Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

heise-Angebot: Nächste Woche: M365-Sicherheit im heise security Webinar

ScubaGear ist ein Tool zum Überprüfen der Sicherheitseinstellungen in M365. Entwickelt hat es die US-Sicherheitsbehörde CISA, damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst checken und verbessern können. ScubaGear deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Dieses heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen vergleichbaren Werkzeugen – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare auch später in der exklusiven PRO-Mediathek abrufen.

Weiterlesen
  36 Aufrufe

HPE Insight Remote Support: Monitoring-Software ermöglicht Codeschmuggel

Die von HPE kostenlos angebotene Monitoring-Software HPE Insight Remote Support ist anfällig für das Einschleusen von Schadcode. Zudem warnt der Hersteller vor weiteren Sicherheitslücken in der Software.

Anzeige

In der Sicherheitsmitteilung bleibt HPE sehr oberflächlich bezüglich der Schwachstellen. Die Dringlichkeit schätzt der Hersteller als "hoch" ein, die Auswirkungen beschreibt er als Codeausführung, Directory Traversal und Informationsabfluss "aus der Ferne" (Remote). Am gravierendsten ist eine Directory-Traversal-Lücke in der Software, die Angreifern das Einschmuggeln und Ausführen beliebigen Codes erlaubt (CVE-2024-53676, CVSS 9.8, Risiko "kritisch").

Genauere Informationen zu der Schwachstelle nennt HPE nicht. Es bleibt unklar, wie Angreifer sie ausnutzen können, wie Angriffe zu erkennen sind oder was mögliche temporäre Gegenmaßnahmen wären. Eine weitere Sicherheitslücke ist betrifft die Deserialisierung von Daten in Java, wodurch nicht authentifizierte Angreifer Code einschleusen können (CVE-2024-53673, CVSS 8.1, hoch). Auch hier gibt HPE keine weiteren hilfreichen Informationen heraus.

Drei weitere Schwachstellen (CVE-2024-11622, CVE-2024-53674, CVE-2024-53675) erreichen mit einem CVSS-Wert von 7.3 ebenfalls eine Bewertung als hohes Risiko. Verwundbar ist HPE Insight Remote Support vor der nun veröffentlichten Version 7.14.0.629. Diese oder neuere sollten Admins, die die Software in ihrem Netz einsetzen, zügig installieren, um die Angriffsfläche in ihrem Netzwerk zu minimieren.

Weiterlesen
  33 Aufrufe

Angreifer attackieren SSL-VPN-Gateways von Array Networks

Alert!

Es gibt derzeit Attacken auf eine kritische Sicherheitslücke in den VPN-Produkten Array Networks AG und vxAG.

(Bild: Dmitry Demidovich/Shutterstock.com)

Anzeige

Um zurzeit laufende Angriffe zu unterbinden, sollten Netzwerkadmins ihre SSL-VPN-Gateways Array Networks AG und vxAG umgehend auf den aktuellen Stand bringen. Ein Sicherheitsupdate ist verfügbar.

Anzeige

Weiterlesen
  35 Aufrufe

Microsoft: Hotpatching kommt auch in Windows 11

Windows 11 bekommt Unterstützung für Hotpatching. Es lässt sich mit Windows 11 24H2 Enterprise als Vorschau testen. Damit kommen auch Desktop-Systeme ohne monatlichen Neustart aus.

Anzeige

Im Windows Message Center hat Microsoft den öffentlichen Test des Hotpatching in Windows 11 angekündigt. "Diese öffentliche Vorschau bietet denselben Level an Security-Patching wie die üblichen monatlichen Sicherheitsupdates, ohne Neustart der Geräte oder Unterbrechung der Nutzerinnen und Nutzer", schreibt Microsoft dort. "Um die neuesten Funktionen zu erhalten, werden dafür infrage kommende Geräte das standardmäßige monatliche Sicherheitsupdate installieren und jeden ersten Monat in einem Quartal neu starten", fahren die Autoren fort.

Dafür können interessierte Admins eine neue Windows-Quality-Update-Richtlinie in Microsoft Intune und Windows Autopatch nutzen. Damit können sie Geräte für Hotpatching hinzufügen oder entfernen. Ein bislang unbeachteter Blog-Beitrag in der Microsoft-Techcommunity aus der vergangenen Woche geht etwas weiter in die Details. Voraussetzung ist ein Microsoft-Abonnement mit Windows Enterprise E3- oder E5-Lizenz, als Beispiel nennt der Autor Microsoft 365 A3/A5, Microsoft 365 F3 oder ein Windows 365 Enterprise-Abo.

Auf den Geräten muss zudem Windows 11 Enterprise laufen, Build 24H2 mit Versionsnummer 26100.2033 (entsprechend dem Oktober-Update von Microsoft) oder neuer. Zudem müssen Admins Microsoft Intune nutzen. Die zu aktivierende Windows-Quality-Update-Richtlinie erkennt automatisch PCs, auf denen die Funktion nutzbar ist. Auf anderen Geräten etwa mit Windows 10 oder älteren Windows-11-Builds laufen weiterhin die monatlichen Standard-Updates.

Weiterlesen
  34 Aufrufe

"Passwort" Folge 19: Tor-Angriffe, Security-Fails und viel Feedback

In Folge 19 von "Passwort", dem Podcast von heise security, gehen die Christopher und Sylvester wieder diverse Themen an. Unter anderem, weil sie erfreulich viel Feedback zu den Inhalten der vergangenen Folgen bekommen haben und die Anmerkungen der Hörerinnen und Hörer besprechen. Neben Druckern im Internet, der Chatkontrolle oder auch der Werbung im Podcast ging es wiederholt um das Anonymisierungsnetzwerk Tor, das Thema der letzten Folge.

Anzeige

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden

Damit machen die Hosts auch gleich selbst weiter, denn eine aktuelle Angriffswelle auf das System hatte die vergangene Folge gerade so verpasst. Die Angriffe sind technisch durchaus interessant und auch nicht Tor-spezifisch: Im Grunde kann man damit versuchen, beliebige Systeme aus dem Netz zu kegeln.

Anschließend geht es in Folge 19 um einige Security-Fails von Sicherheitsfirmen, die in letzter Zeit bekannt wurden. Die Spannbreite der Probleme reicht von etwas peinlichen Fauxpas bis zu wahrlich erschreckenden Lücken, bei denen fast jedes neue Detail schlimmer als das vorhergehende ist. Die Hosts gehen die Sache mit Galgenhumor an und sind dadurch wenigstens gut unterhalten.

Zum Schluss geht es einmal mehr um die Dauerbaustelle Zertifikate, denn es gibt mal wieder ein paar (zum Glück) kleinere Problemchen mit der Public-Key-Infrastruktur des Internets, an denen gebastelt werden muss. Das passt gut zum Anfang der Folge, als Christopher den Kryptografie-Papst Bruce Schneier zitiert: "Security ist ein Prozess, kein Produkt."

Weiterlesen
  30 Aufrufe

Starbucks von Cyberangriff auf Software-Anbieter betroffen

Ein Ransomware-Angriff auf den US-amerikanischen Softwarehersteller Blue Yonder hat in der vergangenen Woche den Betrieb von Starbucks und großen britischen Lebensmittelhändlern beeinträchtigt. Das berichtete am Montag die US-Tageszeitung Wall Street Journal. Blue Yonder gehört zu dem japanischen Mischkonzern Panasonic. Das Unternehmen ist einer der weltweit größten Anbieter von Lieferkettentechnologie. Es stellt Software her, mit der sich die Abläufe von der Verwaltung der Lager und des Transports bis hin zur Bearbeitung von Rücksendungen überwachen lassen.

Anzeige

Dem Bericht des Wall Street Journal zufolge störte der Angriff letzte Woche Systeme, die Blue Yonder für seine Kunden hostet. Die US-amerikanische Kaffeehauskette Starbucks erklärte, dass unternehmenseigene Filialen in Nordamerika von der Ransomware-Attacke betroffen waren. Vor allem Lohnzahlungen und die Erfassung der Arbeitszeiten von Angestellten wurden demnach beeinträchtigt. Das Unternehmen musste auf manuelle Prozesse umstellen.

Auch der US-Automobilhersteller Ford Motor nutzt nach eigenen Angaben Blue Yonder-Software. Untersuchungen über Beeinträchtigungen durch den Cyberangriff liefen noch. Sainsbury's und Morrisons, zwei der größten Lebensmittelketten Großbritanniens, waren durch den Ausfall primär von Lagerverwaltungssystemen für frische Lebensmittel und Produkte betroffen. Sie hielten ihren Betrieb über Ersatzpläne aufrecht. Laut Wall Street Journal machte der niederländische Supermarktkonzern Ahold Delhaize, zu dem verschiedene Lebensmittelketten gehören, Anfang November ein "Cybersicherheitsproblem" in seinem US-Netzwerk bekannt. Der Vorfall führte in Filialen im Nordosten der USA fast zwei Wochen lang zu Produktausfällen.

Blue Yonder meldete am 21. November "Störungen in der gehosteten Managed Services-Umgebung, die auf einen Ransomware-Vorfall zurückzuführen waren". Seit Bekanntwerden des Vorfalls habe man zusammen mit externen Cybersecurity-Firmen daran gearbeitet, Fortschritte bei der Wiederherstellung zu erzielen. "Wir haben mehrere defensive und forensische Protokolle implementiert. Die Experten und das Blue Yonder-Team arbeiten an verschiedenen Wiederherstellungsstrategien, und die Untersuchung ist noch nicht abgeschlossen", heißt es in einer öffentlichen Mitteilung von Blue Yonder. Am Montag erklärte das Unternehmen, dass es an der Wiederherstellung seiner Dienste arbeite, nannte jedoch keinen Zeitplan.

Weiterlesen
  40 Aufrufe

Starbucks von Cyberattacke betroffen

Starbucks in den USA soll ebenso betroffen sein wie mindestens zwei der vier großen Supermarktketten in Großbritannien. „Blue Yonder hat Störungen in seiner gehosteten Managed Services-Umgebung festgestellt, die auf einen Ransomware-Vorfall zurückzuführen sind“, heißt es in einer offiziellen Erklärung. “Unsere Ermittlungen dauern noch an, aber sie sollten wissen, dass unsere Priorität darin besteht, eine sichere Wiederherstellung zu gewährleisten. Zum jetzigen Zeitpunkt haben wir aber noch keinen Zeitplan für die Wiederherstellung“. Das letzte Update zu der Situation von Blue Yonder wurde am 24. November veröffentlicht.

Ransomware trifft auch britischen Supermarkt

Reuters hat berichtet, dass sich der Ransomware-Angriff auf die Verwaltung von Barista-Zeitplänen und Zahlungen auswirkt, da ein Back-End-Prozess unterbrochen wurde. Ein Starbucks-Sprecher erklärte gegenüber Reuters, dass der Vorfall „keine Auswirkungen auf den Kundenservice hat und das Unternehmen daran arbeitet, sicherzustellen, dass die Mitarbeiter für ihre geleisteten Arbeitsstunden vollständig bezahlt werden, ohne dass es zu Unterbrechungen oder Diskrepanzen kommt.“

Zwei der vier großen Supermarktketten in Großbritannien, Morrisons und Sainsbury’s, sind Berichten zufolge ebenfalls von dem Blue Yonder Ransomware-Angriff betroffen. Ein Sprecher von Sainsbury’s teilte mit, dass das Unternehmen „in engem Kontakt mit Blue Yonder steht und unseren Kunden versichern kann, dass wir Vorkehrungen getroffen haben“.

„Hacker haben es geschafft, einige der größten Einzelhandels- und Kaffeeketten der Welt in einer der geschäftigsten Wochen des Jahres anzugreifen. In den USA wird diese Woche Thanksgiving gefeiert. Dies zeigt einmal mehr, wie der Angriff auf ein einzelnes Unternehmen Zugang zu einem ganzen Ökosystem verschaffen kann – in diesem Fall zu einer Zeit, in der sie eher bereit sind, Lösegeldforderungen nachzugeben, um Umsatzeinbußen zu vermeiden“, sagt Dan Schiappa, Chief Product Officer bei Arctic Wolf. „Leider erleben wir die Auswirkungen dieser Art von Angriffen in Echtzeit, und es ist von entscheidender Bedeutung, dass Unternehmen – und nicht nur diejenigen mit direkten Verbindungen zu Blue Yonder – jetzt handeln und sich schützen. Unternehmen sollten ihre Sicherheitsvorkehrungen in der gesamten Lieferkette überprüfen und verstärken.“

 

Original Autor: ZDNet-Redaktion

  44 Aufrufe

Bitwarden: Autofill bietet generierte Passwörter mit einem Klick an

Mehr Komfort verspricht eine neue Funktion von Bitwarden. In der neuen Version 2024.11 hat ein Feature Einzug gehalten, das nicht nur Passwort-Felder auf Webseiten mit gespeicherten Kontodaten befüllt, sondern das auch anbietet, ein automatisch generiertes Passwort einzufügen.

Anzeige

Bitwarden kann nun automatisch generierte Passwörter mit Auto-Fill vorschlagen.

(Bild: Bitwarden)

Beim Besuch von Webseiten, für die keine Log-in-Daten im Bitwarden-Vault gespeichert sind, führt der Klick in ein Passwort-Feld dazu, dass das Inline-Auto-Fill-Menü ein automatisch erstelltes und starkes Passwort vorschlägt, schreibt Bitwarden in einem Blogbeitrag aus der vergangenen Woche. Das Passwort basiert auf den aktuellen Einstellungen der Browser-Erweiterung für die Passworterstellung. Nutzerinnen und Nutzer können den ersten Vorschlag direkt nutzen oder ein weiteres Passwort erstellen lassen, indem sie das "Regenerieren"-Icon" anklicken.

Weiterlesen
  46 Aufrufe

Helldown-Ransomware: Einbruch durch Sicherheitslücke in Zyxel-Firewalls

Kriminelle missbrauchen Sicherheitslücken in Zyxel-Firewalls, um sich Zugriff auf Netzwerke zu verschaffen. IT-Sicherheitsforscher haben beobachtet, wie sie danach die Ransomware Helldown eingesetzt haben, um Daten in großem Umfang zu exfiltrieren.

Anzeige

Das IT-Sicherheitsunternehmen Sekoia schreibt in einer Analyse, dass die Helldown-Ransomware noch recht jung ist und im August erstmals beschrieben wurde. Die Drahtzieher dahinter missbrauchen Schwachstellen, um Netzwerke von Opfern zu infiltrieren und die Ransomware zu verteilen. Auf der Data-Leakage-Site (DLS) der Gruppierung Helldown waren Anfang November 31 Opfer aufgelistet. Darunter auch Zyxel Europa, berichtet Sekoia.

Bei der Analyse fiel auf, dass mindestens acht Opfer IPSec-VPN-Zugriff mit Zyxel-Firewalls bereitstellten; zwei der Opfer haben ihre Zyxel-Firewalls offenbar durch welche anderer Hersteller ersetzt, nachdem sie kompromittiert wurden. In einer Sicherheitsmitteilung aus dem September warnte Zyxel vor einer Befehlsschmuggel-Lücke im IPSec-VPN in diversen Firewalls (CVE-2024-42057, CVSS 8.1, Risiko "hoch"), die die Firmware-Version 5.39 abdichten soll. Öffentlicher Exploit-Code sei bis Mitte November nicht gesichtet worden, erklärt Sekoia.

Dennoch haben Ende September mehrere Nutzerinnen und Nutzer im Zyxel-Forum von kompromittierten Firewalls mit dem verwundbaren Firmware-Stand 5.38 berichtet. Vermeintliche Konfigurationsdateien wurden hochgeladen, die jedoch base64-kodierte MIPS-ELF-Binärdateien enthielten, und neue Benutzer auf den Firewalls angelegt. Zyxel hat am 9. Oktober eine Exploit-Warnung veröffentlicht und gibt dort Hinweise, wie betroffene Geräte erkannt werden können sowie welche Maßnahmen zur Bereinigung Admins ergreifen können.

Weiterlesen
  37 Aufrufe

heise-Angebot: iX-Workshop: Linux-Server härten

Malware und Hacker-Angriffe sind längst nicht mehr nur ein Windows-Thema – auch Linux-Server und die darauf laufenden Dienste geraten immer häufiger unter Beschuss. Der fünftägige Intensiv-Workshop Linux-Server härten: Verschlüsselung, Zugriffskontrolle, Integritätschecks beschäftigt sich umfassend mit der Sicherheit von Linux-Servern. Das Themenspektrum reicht von der physischen Sicherheit über Mechanismen der Zugriffskontrolle bis hin zu Logging, Monitoring und Intrusion Detection.

Anzeige

Sie lernen, wie Sie Daten verschlüsseln und Netzwerkdienste absichern, fortgeschrittene Methoden der Zugriffskontrolle wie Zwei-Faktor-Authentifizierung einrichten und die bekannten Sicherheitsframeworks SELinux und AppArmor einsetzen. Florian Winkler erklärt, wie man Logfiles mit sicherheitsrelevanten Vorfällen analysiert und geht auch auf das Thema Einbruchserkennung ein. Darüber hinaus erhalten Sie eine theoretische Einführung in das Penetration Testing und erfahren, wie Sie Sicherheitslücken in der eigenen IT gezielt aufspüren.

Januar
13.01. – 17.01.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 15. Dez. 2024
Februar
24.02. – 28.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 26. Jan. 2025

Der nächste iX-Workshop findet vom 13. bis 17. Januar 2025 per Videokonferenz in einem Remote Classroom statt. Trainer Florian Winkler ist seit 2014 als Berater und Trainer beim Linux-Systemhaus B1 Systems tätig. Seine Themenschwerpunkte liegen in den Bereichen Konfigurationsmanagement, DevOps, Deployment, Security und Automatisierung.

Damit Sie in diesem Workshop das Gelernte direkt ausprobieren und selbst Hand anlegen können, erhalten Sie einen ssh-Zugang zu einer Trainingsumgebung mit bereitgestellten Linux-Systemen. Der Workshop ist interaktiv: Sie haben jederzeit die Möglichkeit, dem Referenten Fragen zu stellen und sich mit den anderen Teilnehmenden auszutauschen. Damit dies gut funktioniert, ist die Gruppengröße auf maximal 12 Personen begrenzt.

Weiterlesen
  42 Aufrufe

Trellix: Update dichtet Sicherheitslücken in Enterprise Security Manager ab

In Trellix Enterprise Security Manager (ESM) klaffen Sicherheitslücken, die der Hersteller mit einem Sicherheitsupdate schließt. Die Überwachungssoftware zur Darstellung der Sicherheitslage des eigenen Netzwerks sollten Admins zügig aktualisieren.

Anzeige

In der Versionsankündigung listet Trellix die einzelnen Komponenten der Aktualisierung auf Version 11.6.13 auf. "Dieses Update ist für alle Umgebungen empfohlen. Wenden Sie das Update so bald wie möglich an"; schreibt das Unternehmen.

Auf konkrete Sicherheitslücken geht Trellix nicht weiter ein. Jedoch aktualisiert Trellix ESM 11.6.13 etwa Azul Java und geht damit mehrere nicht aufgelistete CVEs an. Ebenso bessert die mitgelieferte libcurl-Bibliothek zwei Sicherheitslücken aus (CVE-2023-38545, CVSS 9.8, Risiko "kritisch"; CVE-2023-38546, CVSS 3.7, niedrig). Auch im "Snow Service" lauerten zuvor zwei "Reverse Shell"-Schwachstellen (CVE-2024-1148, CVSS 9.8, kritisch; CVE-2024-11482 [noch nicht öffentlich]). Das CERT-Bund des BSI stuft die Sicherheitslücken mit einem maximalen CVSS-Wert von 9.8 als kritisches Risiko ein und warnt davor, dass sie Angreifern das "Umgehen von Sicherheitsvorkehrungen" ermöglichen.

Neben den geschlossenen Sicherheitslücken gibt es jedoch auch Verbesserungen im Produkt. So können ESET- und Sentinel-Sicherheitslösungen jetzt ebenfalls als Datenquellen für Trellix ESM dienen. Seit Version 11.6 unterstützt die Software keine Konfiguration als verteiltes System. Wer auf den 11.6-er-Versionszweig von Trellix Enterprise Security Manager aktualisieren möchte, findet hier eine Anleitung des Unternehmens zum Upgrade auf HA Receivers.

Weiterlesen
  49 Aufrufe

l+f: Wenn nach dem Datenleak die Yakuza-Mafia anklopft

Das Kumamoto Prefecture Violence Prevention Movement Promotion Center bietet unter anderem eine Beratung für Opfer an, die von der japanischen Mafia Yakuza erpresst werden. Darunter fallen auch Mitglieder, die austreten wollen und Eltern, deren Kinder mit einem Yakuza-Mitglied liiert sind. Nun könnten die Betroffenen in Gefahr sein.

Anzeige

In einem Beitrag bezieht die Regierungseinrichtung jetzt Stellung zu einer erfolgreichen Phishingattacke. Ein Mitarbeiter ist auf seinem Arbeits-PC auf eine Fake-Warnmeldung hereingefallen und hat so Cyberkriminellen Zugriff auf seinen Computer gewährt.

Es bleibt unklar, ob die Kriminellen die persönlichen Daten wie Adressen und Namen von rund 2500 Personen, die Hilfe bei der Regierungseinrichtung gesucht haben, kopieren konnten. Inzwischen kontaktiert die Behörde proaktiv die potenziell Betroffenen.

Weiterlesen
  43 Aufrufe

Microsoft-365-Störungen "weitgehend behoben"

Microsoft hat seit Montag dieser Woche Störungen seiner Microsoft-365-Dienste zu beklagen. Exchange Online, Outlook und Teams waren dadurch teils nur eingeschränkt nutzbar. Die Probleme sollen zum Meldungszeitpunkt weitgehend wieder behoben sein.

Anzeige

Microsofts Cloud-Status zeigt noch andauernde Probleme mit den Microsoft-365-Diensten.

(Bild: Screenshot / dmk)

Im Cloud-Status-Monitor von Microsoft wird derzeit die Störung als noch akut andauernd angezeigt. Demnach können Nutzerinnen und Nutzer von Outlook.com etwa auf ihre Mailboxen nicht zugreifen, weder mit Outlook on the Web, noch mit dem Outlook-Desktop-Client, nicht mittels REST-API und auch nicht über Exchange ActiveSync (EAS). "Nutzer könnten Verzögerungen beim Mail-Transport bemerken", schreibt das Unternehmen dort.

Weiterlesen
  38 Aufrufe

Dell Wyse Management Suite: Angreifer können Sicherheitsmechanismen umgehen

Admins, die in Unternehmen Clients mit Dell Wyse Management Suite (WMS) verwalten, sollten die Software zeitnah aktualisieren. Sonst können Angreifer an fünf Sicherheitslücken ansetzen und unter anderem Dateien löschen.

Anzeige

Einer Warnmeldung zufolge sind unter anderem DoS-Attacken (CVE-2024-49595 "hoch") denkbar, außerdem können Angreifer nicht näher beschriebene Sicherheitsmechanismen umgehen (CVE-2024-49597 "hoch"). In beiden Fällen sind Attacken aus der Ferne möglich, Angreifer benötigen aber bereits hohe Nutzerrechte.

Bislang gibt es noch keine Hinweise auf Attacken seitens des Computerherstellers. Die Entwickler geben an, die Sicherheitsprobleme in Dell WMS 4.4.1 gelöst zu haben. Alle vorigen Ausgaben seien verwundbar.

Weiterlesen
  35 Aufrufe

Wordpress-Plug-in Anti-Spam by Cleantalk gefährdet 200.000 Seiten

Das Wordpress-Plug-in Anti-Spam by Cleantalk kommt auf mehr als 200.000 Wordpress-Seiten zum Einsatz. Darin wurden zwei kritische Sicherheitslücken entdeckt, die Angreifern aus dem Netz ohne vorherige Authentifizierung ermöglichen, verwundbare Instanzen vollständig zu kompromittieren.

Anzeige

Die IT-Sicherheitsforscher von Wordfence haben eine Sicherheitslücke extern gemeldet bekommen, durch die Angreifer die Autorisierung aufgrund einer Reverse-DNS-Spoofing-Schwachstelle in Anti-Spam by Cleantalk umgehen können. Nicht authentifizierte Angreifer können dadurch auf angreifbaren Wordpress-Instanzen beliebige Plug-ins installieren und aktivieren und somit am Ende beliebigen Code ausführen (CVE-2024-10542, CVSS 9.8, Risiko "kritisch"). Die Wordfence-Analysten haben kurz darauf eine gleichartige Sicherheitslücke in dem Plug-in mit denselben Auswirkungen entdeckt (CVE-2024-10781, CVSS 9.8, kritisch).

Das Plug-in kann auf Anfragen aus der Ferne (Remote Calls) reagieren und Aktionen wie die Installation von weiteren Plug-ins ausführen. Um zu prüfen, ob ein Aufruf legitim ist, prüft das Plug-in die rückwärts aufgelöste IP-Adresse mittels der Funktion strpos(), ob an beliebiger Stelle des Namens "cleantalk.org" auftaucht. Dadurch lässt sich mit einer Subdomain die Prüfung faktisch ausschalten: cleantalk.org.boese.domain darf diese Plug-in-Funktionen aufrufen und ausführen.

Das Plug-in autorisiert Token nach erfolgreichem Vergleich des Hash-Wertes mit dem API-Key, erörtert Wordfence die zweite Sicherheitslücke. Der Plug-in-Code verhindert jedoch die Autorisierung nicht, wenn der API-Key leer ist. Sofern der API-Key noch nicht konfiguriert wurde, können Angreifer sich autorisieren, indem sie einen Token schicken, der dem leeren Hash-Wert entspricht und können ebenfalls die Plug-in-Funtkionen etwa zur Installation weiterer Plug-ins aufrufen.

Weiterlesen
  32 Aufrufe

Mehrere Softwareschwachstellen gefährden Qnap NAS

Es sind wichtige Sicherheitsupdates für verschiedene NAS-Modelle von Qnap erschienen. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall eigene Befehle ausführen und Geräte kompromittieren. Qnaps Routerbetriebssystem QuRouter OS ist ebenfalls verwundbar.

Anzeige

Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, sind neben den NAS-Betriebssystemen QTS und QuTS hero noch die NAS-Anwendungen AI Core, OpenSSH, Media Streamin Add-on, Notes Station 3 und QuLog Center angreifbar.

Bislang hat Qnap keine Attacken vermeldet. Besitzer von NAS-Geräten sollten die verfügbaren Sicherheitsupdates gleichwohl zeitnah installieren.

Die Schwachstelle in QuLog Center (CVE-2024-48862 "hoch") lässt unbefugte Zugriffe auf Daten zu. Eine "kritische" Lücke (CVE-2024-38645) in Notes Station 3 sorgt ebenfalls für einen möglichen Datenleak. Der Großteil der Lücken in QTS und QuTS hero ist mit dem Bedrohungsgrad "mittel" eingestuft (etwa CVE-2024-37024). In diesem Beispiel können sich Angreifer höhere Nutzerrechte verschaffen.

Weiterlesen
  51 Aufrufe

Prochinesische Desinformation: Google entfernt 1000 Domains von Google News

Google hat in den vergangenen zwei Jahren mehr als 1000 Websites von Google News und Google Discover ausgeschlossen, die als angeblich unabhängige Nachrichtenportale getarnt waren, aber für chinesische Positionen werben sollten. Das teilte die Threat Intelligence Group des US-Konzerns mit und ergänzte, dass alle Seiten von gerade einmal vier Firmen betrieben wurden, die damit gegen die Vorgaben für "irreführendes Verhalten und redaktionelle Transparenz" verstoßen hätten. Wer genau dahinter steckt, kann Google nach eigener Aussage nicht angeben, es erwecke aber den Anschein, als handle es sich um einen "gemeinsamen Kunden", der die Verbreitung von Propaganda für die Volksrepublik outgesourct habe. Es handle sich um ein weiteres Beispiel für privatwirtschaftliche PR-Firmen, die koordinierte Kampagnen zur Meinungsbeeinflussung übernehmen. Die eigentlichen Verantwortlichen könnten auf diesem Weg jegliche Verbindung leugnen.

Anzeige

Auf Basis der Domainnamen hat man bei Google zusammengetragen, dass die Seiten für Menschen in den unterschiedlichsten Ländern gedacht waren. In der Aufzählung finden sich auch Deutschland, Österreich und die Schweiz sowie die USA, Russland, Frankreich, Polen, Japan und viele mehr. Außerdem sei teilweise gezielt die chinesische Diaspora angesprochen worden. Herausgestochen ist demnach eine PR-Firma namens "Haixun", von der mehr als 600 Domains entfernt wurden. Über Angebote zur Verbreitung von Pressemitteilungen sei es der Firma im vergangenen Jahr sogar gelungen, "Pro-Peking-Inhalte" auf Subdomains legitimer Nachrichtenportale zu platzieren. Trotzdem seien die meisten Inhalte von geringer Qualität, neben der Propaganda gebe es auch Füllmaterial, "etwa zum Metaverse". Eine andere Firma habe Seiten erstellt, die angeblich Lokalnachrichten enthalten.

Das in einem ausführlichen Blogeintrag beschriebene Vorgehen zeige, wie bestimmte Akteure neue Taktiken entwickelt hätten, die über soziale Netzwerke hinausgingen, um Meinungen zu beeinflussen, schreibt Google. Ähnliche Versuche habe man auch bereits von Verantwortlichen aus Russland und dem Iran beobachtet. Indem die ihre Angebote als unabhängige und oft lokale Nachrichtenseiten ausgeben, könnten sie ihre Inhalte als legitim tarnen. Dabei seien die aber von PR-Firmen erstellt und verbreitet worden, ohne dass diese Hintergründe transparent gemacht werden. Die Darstellung als lokale und unabhängige Berichterstattung sei eine aktive Falschdarstellung. Man werde die intern als "Glassbridge" bezeichnete Kampagne weiter im Blick behalten und die Inhalte von Googles Seiten fernhalten.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Martin Holland)

  49 Aufrufe

ChatGPT: Code mit betrügerischer API kostet Programmierer 2500 US-Dollar

Ein Kryptowährung-Interessierter hat auf X berichtet, dass sein Programmierversuch mit ChatGPT ihn um 2500 US-Dollar gebracht hat. Er wollte mit der künstlichen Intelligenz einen sogenannten Bump Bot programmieren, um seine Token auf einer Kryptowährungshandelsplattform auf Discord-Servern zu bewerben.

Anzeige

Womit er nicht gerechnet habe sei, dass ChatGPT ihm eine betrügerische Solana-API-Webseite vorschlagen würde. Er erklärt, dass er von ChatGPT vorgeschlagenen Code übernommen habe, der den privaten Key über die API überträgt. Außerdem habe er seine Haupt-Solana-Wallet benutzt. "Wenn du in Eile bist und so viele Dinge auf einmal machst, ist es leicht, Fehler zu machen", resümiert der Programmersteller mit dem Handle "r_ocky.eth".

r_ocky.eth ist offenbar nicht weiterreichend mit Sicherheit oder Programmierung vertraut: Private Schlüssel gibt man nicht heraus, sondern nutzt sie, um damit Nachrichten zu verschlüsseln. Softwareentwicklung sollte zudem nie mit einem "Produktivkonto" erfolgen, sondern mit einem gesonderten Test-Konto. Der Codeschnipsel, von dem er einen Screenshot zeigt, nennt sogar offen, was er anstellt: "Payload for POST request" ist als Kommentar zu lesen, worauf als Erstes bereits der private Schlüssel folgt, den Programmierer eintragen sollen.

Der Betrüger hinter der API war schnell, berichtet der Betrogene, kurz nach der Nutzung der API habe er alle seine Krypto-Assets aus der Wallet an seine eigene übertragen. Das erfolgte bereits innerhalb von 30 Minuten, nachdem er eine Anfrage übertragen hatte. Schließlich habe er das Gefühl gehabt, etwas falsch gemacht zu haben, aber er habe sein Vertrauen in OpenAI verloren. Den Chatverlauf mit dem betrügerischen Programmcode habe er an OpenAI gemeldet. Über das betrügerische Repository habe er Github informiert, woraufhin es rasch entfernt wurde.

Weiterlesen
  42 Aufrufe

Social Media erst ab 16: Elon Musk mischt sich in australische Debatte ein

In Australien haben die entscheidenden Auseinandersetzungen über ein geplantes Gesetz begonnen, das Kindern und Jugendlichen unter 16 Jahren die Nutzung von sozialen Netzwerken verbieten soll. Die Regierungskoalition plädiert für eine Verabschiedung noch in dieser Woche, nachdem die Pläne erst Anfang des Monats konkretisiert worden waren. Vor dem Wochenende hat sich dann auch der einflussreiche US-Milliardär Elon Musk eingemischt und behauptet, die Pläne sähen nach einer Hintertür aus, um den Zugang zum Internet für alle Menschen in Australien zu kontrollieren. Finanzminister Jim Chalmers hat das zurückgewiesen und versichert, dass es für seine Regierung "keine besonders große Überraschung" sei, dass Musk mit dem Plan nicht sehr zufrieden ist. Aber das beunruhige ihn nicht, immerhin gehe es um den Schutz von Kindern.

Anzeige

Der Anfang November vorgestellte Vorstoß sieht vor, dass es Kindern ausnahmslos untersagt werden soll, soziale Netzwerke zu benutzen. Auch eine Erlaubnis von Erziehungsberechtigten würde daran nichts ändern. Betroffen wären laut der Nachrichtenagentur AP der Kurznachrichtendienst X (von Elon Musk), TikTok, Facebook, Snapchat, Reddit und Instagram. Auch YouTube könnte das Verbot unter Umständen treffen. Das Gesetz soll in dieser Woche im Parlament beraten und schon am Donnerstag beschlossen werden. Während es aber anfangs noch eine breite Zustimmung auch in der Opposition dafür gab, hat sich der Wind zuletzt womöglich gedreht. Laut dem Sydney Morning Herald sind zuletzt Sorgen gestiegen, dass es sich tatsächlich um einen ersten Schritt hin zu einer strikteren Kontrolle des Internets handelt. Sollte der Gesetzentwurf verabschiedet werden, könnte das Gesetz in einem Jahr in Kraft treten.

Im Rahmen der Beratungen hat am Montag die Chefin einer Lobbygruppe für große IT-Konzerne mehr Zeit gefordert, berichtet AP. Vom Parlament werde erwartet, dass es ein Gesetz verabschiedet, von dem es nicht wisse, wie es funktioniert, kritisierte sie demnach. Vorgesehen sind demnach unter anderem mehr als 30 Millionen Euro Strafe für Anbieter, die systematisch daran scheitern, Kindern den Zugang zu verweigern. Die Lobbyistin wurde intensiv befragt, schreibt die Nachrichtenagentur weiter, und der Wahrheitsgehalt einiger Behauptungen sei angezweifelt worden. So habe ein Abgeordneter erfahren wollen, wie es seinem zehnjährigen Stiefsohn eigentlich gelungen sein könne, schon seit seinem achten Lebensjahr Accounts auf Instagram, Snapchat und YouTube zu haben. Nominell liegt das Mindestalter dort bei 13 Jahren. In diesem Bereich müsse sich die Industrie verbessern, so die Antwort.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Martin Holland)

  44 Aufrufe

heise-Angebot: iX-Workshop: Innerdeutsche E-Rechnungspflicht - Software richtig implementieren

Ab 2025 tritt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich in Kraft. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Januar
13.01. + 15.01. + 17.01.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 15. Dez. 2024
Februar
17.02. + 19.02. + 21.02.2025
Online-Workshop, 09:00 – 12:30 Uhr
10 % Frühbucher-Rabatt bis zum 19. Jan. 2025

Der Workshop findet vom 13. bis 17. Januar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (13., 15. und 17. Januar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

Weiterlesen
  35 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image