Comretix Blog

Seit vergangener Woche setzen neue Snapshots der Rolling-Release-Linux-Distribution openSUSE Tumbleweed ab Werk auf den Zugriffsschutz durch SELinux. Standardmäßig kommt als Mandatory Access Control (MAC) die Voreinstellung auf SELinux zum Zuge und löst damit AppArmor ab.

Anzeige

Das hat SUSE jüngst auf der hauseigenen Mailingliste bekanntgegeben. Auch die openSUSE Tumbleweed "minimalVM" wird seitdem mit SELinux im Enforcing-Modus ausgliefert. AppArmor und SELinux dienen zur Härtung und zur Absicherung von Linux. Damit lassen sich fein granulierte Zugriffsrechte etwa für Programme und Dienste vergeben. Unterschiede gibt es bei beiden Systemen in Details. AppArmor kann etwa Stück für Stück und für einzelne Programme eingerichtet werden und gilt als einfach. SELinux bringt hingegen eine höhere Komplexität mit und greift zunächst vollumfänglich für alle Software, gilt dafür aber als überlegen gegenüber AppArmor.

Wer openSUSE Tumbleweed etwa mittels ISO-Image installiert, bekommt SELinux im Enforcing-Modus als Standardeinstellung im Installer angeboten. Wer lieber AppArmor nutzen möchte, kann die Auswahl manuell darauf umstellen. AppArmor wird weiterhin vom bisherigen Maintainer gepflegt, erörtert SUSE.

Bei den normalen Aktualisierungen werden bestehende Installationen nicht automatisch von AppArmor auf SELinux migriert. Interessierte können jedoch selbst Hand anlegen und auf SELinux umsteigen. SUSE stellt eine Anleitung dafür bereit. Die Änderungen haben die IT-Sicherheitsleute bei SUSE sowohl mit manueller als auch mit automatischer Umsetzung getestet. Sie erbitten jedoch Feedback, sollte es zu Problemen kommen, schreibt Cathy Hu, die als SELinux Security Engineer bei SUSE arbeitet.

Seit dem Jahr 2022 trat die Malware nicht mehr in Erscheinung, nun hat Microsofts Threat Intelligence-Team eine neue Variante der XCSSET-Malware in freier Wildbahn entdeckt. Es handelt sich um eine fortschrittliche modulare Malware, die unter macOS läuft und durch Infektion von Xcode-Projekten auf Opfer zielt.

Anzeige

Die neue Variante hätten die IT-Sicherheitsforscher bisher lediglich "in begrenzten Angriffen" gesehen, schreiben sie auf X. Die erstmals seit 2022 wieder gesehene XCSSET-Variante setzt demnach auf verbesserte Tarnmethoden, aktualisierte Einnnistmechanismen zur Erreichung von Persistenz sowie neue Infektionsstrategien.

Sowohl die Encoding-Technik als auch die Anzahl an Encoder-Iterationen zum Erstellen der Malware-Payload sind zufällig. Die alten Varianten hätten lediglich xxd (ein Programm, das einen Hexdump von übergebenen Daten erstellt) zum Kodieren verwendet, nun kennt XCSSET auch Base64. Die Modulnamen der Malware-Variante verschlüsselt sie jetzt auch, sodass es schwieriger wird, die Absicht des Moduls zu erkennen.

Zum Einnisten setzt die neue XCSSET-Version auf zwei Varianten. Zum einen kann sie eine Datei ~/.zshrc_aliases anlegen, die die Malware-Payload enthält. Durch das Ergänzen eines Befehls in ~/.zshrc startet die Malware jedes Mal, wenn eine neue Shell geöffnet wird. Zum anderen kann XCSSET ein signiertes "dockutil" vom Command-and-Control-Server herunterladen, mit dem die Dock-Einträge verwaltet werden können. XCSSET erstellt eine falsche Launchpad-App und setzt den regulären Launchpad-Pfadeintrag im Dock auf diese Datei. Die Malware wird dann bei jedem Launchpad-Start aus dem Dock gestartet, wobei sie zudem die echte Launchpad-App zur Tarnung startet.

Verschiedene Computermodelle von Dell, etwa aus der Alienware- und Inspiron-Serie, sind über eine BIOS-Schwachstelle attackierbar. Außerdem können Angreifer PCs mit der Backuplösung NetWorker attackieren. Derzeit stehen aber noch nicht alle Sicherheitsupdates zum Download bereit.

Anzeige

Wie aus einer Warnmeldung hervorgeht, müssen Angreifer zum Ausnutzen der Schwachstelle (CVE-2024-52541) bereits über hohe Nutzerrechte verfügen und lokalen Zugriff haben. Trotz dieser Hürde gilt der Bedrohungsgrad "hoch" für diese Lücke. Sind die Voraussetzungen erfüllt, können sie ihre Rechte erweitern. Die dagegen abgesicherten BIOS-Ausgaben listet Dell in der Warnmeldung auf.

An der Lücke (CVE-2025-21103 "hoch") in NetWorker können lokale Angreifer ohne Authentifizierung ansetzen und Schadcode auf Systeme schieben und ausführen. Die Ausgabe 19.10.0.7 ist dagegen gerüstet. Das Sicherheitsupdate für die Version 19.11 soll im März folgen, kündigen die Entwickler in einem Beitrag an.

Wie Attacken in beiden Fällen konkret ablaufen könnten, ist derzeit nicht bekannt. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten mit der Installation der Sicherheitsupdates aber nicht zu lange zögern. NetWorker 19.11 bleibt vorerst verwundbar.

Valve hat ein mit Malware infiziertes Free2Play-Spiel aus seinem Steam Store entfernt. Darüber informiert die Sicherheitsfirma Kaspersky in einem aktuellen Blog-Eintrag. Das Piratenspiel "PirateFi" ist demnach in der vergangenen Woche aus dem Store geflogen, nachdem ein Nutzer Valve über einen Malware-Fund informiert hatte.

Anzeige

Ein Screenshot des inoffiziellen Steam-Trackers SteamDB zeigt eine Mail, die Valve anschließend an Spieler von "PirateFi" verschickte. Demnach waren bestimmte Builds von "PirateFi" mit der Malware infiziert. "Sie haben 'PirateFi' auf Steam gespielt, während diese Builds aktiv waren", schreibt Valve in der Mail. "Daher ist es wahrscheinlich, dass diese bösartigen Dateien auf Ihrem Computer gestartet wurden."

Betroffenen Nutzern empfiehlt Valve einen Systemscan mit einer Antivirus-Software. Zudem könne es sinnvoll sein, das System zu formatieren. Laut Kaspersky hat die eigene Antivirus-Software die Malware in "PirateFi" als Trojan.Win32.Lazzzy.gen identifiziert. Die Malware habe sich in der Datei "Howard.exe" versteckt und war programmiert, sich in den Temp-Ordner im AppData-Verzeichnis zu entpacken. Von dort könne sie Browser-Cookies stehlen und sich darüber Zugang zu den Accounts betroffener Nutzer verschaffen. Laut Kaspersky zeigen mehrere Einträge in den Steam-Foren Fälle, in denen sich Angreifer tatsächlich Zugriff auf die Konten von "PirateFi"-Spielern verschaffen konnten. Die originalen Foreneinträge sind mittlerweile aber nicht mehr verfügbar.

Wie viele Personen "PirateFi" gespielt haben, ist unklar. "PirateFi" war kein besonders populäres Spiel, die Webseite Vginsights schätzt, dass das Spiel etwa 1500 Mal heruntergeladen wurde. Gamalytic schätzt die Zahl der Downloads auf 860. Der Tracker von SteamDB zeigt, dass "PirateFi" von maximal fünf Personen gleichzeitig gespielt wurde. In jedem Fall dürfte die Zahl der betroffenen Nutzer sehr gering ausfallen. Das Entwicklungsstudio hinter dem Spiel ist unbekannt.

Anzeige

Mit Bonus-Apps sichern sich Kunden Rabatte beim Einkauf und können gesammelte Punkte zu Geld machen. Nun haben Cyberkriminelle es auf das Guthaben von Rewe-Kunden abgesehen und nutzen Gutscheinkarten, um es zu Geld zu machen. Rewe schließt eine Sicherheitslücke aus – offenbar ermöglichen schwache Passwörter und Phishing den Punkteklau.

Bonusprogramme für treue Kunden sind ein Muss für Lebensmittelmärkte: Praktisch jede Discounter- und Supermarktkette bietet eine App mit Rabatten und Treuepunkten an oder nimmt am markenübergreifenden Payback-Programm teil. Dessen Stern sank zuletzt, als der Handelskonzern Rewe sich Ende 2024 mit allen Filialen ausklinkte und auf ein eigenes Programm namens Rewe Bonus setzte. Mitglieder von Rewe Bonus sammeln beim Einkauf Punkte und können das so gesammelte Guthaben mit ihrem Einkauf verrechnen – so sparen sie bares Geld. Zudem sieht das Rewe-Bonusprogramm die Möglichkeit vor, sich das Bonusguthaben mit einer zweiten Person, zum Beispiel Partner/in oder Mitbewohner/in, zu teilen. Beide können dann über das volle Guthaben verfügen und nicht nur über den Anteil, den sie selbst eingebracht haben.

Auf der Internetplattform Reddit klagten Mitte Februar 2025 mehrere betrogene Rewe-Kunden über eine stets gleich ablaufende Abzocke. Ihr Rewe-Bonuskonto wurde über die "Gemeinsam sammeln"-Funktion mit dem Konto einer völlig fremden Person verbunden, das gesamte Guthaben in einer Rewe-Filiale ausgezahlt und etwa zum Kauf einer Paysafecard verwendet. Derlei Karten sind nicht zurückverfolgbar und lassen sich leicht auf dem Schwarzmarkt zu Bargeld machen.

Der Punkteklau lief oft innerhalb weniger Minuten ab, sodass die Bestohlenen nicht reagieren konnten. Diese befanden sich auch nicht in der Nähe des Rewe-Markts, in dem die Auszahlung stattfand. Im Zuge unserer Recherchen meldeten sich binnen weniger Tage mehr als ein Dutzend Geschädigte bei der heise-Redaktion; auch die Redaktion des Spiegel stand mit mehreren Opfern in Kontakt. Es handelte sich also nicht um einen Einzelfall.

Die Dateiübertragungssoftware OpenSSH ist über zwei Sicherheitslücken attackierbar. Dabei können Angreifer Opfer dazu bringen, sich mit einem von ihnen kontrollierten Server zu verbinden. Auch wenn es derzeit noch keine Berichte zu Attacken gibt, sollten Admins nicht zu lange zögern.

Anzeige

Setzen Angreifer erfolgreich an der ersten Schwachstelle (CVE-2025-26465 "mittel") an, können sie als Man-in-the-Middle in Verbindungen schauen. Der Fehler steckt in der VerifyHostKeyDNS-Option, die aber standardmäßig nicht aktiv ist.

Eine weitere Voraussetzung ist, dass Angreifer die Speicherressourcen von verwundbaren Clients manipulieren können. Attacken sind also nicht ohne Weiteres möglich. Ist das gegeben, kommt es bei der Überprüfung eines Host-Keys zu Fehlern, sodass der Identitätscheck für Server umgangen wird. Opfer verbinden sich dann ohne Warnung mit einem unter der Kontrolle von Angreifern befindlichen Server.

An der zweiten Sicherheitslücke (CVE-2025-26466 "mittel") können Angreifer für DoS-Attacken ansetzen. Ist so ein Angriff erfolgreich, führt das in der Regel zu Abstürzen.

Linus Torvalds würde Code zum Programmieren des Kernels in Rust auch annehmen, wenn der Betreuer des relevanten Teilbereichs von Linux die Aufnahme blockiert. Der Begründer und leitende Entwickler des Linux genannten Kernels hat das indes nicht öffentlich verkündet – und sich auch sonst nicht zur Blockade-Haltung von Christoph Hellwig zu Rust-DMA-Kernel-Schnittstellen zu Wort gemeldet, die seit zwei Wochen für enorm viel Wirbel und Zank in der Linux-Szene sorgt.

Anzeige

Hellwig selbst aber erwähnte kürzlich beiläufig einen privaten Austausch mit Torvalds. Darin habe Letzterer klargestellt, Rust-Code im Zweifel definitiv anzunehmen, wenn sich ein Subsystem-Maintainer der Integration widersetzt ("[…] Linus in private said that he absolutely is going to merge Rust code over a maintainers objection").

Wie in unserer ersten Meldung angedeutet, war ein derartiges Vorgehen erwartet worden – ähnlich wie bei Streitigkeiten in Firmen passiert derlei aber manchmal in kleineren Runden oder Eins-zu-Eins-Gesprächen mit dem Chef. Konkret passiert ist aber bislang noch nichts – daher bleibt abzuwarten, ob Torvalds den Rust-DMA-Code nach weiterer Begutachtung und Feinschliff in den nächsten Monaten direkt annimmt oder ob Hellwig diesen doch selbst durchwinkt.

Hellwig stellt in seiner Mail zudem klar, dass er es gut fände, den Kernel in die Welt sicherer Programmiersprachen zu bringen. Zugleich wiederholt er aber auch seine Furcht vor einer unkontrollierbaren, mehrsprachigen Codebasis. Das hat zu einer Diskussion geführt, wo derzeit erneut über das Für und Wider von Rust und anderer Programmiersprachen-Ansätze zur Verbesserung der Sicherheit debattiert wird.

Im Universal Boot Manager U-Boot haben IT-Sicherheitsforscher mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern, die Vertrauenskette (Chain of Trust) zu unterlaufen und beliebigen Code einzuschleusen und auszuführen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert. U-Boot kommt insbesondere in Linux-basierten Embedded-Systemen zum Einsatz, etwa in Android-Geräten, aber auch in E-Book-Readern.

Anzeige

In einer Mail an die OSS-Security-Mailingliste listen die Entdecker die Sicherheitslücken auf. Insgesamt sechs Sicherheitslecks wurden aufgespürt. Durch sie können Angreifer mit der Möglichkeit, ext4- oder SquashFS-Dateisystemstrukturen zu verändern, mehrere Probleme in der Speicherverwaltung ausnutzen. "Auf Systemen, die auf einen verifizierten Boot-Prozess setzen, ermöglichen diese Lücken Angreifern, die Chain of Trust zu umgehen und eigenen Code auszuführen", erklären die Entdecker. Eine der Lücken (CVE-2024-57258) ermöglicht das zudem mit anderen Subsystemen als ext4 oder SquashFS.

Die Sicherheitslecks betreffen U-Boot-Bootloader bis einschließlich Version 2024.10. Derzeit steht U-Boot 2025.01-rc1 als neuere Fassung zur Verfügung, die diese Schwachstellen ausbessert.

Die aktualisierten Quellen sind im Projekt-Repository von U-Boot zu finden. Projekte, die auf den U-Boot-Bootloader setzen, dürften in Kürze aktualisierte Bootloader anbieten. Diese sollten Betroffene zeitnah installieren.

In Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Router können Angreifer Sicherheitslücken missbrauchen. Eine Übernahme verwundbarer Geräte ist möglich.

Anzeige

Juniper hat deshalb eine Sicherheitsmitteilung außer der Reihe veröffentlicht. Darin warnt der Hersteller, dass es sich um eine kritische Schwachstelle handelt. Demnach können Angreifer aus dem Netz die Authentifizierung umgehen und administrative Kontrolle über die Geräte übernehmen, da eine Schwachstelle des Typs "Authentifizierungsumgehung auf einem alternativen Pfad oder Kanal" in der Firmware der Geräte besteht (CVE-2025-21589, CVSS 9.8, Risiko "kritisch").

Für die Sicherheitslücke sind Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Managed Router in den Versionen 5.6.7 bis vor 5.6.17, 6.0.8, 6.1 bis vor 6.1.12-lts, 6.2 bis vor 6.2.8-lts sowie 6.3 bis vor 6.3.3-r2 anfällig. Die Fassungen Session Smart Router SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts und SSR-6.3.3-r2 stopfen die Sicherheitslecks.

In von Conductor verwalteten Umgebungen soll das Aktualisieren der Conductor-Knoten ausreichen, die Updates werden dann automatisch an die angeschlossenen Router verteilt. WAN Assurance Managed Router, die mit der Mist Cloud (englisch "Mist" für "Nebel") verbunden sind, sollen ebenfalls automatisch aktualisiert worden sein. Dennoch sollten Admins prüfen, ob die Geräte auf den genannten oder neueren Versionsständen angelangt sind und gegebenenfalls die Aktualisierung nachholen.

Seit vergangener Woche setzen neue Snapshots der Rolling-Release-Linux-Distribution openSUSE Tumbleweed ab Werk auf den Zugriffsschutz durch SELinux. Standardmäßig kommt als Mandatory Access Control (MAC) die Voreinstellung auf SELinux zum Zuge und löst damit AppArmor ab.

Anzeige

Das hat SUSE jüngst auf der hauseigenen Mailingliste bekanntgegeben. Auch die openSUSE Tumbleweed "minimalVM" wird seitdem mit SELinux im Enforcing-Modus ausgliefert. AppArmor und SELinux dienen zur Härtung und zur Absicherung von Linux. Damit lassen sich fein granulierte Zugriffsrechte etwa für Programme und Dienste vergeben. Unterschiede gibt es bei beiden Systemen in Details. AppArmor kann etwa Stück für Stück und für einzelne Programme eingerichtet werden und gilt als einfach. SELinux bringt hingegen eine höhere Komplexität mit und greift zunächst vollumfänglich für alle Software, gilt dafür aber als überlegen gegenüber AppArmor.

Wer openSUSE Tumbleweed etwa mittels ISO-Image installiert, bekommt SELinux im Enforcing-Modus als Standardeinstellung im Installer angeboten. Wer lieber AppArmor nutzen möchte, kann die Auswahl manuell darauf umstellen. AppArmor wird weiterhin vom bisherigen Maintainer gepflegt, erörtert SUSE.

Bei den normalen Aktualisierungen werden bestehende Installationen nicht automatisch von AppArmor auf SELinux migriert. Interessierte können jedoch selbst Hand anlegen und auf SELinux umsteigen. SUSE stellt eine Anleitung dafür bereit. Die Änderungen haben die IT-Sicherheitsleute bei SUSE sowohl mit manueller als auch mit automatischer Umsetzung getestet. Sie erbitten jedoch Feedback, sollte es zu Problemen kommen, schreibt Cathy Hu, die als SELinux Security Engineer bei SUSE arbeitet.

Seit dem Jahr 2022 trat die Malware nicht mehr in Erscheinung, nun hat Microsofts Threat Intelligence-Team eine neue Variante der XCSSET-Malware in freier Wildbahn entdeckt. Es handelt sich um eine fortschrittliche modulare Malware, die unter macOS läuft und durch Infektion von Xcode-Projekten auf Opfer zielt.

Anzeige

Die neue Variante hätten die IT-Sicherheitsforscher bisher lediglich "in begrenzten Angriffen" gesehen, schreiben sie auf X. Die erstmals seit 2022 wieder gesehene XCSSET-Variante setzt demnach auf verbesserte Tarnmethoden, aktualisierte Einnnistmechanismen zur Erreichung von Persistenz sowie neue Infektionsstrategien.

Sowohl die Encoding-Technik als auch die Anzahl an Encoder-Iterationen zum Erstellen der Malware-Payload sind zufällig. Die alten Varianten hätten lediglich xxd (ein Programm, das einen Hexdump von übergebenen Daten erstellt) zum Kodieren verwendet, nun kennt XCSSET auch Base64. Die Modulnamen der Malware-Variante verschlüsselt sie jetzt auch, sodass es schwieriger wird, die Absicht des Moduls zu erkennen.

Zum Einnisten setzt die neue XCSSET-Version auf zwei Varianten. Zum einen kann sie eine Datei ~/.zshrc_aliases anlegen, die die Malware-Payload enthält. Durch das Ergänzen eines Befehls in ~/.zshrc startet die Malware jedes Mal, wenn eine neue Shell geöffnet wird. Zum anderen kann XCSSET ein signiertes "dockutil" vom Command-and-Control-Server herunterladen, mit dem die Dock-Einträge verwaltet werden können. XCSSET erstellt eine falsche Launchpad-App und setzt den regulären Launchpad-Pfadeintrag im Dock auf diese Datei. Die Malware wird dann bei jedem Launchpad-Start aus dem Dock gestartet, wobei sie zudem die echte Launchpad-App zur Tarnung startet.

Verschiedene Computermodelle von Dell, etwa aus der Alienware- und Inspiron-Serie, sind über eine BIOS-Schwachstelle attackierbar. Außerdem können Angreifer PCs mit der Backuplösung NetWorker attackieren. Derzeit stehen aber noch nicht alle Sicherheitsupdates zum Download bereit.

Anzeige

Wie aus einer Warnmeldung hervorgeht, müssen Angreifer zum Ausnutzen der Schwachstelle (CVE-2024-52541) bereits über hohe Nutzerrechte verfügen und lokalen Zugriff haben. Trotz dieser Hürde gilt der Bedrohungsgrad "hoch" für diese Lücke. Sind die Voraussetzungen erfüllt, können sie ihre Rechte erweitern. Die dagegen abgesicherten BIOS-Ausgaben listet Dell in der Warnmeldung auf.

An der Lücke (CVE-2025-21103 "hoch") in NetWorker können lokale Angreifer ohne Authentifizierung ansetzen und Schadcode auf Systeme schieben und ausführen. Die Ausgabe 19.10.0.7 ist dagegen gerüstet. Das Sicherheitsupdate für die Version 19.11 soll im März folgen, kündigen die Entwickler in einem Beitrag an.

Wie Attacken in beiden Fällen konkret ablaufen könnten, ist derzeit nicht bekannt. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten mit der Installation der Sicherheitsupdates aber nicht zu lange zögern. NetWorker 19.11 bleibt vorerst verwundbar.

Valve hat ein mit Malware infiziertes Free2Play-Spiel aus seinem Steam Store entfernt. Darüber informiert die Sicherheitsfirma Kaspersky in einem aktuellen Blog-Eintrag. Das Piratenspiel "PirateFi" ist demnach in der vergangenen Woche aus dem Store geflogen, nachdem ein Nutzer Valve über einen Malware-Fund informiert hatte.

Anzeige

Ein Screenshot des inoffiziellen Steam-Trackers SteamDB zeigt eine Mail, die Valve anschließend an Spieler von "PirateFi" verschickte. Demnach waren bestimmte Builds von "PirateFi" mit der Malware infiziert. "Sie haben 'PirateFi' auf Steam gespielt, während diese Builds aktiv waren", schreibt Valve in der Mail. "Daher ist es wahrscheinlich, dass diese bösartigen Dateien auf Ihrem Computer gestartet wurden."

Betroffenen Nutzern empfiehlt Valve einen Systemscan mit einer Antivirus-Software. Zudem könne es sinnvoll sein, das System zu formatieren. Laut Kaspersky hat die eigene Antivirus-Software die Malware in "PirateFi" als Trojan.Win32.Lazzzy.gen identifiziert. Die Malware habe sich in der Datei "Howard.exe" versteckt und war programmiert, sich in den Temp-Ordner im AppData-Verzeichnis zu entpacken. Von dort könne sie Browser-Cookies stehlen und sich darüber Zugang zu den Accounts betroffener Nutzer verschaffen. Laut Kaspersky zeigen mehrere Einträge in den Steam-Foren Fälle, in denen sich Angreifer tatsächlich Zugriff auf die Konten von "PirateFi"-Spielern verschaffen konnten. Die originalen Foreneinträge sind mittlerweile aber nicht mehr verfügbar.

Wie viele Personen "PirateFi" gespielt haben, ist unklar. "PirateFi" war kein besonders populäres Spiel, die Webseite Vginsights schätzt, dass das Spiel etwa 1500 Mal heruntergeladen wurde. Gamalytic schätzt die Zahl der Downloads auf 860. Der Tracker von SteamDB zeigt, dass "PirateFi" von maximal fünf Personen gleichzeitig gespielt wurde. In jedem Fall dürfte die Zahl der betroffenen Nutzer sehr gering ausfallen. Das Entwicklungsstudio hinter dem Spiel ist unbekannt.

Auch wenn sich die deutsche Umsetzung der europäischen NIS2-Regulierung zur Erhöhung der Cybersicherheit 2024 aufgrund der Neuwahlen verspätet: Die europäischen Vorgaben und der aktuelle Entwurf des deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes zeigen klar, was auf Unternehmen zukommt. Allein in Deutschland sind rund 30.000 Unternehmen direkt von NIS2 betroffen, aber ebenfalls deren IT-Dienstleister und -Lieferanten – denn NIS2 macht auch Vorgaben für die Absicherung der Lieferkette.

Anzeige

In unserer Onlinekonferenz NIS2 – Was jetzt zu tun ist erläutern renommierte IT-Recht- und Cybersicherheitsexperten und -expertinnen wie Prof. Dennis-Kenji Kipker, Manuel Atug und Christina Kiefer,

Die Onlinekonferenz NIS2 – Was jetzt zu tun ist liefert Ihnen kompakt an einem Tag das Know-how, um die Umsetzung der NIS2-Regulierung in Ihrem Unternehmen effizient anzugehen. Bei Buchung bis zum 28.2. erhalten Sie einen Frühbucherrabatt von 20 Prozent.

In den Multifunktionsdruckern von Xerox der Phaser-, Versalink- und WorkCentre-Baureihen haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Angreifer können dadurch Zugangsdaten ausspähen und abgreifen und sich etwa im Netzwerk einnisten.

Anzeige

Die Schwachstellen haben Mitarbeiter des IT-Sicherheitsunternehmens Rapid7 aufgespürt, wie sie in einem Blog-Beitrag erklären. Demnach sind die Drucker für sogenannte Pass-Back-Angriffe anfällig, bei denen Angreifer die Log-in-Daten verwundbarer Drucker abgreifen können, nachdem sie die Einstellungen am Gerät manipuliert haben. Das gelinge oft, da die Standard-Passwörter in den Druckern meist nicht geändert werden, schreiben die Autoren der Erklärung solch einer Attacke.

Mit dem Zugriff auf das Adressbuch können Angreifer SMB- und FTP-Einstellungen ändern, die Ausgabe von gescannten Dokumenten umleiten und Zugangsdaten abgreifen, ist der Schwachstellenbeschreibung zu entnehmen (CVE-2024-12511, CVSS 7.6, Risiko "hoch"). Dazu muss die Scan-Funktion aktiviert sein und der Druckerzugriff etwa aus dem Intranet möglich sein. Die zweite Lücke können Angreifer durch Zugriff auf die LDAP-Einstellungen missbrauchen, lautet die Beschreibung, und dort die Authentifizierung auf einen anderen Server umleiten. Dadurch können sie Zugangsdaten erlangen, sofern sie Admin-Zugang und ein aktives LDAP-Setup haben (CVE-2024-12510, CVSS 6.7, mittel).

Rapid7 erläutert die vorgefundenen Sicherheitslücken detailliert. Xerox hat mit einer eigenen Sicherheitsmitteilung reagiert und nennt darin aktualisierte Systemsoftware für die betroffenen Geräte. Verwundbar sind demnach Xerox Phaser 6510, VersaLink B400/C400/B405/C405, B600/B610, B605/B615, C500/C505/C600/C605, C7000, C7020/C7025/C7030, B7025/B7030/B7035, B7125/B7130/B7135, C7120/C7125/C7130, C8000/C9000, C8000W sowie WorkCentre 6515. Die einzelnen Firmware-Updates haben die Autoren in der Tabelle des Xerox-Dokuments verlinkt. IT-Verantwortliche sollten die Aktualisierung zügig vornehmen und unbedingt die Standard-Zugangsdaten der Geräte durch individuelle ersetzen, sofern das noch nicht geschehen ist.

Das Active Directory ist das Herzstück vieler Unternehmensnetzwerke und stellt daher ein attraktives Ziel für Cyberangriffe dar.

Anzeige

In dem Workshop Active Directory Hardening - Vom Audit zur sicheren Umgebung erwerben Sie umfangreiches Wissen und praktische Fähigkeiten zur Absicherung Ihres Active Directory. Sie lernen, Sicherheitsrisiken zu erkennen, Fehlkonfigurationen zu beheben und Angriffe zu identifizieren und abzuwehren. Hierzu gehören der sichere Umgang mit Authentifizierungsprotokollen sowie die Implementierung von Schutzmaßnahmen wie AppLocker und der Local Administrator Password Solution (LAPS). Zudem kommen Audit-Tools wie PingCastle sowie offensive Werkzeuge wie PowerView und Bloodhound zum Einsatz.

Der Workshop beinhaltet zahlreiche technische Hands-on-Übungen, in denen Sie praxisnah in einer bereitgestellten Übungsumgebung verschiedene Fehlkonfigurationen und Schwachstellen in einem Active Directory selbst auditieren und anschließend entsprechende Schutzmaßnahmen implementieren. Dazu gehören der Umgang mit Authentifizierungsprotokollen, das Erkennen und Schließen von Sicherheitslücken sowie der Einsatz von Tools zur Überprüfung von Einstellungen und die Implementierung von Schutzmaßnahmen wie AppLocker, LAPS und dem Least-Privilege-Prinzip.

Dieser Online-Workshop richtet sich an Administratoren, die sich intensiver mit Angriffen beschäftigen und Ihr On-Premise-Active-Directory härten wollen. In einer kleinen Gruppe von maximal 10 Teilnehmern haben Sie ausreichend Gelegenheit für intensiven Austausch mit dem Trainer und den anderen Teilnehmenden.

Wearables, die sich auch für medizinische Zwecke wie das Messen von Körperfunktionen nutzen lassen, weisen vielfach erhebliche Lücken bei der IT-Sicherheit und beim Schutz der übermittelten Gesundheitsdaten auf. Das geht aus dem Abschlussbericht zum Projekt "Sicherheit von Wearables mit medizinischen Teilfunktionalitäten" (SiWamed) des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Den Ergebnissen zufolge sind viele der getesteten Geräte offen für Angriffe. Schwachstellen in der Verschlüsselung, unzureichend gesicherte Kommunikationskanäle und mangelhafte Authentifizierungsmechanismen können es Übeltätern ermöglichen, sensible Informationen abzufangen oder zu manipulieren.

Anzeige

Zugleich wächst der Markt für solche Health-Wearables laut der Studie rapide, wodurch das Risiko für sicherheitsrelevante Vorfälle steigt. Die Analyse führten die Cybersicherheitsfirma eShard und der Entwicklungsservice Eesy-Innovation im BSI-Auftrag durch. Die erste Fassung des Berichts lag der Behörde schon Ende November 2023 vor, sie hat sie aber erst jetzt veröffentlicht. Die Experten wählten demnach zehn Produkte für "eine detaillierte Sicherheitsuntersuchung" aus. Darunter waren sechs vernetzte Uhren wie Smartwatches, drei Fitness-Tracker und ein Smart Ring. Die Forscher deckten dabei insgesamt 110 Schwachstellen auf, die sie als "mittel" oder "hoch" einstuften. Keines der Geräte war komplett frei von Sicherheitslücken.

Die am häufigsten gefundenen Schwachstellen betreffen die Benutzerauthentifizierung und die Bluetooth-Kommunikation. Bei vielen Geräten werde nicht einmal eine PIN abgefragt, monieren die Tester. Werde geprüft, ob ein berechtigter Anwender Zugang erhalte, gebe es oft Schwächen in der Implementierung. Sieben der acht als "hoch" eingestuften Schwachstellen betrafen das Bluetooth-Protokoll, das als Hauptkanal für die Verbindung des tragbaren Geräts mit der mobilen Anwendung dient. Die meisten der getesteten Apps verfügten zudem über keinerlei Mechanismen zum Anti-Debugging oder zum Erkennen von Rooting. Solche Verfahren könnten zumindest helfen, fortgeschrittene Angreifer abzuwehren und die Daten der Nutzer zu schützen, wenn die Plattform kompromittiert oder die mobile Anwendung angegriffen wird.

Aufgrund der Lücken war es den Forschern teils möglich, die Firmware während des Aktualisierungsprozesses abzuhören. Diese hätte im Anschluss von einem Angreifer analysiert und manipuliert werden können, wenn sie nicht ordnungsgemäß etwa durch Signaturen oder Prüfungen auf Informationslecks geschützt ist. Die Tester stellten auch fest, dass einige Schwachstellen aufgrund der Nutzung einheitlicher Betriebssysteme, Software und gemeinsamer Infrastrukturen immer wieder auftraten. Dies erhöhe die Gefahr "groß angelegter Angriffe auf viele Geräte gleichzeitig". Generell würfen die Resultate in Anbetracht der Sensibilität der verarbeiteten Daten "Fragen und Bedenken auf".