps könnten unbefugten Zugriff auf Daten von Kundinnen und Kunden erlangt haben.

Das teilt das Salesforce auf seiner Webseite mit. "Salesforce hat ungewöhnliche Aktivitäten im Zusammenhang mit von Gainsight veröffentlichten Anwendungen festgestellt, die mit Salesforce verbunden sind und von Kunden selbst installiert und verwaltet werden. Unsere Untersuchungen deuten darauf hin, dass diese Aktivitäten möglicherweise einen unbefugten Zugriff auf die Salesforce-Daten bestimmter Kunden über die Verbindung der App ermöglicht haben", schreibt das Unternehmen.

Auf der Webseite hat Salesforce einen Warnhinweis veröffentlicht.

(Bild: heise medien)

Nach der Entdeckung dieser Aktivitäten habe Salesforce alle aktiven Zugriffe zurückgezogen (revoke). Außerdem hat Salesforce die Erneuerung von Token angestoßen, mit denen die von Gainsight veröffentlichten und mit Salesforce verbundenen Apps Zugriff erlangen. Zudem hat das Unternehmen die Apps temporär aus dem AppExchange rausgeworfen, solange die Untersuchungen andauern.

In der vergangenen Woche gelang der niederländischen Polizei ein Schlag gegen einen Bulletproof Hosting Provider (BPH), zahlreiche Server konnte sie beschlagnahmen. Die US-amerikanische IT-Sicherheitsbehörde CISA liefert zudem mit internationalen Partnern Hinweise, wie sich die Risiken durch BPH abwehren lassen.

Bereits in der vergangenen Woche konnte die niederländische Polizei im Rahmen von Ermittlungen gegen ein betrügerisches Hosting-Unternehmen tausende Server beschlagnahmen, wie sie auf ihrer Webseite mitteilt. Der Hoster wurde Polizeiinformationen zufolge ausschließlich für kriminelle Tätigkeiten genutzt – seit 2022 war er in mehr als 80 Ermittlungen zu Cybercrime, auch auf internationaler Ebene, verwickelt.

Der betroffene Bulletproof Hoster warb damit, absolut sicher zu sein und vollständige Anonymität für Nutzerinnen und Nutzer zu bieten – und zudem nicht mit Strafverfolgungsbehörden zusammenzuarbeiten. Das ist typisch für Bulletproof Hoster, sie ermöglichen Kriminellen, unerkannt und folgenlos im Internet bösartige Aktionen auszuführen – anders als "reguläre" Hoster, die etwa Webseiten von Unternehmen und deren Internetdienste hosten.

Beim BPH, der Kriminellen "sichere" Internetzugriffe anbot, hat die niederländische Polizei am 12. November rund 250 physische Server in Rechenzentren in Den Haag und Zoetermeer beschlagnahmt. Die hosteten tausende virtuelle Server. Diese untersuchen die Strafverfolger nun im Zuge der weiteren Ermittlungen. Weitere kriminelle Aktionen sind über die Infrastruktur damit jetzt nicht mehr möglich. Zuvor nutzten die bösartigen Akteure den Hoster für Speicherplatz, aber auch zum Ausführen von Ransomware-Angriffen, zur Kontrolle von Botnetzen, für Phishing-Betrug und Verbreitung von Kinderpornografie.

Das US-Finanzministerium hat zudem am Mittwoch dieser Woche gemeinsame Sanktionen von Australien, den USA und dem Vereinigten Königreich gegen russische Cybercrime-Infrastrukturen, die Ransomware unterstützen, angekündigt. Die richten sich gegen den in Russland sitzenden Bulletproof Hoster "Media Land", zudem gegen "Hypercore Ltd." und "Aeza Group LLC". Diese stellten essenzielle Dienstleistungen für Cyberkriminelle bereit. Die Sanktionen umfassen etwa, dass aller Besitz der beschuldigten Personen und Hoster in den USA eingefroren und an die Abteilung Office of Foreign Assets Control (OFAC) des US-Finanzministeriums gemeldet werden muss. Finanzinstitutionen, die mit den Kriminellen zusammenarbeiten, können dadurch ebenfalls Ziel von Sanktionen werden.

Das chinesische KI-Modell DeepSeek-R1 reagiert auf eine ungewöhnliche Art und Weise "allergisch", wenn in Prompts Begriffe stehen, die für die chinesische Regierung als Reizwörter gelten. Das haben jetzt Sicherheitsforscher von CrowdStrike herausgefunden. Das Large Language Model (LLM) gibt in solchen Fällen nämlich bei Programmierprojekten unsicheren Code aus. Stehen keine entsprechenden Begriffe im Prompt, sei das Ergebnis deutlich besser, wiesen die Forscher in Versuchen nach.

Zu den Reizwörtern gehören politisch sensible Begriffe wie "Uiguren", "Falun Gong" und "Taiwan". Im Falle der politischen Bewegung "Falun Gong" verweigert das LLM sogar in 45 Prozent der Fälle komplett die Code-Generierung, schreibt CrowdStrike in einem Blogbeitrag. Die Forscher vermuten, dass DeepSeek eine Art Kill-Switch integriert hat. Beim Reasoning-Modell stellten sie fest, dass die KI eine Antwort detailliert vorbereitet, dann aber plötzlich mit einer Fehlermeldung abbricht.

Bei der schlechten Qualität des ausgegebenen Codes haben die Forscher hingegen eine andere Vermutung. Sie gehen davon aus, dass das Modell beim Training unbeabsichtigt gelernt hat, dass die negativ besetzten Begriffe auch zu schlechten Ergebnissen führen müssen. Dass DeepSeek sein Modell entsprechend trainiert, liege daran, dass die chinesische Regulierung KI-Diensten auferlegt, "sozialistische Kernwerte" einzuhalten.

Zu den unsicheren Code-Erzeugnissen gehörte etwa, dass Kennwörter in Skripts fest einprogrammiert wurden, was sie angreifbar macht, oder Datenübernahmen auf unsichere Weise erfolgen. Zugleich behauptete das Modell aber, dass es die Vorgehensweise von PayPal anwende und damit sicheren Code erzeuge. DeepSeek-R1 erzeugte in einem Beispiel eine komplette Web-App, verzichtete aber auf ein Session-Management und Authentifizierung. In anderen Beispielen wurden Passwörter mit unsicherem Hashverfahren oder im Klartext gespeichert.

In der Studie wurden 6050 Prompts pro LLM angewendet. Jede Aufgabe wurde fünfmal wiederholt, um herauszufinden, ob die Beobachtungen reproduzierbar sind. CrowdStrike empfiehlt, dass Unternehmen, die LLMs bei der Programmierung einsetzen, diese systematisch auf Sicherheit testen sollten – besonders unter realen Einsatzbedingungen. Es reiche nicht aus, sich einfach auf Benchmark-Angaben der Entwickler zu verlassen.

Windows-Treiber sieht Microsoft als Sicherheitsproblem an. Daher sollen die nun sicherer werden. Einen Ausblick, wie das Unternehmen sich das vorstellt, hat es nun auf der Ignite-Veranstaltung geliefert.

Microsoft schreibt in einem zugehörigen Blog-Beitrag, dass Treiber resilienter werden sollen, um IT-Vorfälle zu vermeiden. Das Unternehmen nennt dazu das Vorgehen bei Antiviren-Software als erfolgreiches Beispiel. Neben umfangreicher Tests und dem präventiven Aufsetzen von "Vorfall-Reaktion"-Prozessen. Ganz wichtiger Punkt zudem: "Raus aus dem Kernel!" – Microsoft wollte in dem Rahmen Schnittstellen bereitstellen, die es Antivirenherstellern ermöglichen, außerhalb des Windows-Kernels zu operieren – im User-Space, ohne Kernel-Treiber. Es handelt sich um eine Reaktion auf das Crowdstrike-Debakel, das im vergangenen Jahr global zum Ausfall von Millionen von Windows-Systemen geführt hatte.

Im Blog-Beitrag erörtert Microsoft, dass die Verschiebung von AV-Software in den User-Mode dazu führt, dass Fehler dadurch nicht das ganze Windows-System mit in den Abgrund reißen. Sie betreffen dann nur die Antiviren-Software. Das "Driver Resilience Playbook" will Microsoft auf dieser Basis auf das ganze Windows-Ökosystem ausweiten, über das AV-Szenario hinaus. Microsoft fasst zusammen, dass das Unternehmen die Latte für die Treibersignierung höher legt und es zugleich einfacher macht, verlässliche Windows-Treiber zu bauen.

Microsoft gibt eine Übersicht über die Änderungen. Details werden sicherlich folgen, da Entwickler deutlich präzisere Informationen benötigen. Etwas schwammig erklärt Microsoft, dass das Treiber-Signieren die Latte mit neuen Zertifizierungstests höher legt für Sicherheit und Resilienz. Microsoft will zudem die vom Unternehmen bereitgestellten und mitgelieferten Treiber und APIs ausweiten, sodass Partner selbst geschriebene, angepasste Kernel-Treiber mit standardisierten Windows-Treibern ersetzen oder Programmlogik gar in den User-Mode verschieben können. Der Hersteller erwartet, dass in den kommenden Jahren eine signifikante Reduktion an Kernel-Mode-Code über mehrere Treiberklassen hinweg eintritt, etwa bei den Geräteklassen Netzwerk, Kameras, USB, Drucker, Akkus, Speicher und Audio.

Unterstützung für Kernel-Treiber von Drittanbietern soll es aber auch weiterhin geben, insbesondere dort, wo es keine Windows-eigenen Treiber gibt. Als Beispiel nennt Microsoft etwa Grafiktreiber, die aus Performancegründen den Kernel-Mode nutzen müssen. Allerdings will Microsoft praktische Weichen stellen, die die Qualität verbessern und Fehler begrenzen, bevor diese in Ausfälle münden. Dazu gehören zwingend erforderliche Compiler-Sicherheitsvorkehrungen, um Treiber-Verhalten einzuschränken, Treiber-Isolierung, um die Weite der Auswirkungen zu begrenzen und DMA-Remapping, um unbeabsichtigten Treiber-Zugriff auf Kernel-Speicher zu verhindern.

Angreifer haben es zum wiederholten Male auf Fortinets Web Application Firewall (WAF) FortiWeb abgesehen. Mittlerweile gibt es einen Sicherheitspatch. Es sind aber noch weitere Produkte des Anbieters von Netzwerksicherheit-Appliances angreifbar.

Admins sollten einen Blick auf den IT-Sicherheitsbereich der Fortinet-Website werfen, um die für sie relevanten Produkte ausfindig zu machen. Im Anschluss sollten sie die verfügbaren Sicherheitsupdates zeitnah installieren.

FortiWeb ist abermals im Visier von Angreifern. Dieses Mal schleusen Angreifer Schadcode über HTTP-Anfragen oder CLI-Kommandos auf Instanzen und kompromittieren diese. In welchem Umfang die Attacken ablaufen und was Angreifer konkret anstellen, ist derzeit nicht bekannt. Die Schwachstelle (CVE-2025-58034 "hoch") haben die Entwickler eigenen Angaben zufolge in den folgenden Ausgaben geschlossen. Alle vorigen Versionen sollen angreifbar sein.

Vor den Attacken warnt bereits die US-Sicherheitsbehörde CISA. Sie stuft die Lücke als Gefahr für Bundesunternehmen ein. Erst vor wenigen Tagen wurde bekannt, dass Angreifer eine "kritische" Softwareschwachstelle in FortiWeb ausnutzen und im Anschluss Aktionen als Admin ausführen.

Drei Lücken in FortiClientWindows (CVE-2025-47761, CVE-2025-46373) und FortiVoice (CVE-2025-58692) sind mit dem Bedrohungsgrad "hoch" versehen. An diesen Stellen können Angreifer etwas ohne Authentifizierung ansetzen, um Schadcode auszuführen.

Im populären Packprogramm 7-Zip attackieren Angreifer eine Sicherheitslücke, die das Einschleusen von Schadcode und Ausführung mit erhöhten Rechten ermöglicht. Aktualisierungen zum Schließen des Sicherheitslecks stehen bereits länger bereit.

Vor beobachteten Angriffen auf die Sicherheitslücke CVE-2025-11001 warnt nun der nationale Gesundheitsdienst von England (National Health Service, NHS). "Aktive Angriffe auf CVE-2025-11001 wurden in freier Wildbahn beobachtet. Ein Sicherheitsforscher hat zudem einen Proof-of-Concept-Exploit (PoC) für CVE-2025-11001 veröffentlicht. Der PoC erlaubt Angreifern, das Handling von symbolischen Links zu missbrauchen, um Dateien außerhalb des vorgesehenen Ordners zum Entpacken zu schreiben, was in einigen Szenarien das Ausführen beliebigen Codes ermöglicht." Weitergehende Informationen zu den Attacken nennt der NHS jedoch nicht.

Die ursprüngliche Erläuterung der Sicherheitslücke durch Trend Micros Zero Day Initiative (ZDI) war äußerst knapp. Der später veröffentlichte CVE-Eintrag liefert hingegen mehr Informationen, auch beim ZDI sind die nun zu finden. Demnach kann 7-Zip beim Verarbeiten von Archiven patzen, sodass Angreifer eine "Path Traversal" missbrauchen können – also das Durchwandern von Verzeichnissen mit Anweisungen wie "../" zum Zugriff auf übergeordnete Verzeichnisse. Der Umgang mit symbolischen Links in 7-Zip vor 25.00 war fehlerhaft. Dadurch konnten manipulierte Archive Code einschleusen, indem sie etwa Dienst-Dateien überschreiben und dann mit deren Rechten ausführen. Nutzerinteraktion ist erforderlich, so ein Archiv muss entpackt werden (CVE-2025-11001, CVSS 7.0, Risiko "hoch").

Es handelt sich um eine Sicherheitslücke, die der Entwickler bereits im Juli mit Version 25.00 von 7-Zip angegangen ist. Da 7-Zip jedoch keinen integrierten Update-Mechanismus besitzt, müssen Nutzerinnen und Nutzer selbst aktiv werden und die Software auf den aktuellen Stand bringen. Sie sollten unbedingt die aktuelle Version von der Download-Seite von 7-Zip herunterladen und damit die bisher installierte Version ersetzen.

Das von IT-Admins und Sicherheitsexperten geschätzte Werkzeug Sysmon (System Monitor) von Sysinternals landet direkt in Windows. Das hat der Entwickler des Toos, Mark Russinovich, in einem seiner äußerst seltenen Blog-Beiträge in Microsoft Techcommunity angekündigt.

Das Verteilen und Warten von Sysmon im Netzwerk sei eine manuelle und zeitraubende Aufgabe, erklärt Russinovich dort. Dazu gehört das Herunterladen der Binärdateien und die Verteilung über tausende Endpunkte. Dieser Arbeit-Overhead berge zudem Risiken, wenn dadurch Aktualisierungen verzögert würden. Fehlender offizieller Support für Sysmon in Produktionsumgebungen bedeute ein zusätzliches Risiko und zusätzlichen Wartungsaufwand in der eigenen Organisation.

Sysmon ist bislang Bestandteil der Tool-Sammlung von Sysinternals, die Microsoft vor langer Zeit mitsamt ihrem Schöpfer Russinovich eingekauft hat. Es handelt sich um ein Überwachungswerkzeug, das Sichtbarkeit für Windows-Ereignisse schafft. IT-Admins und Sicherheitsexperten erkennen damit etwa Zugangsdatendiebstahl oder laterale Bewegung von Angreifern im Netz; es handelt sich damit um ein mächtiges Forensik-Werkzeug.

Ohne einen konkreten Zeitpunkt zu nennen, kündigt Russinovich für das kommende Jahr an, dass Windows 11 und Windows Server 2025 die Sysmon-Funktionen nativ ins Betriebssystem bringen. Sie erlauben weiterhin den Einsatz angepasster Konfigurationsdateien zur Filterung der mitgeschnittenen Ereignisse. Die landen wie bisher im Windows-Ereignisprotokoll, wo sie weitreichend nutzbar sind, etwa von Sicherheitsanwendungen.

Das soll die Sicherheit von Windows im Rahmen von Microsofts Secure Future Initiative (SFI) verbessern, indem es die Komplexität reduziert und Verzögerungen beseitigt, die die manuelle Verwaltung erzeugt. Außerdem hilft es, fortschrittliche Sicherheitsdiagnose-Daten ab Werk zu liefern. Sysmon soll über die Windows-Einstellungen – "System" – "Optionale Features" einrichtbar werden. Laut Russinovich ist noch der Befehl sysmon -i zur Installation des Treibers und dem Start des Sysmon-Diensts nötig. Umfängliche Dokumentation etwa zur Konfiguration soll zur allgemeinen Verfügbarkeit des Features erscheinen.

Wenn Angreifer eine bestimmte Hürde überwinden können, sind Systeme mit Serv-U durch Schadcodeattacken kompromittierbar. Solwarwinds Platform ist ebenfalls verwundbar. Für beide Produkte des Softwareherstellers sind Sicherheitspatches verfügbar. Noch gibt es keine Berichte über Attacken.

In einer Warnmeldung zu drei "kritischen" Schwachstellen (CVE-202540547, CVE-202540548, CVE-202540549) führen die Entwickler aus, dass Angreifer Schadcode auf PCs schieben und ausführen könnten. Das klappt aber nur, wenn Angreifer bereits über Admin-Rechte verfügen. Eine derartige Voraussetzung ist eigentlich untypisch für eine kritische Einstufung.

Aus der Beschreibung der Lücke geht hervor, dass das Risiko unter Windows als "mittel" gilt, weil Services in diesem Fall in der Regel mit niedrigeren Nutzerrechten laufen. Die Entwickler versichern, die Sicherheitsprobleme in Serv-U MFT und Serv-U FTP Server 15.5.3 gelöst zu haben.

In Solarwinds Platform 2025.4.1 haben die Entwickler insgesamt acht Lücken geschlossen. Der Großteil ist mit dem Bedrohungsgrad "mittel" eingestuft. Setzen Angreifer erfolgreich an einer mit "hoch" eingestuften Schwachstelle (CVE-2025-47072) an, können sie über eine DoS-Attacke Software-Abstürze auslösen.

Zum Beginn der Heizsaison nutzen Kriminelle die Gelegenheit und versuchen, Opfer mit vermeintlichen Heizöl-Schnäppchen zu ködern. Ebenso haben sie Angebotsjäger im Rahmen der Black Week und der folgenden Weihnachtsgeschenke-Käufe im Visier. Doch nach Bestellung ist lediglich das Geld weg, Waren kommen keine.

Vor Fakeshops mit angeblich billigen Heizöl- und Brennholz-Angeboten warnt die Verbraucherzentrale Nordrhein-Westfalen aktuell. Vor dem Zuschlagen bei solchen Offerten lohnt sich eine Prüfung des Onlineshops im Fakeshop-Finder der Verbraucherzentralen. Die c't hat einige praktische Tipps und Hinweise zur Erkennung von Betrugsabsichten in petto, auch die etwas älteren Hinweise besitzen weiterhin Gültigkeit.

Die Verbraucherzentrale NRW warnt, dass jetzt in der kalten Zeit viele Verbraucher erst spät merken, dass der Heizöltank oder das Brennholz-Lager nicht gefüllt sind, und dadurch in Zeitdruck geraten. Fakeshops nutzen dies aus und locken mit Preisen, die weit unter dem Marktpreis liegen. Die Aufmachung der falschen Onlineshops wirke auf den ersten Blick seriös, wodurch potenzielle Opfer leicht darauf hereinfallen können. Die Verbraucherzentralen haben eine aktuelle Liste von derzeit aktiven betrügerischen Onlineshops herausgegeben. Nicht bestellen sollten Verbraucher demnach bei:

Die kriminellen Täter satteln mit ihren betrügerischen Angeboten auf saisonal aktuelle Themen und Ereignisse auf. Daher sollten Kaufinteressierte jetzt auch im Rahmen der Angebotsjagd zur Black Week – dem ausgeweiteten Black Friday, der anlässlich des US-amerikanischen Thanksgiving stattfindet –, die traditionell die Weihnachtskäufe einläutet, aufmerksam und vorsichtig bleiben. Die oben verlinkten Hinweise helfen dabei.

Von der Online-Betrugsmasche mit Fakeshops sind viele Menschen tatsächlich betroffen. Einer kürzlich veröffentlichten Forsa-Umfrage im Auftrag der Verbraucherzentralen zufolge ist in den vergangenen zwei Jahren fast jeder achte Online-Shopper auf so einen betrügerischen Handel hereingefallen. Einer aktuellen SCHUFA-Umfrage zufolge erstatten gut ein Drittel der Fakeshop-Opfer überhaupt Anzeige bei der Polizei. Die Umfrage hat die Nordlight research GmbH im Auftrag der SCHUFA vom 09.09.2025 bis zum 25.09.2025 mit einem Online-Panel unter 1000 bevölkerungsrepräsentativen Teilnehmern durchgeführt.

Vier Sicherheitslücken bedrohen den D-Link-Router DIR-878. Das Gerät befindet sich aber bereits seit Ende Januar 2021 nicht mehr im Support (End-of-Life, EoL) und bekommt seitdem keine Sicherheitsupdates mehr. Wer den Router noch nutzt, sollte ihn spätestens jetzt entsorgen und durch ein neues Modell ersetzen.

Die vier Schwachstellen (CVE-2025-60672, CVE-2025-60673, CVE-2025-60674, CVE-2025-60676) listen die Entwickler in einer Warnmeldung auf. Eine Einstufung des Bedrohungsgrads steht noch aus. Setzen Angreifer erfolgreich an den Lücken an, können sie über verschiedene Wege Schadcode ausführen. Danach gelten Geräte generell als vollständig kompromittiert.

Angreifer können Attacken zum Beispiel aus der Ferne und ohne Authentifizierung über das Versenden von präparierten HTTP-Anfragen einleiten.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

China hat nicht nur eine weltberühmte Große Mauer in der Landschaft, sondern auch ein berüchtigtes Filtersystem im Internet. Die Große Chinesische Firewall (Great Firewall, GFW) steht sozusagen an der virtuellen Grenze des Landes, wo sie ein- und ausgehende Verbindungen analysiert und – wenn sie unerwünscht sind – unterbindet.

Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungeschützt zum Abruf bereit. Österreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten – darunter öffentliche Schlüssel – herunterladen, ohne auf ein Hindernis zu stoßen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl größte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.

Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf: Aus den Daten lässt sich nämlich erstaunlich viel ablesen, und für manche User kann das lebensbedrohlich sein.

Da sind einmal Informationen, die für Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gründen: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Geschäftskonten, wie groß ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren großen Maßstabs. Und dann sind da mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können – obwohl die Forscher keine Datenpakete an oder von Endgeräten übertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.

So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen lässt.

Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate später gab es dann schon 67 Millionen iranische Konten. Deutlich stärker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Gerät nutzen. Während der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.

Die Stadtwerke Detmold wurden Opfer eines IT-Angriffs. Seit Montag sind die daher nicht mehr erreichbar – weder telefonisch noch per E-Mail.

Auf der Homepage der Stadtwerke Detmold begrüßt ein Banner die Besucher, in dem zu lesen steht: "Aufgrund eines großflächigen IT-Ausfalls sind die Stadtwerke Detmold derzeit nicht erreichbar." Was vorgefallen ist, wie die konkreten Auswirkungen sind oder Ähnliches findet sich dort jedoch nicht. Der WDR berichtet, dass die "Versorgungssicherheit in den Bereichen Trinkwasser, Strom, Gas und Fernwärme weiter gewährleistet" sei.

Dienste der Webseite lassen sich jedoch nicht nutzen, etwa zur Übermittlung von Zählerständen. Telefonisch geht auch überhaupt nichts – auch das Kundenzentrum ist nicht erreichbar, sodass der Hinweis, dass Kunden sich über eine Hotline melden können, zumindest in die Irre führt. Angeblich sei das LKA informiert und ermittele in der Sache. Ob Kundendaten betroffen sind, sei Gegenstand derzeitiger Untersuchungen.

Mit der Datenbank censys.io, die Ergebnisse von Internet-Scans öffentlich zugreifbar macht, lassen sich einige Systeme der Stadtwerke Detmold finden. Bis Montagabend war etwa ein System über HTTP im Internet zugreifbar, auf dem sehr alte PHP-Skripte mit Zeitstempeln aus 2013 zu finden waren. Die PHP-Version dazu lautet 5.4.36 – gut abgehangen aus dem Dezember 2014. Der Debian-Kernel 3.2.65 lässt sich dem Jahr 2015 zuordnen – das im Internet stehende System meldete auch den 9. Januar 2015 als Build-Datum.

Öffentlich zugreifbar war etwa ein System mit 12 Jahre alten PHP-Skripten.

Verschiedene Dell-Computer, auf denen ControlVault 3 installiert ist, sind angreifbar. Um möglichen Attacken vorzubeugen, sollten Admins die Anwendung zeitnah auf den aktuellen Stand bringen.

Dell ControVault3 ist eine hardwarebasierte Sicherheitslösung, die Zugangsdaten wie Passwörter und biometrische Daten speichert. Nun könnten Angreifer nach erfolgreichen Attacken auf diese Daten zugreifen.

In einer Warnmeldung listet der Computerhersteller insgesamt sieben Sicherheitslücken auf. Diese stecken in der Broadcom-Firmware und den -Treibern. In dem Beitrag finde sich auch die bedrohten Laptopmodelle wie Latitude 7330, Precision 7780 und Pro 13 Plus PB13250. Die Entwickler versichern, ControlVault3 6.2.36.47 abgesichert zu haben. Alle vorigen Versionen seien verwundbar.

Am gefährlichsten gelten zwei Lücken (CVE-2025-36553 "hoch", CVE-2025-32089 "hoch"), an der Angreifer mit einem präparierten ControlVault-API-Call an die CvManager-Funktionalität ansetzen können. Das führt zu einem Speicherfehler (Buffer overflow) und darüber kann Schadcode auf Systeme gelangen. Danach gelten Computer in der Regel als vollständig kompromittiert.

Eine weitere Schwachstelle (CVE-2025-31649) mit dem Bedrohungsgrad "hoch" kann unerlaubte Zugriffe ermöglichen. Der Grund dafür ist ein hartkodiertes Passwort. Weiterhin können sich Angreifer höhere Rechte verschaffen (CVE-2025-31361 "hoch").