Comretix Blog

In den VMware Tools klafft eine Sicherheitslücke, durch die Angreifer mit niedrigen Rechten in einer VM ihre Zugriffsrechte ausweiten können. Broadcom hat aktualisierte Software bereitgestellt, die diese Schwachstelle ausbessert.

In der Sicherheitsmitteilung von Broadcom erörtern die Autoren, dass aufgrund unzureichender Zugriffskontrollen die Umgehung der Authentifizierung möglich ist (CVE-2025-22230, CVSS 7.8, Risiko "hoch"). Bösartige Akteure mit nicht-administrativen Rechten in einem Windows-Gastsystem können dadurch Operationen, die höhere Zugriffsrechte benötigen, ausführen. Wie solche Angriffe aussehen und sich erkennen lassen, erörtern die Autoren der Mitteilung jedoch nicht.

Verwundbar sind die VMware Tools 11.x.y sowie 12.x.y unter Windows; VMware Tools für Linux und macOS sind hingegen nicht anfällig. Die VMware Tools in Version 12.5.1 für Windows sollen die Sicherheitslücke schließen.

Die aktualisierte Fassung steht nach dem Log-in auf der Download-Seite von Broadcom zum Herunterladen bereit. Laut den Release-Notes zum Update bessert die aktualisierte Software auch eine Sicherheitslücke in den mitgelieferten MS Visual C++ 2015-2022 Redistributables aus. Die Schwachstelle mit dem CVE-Eintrag CVE-2024-43590 ermöglicht laut Microsoft ebenfalls die Ausweitung der Rechte. Die Redmonder Entwickler haben eine Risikoeinschätzung als "hoch", mit einem CVSS-Wert von 7.8, dazu angegeben.

Anfang des Monats wurden Sicherheitslücken in VMware ESXi bekannt, die von Angreifern attackiert wurden. In der ersten März-Woche waren noch zehntausende Server verwundbar und im Internet exponiert. Die Admins hatten die Aktualisierung zum Stopfen der als "kritisch" eingestuften Sicherheitslücke offenbar noch nicht installiert. In Deutschland waren zu dem Zeitpunkt noch 2800 Server verwundbar, global hingegen mehr als 41.000.

Google hat in der Nacht zum Mittwoch eine Aktualisierung für den Webbrowser Chrome veröffentlicht. Sie stopft ein Zero-Day-Sicherheitsleck, das Angreifer bereits in freier Wildbahn missbrauchen. Wer Chrome einsetzt, sollte zügig prüfen, ob bereits die fehlerkorrigierte Fassung installiert und aktiv ist.

In der Versionsankündigung schreiben Googles Entwickler, dass unter nicht genannten Umständen in der Mojo-Komponente von Chrome unter Windows ein inkorrekter Handle vergeben wird (CVE-2025-2783, kein CVSS, Risiko laut Google "hoch"). Ein Handle liefert Zugriff auf Ressourcen, in diesem Fall jedoch auf die falschen, was sich von Angreifern missbrauchen lässt – und das machen sie bereits, was Google in der Versionsankündigung auch erwähnt: "Google hat Kenntnis von Berichten, dass ein Exploit für CVE-2025-2783 im Netz existiert".

Die attackierte Zero-Day-Lücke haben IT-Forscher von Kaspersky entdeckt. Sie beschreiben in einem Blog-Beitrag die beobachteten Angriffe der "Operation ForumTroll"-APT. Demnach beginnt der Angriff mit einer Phishing-Mail, die vorgeblich zu einem Event des internationalen Wirtschafts- und Politikwissenschaftsforum einlädt und zu einem Programm sowie Anmeldeformular führt. Beide Links führen im Webbrowser Chrome unter Windows jedoch zu einer Malware-Infektion, ohne weitere Interaktion der Opfer.

Details zur Schwachstelle will auch Kaspersky noch nicht erläutern, aber beschreibt den Fehler als Logikfehler zwischen Chrome und Windows-Betriebssystem, der erlaubt, den Sandbox-Schutz von Chrome zu umgehen. Die beobachteten Angriffe richteten sich insbesondere gegen russische Medienrepräsentanten, Angestellte von Bildungseinrichtungen und Regierungsorganisationen. Kaspersky geht davon aus, dass die Angreifer die Opfer ausspionieren wollen. Die Links aus den Phishing-Mails sind derzeit nicht mehr aktiv, Angreifer können den Exploit jedoch jederzeit anderweitig anwenden.

Die aktuellen fehlerkorrigierten Versionen lauten Chrome 134.0.6998.177/.178 für Windows. Die extended-Stable-Version ist mit Stand 134.0.6998.178 unter Windows auf dem fehlerkorrigierten Stand.

Verschlüsselung ist nicht nur etwas für Spione oder Dissidenten – Verschlüsselungsalgorithmen stecken in jeder Browser-Session, jedem Internet-Kauf und Bezahlvorgang und jedem eingespielten Patch. Allerdings beruht die klassische Kryptografie im Kern auf mathematischen "Einwegfunktionen". So lassen sich zwei Primzahlen zwar leicht miteinander multiplizieren, es ist aber sehr schwer, aus dem Ergebnis wieder auf die Primzahlen zurückzurechnen. Spätestens dann, wenn es praktisch einsetzbare Quantencomputer gibt, gilt diese Annahme aber nicht mehr. Dann lassen sich auch Einwegfunktionen knacken.

Bei der Quantenkryptografie wird jede Session theoretisch mit einem neuen Schlüssel verschlüsselt. Dazu wird der Schlüssel auf dem sicheren Quantenkanal zuerst übertragen. Der ist gegen Abhören gesichert – zumindest theoretisch. Denn die Übertragung nutzt die Quanten-Überlagerung von Zuständen, um Daten zu übertragen. Werden die Bits zwischendurch abgezweigt, geht diese Quanten-Überlagerung verloren, wodurch Sender und Empfänger wissen, dass sie abgehört werden.

Theoretisch sicher heißt in diesem Zusammenhang: Weil jede Quantenverschlüsselung sowohl in Hardware als auch in Software realisiert werden muss, gibt es natürlich auch wieder Lücken, die von Angreifern genutzt werden können. Allerdings ist Quanten-Hacking sehr viel aufwendiger als normales Abhören.

Quantenkryptografie kann auf vielen verschiedenen Wegen implementiert werden. Die kommerzielle Nutzung ist nach wie vor auf Nischen beschränkt. Das hat zwei Gründe. Zum einen ist die Datenübertragungsrate verhältnismäßig gering. In der Praxis wird daher über die Quantenverbindung nur der kryptografische Schlüssel getauscht. Die damit verschlüsselten Daten werden dann herkömmlich übertragen. Zum anderen ist die Reichweite quantenkryptografischer Verbindungen per Glasfaser relativ gering – rund 100 Kilometer. Dann muss eine Zwischenstation eingerichtet werden.

Chinesische Forscherinnen und Forscher konnten jedoch bereits 2016 zeigen, dass sich solche Verbindungen mit einem Satelliten auch über sehr große Entfernungen aufbauen lassen. In Kooperation mit dem Institut für Quantenoptik und Quanteninformation (IQOQI) in Wien konnten sie über den Satelliten Micius erstmals eine interkontinentale Quantenverbindung aufbauen. Im Satellit leuchtete ein ultravioletter Laser hoher Intensität in einen speziellen Kristall. Dabei entstanden aus einem Lichtteilchen zwei "verschränkte" Photonen mit der halben Energie. Ein Photon wurde nach Peking geschickt, das andere nach Wien. Wurde die Polarisation von einem der Teilchen in Wien gemessen, legte das auch die des zweiten Teilchens in Peking fest – und umgekehrt.

Der Open Technology Fund (OTF) hat vor dem US-Bezirksgericht in Washington D.C. eine Klage gegen die US Agency for Global Media (USAGM) und das Office of Management und Budget eingereicht. In seiner Klage beantragt der OTF eine einstweilige Verfügung, damit das USAGM die einbehaltenen Fördergelder freigibt. Zuvor hatte US-Präsident Donald Trump per Dekret veranlasst, die USAGM im Rahmen der aktuellen Gesetzeslage weitgehend einzuschränken. Von seinen Mitteln fördert der OTF unter anderem die Zertifizierungsstelle Let’s Encrypt und das Anonymisierungsnetzwerk Tor.

In seinem Antrag argumentiert der OTF, dass die Kündigung des Zuschusses durch die USAGM rechtswidrig sei, da die Bereitstellung der Fördermittel bereits durch den Kongress beschlossen ist. Im Rahmen dieses Beschlusses ist für das Jahr 2025 ein Gesamtbetrag von 43,5 Millionen US-Dollar vorgesehen, der 98 Prozent der Finanzierung des OTF ausmache. Der USAGM überwacht die finanziellen und programmatischen Aktivitäten der OTF und leistet die Zahlungen an das gemeinnützige Unternehmen. Für die Betriebskosten im März habe der OTF eine Auszahlung von rund 650.000 US-Dollar beantragt und nicht erhalten.

Kari Lake, geschäftsführende CEO der USAGM und Sonderberaterin der Trump-Regierung, beschrieb die US-Behörde in einer Stellungnahme als "riesige Fäulnis und Belastung für den amerikanischen Steuerzahler", die außerdem ein nationales Sicherheitsrisiko darstelle. Der OTF-Vorstandsvorsitzende Zack Cooper argumentierte hingegen, dass seine Organisation das effizienteste und effektivste Werkzeug gegen Zensur und Einflussnahme sei. Ein Ende der OTF-Projekte "würde die nationale Sicherheit Amerikas schwächen und Millionen Menschen weltweit hinter autoritären Informations-Firewalls gefangen halten", so Cooper.

Insgesamt steckt viel Geld der US-Regierung in Open-Source-Software. So erhielt Let’s Encrypt im vergangenen Jahr rund 800.000 US-Dollar Fördermittel vom OTF, das Tor-Netzwerk bekam knapp 500.000 US-Dollar und an den quelloffenen Android-Appstore F-Droid flossen 396.000 US-Dollar. Insgesamt unterstützt die Organisation derzeit rund 50 Projekte, darunter auch die Entwicklung des freien VPN-Clients OpenVPN. Eigenen Angaben zufolge hat der OTF etwa 2500 Patches für quelloffene Software veröffentlicht und fördert die Organisation VPNs für rund 45 Millionen Menschen in Ländern mit Zensur. OTF-Präsidentin Cunningham sieht in der Klage den einzigen Weg, den Fortbestand dieser Projekte zu sichern.

Cloudflare will die Kommunikation im Netz sicherer machen und würgt dazu den API-Zugriff mittels unverschlüsseltem HTTP ab. Das soll unbefugte Lauscher daran hindern, sensible Informationen abzugreifen und damit unter Umständen Missbrauch zu treiben.

In einem Blog-Beitrag erläutert Cloudflare, wie das Unternehmen einen besseren Schutz bieten möchte. Verbindungen über Klartext-Protokolle wie HTTP sind dem Risiko ausgesetzt, sensible Informationen preiszugeben, da sie unverschlüsselt übertragen werden und so von Zwischenstationen im Netz wie WLAN-Hotspots, Internet-Providern oder bösartigen Akteuren abgreifbar sind. Die Cloudflare-Mitarbeiter schreiben, dass es daher für Server inzwischen üblich ist, HTTP-Verbindungen umzuleiten oder eine HTTP-403-Fehlermeldung (Forbidden) zurückzuliefern, um die Verbindung zu schließen und die Nutzung von HTTPS durch die Clients zu erzwingen.

Zum Zeitpunkt solch einer Umleitung ist das Kind jedoch bereits in den Brunnen gefallen, da sensible Informationen wie API-Schlüssel im Klartext übertragen worden sind. Die Daten wurden offengelegt, noch bevor der Server die Möglichkeit hatte, den Client umzuleiten oder die Verbindung abzulehnen. Daher sei der bessere Ansatz, die Netzwerk-Ports für Klartext-HTTP dichtzumachen – und den setzt Cloudflare nun um.

Ab sofort schließt Cloudflare die HTTP-Ports auf "api.cloudflare.com", zumindest für die interne Nutzung. Zugleich hat das Unternehmen eingerichtet, dass die URL die IP-Adresse dynamisch ändern kann, um Namen von IP-Adressen zu entkoppeln. Wer statische API-IPs nutzt, soll rechtzeitig über zu ergreifende Maßnahmen informiert werden.

Cloudflare ermöglicht den Kunden, mittels Opt-in alle HTTP-Ports für ihre Webseiten und Domains abzuschalten. Das soll als kostenlose Funktion im letzten Quartal dieses Jahres kommen. Bereits jetzt kennt Cloudflare eine "Always use HTTPS"-Einstellung, um allen Kundenverkehr zu Kunden-Domains von HTTP auf HTTPS umzulenken. Beispielsweise durch einen HTTP-3XX-Redirect landet eine Anfrage an die http://-URL dann auf https://. Allerdings kann im Falle des Aufrufs von "api.cloudflare.com" so bereits der API-Key entfleuchen. In so einem Fall müssten Betroffene die API-Keys erneuern und darüber informiert werden. Ein präventiver Ansatz erlaubt aber gar nicht erst den Aufbau einer solchen unsicheren Verbindung, etwa durch Schließen aller Klartext-HTTP-Ports. Da keine API-Keys dadurch korrumpiert werden, müssen sie auch nicht rotiert und erneuert werden.

Sicherheitsforscher von CloudSEK berichten, dass im Darknet sensible Daten von rund 140.000 Oracle-Kunden zum Verkauf stehen. Diese Informationen sollen aus einer Cyberattacke stammen. Dem Hard- und Softwarehersteller zufolge hat es keinen IT-Sicherheitsvorfall gegeben.

Das versicherte ein Oracle-Sprecher der IT-Nachrichtenwebsite Bleepingcomputer. Die Antwort auf eine Anfrage von heise security steht derzeit noch aus. Diese Stellungnahme steht konträr zu den Aussagen der Sicherheitsforscher in ihrem Bericht.

Darin führen sie aus, dass ein Nutzer mit dem Pseudonym "rose87168" in einem Untergrundforum ein Datenpaket mit 6 Millionen Einträgen mit persönlichen Daten von 140.000 Oracle-Kunden zum Verkauf anbietet. Die Sicherheitsforscher geben an, mit dem Anbieter der Daten gesprochen zu haben.

Sie führen aus, dass der Angreifer sich über eine Sicherheitslücke Zugang zu oraclecloud.com verschafft haben könnte. Dabei soll er Daten wie verschlüsselte SSO-Passwörter kopiert haben. Er ruft nun zum Knacken der Kennwörter auf und stellt eine Belohnung in Aussicht. Auf X hat er den Forschern zufolge eine Liste mit betroffenen Unternehmen angelegt. Diese können sich beim ihm melden, sodass er ihre Daten gegen eine Gebühr entfernt.

Als Beweis, dass er die mittlerweile offline genommene Subdomain login.us2.oraclecloud.com kompromittiert hat, führen die Sicherheitsforscher eine URL auf, die zu einer Textdatei mit der Mailadresse des Cyberkriminellen auf dem Oracle-Server führt. Diese Adresse ist noch über die Waybackmachine zugänglich.

An drei Tagen standen die Referenten der secIT 2025 Rede und Antwort. Vor allem die von c’t, heise security und iX ausgewählten Vorträge und Workshops waren echte Publikumsmagneten. Die Konferenzmesse wächst stetig und feierte in diesem Jahr mit 4100 Besuchern einen neuen Rekord.

Im Herbst geht es dann direkt weiter und am 10. und 11. September 2025 findet die digitale secIT statt. Die Vorträge und Workshops sind bequem als Live-Videostream im Webbrowser abrufbar. Die secIT 2026 in Präsenz ist für 17. bis 19. März 2026 angesetzt.

In drei Messehallen, auf vier Bühnen und in vielen Workshopräumen skizzierten die Referenten die aktuelle Bedrohungslage und hatten unzählige essenzielle Sicherheitstipps im Gepäck. Sie vermittelten ihr Fachwissen verständlich, gingen aber vor allem in den Ganztagsworkshops auch in die Tiefe.

Tim Dechent

Dabei ging es unter anderem um die Sicherheit im Active Directory, M365 und Entra ID. Es wurden gängige Angriffsmuster analysiert und Gegenrezepte präsentiert. Auch die Cloudsicherheit von etwa Amazon AWS stand im Fokus und Sicherheitskonzepte wie Zero Trust wurden kritisch beleuchtet. Außerdem erläuterten die Referenten Rahmenbedingungen für ein vor Ransomware sicheres Backupkonzept.

Die Drahtzieher hinter dem Badbox-Botnet haben ihre Aktivitäten angepasst und das Badbox-2.0-Botnet aufgebaut – mit mehr als einer Million infizierten Geräten. Die ursprüngliche Badbox-Malware hatte Ende vergangenen Jahres zigtausende Internet-of-Things-Geräte mit AOSP-basierter Firmware (Android Open Source Project) infiziert. Das BSI legte im Dezember die Kommunikation von 30.000 Drohnen in Deutschland lahm.

Die geografische Verteilung der mit Badbox 2.0 infizierten Geräte zeigt besonders viele in Brasilien, den USA und Mexiko.

(Bild: Humansecurity)

Humansecurity berichtet in einem Blog-Beitrag, dass das Badbox-2.0-Netzwerk nun ebenfalls zumindest in Teilen gestört werden konnte. Das gelang in Zusammenarbeit von Humansecurity, Google, Trend Micro, Shadowserver und weiteren Beteiligten. Wie der Vorgänger Badbox befällt Badbox 2.0 primär billige Endanwender-Geräte. Mehr als eine Million markenlose, nicht zertifizierte Connected-TV-Boxen (CTV), Tablets, digitale Projektoren und weitere Geräte mit AOSP-basierter Firmware sind demnach betroffen. Mit Play Protect geschützte Geräte oder solche mit Android TV OS sind hingegen nicht darunter.

Sämtliche Geräte seien in China produziert und global verschifft worden, erörtern die IT-Forscher. Sie haben Badbox-2.0-Traffic aus 222 Ländern und Regionen beobachtet. Die größte Verbreitung hat die Malware in Brasilien (37,62 %), den USA (18,21 %) sowie in Mexiko (6,32 %). Nach der Störaktion des BSI gegen das ursprüngliche Badbox-Botnetz im Dezember weisen die Forscher für Deutschland keinen signifikanten Anteil mehr aus.

Im React-Framework Next.js klafft eine kritische Sicherheitslücke. Sie erlaubt Angreifern, unter Umständen Autorisierungsprüfungen zu umgehen und so Web-Apps zu kompromittieren. Aktualisierte Pakete stehen bereit, die die Schwachstelle ausbessern.

Am Wochenende haben die Next.js-Entwickler von Vercel eine Sicherheitsmitteilung mit Informationen zur Lücke veröffentlicht. Demnach nutzt Next.js den internen Heaader x-middleware-subrequest, um dafür zu sorgen, dass rekursive Anfragen keine Endlosschleifen auslösen. Ein Sicherheitsbericht habe aufgezeigt, dass es möglich war, "Middleware" zu umgehen, wodurch Anfragen kritische Prüfungen wie einen Check des Autorisierung-Cookies überspringen und direkt "Routes" erreichen können (cve-2025-29927, CVSS 9.1, Risiko "kritisch").

Verwundbar sind selbst-gehostete Anwendungen, die "Middleware" nutzen. Die Next.js-Entwickler ergänzen hierzu: "next start" mit Ausgabe "standalone". Zudem ist betroffen, wer auf "Middleware" zur Authentifizierung oder für Sicherheitsprüfungen in der App setzt. Die gehosteten Versionen von Vercel, Netify oder Apps, die als statische Exports eingerichtet sind und "Middleware" nicht ausführen, sind hingegen nicht angreifbar.

Die Versionen Next.js 15.2.3, 14.2.5, 13.5.9 und 12.3.5 korrigieren die sicherheitsrelevanten Fehler. Sofern das Patchen auf eine sichere Version nicht möglich ist, sollen Admins Nutzeranfragen, die x-middleware-subrequest enthalten, daran hindern, die Next.js-App zu erreichen. Apps, die Cloudflare nutzen, können dazu etwa eine Managed Web-Application-Firewall-Regel (WAF) aktivieren, erörtern die Next.js-Entwickler.

Für den Upgrade-Prozess haben die Entwickler Anleitungen und Hinweise gesammelt, die IT-Verantwortliche dabei unterstützen sollen. Da die Schwachstelle als kritisches Risiko eingestuft wird, sollte die Aktualisierung zügig vorgenommen werden.

Der Frühling fängt an, weshalb viele auf der Suche nach saisonalen Produkten sind. Sie suchen etwa nach neuen Fahrrädern, Grills oder Rasenmähern. Das machen sich Kriminelle zunutze und legen Fakeshops an, die Opfer mit billigen Angeboten ködern, um sie um ihr Geld zu bringen.

Davor warnt nun die Verbraucherzentrale Nordrhein-Westfalen in einem aktuellen Beitrag. Zum Frühlingsanfang steige die Nachfrage insbesondere nach Gartenartikeln wie Pflanzkübeln, Sandkästen, Grills oder Rasenmähern, aber auch nach Produkten für Outdoor-Aktivitäten wie Camping, Radfahren oder Wandern. Das machen sich Betrüger zunutze.

Betreiber betrügerischer Online-Shops wissen darum und passen das Sortiment entsprechend an, erklärt die Verbraucherzentrale NRW: "Oft bieten sie gefragte Produkte zu extrem günstigen Preisen an – doch nach der Zahlung bleibt die Ware aus oder ist von mangelhafter Qualität."

Die Verbraucherschützer haben eine Liste mit aktuell aktiven Fakeshops veröffentlicht, die mit solchen Produkten zum Frühlingsbeginn auf Opfersuche sind:

Es handelt sich lediglich um einen Auszug aus der aktuellen Liste. Wer selbst auf Schnäppchenjagd ist, kann etwa den Fakeshop-Finder der Verbraucherzentralen mit der URL dazu befragen, ob der Online-Shop bekannt betrügerisch ist.

Das Bundesamt für Verfassungsschutz (BfV) mahnt deutsche zivilgesellschaftliche Organisationen (NGOs) und wissenschaftliche Einrichtungen nachdrücklich zur Vorsicht angesichts der Gefahr erhöhter Cyberangriffe fremder Nachrichtendienste, insbesondere aus Russland. Ein entsprechendes Warnschreiben schickte der Inlandsgeheimdienst vor wenigen Tagen an Dutzende Stiftungen, Vereine und vergleichbare Einrichtungen, berichten WDR, NDR und Süddeutsche Zeitung (SZ).

In dem zehnseitigen Sensibilisierungspapier verweist das BfV laut den Medien darauf, dass Russland die Handlungsmöglichkeiten ausländischer Organisationen zunehmend einschränke. Sie würden etwa als "unerwünscht" oder "extremistisch" eingeschätzt und gelistet. Diese Brandmarkung werde meist begleitet durch Cyberattacken auf die IT-Systeme der Institutionen. Erst diese Woche erklärten die russischen Behörden mit der Deutschen Gesellschaft für Auswärtige Politik (DGAP) eine weitere deutsche Denkfabrik als unerwünscht.

Dem Verfassungsschutz zufolge werden aber auch "Organisationen mit Tätigkeitsfeldern politischer oder gesellschaftlicher Forschung, Aktivismus oder kultureller Zusammenarbeit" angegriffen, die noch nicht durch die russischen Behörden entsprechend eingestuft seien.

NGOs empfiehlt das BfV laut den Berichten verschiedene technische Sicherungsmaßnahmen wie durchgängige Verschlüsselung. Wichtig sei auch ein verstärkter Informationsaustausch untereinander sowie mit den hiesigen Behörden: "Cyberangriffe betreffen oft nicht nur einzelne Einrichtungen, sondern eine Reihe von Organisationen, die sich im Aufklärungsinteresse der Angreifer befinden", zitiert tagesschau.de aus dem Schreiben.

Ein Auslöser war den Meldungen zufolge offenbar der Fall der Deutschen Gesellschaft für Osteuropakunde (DGO). 2024 stufte das russische Justizministerium den 1913 gegründeten Verbund von Forschern und Experten als eine der ersten deutschen Institutionen als "extremistisch" ein. Begründung: sie soll Teil einer "anti-russischen separatistischen Bewegung" sein. Die DGO sei aber nicht nur an den Pranger gestellt worden, heißt es in den Berichten. Vielmehr hätten sich Cyberkriminelle heimlich umfangreichen Zugriff auf E-Mail-Konten des Vereins verschafft und monatelang die Kommunikation des Netzwerkes mitgelesen. Dieses zweigleisige Vorgehen sei offenbar kein Einzelfall.

Admins, die Backups mit Nakivo Backup & Replication Director managen, sollten die Anwendung aufgrund laufender Attacken umgehen aktualisieren. In der aktuellen Version haben die Entwickler eine Schwachstelle geschlossen, über die schlimmstenfalls Schadcode auf PCs gelangen kann.

Die Sicherheitslücke (CVE-2025-48248 "hoch") ist seit Anfang März 2025 bekannt. Nun warnt die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) vor Attacken. In einer Warnmeldung versichert der Softwarehersteller, die Schwachstelle in der Ausgabe 11.0.0.88174 geschlossen zu haben. Alle vorigen Versionen sollen verwundbar sein.

Setzen Angreifer erfolgreich an der Lücke an, können sie unberechtigt sensible Daten einsehen. Darunter können Zugangsdaten sein. Der Beschreibung der Schwachstelle zufolge kann so Schadcode auf Computer gelangen und Systeme vollständig kompromittieren. In welchem Umfang die Attacken ablaufen, ist noch unklar.

Nakivo empfiehlt Admins in Logs nach unautorisierten Zugriffen Ausschau zu halten. Außerdem empfehlen sie zur Steigerung der IT-Sicherheit unter anderem Netzwerke in Segmente zu unterteilen und Zugriffe durch Firewallregeln einzuschränken. Diese Sicherheitstipps sind natürlich nicht neu und sollten gängige Praxis sein.

In einem ausführlichen Bericht führen die Entdecker der Sicherheitslücke von watchTowr Details zur Schwachstelle aus.

Nachdem das Bundesamt für Sicherheit in der Informationstechnik auf Mastodon vor Fake-Captcha gewarnt hat, sind die lästigen Dinger überall Thema. Jeder ist bereits mit verschiedenen Captcha, meist von Google, in Berührung gekommen – denn Captchas müssen eingebunden werden, um Websites vor automatisierten Angriffen oder Spam zu schützen. Es gibt sie von verschiedenen Anbietern wie hCaptcha und MTCaptcha.

Benedict Padberg ist Mitgründer von Friendly Captcha.

(Bild: Friendly Captcha)

Warum Captcha nicht gleich Captcha ist, erklärt Benedict Padberg Mitgründer des Cybersecurity-Anbieters "Friendly Captcha" aus Wörthsee bei München. Das Unternehmen hat sich zum Ziel gesetzt, Bilder-Captcha-Aufgaben durch nutzerfreundliche Captchas zu ersetzen. Zu Kunden gehören unter anderem die Europäische Union, die Bundesliga und Zalando.

heise online: Was ist ein Captcha und warum ist Captcha nicht gleich Captcha?

Wie Sicherheitsforscher berichten, fangen Angreifer derzeit an, zwei Schwachstellen in Cisco Smart Licensing Utility auszunutzen. Darüber verschaffen sie sich Zugang mit Adminrechten. Sicherheitspatches sind schon länger verfügbar.

Aufgrund der vom Internet Storm Center (ISC) dokumentierten Angriffsversuchen sollten Admins ihre Instanzen umgehen auf den aktuellen Stand bringen. Die „kritischen“ Lücken (CVE-2024-20439, CVE-2024-20440) sind seit Anfang September 2024 bekannt. Das ISC gibt an, dass unbekannte Angreifer die beiden Schwachstellen nun miteinander kombinieren.

Seit Bekanntwerden der Lücken sind auch Sicherheitspatches für die Ausgaben 2.0.0, 2.1.0 und 2.2.0 verfügbar. Cisco Smart Licensing Utility 2.3.0 ist Cisco zufolge nicht verwundbar. Leider listet der Netzwerkausrüster die konkreten Versionsbezeichnungen der gepatchten Versionen in der Warnmeldung zu den Lücken nicht auf.

Die erste Schwachstelle ist eine Hintertür. An dieser Stelle können sich Angreifer über ein statisches Passwort Zugang mit Adminrechten verschaffen. Die zweite Sicherheitslücke erlaubt Angreifern durch das Versenden von manipulierten HTTPS-Anfragen den unbefugten Zugriff auf Logdateien, die unter anderem Zugangsdaten enthalten können. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein.

In einem kurz nach dem Bekanntwerden der Lücken veröffentlichten Bericht führt ein Sicherheitsforscher Details zur Backdoor-Schwachstelle aus.

Das auf Software Supply Chain Security ausgerichtete Unternehmen ReversingLabs hat zwei Extensions mit Schadcode im offiziellen Marktplatz von Visual Studio Code entdeckt. Offenbar konnten die Erweiterungen die automatischen Sicherheitschecks von Microsoft umgehen.

Beide fanden sich einige Zeit im Marktplatz, kommen aber nur auf Downloadzahlen im einstelligen Bereich. Die Erweiterungen stammen vom ahban und heißen shiba und cychelloworld.

Die Extension zielt vielleicht auf Hundefans, ist aber kaum darauf ausgelegt, häufig heruntergeladen zu werden.

(Bild: ReversingLabs)

Die schädlichen Erweiterungen prüfen zunächst, ob sie unter Windows laufen und führen dort einen PowerShell-Befehl aus, der ein PowerShell-Skript mit dem eigentlichen Schadcode von einem Command-and-Control-Server (C2) nachlädt und ausführt.

Wenn Systeme mit der Backuplösung Veeam Backup & Replication Teil einer Domäne sind, können Angreifer an einer kritischen Sicherheitslücke ansetzen und Computer kompromittieren. Eine dagegen abgesicherte Version steht zum Download.

In einer Warnmeldung geben die Entwickler an, dass davon alle Ausgaben bis einschließlich 12.3.0.310 betroffen sind. Die Version 12.3.1 (build 12.3.1.1139) soll geschützt sein. Können Admins das Update nicht umgehend installieren, müssen sie Systeme temporär mit einem Hotfix gegen Attacken rüsten. Das funktioniert aber nur, wenn keine anderen Hotfixes installiert sind. Bislang gibt es keine Berichte zu Attacken.

Die nun geschlossene Sicherheitslücke (CVE-2025-23120) ist als „kritisch“ eingestuft. Dabei handelt es sich um eine Deserialisierungs-Schwachstelle im Kontext der Veeam.Backup.EsxManager.xmlFrameworkDs- und Veeam.Backup.Core.BackupSummary-Klassen. Bei derartigen Schwachstellen kommt es bei der Deserialisierung von Daten zu Fehlern, sodass Angreifer Schadcode einschleusen können. In diesem Fall ist das sogar aus der Ferne möglich, was die Situation verschärft.

Im September 2024 haben die Entwickler eine ähnliche Schwachstelle in Veeam Backup & Replication geschlossen. Dafür haben sie eine Blacklist mit möglichen Angriffspunkten, bestehend aus verschiedenen Klassen und Objekten, eingeführt. Offensichtlich ist diese Liste aber unvollständig, wie Sicherheitsforscher in einem Bericht zur aktuellen Schwachstelle jetzt ausführen.

Dabei zeigen sie auf, wie eine Attacke ablaufen könnte. Bevor sich Angreifer davon inspirieren lassen, sollten Admins ihre Systeme zeitnah absichern. Veeams Backuplösung ist ein beliebtes Ziel für Ransomwarebanden.

Die Datenschutz-Grundverordnung (DSGVO) könnte bald erstmals seit ihrer Einführung 2018 grundlegend überarbeitet werden. Anlass sind zunehmende Klagen über übermäßige Bürokratie, vor allem für kleine und mittlere Unternehmen sowie Vereine. Axel Voss, rechtspolitischer Sprecher der konservativen EVP-Fraktion im Europaparlament, hat dazu in einem LinkedIn-Posting ein dreistufiges Modell vorgeschlagen: eine abgespeckte "Mini-DSGVO" für kleinere Organisationen, eine normale DSGVO für mittelgroße Unternehmen und eine strengere "DSGVO Plus" für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht. Überraschend: Der Datenschutzaktivist Max Schrems unterstützt diese Idee grundsätzlich.

(Bild: Prof. Rolf Schwartmann zu Gast im c't-Podcast Auslegungssache)

In der neuen Episode des c't-Datenschutz-Podcasts "Auslegungssache" sprechen Redakteur Holger Bleich und Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann über die Vorschläge. Schwartmann ist Professor an der Technischen Hochschule Köln, Leiter der Kölner Forschungsstelle für Medienrecht, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) und außerdem Host des Podcasts "DataAgenda".

Alle drei Diskutanten begrüßen eine mögliche Entlastung kleiner Unternehmen und Vereine ausdrücklich. Gleichzeitig warnen sie jedoch davor, die Datenschutzpflichten allein an der Größe festzumachen. Gerade bei sensiblen Daten müssten auch kleinere Organisationen weiterhin hohe Standards erfüllen, so Schwartmann. Die genaue Ausgestaltung könnte komplex werden. Es gelte, Erleichterungen zu schaffen, ohne das Schutzniveau insgesamt abzusenken.

Ein weiteres Problem sieht Heidrich in der mangelnden Einheitlichkeit der europäischen Datenschutzaufsicht. Die nationalen Behörden wenden die DSGVO sehr unterschiedlich an, was zu Rechtsunsicherheit führt. Eine stärkere Harmonisierung erscheint nötig, aber die Idee, Aufsichtskompetenz etwa an die EU-Kommission zu übertragen, stößt in der Episode auf Skepsis. Die Experten bevorzugen weiterhin unabhängige Datenschutzbehörden, mahnen aber eine bessere Abstimmung an.