Comretix Blog

Ivanti warnt vor mehreren, teils kritischen Sicherheitslücken in der VPN-Software Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC) sowie in Ivanti Cloud Services Application (CSA). Angreifer können die Schwachstellen etwa zum Einschleusen von Schadcode missbrauchen, erklärt das Unternehmen.

Anzeige

Eine Sicherheitsmitteilung von Ivanti listet die Schwachstellen in ICS, IPS und ISAC auf. Am schwerwiegendsten ist demnach ein Stack-basierter Pufferüberlauf, der angemeldeten Nutzern aus der Ferne das Ausführen beliebigen Codes ermöglicht (CVE-2025-22467, CVSS 9.9, Risiko "kritisch"). Details zu der Lücke, etwa wie bösartige Akteure sie ausnutzen können, erörtert Ivanti nicht.

Außerdem können angemeldete Nutzer mit Admin-Rechten durch extern kontrollierbare Dateinamen beliebige Dateien schreiben (CVE-2024-38657, CVSS 9.1, kritisch). Auf nicht näher genanntem Weg können Angreifer zudem Code einschleusen (CVE-2024-10644, CVSS 9.1, kritisch).

Betroffen von diesen und weiteren Schwachstellen, die die Sicherheitsmitteilung auflistet (CVE-2024-13813, CVSS 7.1, hoch; CVE-2024-12058, CVSS 6.8, mittel; CVE-2024-13830, CVSS 6.1, mittel; CVE-2024-13842, CVE-2024-13843, beide CVSS 6.0, mittel), sind Ivanti Connect Secure (ICS) vor Version 22.7R2.6, Ivanti Policy Secure (IPS) vor 22.7R1.3 und Ivanti Secure Access Client (ISAC) vor 22.8R1.

Derzeit haben unbekannte Angreifer verschiedene Windows- und Windows-Server-Versionen im Visier. Admins sollten sicherstellen, dass Windows Update aktiv ist und die aktuellen Patches installiert sind, damit Systeme vor den Attacken geschützt sind.

Anzeige

Davon sind neben Windows 10 und 11 auch aktuelle und ältere Server-Ausgaben betroffen. Über eine Schwachstelle (CVE-2025-21418 "hoch") verschaffen sich Angreifer Systemrechte. In so einer Position ist davon auszugehen, dass sie PCs vollständig kompromittieren können.

Erfolgreiche Attacken auf die zweite ausgenutzte Schwachstelle (CVE-2025-21391 "hoch") versetzen Angreifer in die Lage, Dateien löschen zu können. Darüber können sie Microsoft zufolge zwar keine vertraulichen Informationen abgreifen, aber etwa dafür sorgen, dass bestimmte Services nicht mehr funktionieren.

Wie solche Angriffe ablaufen und in welchem Umfang sie stattfinden, ist derzeit nicht bekannt.

Behörden und Cybersicherheitsfachleute haben gravierende Sicherheitsbedenken gegen die chinesische KI DeepSeek. Dabei geht es um mehrere Punkte: die offenkundig sehr weitreichende Speicherung von Nutzerdaten, die mögliche Manipulierbarkeit der Anwendung für kriminelle Zwecke und die Frage, inwieweit der chinesische Spionage- und Überwachungsapparat Zugriff auf Nutzerdaten hat. DeepSeek hat sich seit der Veröffentlichung zu einer der beliebtesten KI-Anwendungen auch in den deutschen App Stores von Apple und Google entwickelt.

Anzeige

Ein wesentlicher Kritikpunkt ist die Speicherung der Tastatureingaben. DeepSeek informiert in seinen Datenschutzhinweisen darüber, dass "Tastatureingabemuster oder -rhythmen" (keystroke patterns or rhythms) erfasst werden – ein Verfahren, das zur Identifizierung von Nutzern eingesetzt werden kann. "Auch Tastatureingaben innerhalb der App können womöglich mitgelesen werden, bevor sie abgeschickt werden", sagt eine Sprecherin des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf dpa-Anfrage.

"Daneben wird die Art und Weise, wie Tastatureingaben vorgenommen werden, gespeichert." Mit solchen Mustern könnten mit Hilfe Künstlicher Intelligenz Nutzprofile erstellt und wiedererkannt werden. Fazit: "Das BSI hält diese Möglichkeit mindestens für sicherheitskritische Bereiche für bedenklich."

Die etablierte US-Konkurrenz von Open AI hingegen sichert zu, nicht aktiv nach persönlichen Daten zu suchen und keine öffentlichen Daten im Internet zum Aufbau persönlicher Profile zu verwenden. Allerdings gibt es auch ein US-Gesetz – den Cloud Act – das amerikanische Firmen verpflichtet, den Behörden Zugriff auf im Ausland gespeicherte Daten zu gewähren.

Anzeige

Nicht nur Cyberkriminelle möchten mittels Schadsoftware auf Mobilgeräten herumschnüffeln und Daten abschnorcheln – auch Regierungen und Geheimdienste interessieren sich für die kleinen Alltagsbegleiter. Und beauftragen spezialisierte Unternehmen, die mittels Zero-Day-Exploits auf den Smartphones eindringen und Spionagesoftware installieren. Um diese geht es in der 25. Folge des heise-Security-Podcasts "Passwort".

In einer koordinierten Aktion von Strafverfolgungsbehörden aus 14 Ländern wurden vergangene Woche vier Anführer der Ransomware-Gruppe 8Base festgenommen, der größte Affiliate von Phobos. Die Festnahme in Thailand gelang zusammen mit dem FBI, der Schweizer Bundesanwaltschaft und der Schweizer Bundespolizei (Fedpol). 8Base steht unter Verdacht, mit einer Variante der Phobos-Ransomware weltweit hohe Lösegeldzahlungen erpresst zu haben. Dabei betrieb sie, wie viele Ransomware-Gruppen, Double Extortion.

Anzeige

Phobos hatte bereits in der Vergangenheit die Basler Softwarefirma Concevis angegriffen, wovon auch Schweizer Bundesbehörden betroffen waren. Auf der Liste der Opfer stehen aber auch Gesundheitseinrichtungen wie Krankenhäuser und Apotheken, informiert die bei der Generalstaatsanwaltschaft Bamberg angesiedelte Zentralstelle Cybercrime Bayern (ZCB), die ebenfalls an der Aktion internationaler Strafverfolgungsbehörden teilgenommen hat.

Am vergangenen Sonntag habe die "IT-Infrastruktur der 8Base-Gruppierung beschlagnahmt und vom Bayerischen Landeskriminalamt vom Netz genommen" werden können, teilt die ZCB mit. "Zuvor wurde durch das Amtsgericht Bamberg die Beschlagnahme von insgesamt 115 Servern angeordnet", so die ZCB. Weitere 15 Server wurden auf Anordnung beschlagnahmt. Laut Europol wurden insgesamt 27 Server beschlagnahmt, die mit dem kriminellen Netzwerk in Verbindung stehen – 17 davon in Deutschland, wie die ZCB mitteilt. In Deutschland fanden laut ZCB 365 Phobos-Angriffe statt.

Die Aktion, an der neben dem FBI und der Schweizer Bundesanwaltschaft Fedpol auch das ZCB und das Bayerische Landeskriminalamt (BLKA) und weitere beteiligt waren, folgt auf eine Reihe von Festnahmen in Zusammenhang mit Phobos. Im Juni ist ein Administrator von Phobos in Südkorea festgenommen und anschließend an die Vereinigten Staaten ausgeliefert worden. Er wird nun wegen verschiedener Ransomware-Angriffe auf Kritische Infrastrukturen angeklagt. 2023 wurde nach Angaben von Europol ein weiterer Phobos-Affiliate in Italien festgenommen. Sie konnten der kriminellen Gruppierung 8Base zugeordnet werden. Europols European Cybercime Centre (EC3) unterstützt die Untersuchung seit Anfang 2019.

IT-Forscher haben in den Repositories von Hugging Face bösartig manipulierte Machine-Learning-Modelle entdeckt. Die konkreten gefundenen ML-Modelle haben eine Reverse Shell auf infizierten Systemen geöffnet. Entwickler und Interessierte können bei Hugging Face etwa Datensätze und vortrainierte KI-Modelle herunterladen, etwa auch "abgespeckte" Fassungen der KI-Modelle von Deepseek, Mistral oder Qwen, die sich auf schwächerer Hardware daheim nutzen lassen.

Anzeige

Ein Blog-Beitrag der IT-Sicherheitsforscher von Reversinglabs analysiert die "nullifAI" getaufte Malware. Diese haben bösartige Akteure auf Hugging Face mit manipulierten KI-Modellen eingeschleust. Sie missbrauchen dabei eine benötigte Funktion, die Pickle File Serialization, auch Pickling genannt. Pickle ist ein Python-Modul, das oftmals zur Serialisierung und Deserialisierung von ML-Modelldaten zum Einsatz kommt. Das Pickle-Format gilt als unsicher, da es ermöglicht, Python-Code während der ML-Modell-Deserialisierung auszuführen. Hugging Face weist auf diese Gefahr in der Dokumentation auch hin.

Die IT-Forscher stießen auf zwei Hugging-Face-Modelle, die bösartigen Code enthielten und von den Hugging-Face-Sicherheitsmechanismen nicht als unsicher ("unsafe") markiert wurden. Das untersuchte ML-Modell machte den Eindruck eines Proof-of-Concept-Modells, um diese neuartige Angriffsmethode auszutesten. Ein Screenshot zeigt die Scan-Ergebnisse von Hugging Face: ProtectAI und ClamAV haben kein Problem gefunden, HF Picklescan erkannte die Datei offenbar gar nicht erst als Pickle.

Die beiden bösartigen Dateien liegen im PyTorch-Format vor, was im Kern ein komprimiertes Pickle sei. Standardmäßig kommt ZIP-Kompression dafür zum Einsatz, aber diese Modelle wurden mit 7z komprimiert. Dadurch kann die PyTorch-Standardfunktion torch.load() sie nicht laden. Die IT-Forscher gehen davon aus, dass der HF Picklescan deshalb die Datei nicht als unsicher markiert hat. Picklescan sei ohnehin ein sehr eingeschränkter Scanner: Es nutze eine Blacklist gefährlicher Funktionen; die IT-Sicherheitsexperten von Checkmarx haben zudem weitere Funktionen entdeckt, die die Ausführung von Code bewirken können, jedoch nicht auf dieser Blacklist zu finden sind. Außerdem kann Picklescan defekte Pickles offenbar nicht analysieren.

Solarwinds hat für die Solarwinds Platform Self-Hosted das Update auf Version 2025.1 bereitgestellt. Da es teils kritische Sicherheitslücken schließt, sollten IT-Verantwortliche zügig die Aktualisierung anwenden.

Anzeige

In den Release-Notes von Solarwinds Platform listet das Unternehmen allgemeine Verbesserungen und neue Funktionen vor, nennt am Ende jedoch auch die darin geschlossenen Sicherheitslücken. Insgesamt geht es um fünf Schwachstellen, von denen drei Solarwinds Platform direkt und zwei weitere Drittherstellerkomponenten betreffen.

Für die gravierendsten Sicherheitslücken zeichnet das mitgelieferte OpenSSL verantwortlich. Eine Schwachstelle erlaubt unter gewissen, eher selten anzutreffenden Umständen das Lesen von Daten über einen Puffer hinaus, wodurch Angreifer auf sensible Daten zugreifen können. Die OpenSSL-Entwickler haben die Lücke daher als niedriges Risiko eingestuft. Offenbar verwendet Solarwinds OpenSSL jedoch auf die verwundbare Art und Weise, sodass die Schwachstelle CVE-2024-5535 von den Entwicklern einen CVSS-Score von 9.1 und damit eine Risikoeinstufung als "kritisch" erhält.

Zudem korrigiert die aktualisierte, mitgelieferte OpenSSL-Fassung ein Sicherheitsleck, das Angreifer für einen Denial-of-Service missbrauchen können (CVE-2024-6119, CVSS 7.5, hoch). In der Solarwinds-Platform-Software selbst klafft zudem eine Reflected-Cross-Site-Scripting-Lücke (CVE-2024-52612, CVSS 6.8, mittel – von Solarwinds jedoch als Risiko "hoch" klassifiziert). Zudem können bösartige Akteure eine Server-Side Request Forgery missbrauchen (CVE-2024-52606, CVSS 3.5, niedrig) oder durch eine Fehlermeldung an Informationen gelangen – jedoch an keine sensiblen, erörtert Solarwinds (CVE-2024-52611, CVSS 3.5, niedrig).

Die Funktion Secure Encrypted Virtualization (SEV) von AMD-Serverprozessoren ist weniger sicher, als der Name nahelegt: Forscher von Google fanden heraus, dass Epyc-Prozessoren bei der Signaturprüfung von Microcode-Updates schlampen.

Anzeige

Weil solche Microcode-Updates tief in CPU-Funktionen eingreifen, ermöglichen sie schwerwiegende Manipulationen. Das Google-Team veröffentlichte einen Proof of Concept (PoC), der den RDRAND-Befehl zerschießt: Statt einer Zufallszahl liefert er stets den Wert 4. Das schwächt kryptografische Algorithmen, die RDRAND nutzen. Und damit lässt sich wiederum auch die eingangs erwähnte RAM-Verschlüsselung SEV aushebeln, die unter anderem dazu dient, parallel auf demselben Server laufende virtuelle Maschinen (VMs) voneinander sicher zu trennen, etwa für Confidential Computing.

Google selbst nutzt AMD SEV (beziehungsweise SEV-SNP) unter anderem bei der Synchronisation von Passkeys zwischen verschiedenen Geräten angemeldeter Google-Nutzer (Google Password Manager, GPM). Die eigentlichen Passkeys werden dabei gar nicht synchronisiert, sondern existieren nur in sicheren Enklaven auf Cloud-Servern.

Um einem Epyc-Prozessor ein manipuliertes Microcode-Update unterzujubeln, muss der Angreifer zwar Administratorrechte haben. Doch Confidential-Computing-Funktionen wie AMD SEV, Intel SGX/TDX oder ARMv9-CCA zielen gerade darauf, auch Administratoren den Zugriff auf geschützte Daten zu verwehren, indem sie Trusted Execution Environments (TEEs) mit kryptografisch nachweisbarem Betriebszustand (Remote Attestation) schaffen.

Die gestern Abend veröffentlichten "Punkt-Punkt-Releases" für iOS und iPadOS enthalten Fehlerbehebungen für eine Sicherheitslücke, die laut Apple bereits ausgenutzt wird. Das teilte der Konzern auf seiner Security-Updates-Website mit. Betroffen sind dabei sowohl iOS 18 und iPadOS 18 als auch iPadOS 17 (sowie vermutlich auch iOS 17, das Apple aber nicht mehr patcht). Nutzer sollten also dringend iOS 18.3.1 und iPadOS 18.3.1 respektive iPadOS 17.7.5 einspielen.

Anzeige

Der Bug steckt im Modul Accessibility, das für die Barrierefreiheit zuständig ist und hat mit dem eigentlich eingeschränkten USB-Zugriff auf das Gerät zu tun. Dieser Restricted Mode lässt sich über eine "äußerst anspruchsvolle" (O-Ton-Apple) Angriffsform umgehen, wobei das iPhone unter Verfügung des Angreifers sein muss. Entdeckt wurde der Fehler von der kanadischen Sicherheitsgruppe Citizen Lab an der University of Toronto. Diese dürfte in den kommenden Tagen Details auf ihrer Website veröffentlichen.

Laut Apple war der "physische Angriff" auf gesperrte Geräte möglich. Was genau damit durchgeführt werden konnte, bleibt unklar – der USB Restricted Mode gilt jedoch als erste Hürde, der das Abgreifen von Daten über den USB-C-Port verhindert. Auch denkbar wäre, dass auf diesem Weg Schadcode eingeführt werden konnte, doch Apple macht dazu keine Angaben. Was der Konzern jedoch sagt: Es gab laut Apple einen "Bericht, dass [darüber] spezifische Zielpersonen" angegriffen wurden. Um welche es sich handelt, ist ebenfalls unklar. Der Bug wurde über ein verbessertes "State Management" behoben, so Apple weiter. Nutzer von iPhones ab dem Modell XS, iPad Pro mit 11 und 13 Zoll sowie 12,9 ab der dritten Generation, iPad Air 3 und neuer, iPad 7 und neuer sowie iPad mini 5 und neuer erhalten Zugriff auf den Patch. Andere Modelle können iOS 18 (beziehungsweise iPadOS 17.7.5) nicht mehr ausführen und bleiben unsicher.

Apple hat neben iOS und iPadOS auch watchOS und visionOS aktualisiert – auf 11.3.1 beziehungsweise 2.3.1. Sicherheitsrelevante Fixes sollen diese aber nicht enthalten. Sonstige Angaben über Neuerungen macht Apple leider nicht – sehr störend, da man die Patches auf gut Glück einspielen muss, ohne zu wissen, was sie bringen.

Admins sollten ihre Zimbra-Server aus Sicherheitsgründen auf den aktuellen Stand bringen. Updates schließen mehreren Schwachstellen. Derzeit gibt es zwar noch keine Berichte zu Attacken, die Entwickler raten aber zum zügigen Updaten.

Anzeige

Im Sicherheitsbereich der Zimbra-Website listen sie mehrere Sicherheitslücken auf, für die teils noch keine CVE-Kennzeichnung vergeben wurde. Eine Lücke stufen sie als "kritisch" ein und Angreifer können im Zuge einer XSS-Attacke eigenen Code ausführen. Weitere Details dazu sind zurzeit nicht bekannt.

Zu einer "kritischen" Schwachstelle (CVE-2025-25064) sind aber schon Einzelheiten veröffentlicht. An der Lücke können authentifizierte Angreifer mit speziellen Anfragen ansetzen. Weil Nutzereingaben nicht ausreichend überprüft werden, können Angreifer an dieser Stelle eigene SQL-Befehle einschleusen, um so Zugriff auf Metadaten von Mails zu bekommen.

Eine weitere bekannte Sicherheitslücke (CVE-2025-25065 "mittel") erlaubt es Angreifern, Serververbindungen umzubiegen.

Cyberattacken zielen darauf ab, durch böswillige Aktivitäten wie Phishing, Ransomware, Malware oder andere Cyberangriffe unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

In 18 neuen Sicherheitsmitteilungen behandelt SAP im Rahmen des Februar-Patchday neu entdeckte Sicherheitslücken in zahlreichen Produkten. Eine Handvoll davon gilt dem Unternehmen als hohes Risiko. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig herunterladen und installieren.

Anzeige

In der Patchday-Übersicht für den Februar listet SAP die einzelnen Sicherheitsmitteilungen auf. Am schwerwiegendsten stuft SAP eine Schwachstelle in BusinessObjects ein. Sie ermöglicht Angreifern mit Admin-Rechten, geheime Passphrasen zu erstellen oder zu erlangen und damit beliebige User im System auszugeben (CVE-2025-0064, CVSS 8.7, Risiko "hoch").

SAPs Supplier Relationship Management hingegen ist von einer Path-Traversal-Lücke betroffen, die nicht authentifizierten Angreifern das Herunterladen beliebiger Dateien ermöglicht. Diese können damit an sensible Informationen gelangen (CVE-2025-25243, CVSS 8.6, hoch). Im "Node.js"-Paket von SAPS Approuter können bösartige Akteure die Authentifizierung umgehen. Durch das Einschleusen bösartig manipulierter Daten können sie die Sitzung von Opfern übernehmen (CVE-2025-24876, CVSS 8.1, hoch).

Die Sicherheitsmitteilungen lauten im Einzelnen:

Die Lup-Kliniken im Landkreis Ludwigslust-Parchim sind von einem Cyberangriff betroffen. Wie der Landkreis mitteilte, sind die Klinikstandorte Hagenow und Ludwigslust derzeit per E-Mail und Website nicht zu erreichen. Beide Häuser seien vorsorglich vom Kommunikationsnetz getrennt worden. Die medizinische Versorgung an den Standorten sei hingegen gesichert. Die Notaufnahme wurde den Angaben nach regulär abgemeldet, bedrohliche Notfälle werden weiterhin behandelt.

Anzeige

Der Cyberangriff wurde in der Nacht zum Montag festgestellt – derzeit werde an der Behebung der technischen Probleme gearbeitet. Nach Angaben des Landeskriminalamtes wurden die Ermittlungen zu Verstößen wegen Computersabotage und dem Ausspähen von Daten aufgenommen. Derzeit würden Spezialisten vor Ort digitale Spuren sichern. Weitere Informationen gebe es bisher nicht – in diesem Jahr sei es bereits der vierte Fall von Computersabotage in Mecklenburg-Vorpommern, hieß es.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Mehr-Faktor-Authentifizierung (MFA) liefert besseren Schutz vor Phishing oder der direkten Nutzung von Zugangsdaten aus Datenlecks. Google hat im November einen MFA-Zwang für Online-Konten bei dem Unternehmen angekündigt. Jetzt hat es den Zeitplan festgezurrt.

Anzeige

In einem Artikel zu Googles Cloud erörtert das Unternehmen die Änderungen und Details. Demnach würden mit MFA geschützte Konten mit einer 99-prozentigen Wahrscheinlichkeit nicht geknackt, weshalb das Unternehmen nach und nach die Anforderung für alle Cloud-Konten einführt, dass MFA aktiviert sein muss.

Als Erstes sind Konten von Resellern an der Reihe. Für diese erzwingt Google ab dem 28. April 2025 den MFA-Einsatz. Kundenkonten der Reseller seien jedoch da noch nicht betroffen. Private Google-Konten, etwa zu Google Mail (Gmail), erhalten die MFA-Aktivierung ab dem 12. Mai dieses Jahres. Cloud-Identity-Konten für Unternehmen, die ohne Single-Sign-On (SSO) genutzt werden, folgen im dritten Quartal des Jahres. Und schließlich sind Unternehmenskonten mit föderierter Authentifizierung im vierten Quartal 2025 oder sogar später an der Reihe.

Google will zudem Betroffene rechtzeitig über diese Änderung informieren. In der Cloud-Konsole soll mindestens 90 Tage vor der erzwungenen MFA eine Erinnerung angezeigt und eine E-Mail diesbezüglich an Betroffene gesendet werden. Reseller und deren Nutzer erhalten diese Nachrichten 60 Tage vor dem Zieldatum. Privatkunden erhalten derzeit eine Hinweis-E-Mail, ganz gleich, ob sie 2FA bereits aktiviert haben oder nicht. Darin führt ein Link in das Google-Konto zu den Sicherheitseinstellungen. Dort lässt sich bei "2-Faktor-Authentifizierung" die Nutzung erkennen – etwa, ob sie bereits aktiviert wurde und welche Zweitfaktoren hinterlegt wurden, beispielsweise Passkeys und Sicherheitsschlüssel, Authenticator-Apps oder dafür angegebene Telefonnummern.

Malware und Hacker-Angriffe sind längst nicht mehr nur ein Windows-Thema – auch Linux-Server und die darauf laufenden Dienste geraten immer häufiger unter Beschuss. Der fünftägige Intensiv-Workshop Linux-Server härten: Verschlüsselung, Zugriffskontrolle, Integritätschecks beschäftigt sich umfassend mit der Sicherheit von Linux-Servern. Das Themenspektrum reicht von der physischen Sicherheit über Mechanismen der Zugriffskontrolle bis hin zu Logging, Monitoring und Intrusion Detection.

Anzeige

Sie lernen, wie Sie Daten verschlüsseln und Netzwerkdienste absichern, fortgeschrittene Methoden der Zugriffskontrolle wie Zwei-Faktor-Authentifizierung einrichten und die bekannten Sicherheitsframeworks SELinux und AppArmor einsetzen. Florian Winkler erklärt, wie man Logfiles mit sicherheitsrelevanten Vorfällen analysiert und geht auch auf das Thema Einbruchserkennung ein. Darüber hinaus erhalten Sie eine theoretische Einführung in das Penetration Testing und erfahren, wie Sie Sicherheitslücken in der eigenen IT gezielt aufspüren.

Damit Sie in diesem Workshop das Gelernte direkt ausprobieren und selbst Hand anlegen können, erhalten Sie einen ssh-Zugang zu einer Trainingsumgebung mit bereitgestellten Linux-Systemen. Der Workshop ist interaktiv und findet in Gruppen mit maximal 12 Teilnehmenden statt, damit Sie viel Raum für eigene Fragen und den Austausch mit dem Trainer und den anderen Teilnehmenden haben.

Der nächste iX-Workshop findet vom 24. bis 28. März 2025 statt. Ihr Trainer Florian Winkler ist seit 2014 als Berater und Trainer beim Linux-Systemhaus B1 Systems tätig. Seine Themenschwerpunkte liegen in den Bereichen Konfigurationsmanagement, DevOps, Deployment, Security und Automatisierung.

Das anonymisierende Linux Tails ist in aktualisierter Fassung erschienen. Darin schließen die Entwickler Sicherheitslücken, die Angreifern die Deanonymisierung von Nutzern ermöglichen.

Anzeige

In der Versionsankündigung schreiben die Tails-Entwickler, dass Angreifer die Tor-Circuits überwachen könnten. Dazu müssen sie zuvor die Kontrolle über eine Anwendung in Tails übernommen haben und können dann Schwachstellen in "Onion Circuits" sowie im "Tor Browser"-Wrapper missbrauchen, die zur Deanonymisierung führen. Eine zweite Sicherheitslücke ermöglicht Angreifern, die Einstellungen des persistenten Speichers zu ändern. Wie diese Kontrollübernahme über Apps aussehen könnte, erörtert das Tails-Projekt nicht näher.

Die Schwachstellen wurden bei einem Security-Audit durch Radically Open Security entdeckt. Version 6.12 und neuer von Tails bessern sie aus. Aber auch weitere Neuerungen sind in die neue Fassung geflossen: Der "Über Tails"-Dialog hat nun eine Schaltfläche zur Suche nach Upgrades.

Das Tastenkürzel "Strg"+"Alt"+"T" öffnet direkt ein Terminal-Fenster. Der zentrale Tor-Browser ist auf Stand 14.0.5 dabei, Thunderbird wurde auf Version 128.6.0esr aktualisiert. Python-Code läuft jetzt wieder vollständig im isolierten Modus, der Willkommensbildschirm friert beim Aktivieren des persistenten Speichers nicht mehr ein, Zeitsynchronisation beim Start von Tor ist nun verlässlicher und beim Scheitern des Upgrades der Verschlüsselung des persistenten Speichers auf LUKS2 zeigt Tails jetzt eine Fehlermeldung. Geblieben ist das Problem, dass bei Fehlern bei der Installation von zusätzlicher Software aus dem persistenten Speicher die Schaltflächen "Configure" und "Show Log" nicht funktionieren.

Admins, die die Asset-Managementsoftware Trimble Cityworks verwalten, müssen ihre Systeme durch die Installation eines Sicherheitsupdates vor laufenden Attacken schützen.

Anzeige

Über Cityworks steuern Mitarbeiter unter anderem Kapitalressourcen und Workflows. Weil die Software in Behörden oder Versorgungsunternehmen genutzt wird, sollten Admins nicht zu lange zögern. Vor den Attacken warnt etwa die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. In welchem Umfang die Attacken derzeit ablaufen, ist nicht bekannt.

In einer Warnmeldung führt Trimble aus, dass On-Premises-Kunden die gegen die Attacken abgesicherten Versionen 15.8.9 oder 23.10 installieren müssen. Alle vorigen Ausgaben sollen verwundbar sein. Cityworks-Online-Deployments (CWOL) seien bereits geschützt.

Bei den Attacken setzen Angreifer an einer Schwachstelle (CVE-2025-0994, CVSS 8.6, Risiko "hoch") an, um Schadcode im Kontext von Microsofts Internet-Information-Services-Web-Server (IIS) auszuführen. Wie Angriffe im Detail ablaufen, ist derzeit nicht bekannt. In der Beschreibung der Lücke steht, dass Angreifer für eine erfolgreiche Attacke authentifiziert sein müssen.

Vergangene Weihnachten wurde ein Problem mit Windows 11 24H2-Installationen bekannt, dass diese keine weiteren Aktualisierungen installieren können, wenn sie von einem Installationsmedium mit bestimmten Update-Ständen installiert wurden. Microsoft hat nun aufgegeben, nach einer automatisierten Lösung dafür zu suchen oder etwa ein Fix-it-Tool zu entwickeln – Betroffenen bleibt lediglich die manuelle Korrektur.

Anzeige

Diese Entscheidung hat Microsoft durch das Setzen des Beitrags in den Windows Release Health-Ankündigungen auf "gelöst" festgezurrt. Konkret lautet die Problembeschreibung, dass eine Windows-11-Installation auf Stand 24H2, die von einer CD (sic) oder einem USB-Laufwerk mit integrierten Oktober- oder November-Updates aus 2024 aufgesetzt wurde, keine weiteren Sicherheitsupdates mehr installieren kann. Dazu gehören auch etwa mit dem Windows Media Creation Tool zu den Zeitpunkten erstellte Medien. Installationen, die sich die Aktualisierungen über Windows Update gezogen und diese angewendet haben, haben dieses Problem hingegen nicht.

Der Eintrag zu dem Problem von Microsoft ist seit Ende vergangener Woche auf dem Status "gelöst". Allerdings steht dort weiterhin lediglich der bisherige Workaround als Lösung: Durch eine Überinstallation mit einem Installationsmedium, das mindestens die Sicherheitsupdates aus dem Dezember 2024 enthält – also ab dem 10. Dezember 2024 erstellt wurde – lässt sich das Problem beheben. Ein Fix-it-Tool, Skript oder anderweitige Möglichkeiten beispielsweise durch Registry-Änderungen nennt Microsoft nicht.

Ein solch aktualisiertes Medium lässt sich mit dem Windows Media Creation Tool erstellen, das auf der Windows-11-Download-Webseite von Microsoft verfügbar ist. Das lädt entweder eine ISO-Datei herunter, die sich auf DVD verfrachten lässt, oder erstellt einen bootbaren USB-Stick mit der Windows-Installation; dieser sollte mindestens 8 GByte Platz haben.