Comretix Blog

HPE Aruba warnt vor kritischen Sicherheitslücken, die die Access Points betreffen. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung beliebigen Code einschleusen und ausführen. Aktualisierte Software soll die Schwachstellen ausbessern. IT-Verantwortliche sollten sie zügig installieren.

Anzeige

In der Sicherheitsmitteilung schreiben die HPE-Aruba-Entwickler, dass die Updates insgesamt sechs Sicherheitslücken stopfen. Der Schweregrad von zweien ist kritisch, drei stufen die Entwickler als hohes Risiko ein und eine gilt noch als mittleres Risiko.

Durch das Senden sorgsam präparierter Netzwerkpakete können Angreifer eine Schwachstelle im PAPI-Protokoll missbrauchen, um Befehle an den darunterliegenden Command-Line-Interface-Dienst (CLI) zu schmuggeln. Das führt zur Ausführung beliebigen Codes mit Rechten eines privilegierten Users im Betriebssystem (CVE-2024-42509, CVSS 9.8, Risiko "kritisch"). Eine weitere Sicherheitslücke hat eine identische Beschreibung (CVE-2024-47460, CVSS 9.0, kritisch).

Angemeldete Nutzerinnen und Nutzer können im Instant AOS-8- sowie AOS-10-Betriebssystem ebenfalls Befehle an den CLI-Dienst durchstechen. Auch das führt zur Ausführung von eingeschleustem Code und kann zur vollständigen Kompromittierung des Betriebssystems führen (CVE-2024-47461, CVSS 7.2, hoch). Außerdem können authentifizierte User beliebige Dateien in Instant AOS-8 und AOS-10 erstellen. Dadurch ist es Angreifern möglich, beliebigen Code auszuführen (CVE-2024-47462, CVE-2024-47463, CVSS 7.2, hoch). Nicht autorisierter Dateizugriff ist aufgrund einer Path-Traversal-Schwachstellte möglich, wodurch angemeldete Nutzerinnen und Nutzer in Instant AOS-8 und AOS-10 beliebige Dateien kopieren können (CVE-2024-47464, CVSS 6.8, mittel).

Synology hat weitere Sicherheitsmitteilungen zu teils kritischen Sicherheitslücken in den NAS-Systemen des Herstellers veröffentlicht. Diese wurden im Rahmen des Pwn2Own-Wettbewerbs in Irland entdeckt, der Ende Oktober stattgefunden hat.

Anzeige

Die Sicherheitslücken betreffen demnach Synology DSM, Synology Drive Server, Synology Replication Service und Synology BeeStation. Bis auf die Sicherheitslecks in Drive Server, die von Synologys Entwicklern als "wichtig" eingestuft wurde, gelten alle Schwachstellen als kritisches Sicherheitsrisiko. CVE-Schwachstelleneinträge wurden noch nicht vergeben oder veröffentlicht, eine Bewertung nach CVSS-System fehlt ebenfalls.

Die Schwachstellen deuten die Sicherheitsmitteilungen nur vage an. In Synology Beestation können Angreifer aus dem Netz demnach beliebigen Code ausführen, bestimmte Dateien lesen oder Man-in-the-Middle-Angreifer bestimmte Dateien schreiben. Betroffen sind Beestation 1.0 und 1.1, das Upgrade auf 1.1-65374 oder neuer korrigiert die Fehler. Der Replication-Service hingegen ermöglicht Angreifern aus dem Netz, beliebige Befehle auszuführen. DSM 7.1 und 7.2 sind dafür anfällig, das Update auf Version 1.2.2-0353 sowie 1.3.0-0423 oder jeweils neuer korrigiert die Fehler. Für das verwundbare DSMUC 3.1 soll innerhalb von 30 Tagen ein Sicherheitsupdate erscheinen.

Fünf Sicherheitslücken in Synology DSM ermöglichen Angreifern aus dem Netz ebenfalls, Schadcode auszuführen, bestimmte Dateien auszulesen oder Angreifern in Man-in-the-Middle-Position, an Admin-Sessions zu gelangen oder bestimmte Dateien zu schreiben. Lediglich für DSM 7.2 steht die fehlerbereinigte Version 7.2.2-72806-1 oder neuer bereit, für die verwundbaren DSM 7.1 und DSMUC 3.1 sollen innerhalb der nächsten 30 Tage Aktualisierungen erscheinen. Die immerhin als "wichtig" eingestufte Lücke in Synology Drive Server ermöglicht Angreifern aus dem Netz, Web-Sessions zu übernehmen und SQL-Befehle einzuschleusen. DSM 7.2 enthält ab Fassung 3.5.1-26102 den Fehler nicht mehr, für DSM 7.1 ist ein Update in den kommenden 30 Tagen angekündigt.

In Veritas Netbackup klafft eine Sicherheitslücke, die Angreifern das Ausweiten ihrer Rechte an verwundbaren Systemen ermöglicht. Betroffen ist die Software unter dem Windows-Betriebssystem.

Anzeige

In einer Sicherheitsmitteilung warnt Veritas, dass Angreifer, die Schreibzugriff auf das Systemlaufwerk haben, auf dem Netbackup installiert ist, eine bösartige DLL installieren können. Beim Ausführen bestimmter Netbackup-Befehle durch den Nutzer oder etwa dem Überzeugen anderer Nutzer mittels Social Engineering, diese Befehle auszuführen, werde die bösartige DLL geladen und so Code der Angreifer im Sicherheitskontext der Benutzer ausgeführt.

Eine CVE-Nummer haben die Entwickler erst beantragt, sie wurde noch nicht vergeben. Der CVSS-Wert beträgt 7.8, was einem hohen Risiko entspricht. Betroffen sind Netbackup Primary Server, Media Server und Clients, die in Windows laufen, in den Versionen 10.0, 10.0.0.1, 10.1, 10.1.1, 10.2, 10.2.0.1, 10.3, 10.3.0.1, 10.4 und 10.4.0.1. Ältere VErsionen können ebenfalls verwundbar sein, erhalten jedoch keine Unterstützung mehr, erklärt Veritas.

Veritas empfiehlt, die Version Netbackup 10.5, oder 10.4.0.1 und den zugehörigen Hotfix oder 10.3.0.1 und den dazu gehörenden Hotfix zu installieren. Sollte ein Update noch nicht möglich sein, gebe es zudem eine temporäre Gegenmaßnahme. Im Wurzelverzeichnis des Laufwerks, auf dem Netbackup installiert ist, soll ein Verzeichnis namens "bin" erstellt und der Zugriff darauf auf administrative Nutzer beschränkt werden. Wenn Netbackup auf dem Laufwerk C: installiert ist, wäre das Verzeichnis C:\bin derart anzulegen.

Die Android-Updates für den November-Patchday hat Google jetzt freigegeben. Insgesamt 17 hochriskante Lücken schließt der Patch-Level 2024-11-01, dazu kommen noch vier Schwachstellen, die Google-Play-Systemupdates korrigieren. Der Patchlevel 2024-11-05 bessert noch eine kritische Lücke in Qualcomm-Closed-Source-Komponenten sowie 22 Lücken mit hohem Risiko in Dritthersteller-Treibern und -Komponenten, die von den Herstellern der eingesetzten SoCs stammen.

Anzeige

Die Entwickler von Google schreiben im Security-Bulletin zum Patchday, dass die gravierendste mit den Updates geschlossene Sicherheitslücke in der System-Komponente lauert. Sie hat ein hohes Risiko und kann Angreifern das Ausführen von Code aus dem Netz ohne zusätzliche Ausführungsrechte erlauben. Sie gehört zu dem Patch-Level 2024-11-01. Darin schließt Google zudem sieben Sicherheitslücken im Framework, einige betreffen alle Android-Versionen: 12, 12L, 13, 14 und 15. Insgesamt zehn Lecks stopfen die Programmierer zudem in der System-Komponente. Die vier Lücken, die die Google Play System-Updates ausbessern, zählen zu de Project-Mainline-Komponenten und betreffen die Module Documents-UI, Mediaprovider, Permission-Controller und WiFi.

Der Patchlevel 2024-11-05 korrigiert noch weitere sicherheitsrelevante Fehler. Zwei hochriskante Lecks sind im Kernel und betreffen die Net- und Binder-Komponente. Der LTS-Kernel, der zu Android 12 gehört, wurde zudem auf die Versionen 5.4.274 respektive 4.19.312 aktualisiert. Sicherheitslücken bessert die neue Software zudem in den PowerVR-GPUs von Imagination Technologies sowie in Mediatek- und Qualcomm-Komponenten aus.

Auch die Hersteller der Prozessoren und SoCs, die in Android-Smartphones zum Einsatz kommen, haben eigene Sicherheitsmitteilungen veröffentlicht. Qualcomm listet etwa die Sicherheitslücken auf, die mit Patchlevel 2024-11-05 geschlossen werden, ergänzt jedoch weitere Informationen wie betroffene Prozessoren. Samsung führt eine längere Reihe an CVE-Schwachstelleneinträgen auf, die das Security Maintenance Release (SMR) im November korrigiert. Zudem hat Mediatek eine Liste an Sicherheitslücken zusammengestellt, die im November geschlossen werden – davon sind lediglich zwei als hohes Risiko eingestuft, zahlreiche erhalten die Einordnung als mittlerer Bedrohungsgrad.

Dass Kriminelle sich der künstlichen Intelligenz bedienen, um Malware oder geschliffenere Texte für Social-Engineering-Angriffe zu erstellen, ist hinlänglich bekannt. Nun haben unabhängig zwei Unternehmen, Google und Greynoise, Erfolge auf der anderen Seite gemeldet: Sie haben Sicherheitslücken mit KI aufgespürt.

Anzeige

Google schreibt in einem Blog-Beitrag, dass die Entwickler an einem Projekt namens Naptime gearbeitet und dabei evaluiert haben, ob sie Large Language Models (LLM) für offensive Sicherheit einsetzen können. Der inzwischen im Nachfolgeprojekt daraus resultierende "Big Sleep Agent" hat nun einen von Angreifern missbrauchbaren Puffer-Unterlauf in der weit verbreiteten, quelloffenen SQLite-Datenbank-Engine entdeckt. Die Zero-Day-Lücke konnte dadurch gemeldet und von den Entwicklern geschlossen werden, bevor sie in einem offiziellen Release öffentlich wurde, und so zum Schutz von Nutzerinnen und Nutzern beitragen. Das sei das erste öffentliche Beispiel einer KI, die einen zuvor unbekannten ausnutzbaren Speicher-Sicherheitsfehler in einer oft genutzten Real-World-Software entdeckt habe, glauben Googles Autoren.

Das IT-Sicherheitsunternehmen Greynoise nutzt ein KI-gestütztes System namens Sift, um täglich rund zwei Millionen HTTP-Ereignisse auf etwa 50 einzudampfen, auf die IT-Analysten einen konkreten Blick werfen sollten. Das System hat aus dem Rauschen Malware herausgefischt, mit der ausführbare Skripte auf Servern (/cgi-bin/param.cgi) angegriffen wurden.

Bei der Untersuchung dieser von KI herausgefilterten Ereignisses haben sich veritable, offenbar bereits angegriffene Zero-Day-Sicherheitslücken in recht hochpreisigen Pan-Tilt-Zoom-Kameras (PTZ) des OEM-Herstellers ValueHD Corporation (VHD) gefunden, die mit Netzwerkschnittstellen ausgestattet sind; die Geräte sind etwa unter dem Namen PTZOptics PT30X-SDI/NDI im Umlauf. Das mündete in zwei CVE-Einträgen, CVE-2024-8957 mit CVSS 9.8 als kritisches Risiko bewertet, sowie CVE-2024-8956, CVSS 9.1, ebenfalls kritisch. Am Montag dieser Woche hat die US-amerikanische IT-Sicherheitsbehörde CISA die beiden Lücken folgerichtig in den Katalog der Known-Exploited-Vulnerabilities aufgenommen.

Wer IT-Sicherheitslücken aufspüren und schließen will, soll dafür keine Strafe riskieren. Dies sicherzustellen ist Ziel eines Entwurfs für eine Reform des Computerstrafrechts aus dem Bundesjustizministerium, der zur Stellungnahme an Länder und Verbände verschickt wurde. Der Entwurf sieht zugleich vor, dass das Ausspähen und Abfangen von Daten in besonders schweren Fällen in Zukunft härter bestraft werden soll als bisher.

Anzeige

Ein besonders schwerer Fall im Sinne des Entwurfs liegt in der Regel dann vor, wenn der Täter aus Gewinnsucht handelt, gewerbsmäßig oder als Mitglied einer Bande agiert oder wenn mit der Tat ein großer Verlust von Vermögen für den Betroffenen einhergeht. Ebenfalls von der geplanten Verschärfung erfasst werden sollen beispielsweise Fälle, in denen – etwa aus dem Ausland – die Funktionsfähigkeit der kritischen Infrastruktur oder die Sicherheit der Bundesrepublik oder eines Bundeslandes beeinträchtigt wird. Der Strafrahmen soll auf drei Monate bis fünf Jahre Haft erhöht werden. Aktuell kann das Ausspähen von Daten mit einer Freiheitsstrafe von bis zu drei Jahren und das Abfangen von Daten mit bis zu zwei Jahren Haft bestraft werden.

Bei Sicherheitsforschern, die in guter Absicht in IT-Systeme eindringen, um für einen besseren Schutz dieser Systeme zu sorgen, sollen den Angaben zufolge drei Voraussetzungen erfüllt sein müssen, damit ihr Verhalten als nicht strafbar gilt. Erstens muss das Eindringen in der Absicht erfolgt sein, eine Sicherheitslücke festzustellen. Zweitens muss die Absicht bestehen, eine verantwortliche Stelle, die diese Lücke schließen kann, darüber zu informieren. Drittens muss diese Handlung erforderlich sein, um eine Sicherheitslücke festzustellen.

"Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt", sagt Bundesjustizminister Marco Buschmann (FDP). Denn Cyberkriminelle und fremde Mächte könnten solche Lücken als Einfallstore nutzen, etwa um Krankenhäuser, Verkehrsunternehmen oder Kraftwerke lahmzulegen, persönliche Daten auszuspionieren oder Unternehmen zu ruinieren.

In ManageEngine ADManager Plus klafft eine Sicherheitslücke, die Angreifern unbefugten Zugriff ermöglicht. Sie können beliebige SQL-Abfragen einschleusen. Eine Softwareaktualisierung steht bereit, die das Sicherheitsleck stopft.

Anzeige

Im am heutigen Montag veröffentlichten CVE-Eintrag CVE-2024-48878 zur ManageEngine-Schwachstelle ordnen die Entwickler die Lücke als hohes Risiko mit einem CVSS-Wert von 8.3 ein. Im Archived Audit Report vom Admanager Plus findet sich die verantwortliche SQL-Injection-Lücke. "Diese Schwachstelle kann authentifizierten Angreifern erlauben, eigene Abfragen auszuführen und unbefugten Zugriff auf Datenbank-Tabellen-Einträge durch die verwundbare Anfrage zu erlangen", erklären die ManageEngine-Entwickler in einer Sicherheitsmitteilung.

Der sicherheitsrelevante Fehler betrifft ManageEngine ADManager Plus in Version 7241 und ältere Fassungen. Die Build-Nummer 7250 soll den Fehler ausbügeln, erklären die Autoren der Sicherheitsmitteilung. Laut den Release-Notes ist die Version 7250 zusammen mit 7251 bereits Anfang Oktober erschienen. Sie nennen jedoch keine sicherheitsrelevanten Änderungen in den neuen Versionen.

Admins können das Service-Pack respektive inzwischen eine neuere Version von der ADManager-Plus-Service-Pack-Seite herunterladen. Da der Hersteller die Lücke als hochriskant einstuft, sollten IT-Verantwortliche das Update rasch anwenden, um die Angriffsfläche für bösartige Akteure zu minimieren.

Die Tails-Maintainer haben Version 6.9 der anonymisierenden Linux für den USB-Stick in der Hostentasche veröffentlicht. Größere Neuerungen gibt es nicht, aber die wichtigen Kernkomponenten bringt das Update auf den aktuellen Stand.

Anzeige

In der Versionsankündigung vom Tails-Projekt listen die Entwickler die neuen Versionen der zentralen Software auf. Der Tor Browser kommt nun mit Versionsnummer 14.0.1 mit, der Tor Client hingegen ist auf Stand 0.4.8.13 dabei. Das Mailprogramm Thunderbird liegt nun in der Extended-Stable-Version 115.16.0 vor.

Einen kleineren Fehler haben die Entwickler von Tails dennoch behoben. Bei automatischen Upgrades konnte es zu einem Abbruch mit der Fehlermeldung "The Upgrade could not be downloaded" ("Das Upgrade konnte nicht heruntergeladen werden") kommen. Und das trotz zuvor erfolgreichem Download. Das passiert nun nicht mehr, erörtern die Programmierer.

Weitere Änderungen nennen die Projekt-Maintainer nicht. Wie immer ist das aktuelle Abbild von Tails zum Installieren auf USB-Stick auf einer eigenen Download-Seite verfügbar, während das Tails-ISO-Image zum Brennen auf DVD oder zur Nutzung in einer virtuellen Maschine auf einer anderen Webseite zum Herunterladen bereitsteht.

Microsoft arbeitet an der Verbesserung der Zugriffssteuerung mit Windows Hello. Nun ist auch eine optische Frischzellenkur fällig. Sie lässt sich in der Windows-Insider-Vorschau von Windows 11 im Beta-Kanal bestaunen.

Anzeige

Microsoft zeigt vorab die Windows-Hello-Dialoge in neuer Optik. Etwa die Möglichkeiten zur Authentifizierung mit Passkeys sollen intuitiver werden.

(Bild: Microsoft)

In einem Blog-Beitrag zur Ankündigung der Windows-Vorschau-Version stellen die Entwickler von Microsoft die Neuerungen vor. "Bei Microsoft sind wir der Sicherheit und Verbesserung der Nutzererfahrungen verpflichtet. Als Teil dieser Verpflichtung haben wir im September 2023 erweiterte Passkey-Funktionen gestartet und sind nun dabei, die Nutzererfahrung von Windows Hello umzugestalten", erklären die Programmierer. Dies sei eine signifikante Änderung an Windows Hello und richte es an zeitgemäßen visuellen Windows-Design-Standards aus. Das Hauptaugenmerk liege darauf, Authentifizierung intuitiv und nahtlos zu gestalten.

In der Gerätezugangs-steuerungssoftware Okta Verify Agent for Windows klafft eine Sicherheitslücke, die Angreifern das Abgreifen von Passwörtern ermöglicht. Ein Sicherheitsupdate steht bereit. IT-Verantwortliche sollten die Aktualisierung zeitnah verteilen.

Anzeige

Okta erörtert in einer Sicherheitsmitteilung, dass der Okta Verify Agent for Windows Zugriff auf die OktaDeviceAccessPipe bietet, wodurch Angreifer, die bereits Zugriff auf verwundbare Systeme haben, Passwörter abgreifen können, die zu Oktas Desktop MFA Passwordless Logins gehören (CVE-2024-9191, CVSS 7.1, Risiko "hoch"). Das ermöglicht unter Umständen erweiterten Zugriff auf das System oder auf weitere Netzwerkressourcen.

Die Schwachstelle betrifft ausschließlich den Agent for Windows, zudem muss die Funktion "Device Acess Passwordless" aktiviert sein. Wo die Funktion nicht genutzt und lediglich "FastPass" eingesetzt wird oder auf anderen Betriebssystemen sei der sicherheitsrelevante Fehler nicht vorhanden, bekräftigt der Hersteller.

Verwundbar ist Okta Verify for Windows ab Version 5.0.2 bis einschließlich 5.3.2. Okta empfiehlt, auf die korrigierte Version Okta Verify for Windows 5.3.3 zu aktualisieren. Die Early-Access-Version stand seit Mitte September bereit, die Release-Notes weisen den 18. Oktober für das Release aus, während die Sicherheitsmitteilung vom 25. Oktober für die allgemeine Verfügbarkeit spricht. Da Okta die Schwachstelle als hohes Risiko einstuft, sollten Admins die Aktualisierung der Gerätezugangskontrollsoftware zügig in ihren Netzen verteilen.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

"Servus", grüßt er am Eingang. Dieser Tag wird ein guter für Immanuel Bär werden. Das Firmengelände kennt er von Satellitenaufnahmen, das Gebäude nur von außen. Tagsüber ist er zum ersten Mal hier. Zielstrebig und ohne, dass ihn jemand aufhält, geht er am Empfang vorbei und stößt die Tür zu einem Konferenzraum auf. "Guten Morgen, wir müssen hier mal kurz was überprüfen", sagt er zu einem Mitarbeiter. Ja, kein Problem, lautet die Antwort. Sekunden später ist Bär mit einem Firmennetzwerk verbunden und hat die ersten Daten auf seinem Bildschirm.

Anzeige

Der Angestellte tippt weiter auf seiner Tastatur und lässt den Fremden mit Laptop und LAN-Kabel auf dem Arm arbeiten. Zwischenzeitlich beantwortet er hilfsbereit die eine oder andere Frage. Was er nicht ahnt: Immanuel Bär ist weder ein Kollege noch soll er etwas an der IT-Infrastruktur überprüfen. Der höflich-souveräne Mann mit dem gemusterten Hemd ist ein Einbrecher. Sein Begehren: die volle Kontrolle der Unternehmens-IT. Sein Vorgehen: riskant. Dreist. Im laufenden Betrieb. Seine Aktion: ein voller Erfolg.

Mit demonstrativer Selbstverständlichkeit geht der Eindringling am Empfang vorbei ins Gebäude.

(Bild: heise online/Midjourney)

Aufgrund von zwei Softwareschwachstellen können Angreifer unter anderem Netzwerkspeicher (NAS) der BeeStation-Serie von Synology attackieren. Mittlerweile sind Sicherheitsupdates verfügbar.

Anzeige

Wie Synology in zwei Warnhinweisen zu Synology Photos und BeePhotos schreibt, stufen sie die Sicherheitslücken als "kritisch" ein. CVE-Nummern nennen sie aber nicht. Wie aus den Beiträgen hervorgeht, haben Sicherheitsforscher im Zuge des Hackerwettbewerbs Pwn2Own Irland die Lücken entdeckt und erfolgreich attackiert.

In beiden Fällen kann Schadcode auf Systeme gelangen und sie kompromittieren. In einem Fall sollen entfernte Angreifer die Authentifizierung umgehen können. Wie die Attacken im Detail ablaufen, ist bislang unklar. Synology nennt derzeit keine Hinweise auf Angriffe. Zurzeit gibt es keine Informationen dazu, wie NAS-Besitzer bereits attackierte Geräte erkennen können.

Um NAS-Geräte gegen die geschilderten Attacken abzusichern, müssen Admins die folgenden Versionen installieren:

Damit Attacken ins Leere laufen, sollten Admins für das Netzwerkadapter ConnectX und die Computing-Plattform BlueField von Nvidia zeitnah eine aktuelle Firmwareversion installieren. Darin haben die Entwickler zwei Sicherheitslücken geschlossen.

Anzeige

In einer Warnmeldung schreiben sie, dass Angreifer durch ein erfolgreiches Ausnutzen der Schwachstellen (CVE-2024-0105 "hoch", CVE-2024-0106 "hoch") unter anderem Abstürze auslösen und Daten manipulieren können.

Zu möglichen Abläufen von Attacken ist derzeit nichts bekannt. Berichte zu laufenden Attacken gibt es bislang nicht. Folgende Produkte sind konkret bedroht:

Diese Versionen sind gegen die geschilderten Attacken abgesichert:

Das Support-Ende von Windows 10 nähert sich mit großen Schritten – in einem Jahr, am 14. Oktober 2025, ist es so weit. Unternehmenskunden können sich wie schon bei den älteren Windows-Versionen wie Windows 7 und 8 im Rahmen des Extended-Security-Updates-Programms (ESU) verlängerte Update-Unterstützung mit Sicherheitsflicken kaufen. Erstmals bietet Microsoft das auch Privatanwendern an.

Anzeige

In einem Blog-Beitrag hat Microsoft erneut das Support-Ende von Windows 10 in Erinnerung gerufen. Sehr länglich beschreiben die Redmonder darin, welche Optionen es zum Windows-11-Umstieg gibt und preist die Vorteile der aktuelleren Windows-Version an.

Ganz am Ende des Beitrags findet sich der Hinweis auf die Extended Security Updates. Damit ausgestattete PCs erhalten weiterhin kritische und wichtige Sicherheits-Updates, erklärt das Unternehmen, jedoch keine neuen Funktionen, Bug-Fixes oder technischen Support. "Und zum ersten Mal überhaupt stellen wir ebenfalls ein ESU-Programm für die private Nutzung an", schreibt Microsoft. "Das ESU-Programm für Verbraucher wird eine Ein-Jahres-Option für 30 US-Dollar sein. Das Programm wird kurz vor Ende des Support-Zeitraums 2025 verfügbar werden".

Das Extended-Security-Updates-Programm für Windows 10 wird nach bisherigem Stand ein Windows-10-System mit dem Stand 22H2 voraussetzen. Business-Kunden können bis zu maximal drei Jahre Supportverlängerung kaufen, spätestens im Oktober 2028 ist dann das absolute Support-Ende von Windows 10. Damit ausgestattete PCs funktionieren zwar weiterhin, Sicherheitslücken bleiben darin jedoch offenstehen. Cyberkriminelle nutzen diese regelmäßig aus, um ihre Rechte in Systemen auszuweiten, sich einzunisten oder in Netzwerken fortzubewegen, für Spionage oder etwa für Ransomware-Angriffe. Solche Systeme können daher aus Sicherheitsaspekten nur noch isoliert betrieben werden und sollten besser durch solche mit noch unterstützter Software ersetzt werden.

Die AEP GmbH wurde am 28. Oktober Opfer eines gezielten Cyberangriffs, der zu einer teilweisen Verschlüsselung der IT-Systeme des Unternehmens führte. Firmeneigene Sicherheitssysteme hätten den Angriff erkannt. Darüber informiert das Unternehmen auf seiner Website.

Anzeige

AEP, mit Sitz in Alzenau, habe nach eigenen Angaben umgehend notwendige Schutzmaßnahmen ergriffen und "alle Außenverbindungen getrennt und alle betroffenen IT-Systeme heruntergefahren". Das Unternehmen, das laut DAZ über 6000 Apothekenkunden verfügt, arbeite derzeit mit Hochdruck und unter Mithilfe externer Experten an einer Lösung.

Mit Unterstützung der Experten wird derzeit das Ausmaß des Angriffs untersucht. Infolgedessen ist AEP aktuell telefonisch nicht und per E-Mail nur sehr eingeschränkt erreichbar. AEP will seine Kunden täglich über den aktuellen Stand informieren. Bisher gebe es keinen Hinweis auf einen Verlust der Daten, wie ein Unternehmenssprecher der Apotheke Adhoc mitgeteilt hat.

Apotheken haben bereits seit Jahren mit Lieferengpässen zu kämpfen, aktuell listet das vom Bundesinstitut für Arzneimittel und Medizinprodukte bereitgestellte Portal "PharmaNet.Bund", das auch Daten aus der Arzneimittel- und Antrags-Datenbank des Bundes enthält, rund 500 Arzneimittel auf, bei denen es Lieferschwierigkeiten gibt. Durch Cybervorfälle oder Ausfälle relevanter Dienste und Standorte – etwa auch durch Naturkatastrophen wie Helene – verschlimmert sich die Lage weltweit.

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.