Comretix Blog

Die Ransomware der heute als "Storm-0501" bekannten Gruppe ist erstmals im Jahr 2021 aufgefallen. Die Angreifertruppe, die damals zunächst unter dem Namen "Sabbath" auftrat, hatte es auf kritische IT-Infrastrukturen in Nordamerika abgesehen. Seinerzeit gelang es ihr, Server von öffentlichen Einrichtungen zu infizieren und dort Datenbereiche zu verschlüsseln. Über Social-Media-Kanäle traten die Angreifer dann an die Öffentlichkeit und boten gegen Lösegeld Schlüssel zur Dechiffrierung an.

Anzeige

Wie das Portal SecurityIntelligence berichtet, nahmen die Täter 2021 bei einer betroffenen Schule sogar Kontakt mit Lehrern, Schülern und mit Mitarbeitern der Behörden auf, um ein Lösegeld in Höhe von mehreren Millionen US-Dollar einzufordern. Microsoft sieht nach Analyse der aktuellen Attacken nun eine gezielte Verlagerung der Ransomware-Angriffe auf Hybrid-Cloud-Umgebungen.

Wie Microsoft in seinem Securityblog berichtet, wurde ein mehrstufiger Angriff von Storm-0501 in Hybrid-Cloud-Umgebungen beobachtet. Dabei handelt es sich um eine IT-Infrastruktur, die private Cloud-Dienste mit öffentlichen kombiniert und den Austausch von Daten und Anwendungen zwischen beiden Welten ermöglicht. Behörden und Unternehmen nutzen häufig Hybrid-Cloud-Umgebungen, um sensible oder geschäftskritische Daten in der privaten Cloud zu speichern und gleichzeitig weniger sensible Anwendungen und Daten in der kostengünstigeren öffentlichen Cloud zu betreiben.

Die jüngsten Angriffe zielten auf Daten der US-Regierung beziehungsweise Behördendaten sowie Daten von Unternehmen aus dem Fertigungs- und Transportbereich sowie von Strafverfolgungsbehörden in den USA ab. Die Angreifer verschafften sich Zugang zu den Cloud-Umgebungen, indem sie unsichere Anmeldeinformationen privilegierter Konten ausnutzten.

Ein erheblicher Teil der Fake-Shops in Deutschland verfügt laut dem Bundesrat über eine DE-Domain, die bei Verbrauchern als "besonders vertrauenswürdig" gelte. In einer Stellungnahme zum Gesetzentwurf der Bundesregierung zur Umsetzung der 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) verlangt die Länderkammer daher eine "Verpflichtung zur Identitätsprüfung von Domain-Anmeldungen und Domain-Übertragungen über qualifizierte Identifizierungsverfahren". In Betracht kommen sollen dafür etwa VideoIdent-Mechanismen oder die Vorlage eines elektronischen Identitätsnachweises (eID), der unter anderem im Personalausweis enthalten ist. Auf jeden Fall müssten sich die Anbieter dadurch "Gewissheit über die Person des Beteiligten verschaffen können".

Anzeige

Die " genauen und vollständigen Domain-Namen-Registrierungsdaten" sollen laut der am Freitag beschlossenen Eingabe des Bundesrats "in der Datenbank für die Abfrage von Zugriffsberechtigten" (Whois) vorgehalten werden. Domain-Registrare und Registrierungsdienstleister wollen die Länder verpflichtet wissen, "möglichst in Echtzeit" berechtigten Nachfragern wie Sicherheitsbehörden, Verbraucherzentralen oder speziellen Dienstleistern zur Verfügung zu stellen. Die Bundesregierung soll sich ferner für klare Regeln einsetzen, unter welchen Voraussetzungen Domains "bei Missbrauch blockiert werden können". Dabei sei zu prüfen, "inwieweit automatisierte Verfahren" genutzt werden könnten.

"Zur Fake-Shop-Bekämpfung bei Missbrauch sind die zeitnahe und vollständige Verfügbarkeit der Registrierungsdaten für die Erkennung von Vorfällen und die Reaktion darauf von wesentlicher Bedeutung", begründen die Länder ihre Initiative und verweisen auf einen allgemeinen Beschluss der Verbraucherministerkonferenz. Da betrügerische Online-Stores "mit legitimer Adresse eines anderen Unternehmens besonders gefährlich sind", sei ein mit Blick auf die Datenschutz-Grundverordnung (DSGVO) unbedenklicher "Abgleich des Ortes im Impressum des Fake-Shops mit dem in den Denic-Registrierungsdaten hinterlegten" einschlägigen Angaben zwingend erforderlich.

Auch der Regierungsentwurf sieht zwar bereits im Sinne der NIS2-Richtlinie eine Pflicht zum Führen einer Datenbank mit "genauen und vollständigen Domain-Namen-Registrierungsdaten" sowie einer "unverzüglichen" Zugangsgewährung vor – spätestens innerhalb von 72 Stunden. Der Bundesrat drängt aber darauf, diese Passagen massiv zu verschärfen.

Eine Gruppe von Sicherheitsforschern hat kritische Schwachstellen im Webportal von Kia entdeckt. Am Donnerstag hat die Gruppe die Entdeckung öffentlich gemacht. Die Schwachstellen hätten es Angreifern ermöglicht, Millionen von Kia-Autos nur anhand des Nummernschilds binnen Sekunden aus der Ferne zu orten, zu aktivieren, zu starten und die Hupe zu betätigen. Betroffen waren Fahrzeuge mit Remote-Hardware, also solche älter als Baujahr 2013, unabhängig davon, ob sie ein aktives Kia-Connect-Abonnement hatten oder nicht. Inzwischen bestünde jedoch keine Gefahr mehr.

Anzeige

Um aufzuzeigen, wie einfach sie die mit dem Internet verbundenen Funktionen der Fahrzeuge aufgrund der Schwachstellen kapern konnten, entwickelten die Forscher eine eigene App, mit der sie Befehle an Fahrzeuge der betroffenen Modelle schicken konnten, sofern sie das Nummernschild kannten.

Über die Lücken in der Webanwendung konnten die Sicherheitsforscher außerdem persönliche Daten von Autobesitzern einsehen, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen und sich selbst als zweiter Benutzer dem Benutzerkonto hinzufügen, ohne dass die Fahrzeug-Eigentümer das mitbekommen hätten.

Die Schwachstellen in der Webanwendung erlaubten es den Forschern, einen Händler-Account im Kia-Händlerportal zu registrieren, über den sie auf die Kia-Händler-APIs im Backend zugreifen konnten. Von dort aus fanden sie einen Weg, Fahrzeuge betroffener Modelle zu übernehmen. Details zu ihrem Vorgehen haben sie in einem Blogpost veröffentlicht.

Admins, die sich schon auf den Weg ins Wochenende machen wollten, sollten noch mal rasch an den Verwaltungs-PC: Die PHP-Entwickler haben die Versionen 8.3.12 und 8.2.24 veröffentlicht. Diese schließen teils als kritisches Risiko eingestufte Sicherheitslücken.

Anzeige

Die Versionsankündigungen für PHP 8.3.12, PHP 8.2.24 und PHP 8.1.30 sind äußerst knapp. "Dies ist ein Sicherheits-Release. Allen PHP 8.[1|2|3] Nutzern sei empfohlen, auf diese Version zu aktualisieren" lauten die Ankündigungen, deren einziger Unterschied die Versionsnummer ist.

Ähnlich sieht es bei den Changelogs zu Version 8.3.12 und 8.2.24 aus. Sie sind nahezu identisch. Ausnahme ist ein zusätzlich korrigierter Fehler in PHP 8.3.12, der in 8.2.24 offenbar nicht vorhanden ist. Dabei handelt es sich laut Kurzbeschreibung um einen Signed-Integer-Überlauf in ext/dom/nodelist.c. Wesentlich schlimmer ist jedoch ein Wiedergänger einer alten Lücke in PHP-Versionen vor den nun neu veröffentlichten. Es geht erneut um die bekannte Sicherheitslücke CVE-2024-4577 – der bisherige Patch reicht nicht aus, die damit getroffenen Gegenmaßnahmen lassen sich umgehen. Details fehlen noch, der CVE-Eintrag CVE-2024-8926 ist zum Meldungszeitpunkt noch auf Status "reserved". Tenable verrät jedoch, dass der CVSS-Wert 9.1 beträgt, die Lücke mithin "kritisch" ist und die Windows-Version von PHP. betrifft. Das Changelog für PHP 8.1.30 fällt hingegen deutlich kürzer aus.

IT-Verantwortliche sollten die aktualisierten PHP-Versionen zügig installieren. Die Vorgänger-Schwachstelle CVE-2024-4577 wurde bereits im Juni in freier Wildbahn angegriffen. Die CISA hat davor mit der Aufnahme des Sicherheitslecks in den Known-Exploited-Vulnerabitlites-Katalog gewarnt. Etwas Salz streut in die Wunde, dass auch CVE-2024-4577 lediglich eine Variante eines 12 Jahre älteren Fehlers (CVE-2012-1823) war, den die Programmierer auch da nicht vollständig korrigiert haben.

Ein Sicherheitsforscher von SafeBreach hat das Tool "Windows Downdate" entwickelt, mit dem er die Windows-Update-Funktion unter Windows 10, 11 und den Server-Varianten dazu missbrauchen kann, beliebige alte und damit verwundbare Vorgängerversionen sämtlicher Windows-Komponenten zu installieren. Doch so eine Attacke ist nicht ohne Weiteres möglich.

Anzeige

Der Forscher demonstrierte im Rahmen der Hacker-Konferenzen Black Hat und Def Con 32, wie Angreifer etwa besonders sensible Systembestandteile wie den Windows-Kernel oder den Hypervisor downgraden können. Weiterführende Details zu seiner Attacke beschreibt er in einem Blogbeitrag.

Er gibt an, die Schwachstelle im Februar an Microsoft gemeldet zu haben. Derzeit gibt es noch keine Sicherheitsupdates, die die Schwachstelle komplett schließen. Im Zuge des aktuellen Patchdays hat Microsoft immerhin zwei Sicherheitshinweise veröffentlicht (CVE-2024-38202 und CVE-2024-21302), mit denen sich das Risiko senken lassen soll.

Der Sicherheitsforscher Alon Leviev konnte manipulierend in den Windows-Update-Prozess eingreifen, um essenzielle Systemkomponenten durch verwundbare Versionen zu ersetzen.

Zwei Hardware-Hacker haben unter anderem diverse Schlösser des in Europa gängigen Herstellers Schulte-Schlagbaum AG (SAG) und des in den USA weitverbreiteten Anbieters Digilock auf Schwachstellen abgeklopft. Sämtliche überprüfte Schlösser funktionieren offline und stammen aus den Jahren 2014 bis 2023. Man findet sie unter anderem in Fitnessstudios, Krankenhäusern, Banken, Hotels und Bibliotheken.

Anzeige

Das Ergebnis präsentierten sie im Rahmen der Hacker-Konferenz Def Con 32. Die Schlösser lassen sich vergleichsweise einfach aushebeln. Im Gespräch mit heise security betonte Dennis Giese, dass dies kein auf Digilock und SAG beschränktes Problem sei, sondern auch andere Hersteller betrifft.

Dies ist umso fataler, da sich die gefundenen Einfallstore unter Umständen nur schwer aus der Welt schaffen lassen. Stellt ein Hersteller überhaupt ein Firmware-Update bereit – wie Digilock es als Reaktion auf die Hacks plant – müsste jedes Schloss aufgeschraubt, mit einem Programmiergerät verbunden und mit neuer Software versehen werden.

Beispiele für geknackte elektronische Schlösser, die unter anderem in Schließfächern in öffentlichen Einrichtungen verwendet werden.

Mit dem Exploit-Kit Angler haben Cyberkriminelle über viele Jahre Computer und Mobilgeräte für Malvertising und Ransomware-Erpressungen missbraucht. Doch jetzt wird der Anführer dieser Bande in den USA angeklagt, nachdem er letztes Jahr in Spanien festgenommen und nun von Polen in die Vereinigten Staaten ausgeliefert wurde. Ihm droht eine langjährige Haftstrafe wegen Überweisungs- und Computerbetrug sowie Identitätsdiebstahl.

Anzeige

Maksim S. mit der doppelten Staatsbürgerschaft Weißrusslands und der Ukraine wird beschuldigt, über mehrere Jahre zwei verschiedene Cybercrime-Systeme betrieben zu haben. Dabei habe er Online-Spitznamen wie "J.P. Morgan", "xxx" und "lansky" genutzt. Gemeinsam mit Volodymyr K., ebenfalls mit weißrussischer und ukrainischer Staatsbürgerschaft, und Andrej T. aus Russland habe Maksim S. von Oktober 2013 bis mindestens März 2022 mithilfe des Angler-Exploit-Kits Malware durch Online-Werbeanzeigen verteilt (Malvertising) und erbeutete Daten von Opfern im Darknet verkauft. Volodymyr K. und Andrej T. sind bislang allerdings nicht gefasst.

Das Exploit-Kit Angler hat im letzten Jahrzehnt zahlreiche Schlagzeilen gemacht. Auf Basis dieses Exploits haben etwa Webseiten von AOL, BBC und MSN im Rahmen einer Malvertising-Kampagne Erpressungs-Trojaner verteilt. Manipulierte Werbeanzeigen haben damals zehntausende Besucher mit Verschlüsselungs-Trojanern infiziert. Daneben hat der Exploit-Kit Angler Android-Trojaner verteilt und Opfer mit Kinderpornos erpresst. Durch die mit dem Exploit-Kit verteilten Erpressungs-Trojaner hätten die Täter Millionen gemacht.

Die Werbeanzeigen erschienen legitim, hätten nichts ahnenden Nutzer aber zu Webseiten geleitet, die mithilfe des Exploit-Kits Angler Malware auf die Geräte der Anwender geladen oder Nutzerdaten abgefragt hätten. So wurden die Anwender etwa fälschlich vor Virusinfektionen gewarnt. Die erbeuteten Daten hätten die Angeklagten in russischen Cybercrime-Foren zum Verkauf angeboten, um diese etwa erpressen zu können oder weiteren Zugang zu Konten oder Geräten zu erlangen. Diese Anklage ist beim Bezirksgericht in New Jersey anhängig (Aktenzeichen 2013R01333/AMT/AAH/LKB/CG).

Die US-amerikanische Standardisierungsbehörde NIST (National Institute of Standards and Technology) hat eine erste Sammlung von Verschlüsselungswerkzeugen veröffentlicht, die auch Angriffen durch Quantenrechner widerstehen und so zukunftssicher sein sollen.

Anzeige

Bei einem Auswahlverfahren, das mehr als zwei Jahre in Anspruch nahm, sind drei US-Bundesstandards zur Informationsverarbeitung (FIPS, Federal Information Processing Standard), entstanden. Diese umfassen Verfahren zu Schlüsselaustausch und Verschlüsselung:

Sowohl FIPS-203 als auch FIPS-204 enthalten Algorithmen aus der Initiative CRYSTALS (Cryptographic Suite for Algebraic Lattices), einem Forschungszusammenschluss verschiedener Universitäten, Hard- und Softwarehersteller. Die ursprünglichen Namen der Algorithmen entstammen dabei den wohl bekanntesten Science-Fiction-Universen. Kyber-Kristalle werden in der Star-Wars-Reihe zum Bau von Lichtschwertern benötigt und ohne Dilithium-Kristalle konnten weder der legendäre Scotty noch seine Nachfolger auf dem Raumschiff Enterprise den Warp-Antrieb anschmeißen.

Quantensichere Verschlüsselung ist für Sicherheitexperten und -Behörden ein wichtiges Thema. So forderte das BSI gemeinsam mit europäischen Partnern, vom Alternativverfahren Quantum Key Distribution (QKD) abzurücken und stattdessen eiligst erste Implementationen von Post-Quanten-Kryptografie anzugehen. Dan J. Bernstein, renommierter Kryptologe und Open-Source-Urgestein, kritisierte derweil dumme Rechenfehler bei der Auswahl von Kyber-512, das nun als ML-KEM-512 in FIPS 203 Teil der neuen Standards geworden ist.

Ein Datenleck bei dem auf Hintergrundchecks spezialisierten Unternehmen National Public Data hat Konsequenzen, denn ein Betroffener namens Christopher Hofmann plant eine Sammelklage beim Bundesbezirksgericht für Südflorida gegen Jerico Pictures Inc., das Mutterunternehmen von National Public Data. Er wirft dem Unternehmen vor, personenbezogene Daten von Milliarden Menschen nicht ausreichend geschützt zu haben.

Anzeige

Hofmann habe um den 24. Juli herum eine Benachrichtigung seines Identitätsschutzsystems erhalten. Demnach seien seine persönlichen Daten im Untergrundforum aufgetaucht. Zu den Daten gehören unter anderem Vor- und Nachnamen, frühere und aktuelle Adressen der vergangenen 30 Jahre, Sozialversicherungsnummern und Informationen über Angehörige. Das berichtet unter anderem The Register.

Aufgrund bisheriger Erkenntnisse ist Hofmann überzeugt, dass die Daten allerdings auch "aus nicht-öffentlichen Quellen zusammengetragen wurden". Er habe keine Daten an National Public Data weitergegeben. Die Daten seien vom Unternehmen fahrlässig gespeichert und deren Inhalte nicht verschlüsselt worden. Ebenso sei auch keine Schwärzung sensibler Informationen erfolgt, was Betrugsmaschen Tür und Tor öffnen kann und ein "anhaltendes Risiko" darstelle. Der Kläger fordert, dass das Unternehmen die betroffenen Personen aus der Datenbank entfernt und künftig strengere Sicherheitsmaßnahmen ergreift.

Nach Informationen von The Register werden derzeit alle Daten kostenlos im Untergrundforum angeboten. Die Cyberkriminellen behaupten, dass der Leak 2,9 Milliarden Datensätze mit Informationen von Bürgern aus den USA, Kanada und Großbritannien umfasst.

Angreifer können an mehreren Schwachstellen in Ivanti Avalanche, Neurons for ITSM oder Virtual Traffic Manager (vTM) ansetzen und Systeme im schlimmsten Fall vollständig kompromittieren. Ivanti versichert, dass ihnen derzeit keine Informationen über laufende Attacken vorliegen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, können entfernte Angreifer ohne Authentifizierung durch das erfolgreiche Ausnutzen einer "kritischen" Schwachstelle (CVE-2024-7593) in vTM Nutzer mit Admin-Rechten erstellen. Attacken sind den Entwicklern zufolge möglich, weil ein Authentifizierungsalgorithmus falsch implementiert wurde.

Bislang sind nur die abgesicherten vTM-Ausgaben 22.2R1 und 22.7R7 erschienen. Weitere Sicherheitsupdates sollen ab der kommenden Woche erscheinen. Um die Angriffsfläche für diese und ähnliche Attacken zu verkleinern, sollten Admins generell den Zugriff auf Managementinterfaces einschränken.

Eine "kritische" Lücke (CVE-2024-7569) betrifft Neurons for ITSM, wenn OIDC-Authentifizierung genutzt wird, schreiben die Entwickler in einem Beitrag. Ist das der Fall, kann ein Angreifer ohne Anmeldung das OIDC Client Secret einsehen. Eine zweite Schwachstelle (CVE-2024-7570 "hoch") erlaubt es einem entfernten Angreifer, sich als Man-in-the-Middle in Verbindungen einzuklinken. Hier schaffen die Ausgaben 2023.2 W/ patch, 2023.3 w/ patch und 2023.4 w/ patch Abhilfe.

Nordkorea ist abgeschottet wie kaum ein anderes Land auf der Welt. In der öffentlichen Wahrnehmung gilt es oft als technologisch rückständig und fällt durch martialische Außenpolitik auf. Doch in den vergangenen anderthalb Jahrzehnten hat die selbst ernannte "demokratische Volksrepublik" eine schlagkräftige Cyber-Armee aufgebaut, die nicht nur spektakuläre Angriffe durchführt, sondern auch reichlich Devisen ins Land bringt.

Anzeige

Bereits die zehnte Folge ihres Security-Podcasts bestreiten die Hosts Christopher Kunz und Sylvester Tremmel gemeinsam. Zum Anlass dieses Mini-Jubiläums schauen sie auf die koreanische Halbinsel und werfen einen Blick hinter die Fassade nordkoreanischer Cyberkrieger. Wer die Lazarus-Gruppe, Andariel und Bluenoroff sind, erfahren die Hörer genauso wie Details zu deren aufsehenerregenden Angriffen auf Sonys Filmstudio, Windows-PCs und Forschungsinstitute.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Angreifer können an Schwachstellen in Acrobat und Reader, Bridge, Commerce, Dimension, Illustrator, InCopy, InDesign, Photoshop, Substance 3D Designer, Substance 3D Sampler und Substance 3D Stager ansetzen.

Anzeige

In vielen Fällen können Angreifer durch das erfolgreiche Ausnutzen der Sicherheitslücken Schadcode auf Systeme schieben und ausführen. Den Großteil der Lücken stuft Adobe als "kritisch" ein.

In einigen Fällen können sich Angreifer auch höhere Rechte verschaffen oder Sicherheitsfeatures umgehen. Wie Attacken im Detail ablaufen könnten, führen die Entwickler derzeit nicht aus. Bislang gibt es keine Informationen zu Attacken.

Da eine Auflistung der abgesicherten Versionen den Umfang dieser Meldung sprengt, müssen Admins die verlinkten Warnmeldungen von Adobe studieren.

Derzeit haben Angreifer Office und verschiedene Windows- und Windows-Server-Versionen im Visier. In einigen Fällen kann Schadcode auf Computer gelangen und Systeme kompromittieren. Sicherheitspatches stehen über ein Windows-Update zur Verfügung. In der Regel erfolgt die Installation automatisch. Aufgrund der Angriffe sollten Admins den Patchstatus aber dringend prüfen.

Anzeige

Insgesamt nutzen Angreifer derzeit sechs Softwareschwachstellen aus. Eine davon (CVE-2024-38189 "hoch") betrifft Office LTSC 2021, Project 2016, 365 Apps for Enterprise und Office 2019 in den 32- und 64-Bit-Versionen.

Damit ein Angriff erfolgreich ist, muss ein Opfer aber eine mit Makros präparierte Office-Project-Datei öffnen. Außerdem muss die Schutzfunktion, die Makros in aus dem Internet heruntergeladenen Dokumenten verbietet, deaktiviert sein. Ist das gegeben und ein Opfer öffnet so eine etwa via E-Mail verschickte Datei, gelangt Schadcode auf PCs. Über die Preview-Funktion sollen Angreifer keine Attacken einleiten können.

Die weiteren ausgenutzten Lücken betreffen diverse Windows- und Windows-Server-Ausgaben. Darunter sind unter anderem Windows 11 22H2. In einem Fall (CVE-2024-38178 "hoch") müssen Angreifer Opfer dazu bringen, dass Edge im Internet-Explorer-Modus läuft. Ist das der Fall, schieben sie Opfern einen präparierten Link unter. Ein Klick darauf führt zu einem Speicherfehler in der Komponente Scripting Engine und es kommt zur Ausführung von Schadcode.

Unternehmen, die Kundenprobleme mit Solarwinds Web Help Desk (WHD) managen, sollten die aktuelle Version zeitnah installieren. Darin haben die Entwickler eine als "kritisch" eingestufte Schwachstelle geschlossen.

Anzeige

In einer Warnmeldung schreiben sie, dass die Lücke (CVE-2024-28986) Schadcode-Attacken auf das Host-System ermöglicht. Wie das im Detail ablaufen könnte, ist bislang unklar. Attacken sollen ohne Authentifizierung stattfinden können. Das konnten die Entwickler eigenen Angaben zufolge aber nicht reproduzieren. Derzeit gibt es keine Berichte über laufende Angriffe.

Um Attacken vorzubeugen, müssen Admins zuerst WHD 12.8.3 installieren, um diese Version dann mit 12.8.3 Hotfix 1 abzusichern. Wie das Update funktioniert, führen die Entwickler in der Warnmeldung aus.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Millionen Pixel-Handys wurden mit Fernwartungssoftware ausgeliefert, die sie anfällig für Spionagesoftware macht – laut Google aber nur, wenn der Täter physischen Zugriff auf das Gerät hat, das Passwort des Nutzers eingibt, und weiß, wie die normalerweise unsichtbare und inaktive Software zu aktivieren ist. Das berichtet unter anderem Forbes. Unter diesen Voraussetzungen könnte ein Angreifer auch beliebige andere Software installieren. Die Fernwartungssoftware soll auf Wunsch Verizons seit Beginn der Pixel-Handys 2017 eingebaut worden sein. Der US-Mobilfunker hat das Programm eine Zeit dazu genutzt, in seinen Verkaufsstellen Pixel-Handys vorzuführen.

Anzeige

Ob auch andere Android-Handys als Pixel betroffen sind, ist noch unklar. Aktive Ausnutzung ist nicht bekannt. Entdeckt hat die Sicherheitslücke der "Endpoint Detection and Response"-Scanner (EDR) von Iverify auf einem Kundenhandy. iVerify konnte das gemeinsam mit dem betroffenen Kunden Palantir und der Sicherheitsfirma Trail of Bits auf ein verstecktes Android-Softwarepaket zurückführen. Auch wenn die Software nicht mehr eingesetzt wird, befindet sie sich weiterhin in den Images der Pixel-Smartphones, wie "Trail of Bits"-CEO Dan Guido auf X anmerkt.

Tatsächlich lassen sich weiterhin von Googles offiziellen Servern Firmware-Images für die Pixel-Geräte herunterladen, die im product.img das Verzeichnis priv-app mit dem genannten Showcase.pkg enthalten, wie heise online anhand des Images von Android 14.0 für das Pixel 8a überprüfen konnte.

Laut iVerify lädt die Anwendung, einmal aktiviert, eine Konfigurationsdatei über eine unsichere Verbindung herunter, was zur Folge haben kann, dass Code auf Systemebene ausgeführt wird. Die Konfigurationsdatei wird von einer von AWS gehosteten Domain über ungesichertes HTTP abgerufen, was die Konfiguration und das Gerät anfällig macht für schädlichen Code, Spyware und Datenlöschung.

Schöne neue Welt: Mittlerweile benötigen sogar Fahrradgangschaltungen Firmware-Updates, um Softwareschwachstellen zu schließen. So geschehen im Fall der Wireless-Gangschaltung Di2 von Shimano, die auch Radprofis nutzen.

Anzeige

Um einen Gang zu wechseln, sendet die Di2 Schaltbefehle vom Lenker via Funk an die Schaltung am Hinterrad. Dieses Funksignal konnten Sicherheitsforscher von der University of California San Diego eigenen Angaben zufolge abfangen.

Im Zuge einer Replay-Attacke kann sich ein Komplize eines auf den Sieg versessenen Radrennfahrers am Streckenrand positionieren und mit dem aufgezeichneten Signal gezielt, etwa bei einer Steigung, einen Konkurrenten durch das Umschalten in einen schweren Gang ausbremsen.

Sicherheitsforscher konnten Funksignale der Shimano-Ganschaltung Di2 mitschneiden und so Schaltvorgänge auslösen.

Angreifer können über Schwachstellen in IBM AIX und App Connect Enterprise Certified Container etwa Schadcode ausführen und so Systeme kompromittieren.

Anzeige

In IBMs Unix-Betriebssystem AIX haben die Entwickler zwei Python-Sicherheitslücken (CVE-2024-45803 "mittel", CVE-2024-6345 "hoch") geschlossen. Klickt ein Opfer auf einen von einem Angreifer präparierten Link, kann im Kontext von pypa/setuptools Schadcode auf PCs gelangen. Der Grund ist ein Fehler im package_index-Modul. Wie Admins Systeme dagegen absichern, steht in einer Warnmeldung.

Die Integrationssoftware App Connect Enterprise Certified ist über vier Sicherheitslücken attackierbar. Im schlimmsten Fall können Angreifer darüber Systeme via DoS-Attacke lahmlegen oder sogar eigenen Code ausführen (CVE-2024-48622 "hoch").

Die Entwickler versichern, die Sicherheitsprobleme in den folgenden Versionen gelöst zu haben:

Bundesinnenministerin Nancy Faeser (SPD) will dem Bundeskriminalamt (BKA) zur Terrorismusbekämpfung die Befugnis geben, künftig heimlich Wohnungen zu betreten und zu durchsuchen. Damit soll es den Ermittlern leichter fallen, den Bundestrojaner für heimliche Online-Durchsuchungen und zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) auf IT-Systemen wie Smartphones oder Computern zu installieren. Das geht laut dem Redaktionsnetzwerk Deutschland und der taz aus dem Entwurf zur Novelle des BKA-Gesetzes hervor, der bisher vor allem wegen der geplanten Erlaubnis zur biometrischen Gesichtserkennung im Zentrum der Kritik steht.

Anzeige

Mit der Quellen-TKÜ kann die Polizei die laufende Kommunikation via Messenger wie WhatsApp, Signal oder Threema direkt auf einem Zielsystem abhören, bevor diese ver- oder nachdem sie entschlüsselt wird. Bei einer weitergehenden Online-Durchsuchung dürfen die Beamten auch auf gespeicherte Dateien zugreifen. Für die beiden Instrumente müssen in der Regel Staatstrojaner eingesetzt und Sicherheitslücken ausgenützt werden. Oft gibt es aber Probleme bei einer Ferninstallation solcher Überwachungssoftware, wenn Zielsysteme wirksam gegen Angriffe von außen geschützt sind. Im Entwurf des Bundesinnenministeriums heißt es daher, das BKA müsse "physisch auf die IT-Geräte einwirken" können. Das sei die "technisch sicherste und schnellste Möglichkeit zur Implementierung" des Bundestrojaners ohne "Mitwirkung der Zielperson".

In dem Gesetzentwurf würden das Betretungsrecht und die damit verknüpften Kompetenzen als letztes Mittel (Ultima Ratio) vorgesehen und eine richterliche Genehmigung im Einzelfall verlangt, heißt es in den Berichten. Ziel könne es auch sein, mögliche "Tatmittel" vor geplanten Anschlägen auszutauschen oder unbrauchbar zu machen. Ganz neu ist der Ansatz nicht: Der Landtag von Mecklenburg-Vorpommern beschloss bereits 2022 eine Reform des Polizeigesetzes, die ein "Betretungsrecht" der Ordnungshüter für Online-Durchsuchungen enthält.

Der damalige Bundesinnenminister Horst Seehofer wollte 2019 mit einer Novelle des Verfassungsschutzrechts Staatsschützern und BND-Agenten ermöglichen, heimlich in Wohnungen einzudringen, um dort Bundestrojaner auf Endgeräte aufzuspielen. Wolfgang Schäuble (CDU) hatte schon 2008 als Bundesinnenminister eine Debatte darüber gefordert. 2018 plädierten die Justizminister der Länder für ein Betretungsrecht, um Staatstrojaner auf zu überwachende Geräte zu bekommen. Das BKA machte jahrelang von seiner Befugnis zum Hacken von IT-Systemen keinen Gebrauch. Ermittler der Behörde sollen 2022 aber Spionageprogramme gegen ein Reichsbürger-Netzwerk verwendet haben. Der vom BKA zunächst in Eigenregie für 5,77 Millionen Euro gebaute Bundestrojaner taugte nur zur Quellen-TKÜ. Eine leistungsstärkere Version war lange in der Mache. Parallel beschaffte sich das Amt etwa den Staatstrojaner FinSpy.