Comretix Blog

Microsoft hat nun den Umgang mit Microsoft-365-Apps unter Windows 10 nach dem Support-Ende des Betriebssystems erläutert. Spoiler: Auch nach dem offiziellen Support-Ende von Windows 10 am 14. Oktober 2025 sollen die Microsoft-365-Apps Unterstützung unter dem veralteten Betriebssystem bekommen – jedoch eingeschränkt.

Zunächst erklärt Microsoft in einem Support-Artikel dazu, dass Apps wie Word natürlich weiter funktionieren, wenn Windows 10 sein Support-Ende erreicht. Jedoch könne der Einsatz eines nicht unterstützten Betriebssystems zu Performance- und Verlässlichkeits-Einbußen der MS-365-Apps führen. Daher sollten Organisationen, die noch MS-365-Apps unter Windows 10 einsetzen, auf Windows 11 umziehen.

"Um in der Übergangszeit zu Windows 11 sicher zu bleiben, wird Microsoft weiterhin Sicherheitsupdates für Microsoft-365-Apps unter Windows 10 bereitstellen, für drei Jahre, nachdem Windows 10 am Support-Ende angelangt ist", verspricht Microsoft. "Diese Updates werden durch die Standard-Update-Kanäle ausgeliefert und enden am 10. Oktober 2028."

Microsoft schränkt jedoch den Support wie üblich ein, wenn Produkte am Ende ihres Lebenszyklus angelangt sind. Kunden mit gültigem MS-365-Abonnement können weiterhin Support-Fälle öffnen. Sofern die MS-365-Apps jedoch unter Windows 10 laufen, gelten dann nachfolgende Einschränkungen: Wenn das Problem ausschließlich bei MS-365-Apps unter Windows 10 – ganz gleich, ob Windows 10 oder Windows 10 mit Extended Security Updates (ESU) – und nicht unter Windows 11 auftritt, wird der Support Betroffene auffordern, auf Windows 11 zu wechseln.

Sollten Kunden nicht auf Windows 11 wechseln können, liefert der Support ausschließlich Unterstützung bei der Problembehebung. Technische Gegenmaßnahmen können eingeschränkt oder sogar nicht verfügbar sein. Supportfälle für MS-365-Apps unter Windows 10 (mit oder ohne ESU) umfassen nicht die Option, einen Bug zu melden oder andere Produkt-Updates anzufordern. Das endgültige Support-Ende fällt dann mit dem Ende des erweiterten Windows-10-Supports im ESU-Programm zusammen.

Die Virenschutzsoftware der Marken Avast, AVG, Avira und Norton von Gen Digital bringt unter anderem System-Optimierungsdienste und weitere Komponenten mit, die Schwachstellen enthalten. Nutzerinnen und Nutzer der betroffenen Software sollten prüfen, ob sie neuere Versionen installiert haben als die bekannt verwundbaren.

Gen Digital hat bislang keine Übersicht oder eigene Schwachstellenmeldungen mit weitergehenden Informationen veröffentlicht. Am Wochenende hat die Mutterfirma jedoch mehrere CVE-Schwachstelleneinträge herausgegeben, die verwundbare Versionen und Komponenten benennen.

Die einzelnen Meldungen nennen folgende Programme und Komponenten:

Bei allen bis auf die letzte Schwachstelle handelt es sich um Lücken, durch die Angreifer aufgrund ungeprüfter Folgen von Verknüpfungen ihre Rechte im System ausweiten können (Link Following). Bei den meisten Lücken steht in der Beschreibung, dass lokale Angreifer beliebigen Code im SYSTEM-Kontext ausführen können, indem sie einen symbolischen Link anlegen und eine "Time-of-Check Time-of-Use"-Attacke starten. Die zuletzt gelistete Sicherheitslücke ermöglicht hingegen, durch das mögliche Löschen beliebiger Dateien an Systemrechte zu gelangen.

Zwar nennen die meisten CVE-Einträge Windows 10 als Kontext, es ist aber nicht ersichtlich, warum die Software auf anderen Windows-Versionen nicht anfällig sein sollte. Da Gen Digital keine näheren Informationen herausgibt, bleibt Nutzern der verwundbaren Software nur, zu prüfen, ob die bei ihnen installierte Fassungen bereits neuer sind. Gegebenenfalls sollten sie dann den Update-Prozess anstoßen – oder nach Möglichkeit, wenn die Bestandteile ohnehin nicht genutzt werden, etwa die Systemoptimierungskomponenten deinstallieren.

Google erweitert den Schutz vor Betrug im Chrome-Browser. Sowohl auf Android als auch auf dem Desktop und der Suche kommt dafür nun ein lokales KI-Modell zum Einsatz: Gemini Nano.

Wie der Konzern in einem Blogbeitrag schreibt, soll das lokale KI-Modell Gemini Nano im Desktop-Browser Nutzer vor Online-Betrug zu schützen. Außerdem führt Google neue KI-basierte Warnungen für Chrome auf Android ein, um vor Spam-Benachrichtigungen zu warnen.

Der erweiterte Schutzmodus der Safe-Browsing-Einstellung im Chrome-Browser stellt laut Google die "höchste Schutzstufe" dar und schützt Nutzer "doppelt so gut vor Phishing und anderen Betrügereien wie der Standardschutzmodus". Bislang setzte Google auf einen serverseitigen URL-Scan. Der On-Device-Ansatz soll einen schnelleren Einblick in potenziell riskante Websites liefern.

Die Chrome-Funktion "Erweitertes Safe Browsing" setzt nun auf Gemini Nano.

(Bild: heise online)

Microsoft Teams soll künftig die Möglichkeit bieten, unerlaubte Bildschirmaufnahmen von Teams-Konferenzen zu verhindern. So sollen die Inhalte der Konferenz wie geteilte Bildschirminhalte oder die Webcam-Ansichten der einzelnen Teilnehmer besser geschützt werden.

Wie in der Microsoft 365 Roadmap zu lesen ist, arbeitet das Softwareunternehmen an einer entsprechenden Funktion namens "Prevent Screen Capture" ("Bildschirmaufnahme verhindern"). Wenn diese aktiviert ist, färbt sich das Windows-Fenster mit der Teams-Konferenz schwarz, sobald ein Nutzer versucht, eine Bildschirmaufnahme zu machen.

Genauere Angaben macht Microsoft nicht, aber logischerweise dürfte das nur bei den Nutzern passieren, die sich gerade an einer Bildschirmaufnahme versuchen. Unklar ist allerdings noch, ob die neue Funktion standardmäßig eingeschaltet sein wird oder ob die Organisatoren einer Konferenz sie zunächst anschalten müssen. Denkbar wäre theoretisch auch, allen Teilnehmern individuell die Entscheidung zu ermöglichen – dann wären Bildschirmaufnahmen nicht mehr möglich, sobald nur ein Nutzer Bildschirmaufnahmen verbietet.

Blöd könnte es allerdings für Nutzer werden, deren Gerät die neue Funktion nicht unterstützt: Diese sollen künftig nur noch mit Audio-Ansicht teilnehmen können, wenn ihr Teams-Klient die neue Funktion nicht unterstützt. Auch hier bleibt Microsoft genauere Angaben schuldig, etwa welche Konstellationen unter diese Kategorie fallen könnten. Wer dagegen nur eine veraltete Teams-Version hat, ist sowieso schnell aufgeschmissen: Microsoft will Teams-Klienten, die älter als 90 Tage sind, grundsätzlich unbrauchbar machen.

Die neue Funktion ist für Android, Windows, Mac, iOS, und die Teams-Web-App geplant und soll im Juli 2025 kommen. Ganz verhindern lassen sich unerwünschte Aufnahmen von Teams-Konferenzen natürlich nicht. Es wäre mit der neuen Funktion immer noch möglich, mit einer externen Kamera, zum Beispiel des eigenen Smartphones, den Bildschirm zu filmen oder zu fotografieren.

Microsoft räumt erneut Probleme mit Windows Updates ein. Dieses Mal hat es Windows Server getroffen, die nach der Installation der Sicherheitsupdates vom April-Patchday im Active-Directory-Betrieb Authentifizierungsprobleme mit "Windows Hello for Business" verursachen können.

In den Windows-Release-Health-Notizen geht Microsoft auf die Probleme ein und beschreibt eine temporäre Gegenmaßnahme. Nach der Installation der April-Softwareflicken können AD-Domain-Controller Probleme bei der Verarbeitung von Kerberos-Log-ons oder der Delegation davon mit zertifikatsbasierten Zugangsdaten haben, die auf vertraute Schlüssel mittels des Active-Directory-"msds-KeyCredentialLink"-Felds setzen. Das kann zu Authentifizierungsproblemen mit "Windows Hello for Business" führen, wenn die Umgebung davon zur Nutzung von vertrauenswürdigen Schlüsseln ("Key Trust") konfiguriert ist oder sofern die Umgebung auf Device-Public-Key-Authentifizierung setzt, was auch als "Machine PKINIT" bekannt ist.

Das könne auch weitere Produkte betreffen, die auf diese Funktionen setzen. Dazu gehören Smart-Card-Authentifizierungsprodukte, Single-Sign-On-Lösungen von Drittherstellern und Identitäts-Management-Systeme. Die betroffenen Protokolle sind Kerberos-Public-Key-Kryptografie für die initiale Authentifizierung (Kerberos PKINIT) und Zertifikat-basierte "Service-for-User"-Delegation (S4U) mittels sowohl Kerberos Constrained Delegation (KCD oder A2D2-Delegation) als auch Kerberos Ressourcen-basierte Constrained Delegation (RBKCD oder A2DF-Delegation), erklärt Microsoft weiter. Home-User seien vermutlich seltener betroffen, da DCs für die Authentifizierung eher im Geschäfts- und Enterprise-Umfeld angesiedelt seien.

Auslöser sind Schutzmaßnahmen für die Kerberos-Authentifizierung gegen die Schwachstelle CVE-2025-26647 / EUVD-2025-10222 (CVSS 8.8, Risiko "hoch") – eine unzureichende Eingabeprüfung von Kerberos, die Angreifer aus dem Netz ohne vorherige Authentifizierung zum Ausweiten ihrer Rechte missbrauchen können. Microsoft hat in einem Support-Artikel nähere Informationen dazu zusammengetragen.

Dadurch wurde die Methode geändert, mit der DCs Zertifikate überprüfen, die Kerberos zur Authentifizierung nutzt. Mit den April-Updates prüft Windows, ob ein Zertifikat mit einer Wurzel im NTAuth-Speicher verknüpft ist. Ist der Wert des Registry-Eintrags "AllowNtAuthPolicyBypass" im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc" nicht gesetzt, nimmt Windows dafür standardmäßig den Wert "1" an. Das kann zu zwei Symptomen führen. Erstens, bei einem Wert "1" von "AllowNtAuthPolicyBypass", dass die Event-ID 45 wiederholt im System-Ereignisprotokoll auftaucht, mit einer Nachricht der Art "The Key Distribution Center (KDC) encountered a client certificate that was valid but did not chain to a root in the NTAuth store". Außer den teils exzessiven Log-Einträgen hat das jedoch keine Auswirkungen – die Log-ons klappen.

Beim europaweit agierenden und nach eigenen Angaben größten Parkhausbetreiber APCOA gab es ein Datenleck, das es ermöglichte, unter anderem die Daten von Kunden einzusehen. Dabei waren Rechnungen von Firmenkunden sowie die digitalen Tickets für Android- und Apple-Wallet abrufbar. Um die Lücke auszunutzen, reichte es aus, in einer für Kunden einsehbaren URL die Buchungsnummer am Ende hoch- oder herunterzuzählen.

Betroffen sind viele verschiedene Standorte, an denen APCOA seinen Service anbietet. So konnten wir bei unserer Recherche Daten von Parkhäusern aus Deutschland, Dänemark, Polen, Irland und Italien abrufen. APCOA betreibt nach eigenen Angaben 12.000 Standorte in zwölf europäischen Ländern, darunter solche an 58 europäischen Flughäfen. Bemerkenswert: Die Buchungssysteme sind online meist unterhalb der Domain zum Beispiel des Flughafens erreichbar, an dem das Parkhaus steht. Im Hintergrund scheint bei APCOA aber nur eine einzige Datenbank mit einem Nummernkreis zu arbeiten, denn durch Inkrementieren oder Dekrementieren der Nummer war es möglich, unter einer URL die Datensätze anderer APCOA-Standorte anzuzeigen.

Auf npm sind kompromittierte Varianten des Pakets "rand-user-agent" aufgetaucht, die einen Remote-Access-Trojaner (RAT) an Bord hatten. Der Random User Agent ist zwar als veraltet gekennzeichnet, kommt aber nach wie vor auf gut 40.000 wöchentliche Downloads. Wer es in den vergangenen Wochen verwendet hat, könnte sich Schadcode eingefangen haben.

Das Paket generiert User-Agents-Strings, also Zeichenketten, die Clients wie Browser an einen Server schicken. Der Herausgeber des Pakets WebScrapingAPI nutzt es für das Web-Scraping. Es lässt sich aber auch für andere Zwecke wie automatisierte Tests oder Sicherheitschecks verwenden.

Die letzte offizielle Version 2.0.82 ist sieben Monate alt, und der Herausgeber WebScrapingAPI hat das Paket als deprecated (veraltet) gekennzeichnet. Das auf der npm-Seite verlinkte GitHub-Repository existiert inzwischen nicht mehr.

Das auf Supply-Chain-Security spezialisierte Unternehmen aikido hat jedoch später veröffentlichte Versionen des Pakets auf npm gefunden. Diese haben in der Datei dist/index.js Schadcode eingeführt, der in der Vorschau auf npm nicht auf Anhieb zu sehen und zudem mehrfach verschleiert war.

Der Code richtet einen verdeckten Kanal zur Kommunikation mit einem Command-and-Control-Server (C2) ein und installiert Module in einem Ordner namens .node_modules. Der Client schickt anschließend unter anderem eine ID und Informationen zum verwendeten Clientbetriebssystem an den Server.

Unter anderem BIG-IP Next Central Manager und Next SPK sind aufgrund von mehreren Sicherheitslücken verwundbar. Auch die Appliances-Betriebssysteme F5OS-A und F5OS-C sind attackierbar. Nun bietet F5 Sicherheitspatches an, die Admins zeitnah installieren sollten. Bislang gibt es keine Berichte zu Attacken.

In einer Übersicht listet F5 neben den betroffenen Produkten auch die jeweils abgesicherten Versionen auf. Admins sollten sich diese Auflistung genau anschauen, um die für sie relevanten Sicherheitspatches ausfindig zu machen und zu installieren.

Am gefährlichsten gilt dem Hersteller eine Schwachstelle (CVE-2025-36546 / EUVD-2025-13944, CVSS 8.1, Risiko "hoch") in F5OS-A und F5OS-C. Appliances sind aber nur verwundbar, wenn Admins die Authentifizierung via SSH erlauben und anschließend den Appliance-Modus aktiviert haben. Das Sicherheitsproblem ist, dass die Anmeldung über einen SSH-Schlüssel dann immer noch möglich ist.

Dafür muss ein Angreifer aber in den Besitz eines SSH-Schlüssels eines Root-Benutzers kommen. Trotz dieser Voraussetzungen und Hürden ist die Lücke mit dem Bedrohungsgrad "kritisch" eingestuft. Die Entwickler versichern, die Schwachstelle in F5OS-A 1.5.3 und 1.8.0 und F5OS-C 1.8.0 geschlossen zu haben. In diesen Ausgaben haben die Entwickler noch weitere Sicherheitslücken beseitigt. So können sich Angreifer etwa höhere Nutzerrechte verschaffen (CVE-2025-46265 / EUVD-2025-13942, CVSS 8.8, "hoch").

Weiterhin sind noch divesers BIG-IP-Appiances wie Next CNF und Next SPK und Module bedroht. An diesen Stellen sind unter anderem DoS-Attacken (CVE-2025-41399 / EUVD-2025-13946, CVSS 7.5, "hoch") möglich. Angreifer können aber auch eigene Befehle ausführen (CVE-2025-31644 / EUVD-2025-13936, CVSS 8.7, "hoch"), um Systeme zu manipulieren.

Neue Sicherheitslücken haben IT-Forscher in den Sonicwall SMA100-Firewalls entdeckt. Durch eine Verkettung mehrerer der als hochriskant eingestuften Schwachstellen können Angreifer die Kontrolle über verwundbare Geräte übernehmen.

In einer Sicherheitsmitteilung beschreiben die Sonicwall-Entwickler die Sicherheitslücken. Als am gravierendsten haben sie eine Schwachstelle im SSL-VPN eingestuft, durch die Angreifer aus dem Netz nach einer Anmeldung eine Pfad-Prüfung auf Path-Traversal umgehen und dadurch beliebige Dateien löschen können. SMA100-Geräte lassen sich dadurch auf Werkseinstellungen zurücksetzen, die nach einem Neustart aktiv werden (CVE-2025-32819 / EUVD-2025-13910, CVSS 8.8, Risiko "hoch"). Die Einstufung als "kritisches" Risiko verpasst die Lücke nur sehr knapp.

Aufgrund einer zweiten Lücke können angemeldete Angreifer aus dem Netz mit User-Rechten eine Path-Traversal-Sequenz einschleusen und damit jedes Verzeichnis auf SMA100-Appliances schreibbar machen (CVE-2025-32820 / EUVD-2025-13913, CVSS 8.3, Risiko "hoch"). Die dritte Sicherheitslücke ermöglicht bösartigen Akteuren aus dem Netz mit SSL-VPN-Adminrechten, Kommandozeilenbefehle als Argumente bei einem Dateiupload auf die Appliances einzuschmuggeln (CVE-2025-32821 / EUVD-2025-13911, CVSS laut EUVD 7.1, Risiko "hoch").

Die IT-Sicherheitsforscher von Rapid7 haben die Schwachstellen genauer analysiert und die Erkenntnisse detailliert in einen Blog-Beitrag gegossen. Sie zeigen, wie sie die Sicherheitslecks verknüpfen, um mit Zugriff auf ein SSL-VPN-Konto ein wichtiges Systemverzeichnis schreibbar machen, ihre Rechte zum SMA-Admin erhöhen und eine ausführbare Datei in ein Systemverzeichnis schreiben. Dadurch können sie beliebigen Code aus dem Netz einschleusen und ausführen – mit "root"-Rechten.

Betroffen sind die Sonicwall-Appliances der SMA100-Baureihe, konkret nennt der Hersteller SMA 200, 210, 400, 410 und 500v. Die sind mit Firmware-Ständen 10.2.1.14-75sv oder älter angreifbar. Das Problem behebt das Update auf den Stand 10.2.1.15-81sv und neuer der Firmware.

Zum Start der Outdoor-Saison werden viele mit dem Gedanken spielen, sich ein neues Fahrrad oder Radzubehör zu kaufen – vielleicht im Internet. Vor einer Bestellung bei unbekannten Onlineshops sollte man diese aber unbedingt genau prüfen, um nicht auf einen Fakeshop hereinzufallen. Aktuell warnt die Verbraucherzentrale Niedersachsen beispielsweise vor der betrügerischen Webseite "Fahrrad-Discount24.de".

Diese macht sich nicht mit durchgängig unglaubwürdig günstigen Preisen verdächtig. Und sie ist auch auf den zweiten Blick kaum als Fakeshop zu erkennen: Professionelle Gestaltung, viele Informationen, ein Impressum, Allgemeine Geschäftsbedingungen und Kontaktangaben geben erst einmal keinen Anlass für Zweifel – typisch für moderne Betrugsseiten.

Auch und gerade deshalb ist es wichtig, etwa den Fakeshop-Finder der Verbraucherzentralen zu nutzen. Das Tool analysiert Seiten anhand verschiedenster Faktoren und gibt dann eine Einschätzung ab. Diese fällt bei besagter Webseite recht eindeutig aus: "rotes Licht". Also höchstwahrscheinlich ein Fakeshop.

Tatsächlich seien das Impressum und der Handelsregistereintrag von "Fahrrad-Disocunt24.de" falsch, erklärt die Verbraucherzentrale Niedersachsen. Unternehmensnamen und Adressdaten verwende der Fakeshop missbräuchlich einem echten Anbieter, der nach eigenen Angaben bereits rechtliche Schritte eingeleitet hat. Zudem wurde die Domain erst kürzlich registriert, was auch ein starkes Indiz für eine betrügerische Seite ist.

Im Zweifel lohnt es sich auch immer, die Internetadresse in eine Suchmaschine oder die vermeintliche Shop-Anschrift bei einem Kartendienst einzugeben, um zu prüfen, ob dort die auf der Seite genannte Firma tatsächlich auftaucht – oder vielleicht eine andere oder auch gar keine, raten die Verbraucherschützer. Zudem stößt man so im Netz möglicherweise schon auf Warnungen anderer, die den jeweiligen Shop betreffen.

Sicherheitslücken in den SIP-Phones von Mitel gefährden potenziell Netzwerke. Insbesondere eine als kritisches Risiko eingestufte Schwachstelle sollten IT-Verantwortliche zügig ausbessern. Mitel stellt dafür Firmware-Updates bereit.

Laut der Sicherheitsmitteilung von Mitel gibt es eine Befehlsschmuggel-Lücke in den SIP-Phones der Baureihen 6800, 6900, 6900w sowie dem 6970-Konferenz-Modell. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung Befehle einschleusen, da nicht näher genannte Parameter nicht ausreichend gefiltert werden. Damit können sie System- und Nutzer-Daten und Konfigurationen einsehen oder ändern (CVE-2025-47188, CVSS 9.8, Risiko "kritisch").

Durch unzureichende Authentifizierungsmechanismen können Angreifer bei denselben Geräten zudem ohne vorherige Anmeldung Dateien hochladen. Etwa durch das Hochladen von WAV-Dateien können sie den Speicher des Telefons aufbrauchen, was jedoch keine Auswirkung auf die Funktionsfähigkeit der Telefone hat (CVE-2025-41787, CVSS 5.3, Risiko "mittel").

Um die Schwachstellen zu missbrauchen, benötigen Angreifer Netzwerkzugriff auf die anfälligen Geräte. Sofern die Mitel-SIP-Phones jedoch nach den Richtlinien von Mitel installiert wurden, stehen die jedoch in einem geschützten internen Netzwerk.

Betroffen sind die vorgenannten Baureihen mit Firmware-Versionen R6.4.0.SP4 und älter. Die Version R6.4.0.SP5 oder neuer enthalten die Schwachstellen nicht mehr. Mitel empfiehlt Kunden, auf diese Versionen zu aktualisieren.

Die seit 2010 jährlich stattfindende gemeinsame Cyber-Sicherheitsübung Locked Shields der NATO findet derzeit wieder im Estländischen Tallin statt. Die Veranstaltung läuft zu ihrem 15. Jubiläum seit dem 21. April und endet am morgigen Donnerstag, den 9. Mai 2025. Die Truppen der teilnehmenden Staaten üben dort, Cyberangriffe abzuwehren und so für mehr Resilienz im "Cyberraum" zu sorgen.

Ein Sprecher der Bundeswehr erklärt gegenüber heise security, dass bei diesen "Live-Fire-Übungen" die "Teilnehmer ressortübergreifend und multinational hybriden Bedrohungen aus dem Cyber- und Informationsraum entgegen" wirken. Konkret "werden Echtzeitangriffe auf Computernetzwerke und Systeme kritischer Infrastruktur (KRITIS) durch ein angreifendes Team (Red-Team) aus Tallin (Estland) simuliert, die durch insgesamt 17 Blue-Teams abgewehrt werden müssen."

Der Bundeswehr zufolge besteht eines dieser Blue-Teams, Team 2, aus Mitgliedern der Teilstreitkraft Cyber- und Informationsraum (CIR) und umfasst rund 200 Übungsteilnehmende; diese sitzen in Kalkar. Die Leitung des Teams erfolgt "in diesem Jahr durch unsere Partner aus Singapur", "die Ihre wertvollen Erfahrungen aus dem indopazifischen Raum mit in die Übung einfließen lassen. Ebenfalls im Team sind zahlreiche Angehörige anderer Ressorts", etwa dem BMI, dem BSI und weiteren sowie aus der Wirtschaft, erklärt die Bundeswehr weiter.

Auch zu einigen Schwerpunkten äußern sich die deutschen Soldaten: "Einer richtet sich dabei auf die Abwehr von Cyberangriffen auf KRITIS im zivilen wie militärischen Kontext, wie zum Beispiel Energie- oder Wasserversorgung oder Radaranlagen und Flugabwehr in einem durch die NATO kreierten fiktiven Übungsszenario. In dem Zusammenhang werden neben technischen Fähigkeiten, Methoden und der Zusammenarbeit mit zivilen Unternehmen auch der Umgang mit Vorfällen im Informationsumfeld (etwa Social Media) und die juristische Bewertung von Handlungen trainiert sowie durch die NATO bewertet."

Deutschland stehe wie andere demokratische Staaten aktuell "mehr denn je im Fokus von staatlichen und nichtstaatlichen Akteuren, die hybride Mittel einsetzen, um unsere Gesellschaft zu destabilisieren. Die Bundeswehr ist gegenüber hybriden Bedrohungen aus dem Cyber- und Informationsraum aber professionell aufgestellt und wichtiger Partner aller Akteure der Sicherheitsvorsorge." Die Szenarien müssten regelmäßig geübt werden, wofür seit 2010 die Locked-Shields-Übungen der NATO einen Rahmen bieten, an dem inzwischen 41 Nationen teilnehmen.

Weil Ciscos Netzwerkbetriebssystem IOS XE mehrere Sicherheitslücken aufweist, können Angreifer verschiedene Geräte attackieren. Nach erfolgreichen Angriffen können sie sich etwa höhere Nutzerrechte aneignen.

Als besonders gefährlich gilt eine „kritische“ Schwachstelle (CVE-2025-20188) mit Höchstwertung (CVSS Score 10 von 10). An dieser Stelle kann ein entfernter Angreifer ohne Authentifizierung mit präparierten HTTPS-Anfragen an der Schwachstelle im Image Download Feature des Out-of-Band Access Points von verschiedenen Wireless Controllern ansetzen, um Schadcode auszuführen. Damit Angreifer an der Lücke ansetzen können, muss das Download Feature aktiviert sein, was standardmäßig nicht der Fall sein soll.

Der Grund für die Verwundbarkeit ist ein hartkodierter JSON Web Token. Sind Attacken erfolgreich, kann ein Angreifer eigenen Code mit Root-Rechten ausführen. Betroffen sind verschiedene Wireless Controller, die der Netzwerkausrüster in einer Warnmeldung auflistet. Nach einer erfolgreichen Attacke gelten Geräte mit sehr hoher Wahrscheinlichkeit als vollständig kompromittiert.

Überdies sind noch diverse Router und Switches angreifbar. So können Angreifer etwa manipulierend in den Bootprozess von Catalyst 2960X, 2960XR, 2960CX und 3560CX Switches eingreifen und eigenen Code ausführen (CVE-2025-20181 „hoch“).

Unter anderem sind Integrated Service Router der 1100-Serie für DoS-Attacken anfällig. Hier können entfernte Angreifer ohne Anmeldung mit speziellen DHCP-Anfragen ansetzen, um Systeme zum Neustart zu bringen (CVE-2025-20162 „hoch“).

"Sei nicht kriminell, Kriminalität ist schlecht, Umarmungen und Küsse aus Prag" – so empfingen mehrere der Darknet-Seiten der LockBit-Ransomware Besucher am 7. Mai 2025. Offenbar hatten Unbekannte sich Zugang zu den Servern verschafft und eine Kopie der Datenbank gezogen. Die steht nun im Netz, während sich der LockBit-Kundendienst um Schadensbegrenzung bemüht.

In einer knapp 26 MByte großen Datei namens paneldb_dump.sql finden sich allerlei Details der Cybercrime-Operation, darunter knapp 60.000 Bitcoin-Adressen, Tausende Chatnachrichten mit Opfern der Ransomware und Konfigurationen für den "Locker", also die Ransomware selbst.

Anhand des Zeitstempels lässt sich das Datum des Lecks eingrenzen – alle Nachrichten tragen Datumsmarken zwischen dem 19. Dezember 2024 und dem 29. April 2025. Hinter dem Angriff stecken möglicherweise dieselben Personen, die eine andere Ransomware-Gruppierung namens Everest vor einem Monat mit einem sehr ähnlichen Defacement bedachten.

"Hack am 7. Mai - OMG" - so ist die Stellungnahme von LockBitSupp betitelt

(Bild: Screenshot / cku)

In Ubiquity Unifi Protect wurden zwei Sicherheitslücken entdeckt. Eine als kritisch eingestufte erlaubt das Einschleusen und Ausführen von Schadcode. Der Hersteller hat aktualisierte Software in Stellung gebracht, die Nutzerinnen und Nutzer zügig herunterladen und installieren sollten.

In einer Sicherheitsmitteilung erörtert Ubiquity die Schwachstellen. Bösartige Akteure mit Zugriff auf das Verwaltungsnetzwerk können einen Heap-basierten Pufferüberlauf in den Unifi-Protect-Kameras mit Firmware 4.75.43 und vorherigen provozieren und dadurch beliebigen Code einschleusen und ausführen (CVE-2025-23123, CVSS 10.0, Risiko "kritisch"). Die Höchstwertung beim Risiko zeigt, dass sich die Schwachstelle einfach missbrauchen lässt. Derartige Schwachstellen nutzen etwa Botnet-Betreiber wie die des Mirai-Botnet gerne aus, um ihre Malware dauerhaft in Netzwerken zu verankern.

Ein falsch konfigurierter Zugriffstoken-Mechanismus in der Ubiquity-Unifi-Protect-Application in Version 5.3.41 und älter könnte Empfängern von "Share Livestream"-Links weiterhin Zugriff darauf gewähren, auch wenn der Link in der App deaktiviert wurde (CVE-2025-23164, CVSS 4.4, Risiko "mittel").

Weiterreichende Informationen, wie die Lücken genau aussehen und wie Angreifer sie ausnutzen können, fehlen. Auch Hinweise, woran Betroffene Angriffsversuche erkennen könnten, nennt Ubiquity nicht. Ebensowenig gibt der Hersteller Hinweise, ob die Lücken bereits in freier Wildbahn attackiert werden. Da eines der Sicherheitslecks sogar die höchste Wertung als kritisch erhalten hat, sollten Admins jedoch so schnell wie möglich die Updates herunterladen und anwenden.

Die aktualisierte Firmware für Unifi-Protect-Kameras in Version 4.75.62 stellt Ubiquity auf einer eigenen Webseite zur Verfügung. Dort erwähnt der Hersteller jedoch nicht, dass das Update eine kritische Schwachstelle ausbessert. Die fehlerkorrigierte Unifi-Protext-Application 5.3.45 ist ebenfalls verfügbar – aber auch hier verliert Ubiquity kein Wort darüber, dass die Aktualisierung sicherheitsrelevant ist.