Comretix Blog

Wer zwischen dem Abend des 3. Januar 2025 und der Mittagszeit am Montag, dem 6. Januar, den Warn- und Informationsdienst (WID) des CERT-Bund (Computer Emergency Response Team Bund) besuchen wollte, wurde oftmals vom eigenen Browser daran gehindert. Die Zertifizierungsstelle hatte das Zertifikat des von BSI und Telekom Security betriebenen Dienstes zurückgezogen. Der Grund: In einer speziellen Zertifikatserweiterung versteckten sich zwei "http"-URLs – das war nicht regelkonform.

Anzeige

Die Erweiterung namens "qcStatements" enthält die URLs der "PKI Disclosure Statements", im Falle der D-Trust CA ein etwa dreißigseitiges PDF mit Kontaktadressen, Arbeitsabläufen und relevanten Regelwerken. Die Erweiterung ist für normale TLS-Webseiten-Zertifikate nicht vorgeschrieben – wohl aber für QWACs, also qualifizierte Webseiten-Authentifizierungszertifikate. Und ein solches hatte der CERT-Bund-Dienst inne. Gemäß den Vergaberichtlinien für QWACs ist jedoch vorgeschrieben, dass die Disclosure Statements ausschließlich per HTTPS verzeichnet sein sollen. Und so führte ein fehlendes "https" im Zertifikat zu fehlerhaften HTTPS-Verbindungen auf der Website des CERT-Bund.

Der Regelverstoß tauchte bei D-Trust ausgerechnet am Mittag des Silvestertags auf – am Neujahrstag entschied die CA dann, 25 Zertifikate für insgesamt etwa 60 Hostnamen zurückzuziehen und neu auszustellen. Wie ein Sprecher der Bundesdruckerei, Betreiberin des Dienstes D-Trust, heise security mitteilte, standen Austauschzertifikate am Mittag des 3. Januar bereit und die betroffenen Kunden waren informiert.

Warum es dennoch zwei weitere Tage dauerte, bis die Webseiten des CERT-Bund wieder erreichbar waren, mochte der Bundesdruckerei-Sprecher nicht kommentieren, auch die Auswirkungen des zertifikatslosen Wochenendes können nur die Betreiber seriös einschätzen.

User können mittels CSS in ihren E-Mails getrackt werden. Analog zu Nutzungsdaten im Web können Absender von Mails Daten erfassen und so Rückschlüsse auf das genutzte System ziehen. Das zeigt eine Untersuchung des CISPA Helmholtz-Zentrums für Informationssicherheit. So lassen sich in den Daten der Browser oder Mail-Client, das Betriebssystem und weitere installierte Programme erkennen. Auch die Systemsprache ist über das CSS-Tracking sichtbar.

Anzeige

Die Forscher untersuchten 21 E-Mail-Programme. Sie betrachteten Desktop- und Web-Clients sowie Apps für Android und iOS. Mit unterschiedlichen Techniken versuchten sie, über das CSS Daten zu erhalten. In 18 Fällen war mindestens eine Methode erfolgreich, darunter bei Outlook, Thunderbird und Gmail. Bei diesen Programmen sei es möglich, alle Mail-Adressen aus einem Mail-Client zu identifizieren oder Web-Sitzungen von Nutzern mit deren Mail-Konten zu verknüpfen, erläutert Leon Trampert, der an der Untersuchung mitgewirkt hat. Verhindern lässt sich das CSS-Tracking nur mit textbasierten E-Mails, die ohne CSS auskommen. Daher setzt Protonmail als einziger Client in der Untersuchung auf Verschleierung und lädt alle CSS-Inhalte über einen Proxy.

Im Web kommen JavaScript und Tracking-Cookies zum Einsatz, um Nutzungsdaten zu erheben und einzelne User zu analysieren. Sie lassen sich auch nicht durch gegenteilige Browser-Anfragen vom Tracking abhalten. Weil aber die meisten Mailclients die Ausführung von JavaScript-Code verhindern, haben die Forscher untersucht, welche Möglichkeiten CSS zum Tracking bieten. Dazu prüften sie fast 1200 unterschiedliche Kombinationen aus Browser und Betriebssystem. In knapp 98 Prozent der Fälle konnten sie auf Eigenschaften des Systems schließen.

"Verräterisch sind installierte Schriftarten", erklärt Trampert. Lässt sich etwa eine proprietäre Schriftart von Microsoft erkennen, deutet das auf eine bestehende Installation von Microsoft Office hin. Mittels Berechnungen konnten die Wissenschaftler auf das Betriebssystem schließen. Angreifer können mit diesem Wissen versuchen, Sicherheitslücken des Betriebssystems oder installierter Software auszunutzen und in Systeme einzudringen.

Angeblich haben Cyberkriminelle den kompletten Code des Videospiels "GTA San Andreas" im Internet veröffentlicht. Doch Vorsicht, wer da hineinschauen will: Sicherheitsforscher gehen davon aus, dass die Daten Fake sind und nur als Lockmittel dienen. Im Datenpaket soll sich der Erpressungstrojaner Rhysida verschanzen.

Anzeige

Das geht unter anderem auf einen X-Post von PliskinDev zurück, die sich mit dem Reverse Engineering des Source Codes von GTA und anderen von Rockstar Games entwickelten Spielen beschäftigen. Mittels Reverse Engineering versuchen Entwickler, die Blackbox von Entwicklern zu knacken, um den Code zu rekonstruieren. Das kann dann etwa als Basis für umfangreiche Modifikation eines Spiels dienen.

Auf Screenshots zeigt PliskinDev, dass das Archiv zwar im GTA-Kontext betitelte Dateien enthält, das soll aber nur heiße Luft sein. Sie gehen davon aus, dass in dem Archiv die Ransomware Rhysida schlummert. Wird der Trojaner ausgeführt, verschlüsselt er Daten und erpresst Lösegeld.

Ob das bereits passiert ist und in welchem Umfang die Daten verbreitet werden, ist derzeit unklar. Interessierte Entwickler sollten um das Archiv einen großen Bogen machen, um ihren Computer nicht mit Malware zu infizieren.

Zwei Sicherheitslücken im AiCloud-Dienst von Asus-Routern können Angreifern den Zugriff auf Geräte ermöglichen. Im schlimmsten Fall können sie Router durch Schadcode-Attacken vollständig kompromittieren.

Anzeige

Die AiCloud-Komponente erlaubt es Besitzern von Asus-Routern unterwegs auf etwa Daten von einem angeschlossenen USB-Stick zuzugreifen. Nun gefährden zwei Schwachstellen (CVE-2024-12912 "hoch", CVE-2024-13062 "hoch") die Sicherheit von Netzwerken.

Im Sicherheitsbereich der Asus-Website beschreiben die Entwickler, dass Angreifer für eine erfolgreiche Attacke als Admin angemeldet sein müssen. Ist das gegeben, können sie eigene Befehle ausführen. Wie so eine Attacke im Detail ablaufen könnte, ist bislang nicht bekannt. Derzeit gibt es keine Informationen, ob es bereits Angriffe gibt.

Asus gibt an, die Sicherheitsprobleme in den Firmwares 3.0.0.4_386 series, 3.0.0.4_388 series und 3.0.0.6_102 series gelöst zu haben. Welche Routermodelle konkret betroffen sind, führt der Hersteller zurzeit nicht aus. Wer einen Asus-Router besitzt, sollte dementsprechend sicherstellen, dass die Firmware auf dem aktuellen Stand ist. Nicht mehr im Support befindliche Geräte bekommen keine Sicherheitsupdates mehr. An dieser Stelle sollte das Gerät gewechselt werden.

Angreifer imitieren legitime Plug-ins für die Ethereum-Entwicklungsumgebung Hardhat der Nomad Foundation. Damit greifen sie Entwickler von Software wie Smart Contracts für die Kryptowährung an. Die Täter missbrauchen dabei das Vertrauen, das Entwickler in Open-Source-Plug-ins haben.

Anzeige

Wie die IT-Sicherheitsforscher von Socket in einem Blog-Beitrag schreiben, dauert der Angriff noch an. Bislang haben sie 20 bösartige Pakete von drei Programmierern aufgespürt, die teils auf mehr als Tausend Downloads kommen. Durch die Installation der gefälschten NPM-Pakete kommt es zur Kompromittierung der Entwicklungsumgebungen, möglichen Hintertüren in Produktivsystemen und Verlust von Geldmitteln.

Mit Smart Contracts für Ethereum holen die Angreifer die Adressen von Command-and-Control-Servern. Das nutzt die dezentrale und unveränderliche Natur der Blockchain aus, wodurch es schwierig sei, die Command-and-Control-Infrastruktur außer Betrieb zu nehmen. Die IT-Sicherheitsforscher konnten Ethereum-Wallet-Adressen ausfindig machen, die im Zusammenhang mit dieser Malware-Kampagne stehen.

Um einen legitimen Anschein zu erwecken, haben sich die Kriminellen an der regulären Namensgebung der Hardhat-Plug-ins orientiert. Socket nennt etwa die Pakete @nomisfoundation/hardhat-configure und @monicfoundation/hardhat-config, die wie originale Hardhat-Plug-ins wirken, aber bösartigen Code enthalten. Auch die Funktionen imitieren die Täter. Während ein legitimes Plug-in etwa hardhat-deploy heißt, lautet der Name eines schädlichen Plug-ins hardhat-deploy-others.

Das redaktionell ausgewählte Programm der secIT 2025 platzt aus allen Nähten: Erstmals finden die Vorträge auf drei Bühnen statt und obendrein gibt es noch etliche Workshops zu aktuellen IT-Security-Themen. Teilnehmer erfahren unter anderem, wie sie Systeme erfolgreich vor gängigen Angriffsmustern absichern. Es gibt aber auch viele essenzielle Tipps, wie sich Unternehmen nach einer bereits erfolgten Attacke am effizientesten aufstellen, damit der Betrieb so schnell wie möglich wieder starten kann.

Anzeige

Den Großteil der Referenten und Themen haben die Redaktionen von c't, heise security und iX ausgewählt. Diese Programmpunkte sind werbefrei und versprechen hilfreiche Fakten, die Admins direkt in ihren Unternehmen für mehr Sicherheit umsetzen können.

Dr. Swantje Westpfahl ist unter anderem NIS2-Expertin und bereichert die secIT 2025 mit einem Workshop zur Thematik. Außerdem nimmt sie an der NIS2-Podiumsdiskussion teil.

Die secIT 2025 startet am 18. März mit mehreren Ganztagsworkshops. Dabei geht es unter anderem um API-Sicherheit, das effiziente Absichern von Active Directory, NIS2 sowie M365 und Entra ID. Am 19. und 20. März gibt es viele Vorträge und Halbtagesworkshops. Die Kongressmesse findet im Hannover Congress Centrum (HCC) statt. Tickets gibt es derzeit noch bis 15. Februar vergünstigt im Onlineshop. Ein Tagesticket kostet 79 statt 99 Euro und für beide Tage sind 119 statt 139 Euro fällig. Im Ticketshop kann man auch die Workshops buchen.

Cyberkriminelle versuchen, Opfern Infostealer unterzuschieben, indem sie diese um Teilnahme an vermeintlichen Beta-Tests von Spielen bitten. Insbesondere auf Discord-Diskussionsservern läuft diese Kampagne derzeit.

Anzeige

In einem Blogbeitrag erklären die Virenanalysten von Malwarebytes, dass die Drahtzieher potenziellen Opfern Direktnachrichten auf Discord senden. Weitere Kanäle sind Textnachrichten und E-Mails. Oftmals käme die Nachricht vom angeblichen Entwickler selbst; das sei eine übliche Methode, um Opfer zu ködern.

Zeigen sich die Angesprochenen interessiert, schicken die Kriminellen einen Downloadlink und ein Passwort für das Archiv, das den Installer enthält. Die Links führen unter anderem zu Dropbox, Catbox und oftmals sogar in das Content-Delivery-Network (CDN) von Discord selbst. Dafür nutzen die Angreifer kompromittierte Zugänge, die für mehr Glaubwürdigkeit sorgen sollen, erörtern die IT-Sicherheitsforscher.

Sie haben die Malware sowohl als NSIS-, als auch als MSI-Installer verpackt beobachtet. Darin finden sich mehrere Varianten, Malwarebytes nennt Nova Stealer, Ageo Stealer oder Hexon Stealer. Die letzten beiden werden als Malware-as-a-Service (MaaS) angeboten, bei denen die Kriminellen die Malware und zugehörige Infrastruktur von anderen Tätern mieten können. Ausgelegt scheint die Malware darauf zu sein, im Webbrowser gespeicherte Zugangsdaten abzugreifen und Session-Cookies für Plattformen wie Discord und Steam sowie Informationen zu Krypto-Wallets zu stehlen.

Sind Webanwendungen nicht ausreichend geschützt, werden sie früher oder später das Ziel von Angriffen und öffnen so die Tür zu sensiblen Daten und internen Unternehmensnetzwerken. Über die häufigsten Sicherheitslücken informiert das Open Web Application Security Project (OWASP®) in seinen Top Ten Web Application Security Risks.

Anzeige

Im iX-Workshop OWASP Top 10®: Kritische Sicherheitsrisiken für Webanwendungen verstehen erklärt und demonstriert Björn Kaidel die Schwachstellen aus der Top-10-Rangliste und ihre Auswirkungen. Sie lernen dabei nicht nur die Risiken kennen, sondern erfahren auch, wie Sie Schwachstellen in der eigenen IT aufspüren und beheben können, um sich so bestmöglich gegen Cyberattacken und Datendiebstahl zu schützen. Es handelt sich um einen Grundlagenworkshop, Vorwissen zum Thema Webanwendungssicherheit wird nicht benötigt.

Sicherheitsexperte Björn Kaidel arbeitet bei der secuvera GmbH in den Bereichen Penetrationstests und Prüfstelle, wo er unter anderem eine Sicherheitsmethodik für einen internationalen Großkunden mitentwickelt und Produktprüfungen durchgeführt hat.

Der Workshop richtet sich an Entwickler, Product Owner, Sicherheitsverantwortliche, Softwarearchitekten und Admins. Ein grundlegendes Verständnis von Webanwendungen sowie Grundkenntnisse in Programmierung und Informationssicherheit werden vorausgesetzt.

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 27. bis 28. Februar 2025 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Wie das Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO) in Stuttgart jetzt mitteilte, wurde es am 27. Dezember Ziel eines Ransomware-Angriffs. Der Angriff hat demnach zu einer Beeinträchtigung bestimmter Systeme und Daten geführt. Der genaue Umfang des Schadens lasse sich aktuell noch nicht bestimmen.

Anzeige

Nach aktuellen Erkenntnissen handele es sich um einen lokalen Vorfall, der allein das IAO betrifft, heißt es in einer Pressemitteilung. Das Institut arbeite eng mit IT-Sicherheitsexpertinnen und -experten und den zuständigen Ermittlungsbehörden zusammen, um den Vorfall vollständig zu analysieren und geeignete Maßnahmen zu ergreifen. Entsprechend wurden Vorkehrungen zur maximalen Begrenzung weiterer Schäden getroffen.

Es könne nicht ausgeschlossen werden, dass es zu einer unzulässigen Offenlegung personenbezogener Daten gegenüber Dritten gekommen sein könnte. Das Fraunhofer IAO verarbeite personenbezogene Forschungsdaten grundsätzlich in einer Form, die keine direkten Rückschlüsse auf natürliche Personen zulässt.

Dennoch kann nicht völlig ausgeschlossen werden, dass im Einzelfall Betroffenen Nachteile aus einer ungewollten Veröffentlichung entstehen könnten. Fraunhofer überwacht die Entwicklung engmaschig und will Betroffene bei entsprechender Indikation informieren. Ebenso seien die bayerische Datenschutzbehörde entsprechend rechtlicher Vorgaben informiert worden, sowie wie Sicherheits- und Polizeibehörden. Auch einen Teil der Kooperationspartner habe das IAO über den Vorfall informiert. Aus ermittlungstaktischen Gründen könnten zum aktuellen Zeitpunkt keine weiteren Details zu dem Vorfall bekannt gegeben werden.

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Zahlreiche Entwickler von Erweiterungen für den Google Chrome Browser wurden über Weihnachten Opfer eines Phishing-Angriffes – mit drastischen Konsequenzen: Unbewusst gewährten sie den Tätern Zugriff auf den im Chrome Web Store hinterlegten Quellcode ihrer Anwendungen. Die Cyberkriminellen nutzten das, um neue, schädliche Versionen der Chrome-Extensions zu hinterlegen. So erhielten sie Zugriff auf sensible Nutzerdaten auf rund 2,6 Millionen Geräten.

Anzeige

Insgesamt sind laut einer Analyse der IT-Sicherheitsberatung Annex mindestens 29 Chrome-Erweiterungen betroffen. Die Tech-Nachrichtenseite Ars Technica spricht sogar von 33 betroffenen Erweiterungen. Jedoch ist es durchaus möglich, diese Zahlen (Stand: 3. Januar 2025) nochmal nach oben korrigieren – angesichts des Ausmaßes und der Dauer der Phishing-Kampagne, welche dahintersteckt. Als Sicherheitsexperten einem erfolgreichen Phishing-Angriff auf einen Entwickler der Extension "Cyberhaven" auf den Grund gingen, kamen ArsTechnica und Annex zufolge auch zahlreiche weitere Kompromittierungen von Chrome-Extensions ans Licht.

Wie Cyberhaven mitteilt, versuchten die Angreifer, Login-Daten für SSocial-Media-Accountsund KI-Anwendungen abzugreifen. Laut der IT-Sicherheitsberatung Annex soll die Cyberhaven-Version der Angreifer auf Login-Daten für ChatGPT abgezielt haben, offenbar aber erfolglos. Cyberhaven rät Nutzern dringend, die Passwörter aller Facebook-Accounts, welche auf betroffenen Geräten genutzt wurden, zu ändern. Zudem sollten Nutzer prüfen, ob die schädliche Version noch verwendet wird und diese gegebenenfalls aktualisieren.

Im Fall von Cyberhaven fiel ein Mitarbeiter auf eine falsche Mail rein, in der sich die Angreifer als Google-Vertreter ausgaben. In der Folge ermöglichte er es den Tätern unbewusst, eine neue, schädliche Version der Cyberhaven-Erweiterung im Chrome Web Store zu hinterlegen. Die Cyberhaven-Erweiterung soll ihre Nutzer davor schützen, unabsichtlich sensible Daten in E-Mails oder auf Websites preiszugeben.

Sie planen, ein Information Security Management System (ISMS) gemäß ISO 27001 einzuführen? In unserem interaktiven iX-Workshop IT-Sicherheit nach ISO 27001 umsetzen erhalten Sie eine fundierte Einführung in die Grundlagen der internationalen Norm für Informationssicherheit und profitieren von Best Practices und Lösungsansätzen für die erfolgreiche Umsetzung in Ihrem Unternehmen.

Anzeige

Trainer dieser Schulung sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater. An zwei Vormittagen begleiten Sie unsere Trainer durch den Workshop, machen Sie mit grundlegenden Tätigkeiten, aber auch typischen Fallstricken vertraut und stellen Ihnen wichtige Meilensteine der Projektplanung vor. Die Inhalte des Workshops werden durch Gruppenarbeiten und Diskussionen veranschaulicht und vertieft, um einen praxisnahen Lernansatz zu gewährleisten.

Der nächste Workshop findet am 28. und 29. Januar 2025 statt und richtet sich an Informationssicherheitsbeauftragte, IT-Mitarbeitende und Führungskräfte, die einen fundierten Einblick in das Thema erhalten möchten.

Wenn IBM Db2 oder Db2 Warehouse auf der Datei- und KI-Plattform Cloud Pak for Data laufen, können Angreifer an insgesamt 35 Sicherheitslücken ansetzen und im schlimmsten Fall Schadcode ausführen. Eine dagegen abgesicherte Version ist verfügbar.

Anzeige

In einem Beitrag führen die Entwickler aus, die Schwachstellen in der Ausgabe 5.1.0 geschlossen zu haben. Drei Lücken (CVE-2024-41110, CVE-2022-0759, CVE-2024-27281) sind mit dem Bedrohungsgrad "kritisch" eingestuft. A diesen Stellen können sich Angreifer als Man-in-the-Middle einklinken, die Authentifizierung umgehen oder sogar Schadcode ausführen. Kommt es zu letzterem, gelten Systeme in der Regel als vollständig kompromittiert.

Die Schwachstellen betreffen Komponenten wie glibc, GNU C Library und Java SE. Admins sollten sicherstellen, dass die gegen die geschilderten Attacken geschützte Version installiert ist. Bislang gibt es noch keine Berichte zu laufenden Attacken. Leider stellt IBM keine Informationen bereit, wie man bereits angegriffene Systeme erkennen kann.

Ein US-Forscherteam hat Millionen Sterne auf GitHub als verdächtig aufgedeckt. Die Betrugsmasche dient dem Promoten bösartiger Aktivitäten, um Phishing, Cheats, Crypto-Bots und letztendlich Malware zu verteilen. Zur Analyse entwickelten die Forscherinnen und Forscher das Tool StarScout. Als Fazit warnen sie davor, den Sternchen als alleiniges Qualitätsmerkmal zu vertrauen, und empfehlen, weitere Kriterien hinzuzuziehen.

Anzeige

In ihrer Studie analysieren die Forscherinnen und Forscher von der Carnegie Mellon University, von Socket Inc. und von der North Carolina State University alle Events der letzten fünf Jahre im GH Archive, einem BigQuery-Warehouse, das alle GitHub-Events archiviert: 60,54 Millionen User, 0,31 Milliarden Repositories, 0,61 Milliarden Sterne und 6,01 Milliarden andere Events – 20 Terabyte an Daten. Gesucht wurde nach abnormalem Verhalten in den Aktivitäten, insbesondere wenig Aktivität, diese aber im Gleichklang mit anderen Accounts. Das vom Team verwendete Verfahren basiert auf CopyCatch, das ursprünglich der Aufdeckung von Fake-Likes bei Facebook diente.

Mit dem CopyCatch-Verfahren analysiert StarScout die Daten aus dem GH Archive.

(Bild: Hao He u.a./Arxiv.org)

Hochrangige Verantwortliche bei Unternehmen sind das Ziel von immer mehr "hyper-personalisierten" Phishing-Mails, die mithilfe von KI-Generatoren verfasst werden. Davor warnen der britische Versicherungskonzern Beazley und andere Firmen, berichtet die Financial Times. Die Situation werde immer schlimmer, zitiert die Zeitung die Sicherheitschefin von Beazley, die von gezielten Angriffsversuchen spricht, denen das Scraping "immenser Mengen" an Informationen über die attackierte Person zugrunde liegen. Ein Manager des Softwareunternehmens Check Point habe erst jüngst darauf hingewiesen, dass es KI-Technik Kriminellen ermögliche, "die perfekte Phishing-Mail" zu verfassen.

Anzeige

Als Phishing-Mail werden Nachrichten bezeichnet, die den Anschein erwecken, dass sie von einer vertrauenswürdigen Person kommen, hinter denen in Wahrheit aber betrügerische Absichten stecken. Die britische Zeitung verweist auf Analysen, denen zufolge die mit Abstand meisten erfolgreichen Cyberattacken mit Phishing beginnen, auf das jemand hereinfällt. Dank der raschen und großen Fortschritte bei der Entwicklung von KI-Technik können diese ersten Kontaktaufnahmen nun noch viel stärker auf Zielpersonen zugeschnitten werden und das ganz automatisiert. Dafür können sie beispielsweise anhand von Aktivitäten der Zielpersonen in sozialen Netzwerken trainiert werden.

"Die Verfügbarkeit von generativen KI-Werkzeugen senkt die Eintrittshürde für fortgeschrittene Cyberkriminalität", meint deshalb auch die bei eBay angestellte Sicherheitsforscherin Nadezda Demidova. Zwar würden alle Arten von Cyberangriffen zunehmen, das Wachstum bei "ausgefeilten und gezielten" Phishing-Mails sei aber besonders hoch, wird sie von der Financial Times zitiert. Herkömmliche Mailfilter könnten außerdem Probleme bekommen, wenn KI-Technik genutzt wird, um in rascher Folge tausende E-Mails mit unterschiedlichem Wortlaut zu generieren. Führungskräfte sind für solche Angriffsversuche besonders lohnenswerte Ziele, es ist aber davon auszugehen, dass solche Angriffe auch gegen den Rest der Bevölkerung zunehmen werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Das US-Finanzministerium ist eigenen Angaben zufolge Ziel einer chinesischen Cyberattacke geworden. In einem Brief an die Kongress-Abgeordneten teilte das Ministerium laut Medienberichten mit, dass es am 8. Dezember von dem Softwareunternehmen BeyondTrust informiert worden sei, dass ein Hacker einen Sicherheitsschlüssel erlangt habe. Dieser habe ihm aus der Ferne Zugang zu bestimmten Arbeitsstationen des Finanzministeriums und den darauf befindlichen – nicht als geheim eingestuften – Dokumenten ermöglicht.

Anzeige

Es werde davon ausgegangen, dass hinter dem "schwerwiegenden Sicherheitsvorfall" ein vom chinesischen Staat geförderter Akteur stecke, hieß es weiter. Das Finanzministerium erklärte, es habe mit dem FBI, den Geheimdiensten und anderen Ermittlern zusammengearbeitet, um die Auswirkungen der Attacke zu ermitteln.

Es gebe keine Anzeichen dafür, dass der chinesische Akteur noch immer Zugang zu den Daten des Finanzministeriums habe, hieß es weiter. Laut Ministerium wurde auf "mehrere" Benutzerarbeitsplätze des Finanzministeriums zugegriffen. Das Finanzministerium ist verpflichtet, in einem zusätzlichen Bericht innerhalb von 30 Tagen weitere Informationen zu geben.

Das chinesische Außenamt wies die Vorwürfe zurück und erklärte, es gebe keine Beweise dafür. China habe stets jegliche Formen von Hackerangriffen abgelehnt und lehne die Verbreitung falscher Informationen gegen China für politische Zwecke noch mehr ab, sagte Sprecherin Mao Ning in Peking.

Angreifer können an einer Schwachstelle in diversen PAN-OS-Versionen ansetzen, um Firewalls neu zu starten. Dagegen gerüstete Versionen stehen zum Download bereit.

Anzeige

Wie aus einer Warnmeldung hervorgeht, sind davon Firewalls der Serien CN, PA, Prisma Access und VM bedroht. Panorama ist davon nicht betroffen. Die Schwachstelle (CVE-2024-3393 "hoch") findet sich im DNS-Sicherheitsfeature. Daran können Angreifer ohne Authentifizierung ansetzen, indem sie präparierte Pakete an verwundbare Instanzen schicken. Das Ergebnis sind Neustarts. Wiederholte Attacken sollen dazu führen, dass Firewalls im Wartungsmodus starten.

Geräte sind aber nur angreifbar, wenn DNS-Security-Logging aktiv ist und eine DNS-Security-License oder Advanced DNS Security License hinterlegt ist. Die Entwickler geben an, die folgenden PAN-OS-Ausgaben dagegen abgesichert zu haben:

Alle vorigen Versionen sollen verwundbar sein. Weitere Informationen zu Sicherheitsfixes erläuten die Verantwortlichen in der Warnmeldung. Die Entwickler weisen darauf hin, dass der Support für PAN-OS 11.0 am 17. November 2024 ausgelaufen ist und dieser Versionsstrang keine Sicherheitspatches mehr bekommt. An dieser Stelle müssen Admins ein Upgrade vornehmen, um ihre Firewalls absichern zu können. PAN-OS 9.1 und 10.0 sind von dem Sicherheitsproblem nicht betroffen.

Wenn Admins zur Überwachung von Netzwerken Paessler PRTG Network Monitor nutzen, sind Systeme aufgrund einer bisher nicht geschlossenen Sicherheitslücke angreifbar. Sind Attacken erfolgreich, können Angreifer die Authentifizierung umgehen und unbefugt auf Computer zugreifen.

Anzeige

Auf die Schwachstelle (CVE-2024-12833 "hoch") im Web-Interface sind Sicherheitsforscher von Trend Micros Zero Day Initiative gestoßen. In einem Bericht geben die Forscher an, den Softwarehersteller bereits im März 2024 über die Lücke informiert zu haben. Trotz mehrmaliger Erinnerungen ist aber bislang kein Sicherheitspatch erscheinen. Die Antwort auf eine Anfrage von heise Security steht noch aus.

Wenn Angreifer Netzwerkzugriff haben, können sie, weil Nutzereingaben nicht ausreichend überprüft werden, an der Lücke ansetzen, um die Authentifizierung zu umgehen. Dafür ist den Forschern zufolge aber "eine gewisse Benutzerinteraktion seitens eines Administrators erforderlich". Wie eine solche Attacke im Detail ablaufen könnte, bleibt aber unklar.

Unbekannt ist auch, ob es bereits Attacken gibt und woran Admins schon erfolgreich angegriffene Systeme erkennen können.

In der modernen IT-Landschaft sind Containerisierung und deren Automatisierung mittels Kubernetes unverzichtbar. Dabei ist die Einrichtung eines Kubernetes-Clusters nur der erste Schritt. Um die komplexe Umgebung effizient und sicher zu verwalten, sind spezialisierte Kenntnisse und Fähigkeiten erforderlich.

Anzeige

Im iX-Workshop Fortgeschrittene Kubernetes-Administration werden Sie in die Feinheiten des fortgeschrittenen Applikationsmanagements eingeführt und lernen, wie Sie Service-Mesh-Technologien implementieren und verwalten können. Zudem lernen Sie Methoden und Techniken für den nachhaltigen und sicheren Betrieb von Kubernetes-Clustern. Ein besonderer Schwerpunkt liegt auf den neuesten Sicherheitstechnologien und Best Practices, die dazu beitragen, Kubernetes-Umgebungen gegen potenzielle Bedrohungen abzusichern, sowie auf dem sicheren Umgang mit sensiblen Informationen, den sogenannten Secrets.

Der Workshop ist interaktiv gestaltet. In zahlreichen Übungen können Sie die vorgestellten Konzepte und Techniken anwenden und vertiefen. Dabei geht es unter anderem um die Bereitstellung von Applikationen im Container, Zugriffsberechtigungen auf die Kubernetes API, Sicherheitseinstellungen für den Kubernetes-Cluster und den Einsatz von Service Mesh in Projekten.

Von diesem Workshop profitieren vor allem IT-Profis, die tiefer in die Administration und Konfiguration von Kubernetes einsteigen und ihre Kubernetes-Umgebung stabil und sicher betreiben möchten. Er baut auf den Grundlagen auf und ist die ideale Ergänzung für alle, die Kubernetes bereits im Einsatz haben und an ihre Grenzen stoßen.