Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Aus China: Cyberangriff auf US-Provider "schlimmster in der US-Geschichte"

Der vor mehr als einem Monat entdeckte Cyberangriff aus China auf die Netzwerke mehrerer großer US-Netzbetreiber ist "der größte Telekommunikationshack in der Geschichte der US-Geschichte – und zwar mit Abstand". Das hat mit Mark Warner (Demokraten) jetzt der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses der Washington Post gesagt. Die einer Gruppe namens "Salt Typhoon", "GhostEmperor" oder "FamousSparrow" zugeschriebene Attacke lasse die Cyberangriffe auf Colonial Pipeline oder SolarWinds im Vergleich wie Kinderspiele aussehen, ergänzte der US-Senator. Außerdem hat er erklärt, dass die Angreifer weiterhin im System seien.

Anzeige

Dass es mutmaßlich in Diensten der chinesischen Regierung stehenden Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren, war Anfang Oktober bekannt geworden. Bei dem Angriff geht es offenbar um Informationsbeschaffung, und schon damals war klar, dass es sich um eine potenziell katastrophale Sicherheitsverletzung handeln könnte. Laut Warner erfolgten die Einbrüche teilweise bereits vor mehr als einem Jahr. Um die Unbekannten aus den Netzen zu werfen, müssten "buchstäblich Tausende und Abertausende an Geräten ausgetauscht werden", vor allem veraltete Switches und Router, ergänzte der Senator.

Dem Bericht zufolge konnten sich die unbekannten Angreifer über ihren Zugang in Echtzeit in Telefonate einklinken und diese belauschen. Gezielt hätten sie dabei unter anderem auf die Telefone des nächsten US-Präsidenten Donald Trump und seines Vizes J.D. Vance zugegriffen, aber auch auf solche von Angestellten der gegenwärtigen US-Vizepräsidentin Kamala Harris und des US-Außenministeriums. Einen direkten Bezug zur US-Präsidentschaftswahl habe es aber wohl nicht gegeben. Bislang seien zwar weniger als 150 Personen als Opfer von der US-Bundespolizei FBI identifiziert und informiert worden, aber die hätten "Millionen" kontaktiert und die Zahl könnte noch "dramatisch ansteigen", meint Warner.

Bei ihrem Angriff ist es ihnen auch gelungen, Zugriff auf jene Systeme zu erlangen, die von US-Strafverfolgungsbehörden für Überwachung benutzt werden, schreibt die Zeitung noch. Damit hätten sie in Erfahrung bringen können, für wen sich US-Behörden interessieren. Bislang gebe es aber noch keinen Beweis dafür, dass sie Zugriff auf die mitgeschnittenen Telefonate selbst erlangt hätten. Belauschen konnten sie lediglich andere Gespräche. Zugreifen konnten sie außerdem auf andere, allgemeinere Internetdaten. Laut einem Eintrag in der Malpedia-Datenbank des Fraunhofer FKIE wurde für den Angriff unter anderem ein Rootkit für Windows-Kernel namens Demodex benutzt.

Weiterlesen
  37 Aufrufe

Ubuntu-Server: Root-Lücke durch needrestart-Komponente

Seit Ubuntu 21.04 bringen Ubuntu-Server standardmäßig eine installierte Komponente Namens "needrestart" mit. IT-Sicherheitsforscher haben darin nun fünf Sicherheitslücken aufgespürt, durch die Angreifer ihre Rechte auf "root"-Zugriff ausweiten können.

Anzeige

In ihrer Analyse schreiben die IT-Forscher von Qualys, dass in Versionen vor 3.8 von needrestart lokale Angreifer beliebigen Code als root ausführen können. Durch Manipulation einer Umgebungsvariable (PYTHONPATH oder RUBYLIB), die Python- und Ruby-Interpreter beeinflussen, können sie ungefiltert Daten an eine Bibliothek durchreichen, die sicheren Input erwartet, und so beliebige Shell-Befehle ausführen (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, alle im needrestart-Paket mit CVSS 7.8, Risiko "hoch" sowie CVE-2024-10224 im Paket libmodule-scandeps-perl mit CVSS 5.3 und Risiko "mittel").

Die Version 3.8 von needrestart steht bereit und schließt die Sicherheitslücken. Die Software scannt das System und analysiert, ob ein Neustart für das System oder Dienste nötig sind. Sofern etwa Dienste veraltete Bibliotheken nutzen, markiert needrestart sie, was häufig nach Paketaktualisierungen der Fall ist, erörtert Qualys. Auf dem Ubuntu-Server ist es vorinstalliert und läuft automatisch nach APT-Aktionen wie Installationen, Upgrades oder der Entfernung von Software. Angreifer können dadurch ihre Rechte ausweiten und beliebigen Code ausführen, wenn Paketinstallationen oder Upgrades laufen, wodurch das System kompromittiert wird.

Neben der Aktualisierung von needrestart lässt sich das Problem etwa dadurch unterbinden, dass in der Konfigurationsdatei von needrestart (in der Regel /etc/needrestart/needrestart.conf) die Interpreter-Heuristik deaktiviert wird. Dort muss dazu die Option $nrconf{interpscan} = 0; gesetzt werden.

Weiterlesen
  46 Aufrufe

7-Zip-Lücke ermöglicht Codeschmuggel mit manipulierten Archiven

Das Kompressionswerkzeug 7-Zip enthält eine Sicherheitslücke, die Angreifern aus dem Netz ermöglicht, mit manipulierten Archiven Schadcode einzuschleusen und auszuführen. Eine Software-Aktualisierung ist verfügbar. 7-Zip-Nutzer müssen aktiv werden und sie selbst herunterladen und installieren.

Anzeige

Die Sicherheitsmitteilung von Trend Micros Zero-Day-Initiative erörtert die Schwachstelle. Demnach kann bei der Dekomprimierung von nach Zstandard komprimierten Datei ein Integer-Unterlauf auftreten, bevor der Code in den Speicher schreibt. Der Fehler basiert auf unzureichender Prüfung von Benutzer-übergebenen Daten und lässt sich zum Einschmuggeln und Starten von Schadcode missbrauchen (CVE-2024-11477, CVSS 7.8, Risiko "hoch").

Überzeugen Angreifer 7-Zip-Nutzer, sorgsam präparierte Archive aus dem Netz zu öffnen – etwa in Form eines E-Mail-Anhangs oder einer geteilten Datei –, können sie ihnen Schadsoftware unterschieben. Das Zstandard-Format ist vor allem unter Linux öfter im Einsatz, es steht als Option für Btrfs, SquashFS oder OpenZFS zur Verfügung. Es soll ähnliche Kompression wie Deflate (etwa via zlib oder zur HTTP-Kompression) liefern, jedoch schneller insbesondere bei der Dekompression sein.

Die IT-Forscher der ZDI haben die Schwachstelle im Juni bereits entdeckt und an 7-Zip gemeldet. Mit der Version 24.07 haben die Entwickler das Sicherheitsleck gestopft. Aktuell ist die Version 24.08 auf der 7-Zip-Webseite zum Download verfügbar.

Weiterlesen
  42 Aufrufe

Mehrere Sicherheitslücken in Zimbra 10.1.3 geschlossen

Alert!

Angreifer können die E-Mail- und Groupwarelösung Zimbra über mehrere Schwachstellen attackieren.

(Bild: Shutterstock/chanpipat)

Anzeige

Die Zimbra-Entwickler haben mehrere Sicherheitslücken geschlossen. Angreifer können unter anderem auf eigentlich geschützte Dateien zugreifen.

Anzeige

Weiterlesen
  41 Aufrufe

Bitbucket, Confluence & Co.: Atlassian schließt DoS- und Schadcode-Lücken

Angreifer können PCs mit Anwendungen von Atlassian attackieren und Systeme im schlimmsten Fall kompromittieren. Sicherheitspatches stehen zum Download bereit.

Anzeige

Die geschlossenen Lücken sind in einer Warnmeldung aufgelistet. Alle sind mit dem Bedrohungsgrad "hoch" eingestuft. Nutzen die Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem DoS-Zustände erzeugen oder sogar Schadcode ausführen.

Um die Lücken auszunutzen, müssen Angreifer unter anderem mit präparierten Signaturen oder speziellen HTTP/2-Anfragen arbeiten. Das klappt den Beschreibungen zufolge in vielen Fällen ohne Authentifizierung. Wie solche Angriffe im Detail ablaufen könnten, führen die Entwickler zurzeit aber nicht aus.

Bislang gibt es keine Berichte zu bereits laufenden Attacken. Admins sollten aber mit dem Installieren der Sicherheitsupdates nicht zu lange warten. Leider gibt es bislang keine Hinweise darauf, an welchen Indicator of Compromise (IoC) Admins schon attackierte Instanzen erkennen können.

Weiterlesen
  48 Aufrufe

Netzwerk-Portfolio für das KI-Zeitalter

Die Lösung ist ein Schritt in Richtung intelligenter, KI-gestützter Netzwerkinfrastruktur und umfasst Upgrades in den Bereichen Campus-Netzwerk, Data Center, WAN und Security. Xinghe Intelligent Campus bietet eine vollständige Wi-Fi 7 AP-Abdeckung ohne Ratenbegrenzung für Endgeräte. Dies ermöglicht eine vollständige, drahtlose Abdeckung ohne tote Winkel im gesamten Campus-Netzwerk. Der KI-gestützte Netzwerkaufbau gewährleistet störungsfreie Audio- und Videoanwendungen, was die Nutzererfahrung deutlich verbessert. 

Digitale Netzwerkkarte

Eine digitale Netzwerkkarte erleichtert die konvergente Verwaltung von Netzwerk- und Sicherheitsgeräten ein. Dies beschleunigt die Bereitstellung von Diensten erheblich. Fortschrittliche KI-Algorithmen verbessern die Anwendungsqualität und ermöglichen eine proaktive Fehlererkennung. Die superschnellen Umschaltungen auf drei Ebenen – Verbindungs-, Geräte- und Netzwerkebene – sorgen für zuverlässige und stabile Netzwerkdienste. 

Das Intelligent WAN setzt auf innovative Technologien zur präzisen Anwendungsidentifikation und Planung von Millionen von Datenströmen. Intelligente O&M-Agenten greifen auf eine umfangreiche historische Erfahrungsdatenbank zurück, um potenzielle Netzwerkrisiken proaktiv zu analysieren und vorherzusagen. Dadurch können 90 Prozent der Fehler automatisch innerhalb von Minuten behoben werden. 

KI-Integration in Netzwerksicherheit

Ein intelligente Netzwerk-Security integriert KI tief in die Erkennung von Sicherheitsrisiken. Insbesondere kommen 18 spezialisierte KI-Modelle zum Einsatz, um Bedrohungen schnell und präzise zu identifizieren. Dabei wird eine Genauigkeit von bis zu 91 Prozent bei der Erkennung unbekannter Bedrohungen erreicht. Die Einbettung von KI-Modellen in Sicherheitsgeräte ermöglicht KI-Inferenzen in Mikrosekunden, was eine robuste Sicherheit bei gleichzeitig optimaler Nutzererfahrung gewährleistet. 

Neu im Portfolio ist auch eine SASE-Lösung, die SD-WAN, Firewalling und Endpoint Security in einem ganzheitlichen Ansatz kombiniert. Mit Clients für Windows, Mac und mobile Geräte bietet Xinghe SASE eine umfassende Ende-zu-Ende-Sicherheitslösung, die Huawei auch intern einsetzt. 

Weiterlesen
  41 Aufrufe

Malware-Kampagne lockt Opfer mit kostenlosem KI-Videoeditor

Nicht weniger als einen kostenlosen, KI-basierten Videoeditor versprachen Cyberkriminelle in einer Kampagne auf sozialen Medien. Wer auf das Angebot reingefallen ist, hat sich damit jedoch eine Info-Stealer-Malware installiert.

Anzeige

In den sozialen Medien haben die Kampagnen-Drahtzieher mit solchen Posts für den angeblichen KI-Videoeditor geworben.

(Bild: Screenshot: Malwarebytes)

Die IT-Sicherheitsforscher von Malwarebytes schreiben in ihrer Analyse, dass statt des erhofften Videoeditors mit KI-Funktionen auf Windows-PCs der Lumma Stealer und auf Mac-Rechnern der Atomic Stealer landeten. Die Kampagne zum Bewerben der Malware lief auf unterschiedlichen sozialen Medien, etwa auf Facebook, Youtube oder X.

Weiterlesen
  38 Aufrufe

Statistisches Bundesamt: Kein Datenabfluss aus IDEV-Meldesystem

In der vergangenen Woche haben Cyberkriminelle 3,8 GByte an Daten zum Verkauf im digitalen Untergrund angeboten, die angeblich vom Statistischen Bundesamt (Destatis) stammen sollen. Die Behörde hat nun bekannt gegeben, dass aus dem IDEV-Meldesystem keine Daten abgeflossen sind.

Anzeige

Destatis teilt mit, dass durch Sicherheitsbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 13. November Untersuchungen eingeleitet wurden, direkt nach Hinweisen auf ein vermeintliches Datenleck. "In umfassenden Stresstests sowie Datenflussanalysen durch das BSI wurden keine Hinweise auf Sicherheits- oder Datenlecks identifiziert. Das Meldesystem war demnach nicht von einem Hackerangriff betroffen und es sind auch keine Daten von meldenden Unternehmen oder anderen meldenden Stellen aggregiert abgegriffen worden", erklärt die Behörde.

Das Statistische Bundesamt hatte das IDEV-Meldesystem als Vorsichtsmaßnahme vom Netz genommen, da die vermeintlich erbeuteten Daten daraus hätten stammen können. Zudem wurden alle Zugangspasswörter zurückgesetzt. Die im IDEV-System aktiven Unternehmen will Destatis kontaktieren und "zur Wiederaufnahme der Meldeaktivitäten" auffordern. Ab Montag, dem 25. November, soll das IDEV-System wieder für Meldende erreichbar sein. Meldefristen und Mahnverfahren seien um die Dauer der Nichterreichbarkeit verlängert respektive ausgesetzt und betroffene Unternehmen bereits informiert worden.

Auch die Statistischen Ämter der Länder haben ihre IDEV-Systeme offline genommen. Diese sollen ab dem heutigen Donnerstag wieder erreichbar sein.

Weiterlesen
  32 Aufrufe

Gesundheitsdaten immer wertvoller: Forscherin fordert digitale Unversehrtheit

Die digitale Erfassung und Nutzung von Körperdaten hat sich zu einem boomenden Markt entwickelt, der bis 2030 auf über 500 Milliarden Dollar anwachsen soll. Das geht aus einem Paper von Mozilla-Forscherin Júlia Keserű hervor. Gleichzeitig haben die damit verbundenen Risiken dramatisch zugenommen, allein in den USA sind die gesundheitsbezogenen Cyberangriffe laut Keserű seit 2010 um fast 4000 Prozent gestiegen, im Darknet haben Gesundheitsdaten inzwischen den Wert von Kreditkartendaten überstiegen. Diese Entwicklung steht im Mittelpunkt der aktuellen Studie "Skin to Screen: Bodily Integrity in the Digital Age" von Keserű.

Anzeige

Keserűs Forschung zeigt, wie die massenhafte Sammlung "körperbezogener Daten" – von Fingerabdrücken über Fitness-Tracker bis hin zu digitalen Gesundheitsdaten – erhebliche Risiken birgt: Datenlecks, Überwachung, Diskriminierung und Ausnutzung durch KI-Systeme. Besonders problematisch sei die Rolle von Datenmaklern, die ohne die Zustimmung der Nutzer mit sensiblen Gesundheits- und biometrischen Daten handeln.

Als Lösung schlägt sie das "Databody Integrity Framework" vor – einen ganzheitlichen Ansatz, der darauf abzielt, digitale Informationen über den Körper und die Psyche mit denselben Menschenrechtsstandards zu schützen wie die physische Existenz. Schließlich haben die Menschen ein Interesse an dem Schutz ihrer sensibelsten Daten. Der Rahmen enthält konkrete Handlungsempfehlungen für verschiedene Ebenen:

Neudefinition sensibler Daten in den DatenschutzgesetzenAusweitung der Gesundheitsdatenschutzgesetze auf alle gesundheitsbezogenen Informationennutzerfreundliche ZustimmungsmechanismenBevorzugung von Plattformen mit starkem Schutz der Privatsphäre

Im Interview sprechen wir mit Júlia Keserű über die Details ihrer Forschung und die Dringlichkeit, den "digitalen Körper" besser zu schützen, sowie über die Ziele ihres Rahmenwerks.

Weiterlesen
  41 Aufrufe

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Kaspersky hat eine Supply-Chain-Angriffskampagne aufgedeckt, die auf das Python Package Index (PyPI) Repository abzielt und fast ein Jahr lang unbemerkt lief. Die Angreifer nutzen funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der JarkaStealer-Malware zu verbreiten und Informationen abzugreifen. Betroffen sind Nutzer weltweit – darunter auch in Deutschland. PyPl hat die schädlichen Pakete inzwischen entfernt.

Die schädlichen Pakete waren bereits seit November 2023 auf PyPI verfügbar und wurden über 1700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie entdeckt und entfernt wurden. Laut PyPI-Statistiken externer Monitoring-Dienste war die Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten. Kaspersky geht allerdings davon aus, dass sie nicht auf bestimmte Organisationen oder geografische Regionen ausgerichtet war – die Betroffenen waren scheinbar Einzelanwender.

Identifiziert wurde die Bedrohung mithilfe eines internen automatisierten Systems zur Überwachung von Open-Source-Repositories. Die Pakete waren als Python-Wrapper für beliebte KI-Tools – insbesondere ChatGPT von OpenAI und Claude AI von Anthropic – getarnt. Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware JarkaStealer, die dann auf den Systemen der Nutzer installiert wurde.

Der in Java geschriebene JarkaStealer kann den Sicherheitsforschern zufolge Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie Telegram, Discord, Steam und sogar einem Minecraft-Cheat-Client abgreifen. Weiterhin verfügt die Malware über Funktionen zum Beenden von Browser-Prozessen, wie Chrome und Edge, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.

„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, kommentiert Leonid Bezvershenko, Sicherheitsforscher im GReAT von Kaspersky. „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“

Original Autor: Stefan Beiersmann

  41 Aufrufe

Digitale Produkte „cyberfit“ machen

Mit seiner Verkündung im Amtsblatt der EU am 20. November 2024 hat der Cyber Resilience Act (CRA) die Anforderungen an digitale Produkte in der EU verschärft. Hersteller, Importeure und Vertreiber müssen ihre Cybersicherheitsrichtlinien und -praktiken dahingehend anpassen. Im Fokus stehen ein umfassendes Schwachstellen-Management, die verpflichtende CE-Kennzeichnung, die Cybersicherheit von digitalen Produkten und strenge Meldepflichten von Sicherheitsvorfällen. Die neue Verordnung gilt für Produkte wie Smart TVs, Firmware, Sensoren zur Überwachung von Maschinen oder sogar für Produkte, die in Industrieanlagen eingesetzt werden. Ausgenommen sind unter anderem Medizinprodukte und Sicherheitssysteme für Kraftfahrzeuge und die zivile Luftfahrt, für die eigene branchenspezifische Anforderungen gelten.

Hohe Geldstrafen und Verlust der Zulassung

Der CRA stellt neue verbindliche und umfangreiche Anforderungen an die Cybersecurity von vernetzten Hardware- und Software-Produkten in der Europäischen Union. „Ziel ist, sogenannte ‚Produkte mit digitalen Elementen‘ sicherer zu machen. Darüber hinaus sollen Hersteller zum Schutz von Unternehmen und Verbrauchern während des gesamten Produktlebenszyklus für die Cybersicherheit der Produkte verantwortlich sein“, sagt Maxime Hernandez, IoT Cybersecurity Program Manager bei TÜV SÜD. Wer nicht CRA-konforme digitale Produkte herstellt, vertreibt oder importiert, riskiert hohe Geldstrafen und verliert die Zulassung für den europäischen Markt. „Um sich gegen immer komplexere Cyberbedrohungen zu wappnen, muss nicht nur der Betrieb des digitalen Produkts, sondern sein gesamter Lebenszyklus, vom Entwurf über die Entwicklung und Herstellung etc. berücksichtigt werden“, so Maxime Hernandez weiter.

Wie die CRA-Konformität nachgewiesen werden muss, hängt ab von der Risikoklasse des Produkts. Für digitale Produkte, die nicht als kritisch oder hochkritisch eingestuft sind, genügt zum Beispiel die Selbsterklärung durch die Hersteller gemäß Modul A einschließlich der Technischen Dokumentation als Nachweis für die Konformität mit den grundlegenden Anforderungen. Kritische Produkte müssen Hersteller und Händler jedoch durch eine Benannte Stelle wie TÜV SÜD bewerten lassen und sich dabei auf harmonisierte Normen stützen, sobald diese zur Verfügung stehen. Darunter fallen in der so genannten Klasse I etwa Netzwerk-Managementsysteme, Passwort-Manager oder Smart-Home-Produkte mit Sicherheitsfunktionalitäten. Klasse II umfasst digitale Produkte mit einem höheren Cyberrisiko wie Firewalls, manipulationssichere Mikroprozessoren und Microcontroller. Maxime Hernandez: „Dafür bieten wir Audits, Tests und Risikobewertungen basierend auf unserer langjährigen Erfahrung mit den für diese Produktkategorie maßgeblichen Normen an.“

Risikobewertung über gesamten Lebenszyklus

Vernetzte Produkte müssen nach CRA unter anderem über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen und eine sichere Standardkonfiguration bieten. Es reicht nicht mehr aus, dass Hersteller beim Inverkehrbringen nachweisen, dass sie cybersicher sind. Vielmehr muss über den gesamten Lebenszyklus der Produkte eine Risikobewertung erfolgen. „Wenn zum Beispiel Hersteller Komponenten zukaufen, müssen sie eine Due Diligence vornehmen, um Sicherheitslücken beim Endprodukt auszuschließen, die sich durch den Zukauf ergeben könnten“, sagt Maxime Hernandez. Der Umgang mit Sicherheitslücken ist eine zentrale Pflicht der Hersteller. „Nur wer Sicherheitslücken früh entdeckt und bewertet, kann angemessen darauf reagieren.“ Hersteller müssen während der gesamten Lebensdauer ihrer Produkte für Sicherheits-Updates sorgen. Tritt in dieser Zeit eine Sicherheitslücke auf, müssen die Hersteller Security Advisories herausgeben und kostenlose Updates bereitstellen.

Hersteller haben zudem eine Meldepflicht von Sicherheitsvorfällen – gegenüber der ENISA (Agentur der Europäischen Union für Cybersicherheit), dem Produktnutzer und gegebenenfalls dem Beauftragten für Wartung und Instandhaltung. Insbesondere bei digitalen Produkten mit Schwachstellen müssen Produktnutzer schnell reagieren und Sicherheits-Patches installieren, sobald diese Updates verfügbar sind, oder das Produkt in der Zwischenzeit, während sie auf den Sicherheits-Patch warten, isolieren. TÜV SÜD unterstützt Hersteller dabei, Prozesse zur Meldung solcher Vorfälle zu implementieren und die CRA-Vorgaben zur technischen Dokumentation einzuhalten.

Weiterlesen
  44 Aufrufe

Studie: Unternehmen an Feiertagen und Wochenenden​ anfälliger für Cyberangriffe

Unternehmen sind an Feiertagen und Wochenenden besonders gefährdet für Cyberangriffe, da das Sicherheitspersonal in dieser Zeit oft reduziert ist. Das bestätigt jetzt auch eine neue Studie zu Ransomware-Angriffen von Semperis, einem Anbieter im Bereich identitätsbasierter Cyber-Resilienz. Demnach wurden im Durchschnitt 86 Prozent der befragten Unternehmen aus den USA, Großbritannien, Frankreich und Deutschland an Feiertagen oder am Wochenende angegriffen.

Anzeige

Laut dem Report reduzieren 75 Prozent der Unternehmen hierzulande ihr Sicherheitspersonal in diesen Zeiträumen um bis zu 50 Prozent. Zudem wurden 50 Prozent der angegriffenen Befragten während wichtiger Unternehmensereignisse wie Fusionen oder Übernahmen ins Visier genommen. Das passierte beispielsweise auch nach der Übernahme des Zahlungsdienstleisters Change Healthcare durch UnitedHealth, woraufhin es Cyberkriminellen gelang, über eine Sicherheitslücke im Remote-Zugang die Systeme zu kompromittieren.

Bei neun von zehn Ransomware-Angriffen zielten Cyberkriminelle laut Bericht auf den Identitätsdienst eines Unternehmens ab und kompromittierten dies, meist Microsoft Active Directory (AD) oder Entra ID, da diese am meisten verbreitet sind. 35 Prozent der Unternehmen gaben an, kein ausreichendes Budget für die Abwehr der Angriffe einzuplanen und 61 Prozent gaben an, nicht über entsprechende Backup-Systeme für ihre Identitätsdienste zu verfügen.

81 Prozent der Befragten sind der Ansicht, über das notwendige Fachwissen zu verfügen, um sich vor identitätsbezogenen Angriffen zu schützen. Dennoch erlitten 83 Prozent der Befragten in den letzten zwölf Monaten einen erfolgreichen Ransomware-Angriff.

Weiterlesen
  44 Aufrufe

Yubikey-Seitenkanal: Weitere Produkte für Cloning-Attacke anfällig

Die auch als "Yubikey-Cloning-Attacke" bekanntgewordene Sicherheitslücke EUCLEAK betrifft weitere Produkte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Sicherheitslösungen wie TPM-Chips mit zugehöriger Software, die Daten geschützt ablegen, nach sogenannten Common Criteria. Einige vom BSI zertifizierte Lösungen wiesen offenbar die EUCLEAK-Lücke auf und mussten rezertifiziert werden, da sie nur mit aktualisierter Software den Sicherheitskriterien entsprechen.

Anzeige

Durch die EUCLEAK-Seitenkanalschwachstelle lässt sich das Secret für digitale Signaturen ergattern und damit digitale Signaturen auch ohne Besitz des Sicherheitstokens erstellen und somit fälschen. Kurz nach Bekanntwerden kam die Befürchtung auf, dass einige Varianten des ePerso betroffen sein könnten, da auch darin unter anderem Infineon-ICs zum Einsatz kommen. Das BSI hatte hier jedoch Mitte September Entwarnung gegeben: Der Perso ist nicht verwundbar.

Organisationen und Hersteller, teils auch in staatlichem Auftrag, verlassen sich auf die Sicherheit von derart zertifizierten Produktkombinationen, die sie etwa in eigenen Produkten wie Ausweisen einsetzen. Thomas Roche warf gegenüber heise online die Frage auf, ob möglicherweise weitere Produkte die EUCLEAK-Lücke aufweisen, die das BSI als renommierte IT-Sicherheitsbehörde zertifiziert hat. Auf unsere Nachfrage hat das BSI nach einiger Zeit zurückgemeldet, dass einige Rezertifizierungen von TPMs erfolgt sind, die mit aktualisierter Software die EUCLEAK-Schwachstelle ausgebessert haben.

Konkret sind demnach bislang drei Zertifikate neu ausgestellt worden für TPMs mit aktualisierter Software: BSI-DSZ-CC-1244-2024, BSI-DSZ-CC-1245-2024 und BSI-DSZ-CC-1246-2024. Dabei handelt es sich um Infineon-TPM-Chips der Spezifikation 2.0 mit konkret neueren Firmware- respektive Software-Versionen. Welche Einrichtungen die in welchen Produkten einsetzen, ist jedoch nicht bekannt. Die "Analyse und Bewertung von Produkten, die auf Infineon-Chips und deren Kryptobibliotheken aufbauen" dauert einer BSI-Sprecherin zufolge noch an. Sie ergänzte, dass es "detaillierter Abstimmungen unter Einbezug von Herstellern, Prüfstellen und gegebenenfalls weiterer externer Stellen" bedarf.

Weiterlesen
  39 Aufrufe

Trend Micros Deep Security Agent ermöglicht Einschleusen von Schadcode

Trend Micros Deep Security Agent plagt ein Sicherheitsleck, durch das Angreifer Schadcode einschleusen können. Der Hersteller stellt aktualisierte Software bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

In einer Sicherheitsmitteilung schreiben Trend Micros Entwickler, dass Angreifer durch die Sicherheitslücke auf verwundbaren Maschinen ihre Rechte ausweiten und beliebigen Code ausführen können. Unter nicht genauer genannten Umständen können Angreifer, die Zugang zur Domäne haben, auch auf anderen Maschinen in der Domäne aus der Ferne Code einschmuggeln (CVE-2024-51503, CVSS 8.0, Risiko "hoch").

Um die Lücke zu missbrauchen, benötigten Angreifer physischen oder Fernzugriff auf eine verwundbare Maschine, schränkt Trend Micro ein. Der Schweregrad der Schwachstelle verrät jedoch auch, dass das keine allzu hohe Hürde darstellt. Der Hersteller schreibt daher folgerichtig: "Trend Micro empfiehlt Kunden nachdrücklich, so schnell wie möglich auf die jüngsten Builds zu aktualisieren."

Betroffen sind der Deep Security Agent für Windows vor der korrigierten Fassung 20.0.1-21510 sowie Deep Security Notifier on DSVA Version 20.0.0-8438 für Windows VMs. Deep Security 20.0.1-21510 für Windows (20 LTS Update 2024-10-16) steht zum Herunterladen bereit. Wer den Deep Security Notifier on DSVA nutzt, solle das volle Deep-Security-Agent-Paket 20.0.1 installieren, das auch den Notifier aktualsiert. Trend Micro betont, dies seien die Mindestversionen für diese Fehlerkorrekturen und empfiehlt, die jüngste verfügbare Fassung der Software herunterzuladen und zu installieren.

Weiterlesen
  37 Aufrufe

Microsoft KI und Cloud: Neues Bug-Bounty-Event mit 4 Millionen US-Dollar Prämie

Microsoft will die Sicherheit seiner Angebote und Dienste steigern und ruft Sicherheitsforscher zur Teilnahme am erweiterten Bug-Bounty-Programm Zero Day Quest auf. Das Event lockt mit 4 Millionen US-Dollar an Prämien, für das Auffinden von Sicherheitslücken. Im Anschluss untersucht das Technologieunternehmen die Schwachstellen und entwickelt Sicherheitsupdates.

Anzeige

Wie aus einem Beitrag hervorgeht, stehen dabei vor allem KI- und Cloud-Dienste im Fokus. Das Event läuft ab sofort bis 19. Januar 2025, führt Microsoft aus. Die zehn besten und 45 basierend auf ihren Einreichungen ausgewählte Sicherheitsforscher werden im Anschluss zum Onsite-Hacking-Event auf dem Microsoft-Campus in Redmond, Washington, eingeladen.

Die Jagd auf Sicherheitslücken umfasst Azure, Dynamics 365, M365, Identity, Microsoft AI und Power Platform. Microsoft gibt an, die Prämien für Softwareschwachstellen in AI-Produkten dauerhaft verdoppelt zu haben. Maximal sind 30.000 US-Dollar für eine Lücke drin, über die Angreifer beispielsweise Schadcode ausführen können. Für die Dauer des Events gibt es auf ausgewählte Bereiche plus 50 Prozent auf bestimmte Geldprämien.

Eine Auszahlung gibt es aber nur, wenn Sicherheitsforscher die Regeln für das Auffinden von Lücken befolgen. Unter anderem müssen die Microsoft-Ingenieure alle Schritte einer Attacke nachvollziehen können. Entsprechen Einreichungen nicht den Kriterien, werden sie abgelehnt. DoS-Attacken zählen nicht.

Weiterlesen
  31 Aufrufe

heise-Angebot: heise security Webinar: Wie sag ich’s meinem Chef? – Gesprachsführung für ITler

Wichtige Security-Projekte stehen an – doch es fehlt das Budget und die Zustimmung der Geschäftsführung. In der Situation finden sich Sicherheitsverantwortliche immer wieder. Als Fachleute wissen Sie, was für einen sicheren Betrieb des Unternehmens notwendig wäre, es gelingt Ihnen jedoch nicht, die Geschäftsführung davon zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef das Thema Informationssicherheit richtig "zu verkaufen".

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Weiterlesen
  32 Aufrufe

Angreifer attackieren Oracle Agile PLM

Oracles Agile-Product-Lifecycle-Management-Lösung (PLM) ist in der Version 9.3.6 verwundbar, und Angreifer nutzen derzeit aktiv eine Sicherheitslücke aus. Der Softwarehersteller rät Admins zu einem dringenden Update.

Anzeige

In einer Warnmeldung beschreiben die Entwickler, dass die Lücke (CVE-2024-21287 "hoch") im Agile-PLM-Framework die Komponenten Software Development Kit, Process Extension betrifft. Attacken sollen aus der Ferne, ohne Authentifizierung, möglich sein. Ist ein Angriff erfolgreich, können Angreifer Dateien einsehen.

Wie die Attacken im Detail ablaufen und in welchem Umfang sie stattfinden, ist derzeit nicht bekannt. Oracle führt zurzeit auch nicht aus, an welchen Parametern Admins bereits angegriffene Systeme erkennen können. Oracle nennt die gegen die Attacken abgesicherte Ausgabe in der Warnmeldung nicht. Das verlinkte Supportportal ist nur mit einem Oracle-Account aufrufbar.

In der Regel veröffentlicht der Softwarehersteller Sicherheitsupdates immer quartalsweise. Zuletzt war das im Oktober der Fall. Bei Attacken werden aber auch Patches außerhalb der Reihe veröffentlicht.

Weiterlesen
  39 Aufrufe

WebKit-Exploit: Apple aktualisiert iOS, iPadOS, visionOS, macOS 15 und Safari

Apple hat in der Nacht zum Mittwoch alle seine Betriebssysteme aktualisiert, um gefährliche Sicherheitslücken in der Browser-Engine WebKit zu schließen. Diese wurden von Clément Lecigne und Benoît Sevens aus der Threat Analysis Group (TAG) von Google entdeckt. Apple zufolge gibt es Berichte, laut denen die Bugs bereits aktiv gegen – nicht näher genannte – Zielpersonen eingesetzt werden, es existieren also bereits Exploits. Entsprechend sollte man schnell aktualisieren.

Anzeige

Geschlossen werden die insgesamt zwei Lücken mit Updates auf iOS 18.1.1 und iPadOS 18.1.1, macOS 15.1.1 sowie visionOS 2.1.1. Weiterhin versorgt Apple auch Nutzer von iOS 17 und iPadOS 17 mit Fixes, diese stecken in den neuen Versionen iOS 17.7.2 und iPadOS 17.7.2. Verwender von macOS 13 und 14 (Ventura und Sonoma) müssen ihr Betriebssystem nicht aktualisieren, bei diesen reicht es, ein Update auf Safari 18.1.1 vorzunehmen. Wie üblich werden alle Aktualisierungen über die Systemeinstellungen angestoßen.

Die gepatchten Bugs tragen die CVE-IDs 2024-44308 und 2024-44309 (WebKit-Bugzilla: 283063 und 283095). Der erste Fehler steckt in JavaScriptCore und kann zur Ausführung beliebigen Codes führen, nur wenn man eine Website aufruft. Apple behebt dies mit "verbesserten Checks". Der zweite Fehler erlaubt Cross-Site-Scripting-Angriffe ebenfalls über manipulierte Websites. Hier gab es ein Cookie-Management-Problem, das Apple behoben hat.

Beide Bugs wurden womöglich in Kombination ausgenutzt; wie genau, ist aber noch unklar. Laut Apple wurden bislang aber nur Intel-basierte Mac-Systeme angegriffen, doch die Lücke betrifft auch Apple Silicon. Es ist zu hoffen, dass sich Googles TAG künftig mit näheren Details äußert, im offiziellen Blog des Sicherheitsteams war bislang noch kein neuer Eintrag zu finden.

Weiterlesen
  31 Aufrufe

Apache OfBiz: Schwachstelle ermöglicht Codeschmuggel

In der Enterprise-Resource-Planning-Software (ERP) Apache OfBiz klaffen zwei Sicherheitslücken, durch die Angreifer etwa Schadcode einschleusen können. Eine aktualisierte Softwareversion bessert die Schwachstellen aus.

Anzeige

Eine Einordnung als kritisches Risiko verpasst die schwerwiegendere Sicherheitslücke nur äußerst knapp. Laut Kurzbeschreibung können Angreifer die Same-Site-Bechränkungen umgehen und mit URL-Parametern auf andere Ziele umleiten. Das Problem basiert auf der unzureichenden Kontrolle von generiertem Code in Verbindung mit einer Cross-Site-Request-Forgery (CSRF) sowie einer unzureichenden Filterung von Elementen in der Template-Engine von OfBiz (CVE-2024-48962, CVSS 8.9, Risiko "hoch").

Die Sicherheitslücke mit der CVE-Nummer CVE-2024-47208 hat noch keine konkrete Einstufung nach CVSS-Skala erhalten. "URLs erlauben die Nutzung von Groovy Expressions, was zur Ausführung von Code aus dem Netz führt", beschreiben die Entwickler die Lücke. Die Schwachstelle stufen sie als Server-Side-Request-Forgery (SSRF) sowie unzureichende Überwachung bei der Code-Generierung ("Code injection") ein und klassifizieren sie als "wichtig".

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) stuft die Sicherheitslücken sogar als kritisch ein und kommt auf einen CVSS-Wert von 9.8 (Risiko kritisch). Beide Schwachstellen betreffen Apache OfBiz vor der aktuellen Version 18.12.17. Diese oder neuere Fassungen korrigieren diese sicherheitsrelevanten Fehler in der Business-Software. Die Entwickler empfehlen den Nutzern, auf diese Version zu aktualisieren.

Weiterlesen
  33 Aufrufe

heise-Angebot: iX-Workshop: IT-Systeme absichern – Pentesting mit Open-Source-Werkzeugen

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Dezember
11.-13.12.2024
Online-Workshop, 09:00 – 17:00 Uhr

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Weiterlesen
  0 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image