Comretix Blog

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

In der Business-Software IBM Cognos Controller und IBM Controller klaffen Sicherheitslücken. Die stopft der Hersteller nun mit aktualisierten Paketen. IT-Verantwortliche sollten sie zeitnah installieren.

Anzeige

In der zugehörigen Sicherheitsmitteilung erklärt IBM, dass insbesondere mitgelieferte Software von Drittherstellern, darunter Open-Source-Komponten, Sicherheitslücken enthalten. Insgesamt schließt das Update zehn Sicherheitslecks. Um die Schwachstellen abzumildern, gibt es laut IBM keine temporären Gegenmaßnahmen – Aktualisieren ist daher mandatorisch.

Während acht der Schwachstellen einen mittleren Bedrohungsgrad darstellen, stuft IBM zwei davon als hohes Risiko ein. Aufgrund einer unzureichenden Zertifikatsprüfung können unbefugte Nutzerinnen und Nutzer Zugriff auf geschützte Ressourcen erlangen (CVE-2024-40702, CVSS 8.2, Risiko "hoch"). Wie bösartige Akteure diese Schwachstelle missbrauchen können und wie das erkennbar wäre, erörtert IBM nicht.

Der mitgelieferte Axios-Client ist anfällig für eine Server-Side Request Forgery (SSRF) aufgrund eines Fehlers, bei dem Anfragen für "Path relative" URLs als "Protocol relative URLs" verarbeitet werden (CVE-2024-39338, CVSS 7.5, hoch).

Die Aktion für Gratis-Tickets zur Teilnahme an der IT-Security-Kongressmesse secIT 2025 wurde verlängert. Das Zugpferd der secIT sind die redaktionell kuratierten Inhalte. Diese Vorträge und Workshops sind werbefrei und locken mit hilfreichen Fakten und Vorgehensweisen, um Unternehmen effektiv vor Cyberangriffen zu schützen. Es gibt aber auch viele Hilfestellungen, wenn sich Angreifer bereits im Netzwerk befinden.

Anzeige

Die von c't, heise security und iX ausgewählten Referenten vermitteln ihr Fachwissen kompetent und verständlich, sodass Teilnehmer das Gelernte direkt in ihren Firmen für mehr IT-Sicherheit umsetzen können.

Dabei stehen Themen wie die Umsetzung der NIS2-Richtlinie oder die Sicherheit von Windows und Microsoft-Diensten wie M365 im Vordergrund. Es gibt aber auch viele Erkenntnisse und Maßnahmen gegen aktuelle Angriffsmuster und Ransomware-Attacken. Zusätzlich geht es um Supply-Chain-Attacken und den Schutz von Cloud-Umgebungen. Das Programm ist auf der Website der Veranstaltung abrufbar.

Neben den Vorträgen und Workshops findet eine Ausstellung in mehreren Hallen statt. Dort kann man sich Produkte für den Schutz von IT-Infrastrukturen anschauen und mit Anbietern von Schutzlösungen ins Gespräch kommen.

Derzeit haben Angreifer PCs im Visier, auf denen Mitel MiColab oder Oracle WebLogic Server installiert ist. Im schlimmsten Fall können Angreifer Systeme vollständig übernehmen. Sicherheitspatches stehen zum Download bereit. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Anzeige

Wie aus einer Warnung der US-Sicherheitsbehörde CISA hervorgeht, sind zwei Lücken (CVE-2024-41713 MiColab, CVE-2020-2883 WebLogicServer) mit dem Bedrohungsgrad "kritisch" eingestuft.

Eine weitere Schwachstelle (CVE-2024-55550) ist zwar nur mit dem Bedrohungsgrad "mittel" versehen, aber Sicherheitsforscher watchTowr Labs beschreiben in einem Beitrag, dass Angreifer Lücken miteinander kombinieren können, um Dateien auf Servern einsehen zu können.

In einer Warnmeldung gibt Mitel an, dass MiCollab 9.8 SP2 (9.8.2.12) gegen die erwähnte Kombi-Attacke geschützt ist.

Google und Mozilla haben Updates für die Webbrowser Chrome und Firefox veröffentlicht. Sie schließen teils als hohes Risiko eingestufte Sicherheitslücken. Nutzerinnen und Nutzer sollten sicherstellen, die aktuelle Fassung einzusetzen.

Anzeige

Während Google in Chrome vier Sicherheitslecks abdichtet, schließt Mozilla in Firefox elf Sicherheitslücken. Mit Details zu den Schwachstellen hält Google sich wie üblich zurück. Lediglich zu einer der vier Lücken gibt es überhaupt eine kurze Information, es handelt sich um eine Type Confusion in der Javascript-Engine V8. Laut Versionsankündigung von Google ist das Risiko der Lücke hoch, sie brachte dem Melder 55.000 US-Dollar Belohnung ein – ein ungewöhnlich hoher Betrag, es könnte sich um einen Tippfehler handeln. Die Lücke ermöglicht wahrscheinlich das Einschleusen von Schadcode beim Anzeigen von sorgsam präparierten Webseiten, was der Schweregrad nahelegt.

Firefox 134 dichtet eine Sicherheitslücke in der Android-Version des Browsers aus, durch die sich die Adressleiste mit einem ungültigen Protokoll-Schema fälschen ließ (CVE-2025-0244, kein CVSS, Risiko "hoch"). Dazu kommen noch zwei Advisories zu Sicherheitslücken, die auf Fehler in der Speicherverwaltung zurückzuführen sind (CVE-2025-0242, CVE-2025-0247, kein CVSS, hoch). Derartige speicherbasierte Sicherheitslücken ermöglichen in der Regel ebenfalls, Code durch manipulierte Webseiten einzuschleusen und auszuführen. Die restlichen acht Lücken stufen die Mozilla-Entwickler als mittleres Risiko ein.

Für die ESR-Versionen 128.6 und 115.19 liefert Mozilla eigene Sammelmeldungen, die jedoch im Wesentlichen einige Lücken auflisten, die in der Version 134 geschlossen wurden und die älteren Fassungen ebenfalls betreffen.

Admins von Moxa-Routern sollten ihre Geräte zügig auf den aktuellen Stand bringen. In aktuellen Firmwareversionen haben die Entwickler zwei Sicherheitslücken geschlossen. Darüber sind Root- und Schadcode-Attacken möglich.

Anzeige

Die Router des Herstellers werden im Industrieumfeld, etwa im Energiesektor, genutzt. Demzufolge können erfolgreiche Attacken schwerwiegende Folgen haben. In einer Warnmeldung gibt Moxa an, dass die Entwickler zwei Schwachstellen (CVE-2024- 9138 "hoch", CVE-2024-9140 "kritisch") geschlossen haben.

Setzen Angreifer an der ersten Lücke an, können sie sich aufgrund von hartkodierten Zugangsdaten unbefugt Zugang mit Root-Rechten verschaffen. In so einer Position können sie Geräte vollständig kompromittieren. Es ist davon auszugehen, dass sich Angreifer von dort weiter in Netzwerken ausbreiten können.

Über die zweite Schwachstelle kann aufgrund von unzureichenden Überprüfungen von Eingaben Schadcode auf Geräte gelangen. In einer Warnmeldung listen die Entwickler die betroffenen Modelle und verwundbaren Firmwareversionen auf. Die Ausgabe 3.14 ist gegen die geschilderten Attacken abgesichert.

Admins sollten prüfen, ob die HCL BigFix-Server-Automation-Installationen auf dem aktuellen Stand sind. Ist das nicht der Fall, können Angreifer Systeme attackieren.

Anzeige

In einer Warnmeldung schreiben die Entwickler, dass sie in der Ausgabe 9.5.70 drei Schwachstellen geschlossen haben. Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem Traffic auf von ihnen kontrollierte Websites umleiten (CVE-2024-26159 "hoch") oder unberechtigt Zugangsdaten einsehen (CVE-2024-28849 "mittel").

Bislang gibt es keine Informationen, dass Angreifer die Lücken bereits ausnutzen. Admins sollten aber nicht zu lange zögern und das Sicherheitsupdate zügig installieren.

Die Internationale Zivilluftfahrtorganisation (ICAO) der Vereinten Nationen untersucht einen möglichen Sicherheitsvorfall, der auf Angreifer zurückzuführen sein könnte, die gezielt internationale Organisationen attackieren. Das teilte die UN-Sonderorganisation auf ihrer Homepage mit und versicherte, dass die Angelegenheit "sehr ernst" genommen würde. Verschiedene Sicherheitsmaßnahmen seien unverzüglich eingeleitet worden, die Untersuchung laufe jetzt. Laut der Nachrichtenagentur Reuters folgt die Mitteilung auf Behauptungen, dass der ICAO tausende Aufzeichnungen entwendet worden seien.

Anzeige

Einen Hinweis auf den angeblichen Angriff gibt es bei dem Cybersicherheitsunternehmen SOCRadar. Dessen Team für die Überwachung von Aktivitäten im Dark Web hat am Wochenende einen Beitrag in einem Forum gefunden, in dem von einem Leak der ICAO die Rede ist. Angeblich seien dort 42.000 Dokumente mit personenbezogenen Daten erbeutet worden. Es gehe um Namen, Geburtstage, das Geschlecht, Adressen, Telefonnummern, mehrere E-Mail-Adressen sowie den Bildungsstand und Angaben zum Arbeitsverhältnis, die bei der ICAO vorgehalten wurden. Um welche Personengruppe es dabei geht, wird aber nicht ausgeführt. Die ICAO hat das gegenüber der Nachrichtenagentur Reuters nicht erklärt. Die ICAO hat weniger als 1000 Angestellte.

Die ICAO gibt es seit über 70 Jahren, ihr Auftrag ist es, die zivile Luftfahrt weltweit zu standardisieren. Ihren Sitz hat die Organisation im kanadischen Montreal. 2016 war die ICAO Ziel eines verheerenden Cyberangriffs, den für die Gegenwehr verantwortliche Manager vertuschen wollte, hat die kanadische Rundfunkanstalt CBC vor sechs Jahren berichtet. Damals war es den mutmaßlich chinesischen Angreifern gelungen, über die Infrastruktur der Organisation andere Akteure der Luftfahrtbranche anzugreifen. Außerdem war der E-Mail-Server der ICAO kompromittiert worden, um tausende Dokumente zu damaligen und ehemaligen Angestellten abzugreifen. Ganz aufgeklärt wurde der Angriff nie.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sonicwall hat seine Kunden in E-Mails darüber informiert, dass am Dienstag dieser Woche Updates für die Firewalls erscheinen. Sie schließen unter anderem eine Sicherheitslücke, die bereits in freier Wildbahn im SSL-VPN von SonicOS angegriffen werden. Zum Meldungszeitpunkt stehen sie jedoch noch nicht bereit.

Anzeige

Ein Sonicwall-Kunde hat die E-Mail auf reddit veröffentlicht. Wir haben zudem entsprechende Leserhinweise mit Auszügen aus dem Mailtext erhalten. Demnach wird eine Sicherheitslücke in Sonicwall-Firewalls derzeit bei Kunden missbraucht, die SSL-VPN oder SSH-Management aktiviert haben. Durch das Aktualisieren auf die jüngste Firmware, die im Laufe des 7. Januars erscheinen soll, wird die Sicherheitslücke geschlossen.

Ein Screenshot zeigt eine Tabelle mit vier Schwachstelleneinträgen, die das Update SNWLID-2025-0003 ausbessern soll. Derzeit ist es noch nicht veröffentlicht, wird aber nach üblicher Namenskonvention hier erscheinen. Bei der derzeit angegriffenen Lücke handelt es sich offenbar um eine Umgehung der Authentifizierung in SonicOS SSLVPN – Details nennt der Hersteller jedoch nicht (CVE-2024-53704, CVSS 8.2, Risiko "hoch"). Aufgrund eines kryptografisch schwachen Pseudo-Zufallszahlengenerators, der bei vom SonicOS SSLVPN Authentifizierungstoken-Generator zum Einsatz kommt, lassen sich in einigen Fällen die Token vorhersagen und die Authentifizierung ebenfalls umgehen (CVE-2024-40762, CVSS 7.1, hoch).

Zudem gibt es eine Rechteausweitungslücke zu "root" in den Gen7 SonicOS Cloud NSv SSH Config-Funktionen (CVE-2024-53706, CVSS 7.8, hoch). Schließlich findet sich noch eine Schwachstelle im SSH-Management, die eine Server-Side-Request-Forgery (SSRF) ermöglicht. Sie erlaubt Angreifern aus dem Netz TCP-Verbindungen zu einer IP-Adresse auf jedem Port, sofern der Nutzer an der Firewall angemeldet ist (CVE-2024-53705, CVSS 6.5, mittel).

In einer aktuellen Malware-Kampagne versuchen Kriminelle, arglose Opfer auf Phishing-Seiten zur Installation einer gefälschten Telegram-Premium-App zu verleiten. Allerdings landet auf den Android-Smartphones der Infostealer "Firescam".

Anzeige

In einer detaillierten Analyse beschreiben die IT-Forscher von Cyfirma die Malware. "Firescam" wird als gefälschte "Telegram Premium App" auf einer auf der github.io-Domain gehosteten Phishing-Seite angeboten, die die Optik von RuStore imitiert – einem App-Store aus dem russischen VK-Kosmos. Anstatt von Premium-Funktionen in Telegram gibt es jedoch einen umfangreichen Datenabfluss.

Laut der Analyse liefert die Phishing-Seite zunächst einen Installer mit dem Dateinamen "GetAppsRu.apk" und einer Dateigröße von rund 5 MByte aus. Der installiert ein Paket mit dem Namen "ru.store.installer". Ein Programmsymbol mit dem Namen "GetAppsRu’" wird außerdem angelegt. Durch Antippen startet der Dropper, der anbietet, Telegram Premium mit dem Antippen einer Schaltfläche "Install" zu installieren. Nach der Sicherheitsfrage, ob Nutzer diese als "Telegram Premium" angezeigte App installieren wollen, wird die Firescam-Malware installiert. Ein Installationspaket "Telegram Premium.apk" mit etwa 3 MByte Größe wird dafür ausgeführt.

Firescam kontaktiert einen Command-and-Control-Endpunkt auf Firebase und hört dort auf Firebase Cloud Messaging (FCM)-Benachrichtigungen. Außerdem schickt die Malware abgegriffene Daten dorthin. Unter anderem initial nach der Installation die Gerätedaten des infizierten Android-Smartphones. Die Malware überwacht dann etwa die Messages-App und leitet die Inhalte von Textnachrichten weiter, ebenso das Aktivieren und Abschalten des Handy-Bildschirms. Bestimmte Benachrichtigungen, etwa als Konversation oder Alarmierung gekennzeichnete, schickt Firescam an den Kontrollserver; insbesondere Nachrichten aus den Apps Telegram, WhatsApp, Viber und VK stehen auf der Liste des Infostealers. Die Überwachung auf infizierten Geräten ist äußerst umfangreich, auch die Zwischenablage steht unter Beobachtung, genauso wie E-Commerce-Transaktionen. Die Malware kann weitere Schadfunktionen nachladen.

Angreifer können Smartphones und Tablets mit Android attackieren und Geräte im schlimmsten Fall über das Ausführen von Schadcode kompromittieren. Nun sind für bestimmte Geräte dagegen gerüstete Android-Ausgaben erschienen.

Anzeige

Wie aus einem Beitrag hervorgeht, stuft Google eine Schwachstelle im System als besonders gefährlich ein. Insgesamt haben die Entwickler fünf "kritische" Schadcode-Lücken (CVE-2024-43096, CVE-2024-43770, CVE-2024-43771, CVE-2024-43747, CVE-2024-4349748) im System geschlossen. In allen Fällen sollen Attacken aus der Ferne möglich sein.

Wie Angriffe vonstattengehen könnten, ist bislang nicht bekannt. Bislang gibt es keine Informationen, dass Angreifer Schwachstellen bereits ausnutzen.

In der Summe haben die Entwickler Lücken im Framework, Media Framework und System geschlossen. Nach erfolgreichen Attacken können sich Angreifer unter anderem höhere Nutzerrechte verschaffen und DoS-Zustände erzeugen.

Schwarze Schwäne sind sehr selten. Aber es gibt sie. Als "Black Swan"-Event wird ein Ereignis bezeichnet, das sehr unerwartet ist, aber erhebliche Auswirkungen hat. Man kann beispielsweise das CrowdStrike-Fiasko vom vergangenen Sommer als ein solches Ereignis bezeichnen. Ein fehlerhaftes Update legte Flughäfen, Unternehmen und Krankenhäuser lahm. Das Magazin Politico hat einige Experten befragt, welche unvorhersehbaren Momente es 2025 geben könnte. Künstliche Intelligenz ist gleich für zwei Autoren ein großes Risiko.

Anzeige

Gary Marcus ist KI-Experte und emeritierter Professor für Neurowissenschaften an der New York University. Er gilt als großer Kritiker des aktuellen Hypes um generative KI. Obwohl er die Möglichkeiten von KI grundsätzlich für beschränkt hält, schreibt Marcus in seinem Beitrag, vor allem Cyberkriminelle könnten die Technik nutzen und so großen Schaden anrichten. Es sei das "perfekte Werkzeug für Cyberangriffe". Gemeint sind KI-generierte Texte, die für Phishing-Attacken genutzt werden, aber auch Deepfakes, mit denen Menschen in die Irre geführt werden können. Ein Mitarbeiter einer Hongkonger Bank soll bereits auf ein solches Video hineingefallen sein und Betrügern 25 Millionen US-Dollar geschickt haben.

Large Language Models sind aber auch anfällig für Angriffe wie Jailbreaking und Prompt Injections. Dabei werden die KI-Modelle dazu gebracht, vom Anbieter unerwünschtes Verhalten auszuführen. Chatbots könnten so im harmlosen Fall Fragen beantworten, die sie nicht beantworten sollen, schlimmer wäre der Diebstahl von Kontodaten. Vorstellbar sind aber durchaus auch schlimmere Szenarien.

Marcus warnt auch, generative KI-Werkzeuge würden von Entwicklern beim Coden eingesetzt. Diese verstünden manchmal nicht, was die KI gemacht hat, sie kontrollierten aber auch teilweise einfach nicht allen Code. Das könne Sicherheitslücken mit sich bringen. Große Sorge macht Marcus auch, dass die US-Behörden eher deregulierend agieren.

Dells Update-Pakete gefährden die Systemsicherheit: Aufgrund einer Schwachstelle in Dells Update Package Framework können bösartige Akteure ihre Rechte dadurch ausweiten. Damit können sie betroffene Systeme vollständig kompromittieren.

Anzeige

In einem Support-Artikel erörtert Dell das Problem. "Nutzer mit niedrigen lokalen Berechtigungen können die Schwachstelle missbrauchen, was zur Ausführung beliebiger Skripte aus dem Netz auf dem Server führen kann. Ein Missbrauch könnte zu einem Denial-of-Service durch einen Angreifer führen", schreibt das Unternehmen zudem (CVE-2025-22395, CVSS 8.2, Risiko "hoch").

Details zur Lücke unklar

Wie genau die Lücke ausgenutzt werden kann und wie (erfolgreiche) Angriffe erkennbar sind, beschreibt Dell nicht. Allerdings erklären die IT-Experten, dass sie Nutzern empfehlen, nicht die Extrahieren-Option unter Windows-Betriebssystemen zu nutzen, wenn die Update-Paket-Version niedriger als 22.01.02 ist – gemeint ist offenbar die Nutzung durch Start mit Doppelklick. Zum Entpacken sollte bei den älteren Dateien bei Bedarf die Extrahieren-Option an der Kommandozeile verwendet werden.

Um die Versionsnummer von Dells Update-Paketen herauszufinden, muss die Datei etwa im Datei-Explorer mit rechter Maustaste angeklickt und dort die "Eigenschaften" ausgewählt werden. Im "Details"-Reiter findet sich dann die gesuchte Dateiversion, erklärt das Unternehmen.

Wer zwischen dem Abend des 3. Januar 2025 und der Mittagszeit am Montag, dem 6. Januar, den Warn- und Informationsdienst (WID) des CERT-Bund (Computer Emergency Response Team Bund) besuchen wollte, wurde oftmals vom eigenen Browser daran gehindert. Die Zertifizierungsstelle hatte das Zertifikat des von BSI und Telekom Security betriebenen Dienstes zurückgezogen. Der Grund: In einer speziellen Zertifikatserweiterung versteckten sich zwei "http"-URLs – das war nicht regelkonform.

Anzeige

Die Erweiterung namens "qcStatements" enthält die URLs der "PKI Disclosure Statements", im Falle der D-Trust CA ein etwa dreißigseitiges PDF mit Kontaktadressen, Arbeitsabläufen und relevanten Regelwerken. Die Erweiterung ist für normale TLS-Webseiten-Zertifikate nicht vorgeschrieben – wohl aber für QWACs, also qualifizierte Webseiten-Authentifizierungszertifikate. Und ein solches hatte der CERT-Bund-Dienst inne. Gemäß den Vergaberichtlinien für QWACs ist jedoch vorgeschrieben, dass die Disclosure Statements ausschließlich per HTTPS verzeichnet sein sollen. Und so führte ein fehlendes "https" im Zertifikat zu fehlerhaften HTTPS-Verbindungen auf der Website des CERT-Bund.

Der Regelverstoß tauchte bei D-Trust ausgerechnet am Mittag des Silvestertags auf – am Neujahrstag entschied die CA dann, 25 Zertifikate für insgesamt etwa 60 Hostnamen zurückzuziehen und neu auszustellen. Wie ein Sprecher der Bundesdruckerei, Betreiberin des Dienstes D-Trust, heise security mitteilte, standen Austauschzertifikate am Mittag des 3. Januar bereit und die betroffenen Kunden waren informiert.

Warum es dennoch zwei weitere Tage dauerte, bis die Webseiten des CERT-Bund wieder erreichbar waren, mochte der Bundesdruckerei-Sprecher nicht kommentieren, auch die Auswirkungen des zertifikatslosen Wochenendes können nur die Betreiber seriös einschätzen.

User können mittels CSS in ihren E-Mails getrackt werden. Analog zu Nutzungsdaten im Web können Absender von Mails Daten erfassen und so Rückschlüsse auf das genutzte System ziehen. Das zeigt eine Untersuchung des CISPA Helmholtz-Zentrums für Informationssicherheit. So lassen sich in den Daten der Browser oder Mail-Client, das Betriebssystem und weitere installierte Programme erkennen. Auch die Systemsprache ist über das CSS-Tracking sichtbar.

Anzeige

Die Forscher untersuchten 21 E-Mail-Programme. Sie betrachteten Desktop- und Web-Clients sowie Apps für Android und iOS. Mit unterschiedlichen Techniken versuchten sie, über das CSS Daten zu erhalten. In 18 Fällen war mindestens eine Methode erfolgreich, darunter bei Outlook, Thunderbird und Gmail. Bei diesen Programmen sei es möglich, alle Mail-Adressen aus einem Mail-Client zu identifizieren oder Web-Sitzungen von Nutzern mit deren Mail-Konten zu verknüpfen, erläutert Leon Trampert, der an der Untersuchung mitgewirkt hat. Verhindern lässt sich das CSS-Tracking nur mit textbasierten E-Mails, die ohne CSS auskommen. Daher setzt Protonmail als einziger Client in der Untersuchung auf Verschleierung und lädt alle CSS-Inhalte über einen Proxy.

Im Web kommen JavaScript und Tracking-Cookies zum Einsatz, um Nutzungsdaten zu erheben und einzelne User zu analysieren. Sie lassen sich auch nicht durch gegenteilige Browser-Anfragen vom Tracking abhalten. Weil aber die meisten Mailclients die Ausführung von JavaScript-Code verhindern, haben die Forscher untersucht, welche Möglichkeiten CSS zum Tracking bieten. Dazu prüften sie fast 1200 unterschiedliche Kombinationen aus Browser und Betriebssystem. In knapp 98 Prozent der Fälle konnten sie auf Eigenschaften des Systems schließen.

"Verräterisch sind installierte Schriftarten", erklärt Trampert. Lässt sich etwa eine proprietäre Schriftart von Microsoft erkennen, deutet das auf eine bestehende Installation von Microsoft Office hin. Mittels Berechnungen konnten die Wissenschaftler auf das Betriebssystem schließen. Angreifer können mit diesem Wissen versuchen, Sicherheitslücken des Betriebssystems oder installierter Software auszunutzen und in Systeme einzudringen.

Angeblich haben Cyberkriminelle den kompletten Code des Videospiels "GTA San Andreas" im Internet veröffentlicht. Doch Vorsicht, wer da hineinschauen will: Sicherheitsforscher gehen davon aus, dass die Daten Fake sind und nur als Lockmittel dienen. Im Datenpaket soll sich der Erpressungstrojaner Rhysida verschanzen.

Anzeige

Das geht unter anderem auf einen X-Post von PliskinDev zurück, die sich mit dem Reverse Engineering des Source Codes von GTA und anderen von Rockstar Games entwickelten Spielen beschäftigen. Mittels Reverse Engineering versuchen Entwickler, die Blackbox von Entwicklern zu knacken, um den Code zu rekonstruieren. Das kann dann etwa als Basis für umfangreiche Modifikation eines Spiels dienen.

Auf Screenshots zeigt PliskinDev, dass das Archiv zwar im GTA-Kontext betitelte Dateien enthält, das soll aber nur heiße Luft sein. Sie gehen davon aus, dass in dem Archiv die Ransomware Rhysida schlummert. Wird der Trojaner ausgeführt, verschlüsselt er Daten und erpresst Lösegeld.

Ob das bereits passiert ist und in welchem Umfang die Daten verbreitet werden, ist derzeit unklar. Interessierte Entwickler sollten um das Archiv einen großen Bogen machen, um ihren Computer nicht mit Malware zu infizieren.

Zwei Sicherheitslücken im AiCloud-Dienst von Asus-Routern können Angreifern den Zugriff auf Geräte ermöglichen. Im schlimmsten Fall können sie Router durch Schadcode-Attacken vollständig kompromittieren.

Anzeige

Die AiCloud-Komponente erlaubt es Besitzern von Asus-Routern unterwegs auf etwa Daten von einem angeschlossenen USB-Stick zuzugreifen. Nun gefährden zwei Schwachstellen (CVE-2024-12912 "hoch", CVE-2024-13062 "hoch") die Sicherheit von Netzwerken.

Im Sicherheitsbereich der Asus-Website beschreiben die Entwickler, dass Angreifer für eine erfolgreiche Attacke als Admin angemeldet sein müssen. Ist das gegeben, können sie eigene Befehle ausführen. Wie so eine Attacke im Detail ablaufen könnte, ist bislang nicht bekannt. Derzeit gibt es keine Informationen, ob es bereits Angriffe gibt.

Asus gibt an, die Sicherheitsprobleme in den Firmwares 3.0.0.4_386 series, 3.0.0.4_388 series und 3.0.0.6_102 series gelöst zu haben. Welche Routermodelle konkret betroffen sind, führt der Hersteller zurzeit nicht aus. Wer einen Asus-Router besitzt, sollte dementsprechend sicherstellen, dass die Firmware auf dem aktuellen Stand ist. Nicht mehr im Support befindliche Geräte bekommen keine Sicherheitsupdates mehr. An dieser Stelle sollte das Gerät gewechselt werden.

Angreifer imitieren legitime Plug-ins für die Ethereum-Entwicklungsumgebung Hardhat der Nomad Foundation. Damit greifen sie Entwickler von Software wie Smart Contracts für die Kryptowährung an. Die Täter missbrauchen dabei das Vertrauen, das Entwickler in Open-Source-Plug-ins haben.

Anzeige

Wie die IT-Sicherheitsforscher von Socket in einem Blog-Beitrag schreiben, dauert der Angriff noch an. Bislang haben sie 20 bösartige Pakete von drei Programmierern aufgespürt, die teils auf mehr als Tausend Downloads kommen. Durch die Installation der gefälschten NPM-Pakete kommt es zur Kompromittierung der Entwicklungsumgebungen, möglichen Hintertüren in Produktivsystemen und Verlust von Geldmitteln.

Mit Smart Contracts für Ethereum holen die Angreifer die Adressen von Command-and-Control-Servern. Das nutzt die dezentrale und unveränderliche Natur der Blockchain aus, wodurch es schwierig sei, die Command-and-Control-Infrastruktur außer Betrieb zu nehmen. Die IT-Sicherheitsforscher konnten Ethereum-Wallet-Adressen ausfindig machen, die im Zusammenhang mit dieser Malware-Kampagne stehen.

Um einen legitimen Anschein zu erwecken, haben sich die Kriminellen an der regulären Namensgebung der Hardhat-Plug-ins orientiert. Socket nennt etwa die Pakete @nomisfoundation/hardhat-configure und @monicfoundation/hardhat-config, die wie originale Hardhat-Plug-ins wirken, aber bösartigen Code enthalten. Auch die Funktionen imitieren die Täter. Während ein legitimes Plug-in etwa hardhat-deploy heißt, lautet der Name eines schädlichen Plug-ins hardhat-deploy-others.