Comretix Blog

Das Unternehmen Cleo stellt Datentransfer-Software her, in der es kürzlich eine Sicherheitslücke ausgebessert hat – vermeintlich. Der Patch reicht nicht aus, die Schwachstelle wird in freier Wildbahn aktiv angegriffen. Bis zur Verfügbarkeit eines wirksamen Updates sollten IT-Verantwortliche Cleo-Server hinter eine Firewall bringen und sie damit schützen.

Anzeige

Die IT-Sicherheitsforscher von Huntress erläutern ihre Beobachtungen in einem aktuellen Blog-Beitrag. Demnach geht es um eine Sicherheitslücke, durch die unbegrenzt Dateien in Cleo Harmony, VLTrader und Lexicom vor den Versionen 5.8.0.21 zur Ausführung von Schadcode aus dem Netz missbraucht werden kann (CVE-2024-50623). In einer eigenen Sicherheitsmitteilung, die am heutigen Dienstagmorgen aktualisiert wurde, schreiben Cleos Entwickler, dass die Installation des jüngsten veröffentlichten Patches weitere Angriffsvektoren für die Schwachstelle abdichten.

In etwa zum gleichen Zeitpunkt hat Huntress die eigene Analyse auf Reddit veröffentlicht. Demnach sind auch die gepatchten Versionen 5.8.0.21 noch anfällig. Ein Indiz für eine Kompromittierung (Indicator of Compromise, IOC) sei etwa im "hosts"-Unterverzeichnis zu finden. Die Dateien "main.xml" oder "60282967-dc91-40ef-a34c-38e992509c2c.xml" (der Dateiname tauchte bei mehreren Infektionen auf) mit einem eingebetteten Powershell-kodierten Befehl seien eindeutige Hinweise.

Im Blog-Beitrag aktualisiert Huntress weiterhin die IOCs und fügt weitere hinzu. Ein deutlicher Anstieg an kompromittierten Servern sei seit dem 8. Dezember zu beobachten. Mit einem Proof-of-Concept-Exploit haben die IT-Forscher die Angriffe nachgestellt und fanden dabei heraus, dass die aktuellen Patches unzureichend sind. In Rücksprache mit Cleo kündigte der Hersteller an, so schnell wie möglich neue Patches bereitzustellen.

Aufgrund einer "kritischen" Sicherheitslücke in einem Node.js-Modul können Angreifer Systeme, auf denen IBM App Connect Enterprise Certified Container läuft, mit Schadcode attackieren. Aufgrund der Einstufung der Lücke ist davon auszugehen, dass Computer anschließend vollständig kompromittiert sind. Sicherheitspatches stehen zum Download.

Anzeige

In einer Warnmeldung listen die Entwickler die betroffenen Versionen auf. Gegen mögliche Attacken auf die Schwachstelle (CVE-2024-21534) sind die Ausgaben 5.0.22, 12.0.6 und 12.6.0 abgesichert. Bislang gibt es noch keine Berichte über laufende Angriffe. Unklar bleibt auch, woran Admins bereits kompromittierte PCs erkennen können.

Die Entwickler geben an, dass das jsonpath-plus-Modul zum Verarbeiten von JSON-Konfigurationen Eingaben nicht ausreichend prüft, sodass Schadcode auf Systeme gelangen kann.

Eine "kritische" Sicherheitslücke im SysUpgrade-Server von OpenWrt gefährdete die Integrität von manchen Firmwareimages. Ein Sicherheitsforscher stieß auf Schwachstellen im Buildprozess. Nun haben die OpenWrt-Entwickler die Lücke geschlossen.

Anzeige

OpenWrt ist eine alternative Firmware auf Linuxbasis für unter anderem bestimmte Routermodelle. In einer Warnmeldung schreiben die Entwickler, dass ein Sicherheitsforscher von Flat Security auf die Schwachstelle (CVE-2024-54143) gestoßen ist. Der Fehler findet sich im SysUpgrade-Feature. Darüber können Nutzer mit vergleichsweise wenig Aufwand und in überschaubarer Zeit neue Firmwareimages erstellen, die vorab installierte Pakete und Einstellungen übernehmen.

Der Sicherheitsforscher gibt in einem Bericht an, dass der sysupgrade.openwrt.org-Service in einer Containerumgebung läuft. Aufgrund von unzureichenden Überprüfungen können Angreifer an dieser Stelle über das "make"-Kommando eigenen Code in Images einfügen. Außerdem stellte er fest, dass der Service einen auf zwölf Stellen verkürzten SHA256-Hash zum Zwischenspeichern verwendet. Weil der Hash dadurch auf 48 Bits begrenzt ist, können Angreifer durch Brute-Force-Attacken eine Hash-Kollison erzeugen.

Durch die Kombination dieser beiden Faktoren konnte der Sicherheitsforscher eigenen Angaben zufolge ein legitim anmutendes, aber manipuliertes Firmwareimage erstellen. Wird damit ein offizielles Image im Kontext des sysupgrade.openwrt.org-Services ersetzt, bekommen Nutzer davon nichts mit und nach der Installation sind ihre Geräte kompromittiert.

SAP hat zum Dezember-Patchday neun neue Sicherheitsmitteilungen herausgegeben. Zudem aktualisieren die Walldorfer vier ältere Schwachstellenmeldungen. Eine Lücke stellt ein kritisches Sicherheitsrisiko dar – IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig anwenden.

Anzeige

In der Patchday-Übersicht listet SAP die Sicherheitslücken auf, die die Entwickler im Dezember mit Updates ausbessern. Die schwerwiegendste Schwachstelle betrifft SAP NetWeaver AS for Java – oder genauer, es finden sich gleich drei Lücken in den Adobe Document Services. Angreifer mit Admin-Rechten können etwa manipulierte Anfragen durch verwundbare Web-Apps senden und dadurch fälschlicherweise auf Systeme hinter Firewalls zugreifen. Durch Ausnutzen dieser Server-Side Request Forgery können sie beliebige Dateien lesen oder verändern sowie das ganze System lahmlegen (CVE-2024-47578, CVSS 9.1, Risiko "kritisch"). Die beiden weiteren Lücken erreichen mit jeweils einem CVSS-Wert von 6.8 hingegen eine Einstufung als mittleres Risiko.

Durch einen entfernten Funktionsaufruf (Remote Function Call) in SAP NetWeaver Application Server ABAP können angemeldete Angreifer unbefugt auf Informationen zugreifen – etwa Zugangsdaten für Remote-Dienste. Damit können sie diese Dienste vollständig kompromittieren (CVE-2024-54198, CVSS 8.5, hoch). Zudem ermöglicht eine Schwachstelle in SAP NetWeaver Administrator (System Overview) ebenfalls eine Server-Side Request Forgery (CVE-2024-54197, CVSS 7.2, hoch).

Die weiteren Schwachstellen haben die Entwickler als mittleren oder niedrigen Bedrohungsgrad eingestuft. Dennoch sollten IT-Verantwortliche die Sicherheitslücken zeitnah durch Installieren der bereitstehenden Updates schließen. Die vollständige Liste der am Dezember-Patchday behandelten Sicherheitslecks:

Im Wordpress-Plug-in WPForms haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt, durch die Angreifer etwa Zahlungen erstatten oder Abonnements auflösen können. Aktualisierte Software steht bereit, die die Schwachstelle ausbessert.

Anzeige

In einem Blog-Beitrag schreibt das Unternehmen Wordfence, dass angemeldete Nutzer mit Subscriber-Zugriff oder höheren Rechten Zahlungen rückerstatten und Abonnements abbrechen können. Das liegt an einer fehlenden Prüfung der Fähigkeiten in der wpforms_is_admin_page-Funktion, wodurch nicht autorisierte Änderungen an Daten möglich werden (CVE-2024-11205, CVSS 8.5, Risiko "hoch").

Das Wordpress-Plug-in WPForms ist eine der populärsten Erweiterungen, sie kommt auf mehr als sechs Millionen Wordpress-Seiten zum Einsatz. WPForms dient zum Erstellen von Formularen wie Kontaktformulare, Feedback-Formulare, Abo-Formulare und so weiter. Nutzerinnen und Nutzer können damit solche Formulare einfach mit Drag-and-Drop zusammenstellen. Verwundbar sind die Versionen 1.8.4 bis 1.9.2.1 einschließlich, WPForms 1.9.2.2 und neuere Fassungen bessern die Schwachstelle aus. Das Update ist seit dem 18. November verfügbar.

Wordpress-Admins sollten sicherstellen, dass die jüngste Version von WPForms in ihrer Wordpress-Instanz installiert ist, empfiehlt Wordfence. Die IT-Forscher erörtern im Blog-Beitrag zudem den Fehler im Quelltext detaillierter.

Ab 2025 tritt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich in Kraft. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Der Workshop findet vom 13. bis 17. Januar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (13., 15. und 17. Januar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

Bundesbehörden sollen IT-Sicherheitslücken unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, sobald sie ihnen bekannt werden und "soweit andere gesetzliche Regelungen dem nicht entgegenstehen". Zu dieser Regelung haben sich die nach dem Ausscheiden der FDP in der Koalition verbliebenen Verhandler von SPD und Grünen durchgerungen. Festgehalten werden soll das im BSI-Gesetz, Paragraph 43, in einem neuen Absatz 6.

Anzeige

Der Entwurf liegt heise online vor. Die Ampel-Koalition ist mit dem Versprechen im Koalitionsvertrag angetreten, IT-Sicherheit zu stärken. Der Staat soll demnach "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich unter Federführung eines unabhängigeren BSI "immer um die schnellstmögliche Schließung bemühen". Zugleich sollten die Eingriffsschwellen bei Überwachungssoftware wie Staatstrojanern erhöht und die bestehenden Befugnisse für die Polizei eingeschränkt werden.

Eine Arbeitsgruppe aus Innenpolitikern der Koalitionsfraktionen und des Bundesinnenministeriums (BMI) kam allerdings in der Frage des Schwachstellenmanagements monatelang auf keinen gemeinsamen Nenner. Erst im Frühjahr gab es Hoffnung auf eine Übereinkunft. Vor der Sommerpause fanden die drei Fraktionen tatsächlich zueinander, doch wie das BMI den Kompromiss im Anschluss ausformuliert hat, stieß vor allem den Grünen und den Liberalen angesichts zu vieler Hintertüren für Ausnutzung von Schwachstellen durch Sicherheitsbehörden übel auf.

Die Bundesregierung machte dann im Rahmen ihres Entwurfs zur Umsetzung der NIS2 getauften EU-Richtlinie zur Netz- und Informationssicherheit den Vorschlag für einen Paragraf 43 Absatz 5 im BSI-Gesetz. Dieser geht nicht so weit wie der nun zusätzlich von SPD und Grünen vereinbarte Absatz 6. Dem Regierungsansatz zufolge besteht Meldepflicht für Schwachstellen nur, wenn Informationen darüber "für die Erfüllung von Aufgaben oder für die Sicherheit der Kommunikationstechnik des Bundes von Bedeutung sind". Zudem gibt es eine Palette von Ausnahmen, die sich sogar auf "Geheimschutz oder Vereinbarungen mit Dritten" bezieht.

Qnaps NAS-Betriebssysteme QTS und QuTS hero sind angreifbar. Sicherheitslücken in den Apps License Center und Qsync Central können ebenfalls als Einfallstor dienen. NAS-Besitzer sollten sicherstellen, dass die aktuellen Sicherheitspatches installiert sind.

Anzeige

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler in QTS und QuTS hero insgesamt acht Sicherheitslücken geschlossen. Davon sind drei Stück mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-50393, CVE-2024-48868, CVE-2024-48865). Wenn Angreifer die Lücken erfolgreich ausnutzen, können sie unter anderem eigene Befehle ausführen. Attacken sind in den meisten Fällen aus der Ferne möglich. Wie so eine Attacke im Detail ablaufen könnte, ist aber bislang unklar.

Die Schwachstellen haben Teilnehmer des Hacking-Wettbewerbs Pwn2Own entdeckt. Diese Versionen sind gegen mögliche Angriffe gerüstet:

Zusätzlich können entfernte Angreifer an Lücken in License Center (CVE-2024-48863 "hoch") und Qsync Central (CVE-2024-50404 "mittel") ansetzen. Auch hier ist die Ausführung von eigenen Befehlen vorstellbar. Abhilfe schaffen License Center 1.9.43 und Qsync Central 4.4.0.16_20240819 (2024/08/19). Bislang gibt es noch keine Hinweise auf laufende Attacken.

Windows-Server-Systeme sind ein zentrales Element der IT-Infrastruktur vieler Unternehmen. Entsprechend wichtig ist ihre Sicherheit. Im Cyberwar stehen sie immer häufiger im Fokus von Angriffen. Eine professionelle Absicherung und Härtung dieser Systeme ist daher unerlässlich. Zudem fordern verschiedene regulatorische Vorgaben und Industriestandards eine erhöhte Sicherheit von Betriebssystemen und Identitätssystemen wie Active Directory oder Entra ID.

Anzeige

Im Praxisworkshop Windows Server absichern und härten lernen Sie, wie Sie Ihre Windows Server-Systeme effizient und nachhaltig härten können. Sie erhalten einen umfassenden und praxisnahen Einblick in die Konzepte der Systemhärtung und lernen, wie Sie Windows Server von Grund auf und prozessorientiert absichern, welche Unterschiede zwischen manueller und zentraler Konfiguration bestehen und warum die Härtung über Gruppenrichtlinien/GPOs oft ineffizient ist. Darüber hinaus erfahren Sie, welche Anforderungen sich aus regulatorischen Vorgaben ergeben und wie Sie Schutzmaßnahmen in Ihre Infrastruktur integrieren können.

Der Workshop ist stark praxisorientiert und kombiniert theoretische Einheiten mit vertiefenden Übungen, wie z.B. die Anwendung des Open Source Tools AuditTAP und die Erstellung einer Hardening GPO auf Basis von CIS. Darüber hinaus arbeiten Sie an konkreten Fallbeispielen und diskutieren typische Fallstricke in Hardening-Projekten. So sammeln Sie praktische Erfahrungen und können das Gelernte direkt in Ihrer eigenen Arbeit anwenden.

Dieser Workshop richtet sich an Systemadministratoren, CISOs und IT-Sicherheitsexperten, die ihre Kenntnisse im Bereich Absicherung und Hardening von Windows Server Systemen erweitern möchten.

Die Verwaltung und Automatisierung von Windows-Umgebungen sind wichtige Aspekte in der Arbeit eines Systemadministrators. PowerShell ist dabei das bevorzugte Werkzeug, um Effizienz, Skalierbarkeit und Zuverlässigkeit zu gewährleisten. Besonders im Kontext wachsender IT-Infrastrukturen bietet der gezielte Einsatz von PowerShell erhebliche Vorteile.

Anzeige

In unserem dreitägigen Praxis-Workshop PowerShell für Systemadministratoren erwerben Sie das notwendige Wissen, um sowohl grundlegende als auch fortgeschrittene Aufgaben in der Windows-Administration zu automatisieren. Sie lernen, PowerShell-Skripte zu schreiben, um wiederkehrende Aufgaben zu optimieren, Daten zu verwalten, Berichte zu erstellen und Systeme effizient zu konfigurieren. Der Kurs bietet Ihnen eine Mischung aus Theorie und praxisnahen Übungen, die Sie sofort in Ihrem Arbeitsalltag anwenden können.

Während des gesamten Workshops haben Sie Zugriff auf eine eingerichtete Laborumgebung. In diesem sicheren Umfeld können Sie die erlernten Inhalte direkt anwenden und vertiefen, um Ihre PowerShell-Kenntnisse zu festigen.

Der Workshop richtet sich an Systemadministratoren, die in Windows-Umgebungen arbeiten und ihre Kenntnisse im Bereich der Automatisierung mit PowerShell erweitern möchten. Er ist sowohl für Administratoren ohne PowerShell-Erfahrung als auch für diejenigen gedacht, die bereits über rudimentäre PowerShell-Kenntnisse verfügen, aber noch unsicher im Umgang mit eigenen Skripten sind.

Stellen Sie sich vor, dass Ihr Sat-Empfänger neben dem TV-Empfang noch von Ihnen unbemerkt Cyberangriffe ausführt. Das ist so wohl in Korea geschehen, wie die dortige Polizei nun mitteilt.

Anzeige

In einer Pressemitteilung schreiben sie, dass ein namentlich nicht genannter Hersteller von Satelliten-TV-Receivern auf Wunsch eines Firmenkunden 240.000 Geräte mit einer DDoS-Funktionalität hergestellt und in Umlauf gebracht hat. Bei so einem Angriff überrennt ein Verbund aus Geräten etwa Webserver mit unzähligen Anfragen, um so Dienste gezielt lahmzulegen.

Wie das in diesem Fall technisch im Detail vonstattenging, ist zurzeit nicht bekannt. Den Ermittlern zufolge hat der Hersteller 98.000 Empfänger mit DDoS-Funktion ausgeliefert und der Rest hat die Funktion über ein Softwareupdate bekommen.

Die Ermittler vermuten, dass der Kunde damit die Cyberattacken eines Konkurrenten kontern wollte. Mittlerweile wurden sechs Mitarbeiter des Sat-Receiver-Herstellers inklusive des CEOs festgenommen.

Systeme, auf denen Dell BSAFE Micro Edition Suite oder NetWorker läuft, sind verwundbar. Die Entwickler haben nun reparierte Versionen zum Download bereitgestellt. Ein Sicherheitsupdate ist bislang aber nur angekündigt.

Anzeige

Mit NetWorker steuern Admins Backup- und Recovery-Prozesse. Haben Angreifer ohne Authentifizierung bereits Zugriff, können sie an einer Sicherheitslücke (CVE-2024-42422 "hoch") ansetzen und auf eigentlich abgeschottete Informationen zugreifen. Wie Angriffe konkret ablaufen könnten und wie Admins attackierte Systeme erkennen könne, bleibt bislang unklar.

In einem Beitrag schreiben die Entwickler, dass NetWorker Client 19.10.0.6 gegen diese Attacke abgesichert ist. Für den Versionsstrang 19.11 bis 19.11.0.2 soll das Sicherheitsupdate im Laufe des Dezembers folgen.

Das Software-Development-Kit (SDK) BSAFE Micro Edition Suite, mit dem Entwickler etwa in C programmierte Anwendungen mit TLS-Zertifikaten ausstatten können, ist über eine Schwachstelle angreifbar. Informationen zur Lücke stehen einer Warnmeldung zufolge nur für BSAFE-Nutzer mit einem Wartungsvertrag zur Verfügung. Die Ausgabe 5.0.3 ist repariert.

Wer jüngst das JavaScript SDK web3.js von Solana aus dem Paketmanager npm heruntergeladen hat, hat sich unter Umständen Schadcode eingefangen. Der Ursprung ist wahrscheinlich eine Phishing-Attacke auf Maintainer der Bibliothek.

Anzeige

In einem Bericht führen Sicherheitsforscher von Socket aus, dass davon die Versionen 1.95.6 und 1.95.7 betroffen sind. Diese Ausgaben enthalten Code, der private Schlüssel einsammelt. Damit sind etwa Attacken auf Wallets mit Kryptowährung möglich.

Die Sicherheitsforscher gehen davon aus, dass die unbekannten Angreifer über Social-Engineering-Attacken auf Maintainer Zugriff auf das SDK bekommen haben und es so verändern konnten. Dabei handelt es sich um eine Supply-Chain-Attacke.

Bei solchen Angriffen wird nicht ein Ziel direkt attackiert, sondern etwa eine Software, die dann jeweils auf Systemen von Nutzern einen Trojaner ablädt. Handelt es sich dabei wie in diesem Fall um ein SDK, enthält damit erstellte Software ebenfalls Schadcode und die Reichweite des Schadenspotenzials vervielfacht sich.

Nach dem Einloggen bietet die Telekom-Website das Erstellen eines Passkeys automatisch an.

Immer mehr Websites und Apps bieten ihren Nutzern das moderne und vom BSI empfohlene Authentifizierungsverfahren Passkey als Alternative zum Passwort an. Ohne es an die große Glocke zu hängen hat auch die Telekom im August Passkeys implementiert. Loggt man sich seitdem ein, wird man automatisch gefragt, ob man einen Passkey auf dem gerade genutzten Gerät speichern möchte.

Eine Rückfrage von heise Security ergab nun, dass das Verfahren offenbar positiv angenommen wird: "In den ersten 4 Monaten, in denen Passkey nun zur Verfügung steht, wurden bereits über 1 Mio. Passkeys eingerichtet. Dabei wurden im gleichen Zeitraum mehr als 30 Mio. Anmeldungen mit Passkey durchgeführt", erklärte das Unternehmen.

Anzeige

Wer einen Passkey eingerichtet hat, kann sich komfortabel per Fingerabdruck, Face ID oder mit einer kurzen PIN einloggen. Die Eingabe eines Passworts ist dann nicht mehr nötig. Neben dem Komfort geht es bei Passkeys vor allem um die Sicherheit: Das Verfahren verwendet moderne Public-Key-Kryptografie und erstellt für jeden Account ein individuelles Schlüsselpaar.

Die Bundesnetzagentur mahnt Verbraucher zur Vorsicht bei der Nutzung von smarten Produkten wie Spielzeugen, Saugroboter, Brillen oder Futterautomaten. Diese könnten heimlich Audio- oder Videoaufnahmen erstellen und diese an andere Geräte übertragen. Zudem hat die Bundesnetzagentur erneut unterschiedliche Spionagegeräte auf dem Markt entdeckt, wie etwa Halsketten mit einem versteckten Mikrofon, Blumenkörbe mit Spionagekamera oder videofähige Rasierapparate.

Anzeige

"Menschen müssen klar und deutlich erkennen können, wenn sie aufgenommen werden, vor allem auch in Kinderzimmern", betont Klaus Müller, Präsident der Bundesnetzagentur.

In Deutschland sind smarte Alltagsprodukte laut Bundesnetzagentur verboten, wenn sie heimlich Audio- und/oder Videoaufnahmen erstellen und diese kabellos an andere Geräte übertragen können, beispielsweise über WLAN oder Bluetooth.

Die Bundesnetzagentur empfiehlt, sich vor dem Kauf von vernetzten Produkten mit eingebauter Kamera oder Mikrofon über deren Funktionsweise zu informieren. Menschen müssen eindeutig erkennen können, dass sie aufgenommen werden – beispielsweise durch sichtbare oder hörbare Signale während der Aufnahme. Darüber hinaus ist es hilfreich, die Produktbeschreibung und die Datenschutzbestimmungen der dazugehörigen Apps zu prüfen.

Microsoft lockert die Systemanforderungen für Windows 11 nicht. Voraussetzung für das Betriebssystem sind demnach weiterhin Prozessoren, die TPM 2.0 (Trusted Platform Module) unterstützen. Die Sicherheitstechnologie sei für die Sicherheit und Zukunftsfähigkeit des Betriebssystems unerlässlich, schreibt Microsoft-Produktmanager Steven Hosking in einem Blog-Post. Es handele sich um einen nicht verhandelbaren Standard für die Zukunft von Windows, der den Bedarf an Datensicherheit decke.

Anzeige

Dieser Standard gilt jedoch nicht für alle Versionen von Windows. Während Windows 11 zwingend Prozessoren mit TPM 2.0 voraussetzt, entfällt die Anforderung bei Windows Server 2025. Die im November veröffentlichte Server-Variante des Betriebssystems lässt sich auch ohne den Sicherheitschip installieren. Er ist nur dann zwingend notwendig, wenn es einzelne Funktionen erfordern, etwa die BitLocker-Verschlüsselung.

Das Trusted Platform Module ist ein Sicherheitschip, der auf dem Mainboard angebracht oder in den Prozessor integriert ist. Praktisch alle aktuellen Computer auf dem Markt haben einen TPM-2.0-fähigen Prozessor. Bei Intel sind es CPUs ab der Coffee-Lake-Reihe, bei AMD ab Zen+. Windows 11 nutzt TPM zur Verschlüsselung von Laufwerken und Geräten, zum Schutz von Anmeldedaten oder als virtuelle Alternative für Smart Cards. Auch bei Secure Boot kommt TPM zum Einsatz.

Altgeräte mit der Vorversion TPM 1.2 sind von einem Upgrade ausgeschlossen. Microsoft empfiehlt den Kauf eines neuen Geräts, bevorzugt mit Copilot-fähigem KI-Beschleuniger. Nutzer können Windows 10 zunächst uneingeschränkt weiternutzen, erhalten ab Oktober kommenden Jahres aber keine Sicherheitsupdates mehr. Unternehmen können für drei Jahre eine Update-Unterstützung kaufen, Privatkunden für ein Jahr. Zuletzt machte Windows 10 laut Zahlen von Statcounter noch etwa zwei Drittel der Windows-Installationen auf deutschen Desktop-Rechnern aus.

In aktuellen Versionen von HPE Aruba Networking ClearPass Policy Manager haben die Entwickler insgesamt vier Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer eigenen Code ausführen und Systeme kompromittieren.

Anzeige

Admins verwalten damit Zugriffe in Netzwerken. Bekommt ein Angreifer an dieser Stelle einen Fuß in die Tür, kann das schwerwiegende Folgen haben. Wie aus einer Warnmeldung hervorgeht, sind Schadcode-Attacken aber nicht ohne Weiteres möglich.

Damit das klappt, müssen Angreifer bereits authentifiziert sein. Ist das gegeben, können sie aus der Ferne an zwei Schwachstellen (CVE-2024-51771 "hoch", CVE-2024-51772 "hoch") im webbasierten Management-Interface ansetzen. Über einen nicht näher beschriebenen Weg können sie dann eigene Befehle im zugrundeliegenden Betriebssystem ausführen.

Darüber hinaus sind noch Stored-XSS-Attacken (CVE-2024-51773 "mittel") und Command-Injection-Angriffe (CVE-2024-53672 "mittel") möglich.

Die USA gehen davon aus, dass chinesische Cyberkriminelle in die Systeme von mindestens acht US-Telekommunikationsanbietern eingedrungen sind, um hochrangige Politiker auszuspionieren. "Aktuell glauben wir nicht, dass die chinesischen Akteure vollständig aus diesen Netzwerken entfernt wurden", sagte die stellvertretende nationale Sicherheitsberaterin Anne Neuberger US-Medien am Mittwoch (Ortszeit).

Anzeige

Es bestehe demnach weiter das Risiko anhaltender Beeinträchtigungen der Kommunikation. Die US-Sicherheitsbehörden gingen aber nicht davon aus, dass die Kriminellen auf geheime Informationen zugegriffen hätten, sagte Neuberger dem Sender CNN zufolge.

Es handelt sich um die höchste bislang öffentlich genannte Zahl von betroffenen Firmen, die die US-Regierung über das Ausmaß des Angriffs bekannt gemacht hat.

Am Mittwoch hatten Geheimdienstvertreter CNN zufolge Senatoren detailliert über den Hackerangriff informiert. Bereits im Oktober war bekannt geworden, dass mutmaßlich chinesische Hacker auch Telefondaten des designierten US-Präsidenten Donald Trump – damals noch Präsidentschaftskandidat – und seines Vizes J.D. Vance ins Visier genommen hatten.